SEGURANA DA INFORMAO

Prof. Andr Luiz Gonalves Campos

CONCEITOS GERAIS DE SEGURANA DA INFORMAO

Prof. Andr Luiz Gonalves CamposAULA 1

3Tpicos abordados

Aula 1 Conceitos Gerais

Aula 2 Gesto de Risco

Aula 3 tica Legislao

Aula 4 Poltica de Segurana

Aula 5 Classificao de Informaes

Aula 6 Gesto de Continuidade de Negcios

Aula 7 Gesto de Pessoas

Aula 8 Segurana Fsica e Patrimonial

Aula 9 Organizao da Segurana da Informao

4Tpicos

Introduo

O Ambiente

A histria

Desafios Atuais

SI nas organizaes

A gesto de SI

Tecnologia e SI

Estudo de Caso

5Introduo

O que Segurana?

A premissa mais bsica para se estudar segurana entender sua definio.

A palavra segurana, no que diz respeito a rea que estudaremos, costuma

ser empregada com dois significados:

Estado ou condio: onde aquilo que objeto de

proteo no passa por eventos que lhe causem algum

mal ou comprometam seus objetivos.

Conjunto de Protees: projetadas e implementadas

de forma a se atingir o estado ou a condio de

segurana. Essas protees podem ser de diversos

tipos.

6Introduo

Tipos de Ativos

Tangveis

Informaes

Sistemas

Mveis

Intangveis

Imagem

Confiabilidade

Marca

Tipos de Ativos Lgicos

Dados Armazenados

Sistemas

Redes

Fsicos

Computadores

Sistemas de Ar-Condicionado

Prdios

Pessoal

Empregados

Prestadores de Servio

ATIVO tudo aquilo que traz valor ao negcio

7Introduo

Tipos de Proteo

Fsicas

Portas

Fechaduras

Seguranas (pessoas)

Lgicas

Dispositivos de controle de acesso de SO

Firewall

Criptografia

Administrativas

Polticas

Normas

Procedimentos

8Introduo

A implementao de SI se baseia na utilizao de diversos tiposdiferentes de controles, variando bastante sua ao. Isso permite aimplementao de um conceito conhecido com defesa emprodundidade.

Este conceito prega que prefervel ter diversos controles com nvelde segurana menores, do que um nico grande controle, com o nvelde segurana altssimo. A premissa bsica que todos os controlesesto sujeitos a falhas e, sendo assim, a melhor estratgia prevernos projetos controles que se complementam e que sirvam debackup entre si.

Tipos de protees de acordo com a sua finalidade

Preveno, Desencorajamento, Monitoramento, Deteco, Limitao, Reao, Correo, Recuperao.

9Introduo

Os aspectos de SI - CID

Confidencialidade

Integridade Disponibilidade

10

Confidencialidade condio na qual apenas

instncias previamente estabelecidas tero

conhecimento sobre as diversas informaes

pertencentes as organizaes.

Integridade Condio que representa que

determinada informao precisa e correta.

Disponibilidade Condio na qual determinado

ativo estar disponvel para uso sempre que a

organizao necessitar.

11

Introduo

Os componentes bsicos

A premissa fundamental em segurana prev que no

existe nada 100% seguro

12

Introduo

Os componentes bsicos

Valor medida da importncia do ativo para a organizao. Podese dar atravs de propriedades mensurveis ou no.

Ameaa evento que pode comprometer o funcionamento normalda organizao, impactando seus objetivos em vrias escalas.

Vulnerabilidade falha ou falta de proteo que permite que aameaa se concretize.

Impacto Grau de comprometimento que a concretizao de umadeterminada ameaa traz para a organizao.

Risco medida que indica a probabilidade de uma determinadaameaa se concretizar, combinada com os impactos que ela trar.

13

Os proprietrios de ativos devem ter confiana (confidence) na eficcia das contramedidas, mas podem no possuir a habilidade de avali-la.

Assim, os proprietrios utilizam-se de uma avaliao (evaluation), que gera uma declarao do nvel de validao (assurance) de sua capacidade de mitigar riscos.

IntroduoISO 15408 a norma mais antiga de segurana da informao. O foco da

norma o desenvolvimento seguro de softwares e a definio de

mecanismos de avaliao para anlise e classificao da

segurana de eplicaes.

Owners proprietriosCountmeasures proteesVulnerabilities vulnerabilidadesThreat agents originadores de ameaasThreat ameaasAssets - ativos

14

Introduo

15

Introduo

Requerimentos de Segurana

So agrupados em famlias, que por sua vez so

agrupadas em classes.

Se dividem em dois tipos:

Requerimentos Funcionais de Segurana

Requerimentos de Validao de Segurana

16

Classes de Requerimentos Funcionais de Segurana

Auditoria de segurana (FAU) validao dafuncionalidade de gerao de trilha de auditoria deeventos relevantes do ponto de vista de segurana;

Comunicao (FCO) validao dos controles aplicados comunicao entre o sistema e outras entidades atravs deno repdio de recebimento e envio;

Suporte criptogrfico (FCS) validao dos controlesaplicados ao suporte criptogrfico, como gerenciamento dechaves e escolha dos algoritmos;

Proteo a dados do usurio (FDP) validao doscontroles de proteo aos dados do usurio na importao,exportao, armazenamento ou comunicao interna entrecomponentes do sistema;

17

Classes de Requerimentos Funcionais de Segurana

Identificao e autenticao (FIA) validao dos controlesaplicados correta identificao dos usurios do sistema,bem como sua associao a perfis de permisses;

Gerenciamento de segurana (FMT) validao doscontroles aplicados ao gerenciamento de dados desegurana como perfis de permisses, atributos desegurana e outros dados internos;

Privacidade (FPR) validao dos controles utilizados paraimpedir que usurios do sistema comprometam a seguranados dados uns dos outros;

Proteo do sistema (FPT) validao dos controlesutilizados para garantir a integridade dos dados eprocessamento do sistema diretamente associados suasegurana;

18

Classes de Requerimentos Funcionais de Segurana

Utilizao de recursos (FRU) validao dos controles

utilizados para garantir o uso devido de recursos como

memria, armazenamento e banda, com a devida

compartimentalizao e priorizao de sua alocao;

Acesso ao sistema (FTA) validao dos controles

aplicados ao estabelecimento, gerenciamento e

encerramento de sesses entre o usurio e o sistema;

Trusted Paths (FTP) validao dos controles aplicados

criao de canais de comunicao confiveis (no-repdio)

entre usurios e o sistema, e entre este e outras entidades

com as quais exista um relacionamento de confiana.

19

Classes de Requerimentos de Validao de Segurana

Gerenciamento de Configurao (ACM) manuteno da

integridade do sistema do controle e dos processos de

modificao do mesmo;

Entrega e Operao (ADO) manuteno da segurana do

sistema durante entrega, instalao, inicializao e

operao;

Desenvolvimento (ADV) provises de segurana na

especificao, design e implementao do sistema.

Documentao (AGD) cobre a facilidade de

compreenso, abrangncia e completude da

documentao operacional do sistema para usurios e

administradores;

20

Classes de Requerimentos de Validao de Segurana

Suporte ao Ciclo de Vida (ALC) que inclui a segurana do

ambiente, processos e ferramentas utilizadas para o

desenvolvimento e manuteno do sistema;

Testes (ATE) analisa os testes sistemticos utilizados para

validar a aderncia do sistema aos seus requisitos

funcionais de segurana;

Anlise de Vulnerabilidades (AVA) que cobre a

identificao de vulnerabilidades explorveis no sistema,

como covert channels;

Manuteno da Validao (AMA) que cobre a validao

continuada de segurana aps a avaliao inicial, quando

da alterao do sistema.

21

O Ambiente

O que deve ser protegido?

Tudo deveria ser protegido. Alguns aspectos se aplicam

mais a um tipo de ativo que a outros. A segurana fsica,

costuma estar mais focada nos ativos tangveis, nos sistemas

de suporte e infraestrutura e nas pessoas. J as Segurana

em TI foca-se mais na segurana das informaes

armazenadas, processadas e transmitidas por sitemas.

A viso mais lgica, que a SI compreende todo o universo

mas, na maioria das organizaes, diferentes aspectos

costumam ser controlados por reas diferentes.

22

O Ambiente

Por que devemos nos proteger?

Buscar viso mais abrangente dos impactos causados

pelos problemas de segurana.

23

O Ambiente

De que devemos nos proteger?

Natural

Eventos meteorolgicos

Acidental

Erros dos usurios

Falhas de sistemas

Falha no fornecimento de servios bsicos (energia eltrica)

Intencional

Invases

Terrorismo

Chantagem

Espionagem

24

A Histria

Pr-informtica

Ps-informtica

Cenrio Atual

25

Os Desafios Atuais

Aumento da exposio

Convergncia

Os problemas tecnolgicos

Leis, regulamentaes e normas

26

SI nas organizaes

Viso fazer com que a SI permeie a vida das organizaes,

impactando da menor forma possvel a sua rotina e mantenha

os riscos dentro de patamares desejados.

Metas dentre as muitas metas que a segurana enfrenta

hoje destacamos: Incorporar a cultura e as prticas de segurana a rotina de trabalho dos colaboradores.

Buscar tecnologias que cuidem da segurana enquanto as organizaes cuidam de seus objetivos.

Se aproximar do centro de deciso das organizaes, agregando valor e ajudando no alcance dos

objetivos

Encontrar solues economicamente viveis para os problemas.

Hierarquia estruturao das funes ligadas a rea de

segurana.

27

A gesto de SI

Polticas

Classificao das informaes

Anlise de Risco

Arquitetura Empresarial de Segurana

Continuidade dos Negcios

tica e Legislao

Peopleware

Sistema de Gesto de SI

28

Tecnologia e SI

Segurana de hosts

Plataforma Windows

Plataforma Unix

Segurana de Redes

Sistemas de Firewall e Defesa Perimetral

IDS/IPS

Segurana de Ambientes Wireless

Criptografia

Tecnolgias

ICP (PKI)

Segurana no Desenvolvimento de Aplicaes

Percia Forense

Teste de Invaso