Aula 2 - Classificação Dos Recursos e Analise de Riscos

8/18/2019 Aula 2 - Classificação Dos Recursos e Analise de Riscos

1/29

1


2/29

SUMÁRIO2

Problemas da Segurança

Dados sobre a criminalidade informática

Propriedades/Objetivos da segurança;Classificação dos recursos


3/29

Problemas de Segurança

Imagine que… Alguém, algures nesse planeta tem acesso ao seu

computador pessoal

E consegue ver e modificar todos os seus ficheiros, sempreque aceder à Internet

Tem acesso aos servidores da sua organização…

Consegue saber tudo que digita no seu computador…

Essa pessoa apaga os seus rastos de forma a queninguém a possa identificar…

3


4/29

Problemas de Segurança

Imagine que…Ocorreu um incêndio na sala dos servidores e todos os

discos ficaram inutilizados …

Alguém conseguiu roubar o seu servidor principal dasua empresa…

4


5/29

Criminalidade Informática

Estudos realizados pela Federal Trade Commission(FTC) dos EUA mostraram que:

5

Web se transformou no principal meio para o roubo deidentidades, o crime mais comum contra os consumidores.


6/29

Evolução das denuncias de cyber crimes6


7/29

Perdas associadas7


8/29


9/29

Origem dos atacantes9


10/29

Propriedades/Objetivos da segurança

Autenticidade Proteção de um serviço/informação contra a

personificação por intrusos. Garantir que ela é genuíno.

Confidencialidade Proteção de um serviço/informação contra o acesso de

intrusos.

Integridade

Proteção de um serviço/informação contra amodificação/deterioração por intrusos.

Disponibilidade Proteção contra a recusa de acesso a utilizadores

legítimos, feito por intrusos.

10


11/29

Autenticidade

Objetivos/alvos Reconhecer assinatura, evitar personificação (ações

maliciosas de confusão);

Engenharia Social e abusos de confiança, podem ser o1º passo para a violação da confidencialidade.

ComunicaçãoO interlocutor é quem diz ser?

Quem envia não pode negar que enviou.Quem recebe não pode negar que recebeu.

Informação

A informação é de quem assinou.

Quem assinou não pode negar que foi ele.

11


12/29

Confidencialidade

Objetivos/alvo

Proteger informação privada (cidadãos, indústria, militar)

Problema: Crime organizado, segurança nacional (este

pode ter que violar a confidencialidade) Comunicação

Evitar escuta (meio físico, topologia)

Permitir escuta, evitar a clareza(cifra) Informação Evitar acesso a Servidor (acesso físico)

Permitir acesso, evitar a clareza (cifra)

12


13/29

Integridade

Objetivos/Alvos

Evitar/Detetar forjamento ou alteração deDocumentos/mensagens;

Comunicação Evitar alteração não detetada de mensagens (Ex:

tráfego bancário);

Evitar forjamento não detetado de mensagens (aliadoà violação da autenticidade);

Informação

As mesmas precauções para repositórios de

informação.

13


14/29

Disponibilidade

Objetivos/alvos

Evitar ações que visam a negação do acesso adeterminados serviços ou informação;

Bloqueamento de comunicações em alturas de crise; Bloqueamento de serviços sensíveis (bases de dados, etc.).

Comunicação

Evitar ações que visem bloquear redes Permitir anular o efeito de bloqueamento de rede

Informação Evitar ações que visem bloquear servidores

Permitir anular o efeito de bloqueamento de servidores

14


15/29

Problemas de segurança15


16/29

Classificação dos recursos dos SI

As medidas de segurança dependem dos recursosque pretendemos proteger:

Tipos de recursos Valor dos recursos

16


17/29

Tipos de recursos

Bens materiais Edifícios, equipamentos informáticos, alimentação de

energia, climatização, etc.

Suporte de dados e programas Papel, estações de trabalho, écrans, banda magnética,

Procedimentos e programas Sistemas operativos, aplicações, etc.

Dados e informações Bases de dados

Pessoal Recursos humanos

17


18/29

Valor dos recursos

Valor intrínseco

Custo da substituição do recurso.

Valor de utilização

Prejuízo que a organização sofrerá pela alteração dascaracterísticas desse recurso.

18


19/29

Cenário de um sinistro

O conjunto de recursos, materiais ou imateriais, deuma organização pode ser alvo de diversos tiposde agressões.

Podem ser feitos por agentes naturais, humanos, ouartificiais, de forma acidental ou intencional.

Para evitar eventuais danos causados pelas falhas

de segurança, torna-se necessário efetuar o seulevantamento prévio.

19


20/29

Cenário de um sinistro (Cont.)20


21/29

Ameaça

Acão desencadeada por uma pessoa ouacontecimento suscetível de conduzir a umaalteração indesejada a um recurso do SI.

É uma agressão potencial que ainda não serealizou

21


22/29

Agressões

Acão desencadeada por uma pessoa ouacontecimento, cuja concretização, na ausência demedidas de segurança adequadas, provocam uma

alteração não desejada num recurso.

22


23/29

Tipos de agressões

Físicas de origem natural

Terramotos, ciclones, maremotos, avalanches, etc.

Físicas de origem industrial Poluição, obras públicas, emissões radioelétricas, etc.

Físicas de origem acidental Curto circuito

Lógica de origem acidentalOriginados por negligência, incompetência ou

desconhecimento dos procedimentos a adotar

23


24/29

Tipos de agressões (Cont.)

Delitos

Atos voluntários: Sabotagem , roubo, etc.

Crises ou conflitos causados por sinistros

Greves do pessoal informático Saída ou ausência por doença, etc.

24


25/29

Vulnerabilidades

Vias de acesso lógico

proteções mal estabelecidas, portas falsas ou cavalosde Troia, quebra de sistema de segurança

Vias de acesso físico

Acesso ao edifício através de vias normais;

Acesso aos recursos guardados nas instalações da

organização; Ex: suporte de dados, estações de trabalho, etc.

25


26/29

Deterioração dos recursos

A deterioração dos recurso é consequência dasagressões e pode assumir diversas formas:

Alteração: Passa a funcionar de maneira diferente

Degradação: Nível de desempenho reduzido

Avaria: Deixa de funcionar, pode ser suscetível dereparação

Destruição: É necessário substitui-lo

Duplicação: Voluntária ou não

Roubo

26


27/29

Danos do SI

Esses danos são consequências das deteriorações,ao nível dos SI Comprometimento de informações sensíveis

Divulgação Desvio

Informações falseadas ou alteradas Pontuais

Maciças

Perda de disponibilidade do serviço

27


28/29

Medidas de Segurança

Medidas estruturais

Medidas dissuasoras

Medidas preventivas

Medidas de proteção

Medidas paliativas

Medidas de recuperação

28


29/29

Dúvidas…

29

FIM

Aula 2 - Classificação Dos Recursos e Analise de Riscos

Documents

Transcript of Aula 2 - Classificação Dos Recursos e Analise de Riscos