Gestão da Segurança da Informação

Christian C. S. Mendesccsm@utfpr.edu.br

InstrutorChristian C. S. Mendes

Graduado em Informática – CEFET-PRPós-Graduado em Gestão de TI – Universidade Positivo Mestre em Telemática – CPGEI – UTFPR

Professor da Pós-Graduação em Gestão de TI – UTFPRProfessor da Pós-Graduação em Redes de Computadores - UTFPRCoordenação dos Cursos de Redes Wireless Lan e Gestão da Segurança da Informação

Ex-Coordenador de Infraestrutura de TI – UTFPREx-Colaborador da Coordenação de Tecnologia na Educação – UTFPR Membro do Comitê de Segurança da Informação - UTFPR

Certificação: MCSO / Diversas soluções de Segurança

Coordenador do Laboratório de Projetos de Tecnologia da Informação - LAPTI

Gestão de Segurança daInformação – uma visão executivaSêmola, Marcos.Editora Campus 2013

Indicação de Livros

Engenharia Social e Segurança da Informação na Gestão CorporativaPeixoto, MarioEditora Brasport

Risco Digital na Web 3.0Scudere, LeonardoEditora Elsevier

Indicação de Livros

Cyber WarClark, RichardEditora HarperCollins

Direito DigitalPeck, PatriciaEditora Saraiva

Indicação de Livros

Crimes no Meio Ambiente DigitalFiorillo, CelsoEditora Saraiva

Indicação de Livros

Guerra nas SombrasWoloszyn, AndréEditora Contexto

Sem lugar para se EsconderGreenwald, GlennEditora Sextante

Indicação de LivrosCertificação Security + - CompTIADiogenes, Yuri Editora Nova Terra

Trilhas em Segurança da Informação: Caminhos e ideias para a proteção de dadosCabral, Carlos e Caprino, Willian Editora Brasport

Indicação de Livros

Desvendando a Computação ForenseEleutério, PedroEditora Novatec

Perícia Forense: Aplicado à InformáticaFreitas, Andrey Editora Brasport

A Segurança transcende a Tecnologia

ISC2

GOVERNANÇA DE TI NA ADMINISTRAÇÃO PÚBLICA FEDERAL (2010)

GOVERNANÇA DE TI NA ADMINISTRAÇÃO PÚBLICA FEDERAL (2012)

GOVERNANÇA DE TI NA ADMINISTRAÇÃO PÚBLICA FEDERAL (2014)

• Operação Perestroika• Caso MSI / Corinthians

• Caso Isabella / Eloa• Informações na Mídia

• Caso Infoseg • Acesso ao sistema federal de segurança pública do País

Casos Policiais

Desafios da Segurança da Informação

•Pessoas

•Tecnologias

•Processos

Principais Erros das Organizações

• Atribuir apenas a área de Tecnologia à Segurança da Informação

• Planos de ação baseados na reatividade e não proatividade

• Não cultivar a mentalidade de Segurança da Informação na Organização

• Falsa Proteção

• Existência de estagiários e terceirizados em áreas importantes

• Descarte de Informações – Vazamento de Informações

• Falta de Segregação de Funções

Tríade da Segurança da Informação

• Confidencialidade

• Integridade

• Disponibilidade

Aspectos de Segurança da Informação

• Autenticação

• Legalidade

• Autorização

• Auditoria

• Relevância do Ativo

• Severidade / Criticidade

• Autenticidade

Ativos

• Tangíveis• Informações

• Intangíveis• Confiabilidade • Marca

• Lógicos • Dados, Sistemas, Rede de Dados

• Fisicos • Servidores, Switchs, Storage

• Pessoal• Empregados

Significado de Ameaça

s.f. Palavra, ato, gesto pelos quais se exprime a v ontade que se tem de fazer mal a alguém: discurso cheio de

ameaças. / Sinal, manifestação que leva a acreditar na possibilidade de ocorrer alguma coisa: ameaça de ch uva.

Aurélio On-Line

Significado de Vulnerabilidades.f. Caráter ou qualidade de vulnerável.

• Naturais• enchentes

• Voluntárias • invasão

• Involuntárias • falta de energia

Ameaças

AMEAÇAS exploram VULNERABILIDADES presentes nos ATIVOS,causando IMPACTOS no NEGÓCIO

INCIDENTE

• Fisicas

• Naturais

• Hardware

• Software

Vulnerabilidades

• Midias

• Comunicação

• Humanas

Vulnerabilidades: falhas que podem ser exploradas

Situação Atual

Maioria das falhas de segurança é causada por:

- Funcionários (24%)

- Crackers (20%)

Fonte Modulo Security

Situação Atual

Fonte Ernest & Young

• 88% - Precisam melhorar Segurança da informação

• 69% - Precisam aumentar o investimento em SI em até 50%

• 36% - Das organizações globais ainda não têm confiança na sua capacidade de detectar ataques cibernéticos sofisticados;

• Fontes mais prováveis de ataques cibernéticos são sindicatos do crime (59%), funcionários (56%) e hacktivistas (54%);

• Maiores ameaças Phishing (44% dos entrevistados) e Malware (43%)

Global Information Security SurveyA pesquisa foi realizada com mais de 1700 empresas em 67 países.

Medidas de Segurança

• Defesa em Profundidade – Defense in Depth

• Elo mais Fraco – Weakest Link

• Ponto de Estrangulamento – Choke Point

• Segurança através da Obscuridade – Security through Obscurity

• Simplicidade

• Privilégio Minimo – Least Privilege

Medidas de Segurança

• Preventivas - Politica de Segurança da Informação

• Detectáveis - Medidas de Monitoramento / Auditoria

• Corretivas - Plano de Recuperação de Desastres

Dificuldades Atuais

• Aumento da Exposição

• Convergência

• Leis, regulamentação

Exercícios

7 Pecados Capitais

Escreva políticas de segurança para “resolver” os Problemas detectados /apontados no texto.

Organização da Segurança da Informação

Organização da Segurança da InformaçãoMetas

• Viabilizar negócios e diminuir os riscos para a organização

• Conscientizar os colaboradores através da responsabilidade

• Implementar programa de segurança

• Não dificultar o desenvolvimento da empresa e/ou limitar seucrescimento.

Materiais

Fatores para Sucesso

• Autonomia

• Principio de Pareto • 80/20

• Buscar envolvimento e comprometimento da organização

• Equipe dedicada para a função

Gestão de Pessoas

Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência

de treinamentos.

Porque você treina macacos. Pessoas, você educa.

Roberto Cunha / FGV

Segurança da Informação é responsabilidade de todos.

Procedimentos Coorporativos

• Problemas de Turnover

• Contratação

• Desligamento

Ameaças mais complexas

“Engenharia Social é a ciência que estuda como o conhecimento docomportamento humano pode ser utilizado para induzir uma pessoa a atuar

segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicasde Engenharia Social são amplamente utilizadas por detetives (para obter

informação), e magistrados (para comprovar se um declarante fala a verdade).Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de

sistemas eletrônicos”.

Kevin Mitnick: “É um termo diferente para definir o uso de persuasão para influenciar as pessoas a

concordar com um pedido”

- Tipos - Confiança- Simplesmente Pedindo- Posso Ajudar ?- Simpatia- Intimidação- Análise de Lixo

Ex: Secretárias

Outras Ameaças

- Mídias Sociais

- APP de Relacionamentos

- TeleListas

- Currículos On-line

- TudosobreTodos, etc..

Modulo Security – Jogo da Segurança da Informação

Segurança Físicae

Operacional

O que deve ser protegido ?

• Data Center

• Documentos

• Conexões Externas

• Colaboradores

Mecanismos de Proteção

• Proteção Perimetral• Barreiras Fisicas• Iluminação• Alarmes de Intrusão• Identificação• Monitoramento Remoto

• Sensores de Presença • Materiais usados nas paredes • Portas / Janelas• Guaritas• Pontos de Controle de Acesso

Defesa Perimetral

Mecanismos de Proteção• Sistemas de Suporte e Abastecimento

• Problemas de Fornecimento de Energia e/ou Água

• Ventilação

• Proteção contra Incêndios

• Mídias de Armazenamento

• Controle de Equipamentos

Autorização / Autenticação

• Tokens

• Certificado Digital

• Senhas

• Biometria

O que o você sabe + O que você tem + O que você é

Exercícios

Pesquisa uma solução de autenticação interessante queestá disponível/uso no Mercado

Classificação de Informações

- Secreta– vital para a organização, estratégico

- Confidencial– restrita aos limites da organização, processo

- Interna– acesso deve ser evitado, ramais

- Pública– informação que pode ser divulgada abertamente

Classificação das Informações

Exemplos

Obs: No governo existe a classificação de Ultra-Secreto – Lei 12.527

Política de Classificação da Informação

•Need–to–know

•Least privilege

Classificação e Desclassificação

• Classificação• Atribuir nível de proteção

• Reclassificação• Alterar nível de proteção

• Desclassificação• Remover nivel de classificação

• Duração

Classificação de Informações

Política de Classificação de Informações é um documento que define a necessidade de :

• Níveis de Classificação / Duração

• Controles de Classificação

• Reclassificação

• Papeis e Responsabilidades

• Referência aos procedimentos e instruções

Proteção de Dados

• Criptografia

• Esteganografia

• Backups

• Sistemas Redundantes

• Controle de Acesso

Proteção Física

• Controle de Acesso Fisico

• Cofres

• CFTV / Monitoramento

• Transporte Seguro

RioOffSite Iron Mountain SafeSolut

Controles Administrativos

• Politica

• Revisão e aprovação

• Separação de tarefas

• Monitoramento

Rotulação

• Documentos Impressos

• Arquivos Eletrônicos

• E-mails

• Aplicativos

• Mídias

Controle de Acesso

• Acesso Lógico ( DAC, MAC, RBAC)

• Acesso Físico (SmartCard, Tokens, Biometria)

Manuseio / Armazenamento / Transporte / Descarte

• Documentos impressos• Documentos eletrônicos• Mídias

Vídeo 1 Vídeo 2 Vídeo 3

Auditoria e Monitoramento

• Monitoramento Periódico

• Aspectos de Auditoria

Exercícios

Esteganografia

- Atividade 1 - Pesquisar um Caso Real- Atividade 2 - Selecionar uma ferramenta e realizar um teste prático

Documento em pdf, contendo o caso escolhido e o funcionamento da ferramenta

Referências- http://www.idgnow.com.br

- http://www.modulo.com.br

- http://www.issabrasil.org

- http://www.securityreview.com.br

- http://www.isc2.org

- http://www.pppadvogados.com.br

- http://www.clavis.com.br

- http://bsibrasil.com.br

-http://www.planalto.gov.br ccsm@utfpr.edu.br