Felipe Pereira da Silva

2011

Segurança da Informação

Política de Segurança

Política de Segurança

A segurança de uma rede de computadores não se resume apenas à utilização de dispositivos físicos que tentam impedir que estas sejam atacadas ou invadidas, mas também de que forma os dispositivos serão empregados, quem terá acesso aos recursos e como devem ser acessados.

Política de Segurança

Segundo a norma ISO/IEC 17799:“Objetivo: Prover uma orientação e apoio da

direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.”

Política de Segurança

As políticas de segurança são compostas de um conjunto de regras e padrões sobre o que deve ser feito para assegurar as informações e serviços importantes.

Tem como propósito, fornecer orientação e apoio às ações de gestão de segurança. Assim, ela assume uma grande abrangência, dividida em:Diretrizes (camada estratégica);Normas (camada tática);Procedimentos e instruções (camada

operacional).

Política de Segurança

Diretrizes:Precisam expressar a importância que a

empresa dá para a informação, além de comunicar aos funcionários seus valores e seu comprometimento em adicionar segurança à sua cultura organizacional.

Este instrumento deve expressar as preocupações dos executivos e definir as linhas de ação que orientarão as atividades táticas e operacionais. Um exemplo de diretriz seria:

Salvaguardar as informações classificadas como confidenciais.

Política de Segurança

Normas:Detalham situações, ambientes, processos

específicos além de fornecerem orientação para o uso adequado das informações, evidenciando assim o seu caráter tático.

O volume de normas aplicáveis tende a ser proporcional ao porte da empresa, à heterogeneidade de seus ativos físicos, tecnológico e humanos, além do grau de detalhamento necessário para levar a empresa a trabalhar sob um nível de risco adequado. Ex. de normas:

Norma para admissão de funcionários;Norma para criação e manutenção de

senhas.

Política de Segurança

Procedimentos:São as descrições detalhadas de cada ação

e atividade associada a cada situação de uso das informações. Devido à natureza detalhada deste componente da política de segurança da informação, pressupõe-se a necessidade de manutenção freqüente.

Um exemplo deste componente seria o procedimento e as instruções para descrever os passos necessários para se criptografar uma informação confidencial.

Política de Segurança

Como elaborar uma política de segurança da informação?

Envolve basicamente dois passos, são eles:Definição de um escopo;Identificação de contra quem está sendo

protegidaAvaliação de risco que envolverá a

análise de risco.

Política de Segurança

Definição do Escopo:Deve ser claramente definido. Além disso, é

preciso entender exatamente o que precisa ser protegido, estando além do hardware e do software, abordando também os processos de negócio.

Os seguintes elementos precisam ser considerados:

Hardware: estações, servidores, switch etc.Software: programas fonte, utilitários etc;Dados: banco de dados, backup etc;Documentação: de programas, hardware,

sistemas etc;Processos do negócio;Metas de negócio.

Política de Segurança

Identificação da AmeaçaCompreende os seguintes aspectos:

Acesso não autorizado ao ativos;Revelação não autorizada de

informações;Bugs de sistemas e erros de usuários.

Levam-se em consideração, nesta análise, vários aspectos relacionados à segurança dos dados, backup, propriedade intelectual e resposta a incidente, listados na tabela do próximo slide.

Mitos de Segurança

• "Eu tenho um software antivírus - ele é tudo o que preciso"

• Este é o mito mais comum da Internet. – A proteção de um antivírus é importante e necessária;– Apenas esse software não é suficiente. Novos vírus

aparecem todo o tempo. Precisa-se atualizar regularmente as assinaturas;

– Software antivírus apenas protege que vírus infectem o seu sistema;

– Recomenda-se a utilização de outros softwares adicionais, como por exemplo um personal firewall.

Mitos de Segurança

• "Não há nada no meu computador que um cracker queira"

• Crackers estão interessados em informações pessoais armazenadas no computador.– Números do CPF e da conta bancária para realizar

compras fraudulentas;

– O roubo de identidade (fraud theft) é o crime de colarinho-branco que mais cresce nos EUA;

– Qual o usuário que, mesmo não realizando nenhuma transação financeira no computador, não possui um arquivo em seu disco rígido chamado de “currículo”?

Mitos de Segurança

• "Somente as grandes corporações e não os usuários domésticos são alvos dos crackers"

• Os crackers geralmente estão procurando presas fáceis e um computador doméstico é muito mais simples de ser invadido do que uma rede corporativa.– Os invasores se infiltram nesses sistemas usando

ferramentas disponíveis on-line;– As conexões de banda larga são vulneráveis porque

possuem um endereço estático sempre ativo que pode ser acessado com facilidade e pode levar um tempo até que a vítima perceba que foi invadida.

Mitos de Segurança

• "É preciso muito conhecimento técnico para ser um cracker"

• Ao contrário da crença popular, não precisa ser um gênio para invadir um computador.– Na prática é preciso bem pouco conhecimento técnico, já

que qualquer mecanismo de busca listará vários sites ao se procurar palavras como "ferramentas hacking"

• www.thenetworkadministrator.com/2003MostPopularHackingTools.htm

– As ferramentas já estão disponíveis e em poucos minutos pode-se fazer o download delas. Para se ter uma idéia, elas já possuem até instruções de uso!

Mitos de Segurança

• "Meu Provedor de Serviços de Internet me fornece proteção (de antivírus e/ou firewall) quando estou on-line."

• Os ISPs (Provedores de Serviços de Internet) raramente fornecem uma proteção abrangente.– Mesmo que o seu ISP forneça uma certa

proteção, você deve instalar os softwares de segurança em seu computador.

• Por que? Quando você está on-line também fica vulnerável ao fazer um download de um vírus, porque, provavelmente, o seu ISP só verifica os e-mails. Isto não o protege se você de fazer um download de vírus.

Mitos de Segurança• "Eu uso conexão discada, não preciso me preocupar

com crackers"• O endereço aleatório de acesso faz com que os usuários de

conexão discada tenham uma falsa sensação de segurança, mas isso não faz com que eles não sejam localizados.

• Se um hacker que conseguir invadir o seu sistema pode instalar trojan horses que lhe permite localizar seu endereço IP cada vez que você ficar on-line;

– O cavalo de Tróia dispara um "sinalizador" que diz: "Ei, estou aqui, pode vir me pegar". Portanto, ele sabe que você está on-line e vulnerável.

• Também é possível pegar um cavalo de Tróia através de um vírus de e-mail ou ao fazer o download de um arquivo infectado. Se você instalar um trojan, não faz diferença se a sua conexão é discada ou banda larga.

Mitos de Segurança

• "Eu tenho um Macintosh"• Os usuários de computadores Macintosh (Mac) se

sentem a salvo porque a maioria dos vírus tem como alvo preferencial as plataformas Windows.– "Um computador é um computador. Não importa qual

plataforma se usa, procuram-se portas abertas."– Várias ferramentas hacking específicas para Mac já

estão disponíveis na internet.• O novo OS X foi baseado em Unix e as ferramentas

hacking disponíveis para os usuários Unix agora são aplicáveis ao Mac.

Estatísticas – Total de Incidentes

www.cert.br

Estatísticas – Tipos de ataques

www.cert.br

Estatísticas – Tipos de ataques

www.cert.br

Número de incidentes por dia da semana

www.cert.br