Os Grandes Desafios em Segurança da Informação
-
Upload
ish-tecnologia -
Category
Technology
-
view
1.865 -
download
1
description
Transcript of Os Grandes Desafios em Segurança da Informação
Os Grandes Desafios em Segurança da
Informação e Como Superá-losInformação e Como Superá-los
UCL – Semana Nacional de Ciência e Tecnologia
Vitória/ES, 19 de Outubro de 2009.
Agenda
�Conceitos
�O que, de quem, como proteger?
�História
�Demandas
�Novos negócios�Novos negócios
�Desafios
�Tecnologias
�Pessoas e Processos
Evolução da TIC
� 1ª. Revolução – Década de 60
�Grandes Centros de Processamento de Dados
� 2ª. Revolução – Década de 70
� Terminais Remotos
� 3ª. Revolução – Década de 80
�PC, Redes de Computadores
� 4ª. Revolução – Década de 90
�Downsizing , Massificação da Internet
� 5ª. Revolução – Década de 2000
�Computação Móvel, Cloud Computing, Virtualização
História da Segurança da Informação
� 30000 AC - Ancestrais usavam sinais para marcar moradias e identificar tribos
� 2700 AC – Hieróglifos egípcios
� 1200 AC – Guerra de Tróia
� 1891 DC – Datiloscopia: DAKTILOS = dedos + SKOPEIN = examinar= dedos + SKOPEIN = examinar
� 1918 DC – Máquina de criptografia Enigma
� 1986 DC – Computer Fraud andAbuse Act é a primeira lei que tipifica crimes de computador
� 2002 DC – Sarbanes Oxley (SOX)
� ...
Carlos Eduardo Brandão
O que proteger?
�Ativos ou Recursos de TIC:
�sm 1 Acervo de uma casa comercial. 2 Capital em
circulação.
�sm pl 1 Bens materiais, dinheiro, haveres, fortuna.
�Premissas de segurança (CIA)�Premissas de segurança (CIA)
Do que proteger?
� Adulteração
� Invasão para a “pichação” de sites WEB
� Alteração de informações em bancos de dados
� Interrupção
� DoS e DDoS
� Interceptação
� Roubo de senhas� Roubo de senhas
� Monitoramento de transações comerciais
� Falsificação
� IP Spoofing
De quem proteger?
�Perfil dos Invasores:
�Hackers – status e projeção pessoal, ataques não-destrutivos.
�Crackers – destruição e/ou danos irreparáveis.
�Terroristas – danos que acarretem em ganhospolíticos.políticos.
�Invasores Internos – objetivos de ganhosfinanceiros ou vingança
�Criminosos Profissionais – objetivos comerciaisfinanceiros pessoais.
Como proteger?
� A Segurança da Informaçãobaseia-se em:
� Pessoas:
� Cultura
� Capacitação
� Processos:
� Sistemas de Gestão de Segurança da Informação PessoasPessoasSegurança da Informação
� Plano de Continuidade dos Negócios
� Plano de Recuperação de Desastres
� Ferramentas:
� Software
� Hardware
� Serviços
PessoasPessoas
ProcessosProcessos
FerramentasFerramentas
Demanda dos Negócios
�Globalização
�Parcerias, Fusões e Aquisições
�Terceirização
�Compartilhamento de Recursos
�Integração
�Velocidade
�Custo x Benefício
�Conformidade Legal
CLOUD COMPUTINGCLOUD COMPUTING
Cloud Computing
� Modelo no qual a computação
está em algum lugar da rede e é
acessada remotamente, via
Internet.
� Cloud computing is a model for
enabling convenient, on-demand enabling convenient, on-demand
network access to a shared pool
of configurable computing
resources that can be rapidly
provisioned and released with
minimal management effort or
service provider interaction.
Desafios Cloud Computing
Caracterísiticas:
� On-demand self-service
� Redes de banda larga
� Pool de recursos
Desafios
� Complexidade e Diversidade
� Replicação de Informações
� Controle de Acesso� Pool de recursos
compartilhado
� Independência geográfica
� Elasticidade
� Serviços mensuráveis
� Controle de Acesso
� Auditoria
� Regulamentação
� SLA – Service Level
Agreements
� Implementações
Proprietárias
Superando os Desafios do Cloud Computing
� Arquitetura: Private Clouds x Public Clouds
� Criptografia (Armazenamento e Transmissão)
� Virtualização:
� Padronização, distribuição, provisionamento e controle seguro de
máquinas virtuais
� Configuração e operação segura de máquinas virtuais
� Controle de acesso (SaaS, PaaS, IaaS)
� Planos de Contingência e Recuperação de Desastres
� Atendimento a regulamentações (SOX, HIPAA, PCI)
� Contratos consistentes com ISP/ASP
� Escolha de bons fornecedores (ISP/ASP)
� Auditorias externas periódicas
� SLA adequado ao negócio e medido constantemente
COMPUTAÇÃO MÓVELCOMPUTAÇÃO MÓVEL
Desafios da Computação Móvel
Características
� Portabilidade
� Mobilidade
� Disponibilidade
� Energia
Desafios
� Mudança de Paradigma:� Ontem:
Segurança x Conectividade
� Hoje:
x� Energia
� Interface
� Segurança
Conectividade x Segurança
� Conformidade
� Rastreabilidade
� Diversidade de dispositivos
e tecnologias
� Roubo de informações
Controle de Acesso
� O controle de acesso físico e lógico às informações torna-se cada vez mais difícil:� Falhas de configuração e administração de hw e sw
� Falhas de padrões e implementação de protocolos
� Diversidade de tecnologias e múltiplos caminhos de acesso: � Bridges 802.11 a/b/g – WPA/WPA2, WEP
� Citrix Metaframe, Tarantela, Terminal Services
� SSL-VPN� SSL-VPN
� Complexidade das Aplicações
� Ampla distribuição das informações em locais distintos
� Autenticação
� Uso restrito da criptografia
� Cultura
� Engenharia social
Redes Wireless
� Fraquezas das implementações Wireless:� MAC spoofing e session hijacking - http://www.klcconsulting.net/smac/
� Smurf, DHCP Spoofing, ARP Spoofing e DNS Spoofing
� Wired Equivalent Privacy (WEP)� Chaves de tamanho fixo e compartilhada.
� Criptografia fraca (RC4).
� Quebrado em 2001 - http://www.tomsnetworking.com/Sections-article118-page1.php
� Wi-Fi Protected Access (WPA)� TKIP-Temporal Key Integrity Protocol , 802.1x, MAC� TKIP-Temporal Key Integrity Protocol , 802.1x, MAC
� Ataques de dicionário (quando usado Pre-Shared Key)
� Melhorias no WPA:� WPA2: substituição do RC4 (stream) por AES (block)
� Preocupações Futuras� Hoje: notebooks ligados em portas de switch na rede.
� Amanhã: gateways wireless que proverão backdoors.
Wardriving & Warchalking
Superando os Desafios da Computação Móvel
� Wireless:� Implementar WPA2
� Selecionar adequadamente faixas de frequência e monitorar acessos
� Usar tecnologias atuais: IEEE 802.11n
� Isolar a rede wireless via Firewalls e IPS
� Autenticar e controlar acessos via IEEE 802.1x
� VPN/SSL-VPN/Terminal Services:
� Autenticação forte (baseada em dois fatores)
� Políticas de acesso a rede
� Adotar soluções para Conformidade e Confidencialidade:
� NAC – Network Access Control
� DLP – Data Loss Prevention
Server
Desktop
Guest
Wireless
Router
Switch
Policy Manager
LAN Enforcer
DHCP Enforcer
On-DemandPolicy Manager
Conformidade e Controle de Acesso a Rede
802.1x Enforcement
CompliantNon-CompliantRemediationGuest Access
Gateway Enforcement
Compliant
Personal Firewall On
Anti-Virus Updated
Anti-Virus On
StatusHost Integrity Rule
Personal Firewall On
Anti-Virus Updated
Anti-Virus On
StatusHost Integrity Rule
Non-Compliant
GatewayEnforcerRadius
Remediation
DHCP
Applications
Router
Hackers
Kiosk
Mobile User
Telecommuter
Partner
Thieves
IPSEC VPN
SSL VPN
Password
Token
User Name
StatusEAP
Patch Updated
Service Pack Updated
Personal Firewall On
Anti-Virus Updated
Anti-Virus On
StatusHost Integrity Rule
Password
Token
User Name
StatusEAP
Patch Updated
Service Pack Updated
Personal Firewall On
Anti-Virus Updated
Anti-Virus On
StatusHost Integrity Rule
Patch Updated
Service Pack Updated
Personal Firewall On
Patch Updated
Service Pack Updated
Personal Firewall On
PESSOAS E PROCESSOSPESSOAS E PROCESSOS
Controles, Controles e Mais Controles...
End Point Security
Firewall
Virtual Private Network
Controle de Conteúdo
IPS/IDS
UsuárioProfissional de TI
Dmz
Wan
filialfilial filial
Internet
Corporate LAN
IPS/IDS
Controle de Acesso
Correlação de Eventos
Criptografia
Controle Remoto
Servidores e Storage
Roteadores e Switches
DLP
Pessoas e Processos
Características
� Pessoal interno com maior
foco no negócio da empresa
� Especialização nos serviços
Desafios
� Operação e suporte em
ambientes complexos
� Rotatividade de mão-de-
obra� Monitoração de eventos de
segurança
� Rapidez na resposta a
incidentes
� Disponibilidade 24 x 7
� Monitoramento Pró-Ativo e
Preventivo
obra
� Qualificação profissional
� Educação para a segurança
da informação
� Gestão de pessoas
� Otimização de processos
� Melhoria contínua de
processos
Superando os Desafios de Pessoas e Processos
� Foco em PESSOAS!
� Estabelecer, Manter e Melhorar a Segurança da Informação por meio de
um SGSI – Sistema de Gestão da Segurança da Informação, conforme
ISO17799/ISO27001
� A elaboração de processos deve ser norteada por educação e cultura do
usuário e profissional de TI:
� Ampla divulgação
� Ciclos de palestras� Ciclos de palestras
� Capacitação da equipe técnica
� Interação com usuários
� Medição e Acompanhamento
� Promover a figura do Security Officer
� Promover interação entre departamentos:
� TIC, RH, Jurídico
� Qualificação Multi-disciplinar do profissional de TIC
Ciclo de Vida de Sistemas de Gestão
1. Definir a Política
� Requisitos do Negócio e Mercado
� Objetivos de Segurança
� Gestão de Riscos
2. Avaliar a Conformidade à Política
� Analisar o Ambiente
� Revisar os Controles
3. Implantar a Política
� Instalar Controles
� Integrar Controles� Integrar Controles
� Educar
4. Gerenciar a Conformidade
� Monitorar Eventos
� Manter o Ambiente
5. Responder
� Restaurar
� Remediar
� Melhororar
Política
Mercado de Trabalho do Profissional de TI
� Características do Mercado de
Trabalho:
� Ampla expansão e forte
demanda por profissionais de
Segurança
� Remuneração acima da média
� Deve possuir conhecimentos em
diversas áreas:
� Segurança para Infra-estrutura:
� Sistemas Operacionais
� Redes TCP/IP
� Armazenamento e Backup� Remuneração acima da média
em TI
� Alto nível de especialização
� Previsão do aumento da
demanda
� Tipos de Oportunidade:
� Consultoria e Assessoria
� Administração e Operação
� Suporte
� Armazenamento e Backup
� Segurança de Aplicações
� Desenvolvimento de Sistemas
� Banco de Dados
� Best-practices de Segurança
� Gestão da Segurança
� Visão Sistêmica
� Organização e Processos
� Padrões e Regulamentações
Perfil dos Profissionais
� São Paulo (35%), Rio de Janeiro (15%), Distrito
Federal (10%) e Minas Gerais (8%).
� A faixa etária mudou:
�Antes: sênior entre os 41 e 50 anos (18%)
�Agora: 23 e 27 anos (22%) e entre 28 e 32 anos (20%)
� Empresas privadas (68%) voltadas para os setores de
Serviços, Tecnologia e Indústria.
� Características Pessoais:
� Sigilo (41%), Integração Inter-Equipes (31%) e
Cumprimento de Normas (14%)
ISH Highlights
o Negócio: Fornecimento de soluções integradas de Segurança e Infra-estrutura
o 13 anos no mercado de Segurança e Infra-estrutura de Tecnologia da Informação
o Desde sua fundação com o mesmo “Core Business”
ImplantarAvaliar
mesmo “Core Business”
o Escritórioso Vitória, ESo São Paulo, SPo Brasília, DFo Belo Horizonte, MG
Responder Gerenciar
Parceiros tecnológicos
Serviços ISH
�Quadrantes:
�AVALIAR
� IMPLANTAR
�GERENCIAR
�Modalidades:
�Assessoria
�Consultoria
� Suporte
�RESPONDER � Serviços Gerenciados
�Outsourcing
�Diferenciais:
�Qualificação Técnica
�Compromisso com o
Cliente
� Estrutura
ImplantarAvaliar
ResolverGerenciar
Prêmio ISH Tecnologia 2010
� Objetivo:
� Promover e estimular o desenvolvimento de profissionais no
segmento de Segurança da Informação
� Meta:
� Construir solução para promover o rastreamento e/ou monitoramento
centralizado e remoto da Segurança da Informação, utilizando
ferramentas open source ou de mercadoferramentas open source ou de mercado
� Premiação:
� Estágio de 6 meses na ISH Tecnologia e Notebook
Contatos
Carlos Eduardo BrandãoDiretor Técnico
[email protected]://twitter.com/ishtecnologia
Av. Engenheiro Luis Carlos Berrini, 828 conj. 41
Brooklin – 04571-010 – São Paulo, SP
Tel.: 55 11 5503 8501 – Fax: 55 11 5505 2658
Av. Nossa Senhora da Penha, 387, 6º andar
Praia do Canto – 29055-131 – Vitória, ES
Tel.: 55 27 3334 8900 – Fax: 27 3334 8905