Italo Valcy Seg e Auditoria de SI, 2013.1

MATC99 – Segurança e Auditoria de Sistemas de Informação

Italo Valcy <italo@dcc.ufba.br>

Conceitos de Segurança da Informação

Italo Valcy Seg e Auditoria de SI, 2013.1 2 / 7

O que é segurança da Informação

Importância da informação:

A informação representa valor e,

consequentemente, contribui diretamente

para a geração de lucro.

Segurança da Informação:

Processo de proteção das informações e ativos digitais armazenados em computadores e redes

de processamento de dados.

Italo Valcy Seg e Auditoria de SI, 2013.1 3 / 7

Importância da informaçãoWikiLeaks

Italo Valcy Seg e Auditoria de SI, 2013.1 4 / 7

O que são ativos?

Elementos aos quais a organização atribui valor e portanto requerem

proteção.

Italo Valcy Seg e Auditoria de SI, 2013.1 5 / 7

O que são ativos?

Exemplos:

Informações impressas ou digitais

Hardware

Imagem de um Empresa

Confiabilidade de um Órgão Federal

Marca de um Produto

Software / Aplicação web

Italo Valcy Seg e Auditoria de SI, 2013.1 6 / 7

Princípios da Segurança da Informação

Confidencialidade

Integridade

Disponibilidade

Autenticidade

Italo Valcy Seg e Auditoria de SI, 2013.1 7 / 7

Controle

Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.

Também usado como sinônimo para proteção ou contramedida

Italo Valcy Seg e Auditoria de SI, 2013.1 8 / 7

Eventos e Incidentes de Segurança

Segundo [Scarfone et al. 2008] um evento é qualquer ocorrência observável em um sistema ou na rede

Ex: usuário que inicia de uma sessão SMTP, servidor web que recebe requisição HTTP, etc.

Já um evento adverso é aquele que tem consequência negativa para a instituição

Ex: flooding de pacotes na rede, uso não autorizado de sistemas, etc.

Italo Valcy Seg e Auditoria de SI, 2013.1 9 / 7

Ameaças

Ameaças são causas potenciais de incidentes não esperados, os quais talvez resultem em danos para

aos ativos da organização. Exploram falhas de segurança.

Naturais: Fenômenos da natureza

Intencionais: propositais

Involuntárias: Perigos trazidos pela ignorância por usuários não treinados ou falta de atenção

Italo Valcy Seg e Auditoria de SI, 2013.1 10 / 7

Vulnerabilidades

Fragilidades presentes ou associadas a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite a

ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios

da segurança da informação.

Italo Valcy Seg e Auditoria de SI, 2013.1 11 / 7

Tipos de vulnerabilidades

Físicas

Salas do CPD mal planejadas, falta de extintores, vazamentos, instalações fora do padrão.

Naturais

Incêndios, enchentes, terremotos, tempestades, falta de energia, acúmulo de poeira, etc.

Hadware

Desgaste, má utilização, falha nos recurso tecnológicos, etc.

Italo Valcy Seg e Auditoria de SI, 2013.1 12 / 7

Tipos de vulnerabilidades

Software

Erros de configuração, erros de instalação, perda de dados, indisponibilidade de recursos.

Mídia

Discos, fitas, relatórios e impressos podem ser perdidos ou danificados.

Comunicação

Acessos não autorizados ou perda da comunicação.

Italo Valcy Seg e Auditoria de SI, 2013.1 13 / 7

Tipos de vulnerabilidades

Humanas

Falta de treinamento, erros ou omissões, sabotagens, greve, vandalismo, roubo, etc.

Italo Valcy Seg e Auditoria de SI, 2013.1 14 / 7

Risco

Probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de

confidencialidade, integridade e disponibilidade, causando possivelmente, impactos nos

negócios.

Italo Valcy Seg e Auditoria de SI, 2013.1 15 / 7

Análise de riscos

Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos

A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos

Italo Valcy Seg e Auditoria de SI, 2013.1 16 / 7

Medidas de segurança

São as práticas, os procedimentos e os mecanismos usados para a proteção da

informação e seus ativos, que podem impedir que ameaças explorem vulnerabilidades.

Preventivas

Corretivas

Monitoramento

Italo Valcy Seg e Auditoria de SI, 2013.1 17 / 7

Medidas preventivas

São medidas que tem como objetivo evitar que incidentes venham a ocorrer.

Italo Valcy Seg e Auditoria de SI, 2013.1 18 / 7

Medidas preventivas

Exemplos:Políticas de Segurança;

Instruções e procedimentos de trabalho;

Campanhas e palestras de conscientização de usuários;

Ferramentas como firewall, antivírus, etc

Italo Valcy Seg e Auditoria de SI, 2013.1 19 / 7

Medidas de monitoramento

Visam identificar condições ou indivíduos causadores de ameaças, a fim de evitar que as mesmas explorem vulnerabilidades.

Italo Valcy Seg e Auditoria de SI, 2013.1 20 / 7

Medidas de monitoramento

Exemplos:análise de riscos;

sistemas de detecção de intrusão;

alertas de segurança;

câmeras de vigilância, alarmes, etc...

Italo Valcy Seg e Auditoria de SI, 2013.1 21 / 7

Medidas corretivas

Correção de uma estrutura tecnológica e humana para que as mesmas se adaptem às condições de segurança estabelecidas pela instituição, ou voltadas à redução dos impactos;

Italo Valcy Seg e Auditoria de SI, 2013.1 22 / 7

Medidas corretivas

Exemplos:

equipes para emergências, restauração de backup;

Plano de continuidade operacional;

Plano de recuperação de desastres;

etc

Italo Valcy Seg e Auditoria de SI, 2013.1 23 / 7

Grupos de Segurança – Cert.br

Centro de Estudo, Resposta e Tratamento de Incidentes de Segurança no Brasil

Mantido pelo NIC.br (Núcleo de Informação e Coordenação do Ponto BR)

Atua como um ponto central para notificações de incidentes de segurança no Brasil.

Coordena e o apóia o processo de resposta a incidentes.

Trabalho de conscientização sobre os problemas de segurança e análise de tendências.

Italo Valcy Seg e Auditoria de SI, 2013.1 24 / 7

Grupos de Segurança – Cert.br

Italo Valcy Seg e Auditoria de SI, 2013.1 25 / 7

CERT.br - Estatísticas

Italo Valcy Seg e Auditoria de SI, 2013.1 26 / 7

CERT.br - Estatísticas

Italo Valcy Seg e Auditoria de SI, 2013.1 27 / 7

Na UFBA

CERT.Bahia :: Grupo de Resposta a Incidentes de Segurança – Bahia/Brasil

Italo Valcy Seg e Auditoria de SI, 2013.1 28 / 7

CERT.Bahia

CSIRT (Grupo de Resposta a Incidentes de Segurança)

Missão:Auxiliar as instituições conectadas ao POP-BA/RNP na prevenção, detecção e tratamento dos incidentes de segurança, além de criar e disseminar boas práticas para uso e administração seguros das Tecnologias de Informação e Comunicação (TIC).

Italo Valcy Seg e Auditoria de SI, 2013.1 29 / 7

CERT.Bahia – Serviços

Palestras / Treinamentos / Documentação

Campanhas de Segurança:

Campanha DNSSEC

Campanha de segurança nas Instituições

Piloto para armadilha de SPAM

...

Sensores para monitoramento e alerta de incidentes de segurança

Italo Valcy Seg e Auditoria de SI, 2013.1 30 / 7

CERT.Bahia – Estatísticas

Italo Valcy Seg e Auditoria de SI, 2013.1 31 / 7

Referências

Dócea, Marcos – UFS. Conceitos em Segurança da Informação. Slides

Sêmola, Marcos. A Importância da Gestão da Segurança da Informação. Slides.

Guia de Referência Sobre Ataques Via Internet. Febraban. 2000.