Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Segurança da Informação – Aula 18
Profa Janniele Aparecida Soares Araujo
CSI462 – Sistemas de Apoio à Decisão
2
Segurança da Informação
● A Importância da Informação● Possuir informação é ganhar agilidade, competitividade, previsibilidade, dinamismo.
● Indivíduo● Aumento da gasolina● Precipitação de chuva● Promoção da passagem aérea● Queda da Bovespa● ...
● Empresa● Discurso do presidente● Valorização do Petróleo● Tendências tecnológicas● Oscilação da taxa de juros● ...
3
Segurança da Informação
● Contextualizando...● Um computador conectado à Internet sem firewall ou antivírus pode
ser danificado em segundos● E se for um computador corporativo com dados confidenciais...
http://globaltechconsultants.org/?q=content/what-difference-between-virus-worm-trojan-and-rootkit
4
Segurança da Informação
● Contextualizando...● Acidentes e ataques podem dizimar todos os dados de uma empresa
que não investe em segurança da informação
5
Segurança da Informação
● Internet das Coisas (IoT) impactará o modo como interagimos com o mundo à nossa volta.
● Bilhões de "coisas" conversando umas com as outras: de TVs, geladeiras e carros a medidores inteligentes, monitores de saúde e dispositivos vestíveis (wearables).
● Os dados transmitidos pela IoT formarão uma representação gráfica de cada um de nós. O grande desafio será proteger essas informações.
6
Internet das Coisas (IoT) e os Desafios de Segurança
Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas
7
Internet das Coisas (IoT) e os Desafios de Segurança
Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas
8
Internet das Coisas (IoT) e os Desafios de Segurança
Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas
9
Internet das Coisas (IoT) e os Desafios de Segurança
Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas
10
Segurança da Informação
“Segurança da Informação é adotar controles físicos, tecnológicos e humanos personalizados, que viabilizem a redução e administração
dos riscos, levando a empresa a atingir o nível de segurança adequado ao seu negócio.” Marcos Sêmola
11
Segurança da Informação
● Em segurança da informação três aspectos importantes se destacam● Confidencialidade: capacidade de um sistema de permitir que
alguns usuários acessem determinadas informações ao mesmo tempo em que impede que outros, não autorizados, a vejam.
● Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida.
● Disponibilidade: a informação deve estar disponível para todos que precisarem dela para a realização dos objetivos empresariais.
12
Segurança da Informação
● Outros aspectos● Autenticação: garantir que um usuário é de fato quem alega ser.● Não-repúdio: capacidade do sistema de provar que um usuário
executou uma determinada ação.● Legalidade: garantir que o sistema esteja aderente à legislação
pertinente.● Privacidade: capacidade de um sistema de manter anônimo um
usuário, impossibilitando o relacionamento entre o usuário e suas ações (exe.: sistema de voto)
● Auditoria: capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataques.
13
Segurança da Informação
● Quando falamos em segurança da informação, estamos nos referindo a tomar ações para garantir os aspectos da segurança das informações dentro das necessidades do clientes.
● Um incidente de segurança é a ocorrência de um evento que possa causar interrupções nos processos de negócio em consequência da violação de algum aspecto de segurança.
14
Segurança da Informação
● Vulnerabilidades e uso indevido dos SI● SI's são vulneráveis pois o acesso aos seus dados no formato
eletrônico é feito através de redes, que podem sofrer ataques em qualquer um dos pontos de acesso à ela
Cliente(usuário)
● Acesso não autorizado● Erros
Servidores corporativos
● Ciberpirataria● Vírus e worms● Roubo e fraude● Vandalismo● Ataques de recusa de serviço
Linhas de comunicação
● Escuta clandestina● Sniffing (farejamento)● Alteração de mensagem● Roubo e fraude● Radiação
Banco de dados
Sistemas Corporativos
● Roubo, cópia e alteração de dados● Falha de hardware e de software
HardwareSistemas Operacionais
Software
Figura: Vulnerabilidaes e desafios de segurança contemporâneos. Fonte: Laudon e Laudon 9a ed.
15
Segurança da Informação
● Vulnerabilidades e uso indevido dos SI● Atacantes● Possíveis ataques
● Técnicas e ferramentas utilizadas
● Objetivo: mostrar que a preocupação com segurança é essencial para continuidade do negócio
16
Segurança da Informação
● Software mal-intencionado● Programas de software mal-intencionados são designados malware● Vírus
● Se anexa a outros programas ou dados a fim de serem executados sem a permissão do usuário
● Quando executado, pode realizar diversos estragos: formatar o disco, entupir a memória, impedir a inicialização
● São transmitidos na cópia de arquivos infectados
17
Segurança da Informação
● Software mal-intencionado● Worms
● Programas que se reproduzem automaticamente pela rede● São executados automaticamente e são tão devastadores quanto os vírus
18
Segurança da Informação
● Software mal-intencionado● Cavalo de Troia
● Software que parece benigno, mas depois faz algo diferente do esperado● Termo se refere ao cavalo de madeira usado pelos gregos para invadir Troia com
guerreiros escondidos● Geralmente serve de porta de entrada para outros malwares
19
Segurança da Informação
● Software mal-intencionado● SQL injection
● Código SQL é inserido em formulários e para gerar comandos prejudiciais ao Banco de Dados. Ex.:● USER: jo’; DROP TABLE clientes; --● PASS: 1234● Gera o seguinte comando no BD
SELECT user, pass
FROM clientes
WHERE user = ‘jo’; DROP TABLE clientes ; --'
AND pass = ‘1234';
20
Segurança da Informação
● Software mal-intencionado● Spyware
● Programas que instalam-se no computador do usuário e monitora suas atividades a fim de usar as informações para marketing
● Key loggers● Categoria de spyware que registra as teclas pressionadas para detectar senhas de
usuários
21
Analisando Impactos e Calculando Riscos
● Alguns exemplos de vírus● Beijing: no 129o boot e a cada 6o boot, a tela apresenta a mensagem “Bloody June 4 1989”,
menção ao massacre ocorrido na Praça da Paz Celestial em Pequim● Dark Avenger: vírus identificado inicialmente em 1989 com a intenção de infectar
arquivos .com, .exe e .ovl, é um vírus destrutivo que encolhe aleatoriamente áreas do disco rígido cujos dados são apagados gradativamente
● Melissa: aparição em 1999, infecta documentos do Word e envia cópias de arquivos infectados aos 50 primeiros endereços do diretório do outlook
● Conficker: aparição em 2008, explora uma velha vulnerabilidade do Windows para se espalhar pela internet por mídias removíveis e por redes desprotegidas, criados para bloquear acesso a sites de empresas de segurança e atualizações de antivírus, além de impedir a restauração do sistema
● Majava: explora vulnerabilidades na plataforma de desenvolvimento Java, dependendo do nível podem dar ao invasor controle total da máquina
● Browlock: aparição em 2014, bloqueia o acesso do usuário a arquivos em seu computador
22
Analisando Impactos e Calculando Riscos
● Alguns outros exemplos de ameaças● Golpes no WhatsApp: após acessar o link um vírus poderia ser
instalado no dispositivo oferecendo acesso a seus dados e propagando ainda mais o link para outros contatos
● Ovos de páscoa prometidos pelas lojas Kopenhagen (o nome da empresa foi usada pelos atacantes)
● Golpes do FGTS: em 2017 cresceu o número de domínios falsos com o objetivo de roubar o dinheiro de quem tinha direito ao benefício
● Ataque homográfico: a URL de um site parece de um forma para o usuário mas na verdade é outro
23
Segurança da Informação
● Hackers e Cibervandalismo● Hacker
● Indivíduo que pretende obter acesso não autorizado a um sistema de computador● O termo Cracker designa o Hacker com intenções criminosas (o Hacker pode, por
exemplo, estar testando sistemas)
● Cibervandalismo● Interrupção, alteração da aparência de um site ou SI corporativo
24
Segurança da Informação
Exemplo: Kevin Mitnick
● Engenharia social e técnicas de apropriação de informações confidenciais● Invadiu vários computadores, como de operadora de celulares, de empresas
de tecnologia e provedores de internet● Foi preso em 1995 e libertado em 2000, ficou três anos em condicional,
sem poder conectar-se à internet● Filme: Caçada Virtual ("Takedown" - 2000)
25
Segurança da Informação
Exemplo: Timothy Allen Lloyd● Instalou uma bomba lógica que destruiu softwares de manufatura da Omega
Engeneering Corp● Sentença de um pouco mais de 3 ano● Ele trabalhava há 11 anos● Prejuízos: 10 milhões
26
Segurança da Informação
● Exemplo: Michael Calce (Mafiaboy),
● Ataque de negação de serviço contra sites de reputação● (eBay, CNN, Amazon, Dell e Yahoo)
● Ele tinha 15 anos e o dano foi de 1.2 bilhões● Pena: oito meses de regime aberto, um ano de liberdade condicional,
uso restrito da Internet e uma pequena multa
27
Segurança da Informação
● Spoofing e Sniffing● Spoofing ou Phishing
● Disfarce de identidade que Hackers, por exemplo, e-mail falso● Envolve também o redirecionamento a sites falsos
● Sniffing● Programa que monitora informações transmitidas pela rede
28
Segurança da Informação
● Ataques de Recusa de Serviço● DoS (Denial of Service)
● Hackers lotam um servidor com centenas de requisições falsas a fim de inutilizar a rede
● A rede recebe tantas consultas que não consegue lidar com elas e ficam indisponíveis para solicitações de serviço legítimas● Exs.: Wikileaks em 2010● Receita Federal em 2011
29
Segurança da Informação
● Roubo de Identidade● Crime onde impostor obtém informações pessoais importantes como
senha do cartão de crédito e CPF e se passa por outra pessoa● E-commerce facilita essa prática
● Evil twins● Redes sem fio monitoradas por hackers que fingem oferecer conexão gratuita à
Internet
30
Segurança da Informação
● Fraude do Clique● Algumas propagandas são cobradas por cliques● Indivíduo ou programa clica repetidamente em anúncio sem interesse
no mesmo● Empresas contratam pessoas para clicar em anúncios e aumentar os
custos da concorrente com marketing
31
Segurança da Informação
● Valor Empresarial da Segurança e do Controle● Como a segurança não está diretamente relacionada à receita de
vendas, muitas organizações relutam em gastar muito em segurança● No entanto, organizações têm ativos de informação valiosos
● Registros médicos● Segredos de negócio● Informações sobre estratégias militares
● Controle e segurança inadequados podem criar sérios riscos legais● Violação de privacidade● Corrupção de dados
32
Segurança da Informação
● Valor Empresarial da Segurança e do Controle● Prova eletrônica e Forense Computacional
● Cada vez mais provas são apresentadas na forma de dados, como e-mails e transações de e-commerce pela Internet
● Procedimento de coleta, exame, autenticação preservação e análise de dados mantidos em meios de armazenamento digital de maneira que possam ser usadas como prova em juízo● Recuperar dados sem prejudicar seu valor probatório● Armazenar e administrar com segurança os dados eletrônicos recuperados● Encontrar informações significativas em uma grande base de dados
33
Segurança da Informação
● Estrutura para Segurança e Controle● Quanto investimento deve ser dedicado à Segurança da Informação?● Avaliação de risco
● Determina o nível de risco para a empresa caso uma atividade ou processo específico não sejam controlados adequadamente
● Deve-se investir anualmente no máximo até o prejuízo esperado
Exposição Pobabilidade de ocorrência (%)
Faixa de prejuízo/média ($) Prejuízo anual esperado ($)
Falta de energia elétrica 30 5.000-200.000 (102.500)
30.750
Ataque de negação de serviço 5 1.000-50.000 (25.500)
1.275
Erro de usuário 98 200-40.000 (20.100)
19.698
34
Segurança da Informação
● Estrutura para Segurança e Controle● Política de segurança
● A Segurança da Informação "inicia" através da definição de uma política clara e concisa acerca da proteção das informações
● Através de uma política de segurança, a empresa formaliza suas estratégias e abordagens para a preservação de seus ativos de informação
● Essas regras devem especificar quem pode acessar quais recursos● Especificar quais recursos são disponíveis no sistema, bem como procedimento e
controles necessários para proteger as informações
35
Segurança da Informação
● Estrutura para Segurança e Controle● Política de segurança
● Diretrizes● Conjunto de regras gerais de nível estratégico que tem como base a visão e a missão da
empresa● Representam às preocupações da empresa sobre a segurança das informações
● Normas● Geralmente são elaboradas com foco em assuntos mais específicos como: controle de
acesso, uso da Internet, uso do correio eletrônico, acesso físico, instruções sobre criação de senhas, realização de backups...
● Serve para o usuário ter consciência de seu papel para a manutenção de segurança na organização
36
Segurança da Informação
● Estrutura para Segurança e Controle● Política de segurança
● Procedimentos e Instruções● Conjunto de orientações para realizar atividades e instruções operacionais relacionadas a
segurança● Comandos operacionais a serem executados no momento da realização de um
procedimento de segurança● Importante para o técnico ou administrador de segurança● Exemplo: definição e implementação das regras de filtragem do firewall
37
Segurança da Informação
● Estrutura para Segurança e Controle● Plano de continuidade dos negócios
● Como a empresa pode restaurar suas operações após um desastre● Identificar processos críticos e elaborar planos de ação para lidar com funções essenciais
caso os sistemas saiam do ar● Plano da recuperação de desastres
● Estratégias para recuperar os serviços de computação e comunicação após algum ataque (terremoto, incêndio, ataques terroristas)● Centro de informática duplicado
38
Segurança da Informação
● Estrutura para Segurança e Controle● Auditoria de sistemas
● Identifica todos os controles que governam sistemas individuais de informação e avalia sua efetividade
● O auditor entrevista indivíduos-chave e pode até mesmo simular um ataque ou desastre para verificar como os recursos tecnológicos, a equipe de TI e os funcionários reagem
39
Segurança da Informação
● Tecnologias e ferramentas para garantir a segurança dos recursos de informação● Controle de Acesso
● Conjunto de políticas e procedimentos que uma empresa usa para evitar acesso indevido a seus sistemas por pessoas não autorizadas dentro e fora da organização
● O controle é feito pela autenticação● Capacidade de saber que uma pessoa é quem declara ser● Geralmente feita por meio de senha secreta
● Senhas fáceis comprometem a segurança● Autenticação biométrica● Token
40
Segurança da Informação
● Tecnologias e ferramentas para garantir a segurança dos recursos de informação● Firewall
● Combinação de hardware e software que controla o fluxo de trafego que entra ou sai da rede
● Age como um porteiro que verifica as credenciais de cada conexão● Usa regras de acesso● Ex.:
Se IPcliente = “200.243.100.002”,
recusar conexão;
Se Requisição = “FTP”,
recusar conexão;
41
Segurança da Informação
Rede 1
Rede 2Firewall
Ponto único de acesso
Formado por um ou mais componentes
● Controle de acesso● Autenticação● Registro de Tráfego
42
Segurança da Informação
● Tecnologias e ferramentas para garantir a segurança dos recursos de informação● Sistemas de Detecção de Invasão
● Ferramentas de monitoração contínua instaladas nos pontos mais vulneráveis das redes corporativas
● Emite um alarme quando encontra um evento suspeito ou anômalo
43
Segurança da Informação
● Tecnologias e ferramentas para garantir a segurança dos recursos de informação● Software antivírus
● Software projetado para verificar sistemas e processos a fim de detectar a presença de malware e eliminá-los
● Criptografia● Processo de transformar textos comuns ou dados em texto cifrado, legível somente
ao destinatário
● Backups e redundância de hardware● Manter cópias de dados importantes da organização em outra(s) localidade(s)
física(s) de modo a permitir sua recuperação em caso de sinistro
44
Segurança da Informação
45
Segurança da Informação
● Aspectos Humanos da Segurança da Informação● Apesar de algumas tecnologias colaborarem para a segurança da
informação, o usuário continua sendo um elemento chave● Engenharia Social
● Hackers se passam por outras pessoas para conquistar informações dos usuários● Os usuários devem ter conhecimento sobre algumas práticas de hackers e pessoas
mal-intencionadas na Internet● Um usuário com conhecimentos sobre ameaças virtuais estará muito mais protegido● A empresa deve preocupar com questões referentes ao recrutamento, treinamento,
desligamento...
46
Exercícios
1)Por que as empresas devem garantir a segurança de seus sistemas de informação?
2)Quais são os três aspectos da segurança da informação que se destacam?
3)Descreva algumas das ameaças às quais SIs estão expostos.
4)Como se estabelece o valor a ser investido em Segurança da Informação?
5)Descreva as principais tecnologias e ferramentas para salvaguardar recursos de informação.
6)Por que é importante a organização se preocupar com os aspectos humanos?
47
Bibliografia básica
● LAUDON, Kenneth C.; LAUDON, Jane Price. Sistemas de Informação Gerenciais. 9a ed. São Paulo: Pearson Education do Brasil, 2011.
● SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 1.ed. Rio de Janeiro: Campus, 2003
● https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas
● Fonseca, G.H.G. Notas de Aula. Fundamentos e Teoria de Sistemas de Informação