Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Segurança das informações
Prof ª Gislaine Stachissini
Softwares mal-intencionados
Vírus
Worms
Cavalos de Tróia
Spywares
Softwares mal-intencionados: Vírus
Um vírus é um código de computador
que se anexa a um programa ou arquivo
para poder se espalhar entre os
computadores.
Um vírus pode danificar seu software,
hardware e arquivos.
Um vírus para se alastrar precisa que
alguém envie um arquivo ou um e-mail.
Softwares mal-intencionados: Worm
Um worm geralmente se alastra sem a
ação do usuário e distribui cópias
completas de si mesmo através das
redes, criando um efeito dominó.
Eles também podem se infiltrar no
sistema e permitir o acesso
remotamente.
Softwares mal-intencionados:
Cavalo de Tróia
É um programa de computador que parece
ser útil, mas na verdade causa danos;
Os cavalos de tróia
podem ser
incluídos em
softwares que são
baixados
gratuitamente.
Softwares mal-intencionados:
Spyware
Esses programas instalam-se nos
computadores para monitorar a atividade
do internauta e usar as informações para
marketing, sem o consentimento do
usuário;
Os key loggers são um tipo de spyware que
visa roubar informações confidenciais,
exemplos:
Acesso contas de e-mail;
Descobrir senhas;
Deflagrar ataques;
Coletar dados pessoais.
Valor empresarial da
segurança e do controle
Existe uma enorme reluta das empresas
investirem em segurança, por não estar
diretamente ligada a receita de vendas;
Principalmente empresas que dependem
da informática, podem sofrer perdas de
negócios.
Controle e segurança inadequados
podem causar sérios riscos legais.
Valor empresarial da
segurança e do controle
Estimativa da média anual mundial dos
prejuízos causados por hackers, malware e
spam.
Prejuízo econômico mundial causado
por ataques digitais
200420032001 200220001998 1999
Ano
Fo
nte
: L
au
do
ne L
au
do
n, 2008,
p.2
15
0
100
200
300
400
Bil
hõ
es d
e d
óla
res
Segurança:
como estabelecer uma estrutura
para segurança e controle?
Quando falamos em controle e segurança
dos sistemas de informação, tecnologia
não é a peça chave;
Informações são
ativos que, como
qualquer outro
ativo importante
para os negócios,
possuem valor para
a organização e
precisam ser
protegidos
adequadamente.
Segurança:
como estabelecer uma estrutura
para segurança e controle?
A segurança da informação visa:
Proteger as informações contra ataques;
Assegurar continuidade nos negócios;
Minimizar os prejuízos;
Maximizar o retorno de investimentos;
Criar oportunidades comerciais.
Segurança:
como estabelecer uma estrutura
para segurança e controle?
Independente da forma da informação, elas
devem ser protegidas adequadamente.
Sejam elas: impressas, escritas em papel,
armazenadas eletronicamente, enviadas
pelo correio, usando meios eletrônicos,
filmes, etc.
Segurança:
como estabelecer uma estrutura
para segurança e controle?
A segurança da informação é caracterizada
como a preservação de:
Confidencialidade: informações
acessíveis apenas para quem tem o
acesso;
Integridade: salvaguardar as
informações;
Disponibilidade: garantir acesso às
informações pelos usuários.
Segurança:
como estabelecer uma estrutura
para segurança e controle?
A segurança da informação é obtida através
da implementação conjunto adequado de
controles, que podem ser:
Políticas;
Práticas;
Procedimentos;
Estruturas organizacionais e
Funções de software.
Segurança:
como estabelecer uma estrutura
para segurança e controle?
A ISO 17799 estabelece padrões
internacionais para segurança e controle,
incluindo:
Política de segurança;
Planejamento para a continuidade dos
negócios;
Segurança física;
Controle de acesso;
Obediência às normas;
Criação de uma função de segurança.
Segurança:
como estabelecer uma estrutura
para segurança e controle?
A confidencialidade, a integridade e a
disponibilidade são essenciais para:
Manter a competitividade;
Fluxo de caixa;
Rentabilidade;
Atendimento à legislação;
Imagem comercial.
Segurança:
como estabelecer uma estrutura
para segurança e controle?
A segurança que pode ser obtida através
dos meios técnicos é limitada, e deveria
ser apoiada por procedimentos e gestão
adequados.
A gestão da segurança da informação
precisa do apoio de todos os
funcionários, clientes, fornecedores,
acionistas e em alguns casos, de uma
consultoria externa.
Requisitos de segurança
e avaliação de riscos
Existem três fontes principais de requisitos:
1ª - avaliação dos riscos contra a
organização: vulnerabilidade, impacto;
2ª - exigências legais, estatutárias,
regulamentadoras e contratuais;
3ª - conjunto de princípios, objetivos e
requisitos para processamento de
informações.
Requisitos de segurança
e avaliação de riscos
Os gastos com controles precisam ser
pesados contra os prováveis prejuízos
resultantes de falhas na segurança.
Requisitos de segurança
e avaliação de riscos
A avaliação de riscos é a consideração
sistemática de:
Provável prejuízo ao negócio resultante
de uma falha de segurança;
Probabilidade realística de tais falhas
ocorrerem nos controles atualmente
implementados.
Os resultados desta avaliação ajudarão a
guiar e determinar a ação gerencial
adequada e as prioridades para gerir os
riscos de segurança de informação.
Requisitos de segurança
e avaliação de riscos
É importante executar revisões periódicas
dos riscos de segurança e dos controles
implementados para:
Levar em conta as mudanças nas
prioridades e necessidades do negócio;
Considerar novas ameaças e
vulnerabilidades;
Confirmar que os controles permanecem
eficazes e apropriados.
Requisitos de segurança
e avaliação de riscos
Vários controles
podem ser
considerados
como princípios
orientadores, que
fornecem um
bom ponto de
partida para
implementação
da segurança de
informações.
Requisitos de segurança
e avaliação de riscos
Os controles considerados como
essenciais para uma organização, do ponto
de vista legal, incluem:
Proteção de dados e privacidade de
informações pessoais;
Salvaguarda de registros
organizacionais;
Direitos de propriedade intelectual;
Relatórios dos incidentes de segurança;
Gerenciamento da continuidade do
negócio;
Política de segurança
Tem a política de segurança, o intuito de
fornecer direção e apoio gerenciais para
a segurança de informações;
Uma vez que você tenha identificado os
principais riscos para seus sistemas, sua
empresa precisará desenvolver uma
política de segurança para proteger seus
ativos;
Política de segurança
Política de segurança é uma declaração
que estabelece uma hierarquia para os
riscos de informação e identifica metas
de segurança aceitáveis, assim como os
mecanismos para atingi-las.
Quais são os ativos de informação mais
importantes da empresa?
Quem produz e controla essa
informação?
Quais políticas de segurança já estão em
curso para proteger essa informação?
Política de segurança
Qual nível de risco a administração está
disposta a aceitar para cada um dos
ativos?
Está disposta, por exemplo, a perder
dados de crédito dos clientes uma vez a
cada dez anos?
Ou desenvolverá um sistema de
segurança para dados de cartão de
crédito, capaz de enfrentar um desastre
que só ocorrerá a cada cem anos?
Política de segurança
Em empresas de maior porte, é possível
encontrar uma função oficial de
segurança corporativa, liderada por um
Chief Security Officer (CSO).
Cabe ao CSO trabalhar para que a
política de segurança da empresa seja
cumprida.
Política de segurança
A política de segurança dá origem a
outras políticas, que determinam o uso
aceitável dos recursos de informação da
empresa e quais membros terão acesso
a esses ativos;
Uma boa política de uso define as ações
aceitáveis e inaceitáveis para cada
usuário, especificando as conseqüências
do não cumprimento das normas.
Política de segurança
Os sistemas de gerenciamento de
autorização estabelecem onde e quando
um usuário terá permissão para acessar
determinadas partes de um site ou de um
banco de dados corporativo.
Tais sistemas permitem que cada
usuário acesse somente as partes nos
sistemas que tem permissão de entrar,
com base nas informações estabelecidas
por um conjunto de regras de acesso.
Documento da política de
segurança de informações
Um documento como a política deve
ser aprovado pela gerência, publicado
e divulgado, conforme apropriado,
para todos os empregados;
Ele deve declarar o comprometimento
da gerência e estabelecer a abordagem
da organização quanto à gestão da
segurança de informações.
Documento da política de
segurança de informações
No mínimo, a seguinte orientação deve ser
incluída:
Uma definição de segurança de
informações, seus objetivos gerais e
escopo, e a importância da
segurança;
Uma declaração de intenção da
gerência, apoiando os objetivos e
princípios da segurança de informações;
Explanação das políticas, princípios e
padrões de segurança e das exigências a
serem obedecidas;
Documento da política de
segurança de informações
Uma definição das responsabilidades
gerais e específicas pela gestão da
segurança das informações, incluindo
relatórios de incidentes de segurança;
Referências a documentos que podem
apoiar a política.
Documento da política de
segurança de informações
Esta política deve ser comunicada em
toda a organização para os usuários, de
uma forma que seja relevante, acessível e
compreensível para o leitor-alvo.
Revisão e avaliação
A política deve ter um encarregado
que seja responsável por sua
manutenção e revisão, de acordo com
um processo de revisão definido;
Devem ser programadas, revisões
periódicas dos seguintes aspectos:
A eficácia da política;
O custo e impacto dos controles na
eficiência do negócio;
Os efeitos das mudanças na
tecnologia.
Tecnologia e ferramentas
para garantir a sua segurança
Existe uma gama de ferramentas e
tecnologias para ajudar as empresas a
salvaguardar seus sistemas e dados.
Entre elas, estão
ferramentas para
autenticação,
firewalls,
sistemas de
detecção de
invasão,
softwares
antivírus e anti-
spyware, e
criptografia.
Controle de acesso
Por controle de acesso, entende-se todo
o conjunto de políticas e procedimentos
que uma empresa usa para evitar acesso
indevido a seus sistemas por pessoas
não autorizadas, dentro e fora da
organização.
Para obter acesso, o usuário precisa ser
autorizado e autenticado.
Controle de acesso
O usuário final usa uma senha para
acessar sistemas ou arquivos
específicos.
Muitas vezes, porém, os usuários
esquecem senhas, revelam-nas para
outras pessoas, ou escolhem senhas
inadequadas, fáceis de adivinhar, e
tudo isso compromete a segurança.
Senhas também podem ser sniffed
(farejadas) quando transmitidas por rede,
ou roubadas por meio de engenharia
social.
Controle de acesso
Novas tecnologias de autenticação, como
tokens, smart cards e autenticação
biométrica, resolvem alguns desses
problemas.
Firewalls, sistema de detecção
de invasão e software antivírus
Os firewalls agem como um porteiro
que examina as credenciais de cada
usuário antes que ele possa acessar a
rede.
Impedem, então, que comunicações
não autorizadas entrem ou saiam da
rede, permitindo que a organização
imponha uma política de segurança ao
fluxo de tráfego entre sua rede e a
Internet.
Firewalls, sistema de detecção
de invasão e software antivírus
Em grandes organizações, o firewall
muitas vezes reside em um computador
reservado especialmente para
ele,separado do resto da rede, de
maneira que nenhuma solicitação pode
entrar e acessar diretamente os recursos
da rede privada.
Firewalls, sistema de detecção
de invasão e software antivírus
Além de firewalls, fornecedores de
segurança comercial agora oferecem
ferramentas e serviços de detecção de
intrusos, que protegem a empresa contra
o tráfego de rede suspeito.
Sistemas de detecção de invasão são
ferramentas de monitoração contínua;
Software de monitoração, examina os
eventos em tempo real, atrás de
ataques à segurança.
Software antivírus e anti-spyware
O software antivírus é projetado para
verificar sistemas de informação e
drives, afim de detectar a presença de
vírus de computador;
A maioria dos softwares antivírus é
feito somente contra espécies já
conhecidas, por isso, o software deve
ser continuamente atualizado;
McAfee e Symantec estão entre os
principais fornecedores de software
antivírus.
Software antivírus e anti-spyware
Para eliminar spywares temos softwares
específicos, como o Ad-Aware SE Personal,
o Spybot Search and Destroy e o Spy
Sweeper.