42
Segurança das informações Prof ª Gislaine Stachissini

Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

  • Upload
    others

  • View
    4

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Segurança das informações

Prof ª Gislaine Stachissini

Page 2: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Softwares mal-intencionados

Vírus

Worms

Cavalos de Tróia

Spywares

Page 3: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Softwares mal-intencionados: Vírus

Um vírus é um código de computador

que se anexa a um programa ou arquivo

para poder se espalhar entre os

computadores.

Um vírus pode danificar seu software,

hardware e arquivos.

Um vírus para se alastrar precisa que

alguém envie um arquivo ou um e-mail.

Page 4: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Softwares mal-intencionados: Worm

Um worm geralmente se alastra sem a

ação do usuário e distribui cópias

completas de si mesmo através das

redes, criando um efeito dominó.

Eles também podem se infiltrar no

sistema e permitir o acesso

remotamente.

Page 5: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Softwares mal-intencionados:

Cavalo de Tróia

É um programa de computador que parece

ser útil, mas na verdade causa danos;

Os cavalos de tróia

podem ser

incluídos em

softwares que são

baixados

gratuitamente.

Page 6: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Softwares mal-intencionados:

Spyware

Esses programas instalam-se nos

computadores para monitorar a atividade

do internauta e usar as informações para

marketing, sem o consentimento do

usuário;

Os key loggers são um tipo de spyware que

visa roubar informações confidenciais,

exemplos:

Acesso contas de e-mail;

Descobrir senhas;

Deflagrar ataques;

Coletar dados pessoais.

Page 7: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Valor empresarial da

segurança e do controle

Existe uma enorme reluta das empresas

investirem em segurança, por não estar

diretamente ligada a receita de vendas;

Principalmente empresas que dependem

da informática, podem sofrer perdas de

negócios.

Controle e segurança inadequados

podem causar sérios riscos legais.

Page 8: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Valor empresarial da

segurança e do controle

Estimativa da média anual mundial dos

prejuízos causados por hackers, malware e

spam.

Prejuízo econômico mundial causado

por ataques digitais

200420032001 200220001998 1999

Ano

Fo

nte

: L

au

do

ne L

au

do

n, 2008,

p.2

15

0

100

200

300

400

Bil

es d

e d

óla

res

Page 9: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Segurança:

como estabelecer uma estrutura

para segurança e controle?

Quando falamos em controle e segurança

dos sistemas de informação, tecnologia

não é a peça chave;

Informações são

ativos que, como

qualquer outro

ativo importante

para os negócios,

possuem valor para

a organização e

precisam ser

protegidos

adequadamente.

Page 10: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Segurança:

como estabelecer uma estrutura

para segurança e controle?

A segurança da informação visa:

Proteger as informações contra ataques;

Assegurar continuidade nos negócios;

Minimizar os prejuízos;

Maximizar o retorno de investimentos;

Criar oportunidades comerciais.

Page 11: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Segurança:

como estabelecer uma estrutura

para segurança e controle?

Independente da forma da informação, elas

devem ser protegidas adequadamente.

Sejam elas: impressas, escritas em papel,

armazenadas eletronicamente, enviadas

pelo correio, usando meios eletrônicos,

filmes, etc.

Page 12: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Segurança:

como estabelecer uma estrutura

para segurança e controle?

A segurança da informação é caracterizada

como a preservação de:

Confidencialidade: informações

acessíveis apenas para quem tem o

acesso;

Integridade: salvaguardar as

informações;

Disponibilidade: garantir acesso às

informações pelos usuários.

Page 13: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Segurança:

como estabelecer uma estrutura

para segurança e controle?

A segurança da informação é obtida através

da implementação conjunto adequado de

controles, que podem ser:

Políticas;

Práticas;

Procedimentos;

Estruturas organizacionais e

Funções de software.

Page 14: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Segurança:

como estabelecer uma estrutura

para segurança e controle?

A ISO 17799 estabelece padrões

internacionais para segurança e controle,

incluindo:

Política de segurança;

Planejamento para a continuidade dos

negócios;

Segurança física;

Controle de acesso;

Obediência às normas;

Criação de uma função de segurança.

Page 15: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Segurança:

como estabelecer uma estrutura

para segurança e controle?

A confidencialidade, a integridade e a

disponibilidade são essenciais para:

Manter a competitividade;

Fluxo de caixa;

Rentabilidade;

Atendimento à legislação;

Imagem comercial.

Page 16: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Segurança:

como estabelecer uma estrutura

para segurança e controle?

A segurança que pode ser obtida através

dos meios técnicos é limitada, e deveria

ser apoiada por procedimentos e gestão

adequados.

A gestão da segurança da informação

precisa do apoio de todos os

funcionários, clientes, fornecedores,

acionistas e em alguns casos, de uma

consultoria externa.

Page 17: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Requisitos de segurança

e avaliação de riscos

Existem três fontes principais de requisitos:

1ª - avaliação dos riscos contra a

organização: vulnerabilidade, impacto;

2ª - exigências legais, estatutárias,

regulamentadoras e contratuais;

3ª - conjunto de princípios, objetivos e

requisitos para processamento de

informações.

Page 18: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Requisitos de segurança

e avaliação de riscos

Os gastos com controles precisam ser

pesados contra os prováveis prejuízos

resultantes de falhas na segurança.

Page 19: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Requisitos de segurança

e avaliação de riscos

A avaliação de riscos é a consideração

sistemática de:

Provável prejuízo ao negócio resultante

de uma falha de segurança;

Probabilidade realística de tais falhas

ocorrerem nos controles atualmente

implementados.

Os resultados desta avaliação ajudarão a

guiar e determinar a ação gerencial

adequada e as prioridades para gerir os

riscos de segurança de informação.

Page 20: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Requisitos de segurança

e avaliação de riscos

É importante executar revisões periódicas

dos riscos de segurança e dos controles

implementados para:

Levar em conta as mudanças nas

prioridades e necessidades do negócio;

Considerar novas ameaças e

vulnerabilidades;

Confirmar que os controles permanecem

eficazes e apropriados.

Page 21: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Requisitos de segurança

e avaliação de riscos

Vários controles

podem ser

considerados

como princípios

orientadores, que

fornecem um

bom ponto de

partida para

implementação

da segurança de

informações.

Page 22: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Requisitos de segurança

e avaliação de riscos

Os controles considerados como

essenciais para uma organização, do ponto

de vista legal, incluem:

Proteção de dados e privacidade de

informações pessoais;

Salvaguarda de registros

organizacionais;

Direitos de propriedade intelectual;

Relatórios dos incidentes de segurança;

Gerenciamento da continuidade do

negócio;

Page 23: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Política de segurança

Tem a política de segurança, o intuito de

fornecer direção e apoio gerenciais para

a segurança de informações;

Uma vez que você tenha identificado os

principais riscos para seus sistemas, sua

empresa precisará desenvolver uma

política de segurança para proteger seus

ativos;

Page 24: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Política de segurança

Política de segurança é uma declaração

que estabelece uma hierarquia para os

riscos de informação e identifica metas

de segurança aceitáveis, assim como os

mecanismos para atingi-las.

Quais são os ativos de informação mais

importantes da empresa?

Quem produz e controla essa

informação?

Quais políticas de segurança já estão em

curso para proteger essa informação?

Page 25: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Política de segurança

Qual nível de risco a administração está

disposta a aceitar para cada um dos

ativos?

Está disposta, por exemplo, a perder

dados de crédito dos clientes uma vez a

cada dez anos?

Ou desenvolverá um sistema de

segurança para dados de cartão de

crédito, capaz de enfrentar um desastre

que só ocorrerá a cada cem anos?

Page 26: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Política de segurança

Em empresas de maior porte, é possível

encontrar uma função oficial de

segurança corporativa, liderada por um

Chief Security Officer (CSO).

Cabe ao CSO trabalhar para que a

política de segurança da empresa seja

cumprida.

Page 27: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Política de segurança

A política de segurança dá origem a

outras políticas, que determinam o uso

aceitável dos recursos de informação da

empresa e quais membros terão acesso

a esses ativos;

Uma boa política de uso define as ações

aceitáveis e inaceitáveis para cada

usuário, especificando as conseqüências

do não cumprimento das normas.

Page 28: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Política de segurança

Os sistemas de gerenciamento de

autorização estabelecem onde e quando

um usuário terá permissão para acessar

determinadas partes de um site ou de um

banco de dados corporativo.

Tais sistemas permitem que cada

usuário acesse somente as partes nos

sistemas que tem permissão de entrar,

com base nas informações estabelecidas

por um conjunto de regras de acesso.

Page 29: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Documento da política de

segurança de informações

Um documento como a política deve

ser aprovado pela gerência, publicado

e divulgado, conforme apropriado,

para todos os empregados;

Ele deve declarar o comprometimento

da gerência e estabelecer a abordagem

da organização quanto à gestão da

segurança de informações.

Page 30: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Documento da política de

segurança de informações

No mínimo, a seguinte orientação deve ser

incluída:

Uma definição de segurança de

informações, seus objetivos gerais e

escopo, e a importância da

segurança;

Uma declaração de intenção da

gerência, apoiando os objetivos e

princípios da segurança de informações;

Explanação das políticas, princípios e

padrões de segurança e das exigências a

serem obedecidas;

Page 31: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Documento da política de

segurança de informações

Uma definição das responsabilidades

gerais e específicas pela gestão da

segurança das informações, incluindo

relatórios de incidentes de segurança;

Referências a documentos que podem

apoiar a política.

Page 32: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Documento da política de

segurança de informações

Esta política deve ser comunicada em

toda a organização para os usuários, de

uma forma que seja relevante, acessível e

compreensível para o leitor-alvo.

Page 33: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Revisão e avaliação

A política deve ter um encarregado

que seja responsável por sua

manutenção e revisão, de acordo com

um processo de revisão definido;

Devem ser programadas, revisões

periódicas dos seguintes aspectos:

A eficácia da política;

O custo e impacto dos controles na

eficiência do negócio;

Os efeitos das mudanças na

tecnologia.

Page 34: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Tecnologia e ferramentas

para garantir a sua segurança

Existe uma gama de ferramentas e

tecnologias para ajudar as empresas a

salvaguardar seus sistemas e dados.

Entre elas, estão

ferramentas para

autenticação,

firewalls,

sistemas de

detecção de

invasão,

softwares

antivírus e anti-

spyware, e

criptografia.

Page 35: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Controle de acesso

Por controle de acesso, entende-se todo

o conjunto de políticas e procedimentos

que uma empresa usa para evitar acesso

indevido a seus sistemas por pessoas

não autorizadas, dentro e fora da

organização.

Para obter acesso, o usuário precisa ser

autorizado e autenticado.

Page 36: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Controle de acesso

O usuário final usa uma senha para

acessar sistemas ou arquivos

específicos.

Muitas vezes, porém, os usuários

esquecem senhas, revelam-nas para

outras pessoas, ou escolhem senhas

inadequadas, fáceis de adivinhar, e

tudo isso compromete a segurança.

Senhas também podem ser sniffed

(farejadas) quando transmitidas por rede,

ou roubadas por meio de engenharia

social.

Page 37: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Controle de acesso

Novas tecnologias de autenticação, como

tokens, smart cards e autenticação

biométrica, resolvem alguns desses

problemas.

Page 38: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Firewalls, sistema de detecção

de invasão e software antivírus

Os firewalls agem como um porteiro

que examina as credenciais de cada

usuário antes que ele possa acessar a

rede.

Impedem, então, que comunicações

não autorizadas entrem ou saiam da

rede, permitindo que a organização

imponha uma política de segurança ao

fluxo de tráfego entre sua rede e a

Internet.

Page 39: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Firewalls, sistema de detecção

de invasão e software antivírus

Em grandes organizações, o firewall

muitas vezes reside em um computador

reservado especialmente para

ele,separado do resto da rede, de

maneira que nenhuma solicitação pode

entrar e acessar diretamente os recursos

da rede privada.

Page 40: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Firewalls, sistema de detecção

de invasão e software antivírus

Além de firewalls, fornecedores de

segurança comercial agora oferecem

ferramentas e serviços de detecção de

intrusos, que protegem a empresa contra

o tráfego de rede suspeito.

Sistemas de detecção de invasão são

ferramentas de monitoração contínua;

Software de monitoração, examina os

eventos em tempo real, atrás de

ataques à segurança.

Page 41: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Software antivírus e anti-spyware

O software antivírus é projetado para

verificar sistemas de informação e

drives, afim de detectar a presença de

vírus de computador;

A maioria dos softwares antivírus é

feito somente contra espécies já

conhecidas, por isso, o software deve

ser continuamente atualizado;

McAfee e Symantec estão entre os

principais fornecedores de software

antivírus.

Page 42: Segurança das informações Prof ª Gislaine Stachissini · 2012-03-26 · Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas

Software antivírus e anti-spyware

Para eliminar spywares temos softwares

específicos, como o Ad-Aware SE Personal,

o Spybot Search and Destroy e o Spy

Sweeper.