SEGURANÇA DA INFORMAÇÃO E MÍDIAS SOCIAIS Aula 1 - A segurança da informação e a análise de risco Prof. Ivan Fontainha de Alvarenga

SEGURANÇA DA INFORMAÇÃO E MÍDIAS SOCIAIS

Aula 1 - A segurança da informação e a análise de risco

Prof. Ivan Fontainha de Alvarenga

Dados X Informação

Dados são fatos brutos que caso não estejam ordenados, organizados ou processados apresentam apenas partes isoladas de eventos ou situações.

Informação é criada quando temos dados que sofrem algum tipo de relacionamento, de avaliação, interpretação ou organização.


Entradaclassificar

filtrarorganizar Saída


Após termos as informações, isto é, o tratamento dos dados de um ambiente, podemos tomar decisões sobre o ambiente onde os dados foram retirados ou do ambiente que estes dados se relacionam.

Dados X InformaçãoPor analogia.....

Dados X InformaçãoExemplificando....Imaginem estes dados:

Caso estejam assim, jogados, não tem nenhum significado.

Temperatura: 15 º

10 de janeiro6:05

Belo Horizonte

2012


Se sobre eles atribuíssemos uma organização, um processamento:

Conseguiríamos ter uma informação, com um sentido para o ambiente que ele pertence.

Hoje, dia 10 de janeiro de 2012, são 6:05 horas e temos uma temperatura

de 15º em Belo Horizonte

10 de janeiro

Temperatura: 15 º

6:05

Belo Horizonte

2012

Dados X Informação•A informação (dados organizados, processados) é de suma importância para a tomada de decisões nas empresas.•Então, a informação passou a ser um bem da empresa e como qualquer outro necessitamos de resguardá-los e deixa-los sempre disponiveis a quem necessita.•A partir desta necessidade, surgiu a importância da “Segurança da Informação”.

Segurança da Informação

Segurança significa um conjunto de processos, de dispositivos, de medidas de precaução que asseguram o sucesso de um empreendimento.

No mundo informatizado, a segurança significa a proteção da informação, que como qualquer ativo importante para o negócio, tem um valor para a organização e necessita ser protegido.


A informação pode existir de diversas formas:

Em qualquer que seja este meio, é sempre necessário que ela seja protegida adequadamente.

Escrita em papeis

Armazenada eletronicamente

Em conversas


É a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco, maximizar o retorno sobre o investimento e as oportunidades de negócio.


Para garantirmos esta segurança, devemos implementar um conjunto de controles como:• políticas (de utilização, de distribuição, de envio)• processos• procedimentos• estruturas organizacionais • funções a serem executadas pelos softwares e hardwares


Estes controles precisam ser bem estabelecidos, implementados,monitorados, analisados criticamente e..... melhorados sempre que julgar necessáriogarantindo sempre que os objetivos do negocio e de segurança da organização sejam atendido.

Princípios da Segurança da Informação

A segurança da informação é fundamental e pode ser caracterizada por alguns princípios:• Confiabilidade• Autenticidade• Integridade• Disponibilidade• Conformidade• Não-repúdio


ConfiabilidadeProteção da informação contra a sua

revelação a alguém não autorizado (interna ou externa)

Consiste em proteger a informação contra leitura / copia por alguém não autorizado pelo proprietário da informação.

Deve-se cuidar não somente do todo, mas também de partes.


AutenticidadeEsta associado com a identificação

correta do usuário ou computador.O serviço de autenticação deve

assegurar ao receptor que a mensagem realmente procede da origem informada em seu conteúdo.

Realizada através de mecanismos de senha ou assinatura digital.


AutenticidadeSua verificação é necessária para todo o

processo de autenticação, seja de usuário para um sistema, de um sistema para usuário ou de sistema para sistema.

É a medida de proteção contra personificação por intrusos.


IntegridadeConsiste na proteção da informação

contra modificação sem a permissão do proprietário.

Esta modificação pode ser escrita, alteração de conteúdo, alteração de status, remoção ou criação de informações.


IntegridadeDeve-se considerar a proteção da

informação nas mais variadas formas, como discos ou fitas de backup e arquivos digitais em servidores.

integridade significa garantir que o dado esta lá, que não foi corrompido, que nada foi retirado, adicionado ou modificado nele, isto é, encontra-se integro.


Disponibilidade•Consiste na garantia que o usuário autorizado tenha acesso a informação sempre que necessário.•Para isso, devemos assegurar a proteção dos serviços prestados pelo sistema de forma que eles não sejam degradados ou se tornem indisponíveis sem autorização. •Também chamado de continuidade dos serviços.


ConformidadeConsiste em assegurar que as

informações estejam cumprindo as leis, regulamentos, clausulas contratuais e políticas internas.


Não-repúdioÉ a garantia da certeza do remetente de

uma mensagem.Deve-se garantir que o remetente não

deva ser capaz de negar que enviou uma mensagem.

Podem ser usadas criptografias ou assinaturas digitais por exemplo.


Para um nível de segurança aceitável, nem sempre devemos ter todos estes fatores ao mesmo tempo.

Imaginem como exemplo um site de noticias de cunho público, nele os usuários podem opinar então não temos necessidade de garantir o não-repúdio, disponibilidade e integridade.

Elementos da Segurança da Informação

Podem ocorrer que um ou mais princípios da informação sejam desrespeitados, o que chamamos de incidentes da informação.


Para entendermos melhor estes incidentes da informação, devemos conhecer os seguintes elementos:• Ativo da informação• Vulnerabilidades• Ameaças• Impactos• Riscos


Ativos de informaçãoÉ o meio que suporta, que mantém, que

permite que a informação exista, vejamos exemplos:• A informação: mensagens, textos, dados de um sistema, dados de cadastro de funcionários


Ativos de informação• As tecnologias que a suportam:

papel Correio eletrônico

Sistemas de informação

telefone Arquivo de aço computadores


Ativos de informação• Os processos e as pessoas que a utilizam: - gerentes, - vendedores, - fornecedores, - clientes, - processo de compra de matéria prima, - processo de entrega de mercadorias.


VulnerabilidadeOs ativos da informação, que suportam o

processo de negócio, possuem vulnerabilidades.

Vulnerabilidade é a fraqueza presente nos ativos de informação que podem causar, com ou sem intenção, a quebra de um ou mais princípios da segurança de informação.


VulnerabilidadePodemos relacionar algumas

vulnerabilidades mais comuns nos ativos da informação:• Tecnologias:

- Ausência de manutenção nos computadores (sistemas operacionais desatualizados)


Vulnerabilidade• Tecnologias:

- Computadores sem antivírus.“Relatório da empresa Panda, cerca de 220.000 vírus são criados diariamente. No ano de 2010 cerca de 67 milhões de programas e arquivos nocivos foram criados (entre janeiro e outubro de 2010)”Fonte: http://www.tecmundo.com.br/virus/15411-cerca-de-220-000-virus-sao-criados-por-dia.htm


Vulnerabilidade• Tecnologias:Switches não protegidos com senha ou com a senha padrão de fábrica.



- Cabos de redes ou fibra óticas expostos em áreas de passagem de público ou externas.



- Aparelhos celulares sem senha de acesso.- Rede local sem proteção de usuários ou senha de acesso pública.- Sistema de informação sem controle de acesso lógico (senha de usuários).



- Ausência de proteção de sobrecargas elétricas para os aparelhos de informação (computadores, switches, servidores).

no-break estabilizador


Vulnerabilidade• Pessoas e processos:

- Ausência de uma política de segurança da informação dentro da organização.- Ausência de um profissional especialista em segurança da informação ou contrato formal com este funcionário.



- Ausência de uma regulamentação de acesso a informação da organização por terceiros e prestadores de serviço.- Inexistência de regulamentação para o processamento fora das instalações fisicas da organização.



- Desconhecimento dos ativos da informação da empresa e não classificação destes ativos por nível de importância e sigilo.- Não regulamentações das atribuições e responsabilidades dos ativos, gerando falta de compromisso dos colaboradores para com estes ativos.



- Procedimentos ineficientes para análise e conferencia das informações fornecidas por candidatos a vaga de trabalho na organização.- Falta de treinamento dos colaboradores sobre a política de segurança da informação da organização.



- Ausência de procedimentos disciplinares para o tratamento das violações da política de segurança da informação.- Não mapeamento de áreas e equipamentos críticos e mais sensíveis a segurança da informação, não tendo como implementar controle de acessos a estas áreas.



- Ausência de procedimentos explícitos quanto ao uso de informações no desenvolvimento de sistemas (interno ou externo).- A não preocupação com o plano de contingência para incidentes de segurança que possam acontecer.



- Não adequação da política de segurança da informação com a legislação vigente aplicável na organização, seja ela municipal, estadual ou federal, ou ate mesmo organizacional, no que se refere a regulamento interno , estatuto ou similar.


Vulnerabilidade• Ambiente:

- Ausência de mecanismos contra incêndio.



- Ausência de mecanismos de prevenção de enchentes.- Ausência de proteção a poluentes que prejudiquem mídias e equipamentos.



- Ausência de proteção a animais que possam prejudicar equipamentos(formiga, rato, cupins).

“Já tivemos invasão de grilos nos servidores e cabos de fibra óptica roídos por ratos. O importante é entender a região, a natureza e adequar soluções”.Fonte: http://www.alcoa.com/brazil/pt/news/whats_new/2011_09_28.asp



- Falta de controle de acesso a salas principais da empresa.


Vulnerabilidade• Ameaças:

Ameaça é um agente externo ao ativo de informação que aproveita de uma vulnerabilidade deste ativo para poder quebrar um dos princípios da segurança da informação.



- Fraudadores.- Vírus de computadores.- Vândalos.- Ladrões.- Sobrecarga do sistema elétrico.- Tempestades.



- Crakers

-Crakers são indivíduos que utilizam seu conhecimento para invadir computadores e roubar informações confidenciais. Geralmente essas informações são vendidas ou utilizadas para aplicar golpes na internet.-Já o hacker é um indivíduo que utiliza seu conhecimento para testar os recursos de segurança instalados na organização. Ser hacker tornou-se uma profissão.


Vulnerabilidade• Impacto:

Impacto é o resultado de um incidente de resultado de um incidente de segurança que poderá acarretar perdas ou danos pequenos, médios ou grandes.


Vulnerabilidade• Impacto:

Um exemplo: A violação de uma transação bancária de um cliente – impacto grande!A confiança dos outros clientes cairia, diminuindo a quantidade de clientes deste banco.


Vulnerabilidade• Risco:

A avaliação dos riscos permite identificar as ameaças dos ativos, as vulnerabilidades e a possibilidade de ocorrência, além de seus impactos para a empresa. A importância de conhecer estes riscos é que quanto mais conhecemos os riscos dos nossos ativos, mais fácil fica de neutralizá-los.


Vulnerabilidade• Risco:

Podemos conduzir o tratamento de riscos de quarto maneiras:• Aceitá-los.• Reduzí-los• Transferí-los.• Mistigá-los (suavizá-los).

SEGURANÇA DA INFORMAÇÃO E MIDIAS SOCIAIS

Aula 2 - A análise de risco

Prof. Ivan Fontainha de Alvarenga

Análise dos riscos

Analisar os riscos de incidentes da segurança da informação é atividade essencial para a gestão de segurança de informação.

Esta analise possibilita identificar o grau de proteção que os ativos de informação de cada processo da organização precisa.

Ela nos permite proporcionar a proteção necessária para nosso negócio e principalmente usar de maneira inteligente os recursos da organização.

Análise dos riscos

É o principal para o sistema de gestão da segurança da informação, pois sem esta analise não é possível determinar quais as medidas de segurança devem ser adotadas pela empresa.

A abordagem da analise de riscos deve ser o primeiro passo, pois nosso objetivo é definir os resultados que são esperados e os caminhos que deverão ser percorridos para alcançar este objetivo.

Análise dos riscos

Existem 2 tipos de gestão de riscos adotados pelas organizações:

• Gestão Reativa.

• Gestão Proativa.

Análise dos riscos

• Gestão Reativa:São os famosos apagadores de incêndio.Estes profissionais ficam sempre enrolados com diversas tarefas corretivas que nunca dispõe de tempo para planejar nem desenvolver.As ações serão sempre executadas mediantes incidentes de segurança (ataques de vírus, invasões a sistemas).

Análise dos riscos

• Gestão Reativa:Na maioria dos casos custa muito mais caro para a organização implementar e são mais difíceis de conter, pois o controle de segurança é quase nulo.

Análise dos riscos

• Gestão Proativa:Os benefícios são maiores que a reativa, pois a empresa já possui uma série de controle para o travamento das informações, não esperando que aconteça os eventos danosos para somente depois reagir.

Análise dos riscos

• Gestão Proativa:O fato da organização possuir uma gestão de riscos proativa não implica que a mesma não deva ter uma equipe de resposta a incidentes, pois eles podem acontecer.

Análise dos riscos

Existem vários métodos de analise de riscos, divididos em duas categorias principais:• Qualitativa• Quantitativa

Ambas envolvem cálculos, porém a qualitativa é a que utiliza cálculo mais simples e menos preciso do ponto de vista financeiro.

Análise dos riscos

Vejamos o quadro de comparação das duas categorias:

Quantitativo QualitativoResultados baseados em

valores objetivos.Resultados baseados em

valores subjetivos.

Cálculos complexos. Cálculos simples.Valores financeiros são

atribuidos ao risco.Não há valorização do risco.

Grande tempo e esforço são necessários para atribuir as

taxas de risco.

Menor trabalho para atribuir as taxas de risco.

Facilita o cálculo de custo / beneficio.

Dificulta o cálculo de custo / beneficio.

Análise dos riscos

O método quantitativo não é indicado para empresas que estão iniciando o seu trabalho de análise de riscos por ser mais complexo.

Porém uma empresa que já tem uma analise de risco e necessitam analisar seu risco a partir de uma visão financeira devem adotar o método quantitativo.

Análise dos riscos

Identificando os riscosPara identificarmos os riscos devemos:

• Identificar os ativos da informação.• Identificar as ameaças.• Identificar as vulnerabilidades.• Identificar os impactos.

Análise dos riscos

Identificando os riscos• Identificar os ativos da informação

A identificação dos ativos seria um inventário dos ativos relevantes para o processo da organização, cujo acidente de segurança resultaria em um impacto negativo para o negócio.

Análise dos riscos


Devemos além de identificar o ativo, identificar também o seu proprietário (quem usa ou é responsável) e o processo de negocio da organização que é suportado pelo ativo, sendo assim possível atribuir um grau de relevância para o processo.

Análise dos riscos


Vamos tomar como base o seguinte exemplo:

Tecnologia dainformação

Manter serviços de

rede

Firewall

servidor dearquivos

servidor decorreio

Proprietário Processo Ativos

Análise dos riscos


A partir do exemplo anterior podemos elaborar o seguinte inventário:

Processo Proprietário Ativo

Manter serviços de rede TI

Firewall

Servidor de arquivos

Servidor de correio

Análise dos riscos


-Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet). -Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados (através de regras criadas por administradores). -Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software. Este último é o tipo recomendado ao uso doméstico e também é o mais comum.

Análise dos riscos

Identificando os riscos• Identificar as ameaças

Após identificar os ativos, devemos identificar as ameaças sobre eles.

Ameaças são agentes externos aos ativos e não internos.

Existem ameaças intencionais ou maliciosas (como vírus de computador) ou não intencionais (como uma enchente).

Análise dos riscos

Identificando os riscos• Identificar ameaças: exemplo

Firewall

servidor dearquivos

servidor decorreio

Invasor externo

virus

Invasor interno

variaçãode energia

Manter serviços de

rede


Ameaças


Análise dos riscos

Identificando os riscos• Identificar ameaças: planilhaProcesso Proprietário Ativo Ameaças


Firewall

Invasor externo (cracker)

Invasor internoVírus

Variação de energia





Servidor de correio




Análise dos riscos

Identificando os riscos• Identificar as vulnerabilidades

Cada ameaça poderá explorar uma vulnerabilidade especifica dos ativos listados, então devemos identificar as vulnerabilidades destes ativos que poderiam ser exploradas pela ameaça levantada.

Análise dos riscos


Existe uma identificação entre a vulnerabilidade e o controle de segurança de informação, pois os pontos vulneráveis, são aqueles onde é possível a implementação de algum tipo de controle.

Análise dos riscos

Identificando os riscos• Identificar vulnerabilidades: exemplo


Firewall

servidor dearquivos

servidor decorreio

Manter serviços de

rede


Invasor externo

virus

Invasor interno


Ameaças Vulnerabilidades

PortasTCP

Acesso Físico

Sem antivirus

Sem no-break

Análise dos riscos


-Portas TCP:-Ao conectar na internet , seu micro recebe um endereço IP válido. Mas, normalmente mantemos vários programas ou serviços abertos simultaneamente. Estes enviam e recebem informações para a internet. Se temos apenas um endereço IP, como todos estes serviços podem funcionar ao mesmo tempo sem entrar em conflito?-Para isso temos as portas TCP, que são as portas de comunicação de um servidor (no nosso caso firewall) com o ambiente da internet.

Análise dos riscos

Identificando os riscos• Identificar vulnerabilidades: planilha

Processo Proprietário Ativo Ameaças Vulnerabilidades


Firewall

Invasor externo (cracker) Portas TCP abertas

Invasor interno Sem controle de acesso físico

Vírus Sem sistema de antivírusVariação de energia Sem nobreak





Servidor de correio




Análise dos riscos

Identificando os riscos• Identificar os impactos

A ultima etapa da identificação de riscos é a definição do grau de impacto que a ocorrência de um incidente de segurança da informação acarretaria para o negocio da organização, dependendo do ativo envolvido no acidente.

Análise dos riscos

Identificando os riscos• Identificar os impactos

O impacto deve ser analisado quanto ao prejuízo potencial que pode ser gerado para a organização, levando em conta:

- o prejuízo de negócios, - tempo e custo necessário para reabilitação do ativo,- prejuízos de imagem,- prejuízos a terceiros.

Análise dos riscos

Identificando os riscos• Identificar impacto: exemplo


Firewall

servidor dearquivos

servidor decorreio

Manter serviços de

rede


Invasor externo

virus

Invasor interno


Vulnerabilidades

PortasTCP

Acesso Físico

Sem antivirus

Sem no-break

Ameaças

Médio

Médio

Alto

Análise dos riscos

Identificando os riscos• Identificar impacto: planilhaProcesso Proprietário Ativo Ameaças Vulnerabilidades Impacto


Firewall

Invasor externo (cracker) Portas TCP abertas Médio

Invasor interno Sem controle de acesso físico Médio

Vírus Sem sistema de antivírus Médio

Variação de energia Sem nobreak Médio


Invasor externo (cracker) Portas TCP abertas Médio

Invasor interno Sem controle de acesso físico Médio

Vírus Sem sistema de antivírus Médio

Variação de energia Sem nobreak Médio

Servidor de correio

Invasor externo (cracker) Portas TCP abertas Alto

Invasor interno Sem controle de acesso físico Alto

Vírus Sem sistema de antivírus Alto

Variação de energia Sem nobreak Alto

Análise dos riscos

Realizando análise dos riscosRealizar uma análise de riscos não é uma

atividade fácil, pois envolve muito planejamento e esforço. Dividimos esta análise em algumas partes:• Analisar processos.• Analisar pessoas.• Analisar tecnologia.• Analisar ambientes.• Definir os responsáveis.

Análise dos riscos

Realizando análise dos riscos• Analisar processos

Devemos mapear e analisar a fundo o processo de cada ativo relacionado, pois a relevância do processo é uma variável importante para a definição de um impacto de uma eventual incidente de segurança de informação em uma determinada área.

Análise dos riscos

Realizando análise dos riscos• Analisar processos

É muito importante entendermos o fluxo de informações entre os processos para podermos entender qual informação deve ser protegida.

Análise dos riscos

Realizando análise dos riscos• Analisar pessoas

Pessoas são ativos de informação e os riscos relacionados a elas precisam ser analisados.

São elas quem executam e constituem os processos, são elas quem geram e consomem as informações.

Análise dos riscos


São as pessoas que fazem com que tudo funcione, isto é, quem executam os processos, utilizam a tecnologia e o ambiente

Tecnologias

AmbienteProcessos

Pessoas

Análise dos riscos


Quais as vulnerabilidades podemos encontrar nas pessoas?- Desconhecimento de diretrizes, normas e procedimentos.- Não conferencia do setor de contratação a informações dadas por candidatos.- Podem ser coagidas ou subornadas para dar informações.

Análise dos riscos

Realizando análise dos riscos• Analisar tecnologias

É a mais difundida entre as quatro modalidades, principalmente tecnologias de informática como computadores e softwares.

Porém não podemos esquecer das outras como sistema de telefonia, equipamentos de mídia, gravadores.

Análise dos riscos

Realizando análise dos riscos• Analisar tecnologias

Nesta categoria podemos contar com apoio de softwares, que conseguem detectar vulnerabilidades em ativos de informática.

Exemplo: sistemas desprotegidos por firewall.

Servidor de Arquivos

Servidor de Correio

Firewall

Internet?

Análise dos riscos

Realizando análise dos riscos• Analisar ambientes

Ambientes são espaços físicos onde acontecem os processos, trabalham as pessoas ou onde são instalados os equipamentos.

Nestes ambientes contem os ativos de informação como computadores, arquivos de metal dentre outros.

Análise dos riscos


Algumas vulnerabilidades deste ativo é o não controle de acesso e a falta de demarcação das áreas físicas.

Devemos avaliar a quantidade de pessoas que visitam estes ambientes, se são pessoas autorizadas e se sim, qual o risco de roubarem estas informações.

Análise dos riscos


Devemos avaliar também:- Quais áreas contem informações mais criticas?- Qual a facilidade de acesso físico a esta área?- Como é feito o controle de acesso?

Análise dos riscos

Realizando análise dos riscos• Definir os responsáveis pela análise de riscos

Devem ser pessoas de total confiança da organização.

Devem assinar termos de sigilo e confidencialidade.

Deve ter diferentes tipos de profissionais, cada um voltado para uma das áreas de analise: pessoas, processos, ambiente e tecnologia.

Análise dos riscos

Planejando o tratamento de riscosApós compreendidos, temos quatro

formas de responder a estes riscos:• Evitar• Controlar• Transferir• Aceitar

Análise dos riscos

Planejando o tratamento de riscos• Evitar

Caso optemos por evitar os riscos, devemos adotar tecnologias ou processos que não ofereçam riscos ao negocio da organização.

Exemplo: não vender pela internet.Devemos lembrar que nem sempre

conseguimos atingir metas evitando riscos.

Análise dos riscos

Planejando o tratamento de riscos• Controlar

Caso optemos por controlar, devemos implementar controles para diminuir as vulnerabilidades dos ativos que suportam os processos.

Análise dos riscos

Planejando o tratamento de riscos• Transferir

Caso optemos por transferir o risco, uma forma seria contratar um seguro cujo valor garanta a cobertura dos prejuízos ou até mesmo contratar uma organização que garanta um nível mínimo do seu serviço.

Análise dos riscos

Planejando o tratamento de riscos• Aceitar

O ultimo caso seria aceitar o risco. Caso não seja decidido evitar, nem controlar, nem transferir, devemos simplesmente aceitar.

Devemos decidir por aceitar quando o risco for pequeno ou não trazer perigo para o negocio.

Documents

SEGURANÇA DA INFORMAÇÃO E MÍDIAS SOCIAIS Aula 1 - A segurança da informação e a análise de risco Prof. Ivan Fontainha de Alvarenga