Segurança da Informação Faculdade de Letras da Universidade do Porto Licenciatura em Ciência da Informação Preservação e Conservação - 2010

Segurança da Informação

Faculdade de Letras da Universidade do PortoLicenciatura em Ciência da InformaçãoPreservação e Conservação - 2010

Contextualização


Ameaças à Segurança da Informação

Mecanismos de Protecção de Seg. da Informação

Normas – Segurança de Informação

Metodologia de Avaliação de Seg. de Informação

Ciclo de Vida da Segurança da Informação

Contextualização

Ciência da Informação

Gestão da Informação

Preservação e Conservação

Comportamento

Informacional


Organização e

Representação da

Informação

Área axial

… apesar da informação material (ex. livro), ainda ser bastante influente ou relevante, assistimos a uma crescente proliferação da informação em suporte digital, trata-se de uma informação que é pluridimensional …

Contextualização

Dimensão Essencial

ObjectoDigital

Dimensão Física

Dimensão Lógica

Dimensão Conceptual

Contextualização

Informação é um bem que, como qualquer outro bem importante (…)Possui valor para uma organização e consequentemente precisa de ser protegida adequadamente. A segurança de informação protege as informações contra uma ampla gama de ameaças, para assegurar a continuidade dos negócios, minimizar prejuízos e maximizar o retorno de investimentos e oportunidades comerciais.A informação pode existir sob muitas formas. Pode ser impressa ou escrita em papel, armazenada electronicamente, enviada pelo correio ou usando meios electrónicos, mostrada em filmes, ou falada em conversas. Qualquer que seja a forma que a informação assuma, ou os meios pelos quais seja compartilhada ou armazenada, ela deve ser sempre protegida adequadamente.

Nivel Físico

Nível Lógico

… a segurança da Informação, pode e dever ser medida a dois niveis:


Principios Fundamentais da Segurança da Informação



Ciclo de Vida da Segurança da Informação:

Segundo John Oltsik, a Segurança da Informação tem um ciclo de vida dentro das organizações, esse ciclo é composto pelas seguintes etapas:

1. Classificação de dados;

2. Fluxo de informação;

3. Acesso à informação

4. Utilização da Informação

5. Gestão de Riso da Informação6.Políticas que determinam o

funcionamento do ciclo de vida da segurança da informação;

7. Classificadores e repositores de metadados;

8. Sistemas de ficheiros seguros;

9. Gestão centralizada

Incidentes como: roubos, guerras, inundações, incêndios, podem colocar em risco a segurança da informação.

Destruição da informação por incidentes naturais e humanos

Ameaças Seg. da Informação

…podemos designar fuga de informação, como o acesso e divulgação de informação privada e supostamente protegida e interdita.

…as empresas investem cada vez maiores quantias de dinheiro em tecnologia informática que visa barrar o acesso à informação dita privada da organização.

Todavia, nem sempre a fuga de informação é feita através dos meios informáticos, e há uma certa tendência para esquecer o meio social e humano.

Fuga de Informação


Baseia-se na obtenção de informação privada a partir da persuasão, manipulação emocional, abuso de confiança e impersonalização…

Técnicas utilizadas pelo engenheiro social para com um colaborador de determinada organização… funciona porque se apoia na honestidade e inocência das vítimas, que partem do princípio que esses valores também são aplicáveis à outra pessoa (engenheiro social).

Engenharia Social


Hacker


Ciber-crime


AdwareProgramas que são instalados com o objectivo de recolher dados pessoais de utilizadores, utilizando para isso a fachada de anúncios publicitários na internet.

Spyware

Programas informáticos, que instalados nos computadores dos utilizadores, registam todas as acções destes, registando tudo o que é digitado no computador, armazenando as páginas Web visitadas, encaminhando esses dados para o computador da pessoa que instalou o programa.

PhishingÉ uma técnica utilizada com objectivo de extrair informação dos utilizadores, através da criação de paginas web falsas em tudo similares ás verdadeiras.

Etc.

Virus Informáticos


Existem uma serie de regras que, sendo seguidas, ajudam a prevenir e contornar algumas vulnerabilidades das instituições no que se

refere à protecção da informação.

Por exemplo: apostando em edifícios que garantam (o mais possível) segurança contra roubos, catástrofes naturais, incêndios; não facilitar o acesso de estranhos aos locais com acesso limitado a colaboradores; Identificar devidamente os colaboradores e os utilizadores; proceder a uma actualização constante dos ficheiros que contêm a identificação dos leitores e dos colaboradores e mantê-los em segurança; manter os espaços públicos em vigilância constante…

Protecção contra incidentes naturais e humanos

Mecanismos de Protecção Seg. da Informação

Tecnologias de Segurança da Informação


Firewall


Anti-vírus


Anti Spyware-Adware


Controlo de acesso pelos servidores


Detecção de Intrusões (IDS)


Cifra


Wireless específico


Biometrias


…funcionando à base de uma chave pública denominada de PKI (Public Key Infrastructure) e, é uma plataforma utilizada para garantir a segurança nos documentos electrónicos.

…normalmente a certificação digital assegura aos seus clientes os critérios básicos para a segurança da informação: Integridade; Identificação; Confidencialidade; Aceitação.

Certificação Digital

São atribuídos dois códigos/chaves a cada utilizador: uma chave privada e uma chave pública. Essas duas chaves estão associadas entre si através de uma função matemática, não sendo possível a obtenção de uma chave pública através de uma chave privada, ou vice-versa. Enquanto que a chave pública é disponibilizada a todos, apenas o próprio utilizador conhece a sua chave privada. Os dados codificados na chave pública estão descodificados na chave privada e vice-versa.

PKIComo funciona?


Através de uma sequência de bytes o ficheiro é emitido e assinado digitalmente pela entidade de certificação, estabelecendo uma ligação à chave pública, de modo a que a identidade do emissor seja clara para o receptor da mensagem. Para definir o necessário período de validação da mensagem, é necessário utilizar um carimbo de tempo, ou timestamp, que é emitido por uma terceira entidade.

Um timestamping é idêntico a uma assinatura electrónica, contendo a data/hora, fornecida por uma fonte de tempo legal, e permite detectar alterações ao documento feitas após a introdução do carimbo.

Como tudo se processa?


Norma ISO

27001

Família ISO

27000 Norma ISO

17799

Normas

Política de segurançaRecomenda que deve existir um documento sobre a política de segurança da empresa, e mecanismos de análise crítica das políticas implementadas.

Segurança organizacionalDividida nos seguintes ítens: Infraestrutura de segurança; Segurança no acesso de prestadores de serviço; Segurança envolvendo serviços standard:

Classificação e controlo dos bensDefine os tipos de bens: Serviços, Sistemas computadorizados, Equipamentos, Documentos, Imagem e reputação da organização, Informações, Pessoas

E, sugere que se faça uma contabilização e classificação dos bens.

Segurança relacionada com o pessoal Segurança na definição e nos recursos de trabalho; A Formação dos utilizadores; Resposta a incidentes de segurança e mau funcionamento, E finalmente, convém que exista um processo disciplinar formal para funcionários que violaram a segurança.

Aborda-se….

Segurança física e ambientalÁreas de segurança; Segurança de equipamento; Controlos gerais

Gestão de Comunicações e operaçõesOs objetivos dessa secção incluem: Garantir instalações para a operação correcta e segura do processamento de informações; Minimizar o risco de falhas dos sistemas; Proteger a integridade do software e/ou das informações; Manter a integridade e disponibilidade do processamento de informação e comunicação; Evitar danos ao património e interrupções nas atividades da empresa; Garantir a proteção das informações em redes e da infra-estrutura de suporte; Prevenir perdas, modificações ou uso inadequado das informações trocadas entre empresas. Sugere procedimentos e responsabilidade operacionais: definição dos procedimentos para operação de sistemas, isto inclui: a segregação de funções; planeamento e aceitação de sistemas; proteção contra software malicioso.Sugere ainda a troca de informações e software, a segurança do comércio eletrónico e a segurança de correio eletrónico.

Controlo de acessoIdentifica a importância da monitorização e controlo do acesso a recursos da rede e de aplicativos, para proteger contra abusos internos e intrusões externas, estabelecendo requisitos de negócios para controlo de acesso, estabelecendo uma gestão de acesso dos utilizadores, estabelecendo uma análise critica dos direitos de acesso, criando responsabilidade dos utilizadores e fazendo um controlo de acesso à rede.

Desenvolvimento e manutenção de sistemasReforça que com todos os esforços de TI, tudo deve ser implementado e mantido com a segurança em mente, usando os controlos de segurança em todas as etapas do processo. Os Requisitos de segurança de sistemas, a segurança nos sistemas de aplicação e o controlo da criptografia.

Gestão da continuidade de negócioRecomenda que as empresas se preparem com formas de neutralizar as interrupções às atividades comerciais, e protejam os processos comerciais cruciais, no caso de uma falha ou desastre.

Obediência a exigências Esta secção exige também uma revisão da política de segurança e compatibilidade técnica, além de considerações a serem feitas em relação ao sistema do processo de auditoria, para garantir que cada empresa se beneficie o máximo possível. Sugere a conformidade com requisitos legais e a análise critica da política de segurança e da conformidade técnica.

O que é…. Composição

A norma ISO 27000 está relacionada com o vocabulário da gestão segurança de informação.

É constituida pela ISO 27001, pela ISO 27002,a ISO 27003, a ISO 27004, a ISO 27005 e a ISO 27006.

Processo de abordagemÉ enfatizada a compreensão dos requisitos de informação das organizações, a necessidade de estabelecer comandos de gestão de riscos da informação, fazer vigilância e revisão ao desempenho e eficácia dos SGSI, melhorar contínuamente através de medições periódicas do próprio SGSI. Todos estes factores são passíveis de ser realizados sendo seguido o famoso Plan-Do-Check-Act.

Âmbito/abrangênciaEsta Norma Internacional abrange todos os tipos de organizações, e especifica os requisitos para estabelecer, implementar, vigiar, operar, rever, manter e melhorar um Sistema de Gestão de Segurança da Informação documentado e inserido no contexto dos riscos globais de negócio da organização. Esta Norma define os requisitos para a implementação dos controlos de segurança adaptados às necessidades da organização ou de partes que a compõem.

Sistemas de gestão de segurança da informaçãoAtravés do já mencionado Plan-Do-Check-Act são colocados em prática, geridos e avaliados os SGSI.

Aborda-se….

Gestão de responsabilidadeNesta etapa procede-se à gestão dos recursos disponíveis, bem como o treino, consciencialização e competência dos colaboradores.

Auditorias internas SGSIFiscalizações internas ao Sistema de Gestão de Segurança da Informação

Gerir a revisão do SGSIProcede-se a uma revisão geral do Sistema, de um modo particular aos inputs e outputs.

Melhoria do SGSINesta última fase é contemplada a importância de uma melhoria contínua do SGSI, incluindo as necessárias acções correctivas e preventivas.

Complementaridade entre as normas

São duas normas que apesar de distintas se complementam. Tratando-se a Norma 17799 de um código de práticas para gerir a segurança da informação, e a Norma ISO 27001 ao fornecimento de um modelo com o objectivo de estabelecer, implementar, operar, monitorizar, rever, manter e melhorar o Sistema de Gestão de Segurança da Informação, estas duas normas acabam por funcionar de uma forma encadeada e interdependente.

É alias usual que uma organização que se baseie na Norma ISO 27001 para implementar um Sistema de Gestão de Segurança da Informação

sigam também as práticas instituídas pela Norma 17799.

De que forma as normas contribuem para garantir a segurança da informação?

…as normas nem sempre podem ser passíveis de ser utilizadas pelas instituições, e a sua eficácia não corresponde a 100%...

MAS…

… são instrumentos que (quando adoptados), permitem às instituições ultrapassar muitas vulnerabilidades relacionadas com a segurança da informação, tornando-se mais eficazes no combate às ameaças à informação, e inspiram mais confiança aos utilizadores, o que é meio caminho andado para o sucesso.

Políticas de Segurança da Informação

…com o crescente número de ameaças à Segurança da Informação, diversas nações têm vindo a colocar em prática mecanismos legais com o objectivo de travar este problema. Destacam-se o EUA, Japão, Coreia, etc…

SOCCentro de Operações

de Segurança

Metodologia de Avaliação da Seg. da Informação

Combate ao Cibercrime

Centros de Coordenação CERT

Centros de Coordenação são centros que se dedicam à geração de respostas a incidentes à segurança da informação. Contribuindo de forma decisiva para o combate ao ciber-crime.

Um dos mais importantes Centros de Coordenação é sem dúvida o CERT/CC, que embora tenha como missão inicial responder a incidentes, especializou-se na tarefa de identificar e calcular o tamanho das potenciais ameaças, planeando um contra-ataque a essas ameaças. O CERT está focaliza-se na garantia do software passando pela segurança organizacional sem esquecer a segurança dos sistemas.

Combate à Engenharia Social

É necessário o desenvolvimento de politicas que comuniquem as preocupações relativamente aos ataques de engenharia social e dos hackers e treinar os colaboradores contra essas politicas para que se protejam a eles e ás suas organizações.

…as organizações devem ser dotadas de um conjunto de políticas que apoiem a prevenção contra a engenharia social. …essas politicas devem ser de fácil memorização e também devem ser facilmente implementadas quando se recebe, por exemplo, uma chamada ou email suspeito.

“nos dias que correm, a informação adquiriu valor indiscutível… ter a

informação certa, no momento certo, é factor de vantagem e na maior parte

das vezes, significa sucesso…”

…uma das principais razões, de entre muitas outras, para que preservar e conservar a informação IMPORTANTE, seja uma preocupação, e cada vez mais…

Patrícia LopesSofia Costa

Documents

Segurança da Informação Faculdade de Letras da Universidade do Porto Licenciatura em Ciência da Informação Preservação e Conservação - 2010