Upload
internet
View
105
Download
1
Embed Size (px)
Citation preview
Segurança da Informação
Faculdade de Letras da Universidade do PortoLicenciatura em Ciência da InformaçãoPreservação e Conservação - 2010
Contextualização
Segurança da Informação
Ameaças à Segurança da Informação
Mecanismos de Protecção de Seg. da Informação
Normas – Segurança de Informação
Metodologia de Avaliação de Seg. de Informação
Ciclo de Vida da Segurança da Informação
Contextualização
Ciência da Informação
Gestão da Informação
Preservação e Conservação
Comportamento
Informacional
Segurança da Informação
Organização e
Representação da
Informação
Área axial
… apesar da informação material (ex. livro), ainda ser bastante influente ou relevante, assistimos a uma crescente proliferação da informação em suporte digital, trata-se de uma informação que é pluridimensional …
Contextualização
Dimensão Essencial
ObjectoDigital
Dimensão Física
Dimensão Lógica
Dimensão Conceptual
Contextualização
Informação é um bem que, como qualquer outro bem importante (…)Possui valor para uma organização e consequentemente precisa de ser protegida adequadamente. A segurança de informação protege as informações contra uma ampla gama de ameaças, para assegurar a continuidade dos negócios, minimizar prejuízos e maximizar o retorno de investimentos e oportunidades comerciais.A informação pode existir sob muitas formas. Pode ser impressa ou escrita em papel, armazenada electronicamente, enviada pelo correio ou usando meios electrónicos, mostrada em filmes, ou falada em conversas. Qualquer que seja a forma que a informação assuma, ou os meios pelos quais seja compartilhada ou armazenada, ela deve ser sempre protegida adequadamente.
Nivel Físico
Nível Lógico
… a segurança da Informação, pode e dever ser medida a dois niveis:
Segurança da Informação
Principios Fundamentais da Segurança da Informação
Segurança da Informação
Segurança da Informação
Ciclo de Vida da Segurança da Informação:
Segundo John Oltsik, a Segurança da Informação tem um ciclo de vida dentro das organizações, esse ciclo é composto pelas seguintes etapas:
1. Classificação de dados;
2. Fluxo de informação;
3. Acesso à informação
4. Utilização da Informação
5. Gestão de Riso da Informação6.Políticas que determinam o
funcionamento do ciclo de vida da segurança da informação;
7. Classificadores e repositores de metadados;
8. Sistemas de ficheiros seguros;
9. Gestão centralizada
Incidentes como: roubos, guerras, inundações, incêndios, podem colocar em risco a segurança da informação.
Destruição da informação por incidentes naturais e humanos
Ameaças Seg. da Informação
…podemos designar fuga de informação, como o acesso e divulgação de informação privada e supostamente protegida e interdita.
…as empresas investem cada vez maiores quantias de dinheiro em tecnologia informática que visa barrar o acesso à informação dita privada da organização.
Todavia, nem sempre a fuga de informação é feita através dos meios informáticos, e há uma certa tendência para esquecer o meio social e humano.
Fuga de Informação
Ameaças Seg. da Informação
Baseia-se na obtenção de informação privada a partir da persuasão, manipulação emocional, abuso de confiança e impersonalização…
Técnicas utilizadas pelo engenheiro social para com um colaborador de determinada organização… funciona porque se apoia na honestidade e inocência das vítimas, que partem do princípio que esses valores também são aplicáveis à outra pessoa (engenheiro social).
Engenharia Social
Ameaças Seg. da Informação
Hacker
Ameaças Seg. da Informação
Ciber-crime
Ameaças Seg. da Informação
AdwareProgramas que são instalados com o objectivo de recolher dados pessoais de utilizadores, utilizando para isso a fachada de anúncios publicitários na internet.
Spyware
Programas informáticos, que instalados nos computadores dos utilizadores, registam todas as acções destes, registando tudo o que é digitado no computador, armazenando as páginas Web visitadas, encaminhando esses dados para o computador da pessoa que instalou o programa.
PhishingÉ uma técnica utilizada com objectivo de extrair informação dos utilizadores, através da criação de paginas web falsas em tudo similares ás verdadeiras.
Etc.
Virus Informáticos
Ameaças Seg. da Informação
Existem uma serie de regras que, sendo seguidas, ajudam a prevenir e contornar algumas vulnerabilidades das instituições no que se
refere à protecção da informação.
Por exemplo: apostando em edifícios que garantam (o mais possível) segurança contra roubos, catástrofes naturais, incêndios; não facilitar o acesso de estranhos aos locais com acesso limitado a colaboradores; Identificar devidamente os colaboradores e os utilizadores; proceder a uma actualização constante dos ficheiros que contêm a identificação dos leitores e dos colaboradores e mantê-los em segurança; manter os espaços públicos em vigilância constante…
Protecção contra incidentes naturais e humanos
Mecanismos de Protecção Seg. da Informação
Tecnologias de Segurança da Informação
Mecanismos de Protecção Seg. da Informação
Firewall
Mecanismos de Protecção Seg. da Informação
Anti-vírus
Mecanismos de Protecção Seg. da Informação
Anti Spyware-Adware
Mecanismos de Protecção Seg. da Informação
Controlo de acesso pelos servidores
Mecanismos de Protecção Seg. da Informação
Detecção de Intrusões (IDS)
Mecanismos de Protecção Seg. da Informação
Cifra
Mecanismos de Protecção Seg. da Informação
Wireless específico
Mecanismos de Protecção Seg. da Informação
Biometrias
Mecanismos de Protecção Seg. da Informação
…funcionando à base de uma chave pública denominada de PKI (Public Key Infrastructure) e, é uma plataforma utilizada para garantir a segurança nos documentos electrónicos.
…normalmente a certificação digital assegura aos seus clientes os critérios básicos para a segurança da informação: Integridade; Identificação; Confidencialidade; Aceitação.
Certificação Digital
São atribuídos dois códigos/chaves a cada utilizador: uma chave privada e uma chave pública. Essas duas chaves estão associadas entre si através de uma função matemática, não sendo possível a obtenção de uma chave pública através de uma chave privada, ou vice-versa. Enquanto que a chave pública é disponibilizada a todos, apenas o próprio utilizador conhece a sua chave privada. Os dados codificados na chave pública estão descodificados na chave privada e vice-versa.
PKIComo funciona?
Certificação Digital
Através de uma sequência de bytes o ficheiro é emitido e assinado digitalmente pela entidade de certificação, estabelecendo uma ligação à chave pública, de modo a que a identidade do emissor seja clara para o receptor da mensagem. Para definir o necessário período de validação da mensagem, é necessário utilizar um carimbo de tempo, ou timestamp, que é emitido por uma terceira entidade.
Um timestamping é idêntico a uma assinatura electrónica, contendo a data/hora, fornecida por uma fonte de tempo legal, e permite detectar alterações ao documento feitas após a introdução do carimbo.
Como tudo se processa?
Certificação Digital
Norma ISO
27001
Família ISO
27000 Norma ISO
17799
Normas
Política de segurançaRecomenda que deve existir um documento sobre a política de segurança da empresa, e mecanismos de análise crítica das políticas implementadas.
Segurança organizacionalDividida nos seguintes ítens: Infraestrutura de segurança; Segurança no acesso de prestadores de serviço; Segurança envolvendo serviços standard:
Classificação e controlo dos bensDefine os tipos de bens: Serviços, Sistemas computadorizados, Equipamentos, Documentos, Imagem e reputação da organização, Informações, Pessoas
E, sugere que se faça uma contabilização e classificação dos bens.
Segurança relacionada com o pessoal Segurança na definição e nos recursos de trabalho; A Formação dos utilizadores; Resposta a incidentes de segurança e mau funcionamento, E finalmente, convém que exista um processo disciplinar formal para funcionários que violaram a segurança.
Aborda-se….
Segurança física e ambientalÁreas de segurança; Segurança de equipamento; Controlos gerais
Gestão de Comunicações e operaçõesOs objetivos dessa secção incluem: Garantir instalações para a operação correcta e segura do processamento de informações; Minimizar o risco de falhas dos sistemas; Proteger a integridade do software e/ou das informações; Manter a integridade e disponibilidade do processamento de informação e comunicação; Evitar danos ao património e interrupções nas atividades da empresa; Garantir a proteção das informações em redes e da infra-estrutura de suporte; Prevenir perdas, modificações ou uso inadequado das informações trocadas entre empresas. Sugere procedimentos e responsabilidade operacionais: definição dos procedimentos para operação de sistemas, isto inclui: a segregação de funções; planeamento e aceitação de sistemas; proteção contra software malicioso.Sugere ainda a troca de informações e software, a segurança do comércio eletrónico e a segurança de correio eletrónico.
Controlo de acessoIdentifica a importância da monitorização e controlo do acesso a recursos da rede e de aplicativos, para proteger contra abusos internos e intrusões externas, estabelecendo requisitos de negócios para controlo de acesso, estabelecendo uma gestão de acesso dos utilizadores, estabelecendo uma análise critica dos direitos de acesso, criando responsabilidade dos utilizadores e fazendo um controlo de acesso à rede.
Desenvolvimento e manutenção de sistemasReforça que com todos os esforços de TI, tudo deve ser implementado e mantido com a segurança em mente, usando os controlos de segurança em todas as etapas do processo. Os Requisitos de segurança de sistemas, a segurança nos sistemas de aplicação e o controlo da criptografia.
Gestão da continuidade de negócioRecomenda que as empresas se preparem com formas de neutralizar as interrupções às atividades comerciais, e protejam os processos comerciais cruciais, no caso de uma falha ou desastre.
Obediência a exigências Esta secção exige também uma revisão da política de segurança e compatibilidade técnica, além de considerações a serem feitas em relação ao sistema do processo de auditoria, para garantir que cada empresa se beneficie o máximo possível. Sugere a conformidade com requisitos legais e a análise critica da política de segurança e da conformidade técnica.
O que é…. Composição
A norma ISO 27000 está relacionada com o vocabulário da gestão segurança de informação.
É constituida pela ISO 27001, pela ISO 27002,a ISO 27003, a ISO 27004, a ISO 27005 e a ISO 27006.
Processo de abordagemÉ enfatizada a compreensão dos requisitos de informação das organizações, a necessidade de estabelecer comandos de gestão de riscos da informação, fazer vigilância e revisão ao desempenho e eficácia dos SGSI, melhorar contínuamente através de medições periódicas do próprio SGSI. Todos estes factores são passíveis de ser realizados sendo seguido o famoso Plan-Do-Check-Act.
Âmbito/abrangênciaEsta Norma Internacional abrange todos os tipos de organizações, e especifica os requisitos para estabelecer, implementar, vigiar, operar, rever, manter e melhorar um Sistema de Gestão de Segurança da Informação documentado e inserido no contexto dos riscos globais de negócio da organização. Esta Norma define os requisitos para a implementação dos controlos de segurança adaptados às necessidades da organização ou de partes que a compõem.
Sistemas de gestão de segurança da informaçãoAtravés do já mencionado Plan-Do-Check-Act são colocados em prática, geridos e avaliados os SGSI.
Aborda-se….
Gestão de responsabilidadeNesta etapa procede-se à gestão dos recursos disponíveis, bem como o treino, consciencialização e competência dos colaboradores.
Auditorias internas SGSIFiscalizações internas ao Sistema de Gestão de Segurança da Informação
Gerir a revisão do SGSIProcede-se a uma revisão geral do Sistema, de um modo particular aos inputs e outputs.
Melhoria do SGSINesta última fase é contemplada a importância de uma melhoria contínua do SGSI, incluindo as necessárias acções correctivas e preventivas.
Complementaridade entre as normas
São duas normas que apesar de distintas se complementam. Tratando-se a Norma 17799 de um código de práticas para gerir a segurança da informação, e a Norma ISO 27001 ao fornecimento de um modelo com o objectivo de estabelecer, implementar, operar, monitorizar, rever, manter e melhorar o Sistema de Gestão de Segurança da Informação, estas duas normas acabam por funcionar de uma forma encadeada e interdependente.
É alias usual que uma organização que se baseie na Norma ISO 27001 para implementar um Sistema de Gestão de Segurança da Informação
sigam também as práticas instituídas pela Norma 17799.
De que forma as normas contribuem para garantir a segurança da informação?
…as normas nem sempre podem ser passíveis de ser utilizadas pelas instituições, e a sua eficácia não corresponde a 100%...
MAS…
… são instrumentos que (quando adoptados), permitem às instituições ultrapassar muitas vulnerabilidades relacionadas com a segurança da informação, tornando-se mais eficazes no combate às ameaças à informação, e inspiram mais confiança aos utilizadores, o que é meio caminho andado para o sucesso.
Políticas de Segurança da Informação
…com o crescente número de ameaças à Segurança da Informação, diversas nações têm vindo a colocar em prática mecanismos legais com o objectivo de travar este problema. Destacam-se o EUA, Japão, Coreia, etc…
SOCCentro de Operações
de Segurança
Metodologia de Avaliação da Seg. da Informação
Combate ao Cibercrime
Centros de Coordenação CERT
Centros de Coordenação são centros que se dedicam à geração de respostas a incidentes à segurança da informação. Contribuindo de forma decisiva para o combate ao ciber-crime.
Um dos mais importantes Centros de Coordenação é sem dúvida o CERT/CC, que embora tenha como missão inicial responder a incidentes, especializou-se na tarefa de identificar e calcular o tamanho das potenciais ameaças, planeando um contra-ataque a essas ameaças. O CERT está focaliza-se na garantia do software passando pela segurança organizacional sem esquecer a segurança dos sistemas.
Combate à Engenharia Social
É necessário o desenvolvimento de politicas que comuniquem as preocupações relativamente aos ataques de engenharia social e dos hackers e treinar os colaboradores contra essas politicas para que se protejam a eles e ás suas organizações.
…as organizações devem ser dotadas de um conjunto de políticas que apoiem a prevenção contra a engenharia social. …essas politicas devem ser de fácil memorização e também devem ser facilmente implementadas quando se recebe, por exemplo, uma chamada ou email suspeito.
“nos dias que correm, a informação adquiriu valor indiscutível… ter a
informação certa, no momento certo, é factor de vantagem e na maior parte
das vezes, significa sucesso…”
…uma das principais razões, de entre muitas outras, para que preservar e conservar a informação IMPORTANTE, seja uma preocupação, e cada vez mais…
Patrícia LopesSofia Costa