Os Grandes Desafios em Segurança da

Informação e Como Superá-losInformação e Como Superá-los

UCL – Semana Nacional de Ciência e Tecnologia

Vitória/ES, 19 de Outubro de 2009.

Agenda

�Conceitos

�O que, de quem, como proteger?

�História

�Demandas

�Novos negócios�Novos negócios

�Desafios

�Tecnologias

�Pessoas e Processos

Evolução da TIC

� 1ª. Revolução – Década de 60

�Grandes Centros de Processamento de Dados

� 2ª. Revolução – Década de 70

� Terminais Remotos

� 3ª. Revolução – Década de 80

�PC, Redes de Computadores

� 4ª. Revolução – Década de 90

�Downsizing , Massificação da Internet

� 5ª. Revolução – Década de 2000

�Computação Móvel, Cloud Computing, Virtualização

História da Segurança da Informação

� 30000 AC - Ancestrais usavam sinais para marcar moradias e identificar tribos

� 2700 AC – Hieróglifos egípcios

� 1200 AC – Guerra de Tróia

� 1891 DC – Datiloscopia: DAKTILOS = dedos + SKOPEIN = examinar= dedos + SKOPEIN = examinar

� 1918 DC – Máquina de criptografia Enigma

� 1986 DC – Computer Fraud andAbuse Act é a primeira lei que tipifica crimes de computador

� 2002 DC – Sarbanes Oxley (SOX)

� ...

Carlos Eduardo Brandão

O que proteger?

�Ativos ou Recursos de TIC:

�sm 1 Acervo de uma casa comercial. 2 Capital em

circulação.

�sm pl 1 Bens materiais, dinheiro, haveres, fortuna.

�Premissas de segurança (CIA)�Premissas de segurança (CIA)

Do que proteger?

� Adulteração

� Invasão para a “pichação” de sites WEB

� Alteração de informações em bancos de dados

� Interrupção

� DoS e DDoS

� Interceptação

� Roubo de senhas� Roubo de senhas

� Monitoramento de transações comerciais

� Falsificação

� IP Spoofing

De quem proteger?

�Perfil dos Invasores:

�Hackers – status e projeção pessoal, ataques não-destrutivos.

�Crackers – destruição e/ou danos irreparáveis.

�Terroristas – danos que acarretem em ganhospolíticos.políticos.

�Invasores Internos – objetivos de ganhosfinanceiros ou vingança

�Criminosos Profissionais – objetivos comerciaisfinanceiros pessoais.

Como proteger?

� A Segurança da Informaçãobaseia-se em:

� Pessoas:

� Cultura

� Capacitação

� Processos:

� Sistemas de Gestão de Segurança da Informação PessoasPessoasSegurança da Informação

� Plano de Continuidade dos Negócios

� Plano de Recuperação de Desastres

� Ferramentas:

� Software

� Hardware

� Serviços

PessoasPessoas

ProcessosProcessos

FerramentasFerramentas

Demanda dos Negócios

�Globalização

�Parcerias, Fusões e Aquisições

�Terceirização

�Compartilhamento de Recursos

�Integração

�Velocidade

�Custo x Benefício

�Conformidade Legal

CLOUD COMPUTINGCLOUD COMPUTING

Cloud Computing

� Modelo no qual a computação

está em algum lugar da rede e é

acessada remotamente, via

Internet.

� Cloud computing is a model for

enabling convenient, on-demand enabling convenient, on-demand

network access to a shared pool

of configurable computing

resources that can be rapidly

provisioned and released with

minimal management effort or

service provider interaction.

Desafios Cloud Computing

Caracterísiticas:

� On-demand self-service

� Redes de banda larga

� Pool de recursos

Desafios

� Complexidade e Diversidade

� Replicação de Informações

� Controle de Acesso� Pool de recursos

compartilhado

� Independência geográfica

� Elasticidade

� Serviços mensuráveis

� Controle de Acesso

� Auditoria

� Regulamentação

� SLA – Service Level

Agreements

� Implementações

Proprietárias

Superando os Desafios do Cloud Computing

� Arquitetura: Private Clouds x Public Clouds

� Criptografia (Armazenamento e Transmissão)

� Virtualização:

� Padronização, distribuição, provisionamento e controle seguro de

máquinas virtuais

� Configuração e operação segura de máquinas virtuais

� Controle de acesso (SaaS, PaaS, IaaS)

� Planos de Contingência e Recuperação de Desastres

� Atendimento a regulamentações (SOX, HIPAA, PCI)

� Contratos consistentes com ISP/ASP

� Escolha de bons fornecedores (ISP/ASP)

� Auditorias externas periódicas

� SLA adequado ao negócio e medido constantemente

COMPUTAÇÃO MÓVELCOMPUTAÇÃO MÓVEL

Desafios da Computação Móvel

Características

� Portabilidade

� Mobilidade

� Disponibilidade

� Energia

Desafios

� Mudança de Paradigma:� Ontem:

Segurança x Conectividade

� Hoje:

x� Energia

� Interface

� Segurança

Conectividade x Segurança

� Conformidade

� Rastreabilidade

� Diversidade de dispositivos

e tecnologias

� Roubo de informações

Controle de Acesso

� O controle de acesso físico e lógico às informações torna-se cada vez mais difícil:� Falhas de configuração e administração de hw e sw

� Falhas de padrões e implementação de protocolos

� Diversidade de tecnologias e múltiplos caminhos de acesso: � Bridges 802.11 a/b/g – WPA/WPA2, WEP

� Citrix Metaframe, Tarantela, Terminal Services

� SSL-VPN� SSL-VPN

� Complexidade das Aplicações

� Ampla distribuição das informações em locais distintos

� Autenticação

� Uso restrito da criptografia

� Cultura

� Engenharia social

Redes Wireless

� Fraquezas das implementações Wireless:� MAC spoofing e session hijacking - http://www.klcconsulting.net/smac/

� Smurf, DHCP Spoofing, ARP Spoofing e DNS Spoofing

� Wired Equivalent Privacy (WEP)� Chaves de tamanho fixo e compartilhada.

� Criptografia fraca (RC4).

� Quebrado em 2001 - http://www.tomsnetworking.com/Sections-article118-page1.php

� Wi-Fi Protected Access (WPA)� TKIP-Temporal Key Integrity Protocol , 802.1x, MAC� TKIP-Temporal Key Integrity Protocol , 802.1x, MAC

� Ataques de dicionário (quando usado Pre-Shared Key)

� Melhorias no WPA:� WPA2: substituição do RC4 (stream) por AES (block)

� Preocupações Futuras� Hoje: notebooks ligados em portas de switch na rede.

� Amanhã: gateways wireless que proverão backdoors.

Wardriving & Warchalking

Superando os Desafios da Computação Móvel

� Wireless:� Implementar WPA2

� Selecionar adequadamente faixas de frequência e monitorar acessos

� Usar tecnologias atuais: IEEE 802.11n

� Isolar a rede wireless via Firewalls e IPS

� Autenticar e controlar acessos via IEEE 802.1x

� VPN/SSL-VPN/Terminal Services:

� Autenticação forte (baseada em dois fatores)

� Políticas de acesso a rede

� Adotar soluções para Conformidade e Confidencialidade:

� NAC – Network Access Control

� DLP – Data Loss Prevention

Server

Desktop

Guest

Wireless

Router

Switch

Policy Manager

LAN Enforcer

DHCP Enforcer

On-DemandPolicy Manager

Conformidade e Controle de Acesso a Rede

802.1x Enforcement

CompliantNon-CompliantRemediationGuest Access

Gateway Enforcement

Compliant

Personal Firewall On

Anti-Virus Updated

Anti-Virus On

StatusHost Integrity Rule

Personal Firewall On

Anti-Virus Updated

Anti-Virus On

StatusHost Integrity Rule

Non-Compliant

GatewayEnforcerRadius

Remediation

DHCP

Applications

Router

Hackers

Kiosk

Mobile User

Telecommuter

Partner

Thieves

IPSEC VPN

SSL VPN

Password

Token

User Name

StatusEAP

Patch Updated

Service Pack Updated

Personal Firewall On

Anti-Virus Updated

Anti-Virus On

StatusHost Integrity Rule

Password

Token

User Name

StatusEAP

Patch Updated

Service Pack Updated

Personal Firewall On

Anti-Virus Updated

Anti-Virus On

StatusHost Integrity Rule

Patch Updated

Service Pack Updated

Personal Firewall On

Patch Updated

Service Pack Updated

Personal Firewall On

PESSOAS E PROCESSOSPESSOAS E PROCESSOS

Controles, Controles e Mais Controles...

End Point Security

Firewall

Virtual Private Network

Controle de Conteúdo

IPS/IDS

UsuárioProfissional de TI

Dmz

Wan

filialfilial filial

Internet

Corporate LAN

IPS/IDS

Controle de Acesso

Correlação de Eventos

Criptografia

Controle Remoto

Servidores e Storage

Roteadores e Switches

DLP

Pessoas e Processos

Características

� Pessoal interno com maior

foco no negócio da empresa

� Especialização nos serviços

Desafios

� Operação e suporte em

ambientes complexos

� Rotatividade de mão-de-

obra� Monitoração de eventos de

segurança

� Rapidez na resposta a

incidentes

� Disponibilidade 24 x 7

� Monitoramento Pró-Ativo e

Preventivo

obra

� Qualificação profissional

� Educação para a segurança

da informação

� Gestão de pessoas

� Otimização de processos

� Melhoria contínua de

processos

Superando os Desafios de Pessoas e Processos

� Foco em PESSOAS!

� Estabelecer, Manter e Melhorar a Segurança da Informação por meio de

um SGSI – Sistema de Gestão da Segurança da Informação, conforme

ISO17799/ISO27001

� A elaboração de processos deve ser norteada por educação e cultura do

usuário e profissional de TI:

� Ampla divulgação

� Ciclos de palestras� Ciclos de palestras

� Capacitação da equipe técnica

� Interação com usuários

� Medição e Acompanhamento

� Promover a figura do Security Officer

� Promover interação entre departamentos:

� TIC, RH, Jurídico

� Qualificação Multi-disciplinar do profissional de TIC

Ciclo de Vida de Sistemas de Gestão

1. Definir a Política

� Requisitos do Negócio e Mercado

� Objetivos de Segurança

� Gestão de Riscos

2. Avaliar a Conformidade à Política

� Analisar o Ambiente

� Revisar os Controles

3. Implantar a Política

� Instalar Controles

� Integrar Controles� Integrar Controles

� Educar

4. Gerenciar a Conformidade

� Monitorar Eventos

� Manter o Ambiente

5. Responder

� Restaurar

� Remediar

� Melhororar

Política

Mercado de Trabalho do Profissional de TI

� Características do Mercado de

Trabalho:

� Ampla expansão e forte

demanda por profissionais de

Segurança

� Remuneração acima da média

� Deve possuir conhecimentos em

diversas áreas:

� Segurança para Infra-estrutura:

� Sistemas Operacionais

� Redes TCP/IP

� Armazenamento e Backup� Remuneração acima da média

em TI

� Alto nível de especialização

� Previsão do aumento da

demanda

� Tipos de Oportunidade:

� Consultoria e Assessoria

� Administração e Operação

� Suporte

� Armazenamento e Backup

� Segurança de Aplicações

� Desenvolvimento de Sistemas

� Banco de Dados

� Best-practices de Segurança

� Gestão da Segurança

� Visão Sistêmica

� Organização e Processos

� Padrões e Regulamentações

Perfil dos Profissionais

� São Paulo (35%), Rio de Janeiro (15%), Distrito

Federal (10%) e Minas Gerais (8%).

� A faixa etária mudou:

�Antes: sênior entre os 41 e 50 anos (18%)

�Agora: 23 e 27 anos (22%) e entre 28 e 32 anos (20%)

� Empresas privadas (68%) voltadas para os setores de

Serviços, Tecnologia e Indústria.

� Características Pessoais:

� Sigilo (41%), Integração Inter-Equipes (31%) e

Cumprimento de Normas (14%)

ISH Highlights

o Negócio: Fornecimento de soluções integradas de Segurança e Infra-estrutura

o 13 anos no mercado de Segurança e Infra-estrutura de Tecnologia da Informação

o Desde sua fundação com o mesmo “Core Business”

ImplantarAvaliar

mesmo “Core Business”

o Escritórioso Vitória, ESo São Paulo, SPo Brasília, DFo Belo Horizonte, MG

Responder Gerenciar

Parceiros tecnológicos

Serviços ISH

�Quadrantes:

�AVALIAR

� IMPLANTAR

�GERENCIAR

�Modalidades:

�Assessoria

�Consultoria

� Suporte

�RESPONDER � Serviços Gerenciados

�Outsourcing

�Diferenciais:

�Qualificação Técnica

�Compromisso com o

Cliente

� Estrutura

ImplantarAvaliar

ResolverGerenciar

Prêmio ISH Tecnologia 2010

� Objetivo:

� Promover e estimular o desenvolvimento de profissionais no

segmento de Segurança da Informação

� Meta:

� Construir solução para promover o rastreamento e/ou monitoramento

centralizado e remoto da Segurança da Informação, utilizando

ferramentas open source ou de mercadoferramentas open source ou de mercado

� Premiação:

� Estágio de 6 meses na ISH Tecnologia e Notebook

Contatos

Carlos Eduardo BrandãoDiretor Técnico

brandao@ish.com.brhttp://twitter.com/ishtecnologia

Av. Engenheiro Luis Carlos Berrini, 828 conj. 41

Brooklin – 04571-010 – São Paulo, SP

Tel.: 55 11 5503 8501 – Fax: 55 11 5505 2658

Av. Nossa Senhora da Penha, 387, 6º andar

Praia do Canto – 29055-131 – Vitória, ES

Tel.: 55 27 3334 8900 – Fax: 27 3334 8905