Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouRenata Esteves Andrade Alterado mais de 8 anos atrás
1
Paulo Teixeira Segurança nos Sistemas de Informação Criptografia e Segurança Informática
2
Paulo Teixeira Ainda relativamente ao trabalho … Ver Ted talks sobre security 800-14 da NIST - Generally Accepted Principles and Practices for Securing Information Technology Systems …
3
Paulo Teixeira 3 Bibliografia Whitman, M. E., & Mattord, H. J. (2012). Principles of information security (4th ed.). Boston, MA: Course Technology. Carneiro, Alberto. (2009). Auditoria e Controlo de Sistemas de Informação, FCA. Silva, Pedro et al. (2003). Segurança dos Sistemas de Informação, Centro Atlântico, 2003 Gollmann, D. (2011). Computer security (3rd ed.). Chichester, West Sussex: Wiley. Dhillon, G. (2007). Principles of information systems security : text and cases. Hoboken, NJ: John Wiley & Sons. Shoemaker, D., & Conklin, W. A. (2011). Cybersecurity: The Essential Body of Knowledge: Cengage Learning.
4
Paulo Teixeira 4 Objetivos Fornecer o conhecimento necessário para implementar, manter, e seguir um programa de segurança Sensibilizar para a importância da segurança de Sistemas de Informação numa organização Introduzir técnicas e metodologias
5
Paulo Teixeira 5 Contexto A informação é um recurso indispensável a um incontável número de atividades Por várias razões, os Sistemas e as Tecnologias de Informação (STI) podem falhar no cumprimento dos seus objetivos A segurança e a auditoria dos STI pretende minimizar a probabilidade de desvio dos objetivos inicialmente previstos
6
Paulo Teixeira 6 Objetivos da segurança informática Proteger e assegurar: a privacidade a integridade a disponibilidade de SI automatizados, e dos dados que eles contêm.
7
Paulo Teixeira 7 Fatores importantes nos STI Privacidade: restrição de acesso a informação (= confidencialidade) Integridade dos dados: assegurar que operações não permitidas não possam ser efetuadas Disponibilidade: manter o número de falhas a um nível aceitável, ou seja, acessibilidade do sistema sempre que necessário
8
Paulo Teixeira 8 Terminologia Ameaças Vulnerabilidade Contra-medidas Confidencialidade (privacidade) Integridade Disponibilidade
9
Paulo Teixeira 9 Problemas de segurança Vulnerabilidades técnicas Incidentes de segurança Violações de segurança Problemas de segurança
10
Paulo Teixeira Classificação dos Recursos do S.I. Tipo dos recursos Valor dos recursos
11
Paulo Teixeira 11 Tipo dos recursos Bens materiais: edifícios, equipamentos informáticos, alimentação de energia Suportes de dados e programas: papel, banda, écrans Procedimentos e programas: sistemas operativos, aplicações, alarmes. Dados e informações: bases de dados Recursos humanos
12
Paulo Teixeira 12 Valor dos recursos Valor intrínseco: calculado como o custo da sua substituição Valor de utilização: prejuízo sofrido pela alteração de características do recurso
13
Paulo Teixeira Sinistro Tipo Cenário de um sinistro Vulnerabilidades dos STI Ameaças e agressões Deterioração dos recursos Danos do SI
14
Paulo Teixeira 14 Cenário de um sinistro O conjunto de recursos, materiais ou imateriais, de uma organização pode ser alvo de diversos tipos de agressões, desencadeadas por agentes naturais, humanos, ou artificiais, de forma acidental ou intencional
15
Paulo Teixeira 15 Vulnerabilidades Físicas Equipamentos e programas Suportes de informação Comunicações Recursos humanos
16
Paulo Teixeira 16 Ameaças e agressões Ameaça: agressão potencial que ainda não se manifestou Não autorizadas, acidentais, ou intencionais l Modificação l Destruição l Atrasos l Divulgação l Erros e omissões l Fraude e roubo l Funcionários l Infraestruturas
17
Paulo Teixeira 17 Ameaças e agressões (cont) Agressão: acção que provoca uma alteração não desejada num recurso Física de origem natural: terramotos Física de origem industrial: poluição Física de origem acidental: curto-circuito
18
Paulo Teixeira 18 Ameaças e agressões (cont) Agressão Lógica de origem acidental: negligência Delitos: atos voluntários Crises ou conflitos causadores de sinistros Vulnerabilidades Vias de acesso lógico: proteções mal estabelecidas, portas falsas ou cavalos de Troia, quebra de sistema de segurança Vias de acesso físico: redes, edifícios, suportes de dados
19
Paulo Teixeira 19 Ameaças e agressões (cont) Código malicioso Vírus: segmento de código que se replica “colando-se” a programas executáveis Cavalo de Troia: programa que realiza a tarefa esperada, mas também outras inesperadas e indesejáveis Verme: replica-se a si próprio sem necessitar de um programa hospedeiro Atentado à privacidade
20
Paulo Teixeira 20 Deterioração dos recursos Alteração: passa a funcionar de maneira diferente (dados adulterados, programa) Degradação: nível de desempenho reduzido Avaria: deixa de funcionar, pode ser suscetível de reparação Destruição: é necessário substitui-lo Duplicação: voluntária ou não roubo
21
Paulo Teixeira 21 Deterioração dos recursos (cont) Abuso informático: a má utilização, destruição, alteração, ou interrupção de recursos de processamento de dados Exemplos: Utilização de programas ilegais ou pirateados Utilização de computadores no trabalho para uso pessoal Cópia ilegal de programas Crime informático: Fraude ou Roubo
22
Paulo Teixeira 22 Deterioração dos recursos (cont) Crime informático: Fraude Roubo Sabotagem: envolve um ataque contra o SI Usurpação de serviço: utilização de um recurso de outrem Crime de propriedade: roubo através de, e com, computador
23
Paulo Teixeira 23 Danos do SI Comprometimento de informações sensíveis Divulgação Desvio Informações falseadas ou alteradas Pontuais Maciças Indisponibilidade de serviço
24
Paulo Teixeira 24 Identificação dos prejuízos Prejuízos diretos provocados pelas deteriorações Perda de fundos, imóveis, equipamentos Reconstituição de informações perdidas Prejuízos decorrentes dos danos do sistema de informação Perturbações operacionais Perda de confiança, produtividade, competitividade Encargos para repor a situação anterior
25
Paulo Teixeira Medidas de Segurança Medidas estruturais Medidas dissuasoras Medidas preventivas Medidas de proteção Medidas paliativas Medidas de recuperação
26
Paulo Teixeira 26 Medidas estruturais Fragmentação da informação Ocultação dos recursos Redução do valor dos recursos Minimização do sinistro: redundância de recursos, do suporte lógico
27
Paulo Teixeira 27 Medidas dissuasoras Dissuasão organizacional: formação do pessoal, sensibilização para a segurança Dissuasão técnica: aumentar o risco que se corre ao cometer uma infracção (legislação, rastreio, sanções)
28
Paulo Teixeira 28 Medidas preventivas Barreiras físicas de acesso aos recursos Controlos de acesso, físicos ou lógicos Deteção – interceção antes da agressão
29
Paulo Teixeira 29 Medidas de proteção Deteção – reação: sensores, vigília em permanência Medidas anti propagação Medidas de carácter global Medidas de controlo
30
Paulo Teixeira 30 Medidas paliativas Tendentes a atenuar os danos: como só são tomadas depois, destinam-se a restaurar os recursos. Camuflagem da informação: cifragem, mas não impede a destruição dos dados Certificação de dados e programas: garante de autenticidade Reconfiguração: dinâmica, semiautomática (salvaguardas, pontos de controle, cópias), estática (funcionamento degradado) Restauração de recursos degradados (reparação de hardware, correção de dados e programas)
31
Paulo Teixeira 31 Medidas de recuperação Transferência de riscos para terceiros (ex.: seguros) Ação judicial (existência de provas)
32
Paulo Teixeira Avaliação do Risco Objetivo Potencialidade Fatores intervenientes
33
Paulo Teixeira 33 Avaliação do risco: objetivo Consiste em estabelecer uma hierarquia entre os problemas de segurança, e definir uma ordem de prioridade Deve-se avaliar um sinistro do ponto de vista do impacto, potencialidade e gravidade dos danos
34
Paulo Teixeira 34 Potencialidade Estudo de cenários segundo a sua probabilidade de ocorrer Classificação dos cenários segundo vários níveis (forte, médio, fraco, insignificante) Espionagem industrial Adivinhar senhas dinâmicas
35
Paulo Teixeira 35 Fatores intervenientes Exposição natural: a acidentes naturais, ao tipo de concorrência, ao valor da informação Risco do agressor: fator de dissuasão Intensidade da agressão: Capacidade do agressor Meios Acaso
36
Paulo Teixeira Política de Segurança Áreas de intervenção para proteção de recursos Funções e responsabilidades Objetivos, modelo Sensibilização e análise de risco Métodos de análise de risco Questões básicas
37
Paulo Teixeira 37 Áreas de intervenção para proteção de recursos Dados e informação Física Recursos humanos Programas Comunicações Administrativa
38
Paulo Teixeira 38 Área: dados e informação Recurso mais importante Politica de acesso por utilizador Classificação da informação de saída Sensibilidade da informação Procedimentos locais para manipulação e processamento
39
Paulo Teixeira 39 Área: física Fechaduras Cartões de acesso Vigilantes Balcão de segurança Destruição de documentos
40
Paulo Teixeira 40 Área: recursos humanos Vistos de segurança Informação/sensibilização Formação Segurança física Responsabilidade individual
41
Paulo Teixeira 41 Área: programas Lista de produtos avaliados/certificados Testes de segurança Prevenção de lógicas maliciosas Documentação Licenças de programas Inventários
42
Paulo Teixeira 42 Área: comunicação Processo de cablagem/conexão aprovado Utilização de produtos certificados Monitorar
43
Paulo Teixeira 43 Área: administrativa Categorias de cargos Procedimentos para controlo de acesso aos STI Reportar incidentes e violações de segurança Reportar vulnerabilidades técnicas Estabelecimento de sanções
44
Paulo Teixeira 44 Política de segurança: objetivos Define orientações superiores e apoio para a segurança de informação Deve existir um documento sobre política de segurança disponibilizado a todos os elementos da organização Estabelece penas para não conformidade Determina o valor de dados e recursos
45
Paulo Teixeira 45 Política de segurança: objetivos (cont) Protege os recursos das ameaças Atribui responsabilidades Fornece formação de segurança e sensibilização Deve monitorar e avaliar a segurança dos dados
46
Paulo Teixeira 46 Política de segurança: áreas Responsabilização Formação de segurança Pessoal / funcionários Equipamento Modos operatórios Segurança física
47
Paulo Teixeira 47 Política de segurança: áreas (cont) Plano de contingência Gestão das configurações de sistemas Requisitos de classificação (ex.: confidencial) Planos de segurança
48
Paulo Teixeira 48 Responsabilidades da gestão Implementar e manter um programa de segurança Identificar requisitos de proteção da informação Fornecer recursos financeiros e materiais Fornecer formação de segurança e sensibilização
49
Paulo Teixeira 49 Responsabilidades da Gestão (cont) Conduzir vistorias de segurança e de proteção Fomentar a declaração de vulnerabilidades técnicas de segurança
50
Paulo Teixeira 50 Função do gestor de segurança dos SI Concentra questões de segurança Conceção Desenvolvimento Gestão Determina controlo de segurança Implementa programa geral de segurança Não deve participar nas operações diárias
51
Paulo Teixeira 51 Função do Gestor de Segurança da Rede Concentra questões de segurança Orientação Assistência Responsável pela segurança da rede Não deve participar nas operações diárias
52
Paulo Teixeira 52 Função do Responsável de Segurança dos SI Desenvolve procedimentos de segurança locais Assegura conformidade da segurança dos SI no local de operação ou instalação Administra contas de utilizador Assessor técnico de segurança à gestão de topo Pode ser o administrador de sistemas, de SI, ou de rede
53
Paulo Teixeira 53 Função do Responsável de Segurança de Rede Plano de segurança local Implementa o programa de segurança de rede Pode ser o responsável de segurança dos SI
54
Paulo Teixeira 54 Outras funções Proprietários dos recursos Responsáveis pela confidencialidade, integridade e disponibilidade da informação e dos dados Proprietários de dados Determinam os requisitos funcionais de acesso Desenvolvem politicas de segurança de acessos
55
Paulo Teixeira 55 Depositários Certificam que os requisitos físicos e administrativos de segurança são cumpridos Notificam sobre requisitos inapropriados ou inadequados
56
Paulo Teixeira 56 Modelo Sensibilização Definição da política de segurança Definição da política de segurança Revisão Execução gestão Execução gestão Manuais de segurança Manuais de segurança Implementação da política Implementação da política Planos de segurança Planos de segurança Análise dos riscos Análise dos riscos
57
Paulo Teixeira Organização do programa de Segurança Objetivos da segurança Programa de segurança Responsabilidade e autoridade organizacional Responsabilidade e autoridade operacional Política de segurança Responsabilidades da gestão de topo
58
Paulo Teixeira 58 Objetivos da segurança Respeitar leis e regulamentos Reduzir o risco a um nível aceitável Assegurar a continuidade operacional (disponibilidade) Assegurar confidencialidade e integridade
59
Paulo Teixeira 59 Programa de segurança observadores revisões política de segurança monitorização e auditoria funções e autoridade gestão de risco certificação acreditação plano de contingência
60
Paulo Teixeira 60 Assistência e orientação centralizada Deve existir uma autoridade nacional Deve existir uma autoridade de certificação No caso Português é o Gabinete Nacional de Segurança http://www.gns.gov.pt/http://www.gns.gov.pt/
61
Paulo Teixeira 61 Responsabilidade e autoridade organizacional Fornece um nível adequado de segurança Garante que são desenvolvidos planos de segurança
62
Paulo Teixeira 62 Responsabilidade e autoridade operacional Planos de segurança de informação ao nível da instalação local
63
Paulo Teixeira 63 Sensibilização e análise de risco TécnicasMétodosResultados Administração u Análise de custos u Comparações u Análise dos riscos u Apresentações u Vídeos u Demonstrações u Financia u Apoio Chefias intermédias u Controlo da segurança u Demonstrar como a segurança auxilia o desempenho u Apresentações u Vídeos u Circulação de documentos u Apoio u Adesão Chefias de base Técnicos u Declarações de responsabilidade u Diretivas u Apresentações u Vídeos u Documentos u Apoio u Adesão
64
Paulo Teixeira 64 Métodos de análise de risco MARION (França, 1984) Utiliza cenários de risco genéricos (incêndios, etc) e concentra-se nas consequências MELISA (França, 1984) Auditoria de vulnerabilidades para implementar medidas de segurança CRAMM (UK) Aplica-se aos SI governamentais
65
Paulo Teixeira 65 Questões básicas Quais os valores que se querem proteger? Quais as ameaças que podem afetar esses valores? Quais as vulnerabilidades que permitem que as ameaças se concretizem? Quantificação do risco
66
Paulo Teixeira Planeamento da Segurança Objetivos Método de planeamento da segurança Estrutura de planos de segurança Teste dos planos de segurança Atualização dos planos de segurança
67
Paulo Teixeira 67 Planeamento da segurança: objetivos Garantir que as atividades críticas da organização sejam restabelecidas e mantidas o mais rapidamente possível a seguir a qualquer desastre ou falha importantes que afetem recursos ou serviços essenciais. É essencial a existência de um método de planeamento para desenvolver planos de segurança Os planos devem ser testados periodicamente Os planos devem ser revistos regularmente
68
Paulo Teixeira 68 Método de planeamento de segurança Encontrar respostas objetivas e precisas às seguintes questões: Que acidentes se pretendem prevenir? Contra que ameaças se deve implementar proteção? Que riscos se podem correr?
69
Paulo Teixeira 69 Método de planeamento de segurança (cont) Deve incidir essencialmente sobre a manutenção das atividades críticas, e deverá cobrir: Identificar e priorizar atividades críticas Avaliação do impacto dos acidentes Identificar e aprovar responsabilidades e medidas de emergência Documentar métodos e processos aprovados Formar os recursos humanos Testar os planos Atualização dos planos
70
Paulo Teixeira 70 Estrutura do planeamento da segurança Estrutura única de planos de segurança Plano de segurança da informação Plano de segurança “lógica” para servidores Plano de segurança “lógica” para PCs …
71
Paulo Teixeira 71 Estrutura de planos de segurança Procedimentos de emergência Acções imediatas a tomar após um acidente Procedimentos de recursos alternativos Deslocar actividades ou serviços Procedimentos de reposição Reiniciar o normal funcionamento Programa de testes Como e quando
72
Paulo Teixeira 72 Teste dos planos de segurança Devem ser regulares, Devem ser divulgados, Programados e faseados
73
Paulo Teixeira 73 Actualização dos planos de segurança sempre que: Aquisição de novo equipamento Adopção de novas tecnologias de detecção Alterações na organização ou RH Mudança de fornecedores Alteração de números de telefone Alterações nas aplicações Alterações de legislação
74
Paulo Teixeira Plano de Recuperação Objetivo Criação de cópias de segurança Esquema das cópias de segurança Periodicidade das cópias
75
Paulo Teixeira 75 Plano de recuperação: objectivo Criar obrigatoriamente cópias de segurança de toda a informação relevante Estabelecer tipos de cópias Periodicidade das cópias Produção de um manual de procedimentos
76
Paulo Teixeira 76 Criação de cópias de segurança Periodicidade Número de exemplares Localização do arquivo de suportes Procedimentos de reposição
77
Paulo Teixeira 77 Esquema das cópias de segurança Para cada aplicação / serviço: Definir os ficheiros a copiar Definir o momento em que se efectua a cópia Modo de efectuar a recuperação, evitando erros em tarefas
78
Paulo Teixeira 78 Periodicidade das cópias Diária Semanal Mensal Anual Periodicidade variável
79
Paulo Teixeira Plano de Reposição Objetivos Aplicação do plano de reposição Normas de reposição no manual
80
Paulo Teixeira 80 Plano de reposição: objectivos Estabelecimento de normas permitindo repor o funcionamento do sistema em caso de interrupção ou avaria Deve estar sempre disponível
81
Paulo Teixeira 81 Aplicação do plano de reposição Avarias no equipamento Avarias de climatização ou de energia eléctrica Avarias nas telecomunicações Erros de programação Destruição de ficheiros Ausência de pessoal
82
Paulo Teixeira 82 Normas de reposição no manual de exploração referem-se a: Recuperação após cancelamento de um programa Reposição de ficheiro a partir de uma cópia de segurança Reconfiguração de equipamento Recuperação de movimentos por erro na transmissão
83
Paulo Teixeira Plano de Contingência Objetivos Porquê Elaboração do plano de contingência Objetivos do plano de contingência Análise de risco Requisitos do plano de contingência Elementos de um plano de contingência
84
Paulo Teixeira 84 Plano de contingência: objetivos Destina-se a assegurar a continuidade das atividades críticas da organização entre o acidente e a retoma do pleno funcionamento Deve ser elaborado após uma análise de risco, de modo a assegurar um funcionamento aceitável em termos de custo/eficiência
85
Paulo Teixeira 85 Plano de contingência: objetivos (cont) Deve-se ter em conta que não é prático ou económico proteger contra TODAS as ameaças Deve minimizar os danos e os prejuízos financeiros Deve permitir a total reposição dos recursos
86
Paulo Teixeira 86 Porquê Equacionar a indisponibilidade do SI para além de períodos aceitáveis Prever instalações de reserva, com ou sem equipamento disponível
87
Paulo Teixeira 87 Elaboração do plano de contingência O conteúdo, dimensão e detalhe do plano é função dos cenários, por ex.: Interrupções acidentais Indisponibilidade de ficheiros ou BD Falha de comunicações Destruição por fogo ou inundação Destruição total dos recursos
88
Paulo Teixeira 88 Análise de risco Põe em evidência o que é essencial para manter a continuidade das actividades da organização daquilo que é acessório Identifica as medidas de segurança que importa implementar, e que portanto deverão ser contempladas no manual de contingência
89
Paulo Teixeira 89 Análise de risco: etapas Análise de risco e avaliação das vulnerabilidades O que pode acontecer? Com que frequência? Definição dos objetivos de segurança Fundamentação económica das medidas de segurança
90
Paulo Teixeira 90 Requisitos do plano de contingência Constituído por sub-planos: Plano de recuperação Plano de reposição Considera instalações alternativas, com: Responsáveis (cópias, manuais, operações) Endereços e plantas, transportes Características do equipamento disponível Recursos a transportar
91
Paulo Teixeira Segurança e Auditoria Informtica 91 Requisitos do plano de contingência (cont) Relativo a instalações alternativas: Responsáveis pela instituição Procedimentos de alarme, acesso, segurança Calendário de testes do plano Data da última revisão do plano
92
Paulo Teixeira 92 Elementos de um plano de contingência Planeamento preliminar Ações preparatórias Como … Plano de ação O quê …
93
Paulo Teixeira 93 Elementos: planeamento preliminar Objetivo Âmbito Hipóteses Responsabilidades Estratégia global
94
Paulo Teixeira 94 Elementos: ações preparatórias Pessoas Dados Programas Equipamento Comunicações u Transportes u Espaços físicos u Ambiente e energia u documentação
95
Paulo Teixeira 95 Elementos: plano de ação Resposta de emergência Proteger a vida e a propriedade Minimizar o impacto da emergência Operações de salvaguarda O que deve ser feito para iniciar e implementar Ações de recuperação O que fazer ao efetuar a recuperação
96
Paulo Teixeira 96 Responsabilidades da Gestão Adesão ao programa de segurança Assegurar participação organizacional Prever testes periódicos Avaliar e atualizar periodicamente Estabelecer diretamente o plano de contingência
97
Paulo Teixeira Criptografia e Segurança Informática Licenciatura em Engenharia de Sistemas Informáticos Questões
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.