A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

1 Segurança de Informações Analisando ameaças. 2 Segurança de Informações Analisando ameaças Ameaça é tudo aquilo que pode comprometer a segurança de.

Apresentações semelhantes


Apresentação em tema: "1 Segurança de Informações Analisando ameaças. 2 Segurança de Informações Analisando ameaças Ameaça é tudo aquilo que pode comprometer a segurança de."— Transcrição da apresentação:

1 1 Segurança de Informações Analisando ameaças

2 2 Segurança de Informações Analisando ameaças Ameaça é tudo aquilo que pode comprometer a segurança de um sistema, podendo ser acidental (falha de hardware, erros de programação/usuários, etc...), ou deliberada (roubo, espionagem, sabotagem, invasão, etc...). Pode ser uma pessoa, uma coisa, um evento, uma idéia capaz de causar dano. Ameaças deliberadas: Passivas – envolvem invasão e/ou monitoramento, sem alteração de informações. Ativas – Envolvem alteração nos dados. A magnitude de uma ameaça deliberada está relacionada com a oportunidade, motivação e forma de detecção e punição de quebras de segurança.

3 3 Segurança de Informações Analisando ameaças - tipos Vazamento de informações - informações desprotegidas/reveladas Violação de integridade – comprometimento da consistência Indisponibilidade de serviços – impedimento ao acesso aos recursos Acesso e uso não autorizado –pessoa ou uso não autorizado. Após as ameaças se efetivarem em um ataque: Mascaramento – uma entidade ou pessoa se passa por outra Desvio de controles – falhas nos controles permitem acessos Violação autorizada – usuário autorizado com propósitos não autorizados Ameaças Programadas – códigos de softwares embutidos nos sistemas para violar segurança, alterar ou destruir dados. Ameaças Vulnerabilidades ou Fragilidades Impactos

4 4 Segurança de Informações Bugs de Software Bug - erro num programa de computador que o faz executar incorretamente. Trazem aborrecimentos e muitas vezes prejuízo. Back doors – Bugs propositalmente inseridos nos programas para permitir acesso não autorizado (brechas de segurança). Hackers estão sempre em busca de back doors para invadir sistemas. Ameaças programadas Programas podem passar a ter comportamentos estranho, pela execução de códigos gerados para danificar ou adulterar o comportamento normal dos softwares. Podem ser confundidos ou identificados como vírus.

5 5 Segurança de Informações Vírus – Perigo real, imediato e crescente. Surgimento de novas pragas, cada vez mais eficientes e desastrosas e de longo alcance. Ambiente Internet contribui para disseminação. Atualização do antivírus não acontece na mesma freqüência. São classificadas pela forma de como se comportam, como são ativados ou como se espalham: Vírus Worms Bactéria Bomba Lógica Cavalo de Tróia

6 6 Segurança de Informações Tipos de Vírus Vírus de Boot - move ou altera o conteúdo original do boot, ocupando aquele espaço e passando atuar como se fosse o próprio boot do sistema. Vírus parasita – utilizam arquivos executáveis (.com,.exe) como hospedeiros, inserindo códigos de desvio para o código do vírus. Vírus camuflados – para dificultar o seu reconhecimento pelos anti-vírus. Vírus polimórficos – mudam seu aspecto cada vez que infectam um novo programa. Vírus de macro – macros são pequenos programas embutidos em planilhas e arquivos de texto. Como esses arquivos são os mais comuns, tratam-se de excelente meio de propagação.

7 7 Segurança de Informações Fontes de infecção por Vírus Disquetes Redes Cd-Rom´s de revistas s Pen drive Softwares Anti-Vírus Prevenção Detecção Remoção

8 8 Segurança de Informações Analisando impactos e calculando riscos Em função do tempo em que um impacto, causado por uma ameaça, permanece afetando a instituição: curto ou longo prazo. Escala de Classificação: 0 - Impacto irrelevante. 1 – Pouco significativo, sem afetara a maioria dos processos. 2 – Sistemas não disponíveis por um período de tempo, pequenas perdas financeiras e de credibilidade. 3 – Perdas financeiras de maior vulto e de clientes. 4 – Efeitos desastrosos, sem comprometer a sobrevivência da instituição. 5 – Efeitos desastrosos, comprometendo a sobrevivência da instituição.

9 9 Segurança de Informações Analisando impactos e calculando riscos Além do nível do impacto, temos também os tipos de impacto, definidos a critério de cada instituição. Exemplos de tipos de impactos: 01 – Modificação dados. 02 – Sistemas vitais não disponíveis 03 – Divulgação de informações não confidenciais 04 – Fraudes. 05 – Perda de credibilidade 06 – Possibilidade de processo contra a instituição 07 – Perda de clientes para a concorrência

10 10 Segurança de Informações Analisando impactos e calculando riscos Assim como os impactos, as probabilidades de ameaças podem ser distribuídas em uma escala Escala de Classificação: 0 – Ameaça completamente improvável de acontecer. 1 – Probabilidade de ocorrer mais de uma vez por ano. 2 – Probabilidade de ocorrer pelo menos uma vez por ano. 3 – Probabilidade de ocorrer pelo menos uma vez por mês. 4 – Probabilidade de ocorrer pelo menos uma vez por semana. 5 – Probabilidade de ocorrer diariamente.

11 11 Segurança de Informações Matriz de Relacionamento entre Ameaças, Impactos e Probabilidades Ameaças GenéricasTipo Impacto 0-5 Probabilidade 0-5 Erros Humanos Ameaças associadas à identificação Cavalos de Tróia Ameaças associadas à disponibilidade Desastres Naturais Ameaças associadas à confidencialidade Monitoramento tráfego rede interna Ameaças associadas à integridade Modificações deliberadas das informações Ameaças associadas ao controles de Acesso Acesso a arquivos de senhas

12 12 Auditoria de Tecnologia da Informação Controles Sobre Banco de Dados Os dados corporativos são os maiores patrimônios de uma organização. Como são armazenados e manipulados por softwares de banco de dados, os controles sobre eles é de importância vital. SGBD – Vários modelos e padrões disponíveis no mercado. Independente de qual seja, há a necessidade de auditagem e monitoramento. Auditores especializados com cada SGBD, conhecendo seus pontos fracos em termos de segurança. Software de Banco de Dados Controles gerais iguais aos de pacotes de softwares: Instalação, Configuração, Manutenção, Utilitários.

13 13 Auditoria de Tecnologia da Informação Software de Banco de Dados (cont.) Instalação - verificar se foi feito de acordo com as recomendações do Fornecedor e se foram instaladas as correções e alterações de segurança mais atualizadas. Configuração - comparar os parâmetros de configuração com as Recomendações de segurança conhecidas para SGDB em exame. Manutenção e documentação – verificar se os procedimentos de atualização de versões, instalação de correções e de documentação são adequados. Utilitários - alguns SGDB possuem software utilitários associados a sua implementação que permitem acesso direto a dados, sem passar pelos controles normais de segurança de acesso. A equipe deve verificar a existência desses utilitários e garantir que seu uso seja feito por um número restrito de pessoas e controlado por mecanismos de segurança.

14 14 Auditoria de Tecnologia da Informação Controles Sobre Banco de Dados Disponibilidade – Característica fundamental do BD. Mecanismos de recuperação devem garantir a a recuperação rápida de dados, em caso de perda ou corrupção. Uma vantagem é que maioria dos SGBD´s, principalmente os de grande porte, contém facilidades que mantêm cópias da base de dados e registros das últimas alterações. Backup – Bases e logs devem ser copiados diariamente. Devido a custos de armazenamento, esse período pode ser avaliado pela equipe. Toda rotina de backup deve ser testada para comprovar sua eficiência. Logs e dados devem estar em unidades diferentes. Replicação e redundância – Distribuição e espelhamento de dados entre servidores, para uma maior disponibilidade de dados.

15 15 Controles Sobre Banco de Dados Integridade – Garantia que os dados estão completos e corretos. Restrição a atualização simultânea - apenas um usuário de cada vez obtém acesso para atualização de um determinado registro. Restabelecimento dos ponteiros e índices para as estruturas de dados - grande parte dos SGDB possuem mecanismos internos de detecção, análise e recuperação dos ponteiros e índices para as estruturas de dados. Controle de atualização de dados em ambientes de banco de dados distribuídos – é necessário que haja mecanismos de controle e atualização de dados nesse ambiente. Mecanismos de reorganização – de tempos em tempos, após várias atualizações, a base de dados precisa ser reorganizada para que a integridade dos dados seja mantida. Mecanismos de verificação de integridade e correção – é necessário existir mecanismos que analisem e corrigem a integridade caso detectem algum problema Auditoria de Tecnologia da Informação

16 16 Controles Sobre Banco de Dados Confidencialidade – Nem todos os usuários precisam ter acesso a todos os dados. Para garantir a confidencialidade dos dados, devem existir mecanismos de controle que permitam que os usuários acessem apenas os dados necessários para a execução de suas funções na empresa. Controles de Acesso – O acesso deve restringir aos dados necessários para o desempenho das funções. Controle de Uso - O registro de uso através de logs garante o controle das alterações. Auditoria de Tecnologia da Informação

17 17 Auditoria de Tecnologia da Informação Controles Sobre Microcomputadores A proliferação do uso de microcomputadores fez com que esses ambientes cada vez mais passassem a ser alvos de auditorias. Características: Configuração de HW e SW cada vez mais complexas. Maior interação entre usuário e computador. Tarefas como boot, localizar e copiar arquivos, deletar, etc., tornaram-se tarefas simples para usuários. Menor controle físico e ambiental sobre equipamentos. Mesmo assim, as políticas de segurança e auditoria não podem deixar de ser aplicadas ao ambiente de microinformática. Riscos e Controles Específicos O risco vem da própria falta de controle do ambiente. Os usuários vêem os micros em suas mesas como propriedades, sobre as quais exercem seus próprios controles e agem da forma como acharem melhor.

18 18 Auditoria de Tecnologia da Informação Controles Sobre Microcomputadores Riscos e Controles Específicos Programas educativos, treinamentos e boletins ajudam a quebrar resistências. Não faz sentido os micros estarem ilhados, como forma de controle e prevenção, mas a conexão destes equipamentos à rede da empresa requer cuidados e alguns procedimentos padrões, em virtude da segurança. Conformidade com a Legislação Usuários de micro têm sempre a tentação de instalar e usar softwares estranhos à organização. Posturas desses usuários: Ninguém vai ficar sabendo. Ninguém me disse que não podia. Eu não sabia que era proibido por lei.

19 19 Auditoria de Tecnologia da Informação Controles Sobre Microcomputadores Conformidade com a Legislação Os usuários devem conhecer previamente as normas da empresa em relação à instalação de softwares, para que se respeitem direitos autorais e que também saibam como proteger as informações confidenciais da empresa. Pirataria Formas comuns: Comprar uma licença e copiá-la para vários computadores. Alugar software sem permissão do detentor de copyright. Fazer, distribuir ou vender cópias de SW como se fosse seu proprietário. Baixar pela Internet sem anuência do detentor do copyright. Prática condenada em instituições, por razões de legalidade, ética e riscos de perdas e danos. Verificação de SW pirata é prática comum em qualquer auditoria.

20 20 Auditoria de Tecnologia da Informação Controles Sobre Microcomputadores Controles de Acesso Físico e Lógico O acesso físico é menos controlado nos micros. Essa facilidade representa uma porta de entrada ou uma tentação para burlar os controles. Os dados também podem ser copiados, apagados ou alterados por usuários não autorizados. Interfaces amigáveis ao mesmo tempo que ajudam o usuário com inúmeras ferramentas, facilitam também o acesso a arquivos e programas. A instalação de pacotes de segurança, senhas, criptografia e armazenamento de dados importantes somente em servidores, provê um grau de proteção maior contra acesso não autorizado. Estabilizadores e no-breaks podem garantir a disponibilidade dos micros.

21 21 Auditoria de Tecnologia da Informação Controles Sobre Microcomputadores Proteção Contra Vírus Os micros se tornaram principal alvo dessa ameaça, pois onde estão as maiores falhas na prevenção e sobretudo pela alta conectividade destes equipamentos. Existem alguns controles para a empresa reduzir os riscos de vírus, alguns técnicos, outros administrativos. Uso de Anti-Vírus Necessário não apenas a instalação, mais uma correta configuração e atualização periódica. Participação em listas ou fóruns para tomar conhecimento de novas pragas e como prevenir do seu ataque. Cuidado com mensagens falsas. Disseminação entre todos os usuários da existência de novos vírus, suas formas de ataque e, caso disponível, sua vacina. Lista de Verificações

22 22 Exercícios Propostos – Banco de dados 1) Além dos aspectos típicos de segurança que devem ser verificados em uma auditoria, a equipe de auditoria deve checar os controles gerais aplicados a SGDB. Que controles são esses? Fale sobre cada um. 2) Quais as principais vantagens dos SGBD, que dizem respeito a DISPONIBILIDADE de informações? 3) Quais são as propriedades intrínsecas dos SGDBs para garantir a INTEGRIDADE dos dados? Fale sobre cada uma delas. 4) Fale sobre a CONFIDENCIALIDADE dos dados garantidas pelos SGBDs.

23 23 Exercícios Propostos - Microcomputadores 1 ) Os mesmos controles aplicados a um ambiente de tecnologia de grande porte pode ser aplicado ao ambiente de pequeno porte, como ambiente de microcomputadores? Explique. 2) Cite as principais características de um ambiente de pequeno porte (micro) 3) Quais são os principais riscos associados ao ambiente de pequeno porte (micro)? 4) Quais os principais controles que devem ser utilizados em um ambiente de pequeno porte (micro)? Fale sobre cada um deles.


Carregar ppt "1 Segurança de Informações Analisando ameaças. 2 Segurança de Informações Analisando ameaças Ameaça é tudo aquilo que pode comprometer a segurança de."

Apresentações semelhantes


Anúncios Google