A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança em Sistemas e Redes 1. Histórico A tecnologia da Informação engatinhava: limitações de armazenamento e preços proibitivos mainframes. Nos tempos.

Apresentações semelhantes


Apresentação em tema: "Segurança em Sistemas e Redes 1. Histórico A tecnologia da Informação engatinhava: limitações de armazenamento e preços proibitivos mainframes. Nos tempos."— Transcrição da apresentação:

1 Segurança em Sistemas e Redes 1

2 Histórico A tecnologia da Informação engatinhava: limitações de armazenamento e preços proibitivos mainframes. Nos tempos dos Mainframes os aspectos de segurança simples: - Segurança Física 2 Décadas atrás as informações eram tratadas de forma centralizada e ainda pouco automatizadas.

3 Histórico Mainframes foram herdando, gradativamente, a função de central de processamento e armazenamento de dados. Surgem terminais por toda a empresa. 3 Surgem, portanto, as primeiras redes de computadores. As informações passam a ser digitalizadas e os processos mais automatizados.

4 Histórico 4 Os computadores tomam contam dos ambientes de escritórios. Compartilhar e atualizar informações passa a ser uma necessidade Surge um novo contexto com uma vasta gama de riscos.

5 Novo contexto Quebra-se o paradigma de acesso local às informações. As informações chegam a qualquer lugar do mundo através dos portáteis (notebooks, palms,...) e da rede mundial de computadores: internet. 5

6 Aumento de incidentes O alto grau de conectividade e a grande disponibilidade de informações trouxeram problemas... 6 A quantidade de incidentes bate recordes a cada dia, devido a falta de cuidados/informações dos usuários e principalmente dos profissionais de TI. Muitas empresas sofrem ameaças constantes em seus ativos, o que poderia representar milhares ou milhões em prejuízos.

7 Tipos de ataques 7

8 Situação é ruim, e vai piorar... Aumento de computadores por pessoa. Crescimento de utilização da Banda Larga. Softwares complexos. Popularização da necessidade de uma rede interna. Carência de profissionais qualificados. Segurança da informação 8

9 Situação é ruim, e vai piorar... Alto compartilhamento de técnicas de ataque e invasão. Disponibilidade e facilidade no uso de ferramentas para ataques e invasões. Carência de jurisprudência que tenha regulado sobre atos ilícitos em meio eletrônico. Diversificação dos perfis da ameaça: concorrente, sabotador, especulador, adolescente, hacker, funcionário insatisfeito. Segurança da informação 9

10 Definição de Ativos Ativo é todo recurso que pode sofrer algum tipo de ataque, logo, são elementos que a segurança da informação busca proteger. Os ativos de uma empresa podem ser: – Bens, direitos, documentos impressos, dinheiro em caixa, banco de dados, capital humano e intelectual.... Portanto todos os recursos que necessitam de alguma proteção, é considerado um ATIVO. 10

11 Segurança da Informação Os computadores e/ou sistemas são ditos seguros, se atendem a três requisitos básicos. – Confidencialidade – Integridade – Disponibilidade Em última análise os principais objetivos dos cuidados com segurança são proteger as informações de uma vasta gama de ameaças para assegurar a continuidade dos negócios, minimizar os danos e maximizar o ROI 11

12 Confidencialidade ou Sigilo O princípio da confidencialidade da informação tem como objetivo garantir que apenas a pessoa correta tenha acesso à informação que queremos distribuir. – Não significa informação isolada ou inacessível a todos, mas sim a informação que deve ser acessada a quem lhe é de direito. 12

13 Disponibilidade Para que uma informação possa ser utilizada, ela deverá estar disponível. – Considera-se este princípio quando um sistema, ou ativo de informação precisa estar disponível para satisfazer seus requisitos ou evitar perdas financeiras 13

14 Integridade A integridade, que nos permite garantir que a informação não tenha sido alterada seu conteúdo na sua trajetória ou armazenamento. – Ela estará íntegra se em tempo de resgate, estiver fiel ao estado original. Outro conceito semelhante a Integridade relacionado a segurança, refere-se a autenticidade. – Neste caso o objetivo é garantir que a informação obtida, por exemplo a identidade de um usuário, ou o conteúdo de um documento são de fato verdadeiros. 14

15 Histórico 15

16 Discussão Qual é a importância do principio da Integridade em um Banco de dados? E os outros princípios? O que pode ocorrer caso algum destes princípios sejam violados por um funcionário mal intencionado? Você conhece algum caso real onde um destes princípios foi violado e causou prejuízos a uma organização? 16

17 Vulnerabilidades Vulnerabilidades são elementos que, ao serem explorados por ameaças, afetam a confidencialidade, a disponibilidade ou a integridade das informações. Um dos primeiros passos para a implementação da segurança é rastrear e eliminar os pontos fracos ou as vulnerabilidades de um ambiente de TI. Quais as vulnerabilidades você agora no início do curso seria capaz de identificar no seu ambiente de trabalho ou na sua casa? 17

18 Vulnerabilidades A vulnerabilidade na computação significa ter brecha em um sistema. Alguns tipos de vulnerabilidades são: – Físicas: Instalações prediais fora do padrão; salas de CPD mal planejadas... – Naturais: Incêndios, enchentes, terremotos... – Software: Bugs, erros na instalação ou má configuração... – Hardware: Falha nos recursos tecnológicos, desgaste, obsolescência... 18

19 Vulnerabilidades Alguns tipos de vulnerabilidades: – Comunicação: Acessos não autorizados ou perda de comunicação... – Armazenagem: Discos, fitas, relatórios e impressos podem ser perdidos ou danificados (radiação eletromagnética)... – Humanas: Falta de treinamento, compartilhamento de informações confidenciais, sabotagens, ameaça de bomba, greves, roubo, vandalismo, invasões, guerras... 19

20 Vulnerabilidades Alguns fatores podem aumentar as vulnerabilidades: – Pressa no lançamento de novos produtos – Competitividade – Alto nível de conectividade – Aumento do número de potenciais atacantes – Integração entre diferentes tecnologias 20

21 Ameaças São os agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. 21

22 Ameaças As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas 3 características: Perda de Confidencialidade: quando há uma quebra de sigilo de um dado, permitindo que informações importantes sejam expostas. -Ex: a senha de um usuário ou administrador de sistema Perda de Integridade: quando uma informação fica exposta a manuseio por uma pessoa não autorizada. -Ex: Fraude e alterações indevidas Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem necessita dela. - Ex: Queda de um servidor de aplicação, perda da comunicação 22

23 Ameaças Podem ser: Naturais: Ameaças decorrentes de fenômenos da natureza como incêndios naturais, enchentes, terremotos, etc. Involuntárias: Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causadas por acidentes, erros, falta de energia, etc. Voluntárias: Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários. 23

24 Perguntas Você já ouviu falar em alguma vulnerabilidade causada por software? O que pode acontecer se um sistema militar tiver uma vulnerabilidade explorada? O que pode acontecer se um banco de dados com cartões de créditos do cliente for roubado, ou disponibilizado na Web? 24

25 Fato real A loja virtual de CDs, CD Universe teve sua base de dados, que continha números de cartões de crédito roubada. Com isso sua reputação ficou seriamente comprometida e antigos clientes passaram a não comprar mais na loja. O Hacker não foi identificado e o caso continua em aberto. 25

26 Política de Segurança 26

27 Política de segurança na organização Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. O propósito de uma política de segurança é informar aos usuários suas obrigações para a proteção e acesso às informações. Para gerenciar de forma segura a informação e não depender apenas de talentos humanos, é necessário criar uma Política de Segurança. 27

28 Política de segurança na organização Para que ter uma Política de Segurança ? – Proteger as informações que subsidiam o funcionamento dos processos de negócio da empresa. – Reduzir e administrar os riscos da informação e dos impactos potencialmente provocados por um incidente de vazamento, fraude, sabotagem e indisponibilidade. – Preservar os atributos da informação. – Não ser responsabilizado. – Reduzir prejuízos 28

29 Por que ter uma Política de Segurança ? – Não perder dinheiro e evitar problemas como os que foram enfrentados pela Omega Engineering Corp. – A organização demitiu Timothy A. Lloyd, um administrador de sua rede de computadores. – A falta de uma política de segurança para o acesso ex-funcionários, fez com que Lloyd implantasse um programa-bomba que apagou todos os projetos e softwares cruciais para a empresa. – Os prejuízos causados foram de US$ 10 milhões. 29

30 Prejuízo com o mau uso da Internet e ativos de TI Façam as contas... Pequena empresa com 10 Funcionários... Salário Médio R$4000,00, +- R$25,00/hora 1 Hora por dia, lendo s pessoais ou acessando redes sociais. PIOR - > Instalação de servidores em anuência da Gerência de Redes ou observação de políticas de segurança. Por que ter uma Política de Segurança ? 30

31 Política de segurança na organização A segurança passou a ser encarada pela corporação como um investimento para atingir os objetivos do negócio. 31

32 O planejamento O planejamento da política de segurança exige uma visão abrangente, de modo que os riscos sejam entendidos, para que possam ser enfrentados. A abordagem pró-ativa é muito importante. O apoio dos gerentes e executivos é essencial, pois faz com que os recursos financeiros para as soluções necessárias sejam garantidos. 32

33 Fatores que devem ser considerados Alguns fatores devem ser considerados para elaboração de uma política de segurança: – Conheça as possíveis ameaças e inimigos – Contabilize os ativos da empresa – Possíveis impactos gerados por um ataque – Considere os fatores humanos – Conheça seus pontos fracos – Limitar a confiança 33

34 Fatores que devem ser considerados Alguns fatores devem ser considerados para elaboração de uma política de segurança: – Nunca se esqueça da segurança física – Custos de implementação dos mecanismos – A segurança não deve influir na produtividade dos usuários – Benefícios 34

35 O planejamento A política é o elemento que orienta as ações e as implementações futuras. Normas abordam os detalhes, como os passos da implementação, conceitos e os projetos. Os procedimentos são usados para que os usuários possam cumprir aquilo que foi definido na política. 35

36 A Política de Segurança A política de segurança deve abordar os seguintes aspectos: – Os objetivos da Política de Segurança da Informação – Critérios para criação/exclusão de contas de usuários – Política de senha – Definição das permissões de acesso a recursos – Compartilhamento de dados – Política de Backup – Uso do correio eletrônico ( ) 36

37 A Política de Segurança A política de segurança deve abordar os seguintes aspectos: – Configuração de sistemas para seguraça da corporação (Anti- vírus, Firewall, DMZ, Proxy, IDS...) – Plano de Recuperação de Desastres – Política de acesso à Internet – Uso de Laptops e outros dispositivos móveis – Penalidades 37

38 – ISO é um conjunto de recomendações para melhores práticas em Segurança da Informação, independe da tecnologia utilizada. – A ISO (atualizada para ISO 27002) é reconhecida em todo mundo como o mais completo padrão para Segurança da Informação e que se baseou no padrão britânico BS7799. – A política de segurança se baseia na norma ISO 17799, assim como a política de qualidade se baseia na ISO9000. NBR ISO/IEC

39 – Com uma divulgação efetiva, a política de segurança deverá tornar-se parte da cultura da organização, disseminando regras e controles da informação. Comunicação interna ( s, painéis, intranet) Treinamentos específicos Pôsteres, mouse pads, protetores de tela, etc... – Os esforços necessários para a implantação da segurança podem levar muito tempo.... Divulgação 39

40 Obstáculos para implementação Além da dificuldade natural da implementação da segurança, alguns obstáculos podem surgir durante o projeto da política de segurança: – Desculpe, não existem recursos financeiros suficientes e as prioridades são outras – Temos realmente que fazer tudo isso? – Por que eu tenho que me preocupar com isso? Esse não é o meu trabalho 40

41 A gestão da segurança é uma mistura desses três elementos, em que cada um deles é complementar e interdependente. Um dos elementos mais importantes na gestão da segurança, pois em essência são elas que executam e suportam os processos de uma corporação. Constituem a linha mestra da gestão da segurança no dia-a-dia. São as soluções de segurança empregadas para suportar os processos delineados. Conclusão 41

42 Discussão Você conhece alguma organização que trabalha com política de segurança? Cite um exemplo da aplicação de uma política de segurança no seu local de trabalho. Qual poderia ser o impacto se a política de segurança de um banco não for seguida, e um funcionário divulgar o extrato de um cliente? Porque parece ser tão difícil a implementação destas políticas? 42

43 Atividade 1Defina os 3 princípios da segurança da informação 2Descreva com suas palavras a função de um plano de segurança e suas características. 2 – Quais são os elementos de um plano de segurança? 4 – Em sua opinião, a política de segurança é estática ou é um documento que deve estar em modificação? Justifique sua resposta. 43

44 Atividade 5 – Faça uma pesquisa na internet e escreva um pequeno texto sobre recente descoberta de vulnerabilidade em um software. Explique qual foi o problema, como ele foi encontrado, diagnosticado e tratado. Qual dos aspectos de segurança foi afetado no caso que você pesquisou ? Confidencialidade, disponibilidade e integridade? 44


Carregar ppt "Segurança em Sistemas e Redes 1. Histórico A tecnologia da Informação engatinhava: limitações de armazenamento e preços proibitivos mainframes. Nos tempos."

Apresentações semelhantes


Anúncios Google