A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança e Auditória de Sistemas

PublicouMateus Jardim Sequeira Alterado mais de 8 anos atrás

Apresentações semelhantes

Apresentação em tema: "Segurança e Auditória de Sistemas"— Transcrição da apresentação:

1 Segurança e Auditória de Sistemas
Tauller Matos Material 4

2 Segurança como parte do negocio

3 Agenda Falta de cuidado com relação à segurança
Segurança como parte dos negócios Como a segurança é vista hoje Investimentos em segurança Mitos sobre segurança Riscos e considerações quanto à segurança Segurança versus funcionalidades Segurança versus produtividade Uma rede totalmente segura

4 FALTA DE CUIDADO COM RELAÇÃO À SEGURANÇA
TCP/IP e Internet: alcance mundial dos invasores aos seus alvos Portas TCP/IP Macros (Word e Excel): Nova geração de vírus Infecção muito mais veloz Meios diversos de infecção (p.e., ) Qualquer tipo de arquivo pode ser infectado Linguagens para a Internet (JavaScript, ActiveX) Difícil controle Podem causar sérios problemas numa rede interna

5 FALTA DE CUIDADO COM RELAÇÃO À SEGURANÇA
Sofisticação dos s Interpretam diversos tipos de códigos e arquivos Códigos maliciosos se utilizam destes avanços

6 SEGURANÇA COMO PARTE DOS NEGÓCIOS
Muitos processos de negócios não enfocaram a segurança Filosofia “funcionou, está ótimo” Falso senso de segurança Instalar um firewall ou anti-vírus e se achar protegido

7 SEGURANÇA COMO PARTE DOS NEGÓCIOS
Negócios na Web Segurança passa a ser o principal responsável Exemplos: Transmissão e armazenamento de informações de clientes Disponibilidade dos sites Imagem da empresa em caso de ataque bem-sucedido Comunicação segura entre matrizes, filiais, fornecedores, parceiros comerciais, distribuidores e clientes

8 SEGURANÇA COMO PARTE DOS NEGÓCIOS
Profissional de segurança Ouvir as pessoas Conhecer as tecnologias Aplicar as tecnologias na organização de acordo com: Estratégia de negócios Necessidades Estratégias de segurança

9 COMO A SEGURANÇA É VISTA HOJE
Reputação Anos para ser construída Destruída num instante As organizações se baseiam na confiança de seus clientes No ambiente cooperativo é pior ainda Problema com uma organização afeta todas

10 COMO A SEGURANÇA É VISTA HOJE
Vista como um gasto, não um investimento Nem sempre é quantificável Deve ser transparente Deve ser como a qualidade: Ninguém discute se a qualidade é necessária hoje Ele passou a ser algo necessário

11 INVESTIMENTOS EM SEGURANÇA (como é feito)
Orçamento geralmente pequeno Falta de visão da importância Fatos recentes mudaram esta visão Principais pontos de fortalecimento: Fortificação do perímetro da rede Segurança e disponibilidade do servidor web Segurança e disponibilidade do servidor de comércio eletrônico Segurança de Segurança de acesso remoto

12 INVESTIMENTOS EM SEGURANÇA
Tendência no aumento gradual no nível de investimentos em segurança Principais setores: Consultoria tecnológica Setor bancário e financeiro Governo e militares Menos investimento: Educação revendedores

13 INVESTIMENTOS EM SEGURANÇA
Quantificação geralmente suposta (“chute”) Necessidade: Análise de risco Metodologia para quantificar e qualificar os níveis de segurança de cada recurso na organização

14 MITOS SOBRE SEGURANÇA “Isso não acontecerá conosco”
“Já estamos seguros com o firewall” “Utilizamos os melhores sistemas, então eles devem ser seguros” “Utilizamos as últimas versões dos sistemas dos melhores fabricantes” “Nosso fornecedores irão nos avisar, caso alguma vulnerabilidade seja encontrada” “Ninguém vai descobrir essa ‘brecha’ em nossa segurança”

15 MITOS SOBRE SEGURANÇA “Tomamos todas as precauções, de modo que os testes não são necessários” “Vamos deixar funcionando e depois resolveremos os problemas de segurança“ “Os problemas de segurança são de responsabilidade do departamento de TI“ “Depois de instalar o Word, por favor, instale o firewall“ “A companhia de segurança que foi contratada irá cuidar da segurança”

16 MITOS SOBRE SEGURANÇA “O nosso parceiro é confiável, podemos liberar o acesso para ele” “Não precisamos nos preocupar com a segurança, pois a segurança é um luxo para quem tem dinheiro” Outros? ...

17 Exercícios 1) Você já foi afetado por vírus de macro? Dê exemplos. 2) Quanto aos mitos discutidos na aula de hoje, quais você já ouviu? Conhece outros mitos sobre segurança?

18 RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA
Falta de classificação das informações Qual o valor? Qual a sua confiabilidade? Que risco estamos correndo? Quanto se perderia com um ataque?

19 RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA
Controle de acesso mal definido Somente autenticação inicial Acesso irrestrito depois de autenticado Acesso a partes do sistema não necessárias

20 RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA
Dificuldade de controle sobre todos os sistemas Sistemas operacionais Softwares Equipamentos ativos ‘bugs’ podem abrir ‘brechas’ internas

21 RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA
A Internet é um ambiente hostil Não pode ser presumida confiável Todo usuário é potencialmente um atacante

22 RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA
As informações que trafegam na rede estão sujeitas a serem capturadas Não apenas a informação, mas o padrão de tráfego pode ser monitorado As mensagens que são enviadas para fora da rede interna podem ser: capturadas lidas modificadas falsificadas

23 RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA
Qualquer conexão entre a rede interna e qualquer outro ponto (do mundo!) pode ser utilizado para ataques à rede interna Os telefones podem ser grampeados, e as informações (voz ou dados) podem ser gravadas Os firewalls protegem contra acessos explicitamente proibidos e quanto aos serviços legítimos?

24 RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA
Segurança pela obscuridade “Ninguém me invade por que não conhece meus segredos” “Guardar a chave da porta debaixo do tapete” “Ninguém sabe o que eu guardo dentro desta caixa” “Tomara que ninguém desconfie de quanto eu tenho neste envelope”

25 SEGURANÇA VERSUS FUNCIONALIDADES
Quanto maior a quantidade de funcionalidades, tanto menor é a segurança Funcionalidades: Serviços Aplicativos Pessoas envolvidas

26 SEGURANÇA VERSUS FUNCIONALIDADES
Realidade de muitas organizações: Ênfase nas funcionalidades Segurança em segundo plano O ambiente cooperativo exige segurança Falta de preocupação com segurança Pode ser bom no início Traz graves problemas depois

27 SEGURANÇA VERSUS FUNCIONALIDADES - FATORES
Exploração de vulnerabilidades Sistemas Operacionais Aplicativos Protocolos Serviços Exploração de aspectos humanos Engenharia social Falha no desenvolvimento ou implementação da política de segurança

28 SEGURANÇA VERSUS FUNCIONALIDADES - FATORES
Falha na configuração de serviços e sistemas de segurança Desenvolvimento de ataques mais sofisticados

29 SEGURANÇA VERSUS FUNCIONALIDADES
Pontos de vulnerabilidade: Número de pontos de vulnerabilidade = número de recursos críticos x número de usuários que acessam estes recursos Exemplo: Dez mil arquivos num servidor Cem usuários com acesso a estes arquivos Um milhão de possíveis pontos de acesso vulneráveis

30 SEGURANÇA VERSUS PRODUTIVIDADE
Quanto maior a segurança, menor a produtividade Políticas muito restritivas afetam a produtividade Política de segurança deve ser balanceada Liberar serviços necessários Impedir os desnecessários ou de risco

31 SEGURANÇA VERSUS PRODUTIVIDADE
Áudio por demanda, ICQ, MSN, chats Comprometem nível de produtividade Consomem grande largura de banda da rede Trazem vulnerabilidades a rede interna

32 UMA REDE TOTALMENTE SEGURA
Não existe! Segurança envolve diversos aspectos: Técnológicos (autenticação) Técnicos (administrador) Sociais (insiders) Humanos (funcionários ludibriados) Educacionais (escolha de senhas)

33 UMA REDE TOTALMENTE SEGURA
Definir a “máxima proteção” baseado em: Que recursos devem ser protegidos Quem irá administrar a segurança Que investimento será feito

34 UMA REDE TOTALMENTE SEGURA
Segurança inclui: Política e procedimentos abrangentes Controle de usuários Autenticação de: Meios de acesso Transações Comunicações Proteção dos dados Monitoramento Evolução no nível da segurança Uso de novas tecnologias

35 UMA REDE TOTALMENTE SEGURA
Segurança total não existe Segurança parcial assume os riscos Definição do nível de segurança de acordo com o desejado

36 UMA REDE TOTALMENTE SEGURA
Objetivo: Criar uma rede altamente confiável Capaz de anular ataques casuais Capaz de tolerar acidentes Falhas benignas podem ser toleradas Colocar as vulnerabilidades onde causem o mínimo de problemas Estar preparado para o pior

37 Exercícios 3) Porque quando se fala de segurança, diz se, redução das vulnerabiliades e não eliminação das vulnerabilidades? 4) Comente sobre segurança versus Funcionalidade. 5) Comente sobre segurança versus produtividade.

38 Bibliografia deste material
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. 1. ed. Rio de Janeiro: Elsevier, p. Material dos professor Mehran Misaghi

39 Dúvidas Obrigado pela atenção!
39

Carregar ppt "Segurança e Auditória de Sistemas"

Apresentações semelhantes

Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
Confiança.

Confiança.
Segurança em Redes - Código Seguro

Segurança em Redes - Código Seguro
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
ESTRUTURA DE COMUNICAÇÃO DE DADOS

ESTRUTURA DE COMUNICAÇÃO DE DADOS
Curso Técnico em Manutenção e Suporte a Informática

Curso Técnico em Manutenção e Suporte a Informática
Performance em aplicações web – Parte I

Performance em aplicações web – Parte I
Desenvolvimento de estratégias de segurança e gerência

Desenvolvimento de estratégias de segurança e gerência
1 SIPE – ETAPAS Como é uma atividade demorada e que, muitas vezes, demanda recursos consideráveis como consultores, reuniões, viagens, etc., o Planejamento.

1 SIPE – ETAPAS Como é uma atividade demorada e que, muitas vezes, demanda recursos consideráveis como consultores, reuniões, viagens, etc., o Planejamento.
Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas
Aurélio V. Schuelter aurelio@hotsync.com.br Ameaças Virtuais Aurélio V. Schuelter aurelio@hotsync.com.br.

Aurélio V. Schuelter Ameaças Virtuais Aurélio V. Schuelter
Informática Básica Unidade IV.

Informática Básica Unidade IV.
Sistema de Informação Gerencial (SIG)

Sistema de Informação Gerencial (SIG)
Fundamentos de Segurança da Informação

Fundamentos de Segurança da Informação
1.1 – Conceitos Básicos Definições e Propriedades; Ameaças; Ataques;

1.1 – Conceitos Básicos Definições e Propriedades; Ameaças; Ataques;
Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.

Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.
O Ambiente Cooperativo

O Ambiente Cooperativo
INE5680 - Segurança de Redes Aula 1 Prof. João Bosco M. Bosco (bosco@inf.ufsc.br / jbmsobral@gmail.com)

INE Segurança de Redes Aula 1 Prof. João Bosco M. Bosco /
INE Prof. João Bosco M. Sobral

INE Prof. João Bosco M. Sobral
Segurança e auditoria de sistemas

Segurança e auditoria de sistemas

Apresentações semelhantes

Anúncios Google