SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS BOA NOTE A TODOS SOU LUIS AGUIAR. ALUNO CONCLUINTE DO CURSO DE SISTEMAS DE INFORMAÇÃO DA FACULDADE INPER. VOU FALAR UM POUCO SOBRE A SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS. Luis Aguiar
O que é Segurança da Informação? São um conjunto de controles, (incluindo políticas, processos, estruturas organizacionais, normas e procedimentos de segurança,) com o objetivo de proteger dados e informações de clientes e ou empresas, nos seus aspectos de confidencialidade, integridade e disponibilidade. SEGUNDO NOSSO AMIGO TENENBAUM Andrew S. Tanenbaum
O que SÃO SISTEMAS DISTRIBUIDOS? Coleção de computadores independentes que se apresenta ao usuário como um sistema único e consistente TAMBEM SEGUNDO NOSSO AMIGO TENENBAUM Andrew S. Tanenbaum
O que são SISTEMAS DISTRIBUIDOS São sistemas onde a centralização das informações não se resume a um ou dois servidores, e sim em grandes servidores de bancos de dados e ou aplicações que são replicados para os diversos data centers que devem fazer parte do sistema e que passam transparentes ao usuário final. MINHA PRÓPRIA DEFINIÇÃO UM POUCO MAIS DETALHADA Luis A. Aguiar
Passado da segurança da informação 1971 inicio da Internet para fins de comunicação; 1995 inicio da Internet Comercial no Brasil; Implementação de Sistemas Distribuídos com alto custo; Links dedicados com custos altos, ex: REMPAC (R$ 1.500,00 por 64Kbps); Segurança dos sistemas engatinhando; 1971, primeiro vírus (Creeper) emitia periodicamente na tela a mensagem: "I'm a creeper... catch me if you can!" (Sou uma trepadeira, agarrem-me se puderem). Para eliminar este virus foi criado o primeiro programa antivirus denominado Reaper. NO PROXIMO SLIDE VEREMOS UMA LINHA DO TEMPO COM DETALHES
Exemplos de sistemas distribuídos Internet: Google Apps, Virtualização (nuvens) Sistemas de Gerenciamento de Passagens aéreas ou terrestre; Sistemas Governamentais tais como: SUS, Receita Federal, Bancos, etc; Peer to Peer: Emule, Torrent, SETI (Projeto Seti at home que visa procurar em sinais de rádio interplanetários algum vestígio de vida extraterrestre.), etc.
Falhas de segurança Falhas iniciam nos procedimentos de seguranças comuns a quaisquer sistemas tais como: Senhas fracas; Sistema de backup falho ou ausente; Portas abertas e Falhas em sistemas de log; Sistemas sem fio desprotegidas; Falha nas camadas de segurança dos sistemas operacionais; “Trojan humano”, engenheiros sociais disfarçados de terceirizados ou semelhante.
Falhas de segurança em sds 90% das falhas vêem de dentro da própria empresa (fonte: CERT-CGI); Falta de treinamento para os funcionários; Contratação irregular de terceirizados; Escolha dos softwares de compõem o sistema (pirataria); Disponibilização de acessos restritos sem auditoria; Ausência de PenTests (testes de penetração); Falha no descarte de material de trabalho (papel, smartphones, mídias óticas pendrives) Falta de uma política de segurança (interna e externa) Falha na implementação: politicas, serviços, processos, etc
Exemplos de Falhas de segurança em sds O deputado Hugo Leal (PSC/RJ) apresentou dados de uma pesquisa feita pelo TCU, que revelam: 88% dos 256 órgãos da administração pública federal tiveram nota inferior a 50 (0 a 100) na avaliação do nível de governança de TI. E 63% sequer possuem um plano diretor de informática aprovado e publicado.
Exemplo de Falta de políticas de segurança A equipe da British Telecom conseguiu descobrir que um BlackBerry pertenceu a um diretor sênior de vendas de uma empresa japonesa. Eles recuperaram o seu histórico de chamadas, 249 contatos, sua agenda, 90 endereços de e-mail e 291 e-mails. Isto permitiu determinar a estrutura da sua organização, o futuro plano de negócios e os principais clientes, projetos de viagem, detalhes sobre a família do proprietário — incluindo filhos, estado civil, endereço, datas de consulta e endereços de assistência médica e odontológica, dados de conta bancária e o número da licença do automóvel.
Exemplos de Falhas na política de segurança Emails pessoais
Exemplos de Falhas de segurança em sds Disponibilização de acesso irrestrito as mídias digitais (cd, dvd, pen drive, bluethooth etc)
10 maiores ameaças em 2011 A posição mais alta no ranking de ameaças virtuais no Trojan AutorunINF.Gen (9,14%) Junto com o WormAutorun.VHG (4,31%) , acumulam quase 14% do total de registros de ataques cibernéticos no Brasil. Isto faz com que a função autorun dos dispositivos removíveis abra uma brecha para qualquer tipo de ataque.
Aumentando a segurança em sds Escolha de um ou mais Data Centers; Treinamento (funcionários e parceiros); Implementar Auditorias; Contratação de uma equipe de segurança da informação; Implementar software de gestão com segurança aumentada (ssl, java, criptografia forte , vpn, etc); Implantação de Frameworks com processos que objetivem a segurança (ISO27001, ITIL, COBIT, etc; Implementar Pentests; Implementar protocolo IPV6; Métodos de reação a eventuais falhas ou vulnerabilidades.
POLÍTICAS DE SEGURANÇA OBSTÁCULOS DA IMPLEMENTAÇÃO DESCULPE NÃO EXISTEM RECUSOS FINANCEIROS, AS PRIORIDADES SÃO OUTRAS (Muitas vezes é só desculpa); PORQUE CONTINUAM FALANDO SOBRE IMPLEMENTAÇÃO DA POLITICA? (Executivos não compreendem os reais benefícios); DESCULPE É MUITO COMPLEXO (complexo não significa que deva ser ignorado); A POLÍTICA DE SEGURANÇA VAI FAZER COM QUE EU PERCA MEU PODER?
DataCenter da Microsoft em Santo Antônio, California DATA CENTERS DataCenter da Microsoft em Santo Antônio, California 46.000m²
DISTRIBUIÇÃO DE DATA CENTERS NO BRASIL E NO MUNDO
Motivações para reforço na segurança em SD Espionagem industrial (Invasões); Desejo de possuir o produto (CNPJ, emails, Num. De Cartão de Crédito, Numerários) Conteúdo exclusivo aumenta o desejo de acesso para roubar dados (Ex. Endereços, telefones, emails, Cartões de crédito); Lei para crimes da Internet ainda muito branda ou ausente.
Plc – projeto de lei da câmara nº 657 de 2008 Redação final do Substitutivo do Senado ao Projeto de Lei da Câmara nº 89, de 2003 (nº 84, de 1999, na Casa de origem)., que altera o Decreto-Lei nº 2848, de 07 de dezembro de 1940 - Código Penal e a Lei nº 9296, de 24 de julho de 1996, e dá outras providências. DOS CRIMES CONTRA A SEGURANÇA DOS SISTEMAS INFORMATIZADOS Art. 285-A. Acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso: Pena - reclusão, de 1 (um) a 3 (três) anos, e multa.
Plc – projeto de lei da câmara nº 657 de 2008 “Inserção ou difusão de código malicioso” Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. § 1º Inserção ou difusão de código malicioso seguido de dano Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa. “Divulgação ou utilização indevida de informações e dados pessoais” Art. 339-C. Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal: Pena – detenção, de 1 (um) a 2 (dois) anos, e multa.
conclusões A segurança da informação está vulnerável em sistemas distribuídos. Infelizmente no Brasil, a cultura de querer tirar vantagem sempre em alguma coisa, faz com que os detentores de informações privilegiadas corrompam-se e acabem por vender ou trocar por favores estas informações, aliado a falta de uma política de leis severas e a efetiva aplicação das mesmas para os que praticam atos de cybercrimes. Um conjunto de Soluções tais como: software, hardware, processos, treinamento, implementação de frameworks e auditorias são as formas de se tentar manter a segurança das informações sejam elas em Sistemas Distribuídos ou no seu Servidor Local.
Pense grande. Águias não caçam moscas. MENSAGEM OBRIGADO Provérbio latino
Perguntas
MAIS INFORMAÇÕES EM: Www.Luisaguiar.com.br Luis Alberto Lyra de Aguiar Aluno concluinte do curso de Sistemas de Informação. - Trabalhou como Gestor de TI em empresas de grande porte tais como São Paulo Alpargatas(SP), CEPROL(CE), Pagfacil(PB); - Possui mais de 20 anos vivência em TI; Possui diversos cursos na área de TI tais como: COBIT, TCP/IP Microsoft Offcial Curriculun, Windows Server 2003, Segurança da Informação, etc.