Segurança e Auditoria de Sistemas Aula 1 - Introdução

O que será estudado nesta disciplina Problemas de segurança: avaliar o risco e impacto. Como descrever uma Política de Segurança. Conhecer as principais técnicas utilizadas para comprometer um sistema. Inibir as principais ameaças a um sistema. Estratégias de segurança: firewall, proxy, criptografia, assinatura digital. Aspectos sobre Auditoria.

Motivação A cada dia, mais informações são produzidas e passíveis de ataques. Esses ataques estão cada vez mais eficientes. Acreditamos que esses ataques nunca acontecerão conosco. Políticas de segurança devem ser criadas para minimizar as possibilidades de ataques.

Antigamente... Sistemas trabalhavam de forma isolada. Não havia comunicação internet. A informação era levada de um computador a outro por meio de fitas ou disquetes. Tempos depois a comunicação entre os computadores ainda era restrita à redes locais. Riscos eram apenas internos, portanto mais fáceis de resolver.

Nos dias de hoje... O ambiente está todo conectado: celular, smartphone, tablet, notebook etc. Quase todos os computadores tem acesso a internet. Redes wireless por toda parte. Computação nas nuvens. Programas de mensagem instantânea e e-mail estão cada vez mais populares. Vírus que são transmitidos por meio de pen- drives, spams e lista de e-mails.

Realizar a análise de riscos. Identificar as ameaças. Como evitar/prevenir? Realizar a análise de riscos. Identificar as ameaças. Implementar uma política de segurança. Elaborar um plano de auditoria. Auditar Auditoria: descobrir irregularidades em departamentos

Informação: o bem mais valioso Toda empresa guarda a 7 chaves suas informações, afinal hoje é considerado o bem mais valioso da empresa. Antigamente as informações eram documentadas em papel e arquivadas em local de acesso restrito. Hoje as informações são digitais.

Informação: o bem mais valioso Para gerar informação, é preciso que os dados sejam íntegros, confiáveis e estejam disponíveis. Segurança da Informação Confidencialidade Integridade Disponibilidade Independente da técnica, o objetivo é tratar estas três questões.

Princípios básicos de um sistema de segurança Confidencialidade dos dados: refere-se à proteção contra o acesso não autorizado a dados, ou seja, a informação deve ser acessada somente por pessoas autorizadas. Uma vez desrespeitado esse princípio, temos o que chamamos de incidente de segurança da informação por quebra de confidencialidade.

Princípios básicos de um sistema de segurança Integridade dos dados: refere-se à proteção contra alteração dos dados, isto é, a informação deve ser mantida inalterada ou íntegra. Esses dados só podem ser alterados por uma pessoa autorizada.

Princípios básicos de um sistema de segurança Disponibilidade de dados: refere-se à proteção contra a interrupção do acesso a dados ou serviços. Resumidamente, a informação deve estar acessível sempre que pessoas autorizadas necessitam.

Identificar o grau de proteção que cada tipo de informação precisa. Análise de Riscos Identificar o grau de proteção que cada tipo de informação precisa. Proporcionar a proteção em grau adequado para o negócio. Coletar informações sobre o grau de segurança existente em determinado ambiente da organização e elaborar um plano de segurança. Primeiro passo para implementar uma política de segurança

Campos de Riscos É melhor segmentar os campos de risco para facilitar a análise. Deve-se levar em consideração o custo (restrições) para implantar tais seguranças.

Empresas que realizam análise de riscos e sua frequência Ameaças que mais geram perdas financeiras. 24% são usuários 20 % hackers Pesquisa realizada em 2006 pela empresa Módulo http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf

O custo não deve exceder o valor do ativo que se deseja proteger. Quanto investir? Os investimentos em diminuição dos riscos não devem exceder a 1% do faturamento da organização. (CAMPOS, 2007, p. 52). O custo não deve exceder o valor do ativo que se deseja proteger. CAMPOS, A. Sistema de segurança da informação: controlando os riscos. 2. ed. Florianópolis: Visual Books, 2007. É melhor segmentar os campos de risco para facilitar a análise. Deve-se levar em consideração o custo (restrições) para implantar tais seguranças.

Valor médio dedicado para a Segurança da Informação Ameaças que mais geram perdas financeiras. 24% são usuários 20 % hackers Porcentagem retirada do valor total investido na área de TI Pesquisa realizada em 2006 pela empresa Módulo http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf

Mais alguns dados 33% que não sabem quantificar as perdas. 21% não sabem sequer identificar os responsáveis pelo problema. 35% não possuem planejamento para segurança. Falhas de segurança: 24% causadas por funcionários. 20% por hackers. 77% de aumento nos problemas relacionados a segurança nos próximos anos. 600 questionários com empresas de todo o ramo

Problemas que geram perdas financeiras Ameaças que mais geram perdas financeiras. 24% são usuários 20 % hackers Pesquisa realizada em 2006 pela empresa Módulo http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf

Políticas de segurança Abrange um conjunto de controles que buscam diminuir as vulnerabilidades do sistema de informação. Deve ser divulgada para que todos na organização a conheçam e saibam das penalidades para quem não a cumprir. Elaborada e implementada processo contínuo de revisão, com regras claras e simples.

Políticas de segurança A partir de uma política, espera-se: Diminuir a probabilidade de ocorrência. Diminuir os prejuízos causados por eventuais ocorrências. Elaborar procedimentos para recuperação de desastres. Para que uma política seja aplicável, deve apresentar algumas características.

Políticas de segurança Ser simples a política deve apresentar uma linguagem simples, facilitando sua leitura e compreensão. Ser objetiva a política não deve ser um documento muito extenso, deve apenas focar nos objetivos a serem alcançados. Ser consistente a política deve estar alinhada com as demais normas, como por exemplo, as legislações públicas.

Políticas de segurança Definir metas a política deve apresentar as metas a serem alcançadas. Definir responsabilidades a política deve estabelecer as responsabilidades sobre o uso da informação. Definir penalidades a política deve conter procedimentos de punição caso não seja cumprida.

Políticas de segurança Acessível a todos Conhecimento geral da instituição Aprovada pela direção Dinâmica: apresentar atualizações Exequível: deve ser aplicável

Principal obstáculo para implementar a Segurança da Informação Ameaças que mais geram perdas financeiras. 24% são usuários 20 % hackers Pesquisa realizada em 2006 pela empresa Módulo http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf

Modelo de política de segurança 1. OBJETIVO Descrever o objetivo. 2. ÂMBITO Descrever a abrangência (todos os funcionários). 3. DEFINIÇÕES Definir termos técnicos. 4. POLÍTICA 4.1 USO ACEITÁVEL O que a política permite. 4.2 USO INACEITÁVEL O que a política proíbe. O modelo completo está no final da unidade 1.

Modelo de política de segurança 5. SANÇÕES As penalidades. 6. CONTROLE DE VERSÃO Colocar versão, data e nome do autor. O modelo completo está no final da unidade 1.

Conclusão Vimos que com a evolução da tecnologia estamos mais vulneráveis. Vimos a importância da segurança da informação e quais as principais ameaças que geram prejuízos. Vimos os 3 princípios básicos para um sistema de segurança. Vimos sobre análise de riscos e política de segurança.