Segurança da Informação Faculdade de Letras da Universidade do Porto Licenciatura em Ciência da Informação Preservação e Conservação

Contextualização Segurança da Informação Ameaças à Segurança da Informação Mecanismos de Protecção de Seg. da Informação Normas – Segurança de Informação Metodologia de Avaliação de Seg. de Informação Ciclo de Vida da Segurança da Informação

Contextualização Ciência da Informação Gestão da Informação Preservação e Conservação Comportamento Informacional Segurança da Informação Organização e Representação da Informação Área axial

… apesar da informação material (ex. livro), ainda ser bastante influente ou relevante, assistimos a uma crescente proliferação da informação em suporte digital, trata-se de uma informação que é pluridimensional … Contextualização

Dimensão Essencial Objecto Digital Dimensão Física Dimensão Lógica Dimensão Conceptual Contextualização

Nivel Físico Nível Lógico … a segurança da Informação, pode e dever ser medida a dois niveis: Segurança da Informação

Ciclo de Vida da Segurança da Informação: Segundo John Oltsik, a Segurança da Informação tem um ciclo de vida dentro das organizações, esse ciclo é composto pelas seguintes etapas: 1. Classificação de dados; 2. Fluxo de informação; 3. Acesso à informação 4. Utilização da Informação 5. Gestão de Riso da Informação 6.Políticas que determinam o funcionamento do ciclo de vida da segurança da informação; 7. Classificadores e repositores de metadados; 8. Sistemas de ficheiros seguros; 9. Gestão centralizada

I ncidentes como: roubos, guerras, inundações, incêndios, podem colocar em risco a segurança da informação. Destruição da informação por incidentes naturais e humanos Ameaças Seg. da Informação

…podemos designar fuga de informação, como o acesso e divulgação de informação privada e supostamente protegida e interdita. …as empresas investem cada vez maiores quantias de dinheiro em tecnologia informática que visa barrar o acesso à informação dita privada da organização. Todavia, nem sempre a fuga de informação é feita através dos meios informáticos, e há uma certa tendência para esquecer o meio social e humano. …podemos designar fuga de informação, como o acesso e divulgação de informação privada e supostamente protegida e interdita. …as empresas investem cada vez maiores quantias de dinheiro em tecnologia informática que visa barrar o acesso à informação dita privada da organização. Todavia, nem sempre a fuga de informação é feita através dos meios informáticos, e há uma certa tendência para esquecer o meio social e humano. Fuga de Informação Ameaças Seg. da Informação

Baseia-se na obtenção de informação privada a partir da persuasão, manipulação emocional, abuso de confiança e impersonalização… Técnicas utilizadas pelo engenheiro social para com um colaborador de determinada organização… funciona porque se apoia na honestidade e inocência das vítimas, que partem do princípio que esses valores também são aplicáveis à outra pessoa (engenheiro social). Baseia-se na obtenção de informação privada a partir da persuasão, manipulação emocional, abuso de confiança e impersonalização… Técnicas utilizadas pelo engenheiro social para com um colaborador de determinada organização… funciona porque se apoia na honestidade e inocência das vítimas, que partem do princípio que esses valores também são aplicáveis à outra pessoa (engenheiro social). Engenharia Social Ameaças Seg. da Informação

Hacker Ameaças Seg. da Informação

Ciber-crime Ameaças Seg. da Informação Adware Programas que são instalados com o objectivo de recolher dados pessoais de utilizadores, utilizando para isso a fachada de anúncios publicitários na internet. Spyware Programas informáticos, que instalados nos computadores dos utilizadores, registam todas as acções destes, registando tudo o que é digitado no computador, armazenando as páginas Web visitadas, encaminhando esses dados para o computador da pessoa que instalou o programa. Phishing É uma técnica utilizada com objectivo de extrair informação dos utilizadores, através da criação de paginas web falsas em tudo similares ás verdadeiras. Etc.

Virus Informáticos Ameaças Seg. da Informação

Existem uma serie de regras que, sendo seguidas, ajudam a prevenir e contornar algumas vulnerabilidades das instituições no que se refere à protecção da informação. Por exemplo: apostando em edifícios que garantam (o mais possível) segurança contra roubos, catástrofes naturais, incêndios; não facilitar o acesso de estranhos aos locais com acesso limitado a colaboradores; Identificar devidamente os colaboradores e os utilizadores; proceder a uma actualização constante dos ficheiros que contêm a identificação dos leitores e dos colaboradores e mantê-los em segurança; manter os espaços públicos em vigilância constante… Existem uma serie de regras que, sendo seguidas, ajudam a prevenir e contornar algumas vulnerabilidades das instituições no que se refere à protecção da informação. Por exemplo: apostando em edifícios que garantam (o mais possível) segurança contra roubos, catástrofes naturais, incêndios; não facilitar o acesso de estranhos aos locais com acesso limitado a colaboradores; Identificar devidamente os colaboradores e os utilizadores; proceder a uma actualização constante dos ficheiros que contêm a identificação dos leitores e dos colaboradores e mantê-los em segurança; manter os espaços públicos em vigilância constante… Protecção contra incidentes naturais e humanos Mecanismos de Protecção Seg. da Informação

Tecnologias de Segurança da Informação Mecanismos de Protecção Seg. da Informação

Firewall Mecanismos de Protecção Seg. da Informação

Anti-vírus Mecanismos de Protecção Seg. da Informação

Anti Spyware-Adware Mecanismos de Protecção Seg. da Informação

Controlo de acesso pelos servidores Mecanismos de Protecção Seg. da Informação

Detecção de Intrusões (IDS) Mecanismos de Protecção Seg. da Informação

Cifra Mecanismos de Protecção Seg. da Informação

Wireless específico Mecanismos de Protecção Seg. da Informação

Biometrias Mecanismos de Protecção Seg. da Informação

…funcionando à base de uma chave pública denominada de PKI (Public Key Infrastructure) e, é uma plataforma utilizada para garantir a segurança nos documentos electrónicos. …normalmente a certificação digital assegura aos seus clientes os critérios básicos para a segurança da informação: Integridade; Identificação; Confidencialidade; Aceitação. …funcionando à base de uma chave pública denominada de PKI (Public Key Infrastructure) e, é uma plataforma utilizada para garantir a segurança nos documentos electrónicos. …normalmente a certificação digital assegura aos seus clientes os critérios básicos para a segurança da informação: Integridade; Identificação; Confidencialidade; Aceitação. Certificação Digital

São atribuídos dois códigos/chaves a cada utilizador: uma chave privada e uma chave pública. Essas duas chaves estão associadas entre si através de uma função matemática, não sendo possível a obtenção de uma chave pública através de uma chave privada, ou vice-versa. Enquanto que a chave pública é disponibilizada a todos, apenas o próprio utilizador conhece a sua chave privada. Os dados codificados na chave pública estão descodificados na chave privada e vice-versa. PKI Como funciona? Certificação Digital

Através de uma sequência de bytes o ficheiro é emitido e assinado digitalmente pela entidade de certificação, estabelecendo uma ligação à chave pública, de modo a que a identidade do emissor seja clara para o receptor da mensagem. Para definir o necessário período de validação da mensagem, é necessário utilizar um carimbo de tempo, ou timestamp, que é emitido por uma terceira entidade. Um timestamping é idêntico a uma assinatura electrónica, contendo a data/hora, fornecida por uma fonte de tempo legal, e permite detectar alterações ao documento feitas após a introdução do carimbo. Através de uma sequência de bytes o ficheiro é emitido e assinado digitalmente pela entidade de certificação, estabelecendo uma ligação à chave pública, de modo a que a identidade do emissor seja clara para o receptor da mensagem. Para definir o necessário período de validação da mensagem, é necessário utilizar um carimbo de tempo, ou timestamp, que é emitido por uma terceira entidade. Um timestamping é idêntico a uma assinatura electrónica, contendo a data/hora, fornecida por uma fonte de tempo legal, e permite detectar alterações ao documento feitas após a introdução do carimbo. Como tudo se processa? Certificação Digital

Norma ISO Família ISO Norma ISO Normas

Política de segurança Recomenda que deve existir um documento sobre a política de segurança da empresa, e mecanismos de análise crítica das políticas implementadas. Segurança organizacional Dividida nos seguintes ítens: Infraestrutura de segurança; Segurança no acesso de prestadores de serviço; Segurança envolvendo serviços standard: Classificação e controlo dos bens Define os tipos de bens: Serviços, Sistemas computadorizados, Equipamentos, Documentos, Imagem e reputação da organização, Informações, Pessoas E, sugere que se faça uma contabilização e classificação dos bens. Segurança relacionada com o pessoal Segurança na definição e nos recursos de trabalho; A Formação dos utilizadores; Resposta a incidentes de segurança e mau funcionamento, E finalmente, convém que exista um processo disciplinar formal para funcionários que violaram a segurança. Aborda-se….

Segurança física e ambiental Áreas de segurança; Segurança de equipamento; Controlos gerais Gestão de Comunicações e operações Os objetivos dessa secção incluem: Garantir instalações para a operação correcta e segura do processamento de informações; Minimizar o risco de falhas dos sistemas; Proteger a integridade do software e/ou das informações; Manter a integridade e disponibilidade do processamento de informação e comunicação; Evitar danos ao património e interrupções nas atividades da empresa; Garantir a proteção das informações em redes e da infra-estrutura de suporte; Prevenir perdas, modificações ou uso inadequado das informações trocadas entre empresas. Sugere procedimentos e responsabilidade operacionais: definição dos procedimentos para operação de sistemas, isto inclui: a segregação de funções; planeamento e aceitação de sistemas; proteção contra software malicioso. Sugere ainda a troca de informações e software, a segurança do comércio eletrónico e a segurança de correio eletrónico.

Controlo de acesso Identifica a importância da monitorização e controlo do acesso a recursos da rede e de aplicativos, para proteger contra abusos internos e intrusões externas, estabelecendo requisitos de negócios para controlo de acesso, estabelecendo uma gestão de acesso dos utilizadores, estabelecendo uma análise critica dos direitos de acesso, criando responsabilidade dos utilizadores e fazendo um controlo de acesso à rede. Desenvolvimento e manutenção de sistemas Reforça que com todos os esforços de TI, tudo deve ser implementado e mantido com a segurança em mente, usando os controlos de segurança em todas as etapas do processo. Os Requisitos de segurança de sistemas, a segurança nos sistemas de aplicação e o controlo da criptografia. Gestão da continuidade de negócio Recomenda que as empresas se preparem com formas de neutralizar as interrupções às atividades comerciais, e protejam os processos comerciais cruciais, no caso de uma falha ou desastre. Obediência a exigências Esta secção exige também uma revisão da política de segurança e compatibilidade técnica, além de considerações a serem feitas em relação ao sistema do processo de auditoria, para garantir que cada empresa se beneficie o máximo possível. Sugere a conformidade com requisitos legais e a análise critica da política de segurança e da conformidade técnica.

O que é….Composição A norma ISO está relacionada com o vocabulário da gestão segurança de informação. É constituida pela ISO 27001, pela ISO 27002,a ISO 27003, a ISO 27004, a ISO e a ISO

Processo de abordagem É enfatizada a compreensão dos requisitos de informação das organizações, a necessidade de estabelecer comandos de gestão de riscos da informação, fazer vigilância e revisão ao desempenho e eficácia dos SGSI, melhorar contínuamente através de medições periódicas do próprio SGSI. Todos estes factores são passíveis de ser realizados sendo seguido o famoso Plan- Do-Check-Act. Âmbito/abrangência Esta Norma Internacional abrange todos os tipos de organizações, e especifica os requisitos para estabelecer, implementar, vigiar, operar, rever, manter e melhorar um Sistema de Gestão de Segurança da Informação documentado e inserido no contexto dos riscos globais de negócio da organização. Esta Norma define os requisitos para a implementação dos controlos de segurança adaptados às necessidades da organização ou de partes que a compõem. Sistemas de gestão de segurança da informação Através do já mencionado Plan-Do-Check-Act são colocados em prática, geridos e avaliados os SGSI. Aborda-se….

Gestão de responsabilidade Nesta etapa procede-se à gestão dos recursos disponíveis, bem como o treino, consciencialização e competência dos colaboradores. Auditorias internas SGSI Fiscalizações internas ao Sistema de Gestão de Segurança da Informação Gerir a revisão do SGSI Procede-se a uma revisão geral do Sistema, de um modo particular aos inputs e outputs. Melhoria do SGSI Nesta última fase é contemplada a importância de uma melhoria contínua do SGSI, incluindo as necessárias acções correctivas e preventivas.

Complementaridade entre as normas São duas normas que apesar de distintas se complementam. Tratando-se a Norma de um código de práticas para gerir a segurança da informação, e a Norma ISO ao fornecimento de um modelo com o objectivo de estabelecer, implementar, operar, monitorizar, rever, manter e melhorar o Sistema de Gestão de Segurança da Informação, estas duas normas acabam por funcionar de uma forma encadeada e interdependente. É alias usual que uma organização que se baseie na Norma ISO para implementar um Sistema de Gestão de Segurança da Informação sigam também as práticas instituídas pela Norma

De que forma as normas contribuem para garantir a segurança da informação? …as normas nem sempre podem ser passíveis de ser utilizadas pelas instituições, e a sua eficácia não corresponde a 100%... MAS… … são instrumentos que (quando adoptados), permitem às instituições ultrapassar muitas vulnerabilidades relacionadas com a segurança da informação, tornando-se mais eficazes no combate às ameaças à informação, e inspiram mais confiança aos utilizadores, o que é meio caminho andado para o sucesso.

Políticas de Segurança da Informação … com o crescente número de ameaças à Segurança da Informação, diversas nações têm vindo a colocar em prática mecanismos legais com o objectivo de travar este problema. Destacam-se o EUA, Japão, Coreia, etc…

SOC Centro de Operações de Segurança Metodologia de Avaliação da Seg. da Informação

Combate ao Cibercrime Centros de CoordenaçãoCERT Centros de Coordenação são centros que se dedicam à geração de respostas a incidentes à segurança da informação. Contribuindo de forma decisiva para o combate ao ciber-crime. Um dos mais importantes Centros de Coordenação é sem dúvida o CERT/CC, que embora tenha como missão inicial responder a incidentes, especializou-se na tarefa de identificar e calcular o tamanho das potenciais ameaças, planeando um contra-ataque a essas ameaças. O CERT está focaliza-se na garantia do software passando pela segurança organizacional sem esquecer a segurança dos sistemas.

Combate à Engenharia Social É necessário o desenvolvimento de politicas que comuniquem as preocupações relativamente aos ataques de engenharia social e dos hackers e treinar os colaboradores contra essas politicas para que se protejam a eles e ás suas organizações. …as organizações devem ser dotadas de um conjunto de políticas que apoiem a prevenção contra a engenharia social. …essas politicas devem ser de fácil memorização e também devem ser facilmente implementadas quando se recebe, por exemplo, uma chamada ou suspeito.

“nos dias que correm, a informação adquiriu valor indiscutível… ter a informação certa, no momento certo, é factor de vantagem e na maior parte das vezes, significa sucesso…” …uma das principais razões, de entre muitas outras, para que preservar e conservar a informação IMPORTANTE, seja uma preocupação, e cada vez mais…