SEGURANÇA DA INFORMAÇÃO

“A INFORMAÇÃO É O MAIOR PATRIMÔNIO PARA MUITAS EMPRESAS E PROTEGÊ-LA NÃO É UMA ATIVIDADE SIMPLES.”

POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento é o principal passo para implantação da estratégia de segurança da corporação; Definição: A política de segurança trata dos aspectos humanos, culturais e tecnológicos de uma organização, levando em consideração os processos e os negócios, além da legislação local;

Política de segurança - Planejamento O início do planejamento da política de segurança exige uma visão abrangente, de modo que os riscos sejam entendidos parar que possam ser enfrentados. Dois tipos de abordagens: Reativa e Pró- ativa; No Brasil, 32% das empresas não sabem sequer se já foram atacadas. A política de segurança, depois de definida, deve ser publicada de forma relevante e acessível;

Planejamento Política: Orienta as ações; Normas: Aborda os detalhes; Procedimentos Política: Orienta as ações; Normas: Aborda os detalhes; Procedimentos: Aspectos de configuração

Política de Segurança - Planejamento As três partes da pirâmide podem ser desenvolvidas com base em padrões que servem de referência: BS 7799, ISO 17799; Políticas de segurança são realidade em 39% das organizações brasileiras. 16% possuem uma política em desenvolvimento e 15% nao possuem nenhuma política;

Política de Segurança - Planejamento A política de segurança pode ser dividida em vários níveis, partindo de um nível mais genérico, passando pelo nível dos usuários, chegando ao nível técnico;

Política de segurança - Elementos Dizem respeito a tudo aquilo que é essencial para o combate de adversidades. São eles: Vigilância: todos os membros devem entender a importância da política Atitude: postura e conduta ante à política de segurança; Estratégia: diz respeito à definição da política e do plano de defesa contra intrusões Tecnologia: A solução tecnológica deve ser adaptativa e flexível;

Política de Segurança - Elementos Segundo a norma ISO/IEC 17799, a política de segurança deve seguir pelo menos as seguintes orientações: Definição da segurança da informação; Declaração do comprometimento do corpo executivo;

Política de Segurança - Elementos Breve explanação dos princípios, padrões e requisitos de conformidade de segurança no contexto da organização: Conformidade com legislação e cláusulas contratuais; Requisitos na educação e treinamento em segurança; Prevenção e detecção de vírus e programas maliciosos; Gerenciamento da continuidade nos negócios Consequências das violações na política de segurança

Elementos A política de segurança não deve conter detalhes técnicos específicos de mecanismos a serem utilizados ou procedimentos que devem ser adotados por indivíduos em particular, mas sim regras gerais e estruturais que se aplicam ao contexto de toda a organização. Uma característica importante da política é que ela seja curta o suficiente para que seja lida e conhecida por todos os funcionários da empresa;

CONSIDERAÇÕES SOBRE SEGURANÇA Segurança da Informação Aspectos tecnológicos Aspectos jurídicos Aspectos humanos Aspectos de negócios Aspectos processuais Aspectos envolvidos na segurança da informação

CONSIDERAÇÕES SOBRE SEGURANÇA Conheça seus possíveis inimigos; Contabilize os valores; Identifique, examine e justifique suas hipóteses: um única variável pode modificar completamente a estratégia de segurança; Controle seus segredos; Avalie os serviços estritamente necessários para o andamento dos negócios; Considere os fatores humanos;

CONSIDERAÇÕES SOBRE SEGURANÇA Conheça seus pontos fracos; Entenda o ambiente: entender o funcionamento normal da rede é importante para detectar possíveis comportamentos estranhos; Limite a confiança: é essencial estar atento e vigilante;

Pontos a serem tratados A política de segurança deve existir formalmente na instituição: Deve estar de acordo com os objetivos de negócios; Todos os aspectos tem que ter a aprovação de executivos/administradores; O usuário deverá participar e compreender a política;

Pontos a serem tratados Aspectos importantes: A segurança é mais importante que os serviços; A política de segurança deve evoluir constantemente; “Aquilo que não for permitido será proibido”; Nenhuma conexão externa com a rede interna será permitida, sem que passe por um rígido controle de acesso;

Auditando ou Crackeando Senhas Muitas vezes, as senhas são consideradas o lado mais fraco em uma política de segurança. É da natureza humana procurar a solução mais fácil para um problema. Usuários tendem a não criar senhas longas e complexas. Pois é difícil de lembrar. Muitas vezes tendem a criar senhas com algo no seu ambiente. Isso torna fácil para um invasor deduzir uma senha, ou fácil para um decifrador de senhas determinara essas senhas fáceis de lembrar.

Política para senhas É de grande importância, pois depende do ‘elo mais fraco’ da corrente de segurança: o usuário; O ser humano consegue memorizar apenas senhas com tamanho curto; Segundo Gartner, nos EUA o esquecimento das senhas representa 30% dos chamados ao help desk, com custos entre 51 e 147 dólares por chamado;

Política para senhas Uma boa política de senhas que auxilie os usuários na escolha de suas senhas, reduzindo problemas de esquecimento significa melhor produtividade do usuários e menor custos com suporte;

Política para senhas Vulnerabilidades: Utilização de sniffers; Utilização de crack (LC4); Adivinhação de senhas; Formas de se obter senhas em Windows: Por meio de sniffing na rede; Diretamente do arquivo Security Account Manager (SAM), que pode ser obtido diretamente do disco do servidor, do disco de emergência ou de um backup; Por meio do registro do windows (pode ser evitado através do uso do utilitário chamado SYSKEY)

Política para senhas Em um ambiente típico, 18% das senhas podem ser obtidas em 10 minutos, e 98% das senhas podem ser descobertas em 48 horas, incluindo a senha de administrador;

Política para senhas Boas práticas na definição de senhas: Caso não exista um procedimento que auxilie o usuário a escolher uma senha, é melhor que o administrador escolha a senha; A senha deve ser redefinida a cada 2 meses; As informações sobre último acesso, com data e local devem ser armazenadas; As senhas devem ser bloqueadas a cada 3 ou 5 tentativas sem sucesso; Atribuir responsabilidades a usuários e adminstradores;

Política para senhas Outras recomendações: Não utilize palavras que estão em dicionários; Não utilize informações pessoais fáceis de serem obtidas; Não utilize o mesmo nome de usuário; Não utilize senhas com repetição do mesmo dígito;

POLÍTICA DE INSTALAÇÃO DE SOFTWARE Todos os softwares instalados em servidores, desktops e notebooks da sua empresa são licenciados ou freeware? Popularização da Internet e do CD-ROM Usuário desconhece a diferença de uma versão demonstração, trial por X dias, shareware e freeware Não controla a desinstalação Riscos Multas e processos judiciais (ABES) Perda da Certificação ISO 9000 Falta de aderência aos processos definidos

Criptografia Criptografia – ciência de codificar informações, isto é escrever mensagens de forma cifrada ou em código. É usada para: Autenticar a identidade de usuários. garantir sigilo (somente usuário autorizados) integridade da informação (não alteração da informação) autenticar e proteger o sigilo de comunicações pessoais e de transações comerciais bancárias; Para cifrar ou decifrar dados é necessário uma chave ou senha Chave – algoritmo matemático de difícil determinação Senha – secreta e de difícil determinação

Criptografia Criptografia de chave única: utiliza a mesma chave tanto para codificar quanto para decodificar mensagens. Criptografia de chave pública ou privada: utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens. Neste método cada pessoa mantém duas chaves: uma pública, que pode ser divulgada livremente, e outra provada, que deve ser mantida em segredo pelo seu dono.

Assinatura digital versão digital da assinatura de uma pessoal destinatário pode comprovar a assinatura digital, dando assim credibilidade a informação transmitida quando verificada uma assinatura digital não pode ser negada (não repudio) garantem a integridade do documento garantem a legitimidade do remetente exemplo, para personalizar uma mensagem, um determinado usuário A codifica uma mensagem utilizando sua chave secreta e a envia para o destinatário. Somente a chave pública de A permitirá a decodificação dessa mensagem. Portanto é a prova de que A enviou a mensagem a mensagem pode ser decodificada por qualquer um que tenha a chave pública do remetente

Assinatura digital

Engenharia Social Engenharia Social - A técnica de 'crackear' pessoas Um novo nome para um velho golpe Objetivos: espionagem industrial, vantagens financeiras, fraude, roubo de identidade e de informações estratégicas. Normalmente ocorre por telefone ou até pessoalmente. Online, as pessoas ficam mais desconfiadas de crackers Utiliza a confiança, a ingenuidade, a surpresa e o respeito à autoridade (fazer-se pasar por outra pessoa)

PREVENÇÃO CONTRA ENGENHARIA SOCIAL Conscientização dos responsáveis pela segurança Treinamento do pessoal de atendimento Impedir entrada não-autorizada aos prédios Identificar funcionários por números Manter o lixo em lugar seguro e monitorado. Picar papéis e eliminar completamente dados magnéticos Trocar senhas periodicamente

Firewall É um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. A vantagem do uso de firewalls em redes, é que somente um computador pode atuar como firewall, não sendo necessário instalá-lo em cada máquina conectada.

Firewall O firewall pode: bloquear o tráfego: proteger a rede de entrada de usuários estranhos; liberação controlada: permite a entrada na sua rede somente por usuários previamente selecionados; O que um firewall não faz: vírus-novas ameaças: ele protege sua rede contra ataques conhecidos, ou seja, ameaças novas não serão protegidas; integridade das informações: um firewall não pode garantir que as informações são íntegras e que não foram interceptadas ou alteradas;