Segurança em Sistemas e Redes
Histórico Décadas atrás as informações eram tratadas de forma centralizada e ainda pouco automatizadas. A tecnologia da Informação engatinhava: limitações de armazenamento e preços proibitivos mainframes. Nos tempos dos Mainframes os aspectos de segurança simples: - Segurança Física 2
Novo contexto Quebra-se o paradigma de acesso local às informações. As informações chegam a qualquer lugar do mundo através dos portáteis (notebooks, palms, ...) e da rede mundial de computadores: internet. E os problemas também ! 3
Situação é ruim, e vai piorar... Segurança da informação Situação é ruim, e vai piorar... Aumento de computadores por pessoa. Crescimento de utilização da Banda Larga. Softwares complexos. Popularização da necessidade de uma rede interna. Carência de profissionais qualificados.
Situação é ruim, e vai piorar... Segurança da informação Situação é ruim, e vai piorar... Alto compartilhamento de técnicas de ataque e invasão. Disponibilidade e facilidade no uso de ferramentas para ataques e invasões. Carência de jurisprudência que tenha regulado sobre atos ilícitos em meio eletrônico. Diversificação dos perfis da ameaça: concorrente, sabotador, especulador, adolescente, hacker, funcionário insatisfeito.
Segurança da Informação Os computadores e/ou sistemas são ditos seguros, se atendem a três requisitos básicos. (DICA) Disponibilidade Integridade Confidencialidade ou Sigilo/Privacidade Autenticidade / Não repúdio Auditoria Em última análise os principais objetivos dos cuidados com segurança são proteger as informações de uma vasta gama de ameaças para assegurar a continuidade dos negócios, minimizar os danos e maximizar o ROI (AAA-Autentication, Autoriztion, Acounting) ISO/IEC 17799:2005 6
Confidencialidade ou Sigilo O princípio da confidencialidade da informação tem como objetivo garantir que apenas a pessoa correta tenha acesso à informação que queremos distribuir. Não significa informação isolada ou inacessível a todos, mas sim a informação que deve ser acessada a quem lhe é de direito. 7
Disponibilidade Para que uma informação possa ser utilizada, ela deverá estar disponível. Considera-se este princípio quando um sistema , ou ativo de informação precisa estar disponível para satisfazer seus requisitos ou evitar perdas financeiras 8
Integridade A integridade, que nos permite garantir que a informação não tenha sido alterada seu conteúdo na sua trajetória ou armazenamento. Ela estará íntegra se em tempo de resgate, estiver fiel ao estado original. Outro conceito semelhante a Integridade relacionado a segurança, refere-se a autenticidade. Neste caso o objetivo é garantir que a informação obtida, por exemplo a identidade de um usuário, ou o conteúdo de um documento são de fato verdadeiros. 9
Discussão Qual é a importância do principio da Integridade em um Banco de dados? E os outros princípios? O que pode ocorrer caso algum destes princípios sejam violados por um funcionário mal intencionado? Você conhece algum caso real onde um destes princípios foi violado e causou prejuízos a uma organização? 10
Definição de Ativos Ativo é todo recurso que pode sofrer algum tipo de ataque, logo, são elementos que a segurança da informação busca proteger. Os ativos de uma empresa podem ser: Bens, direitos, documentos impressos, dinheiro em caixa, banco de dados, capital humano e intelectual.... Portanto todos os recursos que necessitam de alguma proteção, é considerado um ATIVO. 11 11 11
Vulnerabilidades Vulnerabilidades são elementos que, ao serem explorados por ameaças, afetam a confidencialidade, a disponibilidade ou a integridade das informações. Um dos primeiros passos para a implementação da segurança é rastrear e eliminar os pontos fracos ou as vulnerabilidades de um ambiente de TI. Quais as vulnerabilidades você agora no início do curso seria capaz de identificar no seu ambiente de trabalho ou na sua casa? 12
Vulnerabilidades A vulnerabilidade na computação significa ter “brecha” em um sistema. Alguns tipos de vulnerabilidades são: Físicas: Instalações prediais fora do padrão; salas de CPD mal planejadas ... Naturais: Incêndios, enchentes, terremotos ... Software: Bugs, erros na instalação ou má configuração... Hardware: Falha nos recursos tecnológicos, desgaste, obsolescência ... 13
Vulnerabilidades Alguns tipos de vulnerabilidades: Comunicação: Acessos não autorizados ou perda de comunicação ... Armazenagem: Discos, fitas, relatórios e impressos podem ser perdidos ou danificados (radiação eletromagnética) ... Humanas: Falta de treinamento, compartilhamento de informações confidenciais, sabotagens, ameaça de bomba, greves, roubo, vandalismo, invasões, guerras ... 14
Vulnerabilidades Alguns fatores podem aumentar as vulnerabilidades: Pressa no lançamento de novos produtos Competitividade Alto nível de conectividade Aumento do número de potenciais atacantes Integração entre diferentes tecnologias 15
Ameaças São os agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. 16
Ameaças Podem ser: Naturais: Ameaças decorrentes de fenômenos da natureza como incêndios naturais, enchentes, terremotos, etc. Involuntárias: Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causadas por acidentes, erros, falta de energia, etc. Voluntárias: Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários. 17
Perguntas Você já ouviu falar em alguma vulnerabilidade causada por software? O que pode acontecer se um sistema militar tiver uma vulnerabilidade explorada? O que pode acontecer se um banco de dados com cartões de créditos do cliente for roubado, ou disponibilizado na Web? 18
Fato real A loja virtual de CDs, CD Universe teve sua base de dados, que continha 300.000 números de cartões de crédito roubada. Com isso sua reputação ficou seriamente comprometida e antigos clientes passaram a não comprar mais na loja. O Hacker não foi identificado e o caso continua em aberto. http://epoca.globo.com/edic/20000117/ciencia1.htm 19
Política de Segurança
Política de segurança na organização Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. O propósito de uma política de segurança é informar aos usuários suas obrigações para a proteção e acesso às informações. Para gerenciar de forma segura a informação e não depender apenas de talentos humanos, é necessário criar uma Política de Segurança. 21
A Política de Segurança A política de segurança deve abordar os seguintes aspectos: Configuração de sistemas para seguraça da corporação (Anti-vírus, Firewall, DMZ, Proxy, IDS...) Plano de Recuperação de Desastres Política de acesso à Internet Uso de Laptops e outros dispositivos móveis Penalidades 22
Discussão Você conhece alguma organização que trabalha com política de segurança? Cite um exemplo da aplicação de uma política de segurança no seu local de trabalho. Qual poderia ser o impacto se a política de segurança de um banco não for seguida, e um funcionário divulgar o extrato de um cliente? Porque parece ser tão difícil a implementação destas políticas? 23
Atividade Defina os 3 princípios da segurança da informação Descreva com suas palavras a função de um plano de segurança e suas características. 2 – Quais são os elementos de um plano de segurança? 4 – Em sua opinião, a política de segurança é estática ou é um documento que deve estar em modificação? Justifique sua resposta. 24
Atividade 5 – Faça uma pesquisa na internet e escreva um pequeno texto sobre recente descoberta de vulnerabilidade em um software. Explique qual foi o problema, como ele foi encontrado, diagnosticado e tratado. Qual dos aspectos de segurança foi afetado no caso que você pesquisou ? Confidencialidade, disponibilidade e integridade? 25