SEGURANÇA DA INFORMAÇÃO E MÍDIAS SOCIAIS Aula 1 - A segurança da informação e a análise de risco Prof. Ivan Fontainha de Alvarenga

Dados X Informação Dados são fatos brutos que caso não estejam ordenados, organizados ou processados apresentam apenas partes isoladas de eventos ou situações. Informação é criada quando temos dados que sofrem algum tipo de relacionamento, de avaliação, interpretação ou organização.

Dados X Informação Entrada classificar filtrar organizar Saída

Dados X Informação Após termos as informações, isto é, o tratamento dos dados de um ambiente, podemos tomar decisões sobre o ambiente onde os dados foram retirados ou do ambiente que estes dados se relacionam.

Dados X Informação Por analogia.....

Dados X Informação Exemplificando.... Imaginem estes dados: Caso estejam assim, jogados, não tem nenhum significado. Temperatura: 15 º Belo Horizonte 2012 6:05 10 de janeiro

Dados X Informação Se sobre eles atribuíssemos uma organização, um processamento: Conseguiríamos ter uma informação, com um sentido para o ambiente que ele pertence. 2012 10 de janeiro Hoje, dia 10 de janeiro de 2012, são 6:05 horas e temos uma temperatura de 15º em Belo Horizonte 6:05 Belo Horizonte Temperatura: 15 º

Dados X Informação A informação (dados organizados, processados) é de suma importância para a tomada de decisões nas empresas. Então, a informação passou a ser um bem da empresa e como qualquer outro necessitamos de resguardá-los e deixa-los sempre disponiveis a quem necessita. A partir desta necessidade, surgiu a importância da “Segurança da Informação”.

Segurança da Informação Segurança significa um conjunto de processos, de dispositivos, de medidas de precaução que asseguram o sucesso de um empreendimento. No mundo informatizado, a segurança significa a proteção da informação, que como qualquer ativo importante para o negócio, tem um valor para a organização e necessita ser protegido.

Segurança da Informação Armazenada eletronicamente A informação pode existir de diversas formas: Em qualquer que seja este meio, é sempre necessário que ela seja protegida adequadamente. Escrita em papeis Armazenada eletronicamente Em conversas

Segurança da Informação É a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco, maximizar o retorno sobre o investimento e as oportunidades de negócio.

Segurança da Informação Para garantirmos esta segurança, devemos implementar um conjunto de controles como: políticas (de utilização, de distribuição, de envio) processos procedimentos estruturas organizacionais funções a serem executadas pelos softwares e hardwares

Segurança da Informação Estes controles precisam ser bem estabelecidos, implementados,monitorados, analisados criticamente e..... melhorados sempre que julgar necessário garantindo sempre que os objetivos do negocio e de segurança da organização sejam atendido.

Princípios da Segurança da Informação A segurança da informação é fundamental e pode ser caracterizada por alguns princípios: Confiabilidade Autenticidade Integridade Disponibilidade Conformidade Não-repúdio

Princípios da Segurança da Informação Confiabilidade Proteção da informação contra a sua revelação a alguém não autorizado (interna ou externa) Consiste em proteger a informação contra leitura / copia por alguém não autorizado pelo proprietário da informação. Deve-se cuidar não somente do todo, mas também de partes.

Princípios da Segurança da Informação Autenticidade Esta associado com a identificação correta do usuário ou computador. O serviço de autenticação deve assegurar ao receptor que a mensagem realmente procede da origem informada em seu conteúdo. Realizada através de mecanismos de senha ou assinatura digital.

Princípios da Segurança da Informação Autenticidade Sua verificação é necessária para todo o processo de autenticação, seja de usuário para um sistema, de um sistema para usuário ou de sistema para sistema. É a medida de proteção contra personificação por intrusos.

Princípios da Segurança da Informação Integridade Consiste na proteção da informação contra modificação sem a permissão do proprietário. Esta modificação pode ser escrita, alteração de conteúdo, alteração de status, remoção ou criação de informações.

Princípios da Segurança da Informação Integridade Deve-se considerar a proteção da informação nas mais variadas formas, como discos ou fitas de backup e arquivos digitais em servidores. integridade significa garantir que o dado esta lá, que não foi corrompido, que nada foi retirado, adicionado ou modificado nele, isto é, encontra-se integro.

Princípios da Segurança da Informação Disponibilidade Consiste na garantia que o usuário autorizado tenha acesso a informação sempre que necessário. Para isso, devemos assegurar a proteção dos serviços prestados pelo sistema de forma que eles não sejam degradados ou se tornem indisponíveis sem autorização. Também chamado de continuidade dos serviços.

Princípios da Segurança da Informação Conformidade Consiste em assegurar que as informações estejam cumprindo as leis, regulamentos, clausulas contratuais e políticas internas.

Princípios da Segurança da Informação Não-repúdio É a garantia da certeza do remetente de uma mensagem. Deve-se garantir que o remetente não deva ser capaz de negar que enviou uma mensagem. Podem ser usadas criptografias ou assinaturas digitais por exemplo.

Princípios da Segurança da Informação Para um nível de segurança aceitável, nem sempre devemos ter todos estes fatores ao mesmo tempo. Imaginem como exemplo um site de noticias de cunho público, nele os usuários podem opinar então não temos necessidade de garantir o não-repúdio, disponibilidade e integridade.

Elementos da Segurança da Informação Podem ocorrer que um ou mais princípios da informação sejam desrespeitados, o que chamamos de incidentes da informação.

Elementos da Segurança da Informação Para entendermos melhor estes incidentes da informação, devemos conhecer os seguintes elementos: Ativo da informação Vulnerabilidades Ameaças Impactos Riscos

Elementos da Segurança da Informação Ativos de informação É o meio que suporta, que mantém, que permite que a informação exista, vejamos exemplos: A informação: mensagens, textos, dados de um sistema, dados de cadastro de funcionários

Elementos da Segurança da Informação Sistemas de informação Ativos de informação As tecnologias que a suportam: papel Correio eletrônico Sistemas de informação telefone computadores Arquivo de aço

Elementos da Segurança da Informação Ativos de informação Os processos e as pessoas que a utilizam: - gerentes, - vendedores, - fornecedores, - clientes, - processo de compra de matéria prima, - processo de entrega de mercadorias.

Elementos da Segurança da Informação Vulnerabilidade Os ativos da informação, que suportam o processo de negócio, possuem vulnerabilidades. Vulnerabilidade é a fraqueza presente nos ativos de informação que podem causar, com ou sem intenção, a quebra de um ou mais princípios da segurança de informação.

Elementos da Segurança da Informação Vulnerabilidade Podemos relacionar algumas vulnerabilidades mais comuns nos ativos da informação: Tecnologias: Ausência de manutenção nos computadores (sistemas operacionais desatualizados)

Elementos da Segurança da Informação Vulnerabilidade Tecnologias: Computadores sem antivírus. “Relatório da empresa Panda, cerca de 220.000 vírus são criados diariamente. No ano de 2010 cerca de 67 milhões de programas e arquivos nocivos foram criados (entre janeiro e outubro de 2010)” Fonte: http://www.tecmundo.com.br/virus/15411-cerca-de-220-000-virus-sao-criados-por-dia.htm

Elementos da Segurança da Informação Vulnerabilidade Tecnologias: Switches não protegidos com senha ou com a senha padrão de fábrica.

Elementos da Segurança da Informação Vulnerabilidade Tecnologias: Cabos de redes ou fibra óticas expostos em áreas de passagem de público ou externas.

Elementos da Segurança da Informação Vulnerabilidade Tecnologias: Aparelhos celulares sem senha de acesso. Rede local sem proteção de usuários ou senha de acesso pública. Sistema de informação sem controle de acesso lógico (senha de usuários).

Elementos da Segurança da Informação Vulnerabilidade Tecnologias: Ausência de proteção de sobrecargas elétricas para os aparelhos de informação (computadores, switches, servidores). no-break estabilizador

Elementos da Segurança da Informação Vulnerabilidade Pessoas e processos: Ausência de uma política de segurança da informação dentro da organização. Ausência de um profissional especialista em segurança da informação ou contrato formal com este funcionário.

Elementos da Segurança da Informação Vulnerabilidade Pessoas e processos: Ausência de uma regulamentação de acesso a informação da organização por terceiros e prestadores de serviço. Inexistência de regulamentação para o processamento fora das instalações fisicas da organização.

Elementos da Segurança da Informação Vulnerabilidade Pessoas e processos: Desconhecimento dos ativos da informação da empresa e não classificação destes ativos por nível de importância e sigilo. Não regulamentações das atribuições e responsabilidades dos ativos, gerando falta de compromisso dos colaboradores para com estes ativos.

Elementos da Segurança da Informação Vulnerabilidade Pessoas e processos: Procedimentos ineficientes para análise e conferencia das informações fornecidas por candidatos a vaga de trabalho na organização. Falta de treinamento dos colaboradores sobre a política de segurança da informação da organização.

Elementos da Segurança da Informação Vulnerabilidade Pessoas e processos: Ausência de procedimentos disciplinares para o tratamento das violações da política de segurança da informação. Não mapeamento de áreas e equipamentos críticos e mais sensíveis a segurança da informação, não tendo como implementar controle de acessos a estas áreas.

Elementos da Segurança da Informação Vulnerabilidade Pessoas e processos: Ausência de procedimentos explícitos quanto ao uso de informações no desenvolvimento de sistemas (interno ou externo). A não preocupação com o plano de contingência para incidentes de segurança que possam acontecer.

Elementos da Segurança da Informação Vulnerabilidade Pessoas e processos: Não adequação da política de segurança da informação com a legislação vigente aplicável na organização, seja ela municipal, estadual ou federal, ou ate mesmo organizacional, no que se refere a regulamento interno , estatuto ou similar.

Elementos da Segurança da Informação Vulnerabilidade Ambiente: Ausência de mecanismos contra incêndio.

Elementos da Segurança da Informação Vulnerabilidade Ambiente: Ausência de mecanismos de prevenção de enchentes. Ausência de proteção a poluentes que prejudiquem mídias e equipamentos.

Elementos da Segurança da Informação Vulnerabilidade Ambiente: Ausência de proteção a animais que possam prejudicar equipamentos(formiga, rato, cupins). “Já tivemos invasão de grilos nos servidores e cabos de fibra óptica roídos por ratos. O importante é entender a região, a natureza e adequar soluções”. Fonte: http://www.alcoa.com/brazil/pt/news/whats_new/2011_09_28.asp

Elementos da Segurança da Informação Vulnerabilidade Ambiente: Falta de controle de acesso a salas principais da empresa.

Elementos da Segurança da Informação Vulnerabilidade Ameaças: Ameaça é um agente externo ao ativo de informação que aproveita de uma vulnerabilidade deste ativo para poder quebrar um dos princípios da segurança da informação.

Elementos da Segurança da Informação Vulnerabilidade Ameaças: Fraudadores. Vírus de computadores. Vândalos. Ladrões. Sobrecarga do sistema elétrico. Tempestades.

Elementos da Segurança da Informação Vulnerabilidade Ameaças: Crakers Crakers são indivíduos que utilizam seu conhecimento para invadir computadores e roubar informações confidenciais. Geralmente essas informações são vendidas ou utilizadas para aplicar golpes na internet. Já o hacker é um indivíduo que utiliza seu conhecimento para testar os recursos de segurança instalados na organização. Ser hacker tornou-se uma profissão.

Elementos da Segurança da Informação Vulnerabilidade Impacto: Impacto é o resultado de um incidente de resultado de um incidente de segurança que poderá acarretar perdas ou danos pequenos, médios ou grandes.

Elementos da Segurança da Informação Vulnerabilidade Impacto: Um exemplo: A violação de uma transação bancária de um cliente – impacto grande! A confiança dos outros clientes cairia, diminuindo a quantidade de clientes deste banco.

Elementos da Segurança da Informação Vulnerabilidade Risco: A avaliação dos riscos permite identificar as ameaças dos ativos, as vulnerabilidades e a possibilidade de ocorrência, além de seus impactos para a empresa. A importância de conhecer estes riscos é que quanto mais conhecemos os riscos dos nossos ativos, mais fácil fica de neutralizá-los.

Elementos da Segurança da Informação Vulnerabilidade Risco: Podemos conduzir o tratamento de riscos de quarto maneiras: Aceitá-los. Reduzí-los Transferí-los. Mistigá-los (suavizá-los).

SEGURANÇA DA INFORMAÇÃO E MIDIAS SOCIAIS Aula 2 - A análise de risco Prof. Ivan Fontainha de Alvarenga

Análise dos riscos Analisar os riscos de incidentes da segurança da informação é atividade essencial para a gestão de segurança de informação. Esta analise possibilita identificar o grau de proteção que os ativos de informação de cada processo da organização precisa. Ela nos permite proporcionar a proteção necessária para nosso negócio e principalmente usar de maneira inteligente os recursos da organização.

Análise dos riscos É o principal para o sistema de gestão da segurança da informação, pois sem esta analise não é possível determinar quais as medidas de segurança devem ser adotadas pela empresa. A abordagem da analise de riscos deve ser o primeiro passo, pois nosso objetivo é definir os resultados que são esperados e os caminhos que deverão ser percorridos para alcançar este objetivo.

Análise dos riscos Existem 2 tipos de gestão de riscos adotados pelas organizações: Gestão Reativa. Gestão Proativa.

Análise dos riscos Gestão Reativa: São os famosos apagadores de incêndio. Estes profissionais ficam sempre enrolados com diversas tarefas corretivas que nunca dispõe de tempo para planejar nem desenvolver. As ações serão sempre executadas mediantes incidentes de segurança (ataques de vírus, invasões a sistemas).

Análise dos riscos Gestão Reativa: Na maioria dos casos custa muito mais caro para a organização implementar e são mais difíceis de conter, pois o controle de segurança é quase nulo.

Análise dos riscos Gestão Proativa: Os benefícios são maiores que a reativa, pois a empresa já possui uma série de controle para o travamento das informações, não esperando que aconteça os eventos danosos para somente depois reagir.

Análise dos riscos Gestão Proativa: O fato da organização possuir uma gestão de riscos proativa não implica que a mesma não deva ter uma equipe de resposta a incidentes, pois eles podem acontecer.

Análise dos riscos Existem vários métodos de analise de riscos, divididos em duas categorias principais: Qualitativa Quantitativa Ambas envolvem cálculos, porém a qualitativa é a que utiliza cálculo mais simples e menos preciso do ponto de vista financeiro.

Análise dos riscos Vejamos o quadro de comparação das duas categorias: Quantitativo Qualitativo Resultados baseados em valores objetivos. Resultados baseados em valores subjetivos. Cálculos complexos. Cálculos simples. Valores financeiros são atribuidos ao risco. Não há valorização do risco. Grande tempo e esforço são necessários para atribuir as taxas de risco. Menor trabalho para atribuir as taxas de risco. Facilita o cálculo de custo / beneficio. Dificulta o cálculo de custo / beneficio.

Análise dos riscos O método quantitativo não é indicado para empresas que estão iniciando o seu trabalho de análise de riscos por ser mais complexo. Porém uma empresa que já tem uma analise de risco e necessitam analisar seu risco a partir de uma visão financeira devem adotar o método quantitativo.

Identificando os riscos Análise dos riscos Identificando os riscos Para identificarmos os riscos devemos: Identificar os ativos da informação. Identificar as ameaças. Identificar as vulnerabilidades. Identificar os impactos.

Identificando os riscos Análise dos riscos Identificando os riscos Identificar os ativos da informação A identificação dos ativos seria um inventário dos ativos relevantes para o processo da organização, cujo acidente de segurança resultaria em um impacto negativo para o negócio.

Identificando os riscos Análise dos riscos Identificando os riscos Identificar os ativos da informação Devemos além de identificar o ativo, identificar também o seu proprietário (quem usa ou é responsável) e o processo de negocio da organização que é suportado pelo ativo, sendo assim possível atribuir um grau de relevância para o processo.

Identificando os riscos Análise dos riscos Identificando os riscos Identificar os ativos da informação Vamos tomar como base o seguinte exemplo: Proprietário Processo Ativos

Identificando os riscos Análise dos riscos Identificando os riscos Identificar os ativos da informação A partir do exemplo anterior podemos elaborar o seguinte inventário: Processo Proprietário Ativo Manter serviços de rede TI Firewall Servidor de arquivos Servidor de correio

Identificando os riscos Análise dos riscos Identificando os riscos Identificar os ativos da informação Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet). Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados (através de regras criadas por administradores). Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software. Este último é o tipo recomendado ao uso doméstico e também é o mais comum.

Identificando os riscos Análise dos riscos Identificando os riscos Identificar as ameaças Após identificar os ativos, devemos identificar as ameaças sobre eles. Ameaças são agentes externos aos ativos e não internos. Existem ameaças intencionais ou maliciosas (como vírus de computador) ou não intencionais (como uma enchente).

Identificando os riscos Análise dos riscos Identificando os riscos Identificar ameaças: exemplo Proprietário Processo Ativos

Identificando os riscos Análise dos riscos Identificando os riscos Identificar ameaças: planilha Processo Proprietário Ativo Ameaças Manter serviços de rede TI Firewall Invasor externo (cracker) Invasor interno Vírus Variação de energia Servidor de arquivos Servidor de correio

Identificando os riscos Análise dos riscos Identificando os riscos Identificar as vulnerabilidades Cada ameaça poderá explorar uma vulnerabilidade especifica dos ativos listados, então devemos identificar as vulnerabilidades destes ativos que poderiam ser exploradas pela ameaça levantada.

Identificando os riscos Análise dos riscos Identificando os riscos Identificar as vulnerabilidades Existe uma identificação entre a vulnerabilidade e o controle de segurança de informação, pois os pontos vulneráveis, são aqueles onde é possível a implementação de algum tipo de controle.

Identificando os riscos Análise dos riscos Identificando os riscos Identificar vulnerabilidades: exemplo Proprietário Processo Ativos

Identificando os riscos Análise dos riscos Identificando os riscos Identificar as vulnerabilidades Portas TCP: Ao conectar na internet , seu micro recebe um endereço IP válido. Mas, normalmente mantemos vários programas ou serviços abertos simultaneamente. Estes enviam e recebem informações para a internet. Se temos apenas um endereço IP, como todos estes serviços podem funcionar ao mesmo tempo sem entrar em conflito? Para isso temos as portas TCP, que são as portas de comunicação de um servidor (no nosso caso firewall) com o ambiente da internet.

Identificando os riscos Análise dos riscos Identificando os riscos Identificar vulnerabilidades: planilha Processo Proprietário Ativo Ameaças Vulnerabilidades Manter serviços de rede TI Firewall Invasor externo (cracker) Portas TCP abertas Invasor interno Sem controle de acesso físico Vírus Sem sistema de antivírus Variação de energia Sem nobreak Servidor de arquivos Servidor de correio

Identificando os riscos Análise dos riscos Identificando os riscos Identificar os impactos A ultima etapa da identificação de riscos é a definição do grau de impacto que a ocorrência de um incidente de segurança da informação acarretaria para o negocio da organização, dependendo do ativo envolvido no acidente.

Identificando os riscos Análise dos riscos Identificando os riscos Identificar os impactos O impacto deve ser analisado quanto ao prejuízo potencial que pode ser gerado para a organização, levando em conta: o prejuízo de negócios, tempo e custo necessário para reabilitação do ativo, prejuízos de imagem, prejuízos a terceiros.

Identificando os riscos Análise dos riscos Identificando os riscos Identificar impacto: exemplo Proprietário Processo Ativos

Identificando os riscos Análise dos riscos Identificando os riscos Identificar impacto: planilha Processo Proprietário Ativo Ameaças Vulnerabilidades Impacto Manter serviços de rede TI Firewall Invasor externo (cracker) Portas TCP abertas Médio Invasor interno Sem controle de acesso físico Vírus Sem sistema de antivírus Variação de energia Sem nobreak Servidor de arquivos Servidor de correio Alto

Realizando análise dos riscos Realizar uma análise de riscos não é uma atividade fácil, pois envolve muito planejamento e esforço. Dividimos esta análise em algumas partes: Analisar processos. Analisar pessoas. Analisar tecnologia. Analisar ambientes. Definir os responsáveis.

Realizando análise dos riscos Analisar processos Devemos mapear e analisar a fundo o processo de cada ativo relacionado, pois a relevância do processo é uma variável importante para a definição de um impacto de uma eventual incidente de segurança de informação em uma determinada área.

Realizando análise dos riscos Analisar processos É muito importante entendermos o fluxo de informações entre os processos para podermos entender qual informação deve ser protegida.

Realizando análise dos riscos Analisar pessoas Pessoas são ativos de informação e os riscos relacionados a elas precisam ser analisados. São elas quem executam e constituem os processos, são elas quem geram e consomem as informações.

Realizando análise dos riscos Analisar pessoas São as pessoas que fazem com que tudo funcione, isto é, quem executam os processos, utilizam a tecnologia e o ambiente

Realizando análise dos riscos Analisar pessoas Quais as vulnerabilidades podemos encontrar nas pessoas? Desconhecimento de diretrizes, normas e procedimentos. Não conferencia do setor de contratação a informações dadas por candidatos. Podem ser coagidas ou subornadas para dar informações.

Realizando análise dos riscos Analisar tecnologias É a mais difundida entre as quatro modalidades, principalmente tecnologias de informática como computadores e softwares. Porém não podemos esquecer das outras como sistema de telefonia, equipamentos de mídia, gravadores.

Realizando análise dos riscos Analisar tecnologias Nesta categoria podemos contar com apoio de softwares, que conseguem detectar vulnerabilidades em ativos de informática. Exemplo: sistemas desprotegidos por firewall.

Realizando análise dos riscos Analisar ambientes Ambientes são espaços físicos onde acontecem os processos, trabalham as pessoas ou onde são instalados os equipamentos. Nestes ambientes contem os ativos de informação como computadores, arquivos de metal dentre outros.

Realizando análise dos riscos Analisar ambientes Algumas vulnerabilidades deste ativo é o não controle de acesso e a falta de demarcação das áreas físicas. Devemos avaliar a quantidade de pessoas que visitam estes ambientes, se são pessoas autorizadas e se sim, qual o risco de roubarem estas informações.

Realizando análise dos riscos Analisar ambientes Devemos avaliar também: Quais áreas contem informações mais criticas? Qual a facilidade de acesso físico a esta área? Como é feito o controle de acesso?

Realizando análise dos riscos Definir os responsáveis pela análise de riscos Devem ser pessoas de total confiança da organização. Devem assinar termos de sigilo e confidencialidade. Deve ter diferentes tipos de profissionais, cada um voltado para uma das áreas de analise: pessoas, processos, ambiente e tecnologia.

Planejando o tratamento de riscos Análise dos riscos Planejando o tratamento de riscos Após compreendidos, temos quatro formas de responder a estes riscos: Evitar Controlar Transferir Aceitar

Planejando o tratamento de riscos Análise dos riscos Planejando o tratamento de riscos Evitar Caso optemos por evitar os riscos, devemos adotar tecnologias ou processos que não ofereçam riscos ao negocio da organização. Exemplo: não vender pela internet. Devemos lembrar que nem sempre conseguimos atingir metas evitando riscos.

Planejando o tratamento de riscos Análise dos riscos Planejando o tratamento de riscos Controlar Caso optemos por controlar, devemos implementar controles para diminuir as vulnerabilidades dos ativos que suportam os processos.

Planejando o tratamento de riscos Análise dos riscos Planejando o tratamento de riscos Transferir Caso optemos por transferir o risco, uma forma seria contratar um seguro cujo valor garanta a cobertura dos prejuízos ou até mesmo contratar uma organização que garanta um nível mínimo do seu serviço.

Planejando o tratamento de riscos Análise dos riscos Planejando o tratamento de riscos Aceitar O ultimo caso seria aceitar o risco. Caso não seja decidido evitar, nem controlar, nem transferir, devemos simplesmente aceitar. Devemos decidir por aceitar quando o risco for pequeno ou não trazer perigo para o negocio.