seguranÇa da informaÇÃo. 2 polÍtica de seguranÇa - importÂncia É a base para todas as...

SEGURANÇADA INFORMAÇÃO

2

POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões

relacionadas à segurança da informação;

Seu desenvolvimento é o principal passo para implantação da estratégia de segurança da corporação;

Definição: A política de segurança trata dos aspectos humanos, culturais e tecnológicos de uma organização, levando em consideração os processos e os negócios, além da legislação local; 3

POLÍTICA DE SEGURANÇA - PLANEJAMENTO O início do planejamento da política de

segurança exige uma visão abrangente, de modo que os riscos sejam entendidos parar que possam ser enfrentados.

Dois tipos de abordagens: Reativa e Pró-ativa;

No Brasil, 32% das empresas não sabem sequer se já foram atacadas.

A política de segurança, depois de definida, deve ser publicada de forma relevante e acessível;

4

PLANEJAMENTO

Política: Orienta as ações; Normas: Aborda os detalhes; Procedimentos: Aspectos de configuração

5

Política

Normas

Procedimentos

POLÍTICA DE SEGURANÇA - PLANEJAMENTO As três partes da pirâmide podem ser

desenvolvidas com base em padrões que servem de referência: BS 7799, ISO 17799;

Políticas de segurança são realidade em 39% das organizações brasileiras. 16% possuem uma política em desenvolvimento e 15% nao possuem nenhuma política;

6

POLÍTICA DE SEGURANÇA - PLANEJAMENTO

A política de segurança pode ser dividida em vários níveis, partindo de um nível mais genérico, passando pelo nível dos usuários, chegando ao nível técnico;

7

POLÍTICA DE SEGURANÇA - ELEMENTOS

Dizem respeito a tudo aquilo que é essencial para o combate de adversidades. São eles:Vigilância: todos os membros devem

entender a importância da políticaAtitude: postura e conduta ante à política

de segurança;Estratégia: diz respeito à definição da

política e do plano de defesa contra intrusões

Tecnologia: A solução tecnológica deve ser adaptativa e flexível;

8

POLÍTICA DE SEGURANÇA - ELEMENTOS

Segundo a norma ISO/IEC 17799, a política de segurança deve seguir pelo menos as seguintes orientações: Definição da segurança da informação; Declaração do comprometimento do corpo

executivo;

9

POLÍTICA DE SEGURANÇA - ELEMENTOS

Breve explanação dos princípios, padrões e requisitos de conformidade de segurança no contexto da organização: Conformidade com legislação e cláusulas

contratuais; Requisitos na educação e treinamento em

segurança; Prevenção e detecção de vírus e programas

maliciosos; Gerenciamento da continuidade nos

negócios Consequências das violações na política de

segurança 10

ELEMENTOS

A política de segurança não deve conter detalhes técnicos específicos de mecanismos a serem utilizados ou procedimentos que devem ser adotados por indivíduos em particular, mas sim regras gerais e estruturais que se aplicam ao contexto de toda a organização.

Uma característica importante da política é que ela seja curta o suficiente para que seja lida e conhecida por todos os funcionários da empresa;

11

CONSIDERAÇÕES SOBRE SEGURANÇA

Aspectos envolvidos na segurança da informação

12

Segurança da Informação

Aspectos tecnológicos

Aspectos jurídicos

Aspectos humanos

Aspectos de negócios

Aspectos processuais

CONSIDERAÇÕES SOBRE SEGURANÇA

Conheça seus possíveis inimigos; Contabilize os valores; Identifique, examine e justifique suas

hipóteses: um única variável pode modificar completamente a estratégia de segurança;

Controle seus segredos; Avalie os serviços estritamente

necessários para o andamento dos negócios;

Considere os fatores humanos;13

CONSIDERAÇÕES SOBRE SEGURANÇA Conheça seus pontos fracos;

Entenda o ambiente: entender o funcionamento normal da rede é importante para detectar possíveis comportamentos estranhos;

Limite a confiança: é essencial estar atento e vigilante;

14

PONTOS A SEREM TRATADOS

A política de segurança deve existir formalmente na instituição: Deve estar de acordo com os objetivos de

negócios; Todos os aspectos tem que ter a aprovação de

executivos/administradores; O usuário deverá participar e compreender a

política;

15

PONTOS A SEREM TRATADOS

Aspectos importantes: A segurança é mais importante que os serviços; A política de segurança deve evoluir

constantemente; “Aquilo que não for permitido será proibido”; Nenhuma conexão externa com a rede interna

será permitida, sem que passe por um rígido controle de acesso;

16

AUDITANDO OU CRACKEANDO SENHAS Muitas vezes, as senhas são consideradas o lado

mais fraco em uma política de segurança.

É da natureza humana procurar a solução mais fácil para um problema.

Usuários tendem a não criar senhas longas e complexas. Pois é difícil de lembrar.

Muitas vezes tendem a criar senhas com algo no seu ambiente.

Isso torna fácil para um invasor deduzir uma senha, ou fácil para um decifrador de senhas determinara essas senhas fáceis de lembrar. 17

POLÍTICA PARA SENHAS É de grande importância, pois depende do

‘elo mais fraco’ da corrente de segurança: o usuário;

O ser humano consegue memorizar apenas senhas com tamanho curto;

Segundo Gartner, nos EUA o esquecimento das senhas representa 30% dos chamados ao help desk, com custos entre 51 e 147 dólares por chamado;

18

POLÍTICA PARA SENHAS

Uma boa política de senhas que auxilie os usuários na escolha de suas senhas, reduzindo problemas de esquecimento significa melhor produtividade do usuários e menor custos com suporte;

19

POLÍTICA PARA SENHAS Vulnerabilidades:

Utilização de sniffers;Utilização de crack (LC4);Adivinhação de senhas;

Formas de se obter senhas em Windows:Por meio de sniffing na rede;Diretamente do arquivo Security Account

Manager (SAM), que pode ser obtido diretamente do disco do servidor, do disco de emergência ou de um backup;

Por meio do registro do windows (pode ser evitado através do uso do utilitário chamado SYSKEY)

20

POLÍTICA PARA SENHAS

Em um ambiente típico, 18% das senhas podem ser obtidas em 10 minutos, e 98% das senhas podem ser descobertas em 48 horas, incluindo a senha de administrador;

21

POLÍTICA PARA SENHAS

Boas práticas na definição de senhas:Caso não exista um procedimento que

auxilie o usuário a escolher uma senha, é melhor que o administrador escolha a senha;

A senha deve ser redefinida a cada 2 meses;

As informações sobre último acesso, com data e local devem ser armazenadas;

As senhas devem ser bloqueadas a cada 3 ou 5 tentativas sem sucesso;

Atribuir responsabilidades a usuários e adminstradores;

22

POLÍTICA PARA SENHAS

Outras recomendações: Não utilize palavras que estão em dicionários; Não utilize informações pessoais fáceis de serem

obtidas; Não utilize o mesmo nome de usuário; Não utilize senhas com repetição do mesmo

dígito;

23

24

POLÍTICA DE INSTALAÇÃO DE SOFTWARE

Todos os softwares instalados em servidores, desktops e notebooks da sua empresa são licenciados ou freeware?

Popularização da Internet e do CD-ROM Usuário desconhece a diferença de uma versão demonstração,

trial por X dias, shareware e freeware Não controla a desinstalação

Riscos

Multas e processos judiciais (ABES) Perda da Certificação ISO 9000 Falta de aderência aos processos definidos

CRIPTOGRAFIA

Criptografia – ciência de codificar informações, isto é escrever mensagens de forma cifrada ou em código.

- - É usada para:

- Autenticar a identidade de usuários. - garantir sigilo (somente usuário autorizados)- integridade da informação (não alteração da

informação)- autenticar e proteger o sigilo de comunicações

pessoais e de transações comerciais bancárias;

- Para cifrar ou decifrar dados é necessário uma chave ou senha

- Chave – algoritmo matemático de difícil determinação- Senha – secreta e de difícil determinação

25

CRIPTOGRAFIA

Criptografia de chave única: utiliza a mesma chave tanto para codificar quanto para decodificar mensagens.

Criptografia de chave pública ou privada: utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens. Neste método cada pessoa mantém duas chaves: uma pública, que pode ser divulgada livremente, e outra provada, que deve ser mantida em segredo pelo seu dono. 26

ASSINATURA DIGITAL

versão digital da assinatura de uma pessoal destinatário pode comprovar a assinatura digital, dando assim credibilidade a informação transmitida quando verificada uma assinatura digital não pode ser negada (não repudio)

garantem a integridade do documento

garantem a legitimidade do remetente

exemplo, para personalizar uma mensagem, um determinado usuário A codifica uma mensagem utilizando sua chave secreta e a envia para o destinatário. Somente a chave pública de A permitirá a decodificação dessa mensagem. Portanto é a prova de que A enviou a mensagem a mensagem pode ser decodificada por qualquer um que tenha a chave pública do remetente

27

28

ASSINATURA DIGITAL

ENGENHARIA SOCIAL

Engenharia Social - A técnica de 'crackear' pessoas

Um novo nome para um velho golpe

Objetivos: espionagem industrial, vantagens financeiras, fraude, roubo de identidade e de informações estratégicas.

Normalmente ocorre por telefone ou até pessoalmente. Online, as pessoas ficam mais desconfiadas de crackers

Utiliza a confiança, a ingenuidade, a surpresa e o respeito à autoridade (fazer-se pasar por outra pessoa)

29

PREVENÇÃO CONTRA ENGENHARIA SOCIAL Conscientização dos responsáveis pela segurança

Treinamento do pessoal de atendimento

Impedir entrada não-autorizada aos prédios

Identificar funcionários por números

Manter o lixo em lugar seguro e monitorado. Picar papéis e eliminar completamente dados magnéticos

Trocar senhas periodicamente30

FIREWALL

É um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados.

A vantagem do uso de firewalls em redes, é que somente um computador pode atuar como firewall, não sendo necessário instalá-lo em cada máquina conectada.

31

FIREWALL O firewall pode:

• bloquear o tráfego: proteger a rede de entrada de usuários estranhos;

• liberação controlada: permite a entrada na sua rede somente por usuários previamente selecionados;

O que um firewall não faz:

• vírus-novas ameaças: ele protege sua rede contra ataques conhecidos, ou seja, ameaças novas não serão protegidas;

• integridade das informações: um firewall não pode garantir que as informações são íntegras e que não foram interceptadas ou alteradas; 32

33