gti/erp 07/12 segurança da informação e legislação
DESCRIPTION
Conteúdo: Segurança da Informação, Principais Ameaças, Meios de Proteção, Legislação. Aula 3 da Disciplina de Gerenciamento de Tecnologia da Informação e ERP do MBA em Gestão de Negócios da Faculdade Estácio do Recife.TRANSCRIPT
Gerenciamento de Tecnologia da Informação e ERP
Aula 3 – Segurança da Informação e Legislação FELIPE AUGUSTO PEREIRA
[email protected] | @felipeunu
Recife, 2012 1
• Segurança da Informação
• Principais Ameaças
• Meios de Proteção
• Legislação
2
Conteúdo
SEGURANÇA DA INFORMAÇÃO
3
Confidencialidade
Integridade
Disponibilidade
Segurança da
Informação
4
Segurança da Informação
Cibercrimes
• Prática que consiste em fraudar a segurança de computadores e redes empresariais ou utilizar meios eletrônicos para a realização de crimes
• Ex: SPAM, fraudes bancárias, violação de propriedade intelectual, pornografia, invasão de websites, etc.
5
• 1. Estados Unidos (23%)
• 2. China (9%)
• 3. Alemanha (6%)
• 4. Inglaterra (5%)
• 5. Brasil (4%)
• 6. Espanha (4%)
• 7. Itália (3%)
• 8. França (3%)
• 9. Turquia (3%)
• 10. Polônia (3%)
Fonte: BusinessWeek (2009) 6
Cibercrimes no Mundo
• Ranking de 2008 – Fração da atividade maliciosa no mundo: 4%
– Cibercrimes em geral: 5º lugar
– Códigos maliciosos: 16º lugar
– Zumbis para SPAM: 1º lugar
– Hospedagem de sites phishing : 16º lugar
– Bots (PCs controlados remotamente): 5º lugar
– Origem dos ataques: 9º lugar
Fonte: BusinessWeek (2009)
7
Cibercrimes no Brasil
8
Incidentes reportados ao CERT.br
Fonte: NIC.Br
• Inicialmente – Ação individual
– Status e reconhecimento
• Atualmente – Crime organizado
– Motivação financeira
– Ataques a usuários finais
9
Motivações para Cibercrimes
• Selecione uma empresa e apresente:
– Nome
– Produtos/serviços
– Relevância da segurança da informação para a empresa (justifique sua resposta)
10
Atividade 3.1 (em trio)
PRINCIPAIS AMEAÇAS
11
• Usuários
• Linhas de comunicação
• Servidores corporativos
• Sistemas corporativos
12
Fontes de Vulnerabilidade dos Sistemas
• Envio de e-mails não solicitados
• Problemas – Redução da produtividade
– Sobrecarga da infraestrutura de comunicação
– Porta para malwares e outras ameaças
– Inclusão do servidor em listas de bloqueio
13
SPAM
• Malicious Software = software malicioso
• Vírus, worms, backdoors, cavalos de tróia, spywares, keyloggers, screenlogers, bots, rootkits
• Software mal intencionado
• Normalmente disseminados através de websites, e-mails e pen drives
• Ações benignas x malignas
14
Malwares
• Varredura de redes de computadores à procura de vulnerabilidades
15
Scanning
• Indivíduos que pretendem obter acesso não autorizado a um sistema computacional
• Cracker, black hat, white hat
• Algumas ações – Invasão de sistemas
– Vandalismo
– Roubo de informações
16
Hackers
• Força Bruta
• Exploração de falhas conhecidas
• Suscetibilidade de computadores com banda larga (IP constante alta velocidade e longo tempo de conexão)
• Conexões sem fio
17
Invasão
• Golpe que normalmente objetiva vantagem financeira – Site de vendas ou leilão com preços muito abaixo do mercado, que
não serão entregues ou servirão para furto de dados financeiros
– E-mail recebido em nome de uma instituição financeira solicitando atuação como intermediário de uma transferência internacional mediante adiantamento
18
Scam
• “Disfarce” de pessoas ou programas através da falsificação de informações
• Empresas com material com copyright divulgam materiais distorcidos em redes de compartilhamento para desencorajar o uso
• E-mail spoofing – Alteração do remetente de e-mails
• Spoofing em ligações – Alteração de informações de quem está originando a ligação
19
Spoofing
• Modalidade de spoofing em que há a tentativa de obter informações importantes através de elementos mascarados como de instituições idôneas
• Modalidades – E-mails com falsas informações atraindo para links
– E-mails com manipulação de links
– E-mails com formulários
– Redirecionamento a websites falsos na digitação de endereços verdadeiros
– Phishing telefônico
– Utilização de popups solicitando informações no acesso a sites verdadeiros
20
Phishing
Tema Texto da mensagem
Cartões virtuais UOL, Voxcards, Musical Cards, etc.
SERASA e SPC Débitos e restrições
Governo CPF/CNPJ cancelados, problemas com imposto de renda ou eleições
Celebridades, fatos da mídia Fotos e vídeos
Relacionamentos Traição, convites para relacionamentos
Empresas de telefonia Débitos, bloqueio, serviços
Antivírus Atualizações
Lojas virtuais Pedidos, débitos
Negócios Solicitações de orçamentos, recibos
Promoções Vários
Programas Novidades, ofertas
21
Phishings Comuns
• Boatos com alarmes falsos enviados por e-mail
• Podem espalhar desinformação ou ter fins maliciosos
• Já houve casos de divulgação por meios de comunicação
• Exemplos – Envio de mensagem para n pessoas e obtenção de benefício
– Auxílio a pacientes de doenças graves através do envio de mensagens
– Produtos contaminados em empresas conhecidas
– Seringa com AIDS
– Roubo de órgãos
22
Hoaxes
• Utilização de identidades falsas em redes sociais e softwares de comunicação instantânea
• Identidades de famosos ou conhecidos
• Utilizado para acessar serviços sem se identificar ou se fazer passar por outros
23
Fakes
• Programa espião que monitora os dados transmitidos através de uma rede
• Permite acesso a arquivos, senhas ou conversações em tempo real
24
Sniffing
• Sobrecarga de servidor de rede ou web com falsas requisições
• Servidor sobrecarregado não consegue atender as solicitações
• Costuma usar bots
• Serviço atacado fica indisponível
• De 2% a 3% do tráfego de grandes backbones é ruído de DoS
25
Ataques DoS
• Exploração das vulnerabilidades das redes por terroristas, serviços de inteligência estrangeiros ou outros grupos para criar perturbações e prejuízos
• Acredita-se que vários países tenham ações de ataque e defesa em desenvolvimento para uma ciberguerra
• Preocupação de vários governos
26
Ciberterrorismo
• Ocorrências intencionais de funcionários
• Ocorrências intencionais de ex-funcionários
• Engenharia social
• Falhas na operação de sistemas
27
Funcionários
• Softwares comerciais apresentam falhas frequentes – Falhas descobertas são divulgadas e aproveitadas por indivíduos mal
intencionados
– Patches são lançados para resolver tais falhas
• Softwares online podem apresentar falhas através da manipulação de URL – Não proteção de arquivos em servidores online
– Acesso a funcionalidades por usuários não credenciados
28
Falhas de software
• Danos a equipamentos
• Invasão física
• Quedas e falta de energia
• Acidentes naturais
29
Falhas Físicas
• Dentre as ameaças abordadas (SPAM, malwares, scanning, hackers, invasão, scam, spoofing, phishing, hoaxes, fakes, sniffing, ataque DoS, ciberterrorismo, funcionários, falhas de software, falhas físicas), cite as 06 principais a que a empresa selecionada está sujeita e explique qual o impacto de cada uma delas.
30
Atividade 3.2 (em trio)
MEIOS DE PROTEÇÃO
31
• Normaliza, padroniza e estabelece critérios mínimos para garantir a integridade, confidencialidade e disponibilidade da informação no ambiente computacional
• Requer apoio da alta gestão e todos os funcionários
• É específica a cada organização
• Define regras de infraestrutura, utilização dos equipamentos, redes, e-mails corporativos, acesso à internet, senhas, etc
32
Política de Segurança
• Define ações a serem tomadas na ocorrência de grandes problemas
• Inclui ações para restauração dos serviços de computação e comunicação à normalidade
33
Plano de Contingência
• Conjunto de políticas e procedimentos utilizados pela empresa para evitar acesso indevido a informações
• Permissão – Definição das restrições de acesso
• Autenticação – Identificação da identidade de um usuário
– Senhas, cartões, tokens, biometria, etc.
34
Controle de Acesso
• Senhas longas
• Senhas com caracteres especiais (!@#$%&*?<>)
• Caracteres repetidos, sequências do teclado, palavras de quaisquer dicionários e dados pessoais devem ser evitados
• A senha deve ser alterada periodicamente (de 02 a 03 meses), com utilização de senhas diferentes das anteriores
35
Senhas
• O uso da mesma senha em diversos sistemas deve ser evitado
• Senhas não devem ser enviadas por telefone, e-mail ou software de comunicação instantânea
• Senhas não devem ser anotadas, exceto se houver dificuldade para decorar (nesse caso, a anotação deve ser mantida em local seguro)
36
Senhas
O que você acha dessas senhas?
• senha
• admsenha
• A3Dkiu0!
• felipe
• pereira
• 01081980
• Lionfish
• GAFANHOTO
• asdfg
• 1qaz2wsx
• 1234567890
• 87654321
• AcDaz90!
• amanda
37
• Pacotes com soluções antivírus, anti-SPAM e anti-spywares
• Verifica os sistemas em busca de arquivos e processos possivelmente infectados
• Devem ser atualizados diariamente
38
Suítes Anti-malwares
• Desativação recomendada – Abertura e execução automática de anexos
– Execução de JavaScript e Java
– Modo de visualização de e-mails HTML
• Atenção a anexos suspeitos ou de remetentes desconhecidos
• Atenção ao clicar em links em e-mails suspeitos (digitar o endereço diretamente no browser é preferível)
39
Segurança em E-mails
• SPAMs não devem ser respondidos (nem solicitação de descadastramento)
• A divulgação de e-mails na Internet deve ser feita com precaução
40
Segurança em E-mails
• Atenção à execução de programas Java, Activex e JavaScripts
• Popups devem ser bloqueados
• Procedência do site e uso de conexões seguras ao realizas transações devem ser conferidos – Cadeado
– Validade e propriedade do certificado
• Websites de entretenimento de natureza desconhecida são perigosos (ex: pornografia e jogos)
41
Segurança na Navegação na Internet
• Atenção com os cookies
• Atenção com o bluetooth
• Informações não devem ser desnecessariamente divulgadas online (inclusive em grupos e comunidades)
42
Privacidade
• Convites de desconhecidos não devem ser aceitados
• Atenção para a engenharia social
• Atenção para o recebimento de arquivos
43
Segurança na Comunicação Instantânea
• Atenção à configuração de softwares de compartilhamento de arquivos (Kazaa, BitTorrent, Emule, etc.)
• Compartilhamentos de pastas devem ser feitos com o uso de senhas
44
Segurança no Compartilhamento de Arquivos
• Alteração do SSID e senhas default dos equipamentos
• Utilização de protocolos de autenticação robustos (ex: WPA, criptografia AES)
• Criação de redes virtuais (VLANs) para visitantes
45
Segurança de Redes sem Fio
• Transformação de dados comuns em dados cifrados para que sejam conhecidos apenas pelo remetente e destinatário – Criptografia de dados armazenados
– Criptografia de dados trafegados
– Assinatura digital
– Certificado digital
• Criptografia de chave única x chave pública e privada
46
Criptografia
• Arquivo eletrônico com dados de uma pessoa (física ou jurídica)
• Armazenado no PC, token ou smart card
• Autoridade Certificadora = “cartório eletrônico”
47
Certificado Digital
• Sistemas que protegem redes privadas de acessos não autorizados
• Controle do fluxo de entrada e saída da rede
• Baseado em filtros de pacotes, regras e controles por endereço MAC, IP, etc.
• Hardware e/ou software
• Geração de logs
• Firewalls pessoais
48
Firewalls
• Alteração de portas
• Alteração de usuários e senhas de aplicações, redes, etc.
• Válido para softwares e hardwares
49
Mudanças de Padrões
• SPAMs: rede do remetente e [email protected]
• Scams e phishing: rede do remetente e [email protected]
• Invasões, tentativas, ataques DoS e outros incidentes: rede originária do incidente e [email protected]
50
Denúncias
• Aquisição
– Evitar pirataria
– Atualização constante dos patches
– Seleção de bons fornecedores
• Desenvolvimento
– Atualização das ferramentas e tecnologias de desenvolvimento
– Qualificação da equipe
– Atenção a boas práticas de engenharia de software
51
Segurança em Software
• Frequência depende da periodicidade de atualização dos dados, do risco e valor da perda
• Mídia a ser utilizada dever ser analisada
• Atenção ao local de armazenamento
52
Backups
• Espelhamento de discos
• Realização de backups
• No-breaks
• Segurança física dos ambientes (computadores e demais dispositivos)
53
Ações contra Danos Físicos
• Treinamento com usuários
• O uso de computadores desconhecidos deve ser moderado (dispositivos de armazenamento móvel e dados confidenciais)
• Configurações de segurança devem ser feitas bloqueando tudo e liberando apenas o necessário
• Tráfego de rede deve ser monitorado
54
Outras Ações
• http://cartilha.cert.br
55
Cartilha CERT
• Quais desses meios de proteção você identifica na empresa selecionada: política de segurança, plano de contingência, controle de acesso, senhas, suítes anti-malwares, privacidade, segurança em e-mails, navegação na Internet, comunicação instantânea, compartilhamento de arquivos, redes sem fio, criptografia, firewalls, mudanças de padrões, denúncias, segurança em software, backups e proteção contra danos físicos?
• Explique como cada um é implementado.
• Alguma das ameaças da atividade 3.2 não está sendo contemplada? O que fazer para evitá-la?
56
Atividade 3.3 (em trio)
LEGISLAÇÃO
57
Legislação
• Pirataria
• Prova da autoria de crimes eletrônicos
• Direito autoral e propriedade intelectual
• Questões trabalhistas
58
• Freeware – Uso gratuito
– Autor detém o copyright e pode impor restrições ao uso
– Software não pode ser alterado ou distribuído sem permissão
• Domínio público – Não tem copyright
– Pode ser alterado e distribuído sem permissão
– Normalmente, financiado por governo e criado por universidade e/ou instituições de pesquisa
59
Licenciamento
• Código aberto – Código fonte é disponibilizado
– Outros programadores podem alterar e redistribuir
• Shareware – Software comercial distribuído gratuitamente por um período
experimental
– Deve ser registrado para funcionar após o término do prazo
• Demo – Software comercial que apresenta limitação de funcionalidades para
testes
– Interessado deve adquirir versão completa
60
Licenciamento
61
Dúvidas