matc99 – segurança e auditoria de sistemas de...
TRANSCRIPT
Italo Valcy Seg e Auditoria de SI, 2013.1
MATC99 – Segurança e Auditoria de Sistemas de Informação
Italo Valcy <[email protected]>
Conceitos de Segurança da Informação
Italo Valcy Seg e Auditoria de SI, 2013.1 2 / 7
O que é segurança da Informação
Importância da informação:
A informação representa valor e,
consequentemente, contribui diretamente
para a geração de lucro.
Segurança da Informação:
Processo de proteção das informações e ativos digitais armazenados em computadores e redes
de processamento de dados.
Italo Valcy Seg e Auditoria de SI, 2013.1 3 / 7
Importância da informaçãoWikiLeaks
Italo Valcy Seg e Auditoria de SI, 2013.1 4 / 7
O que são ativos?
Elementos aos quais a organização atribui valor e portanto requerem
proteção.
Italo Valcy Seg e Auditoria de SI, 2013.1 5 / 7
O que são ativos?
Exemplos:
Informações impressas ou digitais
Hardware
Imagem de um Empresa
Confiabilidade de um Órgão Federal
Marca de um Produto
Software / Aplicação web
Italo Valcy Seg e Auditoria de SI, 2013.1 6 / 7
Princípios da Segurança da Informação
Confidencialidade
Integridade
Disponibilidade
Autenticidade
Italo Valcy Seg e Auditoria de SI, 2013.1 7 / 7
Controle
Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.
Também usado como sinônimo para proteção ou contramedida
Italo Valcy Seg e Auditoria de SI, 2013.1 8 / 7
Eventos e Incidentes de Segurança
Segundo [Scarfone et al. 2008] um evento é qualquer ocorrência observável em um sistema ou na rede
Ex: usuário que inicia de uma sessão SMTP, servidor web que recebe requisição HTTP, etc.
Já um evento adverso é aquele que tem consequência negativa para a instituição
Ex: flooding de pacotes na rede, uso não autorizado de sistemas, etc.
Italo Valcy Seg e Auditoria de SI, 2013.1 9 / 7
Ameaças
Ameaças são causas potenciais de incidentes não esperados, os quais talvez resultem em danos para
aos ativos da organização. Exploram falhas de segurança.
Naturais: Fenômenos da natureza
Intencionais: propositais
Involuntárias: Perigos trazidos pela ignorância por usuários não treinados ou falta de atenção
Italo Valcy Seg e Auditoria de SI, 2013.1 10 / 7
Vulnerabilidades
Fragilidades presentes ou associadas a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite a
ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios
da segurança da informação.
Italo Valcy Seg e Auditoria de SI, 2013.1 11 / 7
Tipos de vulnerabilidades
Físicas
Salas do CPD mal planejadas, falta de extintores, vazamentos, instalações fora do padrão.
Naturais
Incêndios, enchentes, terremotos, tempestades, falta de energia, acúmulo de poeira, etc.
Hadware
Desgaste, má utilização, falha nos recurso tecnológicos, etc.
Italo Valcy Seg e Auditoria de SI, 2013.1 12 / 7
Tipos de vulnerabilidades
Software
Erros de configuração, erros de instalação, perda de dados, indisponibilidade de recursos.
Mídia
Discos, fitas, relatórios e impressos podem ser perdidos ou danificados.
Comunicação
Acessos não autorizados ou perda da comunicação.
Italo Valcy Seg e Auditoria de SI, 2013.1 13 / 7
Tipos de vulnerabilidades
Humanas
Falta de treinamento, erros ou omissões, sabotagens, greve, vandalismo, roubo, etc.
Italo Valcy Seg e Auditoria de SI, 2013.1 14 / 7
Risco
Probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de
confidencialidade, integridade e disponibilidade, causando possivelmente, impactos nos
negócios.
Italo Valcy Seg e Auditoria de SI, 2013.1 15 / 7
Análise de riscos
Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos
A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos
Italo Valcy Seg e Auditoria de SI, 2013.1 16 / 7
Medidas de segurança
São as práticas, os procedimentos e os mecanismos usados para a proteção da
informação e seus ativos, que podem impedir que ameaças explorem vulnerabilidades.
Preventivas
Corretivas
Monitoramento
Italo Valcy Seg e Auditoria de SI, 2013.1 17 / 7
Medidas preventivas
São medidas que tem como objetivo evitar que incidentes venham a ocorrer.
Italo Valcy Seg e Auditoria de SI, 2013.1 18 / 7
Medidas preventivas
Exemplos:Políticas de Segurança;
Instruções e procedimentos de trabalho;
Campanhas e palestras de conscientização de usuários;
Ferramentas como firewall, antivírus, etc
Italo Valcy Seg e Auditoria de SI, 2013.1 19 / 7
Medidas de monitoramento
Visam identificar condições ou indivíduos causadores de ameaças, a fim de evitar que as mesmas explorem vulnerabilidades.
Italo Valcy Seg e Auditoria de SI, 2013.1 20 / 7
Medidas de monitoramento
Exemplos:análise de riscos;
sistemas de detecção de intrusão;
alertas de segurança;
câmeras de vigilância, alarmes, etc...
Italo Valcy Seg e Auditoria de SI, 2013.1 21 / 7
Medidas corretivas
Correção de uma estrutura tecnológica e humana para que as mesmas se adaptem às condições de segurança estabelecidas pela instituição, ou voltadas à redução dos impactos;
Italo Valcy Seg e Auditoria de SI, 2013.1 22 / 7
Medidas corretivas
Exemplos:
equipes para emergências, restauração de backup;
Plano de continuidade operacional;
Plano de recuperação de desastres;
etc
Italo Valcy Seg e Auditoria de SI, 2013.1 23 / 7
Grupos de Segurança – Cert.br
Centro de Estudo, Resposta e Tratamento de Incidentes de Segurança no Brasil
Mantido pelo NIC.br (Núcleo de Informação e Coordenação do Ponto BR)
Atua como um ponto central para notificações de incidentes de segurança no Brasil.
Coordena e o apóia o processo de resposta a incidentes.
Trabalho de conscientização sobre os problemas de segurança e análise de tendências.
Italo Valcy Seg e Auditoria de SI, 2013.1 24 / 7
Grupos de Segurança – Cert.br
Italo Valcy Seg e Auditoria de SI, 2013.1 25 / 7
CERT.br - Estatísticas
Italo Valcy Seg e Auditoria de SI, 2013.1 26 / 7
CERT.br - Estatísticas
Italo Valcy Seg e Auditoria de SI, 2013.1 27 / 7
Na UFBA
CERT.Bahia :: Grupo de Resposta a Incidentes de Segurança – Bahia/Brasil
Italo Valcy Seg e Auditoria de SI, 2013.1 28 / 7
CERT.Bahia
CSIRT (Grupo de Resposta a Incidentes de Segurança)
Missão:Auxiliar as instituições conectadas ao POP-BA/RNP na prevenção, detecção e tratamento dos incidentes de segurança, além de criar e disseminar boas práticas para uso e administração seguros das Tecnologias de Informação e Comunicação (TIC).
Italo Valcy Seg e Auditoria de SI, 2013.1 29 / 7
CERT.Bahia – Serviços
Palestras / Treinamentos / Documentação
Campanhas de Segurança:
Campanha DNSSEC
Campanha de segurança nas Instituições
Piloto para armadilha de SPAM
...
Sensores para monitoramento e alerta de incidentes de segurança
Italo Valcy Seg e Auditoria de SI, 2013.1 30 / 7
CERT.Bahia – Estatísticas
Italo Valcy Seg e Auditoria de SI, 2013.1 31 / 7
Referências
Dócea, Marcos – UFS. Conceitos em Segurança da Informação. Slides
Sêmola, Marcos. A Importância da Gestão da Segurança da Informação. Slides.
Guia de Referência Sobre Ataques Via Internet. Febraban. 2000.