seguranÇa da informaÇÃo. 2 polÍtica de seguranÇa - importÂncia É a base para todas as...
TRANSCRIPT
SEGURANÇADA INFORMAÇÃO
2
POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões
relacionadas à segurança da informação;
Seu desenvolvimento é o principal passo para implantação da estratégia de segurança da corporação;
Definição: A política de segurança trata dos aspectos humanos, culturais e tecnológicos de uma organização, levando em consideração os processos e os negócios, além da legislação local; 3
POLÍTICA DE SEGURANÇA - PLANEJAMENTO O início do planejamento da política de
segurança exige uma visão abrangente, de modo que os riscos sejam entendidos parar que possam ser enfrentados.
Dois tipos de abordagens: Reativa e Pró-ativa;
No Brasil, 32% das empresas não sabem sequer se já foram atacadas.
A política de segurança, depois de definida, deve ser publicada de forma relevante e acessível;
4
PLANEJAMENTO
Política: Orienta as ações; Normas: Aborda os detalhes; Procedimentos: Aspectos de configuração
5
Política
Normas
Procedimentos
POLÍTICA DE SEGURANÇA - PLANEJAMENTO As três partes da pirâmide podem ser
desenvolvidas com base em padrões que servem de referência: BS 7799, ISO 17799;
Políticas de segurança são realidade em 39% das organizações brasileiras. 16% possuem uma política em desenvolvimento e 15% nao possuem nenhuma política;
6
POLÍTICA DE SEGURANÇA - PLANEJAMENTO
A política de segurança pode ser dividida em vários níveis, partindo de um nível mais genérico, passando pelo nível dos usuários, chegando ao nível técnico;
7
POLÍTICA DE SEGURANÇA - ELEMENTOS
Dizem respeito a tudo aquilo que é essencial para o combate de adversidades. São eles:Vigilância: todos os membros devem
entender a importância da políticaAtitude: postura e conduta ante à política
de segurança;Estratégia: diz respeito à definição da
política e do plano de defesa contra intrusões
Tecnologia: A solução tecnológica deve ser adaptativa e flexível;
8
POLÍTICA DE SEGURANÇA - ELEMENTOS
Segundo a norma ISO/IEC 17799, a política de segurança deve seguir pelo menos as seguintes orientações: Definição da segurança da informação; Declaração do comprometimento do corpo
executivo;
9
POLÍTICA DE SEGURANÇA - ELEMENTOS
Breve explanação dos princípios, padrões e requisitos de conformidade de segurança no contexto da organização: Conformidade com legislação e cláusulas
contratuais; Requisitos na educação e treinamento em
segurança; Prevenção e detecção de vírus e programas
maliciosos; Gerenciamento da continuidade nos
negócios Consequências das violações na política de
segurança 10
ELEMENTOS
A política de segurança não deve conter detalhes técnicos específicos de mecanismos a serem utilizados ou procedimentos que devem ser adotados por indivíduos em particular, mas sim regras gerais e estruturais que se aplicam ao contexto de toda a organização.
Uma característica importante da política é que ela seja curta o suficiente para que seja lida e conhecida por todos os funcionários da empresa;
11
CONSIDERAÇÕES SOBRE SEGURANÇA
Aspectos envolvidos na segurança da informação
12
Segurança da Informação
Aspectos tecnológicos
Aspectos jurídicos
Aspectos humanos
Aspectos de negócios
Aspectos processuais
CONSIDERAÇÕES SOBRE SEGURANÇA
Conheça seus possíveis inimigos; Contabilize os valores; Identifique, examine e justifique suas
hipóteses: um única variável pode modificar completamente a estratégia de segurança;
Controle seus segredos; Avalie os serviços estritamente
necessários para o andamento dos negócios;
Considere os fatores humanos;13
CONSIDERAÇÕES SOBRE SEGURANÇA Conheça seus pontos fracos;
Entenda o ambiente: entender o funcionamento normal da rede é importante para detectar possíveis comportamentos estranhos;
Limite a confiança: é essencial estar atento e vigilante;
14
PONTOS A SEREM TRATADOS
A política de segurança deve existir formalmente na instituição: Deve estar de acordo com os objetivos de
negócios; Todos os aspectos tem que ter a aprovação de
executivos/administradores; O usuário deverá participar e compreender a
política;
15
PONTOS A SEREM TRATADOS
Aspectos importantes: A segurança é mais importante que os serviços; A política de segurança deve evoluir
constantemente; “Aquilo que não for permitido será proibido”; Nenhuma conexão externa com a rede interna
será permitida, sem que passe por um rígido controle de acesso;
16
AUDITANDO OU CRACKEANDO SENHAS Muitas vezes, as senhas são consideradas o lado
mais fraco em uma política de segurança.
É da natureza humana procurar a solução mais fácil para um problema.
Usuários tendem a não criar senhas longas e complexas. Pois é difícil de lembrar.
Muitas vezes tendem a criar senhas com algo no seu ambiente.
Isso torna fácil para um invasor deduzir uma senha, ou fácil para um decifrador de senhas determinara essas senhas fáceis de lembrar. 17
POLÍTICA PARA SENHAS É de grande importância, pois depende do
‘elo mais fraco’ da corrente de segurança: o usuário;
O ser humano consegue memorizar apenas senhas com tamanho curto;
Segundo Gartner, nos EUA o esquecimento das senhas representa 30% dos chamados ao help desk, com custos entre 51 e 147 dólares por chamado;
18
POLÍTICA PARA SENHAS
Uma boa política de senhas que auxilie os usuários na escolha de suas senhas, reduzindo problemas de esquecimento significa melhor produtividade do usuários e menor custos com suporte;
19
POLÍTICA PARA SENHAS Vulnerabilidades:
Utilização de sniffers;Utilização de crack (LC4);Adivinhação de senhas;
Formas de se obter senhas em Windows:Por meio de sniffing na rede;Diretamente do arquivo Security Account
Manager (SAM), que pode ser obtido diretamente do disco do servidor, do disco de emergência ou de um backup;
Por meio do registro do windows (pode ser evitado através do uso do utilitário chamado SYSKEY)
20
POLÍTICA PARA SENHAS
Em um ambiente típico, 18% das senhas podem ser obtidas em 10 minutos, e 98% das senhas podem ser descobertas em 48 horas, incluindo a senha de administrador;
21
POLÍTICA PARA SENHAS
Boas práticas na definição de senhas:Caso não exista um procedimento que
auxilie o usuário a escolher uma senha, é melhor que o administrador escolha a senha;
A senha deve ser redefinida a cada 2 meses;
As informações sobre último acesso, com data e local devem ser armazenadas;
As senhas devem ser bloqueadas a cada 3 ou 5 tentativas sem sucesso;
Atribuir responsabilidades a usuários e adminstradores;
22
POLÍTICA PARA SENHAS
Outras recomendações: Não utilize palavras que estão em dicionários; Não utilize informações pessoais fáceis de serem
obtidas; Não utilize o mesmo nome de usuário; Não utilize senhas com repetição do mesmo
dígito;
23
24
POLÍTICA DE INSTALAÇÃO DE SOFTWARE
Todos os softwares instalados em servidores, desktops e notebooks da sua empresa são licenciados ou freeware?
Popularização da Internet e do CD-ROM Usuário desconhece a diferença de uma versão demonstração,
trial por X dias, shareware e freeware Não controla a desinstalação
Riscos
Multas e processos judiciais (ABES) Perda da Certificação ISO 9000 Falta de aderência aos processos definidos
CRIPTOGRAFIA
Criptografia – ciência de codificar informações, isto é escrever mensagens de forma cifrada ou em código.
- - É usada para:
- Autenticar a identidade de usuários. - garantir sigilo (somente usuário autorizados)- integridade da informação (não alteração da
informação)- autenticar e proteger o sigilo de comunicações
pessoais e de transações comerciais bancárias;
- Para cifrar ou decifrar dados é necessário uma chave ou senha
- Chave – algoritmo matemático de difícil determinação- Senha – secreta e de difícil determinação
25
CRIPTOGRAFIA
Criptografia de chave única: utiliza a mesma chave tanto para codificar quanto para decodificar mensagens.
Criptografia de chave pública ou privada: utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens. Neste método cada pessoa mantém duas chaves: uma pública, que pode ser divulgada livremente, e outra provada, que deve ser mantida em segredo pelo seu dono. 26
ASSINATURA DIGITAL
versão digital da assinatura de uma pessoal destinatário pode comprovar a assinatura digital, dando assim credibilidade a informação transmitida quando verificada uma assinatura digital não pode ser negada (não repudio)
garantem a integridade do documento
garantem a legitimidade do remetente
exemplo, para personalizar uma mensagem, um determinado usuário A codifica uma mensagem utilizando sua chave secreta e a envia para o destinatário. Somente a chave pública de A permitirá a decodificação dessa mensagem. Portanto é a prova de que A enviou a mensagem a mensagem pode ser decodificada por qualquer um que tenha a chave pública do remetente
27
28
ASSINATURA DIGITAL
ENGENHARIA SOCIAL
Engenharia Social - A técnica de 'crackear' pessoas
Um novo nome para um velho golpe
Objetivos: espionagem industrial, vantagens financeiras, fraude, roubo de identidade e de informações estratégicas.
Normalmente ocorre por telefone ou até pessoalmente. Online, as pessoas ficam mais desconfiadas de crackers
Utiliza a confiança, a ingenuidade, a surpresa e o respeito à autoridade (fazer-se pasar por outra pessoa)
29
PREVENÇÃO CONTRA ENGENHARIA SOCIAL Conscientização dos responsáveis pela segurança
Treinamento do pessoal de atendimento
Impedir entrada não-autorizada aos prédios
Identificar funcionários por números
Manter o lixo em lugar seguro e monitorado. Picar papéis e eliminar completamente dados magnéticos
Trocar senhas periodicamente30
FIREWALL
É um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados.
A vantagem do uso de firewalls em redes, é que somente um computador pode atuar como firewall, não sendo necessário instalá-lo em cada máquina conectada.
31
FIREWALL O firewall pode:
• bloquear o tráfego: proteger a rede de entrada de usuários estranhos;
• liberação controlada: permite a entrada na sua rede somente por usuários previamente selecionados;
O que um firewall não faz:
• vírus-novas ameaças: ele protege sua rede contra ataques conhecidos, ou seja, ameaças novas não serão protegidas;
• integridade das informações: um firewall não pode garantir que as informações são íntegras e que não foram interceptadas ou alteradas; 32
33