Políticas de Segurança

Transcrição

1 Disciplina de Segurança e Auditoria de Sistemas Políticas de Segurança Professor: Jiyan Yari

2 Segurança da Informação Para (UCHÔA, 2005) a segurança da Informação é alicerçada principalmente em três elementos em um ambiente computacional: - Confiança (ou Disponibilidade); - Integridade; - Confidencialidade. 2

3 Segurança da Informação Confiança (ou Disponibilidade): - pode-se confiar na disponibilidade dos serviços? - os dados armazenados estarão disponíveis quando forem necessários? - os procedimentos de backups garantem que as informações armazenadas possam ser restaurados em caso de problemas? 3

4 Segurança da Informação Integridade: - os dados recuperados são confiáveis (danos)? - como garantir que as informações não foram alteradas na origem ou na sua transmissão? - como garantir que o dados acessados são iguais aos que foram armazenados (alteração)? 4

5 Segurança da Informação Confidencialidade: - como certificar que os dados só podem ser acessados por quem de direito? - como garantir a privacidade dos usuários e dos dados? - como impedir a interceptação e espionagem de informações? 5

6 Segurança da Informação Outros itens: Autenticação: - capacidade de garantir que um usuário é quem alega ser. Exemplo: Login no sistema 6

7 Segurança da Informação Outros itens: Não-repúdio: - trata-se da capacidade do sistema de provar que um usuário executou uma determinada ação. Exemplo: Assinatura digital e ou certificação digital 7

8 Segurança da Informação Outros itens: Legalidade: - garantir que o ambiente esteja em concordância com a legislação. Exemplo: Pirataria de software 8

9 Segurança da Informação Outros itens: Privacidade: - capacidade do sistema de manter o anonimato de um usuário, impossibilitando o relacionamento entre o usuário e suas ações e ou garantir que o usuário não tenha suas ações e ou dados monitorados sem prévia autorização e ou sem prévio conhecimento ou dele ou da empresa. Exemplo: Sistema de voto de urna eletrônica? 9

10 Segurança da Informação Outros itens: Auditoria: - capacidade do sistema de auditar tudo que for realizado pelos usuários, com o objetivo de detectar fraudes ou tentativas de ataque. Exemplo: Sistema de logs. 10

11 Ameças à Segurança Neste contexto as ameaças à segurança da informação são relacionadas diretamente à perda de qualquer uma de suas 3 características principais, que são: - Perda de confiabilidade: Exemplo: queda de um servidor ou de uma aplicação crítica de negócio - Perda de disponibilidade: Exemplo: um compartilhamento aberto - Perda de confidencialidade: Exemplo: vazamento de senha de um usuário ou administrador de sistema 11

12 Políticas de Segurança Uma Política de Segurança incorpora os resultados de uma análise de risco em um plano que providencia procedimentos para gerenciar um ambiente com putacional. Em particular, ela fornece ao administrador do sistema linhas operacionais para o ambiente, tais como regras para o gerenciamento de contas de usuários, procedimentos de instalação de sistemas. (MANN; MITCHELL, 2000) 12

13 Políticas de Segurança Uma política de segurança é um conjunto de leis, regras e práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos. Um dado sistema é considerado seguro em relação a uma política de segurança, caso garanta o cumprimento das leis, regras e práticas definidas nessa política. (SOARES; LEMOS; COLCHER, 1995) 13

14 Políticas de Segurança Uma política de segurança é um conjunto de leis, regras e práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos. Um dado sistema é considerado seguro em relação a uma política de segurança, caso garanta o cumprimento das leis, regras e práticas definidas nessa política. (SOARES; LEMOS; COLCHER, 1995) 14

15 Políticas de Segurança No contexto apresentado, portanto, é a política de segurança que deixa evidente as informações que devem ter o seu acesso restrito e as que podem ser liberadas (confidencialidade). 15

16 Políticas de Segurança Também é quem define quais os itens que necessitam ser preservados (integridade), bem como as pessoas que terão acesso a recursos específicos. 16

17 Políticas de Segurança Também é quem define quais os itens que necessitam ser preservados (integridade), bem como as pessoas que terão acesso a recursos específicos. 17

18 Políticas de Segurança As políticas de segurança devem ter implementação realista e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques. 18

19 Políticas de Segurança De acordo com o RFC 2196 ( - The Site Security Handbook, uma política de segurança consiste em um conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização. 19

20 Políticas de Uso Política de Uso trata-se de documento jurídico responsável por definir os direitos, deveres e obrigações dos usuários em um ambiente computacional, doutrinando assim, por parte do usuário, o controle de acessos. 20

21 Políticas de Uso Política de Uso trata-se de documento jurídico responsável por definir os direitos, deveres e obrigações dos usuários em um ambiente computacional, doutrinando assim, por parte do usuário, o controle de acessos. 21

22 Políticas de Uso Política de Uso deve ser um documento elaborado junto ao setor jurídico da empresa, para garantir os direitos, deveres e obrigações dos usuários, devendo ser assinado por todos na empresa, inclusive os de alto escalão, quer estejam envolvidos com o ambiente computacional ou não. 22

23 Políticas de Uso Para a montagem desta política, deve-se levar em conta: - riscos associados à falta de segurança; - benefícios; - custos de implementação dos mecanismos. 23

24 Mecanismos de Segurança O suporte para as recomendações de segurança pode ser encontrado em: - Controles físicos: barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta. Alguns mecanismos de segurança que apoiam os controles físicos: Portas, trancas, paredes, blindagem, guardas e etc. 24

25 Mecanismos de Segurança - Controles lógicos: barreiras que impedem ou limitam o acesso à informação, que de outro modo ficaria exposta a alteração não autorizada por elemento mal intencionado. 25

26 Mecanismos de Segurança Mecanismos de segurança que apoiam os controles lógicos: - criptografia; - assinatura digital; - garantia de integridade (hash); - controle de acesso (autenticação); - certificação (validade); - honeypot; - protocolos seguros; - IDS; - IPS. 26

27 Crimes Virtuais Para entender o quê são crimes virtuais é imprescindível distinguir os conceitos de: - crime por computador; - crime de computador. 27

28 Crimes de computador São os crimes tradicionais cometidos por meios computacionais, ou seja, utilizando como ferramenta o computador. São crimes que encontram-se tipificados na Lei. Exemplos: Enviar com ameaça de agressão, pena de 1 a 6 meses de detenção ou multa (Art. 147). SPAM, detenção de 3 meses a 1 ano ou multa (Art. 146). São tipificados crimes como: invasão de privacidade, envio de vírus de computador, pedofilia ou montagem de sites com receitas de bombas ou similares, entre outros. 28

29 Crimes de computador Crimes que só existem no ambiente computacional, não existindo equivalente no ambiente não tecnológico ou não tipificados na Lei. Exemplo: Dafacement DDoS 29

30 Projeto de Lei de Crimes Cibernéticos Teve como relator o Senador Eduardo Azeredo, transformado em um projeto de lei em 2005, porém que se iniciou há dez anos, em A discussão polêmica da definição dos crimes de informática como: - difusão de vírus; - acesso não autorizado; - phishing; - ataques a redes de computadores; - acessar conteúdo protegido por direitos autorais, como vídeos, músicas e seriados; - clonagem de cartões e celulares; - difusão de vírus; 30 - roubo de senhas, entre outros.

31 Convenção de Budapeste Existe um esforço mundial atualmente que pretende unir os países do mundo em prol da solução de crimes digitais, conhecido como Convenção de Budapeste. Foi celebrada e firmada em 23 de novembro de 2001 na cidade de Budapeste, Hungria, chefiada pela Convenção do Conselho Europeu sobre o Cybercrime, sem a participação do Brasil. Entrou em vigor no dia 1 de julho de 2004, depois que cinco países o ratificaram, sendo três, integrantes do Conselho Europeu, composto por 46 membros Os Estados Unidos são o único país de fora do Conselho 31 Europeu que o ratificou, em 29 de setembro de 2006.

32 Lei Carolina Dieckman Lei Brasileira /2012, sancionada em 3 de dezembro de 2012, tipificando os chamados delitos ou crimes informáticos. Críticas: dispositivos são amplos, confusos e podem gerar dupla interpretação, ou mesmo interpretação subjetiva. Essas interpretações podem ser utilizados para enquadramento criminal de condutas triviais ou mesmo para a defesa e respaldo de infratores cibernéticos, o que tornaria a lei injusta e ineficaz. 32

33 Lei Carolina Dieckman Os delitos previstos na Lei Carolina Dieckmann são: 1) Art. 154-A - Invasão de dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita. Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. 33

34 Lei Carolina Dieckman 2) Art Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública - Pena - detenção, de um a três anos, e multa. 3) Art Falsificação de documento particular/cartão - Pena - reclusão, de um a cinco anos, e multa. A "Lei Carolina Dieckmann" entrou em vigor no dia 02 de abril de

35 Lei Carolina Dieckman Lei na íntegra: 35