VIII Fórum de Auditoria Segurança da Informação VIII. Fórum Estadual de Auditoria. Cláudio Reginaldo Alexandre. Cláudio Reginaldo Alexandre

Transcrição

1 VIII Fórum Estadual de Auditoria 1

2 Panorama Atual Leitura dos Números 2

3 Fonte: 3

4 Origem dos Incidentes 2008 Mês Total worm (%) dos (%) invasão (%) aw (%) scan (%) fraude (%) jan fev mar Total Total worm (%) dos (%) invasão (%) aw (%) scan (%) fraude (%) Fonte: 4

5 Principal Instrumento Phishing Scan Reportados Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez 2007 Novos Sites Phishing Scan Fonte: Jan Fev Mar Abr Mai Jun Jul Ago Set Out NovDez

6 Exemplo 1 Fonte: 6

7 Exemplo 2 7

8 Onde os Bandidos Atuam Fonte: 8

9 Onde os Bandidos Atuam Fonte: 9

10 Evidências Todas as estatísticas mostram grande queda no número de ataques diretos Isso pode significar que as médias e grandes empresas melhoraram seu nível de segurança com softwares e hardwares Os bandidos passaram a investir no elo mais fraco clientes e usuários As empresas continuam não conseguindo implantar uma cultura de segurança entre os funcionários Funcionários e clientes desconhecem os riscos existentes no ambiente de informática 10

11 Ciclo Vicioso Fonte: Academia Latino-Americana de dez/

12 Proteger a Informação Árdua Tarefa 12

13 Pesado Ciclo da 13

14 Profusão de Ameaças Ameaças Intencionais Ameaças Acidentais Ameaças Ativas Catástrofes Pane na comunicação e no suprimento de energia Pane na rede Problemas nos sistemas operacionais Problemas nos sistemas corporativos Comportamento antisocial paralisações e greves; alcoolismo e drogas; rixas entre funcionários setores, gerências, diretorias; inveja profissional; etc. Ação criminosa furtos e roubos, fraudes, sabotagem, terrorismo e atentados, seqüestros, espionagem industrial, engenharia social, etc. 14

15 Diversidade de Medidas de Segurança Política de Segurança Criptografia forte Certificação Digital Controle de Acesso (físico e lógico) Segurança física Política de backup Plano de Continuidade de Negócios Monitoração Firewall Segurança de roteadores Filtros de conteúdo Política de senha Detecção de intrusos Teste de invasão Alertas Treinamento/Conscienti zação dos usuários Auditoria de sistemas Antivírus 15

16 Resultado 16

17 Efeito Colateral 17

18 Proposta de Mudança Rever Posturas 18

19 Verdades Se fizermos tudo que o pessoal de segurança quer, não fazemos negócio. Se fizermos tudo como o pessoal de negócios deseja, não teremos segurança. Laércio Albino Cruz VP do Bradesco Eficiência em tecnologia da informação significa entrega e disponibilidade. Entrega implica em rapidez com qualidade A arte está em encontrar o equilíbrio 19

20 Posturas A prática comum da equipe de segurança Avaliar propostas de implementação e apresentar pareceres, dificilmente entrando no mérito do como Qual deve ser o real objetivo da segurança Definir a forma mais segura da empresa realizar seus negócios, aproveitando eficientemente as oportunidades e mantendo a competitividade Definir as melhores práticas de segurança (consultoria) e atestar sua aplicabilidade (avaliação) 20

21 Preocupações atuais Raridade nas ações de orientação e educação de usuários e clientes Os usuários apresentam baixo nível de conhecimento sobre as ferramentas e produtos utilizados Interfaces pouco amigáveis Percentual de acesso ao I.B. Razão de não acessar o I.B. 44% Acessa 28% 30% Dificuldade 56% Não acessa Fraude Não tem PC 42% Fonte: INTERNET BANKING: FATORES QUE INFLUENCIAM NA DISSEMINAÇÃO DA SUA UTILIZAÇÃO Ricardo Victor, Faculdade Christus,

22 Preocupações atuais Mobilidade: contraste entre os serviços disponibilizados Internet Banking está perdendo a mobilidade Serviços financeiros pelo celular 22

23 Preocupações atuais Colocação de mecanismos/produtos de segurança nos computadores dos clientes Novas responsabilidades Profusão de mecanismos de segurança nem sempre conhecidos pelo usuário 23

24 Resumo O perigo existe, é real e não pode ser ignorado Os bandido mudaram seu objetivo, passando a atacar usuários e clientes As empresas e prestadores de serviços não estão investindo na orientação de usuários e clientes A segurança da informação precisa alinhar-se mais ao negócio Os usuários e clientes estão sendo bombardeados com mecanismos de segurança Precisamos evitar que a necessidade de segurança acabe por inviabilizar os serviços móveis 24

25 25