Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Transcrição

1 Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU

2 Aula anterior Auditoria e Segurança da Informação(GSI521)

3 Segurança da informação Passado Proteção dos meios físicos (bens e informação): Arquivamento; Salas trancadas; Cadeados; Proteção administrativa: Seleção rigorosa de pessoal; Controle físico de acesso.

4 Segurança da informação Atual Necessidade de proteger dados em computadores; Complicadores: 1) Interligação de computadores por redes tornou os dados mais vulneráveis (mais pessoas podem ter acesso); 2) Interligação de computadores por uma rede imensa, chamada Internet, tornou os dados ainda mais vulneráveis (um número muito maior de pessoas podem ter acesso).

5 Evolução tecnológica x Segurança Aspectos de segurança extremamente simples (Mainframe): Nome de usuário; Senha. Qual é o cenário atual?

6 Segurança da informação Fundamentos Os fundamentos que norteiam os processos de segurança da informação são: Confidencialidade; Integridade; Disponibilidade.

7 Introdução Parte 2 Auditoria e Segurança da Informação(GSI521)

8 Investimentos em segurança Um dos principais obstáculos para a definição e implementação de mecanismos de segurança é o seu orçamento pequeno! Aos poucos isso está mudando, mas em geral, os executivos não têm a visão necessária para enxergar a importância de uma boa estratégia de segurança.

9 Investimentos em segurança Caso clássico: Fabricante de jogos eletrônicos Epic fevereiro de 2003; Pesquisador encontrou vulnerabilidades graves nos jogos e comunicou a empresa; Nada foi feito! O próprio pesquisador divulgou as falhas; Somente após a divulgação a empresa tomou as devidas atitudes.

10 Investimentos em segurança Visão reativa decisões de segurança sendo tomadas apenas após um incidente; É preciso fazer com que os executivos passem a considerar segurança como um elemento essencial para o seu sucesso; Segurança não gera gastos e sim habilita negócios.

11 Investimentos em segurança A evolução natural do mercado está começando o mudar esse pensamento; Acontecimentos recentos ganharam espaço na mídia mundial e também ajudam a alterar o pensamento sobre segurança: Vírus; Ataques ao WTC 11/09 Ataques de negação de serviço; Stuxnet; Vazamento de dados; Espionagem do serviço secreto norte-americano.

12 Investimentos em segurança Uma pesquisa da empresa de consultoria Gartner feita no mercado mundial em 2010 apontou que: Cerca de 5% do orçamento de TI é dedicado a segurança; Destes investimentos, 37% são usados com recursos humanos, 25% em software, 20% em hardware, 10% em outsourcing e 9% em consultoria.

13 Como quantificaro valor gastocom segurança? Recursos tangíveis são relativamente simples de medir: Número de horas de trabalho para recuperar um computador; Compra de equipamento, software Como medir os recursos intangíveis? Valor do conhecimento que foi roubado; Quebra do sigilo; Imagem da organização

14 Como quantificaro valor gastocom segurança? Recursos tangíveis são relativamente simples de medir: Número de horas de trabalho para recuperar um computador; Compra de equipamento, software Como medir os recursos intangíveis? Valor do conhecimento que foi roubado; Quebra do sigilo; Imagem da organização

15 Como quantificaro valor gastocom segurança? Se a organização não investir $$$, os prejuízos serão de $$$ Análise clássica; O correto seria fazer a seguinte suposição: Se o sistema for atingido, teremos as seguintes perdas. Então, é melhor investir $$$ para a proteção de tais recursos.

16 Mitos sobre segurança Quanto maior o conhecimento sobre o assunto, maior a preocupação e o conjunto de ações a serem tomadas; Para aqueles que não conhecem os riscos, não existe a preocupação com a segurança.

17 Mitos sobre segurança Isso nunca acontecerá conosco ; Nunca fomos atacados, não precisamos de mais segurança ; Utilizamos os melhores e mais caros sistemas, então, eles devem ser seguros ; Não dá pra gastar com segurança agora, deixa assim mesmo ; Ninguém vai descobrir essa brecha em nossa segurança.

18 Mitos sobre segurança Os problemas de segurança são de responsabilidade do departamento de TI ; Está tudo seguro, eu mesmo escolho as senhas dos meus funcionários ; O nosso parceiro é confiável, podemos liberar o acesso para ele ; Não precisamos nos preocupar com segurança, pois segurança é um luxo para quem tem dinheiro.

19 Riscos e considerações quanto à segurança Ausência de uma classificação das informações e dimensionamento quanto ao seu valor; Controle de acesso mal definido acesso irrestrito aos sistemas; Autenticação com base em identidades compartilhadas; A Internet deve ser considerada um ambiente hostil e, portanto, não confiável; As informações e senhas que trafegam pela rede estão sujeitas a serem capturadas.

20 Riscos e considerações quanto à segurança Os s podem ser lidos, modificados e falsificados; Um atacante precisa encontrar somente uma brecha para realizar um ataque, enquanto o gestor deve conhecer todas as brechas e fechá-las; Segurança pela obscuridade; Novas tecnologias significam novas vulnerabilidades; A segurança envolve aspectos de negócios, tecnológicos, humanos, processuais e jurídicos.

21 Perguntas 1. Qual a relação entre segurança e as funcionalidades de um sistema (ou de uma organização)? 2. Qual a relação entre segurança e a produtividade os usuários?

22 Segurança x funcionalidades A segurança é inversamente proporcional às funcionalidades: Quanto maiores os serviços, aplicativos e demais facilidades, menor é a segurança desse ambiente; Porque?

23 Segurança x funcionalidades A segurança é inversamente proporcional às funcionalidades: Quanto maiores os serviços, aplicativos e demais facilidades, menor é a segurança desse ambiente; Porque? Aumento do número dos pontos de ataque!

24 Segurançax funcionalidades Pontosde ataque Exploração da vulnerabilidade em SO s, aplicativos, protocolos e serviços; Exploração dos aspectos humanos das pessoas envolvidas; Falha no desenvolvimento e implementação da política de segurança; Ataques mais sofisticados.

25 Segurançax funcionalidades Pontosde ataque Quanto maior o número de sistemas, maior é a responsabilidade dos administradores e maior é a probabilidade de existências de brechas para explorar; IDC pontos de vulnerabilidade de uma rede = número de recursos críticos da organização x número de usuários que têm acesso a esses recursos.

26 Segurança x funcionalidades Conclusão É muito difícil cobrir todos os pontos! O objetivo é equilibrar a segurança com os riscos, minimizando os impactos que uma falha de segurança pode causar à organização.

27 Segurança x produtividade Maior o número de funcionalidades, maior o número de vulnerabilidades; Os administradores de segurança propõem restrições aos serviços, de modo a minimizar os riscos; Essas restrições podem impactar na produtividade do funcionário!

28 Segurança x produtividade O administrador deve equilibrar as necessidades da organização com as necessidades de segurança; Não existem controles frouxos ou controles exagerados, mas controles ideiais particulares para cada organização; Controles rígidos para uma organização podem ser frouxos para outras.

29 Organizações totalmente seguras? Com base no que foi discutido, é possível afirmar que uma organização é 100% segura?

30 Organizações totalmente seguras? Com base no que foi discutido, é possível afirmar que uma organização é 100% segura? Não! Não existe um modelo de segurança à prova de ataques; Um sistema que está seguro hoje pode não estar seguro amanhã;

31 Organizações totalmente seguras? - Exemplo A segurança envolve: Aspectos tecnológicos um bom sistema de autenticação; Aspectos técnicos um bom administrador de segurança; Aspectos sociais funcionários que roubam informações; Aspectos humanos funcionários inocentes que sofrem com a engenharia social; Aspectos educacionais funcionários que devem saber como gerar uma senha segura.

32 Organizações totalmente seguras? O que fazer? 1. Definir os recursos que devem ser protegidos; 2. Especificar quem irá administrar a segurança; 3. Determinar o valor que será utilizado como investimento; 4. Criar uma política que descreve a forma de proteção dos recursos e os controles de acesso ao sistema, transações e comunicações; 5. Usar a abordagem conhecida como segurança em camadas.

33 Organizações totalmente seguras? Conclusão O objetivo não é construir uma rede 100% segura, mas sim um sistema confiável: Capaz de anular os ataques mais casuais; Tolerar acidentes e se um tubarão romper os cabos de transmissão localizados no mar?