O Ambiente Cooperativo e a Necessidade de Segurança

Transcrição

1 O Ambiente Cooperativo e a Necessidade de Segurança CEA463 SEGURANÇA E AUDITORIA DE SISTEMAS <<seu nome aqui!>> Universidade Federal de Ouro Preto Profa. Msc. Helen de DECEA Cássia / S. João da Monlevade Costa Lima Universidade Federal de Ouro Preto

2 O Ambiente Cooperativo Mundo glogalizado, altamente competitivo A busca de diferencial competitivo e de novos mercados faz com que as relações internacionais sejam cada vez mais necessárias e mais fortes

3 O Ambiente Cooperativo Lista de aquisição da Google

4 O Ambiente Cooperativo Definição: O ambiente cooperativo é o cenário em que múltiplas organizações (matrizes, filiais, fornecedores, parceiros comerciais, etc.) se relacionam, trocando informações por meio de uma rede integrada

5 O Ambiente Cooperativo Comércio eletrônico no Brasil

6 O Ambiente Cooperativo Neste cenário é imprescindível velocidade, qualidade e eficiência, seja das decisões, das implantações ou telecomunicações Infraestrutura de TI deve ser bem planejada e dimensionada de modo a otimizar os investimentos Indisponibilidade ou problemas de acesso comprar no concorrente Roubo de informações: cadastro de clientes e senhas de cartão de crédito

7 Problemas em Ambientes Cooperativos Triangulização: como proteger os valores da organização A, evitando que um usuário de B acesse essas informções através de C?

8 Problemas em Ambientes Cooperativos Aumento da complexidade de níveis de acesso: usuário da organização A tem acesso irrestrito, o de B só pode acessar informações de produto de do setor financeiro, usuários da internet não podem acessar nenhum recurso de A... Desafios de controle de acesso em diferentes níveis

9 A segurança das redes É uma das principais tecnologias, permitindo conexões entre todos seus elementos: roteadores, servidores de hospedagem, banco de dados do cliente, sistema financeiro, etc. Manutenção do acesso às informações, garantindo disponibilidade, integridade e sigilo Permite a exploração de novos mercados: e-commerce

10 Maior evolução, maior preocupação com segurança 1. Redes sem Fio: preocupação com acesso físico a rede e criação de novos protocolos (WEP Wired Equivalent Protocol) 2. Computação na nuvem: controle de acesso e confidencialidade 3. Linguagens macro em aplicativos como Word e Excel: nova geração de vírus 4. Linguagens criadas para Web, como JavaScript, que contenham códigos maliciosos que podem executados numa rede interna 5. Documentos eletrônicos em formato pdf podem ser utilizados para ataques 6. Redes sociais como fonte de diferentes tipos de ataques 7. Avanço em clonagem pode resultar problemas relativos a biometria

11 Segurança como parte dos negócios Dado: valor, conjunto de bits armazenados Nome, Endereço, nro. de cartão de crédito Informação: um dado que passa a ter sentido (contexto) Informações referentes a um cliente Conhecimento: conjunto de informaçãos que tem alguma aplicação e agrega valor ao ser humano e à organização, resulta em vantagem competitiva Ter o conhecimento do perfil do cliente que mais compra o seu produto possibilita uma propaganda direcinada e personalizada

12 Segurança como parte dos negócios Proteção do conhecimento é de vital importância para o negócio Falha: perda de mercado, de negócios, perda financeira... O que aumenta a vulnerabilidade? Superficialidade e a utilização de técnicas parciais Segurança deve fazer parte do processo de negócio, não deve ser uma tarefa do pessoal de TI Ideal: definição de uma estratégia de segurança Administrador de segurança

13 Como a segurança é vista hoje? Obscuridade: Redes sem proteção Servidores particulares na organização para acesso doméstico Firewall mal configurado Campo relativamente novo, muitos pensam que soluções são caras e não trazem retorno financeiro Desafio: uma solução de segurança é imensurável e não resulta em melhorias que podem ser notadas Ninguém percebe a existência de segurança, apenas a inexistência dela...

14 Investimentos em Segurança Nunca é preventivo, sempre feito depois que ocorre algum incidente Assunto que começa a ficar em evidência: vírus Ano Vírus Prejuízos (em milhões de dólares) 1999 Melissa Sircam SoBig MyDoom Conficker 9.100

15 Investimentos em Segurança Divisor de águas: Atentados terroristas de 11 de Setembro de 2001 Muitas organizações perderam tudo, desde capital humano e intelectual até suas informações Interesse maior pela gestão de continuidade de negócios: se preparar para situações e incidentes de segurança que não podem ser evitados Tendência: segurança agora possui seu próprio orçamento, separado dos recursos de TI

16 Investimentos em Segurança Qual tecnologia seria apropriada para garantir segurança de dados contra ataques terroristas?

17 Investimentos em Segurança Análise de riscos: metodologia usada para quantificar e qualificar os níveis de segurança de cada recurso da organização que são importantes É uma justificativa para o investimento em um sistema de segurança ROSI (Return on Security Investiment): equação tradicional do ROI (Return on Investiment) que se aplica a investimentos de segurança

18 Investimentos em Segurança

19 Investimentos em Segurança Exemplo: É estimado que uma empresa tem um dano financeiro de $25.000,00 relacionados a cada exposição a um determinado tipo de vírus. A empresa pega esse vírus aproximadamente 4 vezes por ano. Sendo assim, ela quer implantar um antivírus que custa $25,000 e consegue inibir 3 de 4 ataques que a empresa sofre por ano.

20 Mitos sobre Segurança Uma visão mais limitada faz com que a empresa pense que tudo está bem. Ou seja, se não se conhece os riscos, pra que proteção? Nunca acontecerá conosco Já temos um firewall Vamos deixar funcionando e depois resolvemos os problemas de segurança O nosso parceiro é confiável, podemos liberar o acesso pra ele Incidentes sempre ocorrem no elo mais fraco da corrente, no ponto de vulnerabilidade

21 Segurança x Funcionalidades Segurança é inversamente proporcional a funcionalidade. Quanto mais funcionalidades (serviços, aplicativos), menor é a segurança desse ambiente Aumento dos pontos de ataques Vulnerabilidades de sistemas operacionais, aplicativos, protocolos e serviços Aspectos humanos das pessoas envolvidas Falha no desenvolvimento e implantação de políticas de segurança Falhas de configuração de serviços de segurança Quanto maior o número de sistemas, maior é a responsabilidade dos administradores de segurança

22 Segurança x Produtividade A política de segurança deve ser bem definida e bem balanceada Exemplo: Se o FTP for bloqueado por medidas de segurança e o usuário necessita do serviço para seu trabalho, ele certamente buscará maneiras de driblar essa restrição e com isso, sua produtividade é prejudicada

23 Considerações Finais Não existe rede totalmente segura: as organizações devem definir o nível de segurança que necessitam e assumir os riscos. Envolve diversos aspectos: Tecnológicos (sistema de autenticação) Técnicos (administrador de segurança) Sociais (funcionários insatisfeitos) Humanos (funcionários inocentes) Educacionais (Não sei escolher uma senha segura...)

24 Considerações Finais Existe rede mais confiável! Definir os recursos que devem ser protegidos Especificar quem irá administrar a segurança Determinar o valor do investimento em segurança Novas tecnologias e técnicas devem ser utilizadas antes que os hackers utilizem contra a organização

25 Bibligrafia NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em ambientes cooperativos. 3a edição. Editora Novatec. Cap 2 e 3.