FALTA DE SEGURANÇA. Alberto Felipe Friderichs Barros

Transcrição

1 FALTA DE SEGURANÇA Alberto Felipe Friderichs Barros

2 Porque Proteger?

3 A proteção de uma organização em TI não é apenas contra hackers, vírus e funcionários maliciosos, mas como uma garantia de que os negócios da empresa estarão disponíveis de forma fácil e flexível, favorecendo e concretizando as diversas tendências da globalização.

4 A Segurança dos sistemas de informação engloba um número elevado de disciplinas que poderão estar sob a alçada de um ou vários indivíduos. Segurança de Redes; Segurança Física; Segurança de Computadores; Segurança da Pessoal; Segurança aplicacional; Criptografia; Formação

5 Prevenção e Proteção Prevenção é o conjunto de medidas que visam reduzir a complexidade de concretização das ameaças existentes. O efeito desta extingue-se quando uma ameaça torna-se incidente. Proteção é o conjunto de medidas que visam dotar o sistemas de informação com capacidade de inspeção, detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. Naturalmente estas medidas só atuam quando ocorre um incidente.

6 Prevenção e Proteção A grande maioria das empresas implementam algumas atividades de prevenção contra incêndios: tais como a proibição de fumar em locais de risco e atividades de proteção como a disponibilização de extintores, para o caso de iniciar um incêndio.

7 Atores da Segurança Os atores da segurança são infinitos, pelo menos potencialmente de elementos internos a empresa a perfeitos estranhos, de clientes a parceiros, passando obviamente pelos funcionários, todos podem ter um impacto positivo ou negativo sobre a segurança.

8 Administradores da empresa Para o negócio a segurança afigura-se como um custo e uma necessidade para a sua sobrevivência. Naturalmente a principal motivação da administração é para com a satisfação dos acionistas e clientes.

9 Utilizadores São todos aqueles que usam os sistemas da informação independente dos privilégios que detenham. Podem ser um elo fraco ou catalisador que fortalece a cadeia. A principal característica comportamental dos utilizadores é a sua tendência para facilitarem os processos que executam: se existirem duas maneiras de fazer a mesma coisa (por exemplo, memorizar uma senha ou escreve-la em um papel que se cola no monitor, um utilizador que não esteja sensibilizado ira invariavelmente escolher a opção mais cômoda.

10 Utilizadores É pois necessário, numa aplicação direta da Lei de Murphy, definir as medidas de prevenção, partindo do princípio que se os sistemas de informação tiverem uma vulnerabilidade, está acabara por ser explorada pelo utilizador.

11 Informáticos Os equipamentos, software e outros recursos (redes, aplicações, etc.) necessitam de gestão diária, recaindo essa atribuição sobre indivíduos designados como: root, administrador ou técnico. Uma regra elementar de segurança é a da atribuição do menor privilégio: segundo este principio não deverá ser permitida a realização de ações incompatíveis com sua atividade.

12 Clientes Os clientes são de certa forma quem nos paga os ordenados. São eles os patrões dos patrões, ou seja, quem dita o que necessitamos fazer como Empresa. O cliente típico não quer saber o que está por trás do produto ou serviço que adquire, desta forma dificilmente se poderá contar com eles para promover a segurança.

13 Parceiros Os parceiros são as entidades externas que participam do processo de negócios, por exemplo o fornecedor. Eles podem assumir uma parte do processo de segurança do negócio. Em regra geral os parceiros não tem interesse na nossa segurança, desde que não os afete.

14 Pessoal Temporário O pessoal temporário é similar aos restantes utilizadores da empresa, no seu comportamento, embora a sua ligação à empresa seja mais tênue, o que requer a introdução de medidas que impeçam a extensão dos privilégios de acesso aos sistemas de informação para além do fim do vinculo a empresa.

15 Gestão de Risco Gestão de risco é um conjunto de medidas que permitam conferir a empresa o nível de segurança desejado. Este processo faz parte do plano de segurança e consiste nas etapas: 1 Identificação dos Riscos 2 Análise dos Riscos 3 Identificação de Controles 4 Seleção do Controle

16 Ameaças As ameaças podem ser identificas tanto através da produção de cenários ou pela criação de listas de tipificação. Desastres ou Perigos * Provocados por águas - Infiltrações - Inundações * Provocados por fogo - incêndios * Provocados por Ventos - Tempestades Origem humana * Acidental - Configuração incorreta - Derrame de substancias químicas * Intencional - Greve - Furto - Terrorismo - Quebra contratual

17 Vulnerabilidades A identificação das vulnerabilidades visa permitir aproximar o cálculo da probabilidade de concretização da ameaça inerente a realidade da empresa. Exemplo: Qualquer empresa está sujeita a terrorismo, embora uma organização ligada a uma facção num conflito quente tenha que encarar este risco como real. Localização Geográfica * das instalações - Instalações em locais inacessíveis a meios de socorro - Instalações em locais densamente povoados Política * postura política do país

18 Bens A principal dificuldade na identificação dos bens, bem como na estimativa dos danos, refere-se aos bens intangíveis uma vez que seu caráter subjetivo dificulta a análise. Ex: a ameaça de quebra de confidencialidade pela divulgação acidental de informação podem gerar perdas intangíveis na imagem da marca e até na preferencia dos clientes, neste caso será difícil quantificar as perdas. Tangíveis * Informática - Servidores de Rede Intangíveis * Informática - Software

19 Exercícios 1. Cite exemplos de ameaças físicas. 2. Cite exemplos de ameaças lógicas. 3. O que fazer para se proteger das ameaças citadas?