Introdução à Segurança da Informação. Aécio Costa

Transcrição

1 Introdução à Segurança da Informação Aécio Costa

2 Porque estamos estudando Segurança da Informação?

3 Ataque virtual usa "BBB 11" para roubar dados

4 Procon vai notificar LG sobre vazamento de dados dos clientes

5 Dados Bancários

6 Redes Sociais

7

8

9 Pesquisa Buscar um caso de problemas com informação em alguma área. -Bancária -Rede Social -NSA -...

10 e o que é Informação?

11 Dado, Informação e Conhecimento

12 Dado Dado é qualquer elemento identificado em sua forma bruta que, por si só, não conduz a uma compreensão de determinado fato ou situação. (Oliveira, 2005) Elemento que representa eventos ocorridos na empresa ou circunst âncias físicas, antes que tenham sido organizados ou arranjados de maneira que as pessoas possam entender e usar. (ROSINI e PALMISANO, 2003).

13 Informação "Informação é o resultado do processamento, manipulação e organização de dados, de tal forma que represente uma modifica ç ã o (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que a recebe." Serra, J. Paulo

14 Informação Informação pode existir de muitas formas: Impressa ou escrita em papel Armazenada eletronicamente Transmitida pelo correio ou meios eletrônicos Mostrada em filmes Falada em conversas Sempre deve ser protegida adequadamente!

15 Informação As informa ç õ es s ã o o resultado dos dados devidamente tratados, comparados, classificados, relacionáveis entre outros dados servindo para tomada de decisões e para melhor noção do objeto estudado. Aquilo que leva à compreensão!

16 Conhecimento Conhecimento é o conjunto de ferramentas conceituais e categorias usadas pelos seres humanos para criar, colecionar, armazenar e compartilhar a informação. (LAUDON e LAUDON,1999).

17 E segurança, o que é?

18 Segurança para as Organizações Seguran ç a é um processo que tenta manter protegido um sistema complexo composto de muitas entidades: Tecnologia (hardware, software, redes) Processos (procedimentos, manuais) Pessoas (cultura, conhecimento) Estas entidades interagem das formas mais variadas e imprevisíveis A Segurança falhará se focar apenas em parte do problema Tecnologia não é nem o problema inteiro, nem a solução inteira

19 Responsabilidades da Empresa Desde que uma empresa fornece acesso internet a seus funcionários, esta empresa torna-se responsável pelo que ele faz, a menos que possa provar que tomou as medidas cabíveis para evitar problemas Corporate Politics on the Internet: Connection with Controversy, 1996

20 Casos... A Microsoft foi hackeada várias vezes Protestantes hackearam o World Economic Forum 15,700 número de cartões de crédito e de débito de clientes da Western Union foram roubados por hackers Hackers tentaram chantagear a VISA por $11M Dados dos clientes do Barclay Bank foram expostos Hacker tentou chantagear a Bloomberg $200mil As contas secretas do Credit Suisse foram expostas casos documentados em (8/1/99-1/4/01)

21 E o que acontece no dia a dia: 55% dos trabalhadores trocam mensagens potencialmente ofensivas pelo menos uma vez por mês (PC Week) 30-40% da navegação na web não está relacionada ao negócio da empresa (IDC) Em pesquisa com usuários de , 90% afirma receber spam pelo menos uma vez por dia (Gartner Group) Em pesquisa com 800 trabalhadores, 21-31% admitem enviar informações confidenciais para caixas postais externas a organização via (PC Week)

22 Reportado ao CERT

23 CERT.br

24 CERT.br Saiba defender-se! A defesa O que é Spam Navegar é preciso Os invasores

25 Segurança da informação Segurança da informação é a proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão,e a modifica ç ã o n ã o autorizada de dados ou informa ç õ es, armazenados, em processamento ou em tr â nsito, abrangendo a seguran ç a dos recursos humanos, da documenta ç ã o e do material, das á reas e instala ç õ es das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento.

26 Segurança não é algo binário; Não existe rede/software totalmente seguro; Podemos especificar: Mais segurança Menos segurança Gerenciamento de SI deve ser constante!

27 Porque SI é necessário? As informações são constantemente colocadas à prova por diversos tipos de ameaças Fraudes eletrônicas, sabotagem, vandalismo, etc. Dependência nos sistemas de informação torna as organizações mais vulneráveis às ameaças Controle de acesso é cada vez mais difícil Sistemas de informação não foram projetados para serem seguros Codificação segura (evita SQL Injection, PHP Injection,etc

28 Precisamos saber do que e de quem proteger o sistema.

29 O que pode gerar insegurança? Assegurar a informação é uma tarefa um tanto quanto complicada, pois esta é complexa e pode abranger várias situações, como:

30 O que pode gerar insegurança? Assegurar a informação é uma tarefa um tanto quanto complicada, pois esta é complexa e pode abranger várias situações, como: Erro; Displicência; Ignorância do valor da informação; Acesso indevido; Roubo; Fraude; Sabotagem; Causas da natureza; Etc.

31 Erro

32 Displicência

33 Ignorância do valor da informação

34 Acesso indevido e Roubo

35 Fraude e Sabotagem

36 Causas da natureza