CEA439 - Gestão da Tecnologia da Informação

Transcrição

1 CEA439 - Gestão da Tecnologia da Janniele Aparecida

2 Vulnerabilidade dos Sistemas e Uso Indevido

3 Vulnerabilidades da Internet Quando a Internet se torna parte da rede corporativa, os sistemas de informação da organização podem ficar vulneráveis a ações de estranhos. A vulnerabilidade também aumentou com o uso disseminado de , mensagens instantâneas e programas P2P.

4 Valor Empresarial da Segurança e do Controle Como a segurança não está relacionada à receita de vendas, muitas empresas relutam em gastar muito com ela. Empresas têm ativos de informação valiosíssimos a proteger: Informações confidenciais sobre impostos Ativos financeiros Registros médicos Desempenho profissional das pessoas Informações sobre operações corporativas Sistemas governamentais Informações sobre armamentos Operações de inteligência Alvos militares

5 Valor Empresarial da Segurança e do Controle É importante lembrar que... As empresas precisam proteger não apenas seus próprios ativos de informação, mas também os dos clientes, funcionários e parceiros de negócio.

6 Principais elementos da Gestão da Segurança da

7 Principais elementos da Gestão da Segurança da

8 Principais elementos da Gestão da Segurança da

9 Principais elementos da Gestão da Segurança da

10 Principais elementos da Gestão da Segurança da

11 Principais elementos da Gestão da Segurança da

12 Principais elementos da Gestão da Segurança da

13 Principais elementos da Gestão da Segurança da

14 Principais elementos da Gestão da Segurança da

15 Como Estabelecer uma Estrutura para Segurança Controles de sistemas de informação Controlam projeto, segurança e uso de programas de computadores e a segurança de arquivos de dados em geral em toda a infraestrutura de TI da empresa.

16 Como Estabelecer uma Estrutura para Segurança Avaliação de risco Antes que a empresa comprometa recursos com segurança, ela precisa saber quais ativos exigem proteção e em que medida eles são vulneráveis. Determina o nível de risco para a empresa caso uma atividade ou um processo específico não sejam controlados adequadamente.

17 Como Estabelecer uma Estrutura para Segurança Poĺıtica de segurança É uma declaração que estabelece hierarquia aos riscos de informação e identifica metas de segurança aceitáveis, assim como os mecanismos para atingi-las. Dá origem a outras poĺıticas (Poĺıtica de uso aceitável). Poĺıticas de autorização: determinam diferentes níveis de acesso aos ativos de informação para diferentes níveis de usuários.

18 Maneiras pelas quais as organizações facilmente comprometem sua segurança Falhas de poĺıticas Deixar de criar um poĺıtica de segurança Deixar de avaliar a importância dos ativos de informação e o custo de seu comprometimento Deixar de requerer criptografia de dados e mensagens Deixar de educar os empregados sobre práticas de segurança apropriadas Deixar de instalar e usar firewall Deixar de testar periodicamente a capacidade de intrusos romperem sua segurança Ignorar ou subestimar a existência e a importância de ameaças à segurança

19 Maneiras pelas quais as organizações facilmente comprometem sua segurança Práticas operacionais imperfeitas Deixar de instituir práticas de segurança Deixar de efetuar backups regulares Deixar de proteger fisicamente os servidores e redes Deixar de atualizar regularmente o software de proteção contra vírus Deixar de instalar regularmente as correções de software Usar senhas fáceis de adivinhar e deixar as senhas em locais fáceis de encontrar Manter as senhas padrões (default, predeterminadas) nos sistemas recentemente instalados em vez de trocar por senha definitiva e de conhecimento restrito Deixar as estações de trabalho ligadas durante ausências

20 Como Estabelecer uma Estrutura para Segurança Plano de recuperação de desastres Inclui estratégias para restaurar os serviços de computação e comunicação após eles terem sofrido uma interrupção causada por eventos como terremotos, inundações ou ataques terroristas. Concentra-se em questões técnicas relacionadas à preservação do funcionamento dos sistemas.

21 Como Estabelecer uma Estrutura para Segurança Plano de continuidade dos negócios Concentra-se em como a empresa pode restaurar suas operações após um desastre. Identifica os processos de negócio críticos e determina planos de ação para lidar com funções essenciais caso os sistemas saiam do ar.

22 Como Estabelecer uma Estrutura para Segurança Auditoria de Sistemas Avalia o sistema geral de segurança da empresa e identifica todos os controles que governam sistemas individuais da informação. Monitora o fluxo de uma amostra de transações através do sistema e, caso necessário, realiza testes usando software de auditoria automatizada. Lista e classifica todos os pontos fracos do controle e estima a probabilidade de ocorrerem erros nesses pontos. Avalia o impacto financeiro e organizacional de cada ameaça.

23 Tecnologias e ferramentas para garantir a segurança dos recursos de informação Controle de acesso Conjunto de poĺıticas e procedimentos que uma empresa usa para evitar acesso indevido a sistemas por pessoas não autorizadas dentro e fora a organização. Autenticação: capacidade de saber que uma pessoa é e quem declara ser. Meios?

24 Tecnologias e ferramentas para garantir a segurança dos recursos de informação Firewalls Impedem que usuários não autorizados acessem redes privadas.

25 Tecnologias e ferramentas para garantir a segurança dos recursos de informação

26 Tecnologias e ferramentas para garantir a segurança dos recursos de informação

27 Tecnologias e ferramentas para garantir a segurança dos recursos de informação

28 Tecnologias e ferramentas para garantir a segurança dos recursos de informação Software antivírus e anti sypware Avaliação de 5 antivirus gratuito em relação aos requisitos: Eficácia: detecção e remoção. Desempenho: tempo de duração do scan. Consumo de Recursos: consumo de memória, processador. Interface: intuitiva? Aplicações adicionais: bloqueio de sites, anti-scripts. Instale & use: facilidade avaliada através de um usuário comum. Entre AVG Antivirus Free, Avast! Free AntiVirus, Avira Free Antivirus, Bitdefender Antivirus Free Edition e Comodo Antivirus Free, o AVG e o avast empataram!!! a a

29 Tecnologias e ferramentas para garantir a segurança dos recursos de informação Sistemas unificados de gestão de ameaças. Os principais fornecedores de gerenciamento unificado de ameaças (UTM) continuam a adicionar novas funcionalidades às suas soluções a fim de proporcionar proteção contra novas ameaças e dar suporte aos requisitos tecnológicos de rede que mudam rapidamente. A WatchGuard foi reconhecida como ĺıder em várias categorias competitivas na pesquisa 2014 Global Analysis of the UTM and NGFW Market (Análise global do mercado de UTM e NGFW de 2014), conduzida pela Frost & Sullivan.

30 Tecnologias e ferramentas para garantir a segurança dos recursos de informação Criptografia Criptografia antiga: O Código de César é um dos métodos de criptografia mais antigos que se tem notícia. Seu funcionamento era básico, deslocando as letras do alfabeto de acordo com a chave. Esse código, no entanto, é extremamente inseguro, pois existem apenas 26 variações possíveis, dado que o alfabeto tem 26 letras. Figura : Deslocamento em 3

31 Tecnologias e ferramentas para garantir a segurança dos recursos de informação Criptografia Criptografia antiga: como quebrar? Toda ĺıngua possui letras com maior frequência, assim basta contar a frequência de cada letra no texto cifrado, verificar a de maior frequência e verificar a relação de deslocamento entre as frequências do texto e a frequência da ĺıngua.

32 Tecnologias e ferramentas para garantir a segurança dos recursos de informação Criptografia Criptografia antiga: praticando... Frase: Phhw ph dw hohskdqw odnh

33 Tecnologias e ferramentas para garantir a segurança dos recursos de informação Criptografia Criptografia Moderna: Chave simétrica: o emissor e o receptor fazem uso da mesma chave, isto é, uma única chave é usada na codificação e na decodificação da informação. Algoritmos que usam chaves simétricas, como o DES (Data Encryption Standard), o IDEA (International Data Encryption Algorithm), e o RC (Ron s Code ou Rivest Cipher). Chave assimétrica: conhecida como chave pública, a chave assimétrica trabalha com duas chaves: uma denominada privada e outra denominada pública. Neste método, um emissor deve criar uma chave de codificação e enviá-la ao receptor. Essa é a chave pública. Uma outra chave deve ser criada para a decodificação. Esta, a chave privada, é secreta. Algoritmos que usam chaves assimétricas,como o RSA e o Diffie-Hellman.

34 Tecnologias e ferramentas para garantir a segurança dos recursos de informação Figura :

35 Falhas de Segurança Os 12 principais incidentes identificados em 2014 a a ESET fornecedora de soluções de segurança da informação Janeiro de 2014: O ano começou com uma enxurrada de s falsos que convidavam os usuários a baixarem uma nova versão do popular aplicativo de mensagens WhatsApp, e que, na verdade, eram um Trojan voltado a roubar dados bancários dos usuários. Fevereiro de 2014: Uma das maiores casas de câmbio de Bitcoin, a MtGox.com, encerrou as operações fazendo com que os investidores da moeda perdessem todo o dinheiro que haviam investido na criptomoeda. A causa do problema foi uma suposta falha de segurança que, ao longo de anos, permitiu o desvio de 750 mil bitcoins. Março de 2014: com o desaparecimento do voo da Malásia Airlines, surgiram diversos golpes em redes sociais ligados ao caso. Supostos links prometiam a visualização de cenas exclusivas do acidente. Mais de 500 mil computadores foram infectados.

36 Falhas de Segurança Os 12 principais incidentes identificados em 2014 a a ESET fornecedora de soluções de segurança da informação Abril de 2014: Durante o período ocorreu uma das vulnerabilidades mais graves da história da internet, tanto em importância como em alcance: o Heartbleed. Esta falha de segurança, encontrada em algumas versões do OpenSSL permitiu que cibercriminosos conseguissem acessar milhares de servidores conectados à internet. Maio de 2014: A brecha de segurança mais comentada em maio atingiu o ebay. Aparentemente, o ataque comprometeu uma base de dados com senhas criptografadas e informações financeiras. Junho de 2014: O aumento de notícias em torno da Copa do Mundo levou diversos cibercriminosos a criarem ataques que usaram esse tema para enganar e infectar usuários. Julho de 2014: O conhecido sistema de pagamento PayPal teve um bug no sistema de autenticação. O ataque permitiu que invasores acessassem as 143 milhões de contas que a empresa possui atualmente.

37 Falhas de Segurança Os 12 principais incidentes identificados em 2014 a a ESET fornecedora de soluções de segurança da informação Agosto de 2014: Esse foi o mês de casos de roubo de informações confidenciais. Tudo começou com a falha nos filtros de 76 mil contas da Fundação Mozilla. Pouco tempo depois, um misterioso grupo de criminosos russos roubou cerca de 1,2 milhões de senhas de usuários de mais de 500 milhões de endereços de . Além disso, a UPS, a maior empresa de logística e transporte no mundo, anunciou que havia sofrido um ataque, no qual foram roubadas informações bancárias de seus clientes em 51 escritórios nos Estados Unidos - em uma operação que durou sete meses. Setembro de 2014: Esse mês será eternamente lembrado pelo Celebgate, evento em que muitos famosos, especialmente dos Estados Unidos, que armazenavam fotos íntimas em serviços de nuvem viram seus conteúdos vazarem ao público. Outubro de 2014: Poodle é o nome dado a uma vulnerabilidade descoberta em meados desse mês, colocando o último prego no caixão da comunicação SSL v3.0, que, apesar de ter 15 anos, ainda é bastante utilizado. Novembro de 2014: várias ameaças para sistemas operacionais, como Wirelurker, malware projetado para infectar sistemas Mac OS e Windows e roubar informações de dispositivos ios (iphone, principalmente ), conectados ao sistema infectado. Dezembro de 2014: A Sony Pictures ficou em evidência quando informações sensíveis, em especial s de executivos da empresa vazaram, em retaliação ao lançamento do polêmico filme A Entrevista, causando um conflito entre os Estados Unidos e Coréia do Norte.

38 Básica LAUDON, K. C. e LAUDON, J. P. Gerenciais. 9a ed., São Paulo: Editora Pearson Prentice Hall, ISBN: