Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Transcrição

1 Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro

2 Ameaças A informação é um ativo! A informação deve estar preservada e protegida: Vulnerabilidades existem, o que fazer? Vulnerabilidades geram ameças! Qual a diferença entre vulnerabilidades e ameaças?

3 Classificação da informação (revisão) A informação pode ser classificada como: Crítica dados ou documentos que devem ser mantidos por razões legais para uso em processoschave dos negócios, ou para uma mínima restauração aceitável nos níveis de trabalho em um evento ou desastre; Vital dados ou documentos que devem ser mantidos para uso nos processos normais e que representam um investimento substancial de recursos da companhia;

4 Classificação da informação (revisão) Sensível dados ou documentos que devem ser necessários nas operações normais, mas que possuem fornecimentos alternativos em caso de perda; Não-crítica dados ou documentos que podem ser reconstruídos facilmente com um custo mínimo, ou cópia de dados críticos, vitais e sensíveis, não necessitando de pré-requisitos de proteção.

5 Ameaças Vulnerabilidade: Falha em um procedimento, design, implementação, ou controle internos de um sistema; Uma brecha de segurança; Uma violação da política de segurança

6 Ameaças Ameaça: Possibilidade de um agente (ou fonte da ameaça) em explorar acidentalmente ou propositalmente uma vulnerabilidade específica!

7 Ameças Ameaças representam percas para uma organização; É necessário se estabelecer estratégias voltadas ao crescimento e otimização dos resultados; O ponto de partida é ter conhecimento e habilidade sobre a gestão de riscos.

8 Riscos Em segurança da informação, os riscos podem ser descritos como condições que criam ou aumentam o potencial de danos e perdas; Norma ISO/IEC Guide 73:2002: A combinação da probabilidade de um evento e suas consequências.

9 Riscos Outra definição: Risco refere-se à probabilidade condicional de ocorrência de um acontecimento específico combinado com alguma avaliação de consequências de um acontecimento. Acontecimento específico: falha em uma barragem, colapso de uma ponte, queda de um avião, falha no sistema de segurança de um servidor; Avaliação Perda ou avaria funcional; Consequências de um acontecimento: Ferimentos, morte, perda da propriedade.

10 Dúvida Vulnerabilidade, ameça e risco? Vulnerabilidade deficiência/fragilidade no sistema; Ameaça fato que acarreta em perigo/perda; tentativa de de um ataque; Risco grau de perda causado pela ocorrência de uma ameaça.

11 Conhecendo os invasores Quem são os nossos invasores?

12 Script Kiddie Em tradução literal: garoto dos scripts Perfil: Não possui muita habilidade; Sem conhecimento de programação; Sem interesse em tecnologia; Usam trabalhos de especialistas técnicos; Buscam fama e lucros pessoais.

13 Script Kiddie Se aproveitam da negligência dos administradores/usuários que não acompanham listas de segurança e atualizações: Ataque em falhas conhecidas; A intenção não é buscar informações ou máquinas específicas (root), é ganhar acesso necessário para desconfigar páginas da forma mais fácil!

14 Script Kiddie Estratégia: Revirar a Internet em busca de máquinas vulneráveis e usar exploits; Exploit: ferramenta de segurança que tira vantagem de defeitos, falhas e vulnerabilidades em softwares ou hardware;

15 Cracker Perfil: Possui bons conhecimentos técnicos; É capaz de apagar seus rastros de maneira sutil; Cada passo da invasão é bem pensado e estudado;

16 Cracker O cracker é capaz de desenvolver seus próprios exploits; Seus objetivos incluem a busca por configurações padrões ou senhas padrões; Realiza ataques inteligentes a fim de comprometer a segurança de rede;

17 Cracker Suas habilidades podem enganar até os administradores mais experientes; Os crackers são considerados os verdadeiros invasores (intrusos) ou criminosos cibernéticos!

18 Hacker Perfil: Indivíduo que se dedica plenamente a conhecer e melhorar os aspectos mais internos de dispositivos, programas e redes de computadores; Programadores habilidosos;

19 Hacker Alguns hackers famosos: Linus Torvalds Ada Lovelace Alan Cox Andrew Tanenbaum

20 Hacker Ético Hacking ou Hacking Ético: Programador ou administrador que se reserva a questionar os problemas de segurança nas tecnologias disponíveis e as formas de provar o conceito do que é discutido.

21 Hacker Ético Busca verificar a integridade e a segurança de uma rede ou sistema operacional; Usa conhecimentos avançados para entrar no sistema de formas inovadoras. Compartilha gratuitamente seu conhecimento; Não possui más intenções.

22 Características de um invasor Perfil: Conhecimentos em várias linguagens; Conhecimentos avançados em ferramentas, serviços e protocolos; Experiência com Internet; Conhece intimamente pelo menos dois SOs; Coleciona softwares e hardwares; Tem vários computadores para trabalhar

23 Por que realizar invasões? Notoriedade; Concorrência de mercado; Inimigos políticos; Ladrões; Espiões; Funcionário hostis; Investigações legais.

24 Origem e classificação dos riscos O objetivo de uma classificação dos riscos é tornar possível uma melhora análise, visibilidade e um tratamento específico. A classificação dos riscos está ligada às vulnerabilidades e ameaças.

25 Risco natural Oriundos de fenômenos da natureza; Objetivo é prevenir impactos e minimizar danos, permitindo uma retomada da normalidade do negócio;

26 Risco natural É necessário se analisar os seguintes pontos: A área física da organização é sujeita a eventos da natureza. Proporções catastróficas. Falta de acompanhamento de boletins meteorológicos. Equipamentos de prevenção a sinistros (de origem natural) sem inspeção periódica e de má qualidade; Ausência de um plano de recuperação e de continuidade; Falta de treinamento em ações contingenciais.

27 Riscos involuntários Estão relacionados à ações não intencionais provenientes de vulnerabilidades humanas, físicas, de hardware, de software e de comunicações. Ocorrem por falha da gestão de segurança da informação.

28 Riscos involuntários Devem ser considerados os seguintes pontos: Falha em equipamentos; Descuido no cumprimento de normas para guarda, transporte e manuseio de material inflamável; Material de fácil combustão; Equipamentos ligados 24 horas; Inexistência em processos de qualidade; Inexistência em controles internos; Inexistência de programa de capacitação continuada; Cultura organizacional.

29 Riscos intencionais Ações deliberadas com o propósito de causarem danos e com origem no ser humano; É importante se analisar, além da origem, o porquê das ações: Buscar os pressupostos do agente causador de dano.

30 Riscos intencionais Fatores a serem considerados: Situação do sistema de controle interno; Atratividade do produto e fácil receptação em mercado paralelo; Situação de criminalidade na região onde a organização está instalada; Sensação de impunidade; Funcionários insatisfeitos com salários em atraso e sem perspectiva de continuidade no emprego; Mercado altamente competitivo; Informações de alto poder estratégico.