Segurança das informações. Prof ª Gislaine Stachissini

Transcrição

1 Segurança das informações Prof ª Gislaine Stachissini

2 Softwares mal-intencionados Vírus Worms Cavalos de Tróia Spywares

3 Softwares mal-intencionados: Vírus Um vírus é um código de computador que se anexa a um programa ou arquivo para poder se espalhar entre os computadores. Um vírus pode danificar seu software, hardware e arquivos. Um vírus para se alastrar precisa que alguém envie um arquivo ou um .

4 Softwares mal-intencionados: Worm Um worm geralmente se alastra sem a ação do usuário e distribui cópias completas de si mesmo através das redes, criando um efeito dominó. Eles também podem se infiltrar no sistema e permitir o acesso remotamente.

5 Softwares mal-intencionados: Cavalo de Tróia É um programa de computador que parece ser útil, mas na verdade causa danos; Os cavalos de tróia podem ser incluídos em softwares que são baixados gratuitamente.

6 Softwares mal-intencionados: Spyware Esses programas instalam-se nos computadores para monitorar a atividade do internauta e usar as informações para marketing, sem o consentimento do usuário; Os key loggers são um tipo de spyware que visa roubar informações confidenciais, exemplos: Acesso contas de ; Descobrir senhas; Deflagrar ataques; Coletar dados pessoais.

7 Valor empresarial da segurança e do controle Existe uma enorme reluta das empresas investirem em segurança, por não estar diretamente ligada a receita de vendas; Principalmente empresas que dependem da informática, podem sofrer perdas de negócios. Controle e segurança inadequados podem causar sérios riscos legais.

8 Bilhões de dólares Fonte: Laudon e Laudon, 2008, p.215 Valor empresarial da segurança e do controle Prejuízo econômico mundial causado por ataques digitais Ano Estimativa da média anual mundial dos prejuízos causados por hackers, malware e spam.

9 Segurança: como estabelecer uma estrutura para segurança e controle? Quando falamos em controle e segurança dos sistemas de informação, tecnologia não é a peça chave; Informações são ativos que, como qualquer outro ativo importante para os negócios, possuem valor para a organização e precisam ser protegidos adequadamente.

10 Segurança: como estabelecer uma estrutura para segurança e controle? A segurança da informação visa: Proteger as informações contra ataques; Assegurar continuidade nos negócios; Minimizar os prejuízos; Maximizar o retorno de investimentos; Criar oportunidades comerciais.

11 Segurança: como estabelecer uma estrutura para segurança e controle? Independente da forma da informação, elas devem ser protegidas adequadamente. Sejam elas: impressas, escritas em papel, armazenadas eletronicamente, enviadas pelo correio, usando meios eletrônicos, filmes, etc.

12 Segurança: como estabelecer uma estrutura para segurança e controle? A segurança da informação é caracterizada como a preservação de: Confidencialidade: informações acessíveis apenas para quem tem o acesso; Integridade: salvaguardar as informações; Disponibilidade: garantir acesso às informações pelos usuários.

13 Segurança: como estabelecer uma estrutura para segurança e controle? A segurança da informação é obtida através da implementação conjunto adequado de controles, que podem ser: Políticas; Práticas; Procedimentos; Estruturas organizacionais e Funções de software.

14 Segurança: como estabelecer uma estrutura para segurança e controle? A ISO estabelece padrões internacionais para segurança e controle, incluindo: Política de segurança; Planejamento para a continuidade dos negócios; Segurança física; Controle de acesso; Obediência às normas; Criação de uma função de segurança.

15 Segurança: como estabelecer uma estrutura para segurança e controle? A confidencialidade, a integridade e a disponibilidade são essenciais para: Manter a competitividade; Fluxo de caixa; Rentabilidade; Atendimento à legislação; Imagem comercial.

16 Segurança: como estabelecer uma estrutura para segurança e controle? A segurança que pode ser obtida através dos meios técnicos é limitada, e deveria ser apoiada por procedimentos e gestão adequados. A gestão da segurança da informação precisa do apoio de todos os funcionários, clientes, fornecedores, acionistas e em alguns casos, de uma consultoria externa.

17 Requisitos de segurança e avaliação de riscos Existem três fontes principais de requisitos: 1ª - avaliação dos riscos contra a organização: vulnerabilidade, impacto; 2ª - exigências legais, estatutárias, regulamentadoras e contratuais; 3ª - conjunto de princípios, objetivos e requisitos para processamento de informações.

18 Requisitos de segurança e avaliação de riscos Os gastos com controles precisam ser pesados contra os prováveis prejuízos resultantes de falhas na segurança.

19 Requisitos de segurança e avaliação de riscos A avaliação de riscos é a consideração sistemática de: Provável prejuízo ao negócio resultante de uma falha de segurança; Probabilidade realística de tais falhas ocorrerem nos controles atualmente implementados. Os resultados desta avaliação ajudarão a guiar e determinar a ação gerencial adequada e as prioridades para gerir os riscos de segurança de informação.

20 Requisitos de segurança e avaliação de riscos É importante executar revisões periódicas dos riscos de segurança e dos controles implementados para: Levar em conta as mudanças nas prioridades e necessidades do negócio; Considerar novas ameaças e vulnerabilidades; Confirmar que os controles permanecem eficazes e apropriados.

21 Requisitos de segurança e avaliação de riscos Vários controles podem ser considerados como princípios orientadores, que fornecem um bom ponto de partida para implementação da segurança de informações.

22 Requisitos de segurança e avaliação de riscos Os controles considerados como essenciais para uma organização, do ponto de vista legal, incluem: Proteção de dados e privacidade de informações pessoais; Salvaguarda de registros organizacionais; Direitos de propriedade intelectual; Relatórios dos incidentes de segurança; Gerenciamento da continuidade do negócio;

23 Política de segurança Tem a política de segurança, o intuito de fornecer direção e apoio gerenciais para a segurança de informações; Uma vez que você tenha identificado os principais riscos para seus sistemas, sua empresa precisará desenvolver uma política de segurança para proteger seus ativos;

24 Política de segurança Política de segurança é uma declaração que estabelece uma hierarquia para os riscos de informação e identifica metas de segurança aceitáveis, assim como os mecanismos para atingi-las. Quais são os ativos de informação mais importantes da empresa? Quem produz e controla essa informação? Quais políticas de segurança já estão em curso para proteger essa informação?

25 Política de segurança Qual nível de risco a administração está disposta a aceitar para cada um dos ativos? Está disposta, por exemplo, a perder dados de crédito dos clientes uma vez a cada dez anos? Ou desenvolverá um sistema de segurança para dados de cartão de crédito, capaz de enfrentar um desastre que só ocorrerá a cada cem anos?

26 Política de segurança Em empresas de maior porte, é possível encontrar uma função oficial de segurança corporativa, liderada por um Chief Security Officer (CSO). Cabe ao CSO trabalhar para que a política de segurança da empresa seja cumprida.

27 Política de segurança A política de segurança dá origem a outras políticas, que determinam o uso aceitável dos recursos de informação da empresa e quais membros terão acesso a esses ativos; Uma boa política de uso define as ações aceitáveis e inaceitáveis para cada usuário, especificando as conseqüências do não cumprimento das normas.

28 Política de segurança Os sistemas de gerenciamento de autorização estabelecem onde e quando um usuário terá permissão para acessar determinadas partes de um site ou de um banco de dados corporativo. Tais sistemas permitem que cada usuário acesse somente as partes nos sistemas que tem permissão de entrar, com base nas informações estabelecidas por um conjunto de regras de acesso.

29 Documento da política de segurança de informações Um documento como a política deve ser aprovado pela gerência, publicado e divulgado, conforme apropriado, para todos os empregados; Ele deve declarar o comprometimento da gerência e estabelecer a abordagem da organização quanto à gestão da segurança de informações.

30 Documento da política de segurança de informações No mínimo, a seguinte orientação deve ser incluída: Uma definição de segurança de informações, seus objetivos gerais e escopo, e a importância da segurança; Uma declaração de intenção da gerência, apoiando os objetivos e princípios da segurança de informações; Explanação das políticas, princípios e padrões de segurança e das exigências a serem obedecidas;

31 Documento da política de segurança de informações Uma definição das responsabilidades gerais e específicas pela gestão da segurança das informações, incluindo relatórios de incidentes de segurança; Referências a documentos que podem apoiar a política.

32 Documento da política de segurança de informações Esta política deve ser comunicada em toda a organização para os usuários, de uma forma que seja relevante, acessível e compreensível para o leitor-alvo.

33 Revisão e avaliação A política deve ter um encarregado que seja responsável por sua manutenção e revisão, de acordo com um processo de revisão definido; Devem ser programadas, revisões periódicas dos seguintes aspectos: A eficácia da política; O custo e impacto dos controles na eficiência do negócio; Os efeitos das mudanças na tecnologia.

34 Tecnologia e ferramentas para garantir a sua segurança Existe uma gama de ferramentas e tecnologias para ajudar as empresas a salvaguardar seus sistemas e dados. Entre elas, estão ferramentas para autenticação, firewalls, sistemas de detecção de invasão, softwares antivírus e antispyware, e criptografia.

35 Controle de acesso Por controle de acesso, entende-se todo o conjunto de políticas e procedimentos que uma empresa usa para evitar acesso indevido a seus sistemas por pessoas não autorizadas, dentro e fora da organização. Para obter acesso, o usuário precisa ser autorizado e autenticado.

36 Controle de acesso O usuário final usa uma senha para acessar sistemas ou arquivos específicos. Muitas vezes, porém, os usuários esquecem senhas, revelam-nas para outras pessoas, ou escolhem senhas inadequadas, fáceis de adivinhar, e tudo isso compromete a segurança. Senhas também podem ser sniffed (farejadas) quando transmitidas por rede, ou roubadas por meio de engenharia social.

37 Controle de acesso Novas tecnologias de autenticação, como tokens, smart cards e autenticação biométrica, resolvem alguns desses problemas.

38 Firewalls, sistema de detecção de invasão e software antivírus Os firewalls agem como um porteiro que examina as credenciais de cada usuário antes que ele possa acessar a rede. Impedem, então, que comunicações não autorizadas entrem ou saiam da rede, permitindo que a organização imponha uma política de segurança ao fluxo de tráfego entre sua rede e a Internet.

39 Firewalls, sistema de detecção de invasão e software antivírus Em grandes organizações, o firewall muitas vezes reside em um computador reservado especialmente para ele,separado do resto da rede, de maneira que nenhuma solicitação pode entrar e acessar diretamente os recursos da rede privada.

40 Firewalls, sistema de detecção de invasão e software antivírus Além de firewalls, fornecedores de segurança comercial agora oferecem ferramentas e serviços de detecção de intrusos, que protegem a empresa contra o tráfego de rede suspeito. Sistemas de detecção de invasão são ferramentas de monitoração contínua; Software de monitoração, examina os eventos em tempo real, atrás de ataques à segurança.

41 Software antivírus e anti-spyware O software antivírus é projetado para verificar sistemas de informação e drives, afim de detectar a presença de vírus de computador; A maioria dos softwares antivírus é feito somente contra espécies já conhecidas, por isso, o software deve ser continuamente atualizado; McAfee e Symantec estão entre os principais fornecedores de software antivírus.

42 Software antivírus e anti-spyware Para eliminar spywares temos softwares específicos, como o Ad-Aware SE Personal, o Spybot Search and Destroy e o Spy Sweeper.