A evolução da segurança e os desafios atuais

A evolução da segurança e os desafios atuais Brasília, 27 de outubro de 2004

Visão de Segurança da Informação Missão de Segurança da Informação

Ecossistema Transacional Banco pagar pagar/receber Comprador A Fábrica vender intermediar Comprador B Transportadores Comerciantes, Empresas A integração das cadeias transacionais aumenta a exposição de informações e dados e conseqüentemente os riscos digitais

Ecossistema Digital A utilização crescente de tecnologias eletrônicas digitais para aquisição, processamento, comunicação e armazenamento de dados e informações, exige o estabelecimento de MARCOS de referência visando assegurar: - Disponibilidade, Integridade, - Confiabilidade, Autenticidade, - Privacidade, - Não discriminação

Ecossistema Digital Nossa Visão Os principais ativos migraram para o ambiente digital: Conhecimento Informações Dados Processos Comunicações; Os ambientes digitais empregados são inseguros por natureza: micros, redes locais e principalmente a Internet; Os sistemas de informações não implementam controles adequados de segurança e de detecção de fraudes; Há um ambiente propício à prática de fraudes com o emprego de tecnologias da informação (computadores em rede); Não estamos preparadas para combater estas práticas pois na maioria dos casos os agentes fraudadores atuam internamente; A penetração da Internet e o crescimento do seu uso através do comércio eletrônico e internet banking potencializam o problema;

Ecossistema Digital Ameaças e Desafios Espionagem Furto Sabotagem Digital Concorrência desleal Guerra Cibernética Perdas e danos Privacidade Pirataria Falsificações Violação da Propriedade Intelectual Ciber Terrorismo Fraudes

Ameaças Digitais As ameaças podem ser as mesmas, mas o CYBER-ESPAÇO muda tudo. A INTERNET possui 3 características novas que tornam isso uma verdade. Qualquer uma delas é ruim; as 3 juntas são horrorizantes: AUTOMAÇÃO, AÇÃO A DISTÂNCIA e PROPAGAÇÃO DA TÉCNICA

Por que Segurança? Evitar fraudes e perdas Viabilizar aplicações e tecnologias Atender agências reguladoras Governança Corporativa Conformidade

Segurança da Informação no Brasil Brasil: maior número de hackers? Projetos inovadores Eleições, SPB, Imposto de Renda, Sistema financeiro ICP Brasil Legislação em desenvolvimento Específica Novo Código Civil Fortalecimento da atuação de agências reguladoras Banco Central, TCU, CVM, CFM,... Modelo da concessão Fortalecimento da ação policial e judiciária

Segurança da Informação no Brasil + Inovação + Heterogeneidade + Ataques Legislação Ações policiais e de defesa especializados Agências de governo especializadas Colaboração entre as partes

Os Desafios de Segurança estão Crescendo 1. O ambiente de TI está cada vez mais complexo 2. As ações de segurança precisam estar integradas com a legislação e regulamentação 3. A segurança da informação não é só em computadores 4. Está aumentando o valor financeiro da rede 5. O crime organizado tem aumentado sua atividade no meio eletrônico 6. As tecnologias de ataque estão se integrando 7. Crimes são além-fronteiras

Segurança Tecnológica Por que a Segurança está em Crescimento 1. O ambiente de TI está cada vez mais Complexo Amplo Heterogêneo Compacto, multimídia, consumindo menos energia, utilizando o protocolo TCP-IP, integrado com a rede de celulares 2. As ações de segurança precisam estar integradas com a legislação e regulamentação Responsabilidade Civil dos administradores e técnicos Atendimento a Agências Reguladoras Gestão de Segurança através de normas e padrões

Segurança Tecnológica Por que a Segurança está em Crescimento 3. A segurança da informação não é só em computadores, deve considerar: Sistemas de Telecomunicações Papel Conversas pessoais e ao telefone Roubo de equipamentos Indeterminado 4. Está aumentando o valor financeiro da rede Transações financeiras pela Internet Transações financeiras em sistemas internos Relacionamento pessoal Armazenamento de informações de valor

Segurança Tecnológica Por que a Segurança está em Crescimento 5. O crime organizado tem aumentado sua atividade no meio eletrônico Para usar novas tecnologias em crimes convencionais Para novos crimes tecnológicos 6. As tecnologias de ataque estão se integrando Vírus, Spam, Spyware, Invasão,... 7. Crimes são além-fronteiras Coréia/Banda Larga, China/Quantidade, India/IPv6

Ameaças Digitais Novas Condutas: Acesso Indevido ao sistema de computador; Violação ao sistema de computador; Furto de informações; Falsificação de documentos com o uso do computador; Dano aos dados e informações arquivadas; Obtenção de segredos industriais/comerciais;

Ameaças Digitais...Novas Condutas: Furto de tempo do sistema de informática; Cópia de programa; Violação do Direito Autoral; Espionagem; Interceptação indevida de informação; Violação de bases de dados pessoais.

10 Anos de Spam Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e- mails), mostra que, em março deste ano, 53% dos e-mails eram SPAM. Em agosto último esse índice foi de 84,2%, tendo chegado a 94,5% em julho/2004. SPAM 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Março Abril Maio Junho Julho Agosto SPAM

Convergência Convergência: SPAM se tornou SCAM, usando técnicas de SPAM para propagar trojans e vírus Criadores de vírus, mais técnicos, motivação era reconhecimento na comunidade Spammers, menos técnicos, focados no lucro Novo cenário: spammers mais técnicos e criadores de vírus focados no lucro Vírus criados com o objetivo de ajudar a espalhar mensagens spam (ou controlar ativamente máquinas contaminadas) - DDoS

Convergência Golpes financeiros na Internet combinam várias técnicas: SPAM no envio da mensagem Vírus na criação e instalação do Trojan Engenharia social Lavagem de dinheiro (pagamento de contas) Fraudes no comércio eletrônico

Por que proteger as informações? 2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT O vazamento de informações pode causar: Perdas financeiras; Comprometimento da imagem; Perdas de clientes; Perda de vantagem competitiva 70% dos problemas de segurança são causados por desconhecimento dos procedimentos. 2002 CSI/FBI Computer Crime and Security Survey

Fontes das ameaças Descuido com equipamentos Acessos não autorizados a sistemas Instalação inadequada de Software e Hardware Vazamento de Informações Paralisação dos processos

Engenharia Social 2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT

Estruturação da Área de Segurança da Informação Gerenciamento de Segurança da Informação Metodologias de S.I. e Controle de Acesso Segurança em Redes e Telecomunicações BCM (BIA, BCP, DRP) Segurança Física das áreas de T.I. Segurança de Aplicações, sistemas, etc. Segurança de Operações Forensics (Leis, Investigações e ética) Criptografia

CBK Common Body of Knowledge do (ISC) 2 : Disciplinas de Segurança da Informação segundo o (ISC) 2 : 1. Metodologia e Sistemas de Controle de Acesso 2. Segurança em Redes e Telecomunicações 3. Práticas de Gerenciamento de Segurança da Informação 4. Segurança de Aplicações, sistemas (desenvolvimento e manutenção) 5. Uso, controle e aplicação de criptografia e PKI 6. Modelos e Arquitetura de Segurança 7. Segurança de Operações 8. Continuidade - BCM (BIA, BCP, DRP) 9. Forensics (Leis, Investigações e Ética) 10. Segurança Física das áreas de T.I.

Novo Cenário Corporativo

Governança Corporativa Gerenciamento do Risco Operacional Conformidade Qual a influência da segurança em TICs nesse novo cenário?

SEGURANÇA DA INFORMAÇÃO Novas necessidades regulatórias: Gramm-Leach-Bliley Act (Privacidade das informações financeiras) HIPAA - Health Insurance Portability and Accountability Act (Privacidade das informações de saúde) Sarbanes-Oxley (Retenção de informações contábeis (principalmente)) Basiléia II (bancos) Novo Código Civil Brasileiro

SEGURANÇA DA INFORMAÇÃO Novo papel do administrador de TI Retenção de documentos é diferente de backup! - faxes, e-mails, instant messages - TODAS as versões de documentos

SEGURANÇA DA INFORMAÇÃO Principais Recomendações de DEFESA: - NBR ISO/IEC 17799; e - BS 7799-2

SEGURANÇA DA INFORMAÇÃO Principais Recomendações de DEFESA: Segurança em TICs = Tecnologia

SEGURANÇA DA INFORMAÇÃO Principais Recomendações de DEFESA: Segurança = Processo Segurança é processo, tecnologia é ferramenta

SEGURANÇA DA INFORMAÇÃO Principais Recomendações de DEFESA: O elo mais fraco da corrente é você! - apenas 48% das empresas americanas ministraram treinamento de segurança a seus empregados; destas, apenas 15% fizeram isso há menos de 6 meses. Fonte: Human Firewall Security Awareness Index Survey, 2003

SEGURANÇA DA INFORMAÇÃO BS 7799-2 Security policy Organizational security Asset classification and control Personnel security Physical and environmental security Communications and operations management Access control Systems development and maintenance Business continuity management Compliance

SEGURANÇA DA INFORMAÇÃO Papel da PESSOA na segurança Novas ameaças surgem diariamente Ferramentas técnicas de segurança com boa taxa de atualização Grande investimento das corporações na segurança da informação Pouco ou nenhum investimento em treinamento focado em segurança Todos são responsáveis regras de conformidade Sua casa tem fechadura e alarme, certo? Mas você sabe usa-los?

Há algo de novo no Horizonte? SIM... Ciber Ataque e Sabotagem Digital

Desastres naturais ou ataques físicos X Ciber Ataque Desastres naturais ou ataques físicos - extensão e dano imediato são limitados geograficamente Ex: Florianópolis, WTC Cyber ataque não localizado geograficamente pode ser dissipado com altíssima velocidade atinge todos e não somente alvos específicos

Ciber Ataque existe sim! Australian Sewage Attack Março de 2000 Brisbane, Austrália Vitek Boden consultor sistema controlador de água Marrochy Shire Council Alterou as configurações das bombas das estações causando problemas em 2 estações Boden foi capturado logo após o primeiro ataque, com os equipamentos e programas que facilitaram o ataque, que até então era visto como um mal funcionamento do sistema

Ciber Ataque existe sim! Distributed denial of service attack Fevereiro de 2000 Anatomia Busca de hosts inseguros Instalação de software para ataques tornado os servidores escravos do atacante Lançamento do ataque remotamente ativando todos os sistemas simultaneamente

Ciber Ataque existe sim! Scaning Worms - The SQL Slammer attack Worms x vírus Vírus ficam latentes enquanto você não faz alguma atividade para ativa-los; Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado; Primeiro worm 1989 Morris worm; Julho de 2001 Code Red 359.000 sistemas a cada 37 minutos dobrava sua capacidade de ataque.

Ciber Ataque existe sim! Scaning Worms - The SQL Slammer attack Janeiro de 2003 SQL Slammer worm Dobrava o numero de sistemas atacados a cada 8,5 segundos; Infectou 90% dos servidores vulneráveis em apenas 10 minutos; Apenas 3 minutos após sua ativação já verificava os servidores a uma velocidade de 55 milhões de verificações por segundo; Infectou 75.000 servidores com sérias conseqüências 13.000 ATM do Bank of America foram desabilitados; O serviço de emergência 911 foi desabilitado afetando 680.000 pessoas; 14 corpos de bombeiros e 02 delegacias também foram afetados; A Microsoft já havia disponibilizado a correção a 6 meses.

Sabotagem Digital: PDVSA

Sabotagem Digital: PDVSA 12,6 Queda do PIB Total 29 % Primeiro Trimestre de 2003 2,8 No petrolero privado %D %I -23,6-14,1 Petrolero Público -47,5-11,2 23,5 59,6 No petrolero público -7,2-1,0 Otros -2,7 Total -29

Adoção de Metodologias específicas para Segurança da Informação: Norma NBR ISO/IEC-17799 publicadas pela ABNT CBK Common Body of Knowledge do (ISC) 2 TCSEC Padrão U.S. DoD (Orange Book) ITSEC Padrão Europeu Common Criteria ISO 15.404 NIST 800 series Melhores práticas de segurança de informações Aderência a Normas e padrões geralmente aceitos GASSP (Generally Accepted System Security Principles)

Atendimento a regulamentações: Bacen CVM ANBID C Civil Basiléia II (R.O.) HIPAA SOx outras normas e regulamentações

Oportunidades de desenvolvimento do CSO: Associações profissionais ISSA ISACA ASIS CSI Grupos de trabalho CB21 (Norma ABNT ISO/IEC 17799) Cerificações profissionais CISSP CISM MCSO CISA CPP

A Segurança da Informação não deve ser um fim em si mesma: 1. Melhor performance 2. Redução de perdas 3. Compliance 4. Segurança como agente habilitador de negócios

Fatores Críticos de Sucesso Apoio da Alta Administração Métricas, padrões, políticas e procedimentos Pessoas!!! Ferramentas e mecanismos bem configurados Capacitação e conscientização Monitoramento

Fatores críticos de sucesso: 2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT Endosso da Alta Administração Objetivo Equipe Independência Alinhamento ao Negócio Reporte Executivo, Administração e Controle (Orçamento x métricas de retorno da função) Comunicação e Conscientização Metodologia, normas e modelos

Fatores críticos de sucesso: Outros fatores Projetos BAU (dia a dia) Demonstrar o Sucesso Benefícios Atuar mediante um plano Coordenar atividades Interagir melhor com deptos Viabilizar continuidade Integração com o negócio!

Princípios que devem ser perseguidos: 1. Proteger as pessoas e suas informações privadas (Funcionários, Clientes, Fornecedores, Acionistas, Órgãos Reguladores) 2. Garantir Sistemas de Informação integros e protegidos 3. Proteção perimetral da rede de computadores 4. Garantir soluções tecnológicas seguras 5. Garantir soluções de Continuidade de Negócios 6. Promover conscientização contínua sobre o tema 7. Proporcionar ambiente de negócios alinhado às melhores práticas de Segurança da Informação internacionalmente aceitas

Funções da Segurança Digital Proteção: Proteção do acervo informação e reputação Controle corporativo obrigações legais Viabilização de Negócios: Competitividade e produtividade Utilizar a Internet para atingir novos mercados Estabelecer novas práticas operacionais e-security está baseado na credibilidade do usuário na empresa e nos serviços que ela oferece.

Modelo de Segurança Política de Segurança (ISO 17799, 3) Responsabilidade Civil do Executivo de Negócios (ISO 17799, 12) Contratos com Fornecedores (ISO 17799, 4) Segurança da Infra-estrutura (ISO 17799, 5/8/9) Conscientização e Responsabilização dos Usuários (ISO 17799, 6) Segurança Física (ISO 17799, 7) Monitoração e Respostas a Incidentes (ISO 17799, 9) Infra-estrutura Sistemas Negócios Evidências Forenses (ISO 17799, 12) Responsabilidade Civil do CIO (ISO 17799, 12) Conformidade com a Lei e Regulamentação (ISO 17799, 12) Continuidade do Negócio (ISO 17799, 11) Aplicação Segura (desenvolvimento e produção) (ISO 17799, 10)

O Modelo de Segurança Infra-estrutura Sistemas Negócios Ambiente Heterogêneo Novas Tecnologias Conformidade Análise de Riscos Melhores Práticas Integração com o negócio Combate a Fraudes Clientes Fornecedores Agências Reguladoras Fazenda Usuários Judiciário

Perguntas???

Muito obrigado! RICARDO THEIL