Introdução à Segurança da Informação Aécio Costa
Porque estamos estudando Segurança da Informação?
Ataque virtual usa "BBB 11" para roubar dados http://www1.folha.uol.com.br/tec/869084-ataque-virtual-usa-bbb-11-para-roubardados.shtml
Procon vai notificar LG sobre vazamento de dados dos clientes http://www1.folha.uol.com.br/tec/868940-procon-vai-notificar-lg-sobre-vazamento-de-dados-dosclientes.shtml
Dados Bancários
Redes Sociais
Pesquisa Buscar um caso de problemas com informação em alguma área. -Bancária -Rede Social -NSA -...
e o que é Informação?
Dado, Informação e Conhecimento
Dado Dado é qualquer elemento identificado em sua forma bruta que, por si só, não conduz a uma compreensão de determinado fato ou situação. (Oliveira, 2005) Elemento que representa eventos ocorridos na empresa ou circunst âncias físicas, antes que tenham sido organizados ou arranjados de maneira que as pessoas possam entender e usar. (ROSINI e PALMISANO, 2003).
Informação "Informação é o resultado do processamento, manipulação e organização de dados, de tal forma que represente uma modifica ç ã o (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que a recebe." Serra, J. Paulo
Informação Informação pode existir de muitas formas: Impressa ou escrita em papel Armazenada eletronicamente Transmitida pelo correio ou meios eletrônicos Mostrada em filmes Falada em conversas Sempre deve ser protegida adequadamente!
Informação As informa ç õ es s ã o o resultado dos dados devidamente tratados, comparados, classificados, relacionáveis entre outros dados servindo para tomada de decisões e para melhor noção do objeto estudado. Aquilo que leva à compreensão!
Conhecimento Conhecimento é o conjunto de ferramentas conceituais e categorias usadas pelos seres humanos para criar, colecionar, armazenar e compartilhar a informação. (LAUDON e LAUDON,1999).
E segurança, o que é?
Segurança para as Organizações Seguran ç a é um processo que tenta manter protegido um sistema complexo composto de muitas entidades: Tecnologia (hardware, software, redes) Processos (procedimentos, manuais) Pessoas (cultura, conhecimento) Estas entidades interagem das formas mais variadas e imprevisíveis A Segurança falhará se focar apenas em parte do problema Tecnologia não é nem o problema inteiro, nem a solução inteira
Responsabilidades da Empresa Desde que uma empresa fornece acesso internet a seus funcionários, esta empresa torna-se responsável pelo que ele faz, a menos que possa provar que tomou as medidas cabíveis para evitar problemas Corporate Politics on the Internet: Connection with Controversy, 1996
Casos... A Microsoft foi hackeada várias vezes Protestantes hackearam o World Economic Forum 15,700 número de cartões de crédito e de débito de clientes da Western Union foram roubados por hackers Hackers tentaram chantagear a VISA por $11M Dados dos clientes do Barclay Bank foram expostos Hacker tentou chantagear a Bloomberg $200mil As contas secretas do Credit Suisse foram expostas 8.071 casos documentados em http://www.attrition.org/ (8/1/99-1/4/01)
E o que acontece no dia a dia: 55% dos trabalhadores trocam mensagens potencialmente ofensivas pelo menos uma vez por mês (PC Week) 30-40% da navegação na web não está relacionada ao negócio da empresa (IDC) Em pesquisa com 13.000 usuários de email, 90% afirma receber spam pelo menos uma vez por dia (Gartner Group) Em pesquisa com 800 trabalhadores, 21-31% admitem enviar informações confidenciais para caixas postais externas a organização via email (PC Week)
Reportado ao CERT
CERT.br
CERT.br Saiba defender-se! A defesa O que é Spam Navegar é preciso Os invasores
Segurança da informação Segurança da informação é a proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão,e a modifica ç ã o n ã o autorizada de dados ou informa ç õ es, armazenados, em processamento ou em tr â nsito, abrangendo a seguran ç a dos recursos humanos, da documenta ç ã o e do material, das á reas e instala ç õ es das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento.
Segurança não é algo binário; Não existe rede/software totalmente seguro; Podemos especificar: Mais segurança Menos segurança Gerenciamento de SI deve ser constante!
Porque SI é necessário? As informações são constantemente colocadas à prova por diversos tipos de ameaças Fraudes eletrônicas, sabotagem, vandalismo, etc. Dependência nos sistemas de informação torna as organizações mais vulneráveis às ameaças Controle de acesso é cada vez mais difícil Sistemas de informação não foram projetados para serem seguros Codificação segura (evita SQL Injection, PHP Injection,etc
Precisamos saber do que e de quem proteger o sistema.
O que pode gerar insegurança? Assegurar a informação é uma tarefa um tanto quanto complicada, pois esta é complexa e pode abranger várias situações, como:
O que pode gerar insegurança? Assegurar a informação é uma tarefa um tanto quanto complicada, pois esta é complexa e pode abranger várias situações, como: Erro; Displicência; Ignorância do valor da informação; Acesso indevido; Roubo; Fraude; Sabotagem; Causas da natureza; Etc.
Erro
Displicência
Ignorância do valor da informação
Acesso indevido e Roubo
Fraude e Sabotagem
Causas da natureza