Segurança de Sistemas
Informação
•
Recurso que move o mundo: transformamos
informação em vida;
•
Primeira comunicação: tapa no bumbum
quando nascemos;
•
Conjunto de dados ≠ Informação
•
Transformar algo de pouco significado em um
Informação
•
Informação é um bem para a Organização
•
A informação é o dado com uma interpretação
lógica ou natural dada a ele por seu usuário
(Rezende e Abreu, 2000)
•
Tem valor e deve ser protegida
•
Políticas e regras == recursos financeiro e
material
•
Funcionário ou prestador de serviço são
Segurança da Informação
•
Regulamento (políticas, normas e regras) de
segurança da informação → uso da
informação estruturada → o negócio não seja
prejudicado por um mau uso da informação
•
Proteger a informação é responsabilidade de
Perguntas para reflexão
• Você tem cópia de seus documentos pessoais de família?
• A fita de vídeo com momentos da família está bem guardada para
evitar o mofo e a umidade?
• Você consegue construir informação a partir dos dados que você
recebe por internet, TV, jornais e outras mídias? Qual a dificuldade para que isso aconteça?
• Os prestadores de serviços na sua vida pessoal são escolhidos
considerando critérios de valor que você defende e acredita?
• Você conhece o posicionamento de sua organização em relação aos
funcionários e prestadores de serviço no que diz respeito à proteção da informação?
• A organização orienta você periodicamente sobre ações para a
proteção da informação?
• O executivo de maior nível hierárquico da empresa está
Sistema de Informação
•
Um sistema de informação pode ser definido
tecnicamente como um conjunto de
componentes inter-relacionados que coleta
Sistema de Informação
• A entrada captura ou coleta dados brutos de dentro da
organização ou de seu ambiente externo.
• O processamento converte esses dados brutos em uma
forma mais significativa.
• A saída transfere as informações processadas às pessoas
que as utilizarão ou às atividades em que serão empregadas.
• Os sistemas de informação também requer em um
feedback, que é a entrada que volta a determinados
Sistema de Informação
•
Os sistemas de informação são partes
integrantes das organizações. Na verdade,
para algumas empresas, como as que fazem
avaliação de crédito, sem sistema de
Classificação da Informação
• Nem toda informação é crucial ou essencial a ponto de
merecer cuidados especiais.
• Por outro lado, determinada informação pode ser tão vital
que o custo de sua integridade, qualquer que seja, ainda
será menor que o custo de não dispor dela adequadamente.
• Em (Wadlow, 2000; Abreu, 2001;Boran, 1996) é exposto, a
Classificação da Informação
• Pública – informação que pode vir a público sem maiores
consequências danosas ao funcionamento normal da empresa, e cuja integridade não é vital;
• Interna – o acesso a esse tipo de informação deve ser evitado, embora
as consequências do uso não autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja vital;
• Confidencial – informação restrita aos limites da empresa, cuja
divulgação ou perda pode levar a desequilíbrio operacional, e
eventualmente, perdas financeiras, ou de confiabilidade perante o cliente externo, além de permitir vantagem expressiva ao concorrente;
• Secreta – informação crítica para as atividades da empresa, cuja
Segurança da Informação
•
Entretanto, independentemente da relevância
ou tipo da informação, a gestão dos dados
Segurança da Informação
• “Capacidade de assegurar a prevenção ao acesso e à
manipulação ilegítima da informação, ou ainda, de evitar a interferência indevida na sua operação normal”.
Correspondendo às situações em que a informação é exposta a ameaças que colocam em risco suas propriedades, atingindo a sua segurança, a figura revela
todos os 4 momentos do ciclo de vida que são merecedores de
Segurança da Informação
• Manuseio – Momento em que a informação é criada e manipulada, seja ao
folhear um maço de papéis, ao digitar informações recém-geradas em uma aplicação Internet, ou, ainda, ao utilizar sua senha de acesso para autenticação, por exemplo.
• Armazenamento – Momento em que a informação é armazenada, seja em um
banco de dados compartilhado, em uma anotação de papel posteriormente
postada em um arquivo de ferro, ou, ainda em uma mídia de disquete depositada na gaveta da mesa de trabalho, por exemplo.
• Transporte – Momento em que a informação é transportada, seja ao encaminhar
informações por correio eletrônico, ao postar um documento via aparelho de fax, ou, ainda, ao falar ao telefone uma informação confidencial, por exemplo.
• Descarte – Momento em que a informação é descartada, seja ao depositar na
Segurança da Informação
• Com a dependência do negócio aos sistemas de informação e o
surgimento de novas tecnologias e formas de trabalho, como o comércio eletrônico, as redes virtuais privadas e os funcionários móveis, as empresas começaram a despertar para a necessidade de segurança, uma vez que se tornaram vulneráveis a um número maior de ameaças.
• As redes de computadores, e consequentemente a Internet mudaram as
formas como se usam sistemas de informação.
• As possibilidades e oportunidades de utilização são muito mais amplas que
em sistemas fechados, assim como os riscos à privacidade e integridade da informação.
• Os negócios estão cada vez mais dependentes das tecnologias e estas
Objetivos da Segurança da Informação
Autenticidade Garantir que um sujeito usando uma
identificação é seu verdadeiro detentor
Não-repudiação Garantir que o participante de uma comunicação não possa negá-la
posteriormente
Confidencialidade Garantir que as informações não serão reveladas a pessoas não autorizadas;
Integridade Garantir a consistência dos dados, prevenindo a criação não autorizada e a
alteração ou destruição dos dados;
Disponibilidade A informação deve estar acessível para o funcionamento da organização e para o
Violações e Ataques de Segurança
•
Quando os objetivos de segurança não são
alcançados – propriedades não são garantidas
há uma violação da segurança!
–
Revelação não autorizada da informação
–
Modificação não autorizada da informação
–
Negação indevida de serviço
•
Ataques de Segurança
Passivo: ameaça a confidencialidade
P
RINCIPAIS
A
MEAÇAS À
S
EGURANÇA DA
I
NFORMAÇÃO
Vírus Funcionários insatisfeitos
Divulgação de senhas Acessos indevidos Vazamento de informações
Fraudes, erros e acidentes Hackers
Falhas na segurança física Uso de notebooks Fraudes em e-mail
Vírus Funcionários insatisfeitos Divulgação de senhas Acessos indevidos Vazamento de informações Fraudes, erros e acidentes Hackers Falhas na segurança física Uso de notebooks Fraudes em e-mail
Violações e Ataques de Segurança
- 35% das empresas no Brasil tiveram perdas financeiras
- 22% das empresas acima registraram perdas de até R$ 50 mil, 8% entre R$ 50 mil e R$ 500 mil e 4% de R$ 500 mil a R$ 1 milhão
- 65% não conseguem quantificar o valor dos prejuízos
De R$ 500 mil a
R$ 1 milhão 4%
De R$ 500 mil a
R$ 1 milhão 4%
Não foi possível quantificar
65%
Não foi possível quantificar 65% Mais de 1 milhão 1% Mais de 1 milhão 1%
Até R$ 50 mil 22%Até R$ 50 mil22%
De R$ 50 mil a
R$ 500 mil 8%
De R$ 50 mil a
Violações e Ataques de Segurança
1. O que é informação?
2. Qual a diferença entre um conjunto de dados e a informação?
3. Em uma organização quem são os responsáveis pela segurança da informação?
4. O que é um sistema de informação?
5. Explique cada fluxo em um Sistema de
Informação: Entrada, processamento, saída e o feedback
Violações e Ataques de Segurança
7. Explique como a informação é classificada? 8. O que é Segurança da Informação?
9. Quais são os 4 momentos do "ciclo de vida" que a informação é exposta a ameaças?
10. Quais são os são os princípios básicos para garantir a segurança da informação?
11. Sobre violações e ataques de segurança, explique como deve ser o fluxo normal, a
Exercícios
•
Suponha que você foi contratado para
implementar uma política de segurança da
informação em uma empresa.
•
De acordo com o conteúdo aprendido até
Morais da Segurança e Composição da
Segurança
•
Como não poderia deixar de ser, a segurança
Ameaças
Em inglês, é utilizado utilizamos o termo “threat” para definir ameaça. E temos vários tipos de threat (Shirey, 2000):
• Ameaça Inteligente: Circunstância onde um adversário tem a
potencialidade técnica e operacional para detectar e explorar uma vulnerabilidade de um sistema;
• Ameaça: Potencial violação de segurança. Existe quando houver uma circunstância, potencialidade, ação ou evento que poderia romper a segurança e causar o dano;
• Ameaça de Análise: Uma análise da probabilidade das ocorrências e das consequências de ações prejudiciais a um sistema;
• Consequências de uma ameaça: Uma violação de segurança
Ameaças
•
A ameaça pode ser definida como qualquer
ação, acontecimento ou entidade que possa
agir sobre um ativo, processo ou pessoa,
através de uma vulnerabilidade e
consequentemente gerando um determinado
impacto.
•
As ameaças apenas existem se houverem
Ameaças
Conforme descrito em (Sêmola, 2003), as ameaças podem ser classificadas quanto a sua intencionalidade e ser divididas em grupos:
• Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades, poluição, etc.
• Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia, etc.
• Voluntárias – Ameaças propositais causadas por agentes
Ameaças
Algumas outras ameaças aos sistemas de informação:
• Falha de hardware ou software • Ações pessoais
• Invasão pelo terminal de acesso
• Roubo de dados, serviços, equipamentos • Incêndio
• Problemas elétricos • Erros de usuários
• Mudanças no programa
• Problemas de telecomunicação
Ataques
• Em inglês, é utilizado o termo “attack” para definir ataque. E existem vários tipos de ataques.
• Ataque pode ser definido como um assalto ao sistema de segurança que deriva de uma ameaça inteligente, isto é, um ato inteligente que seja uma tentativa deliberada (especial no sentido de um método ou técnica) para invadir serviços de segurança e violar as políticas do sistema (Shirey, 2000).
• O ataque é ato de tentar desviar dos controles de segurança de um sistema de forma a quebrar os princípios citados anteriormente. • Um ataque pode ser:
– ativo, tendo por resultado a alteração dos dados; – passivo, tendo por resultado a liberação dos dados;
Ataques
• O fato de um ataque estar acontecendo não significa necessariamente que ele terá sucesso.
• O nível de sucesso depende da vulnerabilidade do sistema • Formas possíveis de ataques em sistemas:
• Interceptação : considera-se interceptação o acesso a informações por entidades não autorizadas (violação da privacidade e
confidencialidade das informações).
• Interrupção : pode ser definida como a interrupção do fluxo normal das mensagens ao destino.
• Modificação: consiste na modificação de mensagens por entidades não autorizadas, violação da integridade da mensagem.
• Fabricação: considera-se personificação a entidade que acessa as informações ou transmite mensagem se passando por uma
Vulnerabilidades
• A vulnerabilidade é o ponto onde qualquer sistema é
suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações, etc.
• Todos os ambientes são vulneráveis, partindo do principio de
que não existem ambientes totalmente seguros.
• Identificar as vulnerabilidades que podem contribuir para as
ocorrências de incidentes de segurança é um aspecto importante na identificação de medidas adequadas de segurança.
• Não existe uma única causa para surgimento de
vulnerabilidades.
• A negligência por parte dos administradores de rede e a falta
Vulnerabilidades
• Cada vulnerabilidade existente pode permitir a ocorrência de
Vulnerabilidades
Por que sistemas são vulneráveis
• Quando grandes quantidades de dados são armazenadas sob
formato eletrônico, ficam vulneráveis a muito mais tipos de ameaças do que quando estão em formato manual.
• Os avanços nas telecomunicações e nos sistemas de
informação ampliaram essas vulnerabilidades.
• Sistemas de informação em diferentes localidades podem ser
interconectados por meio de redes de telecomunicações.
• Logo, o potencial para acesso não autorizado, abuso ou
Vulnerabilidades
Por que sistemas são vulneráveis
• Além disso, arranjos mais complexos e diversos de hardware,
software, pessoais e organizacionais são exigidos para redes de telecomunicação, criando novas áreas e oportunidades para invasão e manipulação.
• Redes sem fio que utilizam tecnologias baseadas em rádio
são ainda mais vulneráveis à invasão, porque é mais fácil fazer a varredura das faixas de radiofreqüência.
• A Internet apresenta problemas especiais porque foi
Vulnerabilidades
Por que sistemas são vulneráveis
• Redes de telecomunicação são altamente vulneráveis a falhas
naturais de hardware e software e ao uso indevido por programadores, operadores de computador, pessoal de manutenção e usuário finais.
• É possível por exemplo, grampear linhas de telecomunicação
e interceptar dados ilegalmente.
• A transmissão de alta velo cidade por canais de comunicação
de par trançado, por sua vez, causa à interferência denominada linha cruzada.
• E, finalmente, a radiação também pode causar falha da rede
Mecanismos para Controles de Segurança
Autenticação de usuário
• Quando você acessa um ambiente computacional, é
necessário fazer a identificação e a autenticação
• Identificação – informa quem é a pessoa que está acessando a
informação
– Nome, número de matricula, CPF, ou qualquer identificador
• Autenticação – garantir que o usuário descrito na
identificação é verdadeiramente a pessoa.
• Identificação – informação pública e de fácil conhecimento • Autenticação – informação sigilosa
• No ambiente computacional você é autenticado por alguma
Mecanismos para Controles de Segurança
Autenticação de usuário
• Identificação positiva (O que você sabe) – O requerente
demonstra conhecimento de alguma informação utilizada no processo de autenticação, por exemplo uma senha.
• Identificação proprietária (O que você tem) – Na qual o
Mecanismos para Controles de Segurança
Autenticação de usuário
• Identificação Biométrica (O que você é) – Na qual o
Mecanismos para Controles de Segurança
Autenticação de usuário
• Combinação de dois tipos de autenticação aumenta o nível de
segurança: cartão e uma senha
• Custo: biometria > cartão > senha
• Em segurança da informação custo não é o mais importante • O ideal é implementar a solução mais adequada para a
situação que se está estudando
• A senha é o mais utilizado devido a facilidade de
implementação, baixo custo e bom nível de proteção
• Pode conter sofisticações como teclado na tela (instituições
Mecanismos para Controles de Segurança
Autenticação de usuário
• Fragilidade do uso de senha: senhas fracas • Ao escolher uma senha:
– Não utilize data de nascimento, nomes de pessoas, nomes de times ou
informações que esteja ligadas a você ou à organização
– Não utilize sequências óbvias de caracteres – Utilize o tamanho mínimo de 6 posições
– Construa-a utilizando letras, números e caracteres especiais – Utilize a primeira letra de cada palavra que forma uma frase – Defina uma frase que faça sentido para você
• Mantenha em sigilo a sua senha
• Algumas pessoas terão o direito e a responsabilidade de
Mecanismos para Controles de Segurança
Autenticação de usuário
• Dificuldade varias identificações e senhas para um mesmo
usuário utilizar diversos serviços
• Certificado Digital aumenta a segurança na identificação e
autenticação de usuários semelhante a autenticação de assinaturas no mundo real (cartórios)
• No mundo virtual a validação da autenticação do usuário é
feita utilizando um elemento confiável (cartório digital)
• Você se apresenta com um certificado, e o cartório virtual
assegura sua identificação
• O certificado é um conjunto de informações sobre você que
Mecanismos para Controles de Segurança
Autenticação de usuário
• Uma entidade certificadora (cartório) vai garantir que você
recebeu esse certificado
• Certificado A1
– Arquivo no computador
• Certificado A2
– Cartão ou pendrive (software)
• Certificado A3
– Cartão ou pendrive (hardware)
• Certificado A4
Mecanismos para Controles de Segurança
Certificado digital
•
Para que serve?
– Comercio eletrônico
– Processos judiciais e administrativos – Assinatura de declaração de renda