Segurança de Sistemas

Segurança de Sistemas

Informação

•

_{Recurso que move o mundo: transformamos}

informação em vida;

•

_{Primeira comunicação: tapa no bumbum}

quando nascemos;

•

_{Conjunto de dados ≠ Informação}

•

_{Transformar algo de pouco significado em um}

Informação

•

_{Informação é um bem para a Organização}

•

_{A informação é o dado com uma interpretação}

lógica ou natural dada a ele por seu usuário

(Rezende e Abreu, 2000)

•

_{Tem valor e deve ser protegida}

•

_{Políticas e regras == recursos financeiro e}

material

•

_{Funcionário ou prestador de serviço são}

Segurança da Informação

•

_{Regulamento (políticas, normas e regras) de}

segurança da informação → uso da

informação estruturada → o negócio não seja

prejudicado por um mau uso da informação

•

_{Proteger a informação é responsabilidade de}

Perguntas para reflexão

• _{Você tem cópia de seus documentos pessoais de família?}

• _{A fita de vídeo com momentos da família está bem guardada para}

evitar o mofo e a umidade?

• _{Você consegue construir informação a partir dos dados que você}

recebe por internet, TV, jornais e outras mídias? Qual a dificuldade para que isso aconteça?

• _{Os prestadores de serviços na sua vida pessoal são escolhidos}

considerando critérios de valor que você defende e acredita?

• _{Você conhece o posicionamento de sua organização em relação aos}

funcionários e prestadores de serviço no que diz respeito à proteção da informação?

• _{A organização orienta você periodicamente sobre ações para a}

proteção da informação?

• _{O executivo de maior nível hierárquico da empresa está}

Sistema de Informação

•

_{Um sistema de informação pode ser definido}

tecnicamente como um conjunto de

componentes inter-relacionados que coleta

Sistema de Informação

• _{A entrada captura ou coleta dados brutos de dentro da}

organização ou de seu ambiente externo.

• _{O processamento converte esses dados brutos em uma}

forma mais significativa.

• _{A saída transfere as informações processadas às pessoas}

que as utilizarão ou às atividades em que serão empregadas.

• _{Os sistemas de informação também requer em um}

feedback, que é a entrada que volta a determinados

Sistema de Informação

•

_{Os sistemas de informação são partes}

integrantes das organizações. Na verdade,

para algumas empresas, como as que fazem

avaliação de crédito, sem sistema de

Classificação da Informação

• _{Nem toda informação é crucial ou essencial a ponto de}

merecer cuidados especiais.

• _{Por outro lado, determinada informação pode ser tão vital}

que o custo de sua integridade, qualquer que seja, ainda

será menor que o custo de não dispor dela adequadamente.

• _{Em (Wadlow, 2000; Abreu, 2001;Boran, 1996) é exposto, a}

Classificação da Informação

• _{Pública – informação que pode vir a público sem maiores}

consequências danosas ao funcionamento normal da empresa, e cuja integridade não é vital;

• _{Interna – o acesso a esse tipo de informação deve ser evitado, embora}

as consequências do uso não autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja vital;

• _{Confidencial – informação restrita aos limites da empresa, cuja}

divulgação ou perda pode levar a desequilíbrio operacional, e

eventualmente, perdas financeiras, ou de confiabilidade perante o cliente externo, além de permitir vantagem expressiva ao concorrente;

• _{Secreta – informação crítica para as atividades da empresa, cuja}

Segurança da Informação

•

_{Entretanto, independentemente da relevância}

ou tipo da informação, a gestão dos dados

Segurança da Informação

• _{“Capacidade de assegurar a prevenção ao acesso e à}

manipulação ilegítima da informação, ou ainda, de evitar a interferência indevida na sua operação normal”.

Correspondendo às situações em que a informação é exposta a ameaças que colocam em risco suas propriedades, atingindo a sua segurança, a figura revela

todos os 4 momentos do ciclo de vida que são merecedores de

Segurança da Informação

• _{Manuseio – Momento em que a informação é criada e manipulada, seja ao}

folhear um maço de papéis, ao digitar informações recém-geradas em uma aplicação Internet, ou, ainda, ao utilizar sua senha de acesso para autenticação, por exemplo.

• _{Armazenamento – Momento em que a informação é armazenada, seja em um}

banco de dados compartilhado, em uma anotação de papel posteriormente

postada em um arquivo de ferro, ou, ainda em uma mídia de disquete depositada na gaveta da mesa de trabalho, por exemplo.

• _{Transporte – Momento em que a informação é transportada, seja ao encaminhar}

informações por correio eletrônico, ao postar um documento via aparelho de fax, ou, ainda, ao falar ao telefone uma informação confidencial, por exemplo.

• _{Descarte – Momento em que a informação é descartada, seja ao depositar na}

Segurança da Informação

• _{Com a dependência do negócio aos sistemas de informação e o}

surgimento de novas tecnologias e formas de trabalho, como o comércio eletrônico, as redes virtuais privadas e os funcionários móveis, as empresas começaram a despertar para a necessidade de segurança, uma vez que se tornaram vulneráveis a um número maior de ameaças.

• _{As redes de computadores, e consequentemente a Internet mudaram as}

formas como se usam sistemas de informação.

• _{As possibilidades e oportunidades de utilização são muito mais amplas que}

em sistemas fechados, assim como os riscos à privacidade e integridade da informação.

• _{Os negócios estão cada vez mais dependentes das tecnologias e estas}

Objetivos da Segurança da Informação

Autenticidade Garantir que um sujeito usando uma

identificação é seu verdadeiro detentor

Não-repudiação Garantir que o participante de uma _{comunicação não possa negá-la}

posteriormente

Confidencialidade Garantir que as informações não serão _{reveladas a pessoas não autorizadas;}

Integridade Garantir a consistência dos dados, _{prevenindo a criação não autorizada e a}

alteração ou destruição dos dados;

Disponibilidade A informação deve estar acessível para o _{funcionamento da organização e para o}

Violações e Ataques de Segurança

•

_{Quando os objetivos de segurança não são}

alcançados – propriedades não são garantidas

há uma violação da segurança!

–

_{Revelação não autorizada da informação}

–

_{Modificação não autorizada da informação}

–

_{Negação indevida de serviço}

•

_{Ataques de Segurança}

Passivo: ameaça a confidencialidade

P

RINCIPAIS

A

MEAÇAS À

S

EGURANÇA DA

I

NFORMAÇÃO

Vírus Funcionários insatisfeitos

Divulgação de senhas Acessos indevidos Vazamento de informações

Fraudes, erros e acidentes Hackers

Falhas na segurança física Uso de notebooks Fraudes em e-mail

Vírus Funcionários insatisfeitos Divulgação de senhas Acessos indevidos Vazamento de informações Fraudes, erros e acidentes Hackers Falhas na segurança física Uso de notebooks Fraudes em e-mail

Violações e Ataques de Segurança

- 35% das empresas no Brasil tiveram perdas financeiras

- 22% das empresas acima registraram perdas de até R$ 50 mil, 8% entre R$ 50 mil e R$ 500 mil e 4% de R$ 500 mil a R$ 1 milhão

- 65% não conseguem quantificar o valor dos prejuízos

De R$ 500 mil a

R$ 1 milhão 4%

De R$ 500 mil a

R$ 1 milhão 4%

Não foi possível quantificar

65%

Não foi possível quantificar 65% Mais de 1 milhão 1% Mais de 1 milhão 1%

Até R$ 50 mil 22%Até R$ 50 mil_22%

De R$ 50 mil a

R$ 500 mil 8%

De R$ 50 mil a

Violações e Ataques de Segurança

1. O que é informação?

2. Qual a diferença entre um conjunto de dados e a informação?

3. Em uma organização quem são os responsáveis pela segurança da informação?

4. O que é um sistema de informação?

5. Explique cada fluxo em um Sistema de

Informação: Entrada, processamento, saída e o feedback

Violações e Ataques de Segurança

7. Explique como a informação é classificada? 8. O que é Segurança da Informação?

9. Quais são os 4 momentos do "ciclo de vida" que a informação é exposta a ameaças?

10. Quais são os são os princípios básicos para garantir a segurança da informação?

11. Sobre violações e ataques de segurança, explique como deve ser o fluxo normal, a

Exercícios

•

_{Suponha que você foi contratado para}

implementar uma política de segurança da

informação em uma empresa.

•

_{De acordo com o conteúdo aprendido até}

Morais da Segurança e Composição da

Segurança

•

_{Como não poderia deixar de ser, a segurança}

Ameaças

Em inglês, é utilizado utilizamos o termo “threat” para definir ameaça. E temos vários tipos de threat (Shirey, 2000):

• _{Ameaça Inteligente: Circunstância onde um adversário tem a}

potencialidade técnica e operacional para detectar e explorar uma vulnerabilidade de um sistema;

• _{Ameaça: Potencial violação de segurança. Existe quando houver} uma circunstância, potencialidade, ação ou evento que poderia romper a segurança e causar o dano;

• _{Ameaça de Análise: Uma análise da probabilidade das ocorrências} e das consequências de ações prejudiciais a um sistema;

• _{Consequências de uma ameaça: Uma violação de segurança}

Ameaças

•

_{A ameaça pode ser definida como qualquer}

ação, acontecimento ou entidade que possa

agir sobre um ativo, processo ou pessoa,

através de uma vulnerabilidade e

consequentemente gerando um determinado

impacto.

•

_{As ameaças apenas existem se houverem}

Ameaças

Conforme descrito em (Sêmola, 2003), as ameaças podem ser classificadas quanto a sua intencionalidade e ser divididas em grupos:

• Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades, poluição, etc.

• Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia, etc.

• Voluntárias – Ameaças propositais causadas por agentes

Ameaças

Algumas outras ameaças aos sistemas de informação:

• _{Falha de hardware ou software} • _{Ações pessoais}

• _{Invasão pelo terminal de acesso}

• _{Roubo de dados, serviços, equipamentos} • _Incêndio

• _{Problemas elétricos} • _{Erros de usuários}

• _{Mudanças no programa}

• _{Problemas de telecomunicação}

Ataques

• _{Em inglês, é utilizado o termo “attack” para definir ataque. E} existem vários tipos de ataques.

• _{Ataque pode ser definido como um assalto ao sistema de segurança} que deriva de uma ameaça inteligente, isto é, um ato inteligente que seja uma tentativa deliberada (especial no sentido de um método ou técnica) para invadir serviços de segurança e violar as políticas do sistema (Shirey, 2000).

• _{O ataque é ato de tentar desviar dos controles de segurança de um} sistema de forma a quebrar os princípios citados anteriormente. • _{Um ataque pode ser:}

– _{ativo, tendo por resultado a alteração dos dados;} – _{passivo, tendo por resultado a liberação dos dados;}

Ataques

• _{O fato de um ataque estar acontecendo não significa} necessariamente que ele terá sucesso.

• _{O nível de sucesso depende da vulnerabilidade do sistema} • _{Formas possíveis de ataques em sistemas:}

• _{Interceptação : considera-se interceptação o acesso a informações} por entidades não autorizadas (violação da privacidade e

confidencialidade das informações).

• _{Interrupção : pode ser definida como a interrupção do fluxo normal} das mensagens ao destino.

• _{Modificação: consiste na modificação de mensagens por entidades} não autorizadas, violação da integridade da mensagem.

• _{Fabricação: considera-se personificação a entidade que acessa as} informações ou transmite mensagem se passando por uma

Vulnerabilidades

• _{A vulnerabilidade é o ponto onde qualquer sistema é}

suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações, etc.

• _{Todos os ambientes são vulneráveis, partindo do principio de}

que não existem ambientes totalmente seguros.

• _{Identificar as vulnerabilidades que podem contribuir para as}

ocorrências de incidentes de segurança é um aspecto importante na identificação de medidas adequadas de segurança.

• _{Não existe uma única causa para surgimento de}

vulnerabilidades.

• _{A negligência por parte dos administradores de rede e a falta}

Vulnerabilidades

• _{Cada vulnerabilidade existente pode permitir a ocorrência de}

Vulnerabilidades

Por que sistemas são vulneráveis

• _{Quando grandes quantidades de dados são armazenadas sob}

formato eletrônico, ficam vulneráveis a muito mais tipos de ameaças do que quando estão em formato manual.

• _{Os avanços nas telecomunicações e nos sistemas de}

informação ampliaram essas vulnerabilidades.

• _{Sistemas de informação em diferentes localidades podem ser}

interconectados por meio de redes de telecomunicações.

• _{Logo, o potencial para acesso não autorizado, abuso ou}

Vulnerabilidades

Por que sistemas são vulneráveis

• _{Além disso, arranjos mais complexos e diversos de hardware,}

software, pessoais e organizacionais são exigidos para redes de telecomunicação, criando novas áreas e oportunidades para invasão e manipulação.

• _{Redes sem fio que utilizam tecnologias baseadas em rádio}

são ainda mais vulneráveis à invasão, porque é mais fácil fazer a varredura das faixas de radiofreqüência.

• _{A Internet apresenta problemas especiais porque foi}

Vulnerabilidades

Por que sistemas são vulneráveis

• _{Redes de telecomunicação são altamente vulneráveis a falhas}

naturais de hardware e software e ao uso indevido por programadores, operadores de computador, pessoal de manutenção e usuário finais.

• _{É possível por exemplo, grampear linhas de telecomunicação}

e interceptar dados ilegalmente.

• _{A transmissão de alta velo cidade por canais de comunicação}

de par trançado, por sua vez, causa à interferência denominada linha cruzada.

• _{E, finalmente, a radiação também pode causar falha da rede}

Mecanismos para Controles de Segurança

Autenticação de usuário

• _{Quando você acessa um ambiente computacional, é}

necessário fazer a identificação e a autenticação

• _{Identificação – informa quem é a pessoa que está acessando a}

informação

– _{Nome, número de matricula, CPF, ou qualquer identificador}

• _{Autenticação – garantir que o usuário descrito na}

identificação é verdadeiramente a pessoa.

• _{Identificação – informação pública e de fácil conhecimento} • _{Autenticação – informação sigilosa}

• _{No ambiente computacional você é autenticado por alguma}

Mecanismos para Controles de Segurança

Autenticação de usuário

• _{Identificação positiva (O que você sabe) – O requerente}

demonstra conhecimento de alguma informação utilizada no processo de autenticação, por exemplo uma senha.

• _{Identificação proprietária (O que você tem) – Na qual o}

Mecanismos para Controles de Segurança

Autenticação de usuário

• _{Identificação Biométrica (O que você é) – Na qual o}

Mecanismos para Controles de Segurança

Autenticação de usuário

• _{Combinação de dois tipos de autenticação aumenta o nível de}

segurança: cartão e uma senha

• _{Custo: biometria > cartão > senha}

• _{Em segurança da informação custo não é o mais importante} • _{O ideal é implementar a solução mais adequada para a}

situação que se está estudando

• _{A senha é o mais utilizado devido a facilidade de}

implementação, baixo custo e bom nível de proteção

• _{Pode conter sofisticações como teclado na tela (instituições}

Mecanismos para Controles de Segurança

Autenticação de usuário

• _{Fragilidade do uso de senha: senhas fracas} • _{Ao escolher uma senha:}

– _{Não utilize data de nascimento, nomes de pessoas, nomes de times ou}

informações que esteja ligadas a você ou à organização

– _{Não utilize sequências óbvias de caracteres} – _{Utilize o tamanho mínimo de 6 posições}

– _{Construa-a utilizando letras, números e caracteres especiais} – _{Utilize a primeira letra de cada palavra que forma uma frase} – _{Defina uma frase que faça sentido para você}

• _{Mantenha em sigilo a sua senha}

• _{Algumas pessoas terão o direito e a responsabilidade de}

Mecanismos para Controles de Segurança

Autenticação de usuário

• _{Dificuldade  varias identificações e senhas para um mesmo}

usuário utilizar diversos serviços

• _{Certificado Digital aumenta a segurança na identificação e}

autenticação de usuários  semelhante a autenticação de assinaturas no mundo real (cartórios)

• _{No mundo virtual a validação da autenticação do usuário é}

feita utilizando um elemento confiável (cartório digital)

• _{Você se apresenta com um certificado, e o cartório virtual}

assegura sua identificação

• _{O certificado é um conjunto de informações sobre você que}

Mecanismos para Controles de Segurança

Autenticação de usuário

• _{Uma entidade certificadora (cartório) vai garantir que você}

recebeu esse certificado

• _{Certificado A1}

– _{Arquivo no computador}

• _{Certificado A2}

– _{Cartão ou pendrive (software)}

• _{Certificado A3}

– _{Cartão ou pendrive (hardware)}

• _{Certificado A4}

Mecanismos para Controles de Segurança

Certificado digital

•

_{Para que serve?}

– _{Comercio eletrônico}

– _{Processos judiciais e administrativos} – _{Assinatura de declaração de renda}

Mecanismos para Controles de Segurança

1. Sobre segurança da Informação O que é uma

ameaça? Cite os tipos.

2. Cite 6 ameaças a sistemas de informação.

3. Sobre segurança da Informação o que é um ataque?

e quando ele é ativo, passivo e destrutivo?

4. Quais as formas possíveis de ataque?

Mecanismos para Controles de Segurança

7. Porque os sistemas de informação são mais

vulneráveis?

8. O que é autenticação e identificação?

9. Explique o que é uma identificação positiva,

proprietária e biométrica.

10. Cite 5 procedimentos para aumentar a segurança

na criação de uma senha

11. O que é um Certificado Digital?

12. Cite 2 tipos de Certificado Digital.