Segurança para Ambiente Cooperativo
Segurança Corporativa
Cássio D. B. Pinheiro
cdbpinheiro@gmail.com
Sumário
●Introdução
●Conceitos Básicos
●Riscos de Segurança
●Políticas de Segurança
●Modelo de Segurança
Introdução
●
Perguntas Importantes
● A segurança que temos hoje basta? ● Que nível de segurança precisamos? ● Quais os riscos que aceitamos?
●
“O pulo do gato”
● Como nossa empresa poderá usar Segurança para:
– Vantagem competitiva; – Melhores margens.
Introdução
●
Não existe sistema 100% seguro.
●História da segurança
● Evolução das interconexões de redes; ● Aumento da extensão das redes.
●
O ambiente doméstico
● Banda larga;
Introdução
●
O ambiente corporativo
● Objetiva transações entre corporações;
● Em muitos casos requer sigilo das informações.
●
A necessidade de segurança
● Proteção do patrimônio (no caso a informação); ● Credibilidade e vantagem competitiva;
● Cumprimento das responsabilidades;
Introdução
●
A segurança relativa
● Custo da segurança X valor da informação; ● Custo da segurança X tempo da informação.
●
Análise de risco
● Identificar os “furos” de segurança do sistema; ● Determinação da necessidade de segurança.
Introdução
●
O Barato pode sair Caro
● Algumas aplicações Web são rápidas para desenvolver e exigem pequeno investimento para aumentar ganhos intangíveis:
– Melhoram moral e colaboração de pessoas, equipes; – Simplificam acesso à informação e outros ativos;
– Reduzem tempo para o mercado.
● Investimentos em segurança normalmente sobem após incidentes graves:
– Enxergar segurança como parte do negócio a ser tratada em
Conceitos Básicos
●
Recurso
● Componente de um sistema computacional.
●
Ameaça
● Evento ou atitude indesejável que pode remover,
desabilitar, danificar ou destruir um recurso.
●
Vulnerabilidade
● Fraqueza ou deficiência que pode ser explorada por
uma ameaça.
●
Ataque
Conceitos Básicos
● Impacto
● Conseqüência de uma vulnerabilidade ter sido explorada
por uma ameaça.
● Probabilidade
● Chance de uma ameaça atacar com sucesso.
● Risco
● Medida da exposição a qual o sistema está sujeito.
● Depende de uma ameaça atacar e do impacto resultante. ● Envolve esses componentes mais as vulnerabilidades.
Riscos de Segurança
●
Mudanças nos requisitos de Segurança da
Informação dentro de uma organização
● Mudança 1
– Antes do uso generalizado de computadores, a
segurança da informação considerada valiosa para uma organização era fornecida por principalmente por meios físicos e administrativos.
– P.ex. Armários robustos com fechadura com segredo
Riscos de Segurança
●
Mudanças nos requisitos de Segurança da
Informação dentro de uma organização
● Mudança 2
– Introdução de sistemas distribuídos e o uso de rede e
recursos de comunicação para transmitir dados entre o usuário do terminal e o computador e entre
computadores.
– Segurança na Internet – Empresas, governo e
organizações acadêmicas interconectam seus
equipamentos de processamento de dados com um conjunto de redes.
Riscos de Segurança
●
Os Riscos
● O que aconteceria se as informações institucionais
caíssem nas mãos da concorrência ou fossem corrompidas, apagadas ou adulteradas?
● Quais seriam as conseqüências para a
continuidade dos negócios da instituição?
● E se ocorressem desastres naturais (incêndio,
terremoto, enchentes)?
● E falhas estruturais (interrupção de fornecimento de
Riscos de Segurança
●
Os Custo
● O vazamento de informações sobre seus clientes
comprometeria sua credibilidade e daria maiores oportunidades aos concorrentes.
Riscos de Segurança
●
As Premissas
● Segurança é, portanto, a proteção de informações,
sistemas, recursos e serviços contra desastres, erros e manipulação não autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurança.
● Informações têm que estar disponíveis no momento
e no local estabelecido, têm que ser confiáveis, corretas e mantidas fora do alcance de pessoas não autorizadas.
Riscos de Segurança
● Falta de Segurança na Prática
● Os vírus
– Destrutivos;
– De alteração de conteúdo;
– Stephen Hawking – “Primeira forma de vida criada pelo homem”.
● Os ataques (Hackers)
– Cavalos de Troia; Sniffers, ...;
– Servidores e serviços mal administrados (Port Scan); – Quebra de senhas (Password cracking);
– Engenharia pessoal (convencer alguém de revelar informações). – Roubo de identidade (Spoof);
Política de Segurança
● Os Objetivos de Segurança
● Confidencialidade ou privacidade – informações protegidas de acesso não autorizado. Envolve medidas de controle de acesso e criptografia. (LEITURA)
● Integridade dos dados – Evitar alteração ou exclusão indevida de dados. (GRAVAÇÃO/ALTERAÇÃO/EXCLUSÃO).
● Disponibilidade – Garantia que os serviços prestados por um sistema estão sempre acessíveis a pessoas autorizadas.
(BACKUP)
● Consistência – Garantia de que o sistema atua de acordo com a expectativa.
Política de Segurança
● Os Objetivos de Segurança
● Isolamento ou uso legítimo – Regular o acesso ao
sistema. Acesso não autorizado é sempre um problema, pois tem que se identificar quem, quando, como e os
resultados desta ação.
● Auditoria – Proteção contra erros e atos acidentais ou
não dos usuários autorizados.
● Confiabilidade – Garantir que, mesmo em condições
adversas, o sistema atuará conforme esperado.
● Dependendo da organização, um objetivo pode ser mais
Política de Segurança
● As Questões Relevantes
● O que se quer proteger? ● Contra que ou quem?
● Quais as ameaças mais prováveis? ● Qual a importância de cada recurso? ● Qual o grau de proteção desejado?
● Quanto tempo e recursos para atingir os objetivos de
segurança?
● Qual a expectativa dos usuários e clientes em relação à
segurança de informações?
Política de Segurança
●
Na prática devem observar:
● Senhas
– Senhas fortes X senhas fracas; – Não divulgação;
– Ser encriptada (função do administrador).
● Administração de pessoal
– Pior das variáveis;
– Instruir os usuários de como operar o sistema;
– Instruir os usuários da política de segurança da empresa; – Instruir os usuários do tipo de uso do sistema;
Política de Segurança
● Na prática devem observar:
● Segurança física de sistemas
– Fator negligenciado por parte dos administradores; – Impedir o roubo de equipamentos;
– Acesso físico restrito ao sistema;
– Backup das informações (fazer parte da política da empresa); – No backup levar em conta os desastre físicos.
● Tipo de sistemas de segurança
– Via Software (fraca); – Via Hardware (forte);
– Combinação Software + Hardware (melhor); – Todos configurados pelo administrador da rede.
Política de Segurança
●
O Comprometimento da Administração
Superior
● Prioridade menor em relação a outros projetos.
● Segurança só é lembrada depois de um desastre
ocorrido.
● Política considerada dispendiosa.
● Segurança vista como inibidor e não como uma
garantia
Política de Segurança
●
O Comprometimento da Administração
Superior
● Uma real política de segurança deve ser posta em
prática e encarada com seriedade por todos e ter o total apoio da alta gerência.
● O comprometimento deve ser formalizado, de
forma clara e objetiva, baseados nos princípios gerais, deixando os detalhes para outros
Política de Segurança
●
Definindo a Política de Segurança
● É um mecanismo preventivo de proteção dos dados
e processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e usuários.
● Tem processo de desenvolvimento formal e longo.
Flexível para permitir ajustes conforme necessidades da organização.
Política de Segurança
●
Definindo a Política de Segurança
● Princípios básicos
– Como a organização irá proteger, controlar e monitorar
seus recursos computacionais e suas informações.
– Responsabilidades das funções relacionadas com a
segurança.
– Discriminação das principais ameaças, riscos e impactos
envolvidos.
● Política de segurança de informações deve ser
Política de Segurança
●
Relacionamento da Política de Segurança com
a estratégia da organização
Estratégia geral da organização
Plano Estratégico de Informática
Política de segurança de Informações
Planos de desenvolvimentos de sistemas Plano de continuidade de serviços Estabelece
Especifica Gera Impactos sobre
Define
Política de Segurança
●
Envolvimento de Todos
● Para uma completa e efetiva Política de segurança
de informações é imprescindível que sejam envolvidos a alta gerência, a gerência de
segurança, a de recursos e de finanças, os demais gerentes e sobretudo, os usuários.
Política de Segurança
●
Tópicos Importantes
● Conteúdo Básico - Orientações sobre análise e
gerência dos riscos, princípios de conformidade dos sistemas com a Política, classificação das
informações e padrões mínimos de qualidade.
● Os elementos devem ser claros e detalhados para
serem compreendidos. Para um maior
aprofundamento, pode-se dispor de outros documentos mais específicos.
Política de Segurança
●
Tópicos Importantes
● Princípios legais e éticos:
● Direito à propriedade intelectual. ● Direitos sobre softwares.
● Princípios de implementação de segurança. ● Políticas de controle de acesso a recursos e
sistemas.
● Princípios de supervisão das tentativas de violação
Política de Segurança
●
Fases do Processo de Implantação
● Identificação dos recursos críticos; ● Classificação das informações;
● Definição em linhas gerais, dos objetivos de
segurança a serem atingidos;
● Análise das necessidades de segurança (ameaças,
riscos e impactos);
Política de Segurança
●
Fases do Processo de Implantação
● Discussões abertas com os envolvidos;
● Apresentação do documento formal à gerência
superior;
● Aprovação;
● Implementação;
● Avaliação da política e identificação das mudanças
necessárias;
Modelo de Segurança
●
Elementos Formadores
● Política - O quê e quanto?
– Quais os ativos de informação (multimídia)?
– Qual o valor para a empresa (dimensão dos possíveis
prejuízos)?
– Desconsiderar ativos de baixo valor (prioridades).
● Escopo
– Toda a empresa, departamentos, interfaces externas (TI,
Web, fone, fax, computação móvel, assessoria de imprensa, ...)
Modelo de Segurança
● Elementos Formadores
● Análise de Risco
– Risco (probabilidade) de perder ativos de alto valor.
● Gerência (para minimização) do risco
– Uso de tecnologia, pessoal, procedimentos, dispositivos, seguro,
...
● Medidas e controles
– Maneiras escolhidas (a partir de lista “padrão”) para a gerência
do risco.
● Estudo de adequação
– Justificativa para cada medida e controle adotado ou descartado
Modelo de Segurança
●
Identificando os Recursos
● O que precisa ser protegido? Quais os mais
importantes? – Hardware; – Software; – Dados; – Pessoas; – Documentação; – Suprimentos.
Modelo de Segurança
●
Classificação das informações (Necessidade e
responsabilidade)
● Públicas ou de uso irrestrito – Serviços de
informação ao público em geral;
● De uso interno – Serviços de informação interna; ● Confidenciais – Dados pessoais de clientes e
funcionários, senhas, ...
● Secretas – Dados militares e de segurança
Modelo de Segurança
●
Classificação dos Sistemas
● Camadas para facilitar os controles.
– Aplicativos – Necessidades específicas; – Serviços – Utilizados pelos aplicativos;
– Sistema Operacional – Gerenciamento de recursos
computacionais;
– Hardware.
● Análise individual de cada camada em termos de
segurança, configurada e monitoradas de forma compatível com o nível de segurança definido.
Modelo de Segurança
●
Analisando Riscos
● Risco = Ameaça + Vulnerabilidade + Impactos. ● Identifica componentes críticos e custo potencial
aos usuários.
Modelo de Segurança
● Analisando Riscos - Ações
● Identificar ameaças e impactos, possibilidades de uma
ameaça se concretizar e entender os riscos potenciais;
● Classificar por nível de importância, custos envolvidos na
prevenção/ recuperação;
● Riscos podem ser apenas reduzidos, nunca eliminados.
Medidas mais rígidas tornam os riscos menores, mas não eliminam;
● Conhecimento prévio das ameaças e seus impactos
podem resultar em medidas mais efetivas para reduzir as ameaças, vulnerabilidades e impactos.
Modelo de Segurança
●
O Custo da
Segurança
● Custos em termos de:
– Infraestrutura; – Inconveniência.
● Resistência por:
– CIO;
– Usuários.
● Custo e riscos são
crescentes...
Segurança tra
dicional de red es
2002 t
$