Segurança
Segurança e Auditoria de
e Auditoria de
Sistemas
Sistemas
Introdução
Introdução à à SegurançaSegurança de de SistemasSistemas
Prof. Filipe Nunes Ribeiro
Introdução
Sugestões de como ter mais
Sugestões de como ter mais
segurança
segurança
Segurança da informação não é uma
ciência exata.
Gestão de riscos
◦ É preciso:
◦ Conhecer, planejar, agir, auditar, educar,
Objetivos da segurança
Objetivos da segurança
Proteção das informações não
importando onde estejam (papel, memória do computador, em um disquete, trafegando em uma
disquete, trafegando em uma chamada telefônica)
Objetivos da segurança
Objetivos da segurança
Proteção das informações não
importando onde estejam (papel, memória do computador, em um disquete, trafegando em uma
disquete, trafegando em uma chamada telefônica)
Certo?
Objetivos da Segurança
Objetivos da Segurança
Para identificar os objetivos mais
prioritários para uma organização é essencial fazer uma análise da
natureza da aplicação, dos riscos e natureza da aplicação, dos riscos e impactos prováveis.
Em geral, alguns pontos devem ser
Objetivos da Segurança
Objetivos da Segurança
Confidencialidade: proteger as
informações contra acesso de
qualquer pessoa não explicitamente autorizada pelo dono da informação, autorizada pelo dono da informação, isto é, as informações e processos são liberados apenas para pessoas autorizadas.
Objetivos de Segurança
Objetivos de Segurança
Integridade de dados: evitar que
dados sejam apagados ou de certa forma alterados sem a permissão do proprietário da informação.
Objetivos de Segurança
Objetivos de Segurança
Disponibilidade: proteger os serviços
de informática de tal forma que não sejam degradados ou tornados
indisponíveis sem a devida indisponíveis sem a devida autorização.
Objetivos de Segurança
Objetivos de Segurança
Consistência: certificar-se de que o
sistema atua de acordo com as expectativas dos usuários
autorizados. autorizados.
◦ Imagine um usuário solicitando a edição
de um arquivo. Por causa de um bug no editor de textos, o arquivo é apagado e o usuário perde todos os seus dados.
Objetivos de Segurança
Objetivos de Segurança
Isolamento ou uso legítimo: regular o
acesso. O acesso não autorizado é sempre um problema, pois além de
ser necessário identificar que acessou ser necessário identificar que acessou e como, é preciso se certificar de que nada importante do sistema foi
Objetivos de Segurança
Objetivos de Segurança
Auditoria: proteger os sistemas contra
erros e atos maliciosos cometidos por usuários autorizados.
Objetivos de Segurança
Objetivos de Segurança
Confiabilidade: garantir que, mesmo
sem condições adversas, o sistema atuará conforme o esperado.
Objetivos de Segurança
Objetivos de Segurança
Qual é mais importante?
Confidencialidade Integridade Disponibilidade Consistência Isolamento Auditoria Confiabilidade
Objetivos de Segurança
Objetivos de Segurança
Objetivos de Segurança
Objetivos de Segurança
Sistema de e-commerce da DELL
Objetivos de Segurança
Objetivos de Segurança
Sistemas militares de segurança
Objetivos de Segurança
Objetivos de Segurança
Sistemas militares de segurança
nacional
Privacidade
Objetivos de Segurança
Objetivos de Segurança
Sistemas bancários
◦ Integridade ◦ Auditoria
Objetivos de Segurança
Objetivos de Segurança
Sistemas bancários ◦ Integridade ◦ Auditoria Confidencialidade DisponibilidadeCiclo de vida da informação
Ciclo de vida da informação
Manuseio
◦ Momento em que a informação é criada e
manipulada
◦ Folhear um maço de papeis, digitar
informações recém-geradas em uma informações recém-geradas em uma aplicação ou mesmo utilizar sua senha para autenticação
Ciclo de vida da informação
Ciclo de vida da informação
Armazenamento
◦ Momento em que a informação é
armazenada
◦ Banco de dados compartilhado, em uma
anotação de papel, pen drive guardado na anotação de papel, pen drive guardado na gaveta de trabalho
Ciclo de vida da informação
Ciclo de vida da informação
Transporte
◦ Momento em que a informação é
transportada
◦ Encaminhar informações por correio
eletrônico, postar um documento via eletrônico, postar um documento via aparelho de fax, falar ao telefone uma informação confidencial
Ciclo de vida da informação
Ciclo de vida da informação
Descarte
◦ Momento em que a informação é
descartada
◦ Depositar na lixeira material impresso,
eliminar um arquivo eletrônico do seu eliminar um arquivo eletrônico do seu computador, descartar um CD/DVD que apresentou falha na leitura.
Ciclo de vida da Informação
Ciclo de vida da Informação
Como/ O Quê proteger?
Como/ O Quê proteger?
Perguntas
◦ O que se quer proteger?
◦ Contra que ou contra quem? ◦ Contra que ou contra quem?
◦ Quais são as ameaças mais prováveis? ◦ Qual a importância de cada recurso?
Como / O Quê proteger?
Como / O Quê proteger?
Perguntas
◦ Quanto tempo, recursos financeiros, e
humanos se pretende gastar para atingir os objetivos de segurança desejados?
◦ Quais as expectativas dos usuários e ◦ Quais as expectativas dos usuários e
clientes em relação à segurança de informações?
◦ Quais as conseqüências para a instituição
se seus sistemas e informações forem corrompidos ou roubados?
Desafios da Gestão da Informação
Desafios da Gestão da Informação
É preciso identificar o problema
detalhadamente
São muitos fatores de risco
Empresa virou uma grande teia de
comunicação integrada, dependente do fluxo de informações
Desafios da Gestão da Informação
Desafios da Gestão da Informação
Visão do Iceberg
◦ Muitas empresas, e seus executivos,
sofrem de uma miopia quanto a segurança, percebendo apenas os aspectos
tecnológicos dos riscos: tecnológicos dos riscos:
Redes
Computadores Vírus
Hackers Internet
Desafios da gestão da informação
Desafios da gestão da informação
Desafios da Gestão da Informação
Desafios da Gestão da Informação
Para o sucesso da implementação da
segurança da informação é
necessário mapear as características físicas, tecnológicas e humanas da físicas, tecnológicas e humanas da empresa, do mercado em que atua, dos concorrentes.
Desafios da Gestão da Informação
Desafios da Gestão da Informação
Desafios da Gestão da Informação
Desafios da Gestão da Informação
Macro aspectos considerados na
análise do contexto de segurança.
P E S S O A S PROCESSOS
Desafios da Gestão da Informação
Desafios da Gestão da Informação
Cada empresa possui características
particulares que levarão a aplicação de uma solução personalizada capaz de levá-la a
um nível de segurança também personalizado
Diferente do que muitos pensam, não existe
segurança total, e cada empresa deve segurança total, e cada empresa deve definir qual nível melhor lhe atende
◦ Um nível alto de segurança poderá gerar efeitos
colaterais, como perda de velocidade em função de burocratização de processos
Não existe risco zero. Sempre haverá risco,
e ele deve ser ajustado à natureza e à continuidade do negocio
Desafios da Gestão da Informação
Desafios da Gestão da Informação
Vulnerabilidades x Ameaças
Vulnerabilidades x Ameaças
Vulnerabilidades x Ameaças
Vulnerabilidades x Ameaças
Erros ao implantar segurança
Erros ao implantar segurança
Problema do iceberg: visão míope sobre
o problema
◦ Posicionamento hierárquico da equipe de
segurança abaixo da equipe de TI segurança abaixo da equipe de TI
◦ Definir investimentos subestimados e
limitados à abrangência dessa diretoria
◦ Tratar as atividades como despesa e não
Erros ao implantar segurança
Erros ao implantar segurança
Problema do iceberg: visão míope sobre
o problema
◦ Adotar ferramentas pontuais como medida
paliativa paliativa
◦ Satisfazer-se com a sensação de segurança
provocada por ações isoladas
◦ Não cultivar corporativamente a
mentalidade de segurança
◦ Tratar a segurança como um projeto e não
Conscientização do Corpo Executivo
Conscientização do Corpo Executivo
O problema da segurança da informação
tem caráter generalizado e corporativo
Deve-se iniciar os trabalhos no formato
Conscientização do Corpo Executivo
Conscientização do Corpo Executivo
Deve-se iniciar os trabalhos no formato
top-down (Por quê?)
◦ Mobilizando primeiro os executivos da diretoria,
para depois atingir os demais na hierarquia
◦ Isto garantira a possibilidade de se atingir
simultaneamente, e de forma igual, as simultaneamente, e de forma igual, as
vulnerabilidades de todos os ambientes e
processos da empresa, visto que os trabalhos estão apoiados pela cúpula da empresa
◦ Este apoio, contudo, não corresponde só a
sensibilização e percepção adequada dos riscos e problemas associados, mas também da
conseqüente priorização das ações e definição orçamentária à altura
Conscientização do Corpo Executivo
Conscientização do Corpo Executivo
Conscientização do Corpo Executivo
Conscientização do Corpo Executivo
Mas por que e tão difícil atingir esta
conscientização?
◦ Alto grau de subjetividade nas ações
relacionadas a segurança relacionadas a segurança
◦ Trata-se de um investimento que não se
materializa facilmente
◦ Só se mostra retorno quando ha algum
evento que põe a prova os mecanismos de controle
Conscientização do Corpo Executivo
Conscientização do Corpo Executivo
Algumas experiências bem-sucedidas,
anteriormente vividas pelos executivos, corroboram hoje com o desafio da
Conscientização do Corpo Executivo
Conscientização do Corpo Executivo
Bug do Ano 2000
ERP
ISO 9000
ISO 9000
Em todos os casos houve uma
conscientização da alta administração para posteriores ações (mudança de processos, criação de normas e procedimentos, ação corporativa)
Referências
Referências
SÊMOLA, Marcos. Gestão da
Segurança da Informação: Uma visão executiva. Rio de Janeiro:
Elsevier Editora, 2003. ISBN: Elsevier Editora, 2003. ISBN: 85-352-1191-8.
DIAS, Cláudia. Segurança e
Auditoria da Tecnologia da
Informação. 1a Edição. Editora Axcel