Aula3

(1)

Segurança

Segurança e Auditoria de

e Auditoria de

Sistemas

Introdução

Introdução à à SegurançaSegurança de de SistemasSistemas

Prof. Filipe Nunes Ribeiro

Introdução

(2)

Sugestões de como ter mais

segurança

Segurança da informação não é uma

ciência exata.

Gestão de riscos

◦ É preciso:

◦ Conhecer, planejar, agir, auditar, educar,

(3)

Objetivos da segurança

Proteção das informações não

importando onde estejam (papel, memória do computador, em um disquete, trafegando em uma

disquete, trafegando em uma chamada telefônica)

(4)

Objetivos da segurança

Proteção das informações não

importando onde estejam (papel, memória do computador, em um disquete, trafegando em uma

disquete, trafegando em uma chamada telefônica)

Certo?

(5)

Objetivos da Segurança

Para identificar os objetivos mais

prioritários para uma organização é essencial fazer uma análise da

natureza da aplicação, dos riscos e natureza da aplicação, dos riscos e impactos prováveis.

Em geral, alguns pontos devem ser

(6)

Objetivos da Segurança

Confidencialidade: proteger as

informações contra acesso de

qualquer pessoa não explicitamente autorizada pelo dono da informação, autorizada pelo dono da informação, isto é, as informações e processos são liberados apenas para pessoas autorizadas.

(7)

Objetivos de Segurança

Integridade de dados: evitar que

dados sejam apagados ou de certa forma alterados sem a permissão do proprietário da informação.

(8)

Objetivos de Segurança

Disponibilidade: proteger os serviços

de informática de tal forma que não sejam degradados ou tornados

indisponíveis sem a devida indisponíveis sem a devida autorização.

(9)

Objetivos de Segurança

Consistência: certificar-se de que o

sistema atua de acordo com as expectativas dos usuários

autorizados. autorizados.

◦ Imagine um usuário solicitando a edição

de um arquivo. Por causa de um bug no editor de textos, o arquivo é apagado e o usuário perde todos os seus dados.

(10)

Objetivos de Segurança

Isolamento ou uso legítimo: regular o

acesso. O acesso não autorizado é sempre um problema, pois além de

ser necessário identificar que acessou ser necessário identificar que acessou e como, é preciso se certificar de que nada importante do sistema foi

(11)

Objetivos de Segurança

Auditoria: proteger os sistemas contra

erros e atos maliciosos cometidos por usuários autorizados.

(12)

Objetivos de Segurança

Confiabilidade: garantir que, mesmo

sem condições adversas, o sistema atuará conforme o esperado.

(13)

Objetivos de Segurança

Qual é mais importante?

Confidencialidade Integridade Disponibilidade Consistência Isolamento Auditoria Confiabilidade

(14)

Objetivos de Segurança

(15)

Objetivos de Segurança

Sistema de e-commerce da DELL

(16)

Objetivos de Segurança

Sistemas militares de segurança

(17)

Objetivos de Segurança

Sistemas militares de segurança

nacional

Privacidade

(18)

Objetivos de Segurança

Sistemas bancários

◦ Integridade ◦ Auditoria

(19)

Objetivos de Segurança

Sistemas bancários ◦ Integridade ◦ Auditoria Confidencialidade Disponibilidade

(20)

Ciclo de vida da informação

Manuseio

◦ Momento em que a informação é criada e

manipulada

◦ Folhear um maço de papeis, digitar

informações recém-geradas em uma informações recém-geradas em uma aplicação ou mesmo utilizar sua senha para autenticação

(21)

Ciclo de vida da informação

Armazenamento

◦ Momento em que a informação é

armazenada

◦ Banco de dados compartilhado, em uma

anotação de papel, pen drive guardado na anotação de papel, pen drive guardado na gaveta de trabalho

(22)

Ciclo de vida da informação

Transporte

transportada

◦ Encaminhar informações por correio

eletrônico, postar um documento via eletrônico, postar um documento via aparelho de fax, falar ao telefone uma informação confidencial

(23)

Ciclo de vida da informação

Descarte

descartada

◦ Depositar na lixeira material impresso,

eliminar um arquivo eletrônico do seu eliminar um arquivo eletrônico do seu computador, descartar um CD/DVD que apresentou falha na leitura.

(24)

Ciclo de vida da Informação

(25)

Como/ O Quê proteger?

Perguntas

◦ O que se quer proteger?

◦ Contra que ou contra quem? ◦ Contra que ou contra quem?

◦ Quais são as ameaças mais prováveis? ◦ Qual a importância de cada recurso?

(26)

Como / O Quê proteger?

Perguntas

◦ Quanto tempo, recursos financeiros, e

humanos se pretende gastar para atingir os objetivos de segurança desejados?

◦ Quais as expectativas dos usuários e ◦ Quais as expectativas dos usuários e

clientes em relação à segurança de informações?

◦ Quais as conseqüências para a instituição

se seus sistemas e informações forem corrompidos ou roubados?

(27)

Desafios da Gestão da Informação

É preciso identificar o problema

detalhadamente

São muitos fatores de risco

Empresa virou uma grande teia de

comunicação integrada, dependente do fluxo de informações

(28)

Desafios da Gestão da Informação

Visão do Iceberg

◦ Muitas empresas, e seus executivos,

sofrem de uma miopia quanto a segurança, percebendo apenas os aspectos

tecnológicos dos riscos: tecnológicos dos riscos:

Redes

Computadores Vírus

Hackers Internet

(29)

Desafios da gestão da informação

(30)

Desafios da Gestão da Informação

Para o sucesso da implementação da

segurança da informação é

necessário mapear as características físicas, tecnológicas e humanas da físicas, tecnológicas e humanas da empresa, do mercado em que atua, dos concorrentes.

(31)

Desafios da Gestão da Informação

(32)

Desafios da Gestão da Informação

Macro aspectos considerados na

análise do contexto de segurança.

P E S S O A S PROCESSOS

(33)

Desafios da Gestão da Informação

Cada empresa possui características

particulares que levarão a aplicação de uma solução personalizada capaz de levá-la a

um nível de segurança também personalizado

Diferente do que muitos pensam, não existe

segurança total, e cada empresa deve segurança total, e cada empresa deve definir qual nível melhor lhe atende

◦ Um nível alto de segurança poderá gerar efeitos

colaterais, como perda de velocidade em função de burocratização de processos

Não existe risco zero. Sempre haverá risco,

e ele deve ser ajustado à natureza e à continuidade do negocio

(34)

Desafios da Gestão da Informação

(35)

Vulnerabilidades x Ameaças

(36)

Vulnerabilidades x Ameaças

(37)

Erros ao implantar segurança

Problema do iceberg: visão míope sobre

o problema

◦ Posicionamento hierárquico da equipe de

segurança abaixo da equipe de TI segurança abaixo da equipe de TI

◦ Definir investimentos subestimados e

limitados à abrangência dessa diretoria

◦ Tratar as atividades como despesa e não

(38)

Erros ao implantar segurança

Problema do iceberg: visão míope sobre

o problema

◦ Adotar ferramentas pontuais como medida

paliativa paliativa

◦ Satisfazer-se com a sensação de segurança

provocada por ações isoladas

◦ Não cultivar corporativamente a

mentalidade de segurança

◦ Tratar a segurança como um projeto e não

(39)

Conscientização do Corpo Executivo

O problema da segurança da informação

tem caráter generalizado e corporativo

Deve-se iniciar os trabalhos no formato

(40)

Conscientização do Corpo Executivo

Deve-se iniciar os trabalhos no formato

top-down (Por quê?)

◦ Mobilizando primeiro os executivos da diretoria,

para depois atingir os demais na hierarquia

◦ Isto garantira a possibilidade de se atingir

simultaneamente, e de forma igual, as simultaneamente, e de forma igual, as

vulnerabilidades de todos os ambientes e

processos da empresa, visto que os trabalhos estão apoiados pela cúpula da empresa

◦ Este apoio, contudo, não corresponde só a

sensibilização e percepção adequada dos riscos e problemas associados, mas também da

conseqüente priorização das ações e definição orçamentária à altura

(41)

Conscientização do Corpo Executivo

(42)

Conscientização do Corpo Executivo

Mas por que e tão difícil atingir esta

conscientização?

◦ Alto grau de subjetividade nas ações

relacionadas a segurança relacionadas a segurança

◦ Trata-se de um investimento que não se

materializa facilmente

◦ Só se mostra retorno quando ha algum

evento que põe a prova os mecanismos de controle

(43)

Conscientização do Corpo Executivo

Algumas experiências bem-sucedidas,

anteriormente vividas pelos executivos, corroboram hoje com o desafio da

(44)

Conscientização do Corpo Executivo

Bug do Ano 2000

ERP

ISO 9000

Em todos os casos houve uma

conscientização da alta administração para posteriores ações (mudança de processos, criação de normas e procedimentos, ação corporativa)

(45)

Referências

SÊMOLA, Marcos. Gestão da

Segurança da Informação: Uma visão executiva. Rio de Janeiro:

Elsevier Editora, 2003. ISBN: Elsevier Editora, 2003. ISBN: 85-352-1191-8.

DIAS, Cláudia. Segurança e

Auditoria da Tecnologia da

Informação. 1a Edição. Editora Axcel