Segurança
da
Informação
Premissa:
O
mundo vive a Internet
...
Verdade:
Dados 2006:
da Pesquisa Nacional de Segurança da Informação –
- Para 60% dos entrevistados a internet é o principal ponto de invasão de seus sistemas;
- 78% acreditam que ameaças, riscos e ataques deverão aumentar consideravelmente em 2007;
- 32% dos entrevistados acham que Hackers (ou Crackers?) são os principais responsáveis por ataques
sistemas corporativos;
e invasões de
28% não conseguem sequer identificar os
Dado:
- o número de ataques e invasões subiu de 43% em 2002 para 77% em 2003, ou seja,
aproximandamente 77%
um aumento de
Fato:
- Segundo dados divulgados pelo FBI (Federal Beareau of Investigation – Beareau Federal de Investigação – Policia
Federal Americana), em quase 90% dos casos de invasão bem
sucedidas a servidores corporativos os usuários de rede (usuários autorizados) tiveram algum nível de parcela de culpa.
- Quais as culpas: - - - - -
senhas mal escolhidas;
empregados descontentes (salário, posição, etc.); espionagem industrial;
pirataria;
Motivação: - “ - “ Hacker:
... Hoje vou invadir aquele servidor de qualquer jeito ...” Cracker:
... Vamos ver quantos “trouxas” responderam àquele scam que disseminei via e-mail ontem. Será que o “laranja”
mandou algum dinheiro? Quero fazer compras hoje ... “ - Script-Kiddie (Lammer):
“ ... Será que vou conseguir invadir a máquina de alguém hoje com aquele programinha que baixei ontem de madrugada?”
Motivação:
- Usuário final da sua empresa (ao acordar):
“ ... Hoje vou ferrar a vida daquele administrador de rede “mala” que não
isso?”
me deixa fazer nada ... Mas como vou fazer
- Administrador “ Nossa já é de
da Rede (com olheiras):
manhã? Vou ver o que detectou o meu servidor ... Deve ter tido pelo menos uma 10 tentativas invasão na rede ... fora os “bios” da empresa que vão arrumar para a minha cabeça ... “
Armas dos “inimigos”:
- Todo o tipo de ferramentas que existe na Internet ;
- Negligência do Administrador de Redes;
- Falta de conhecimento do Administrador de Redes;
- Falta de infra-estrutura e equipamentos;
Armas do Administrador de Redes:
- Conhecimento ;
- Comprometimento;
- Norma ABNT NBR ISO/IEC 17799:2005 (em fase final ISO/IEC 17799:2007);
- Infra-estrutura e equipamentos;
Fases da Política de Segurança:
- Projeto*;
- Implementação*;
- Implantação*.
Armas do Administrador de Redes:
- Conhecimento ;
- Comprometimento;
- Norma ABNT NBR ISO/IEC 27002:2005 (continua sendo considerada formalmente como 17799:2005 para fins
históricos.);
- Infra-estrutura e equipamentos;
Relatório da consultoria Ernst & Young, realizado junto a mais de 1.600 organizações de 66 países e apresentado em 2003, indica os seguintes resultados auspiciosos (E&Y, 2003):
- 90% das organizações respondentes indicam que a segurança da informação é de alta importância que atinjam seus objetivos;
- 78% das organizações indicam a redução do risco como a maior influência decisória sobre onde investir em segurança da informação.
- mais de 34% das organizações se reconhecem incapazes de determinar se seus sistemas de informação estão sob ataque;
- mais de 33% das organizações reconhecem ter capacidade inadequada para responder a incidentes de segurança da informação;
- 56% das organizações alegam ter em um orçamento insuficiente o principal obstáculo a uma postura eficiente no tocante à segurança da informação;
- apenas 35% das organizações alegam possuir programas permanentes de educação e alerta quanto à segurança da informação.
Em outubro de 2003 a Módulo Security Solutions S.A., a principal empresa de segurança tecnológica da informação no Brasil, apresentou os resultados de sua Nona Pesquisa Nacional de Segurança da Informação, que foram:
- 42% das empresas tiveram incidentes de segurança da informação nos seis meses anteriores à pesquisa;
- 35% das empresas reconheceram perdas financeiras devido a tais incidentes;
- o percentual de empresas que informa ter sofrido ataques subiu de 43% em 2002 para 77% em 2003;
- 32% dos respondentes apontaram hackers como responsáveis pelos incidentes reportados; - para 78% dos respondentes os riscos e os ataques aumentariam em 2004;
- 48% não possuíam plano de ação formalizado para o caso de invasões e ataques; - 60% indicam a internet como o principal ponto de invasão de seus sistemas;
- a falta de consciência dos executivos é apontada por 23% dos respondentes como o principal obstáculo para a implementação de segurança, enquanto 18% alegaram ser a dificuldade em justificar o retorno do investimento, 16% o custo de implementação e apenas 6% apontaram a falta de orçamento.
Quando perguntadas às empresas sobre a principal ameaça à segurança da informação nas empresas, as respostas obtidas foram:
No Brasil, o mais citado centro sem fins lucrativos de fomento à segurança da informação, no âmbito da internet, é o Network Information Center Security Office – NBSO, mantido pelo Comitê Gestor da Internet no Brasil, órgão governamental com representantes da sociedade. Um demonstrativo da quantidade
mostrado na Figura:
Relatório SECUNIA (2007):
- o Red Hat Linux apresentou 633 falhas, sendo 629 relacionadas a componentes de terceiros (não incluiu a distribuição Fedora);
- o Solaris fica em segundo lugar, com 252 falhas e 80% delas relacionadas a componentes de terceiros;
- em terceiro está o Mac OS terceiros.
X, com 235 e 62% relacionadas a componentes de - o Windows, que aparece em
96%
quarto delas
no ranking dos mais vulneráveis, apresentou 123 falhas, mas estavam relacionadas diretamente ao sistema
terceiros;
operacional, mas apenas 4% delas foram relacionadas a componentes de - O HP-UX
terceiros.