Segurança
Segurança e Auditoria de
e Auditoria de
Sistemas
Sistemas
Introdução
Introdução à à SegurançaSegurança de de SistemasSistemas
Prof. Filipe Nunes Ribeiro
Introdução
Introdução
Introdução
Por quê a nossa sociedade é
considerada a Sociedade da considerada a Sociedade da
Introdução
Introdução
Por quê a nossa sociedade é
considerada a Sociedade da
Informação? Informação?
Introdução
Introdução
Como o Google se tornou uma
potência? potência?
Introdução
Introdução
Como o Google se tornou uma
potência? potência?
A informação é muito valiosa
A informação é muito valiosa
Fraldas e cervejas
A informação é muito valiosa
A informação é muito valiosa
Itaú e cartas
A informação é muito valiosa
A informação é muito valiosa
Mudanças no tratamento da
Mudanças no tratamento da
informação
informação
Antes: informações tratadas de forma
centralizada e pouco automatizada
Aos poucos, os computadores com Aos poucos, os computadores com
acesso às informações foram
tomando conta, inicialmente um por departamento e posteriormente por todo os lados.
◦ Paralelamente surgiram as redes e facilidade de comunicação de dados
Mudanças no tratamento da
Mudanças no tratamento da
informação
informação
Atualmente, informações contidas em
sistemas computacionais são consideradas recursos críticos
◦ Concretização de negócios de empresas ◦ Tomada de decisão
Quais informações ?
Quais informações ?
Segredos de negócio
Análise de mercado da concorrência Dados operacionais históricos
E se a informação for roubada,
E se a informação for roubada,
perdida ou seu acesso for
perdida ou seu acesso for
interrompido?
interrompido?
Concorrência pode lançar um produto
novo no mercado antes. Prejuízos diretos
Prejuízos diretos
Quais são as ameaças?
Quais são as ameaças?
Quais são as ameaças?
Quais são as ameaças?
Desastres naturais
Invasão do sistema via rede
“Extravio” de informações por pessoas
confiáveis confiáveis
Quebra da segurança através de
Introdução
Introdução -- Questionamentos
Questionamentos
Quão dependendes somos?
Conseguimos ficar uma semana sem nossos computadores e sistemas?
Quais computadores e sistemas não
podem parar?
Quais computadores e sistemas não
podem parar?
Quão sensíveis somos? Que
informações não podem cair nas mãos de nossos concorrentes? Que
Introdução
Introdução -- Questionamentos
Questionamentos
Onde mora o perigo? Em agentes
externos ao negócio, ou entre os próprios empregados da empresa?
Qual contexto ocasionou esse
Qual contexto ocasionou esse
cenário?
cenário?
Crescimento sistemático da digitalização de informações Crescimento exponencial da conectividade da empresa conectividade da empresaCrescimento das relações eletrônicas
entre empresas
Crescimento exponencial do
Qual contexto ocasionou esse
Qual contexto ocasionou esse
cenário?
cenário?
Acesso à Internet
Baixo nível de identificação do usuário
no acesso gratuito à Internet. no acesso gratuito à Internet.
Disponibilidade de grande diversidade
Qual contexto ocasionou esse
Qual contexto ocasionou esse
cenário?
cenário?
Carência de legislação que puna atos
ilícitos em meio eletrônico
Quem invade é um “gênio/herói”
Vários perfis de ameaça: concorrente, Vários perfis de ameaça: concorrente,
sabotador, adolescente, hacker, funcionário insatisfeito, etc.
Crescente valorização da informação
como principal ativo de gestão de empresas
Exemplo de “extravio” da
Exemplo de “extravio” da
informação
informação
Reunião estratégica da empresa Decisões anotadas em papel
Papel guardado em um cofre
Posteriormente a secretária fica Posteriormente a secretária fica
responsável por digitar as
informações confidenciais e
enviá-las a todos os participantes da reunião
Por fim, a secretária descarta o papel
Sugestões de como ter mais
Sugestões de como ter mais
segurança
segurança
O que fazer para termos mais segurança O que fazer para termos mais segurança
no ambiente empresarial?
Sugestões de como ter mais
Sugestões de como ter mais
segurança
segurança
Software: firewall, sistemas de detecção de
intrusos, anti-vírus.
Identificação para entrar na empresa
Câmeras de segurança
Políticas de segurança.
Estabelecimento de responsabilidades
Sugestões de como ter mais
Sugestões de como ter mais
segurança
segurança
Segurança da informação não é uma
ciência exata.
Gestão de riscos
◦ É preciso:
◦ Conhecer, planejar, agir, auditar, educar, monitorar, aprender e gerenciar.
Objetivos da segurança
Objetivos da segurança
Proteção das informações não
importando onde estejam (papel, memória do computador, em um disquete, trafegando em uma
disquete, trafegando em uma chamada telefônica)
Objetivos da segurança
Objetivos da segurança
Proteção das informações não
importando onde estejam (papel, memória do computador, em um disquete, trafegando em uma
disquete, trafegando em uma chamada telefônica)
Certo?
Objetivos da Segurança
Objetivos da Segurança
Para identificar os objetivos mais
prioritários para uma organização é essencial fazer uma análise da
natureza da aplicação, dos riscos e natureza da aplicação, dos riscos e impactos prováveis.
Em geral, alguns pontos devem ser
Objetivos da Segurança
Objetivos da Segurança
Confidencialidade: proteger as
informações contra acesso de
qualquer pessoa não explicitamente autorizada pelo dono da informação, autorizada pelo dono da informação, isto é, as informações e processos são liberados apenas para pessoas autorizadas.
Objetivos de Segurança
Objetivos de Segurança
Integridade de dados: evitar que
dados sejam apagados ou de certa forma alterados, sem a permissão do proprietário da informação.
Objetivos de Segurança
Objetivos de Segurança
Disponibilidade: proteger os serviços
de informática de tal forma que não sejam degradados ou tornados
indisponíveis sem a devida indisponíveis sem a devida autorização.
Objetivos de Segurança
Objetivos de Segurança
Consistência: certificar-se de que o
sistema atua de acordo com as expectativas dos usuários
autorizados. autorizados.
Objetivos de Segurança
Objetivos de Segurança
Isolamento ou uso legítimo: regular o
acesso. O acesso não autorizado é sempre um problema, pois além de
ser necessário identificar que acessou ser necessário identificar que acessou e como, é preciso se certificar de que nada importante do sistema foi
Objetivos de Segurança
Objetivos de Segurança
Auditoria: proteger os sistemas contra
erros e atos maliciosos cometidos por usuários autorizados.
Objetivos de Segurança
Objetivos de Segurança
Confiabilidade: garantir que, mesmo
sem condições adversas, o sistema atuará conforme o esperado.
Objetivos de Segurança
Objetivos de Segurança
Qual é mais importante?
Confidencialidade Integridade Disponibilidade Consistência Isolamento Auditoria Confiabilidade
Objetivos de Segurança
Objetivos de Segurança
Objetivos de Segurança
Objetivos de Segurança
Sistema de e-commerce da DELL
Objetivos de Segurança
Objetivos de Segurança
Sistemas militares de segurança
Objetivos de Segurança
Objetivos de Segurança
Sistemas militares de segurança
nacional
Privacidade
Objetivos de Segurança
Objetivos de Segurança
Sistemas bancários
◦ Integridade ◦ Auditoria
Objetivos de Segurança
Objetivos de Segurança
Sistemas bancários ◦ Integridade ◦ Auditoria Confidencialidade DisponibilidadeCiclo de vida da informação
Ciclo de vida da informação
Manuseio
◦ Momento em que a informação é criada e manipulada
◦ Folhear um maço de papeis, digitar informações recém-geradas em uma informações recém-geradas em uma aplicação ou mesmo utilizar sua senha para autenticaçao
Ciclo de vida da informação
Ciclo de vida da informação
Armazenamento
◦ Momento em que a informação é armazenada
◦ Banco de dados compartilhado, em uma anotação de papel, pen drive guardado na anotação de papel, pen drive guardado na gaveta de trabalho
Ciclo de vida da informação
Ciclo de vida da informação
Transporte
◦ Momento em que a informação é transportada
◦ Encaminhar informações por correio eletrônico, postar um documento via eletrônico, postar um documento via aparelho de fax, falar ao telefone uma informação confidencial
Ciclo de vida da informação
Ciclo de vida da informação
Descarte
◦ Momento em que a informação é descartada
◦ Depositar na lixeira material impresso, eliminar um arquivo eletrônico do seu eliminar um arquivo eletrônico do seu computador, descartar um CD/DVD que apresentou falha na leitura.
Ciclo de vida da Informação
Ciclo de vida da Informação
Como/ O Quê proteger?
Como/ O Quê proteger?
Perguntas
◦ O que se quer proteger?
◦ Contra que ou contra quem? ◦ Contra que ou contra quem?
◦ Quais são as ameaças mais prováveis? ◦ Qual a importância de cada recurso?
Como /
Como / O Quê proteger?
O Quê proteger?
Perguntas
◦ Quanto tempo, recursos financeiros, e
humanos se pretende gastar para atingir os objetivos de segurança desejados?
◦ Quais as expectativas dos usuários e ◦ Quais as expectativas dos usuários e
clientes em relação à segurança de informações?
◦ Quais as consequências para a instituição se seus sistemas e informações forem
Referências
Referências
SÊMOLA, Marcos. Gestão da
Segurança da Informação: Uma visão executiva. Rio de Janeiro:
Elsevier Editora, 2003. ISBN: Elsevier Editora, 2003. ISBN: 85-352-1191-8.
DIAS, Cláudia. Segurança e
Auditoria da Tecnologia da
Informação. 1a Edição. Editora Axcel