aulas-1-2

Segurança da

Informação

Agenda

Ementa

 Elementos básicos de segurança da

informação

 Políticas de segurança da informação  Gestão de segurança da informação  Conformidade.

Avaliações

M1 = 1 prova + ? M2 = 1 prova + ?

Objetivos

 Ao final desta disciplina, o aluno deverá

entender os princípios básicos de segurança da informação e gestão de segurança da

informação, sendo capaz de:

 implantar um programa segurança da informação  especificar contramedidas de segurança baseadas

Definições

 Seguro (Segurança)

 1 Livre de inquietações. 2 Sossegado. 3 Confiado.

4 Livre de perigo ou não exposto a ele. 5 Que oferece segurança contra ataques, acidentes,

desastres ou danos de qualquer outra natureza...

Definições

• Segurança – Security ou Safety?

– Security = garantia, guardar. Sistema da Receita

Federal que armazenas as declarações de IR.

– Safety = cuidado, precaução. Sistema que controla

Definições

 Informação

 1 Ato ou efeito de informar. 2 Transmissão de

notícias. 3 Instrução, ensinamento. 4 Transmissão de conhecimentos. 5 Opinião sobre o

procedimento de alguém. 6 Investigação. 7 Inquérito. Fonte: Dicionário Michaelis

Definições

 Informação ≠ Dados

 254-2 e 23654 são dados ou uma informações?

São apenas dados, mas não têm semântica nem utilidade.

 254-2 e 23654 são, respectivamente, a conta e a

Importância/Dependência

 Vivemos na era da informação, a informação é

o maior ativo das empresas da nova onda.

 “A informação e os processos de apoio,

sistemas e redes são importantes ativos para os negócios” Fonte: NBR/ISO/IEC 17799

 O que acontece se os sistemas perderem os

dados do BD ou simplesmente caírem?

Segurança da Informação (SI)

 “Segurança da informação é a proteção da

informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de

negócio.” Fonte: NBR/ISO/IEC 17799 -2005

 Criptografia

 Firewall

De que adianta toda a proteção

tecnológica ?

Moral da História

• As portas dos fundos são tão boas quanto as portas da frente.

• Uma corrente é tão forte quanto o seu elo mais fraco.

• Um invasor não tenta transpor as barreiras encontradas, mas contorná-las buscando o ponto mais vulnerável

Gestão de Segurança da Informação

 A SI é obtida a partir da implementação de um

conjunto de controles adequados.

 A Gestão da SI define como planejar, executar, verificar e agir

(PDCA) e avaliar essa SI

 É um componente estratégico ao negócio da empresa  Inclui políticas, processos, procedimentos, estruturas

organizacionais e funções de software e hardware.

 Estes controles precisam ser estabelecidos,

implementados, monitorados e analisados criticamente

Notícias em Jornais

• Anonymous rouba dados de funcionários de empresas de petróleo - Informações foram usadas para assinar petição on-line.

Shell, Exxon BP e duas empresas russas foram atacadas. Fonte: G1 (17/07/2012)

Notícias em Jornais

• O grupo hacker ativista Anonymous invadiu o site da Confederação Brasileira de Vôlei (CBV) e deixou uma mensagem contra a falta de

incentivo ao esporte no Brasil. A ação, que foi anunciada pelo Twitter, aconteceu após a

derrota da seleção brasileira de vôlei para a Rússia na manhã deste domingo. Fonte: Tribuna Hoje (12/08/2012)

Estatísticas

Definições

• Criptografia: codificação que permite proteger documentos

• Perfil de acesso: direitos de acesso a informação

Sociedade da Informação

• Se baseia em informações e exibe uma

crescente propensão para coletar e armazenar informações.

• A informação representa a inteligência competitiva dos negócios.

• A informação e o conhecimento são os

diferenciais das empresas e dos profissionais. • Informação = Maior ativo das Organizações

Definições sobre Informação

• Informação = Ativo da Organização

• Classificação da informação: grau de sigilo das informações

• É necessário conhecer o negócio

• Proprietário: profissional responsável pelos ativos da informação

• Custodiante: responsável por garantir que as informações estão de acordo com o

• Pública – pode ir a público, sem sigilo;

• Interna – deve evitar o acesso de pessoas externas. Mas se ocorrer não é sério.

23/08/12

Níveis de Classificação das

Informações

• Reservada - conhecimento e uso é restrito a um grupo de específico ou áreas. Não é desejado que os demais grupos acessem essa informação.

• Confidencial – restrita aos limites da empresa, cuja

divulgação ou perda pode levar a desequilíbrio operacional e perdas financeiras.

• Secreta – crítica para as atividades da empresa, cuja

integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas.

23/08/12

Níveis de Classificação das

Informações

Princípios Básicos da Segurança da

Informação

• Confidencialidade: garantir que a informação

é acessível somente por pessoas autorizadas;

• Integridade: garantir a exatidão e completeza

da informação e que eles não foram modificados indevidamente;

• Disponibilidade: garantir que as pessoas

autorizadas possam acessar à informação sempre que necessário.

Princípios Adicionais da Segurança

da Informação

• Autenticidade: garantir veracidade do emissor

e do receptor de uma msg.

• Irrefutabilidade (não-repúdio): garantir que o

autor não negue ter criado, assinado ou enviado o documento.

• Tempestividade: garantir que uma informação

• Irretroatividade: garantir que não permite a

geração de msgs de forma retroativa no tempo.

• Legalidade: garantir embasamento legal para

as operações realizadas.

23/08/12

Princípios Adicionais da Segurança

da Informação

Ativos

• Qualquer coisa que tenha valor para a organização

Vulnerabilidades

• São os pontos fracos associados aos ativos que pode ser explorada por uma ou mais ameaças

• Banco de Dados:

• Ausência de backups

• Instalações elétricas:

• Instabilidade na rede elétrica

• Rede de comunicações:

Ameaças

• Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.

• Fonte: [ISO/IEC 13335-1:2004]

• As ameaças podem por a prova as vulnerabilidades

Ameaças

• Banco de dados:

• Crash ou ocorrência de BadBlock no HD

• Instalação elétrica:

• Oscilação da rede elétrica • Tempestade

• Rede de comunicação:

Probabilidade: Chance percentual que temos de

um incidente ocorrer.

Impacto: Resultado ou efeito decorrente da

materialiazação do Risco.

23/08/12

Riscos

• Combinação da probabilidade de um evento e de suas consequências (impactos). Fonte: [ABNT ISO/IEC Guia 73:2005]

• Possível evento/ação que, se efetuado, gera impacto negativo, considerando a

Riscos

• Indisponibilidade da informação • Perda de credibilidade e imagem • Perda de confidencialidade

Fontes para Estabelecer

Requisitos de SI

• Análise e avaliação de riscos

• identificar as ameaças aos ativos, as vulnerabilidades, realizar uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

• Legislação vigente, os estatutos, a

regulamentação e as cláusulas contratuais • Conjunto de princípios, objetivos e os

• Estratégia de avaliar os riscos deve:

• Ser capas de estabelecer o seu escopo • Assegurar uma metodologia

• Se responsabilizar pela identificação da solução de controle definitiva

• Análises

• Qualitativa: uso da percepção (mais subjetiva).

• Quantitativa: calcula valores caso o risco se materialize

23/08/12

Análise Qualitativa

• R = P x D • Onde:

– R: risco

– P: probabilidade de um ameaça se concretizar – D: extensão dos danos

Análise Qualitativa – Exemplo

Simples

• O invasor obtém as credenciais de autenticação monitorando a rede:

• R = 8 x 10 = 80 (escala: 0-100)

• Os comandos do SQL são injetados na aplicação:

Análise Qualitativa – Exemplo

DREAD

– Damage - Quão danoso pode ser o ataque?

– Reproducibility - Quão fácil é para reproduzir o

ataque?

– Exploitability - Quão trabalhoso é para lançar o

ataque?

– Affected users - Quantas pessoas serão impactadas? – Discovery - Quão fácil é para descobrir a ameaça?

Tratamento e Controle dos Riscos

• Definição do plano de ação sobre os riscos e seleção dos controles

• Aceitos - Não tratar, apenas conhecer e objetivamente aceitar os riscos;

• Riscos Minimizados - Reduzir, aplicar controles de segurança para reduzir os riscos

• Riscos Eliminados (Prevenidos) – Evitar e não permitir ações que poderiam causar os riscos;

• Riscos Transferidos - Transferir os riscos a terceiros;

Exercício 1

• Entre os tipos de controle abaixo, aquele que é feito para diminuir a probabilidade de

ocorrência de uma ameaça é o controle

• a) corretivo • b) detectivo • c) efetivo

• c) preventivo • e) recuperação

• Alguém recebeu uma mensagem e gostaria de ter certeza que seu conteúdo não foi alterado indevidamente por outra pessoa. Assinale a alternativa que indica o princípio que garante o objetivo acima. • a) Confiabilidade • b) Disponibilidade • c) Integridade • d) Legalidade • e) Não repúdio

Exercício 2

• Efetuei o cálculo do risco com a fórmula R = P x D para:

• Invasão da sua conta de e-mail através da adivinhação de sua senha.

• Destruição dos registros de suas notas na Fatec por um ciclone.

• Roubo de pentes de memória RAM dos computadores do laboratório. (Obs.: Cada pente de memória custa em

média R$100,00

• Qual do plano de ação você definiria para cada um?

• Efetuei o cálculo do risco com a tabela DREAD para as ameaças do exercício anterior

• Redefina o plano de ação novamente com o novo resultado.

Bibliografia

• [1] Gestão da Segurança da Informação: Uma Visão Executiva,

Sêmola, Marcos, Campus, 2003.

• [2] NBR/ISO/IEC 17799Tecnologia da Informação: Código de

Prática para a Gestão da Segurança da Informação.

• [3] Centro de Estudos, Resposta e Tratamento de Incidentes de

Segurança no Brasil -CERT.br, http://www.cert.br

• [4] Microsoft Corporation,