Segurança da
Informação
Agenda
Apresentação Ementa Avaliação Bibliografia da Disciplina Objetivos DefiniçõesEmenta
Elementos básicos de segurança da
informação
Políticas de segurança da informação Gestão de segurança da informação Conformidade.
Avaliações
M1 = 1 prova + ? M2 = 1 prova + ?
Objetivos
Ao final desta disciplina, o aluno deverá
entender os princípios básicos de segurança da informação e gestão de segurança da
informação, sendo capaz de:
implantar um programa segurança da informação especificar contramedidas de segurança baseadas
Definições
Seguro (Segurança)
1 Livre de inquietações. 2 Sossegado. 3 Confiado.
4 Livre de perigo ou não exposto a ele. 5 Que oferece segurança contra ataques, acidentes,
desastres ou danos de qualquer outra natureza...
Definições
• Segurança – Security ou Safety?
– Security = garantia, guardar. Sistema da Receita
Federal que armazenas as declarações de IR.
– Safety = cuidado, precaução. Sistema que controla
Definições
Informação
1 Ato ou efeito de informar. 2 Transmissão de
notícias. 3 Instrução, ensinamento. 4 Transmissão de conhecimentos. 5 Opinião sobre o
procedimento de alguém. 6 Investigação. 7 Inquérito. Fonte: Dicionário Michaelis
Definições
Informação ≠ Dados
254-2 e 23654 são dados ou uma informações?
São apenas dados, mas não têm semântica nem utilidade.
254-2 e 23654 são, respectivamente, a conta e a
Importância/Dependência
Vivemos na era da informação, a informação é
o maior ativo das empresas da nova onda.
“A informação e os processos de apoio,
sistemas e redes são importantes ativos para os negócios” Fonte: NBR/ISO/IEC 17799
O que acontece se os sistemas perderem os
dados do BD ou simplesmente caírem?
Segurança da Informação (SI)
“Segurança da informação é a proteção da
informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de
negócio.” Fonte: NBR/ISO/IEC 17799 -2005
Criptografia
Firewall
De que adianta toda a proteção
tecnológica ?
Moral da História
• As portas dos fundos são tão boas quanto as portas da frente.
• Uma corrente é tão forte quanto o seu elo mais fraco.
• Um invasor não tenta transpor as barreiras encontradas, mas contorná-las buscando o ponto mais vulnerável
Gestão de Segurança da Informação
A SI é obtida a partir da implementação de um
conjunto de controles adequados.
A Gestão da SI define como planejar, executar, verificar e agir
(PDCA) e avaliar essa SI
É um componente estratégico ao negócio da empresa Inclui políticas, processos, procedimentos, estruturas
organizacionais e funções de software e hardware.
Estes controles precisam ser estabelecidos,
implementados, monitorados e analisados criticamente
Notícias em Jornais
• Anonymous rouba dados de funcionários de empresas de petróleo - Informações foram usadas para assinar petição on-line.
Shell, Exxon BP e duas empresas russas foram atacadas. Fonte: G1 (17/07/2012)
Notícias em Jornais
• O grupo hacker ativista Anonymous invadiu o site da Confederação Brasileira de Vôlei (CBV) e deixou uma mensagem contra a falta de
incentivo ao esporte no Brasil. A ação, que foi anunciada pelo Twitter, aconteceu após a
derrota da seleção brasileira de vôlei para a Rússia na manhã deste domingo. Fonte: Tribuna Hoje (12/08/2012)
Estatísticas
Definições
• Criptografia: codificação que permite proteger documentos
• Perfil de acesso: direitos de acesso a informação
Sociedade da Informação
• Se baseia em informações e exibe uma
crescente propensão para coletar e armazenar informações.
• A informação representa a inteligência competitiva dos negócios.
• A informação e o conhecimento são os
diferenciais das empresas e dos profissionais. • Informação = Maior ativo das Organizações
Definições sobre Informação
• Informação = Ativo da Organização
• Classificação da informação: grau de sigilo das informações
• É necessário conhecer o negócio
• Proprietário: profissional responsável pelos ativos da informação
• Custodiante: responsável por garantir que as informações estão de acordo com o
• Pública – pode ir a público, sem sigilo;
• Interna – deve evitar o acesso de pessoas externas. Mas se ocorrer não é sério.
23/08/12
Níveis de Classificação das
Informações
• Reservada - conhecimento e uso é restrito a um grupo de específico ou áreas. Não é desejado que os demais grupos acessem essa informação.
• Confidencial – restrita aos limites da empresa, cuja
divulgação ou perda pode levar a desequilíbrio operacional e perdas financeiras.
• Secreta – crítica para as atividades da empresa, cuja
integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas.
23/08/12
Níveis de Classificação das
Informações
Princípios Básicos da Segurança da
Informação
• Confidencialidade: garantir que a informação
é acessível somente por pessoas autorizadas;
• Integridade: garantir a exatidão e completeza
da informação e que eles não foram modificados indevidamente;
• Disponibilidade: garantir que as pessoas
autorizadas possam acessar à informação sempre que necessário.
Princípios Adicionais da Segurança
da Informação
• Autenticidade: garantir veracidade do emissor
e do receptor de uma msg.
• Irrefutabilidade (não-repúdio): garantir que o
autor não negue ter criado, assinado ou enviado o documento.
• Tempestividade: garantir que uma informação
• Irretroatividade: garantir que não permite a
geração de msgs de forma retroativa no tempo.
• Legalidade: garantir embasamento legal para
as operações realizadas.
23/08/12
Princípios Adicionais da Segurança
da Informação
Ativos
• Qualquer coisa que tenha valor para a organização
Vulnerabilidades
• São os pontos fracos associados aos ativos que pode ser explorada por uma ou mais ameaças
• Banco de Dados:
• Ausência de backups
• Instalações elétricas:
• Instabilidade na rede elétrica
• Rede de comunicações:
Ameaças
• Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.
• Fonte: [ISO/IEC 13335-1:2004]
• As ameaças podem por a prova as vulnerabilidades
Ameaças
• Banco de dados:
• Crash ou ocorrência de BadBlock no HD
• Instalação elétrica:
• Oscilação da rede elétrica • Tempestade
• Rede de comunicação:
Probabilidade: Chance percentual que temos de
um incidente ocorrer.
Impacto: Resultado ou efeito decorrente da
materialiazação do Risco.
23/08/12
Riscos
• Combinação da probabilidade de um evento e de suas consequências (impactos). Fonte: [ABNT ISO/IEC Guia 73:2005]
• Possível evento/ação que, se efetuado, gera impacto negativo, considerando a
Riscos
• Indisponibilidade da informação • Perda de credibilidade e imagem • Perda de confidencialidade
Fontes para Estabelecer
Requisitos de SI
• Análise e avaliação de riscos
• identificar as ameaças aos ativos, as vulnerabilidades, realizar uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.
• Legislação vigente, os estatutos, a
regulamentação e as cláusulas contratuais • Conjunto de princípios, objetivos e os
• Estratégia de avaliar os riscos deve:
• Ser capas de estabelecer o seu escopo • Assegurar uma metodologia
• Se responsabilizar pela identificação da solução de controle definitiva
• Análises
• Qualitativa: uso da percepção (mais subjetiva).
• Quantitativa: calcula valores caso o risco se materialize
23/08/12
Análise Qualitativa
• R = P x D • Onde:
– R: risco
– P: probabilidade de um ameaça se concretizar – D: extensão dos danos
Análise Qualitativa – Exemplo
Simples
• O invasor obtém as credenciais de autenticação monitorando a rede:
• R = 8 x 10 = 80 (escala: 0-100)
• Os comandos do SQL são injetados na aplicação:
Análise Qualitativa – Exemplo
DREAD
– Damage - Quão danoso pode ser o ataque?
– Reproducibility - Quão fácil é para reproduzir o
ataque?
– Exploitability - Quão trabalhoso é para lançar o
ataque?
– Affected users - Quantas pessoas serão impactadas? – Discovery - Quão fácil é para descobrir a ameaça?
Tratamento e Controle dos Riscos
• Definição do plano de ação sobre os riscos e seleção dos controles
• Aceitos - Não tratar, apenas conhecer e objetivamente aceitar os riscos;
• Riscos Minimizados - Reduzir, aplicar controles de segurança para reduzir os riscos
• Riscos Eliminados (Prevenidos) – Evitar e não permitir ações que poderiam causar os riscos;
• Riscos Transferidos - Transferir os riscos a terceiros;
Exercício 1
• Entre os tipos de controle abaixo, aquele que é feito para diminuir a probabilidade de
ocorrência de uma ameaça é o controle
• a) corretivo • b) detectivo • c) efetivo
• c) preventivo • e) recuperação
• Alguém recebeu uma mensagem e gostaria de ter certeza que seu conteúdo não foi alterado indevidamente por outra pessoa. Assinale a alternativa que indica o princípio que garante o objetivo acima. • a) Confiabilidade • b) Disponibilidade • c) Integridade • d) Legalidade • e) Não repúdio
Exercício 2
• Efetuei o cálculo do risco com a fórmula R = P x D para:
• Invasão da sua conta de e-mail através da adivinhação de sua senha.
• Destruição dos registros de suas notas na Fatec por um ciclone.
• Roubo de pentes de memória RAM dos computadores do laboratório. (Obs.: Cada pente de memória custa em
média R$100,00
• Qual do plano de ação você definiria para cada um?
• Efetuei o cálculo do risco com a tabela DREAD para as ameaças do exercício anterior
• Redefina o plano de ação novamente com o novo resultado.
Bibliografia
• [1] Gestão da Segurança da Informação: Uma Visão Executiva,
Sêmola, Marcos, Campus, 2003.
• [2] NBR/ISO/IEC 17799Tecnologia da Informação: Código de
Prática para a Gestão da Segurança da Informação.
• [3] Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil -CERT.br, http://www.cert.br
• [4] Microsoft Corporation,