Introdução a Segurança da Informação e mecanismos de Proteção

  • View
    146

  • Download
    0

Embed Size (px)

Text of Introdução a Segurança da Informação e mecanismos de Proteção

  • Semana Cultural

    Introduo a Segurana da

    Informao e mecanismos de

    proteo

  • Informao um ativo que, como qualquer outro

    ativo importante para os negcios, tem valor para a

    organizao e consequentemente necessita ser

    adequadamente protegida.

    NBR ISO/IEC 27002:2005

    determinado pelo valor que o usurio d a ela.

    Enquanto um usurio pode considerar um dado pouco

    interessante, outros podem dar um valor maior ao mesmo.

    A rea de negcio no pode existir sem informao

    Em TI, a informao considerada um fator de produo

  • qualquer componente para qual a organizao atribui

    valor e est associado a alguma informao

    Uma organizao deve determinar quais ativos podem afetar a entrega de

    um produto ou servio pela ausncia ou deteriorao, ou causar dano a

    organizao atravs da perda de confidencialidade, integridade ou

    disponibilidade.

    Deve-se definir qual o valor de um ativo no caso de um incidente.

  • Impressa ou escrita em papel

    Mostrada em vdeo Armazenada eletronicamente Transmitida por correio eletrnico

    Verbal

    A forma em que a

    informao se apresenta, vai

    definir as medidas

    necessrias a sua proteo

  • Internas informaes que voc no

    gostaria que a concorrncia soubesse

    ou que impacte a rea de negcio.

    De clientes e fornecedores informaes que

    eles no gostariam que voc divulgasse.

    De parceiros informaes que

    necessitam ser compartilhadas com

    outros parceiros comerciais.

  • A informao pode ser:

    Criada

    Transmitida

    Processada

    Usada

    Armazenada

    Corrompida

    Perdida

    Destruda

  • Segurana da Informao a proteo da informao

    contra diversos tipos de ameaas para garantir a

    continuidade dos negcios, minimizar os danos aos

    negcios e maximizar o retorno dos investimentos e as

    oportunidades de negcio. ISO/IEC 27002:2005

    A Segurana da informao constituda por um

    conjunto de controles, polticas, processos,

    estrutura organizacionais e normas.

    Tem como objetivo a proteo da informao nos

    aspectos de confidencialidade, integridade e

    disponibilidade.

  • Assegurar que a informao acessvel somente as pessoas autorizadas Confidencialidade

    Proteger a exatido e a completeza da informao e dos mtodos de processamento

    Integridade

    Assegurar que os usurios autorizados tenham acesso a informao e ativos associados, quando necessrio

    Disponibilidade

  • Confidencialidade

    o grau no qual o acesso informao restrito para determinados grupos de

    pessoas autorizados a ter este acesso. Confidencialidade tambm inclui medidas de

    proteo a privacidade.

    Exemplos de medidas de confidencialidade

    Acesso a informao garantido somente onde necessrio

    Empregados tomam medidas para garantir que a informao no encontrada por

    aqueles que dela no necessitam.

    Gesto de acesso lgico garante que pessoas ou processos no autorizados no

    tenham acesso a sistemas automatizados, bases de dados ou programas.

    Uma separao criada entre o sistema de desenvolvimento da organizao, os

    processos da organizao e os usurios. Um desenvolvedor, por exemplo, no pode

    alterar salrios.

    Nos processos onde dados so utilizados, medidas so tomadas para garantir a

    privacidade das pessoas e terceiros.

  • Integridade

    o grau em que a informao atualizada sem erros. As caractersticas da

    integridade so ela ser correta e completa.

    Exemplos de medidas de integridade

    Mudana autorizadas de dados. Por exemplo: Alterao de um preo conforme

    definido pela administrao.

    As aes dos usurios so registradas e portanto pode-se determinar quem alterou

    determinada informao.

    Uso de criptografia para impedir acesso a informao e assegurar sua proteo.

  • Disponibilidade

    o grau no qual a informao est disponvel para o usurio e para o sistema de

    informao que est em operao no momento em que a organizao a requer.

    Caractersticas de disponibilidade

    Pontualidade: o sistema de informao est disponvel quando necessrio

    Continuidade: a organizao pode continuar trabalhando no caso de falha.

    Robustez: existe capacidade suficiente, o que permite que toda organizao trabalhe

    no sistema

    Exemplos de medidas de disponibilidade:

    Gesto e armazenamento de dados Ex: armazenados em rede, ao invs do HD

    Procedimentos de backup - armazenado em locais fsicos diferentes

    Procedimento de emergncia - garantia de que as atividades voltem a operar mais

    rpido possvel.

  • A internet tem nos proporcionado diversas facilidades

    Fazer amizades Ler notcias Diverso

    Compras Transaes bancrias

  • Riscos relacionados ao uso da internet:

    Contedo imprprio e ofensivo

    Boatos (Hoax)

    Phishing Pharming Invaso de privacidade

    Golpes de comrcio eletrnico

  • Ataques relacionados a internet:

    Explorao de vulnerabilidades

    Varredura de redes (scan)

    Falsificao de email (email-spoofing)

    Interceptao de trfego (sniffing)

    Fora bruta (brute force)

    Desfigurao de pginas (Defacement)

    Negao de servio (Denial of service)

    Preveno:

    Quanto menor a quantidade de computadores vulnerveis e infectados, menos

    eficazes sero os ataques de negao de servio.

    Quanto mais consciente dos mecanismos de segurana voc estiver, menores so

    as chances de sucesso do atacante.

    Quanto melhores forem as suas senhas, menores so as chances de sucesso de

    ataques de fora bruta

    Quanto mais os usurios usarem criptografia para proteger os dados no

    computador ou internet, menores so as chances de trfego de texto claro ser

    interceptados.

  • Como se proteger?

    Poltica de segurana

    Contas e senhas

    Criptografia

    Cpias de segurana (backup) Registro de eventos (Logs)

    Ferramentas antimalware

    Firewall

  • Poltica de segurana

    a poltica que governa toda a abordagem

    da organizao quanto ao gerenciamento de

    segurana da informao, deve cobrir todas

    as reas de segurana, ser apropriada, estar

    disponvel a todos os clientes, usurios e

    equipe de TI e atender s necessidades do

    negcio.

    Poltica de senhas: define as regras sobre o uso de senhas nos recursos computacionais,

    como tamanho mnimo e mximo, regra de formao e periodicidade de troca.

    Poltica de backup: define as regras sobre a realizao de cpias de segurana, como tipo

    de mdia utilizada, perodo de reteno e frequncia de execuo.

    Poltica de privacidade: define como so tratadas as informaes pessoais, sejam elas de

    clientes, usurios ou funcionrios.

    Poltica de confidencialidade: define como so tratadas as informaes institucionais, ou

    seja, se elas podem ser repassadas a terceiros.

    Poltica de uso aceitvel (PUA): define as regras de uso dos recursos computacionais, os

    direitos e as responsabilidades de quem os utiliza e as situaes que so consideradas

    abusivas.

  • Contas e senhas

    3 mecanismos bsicos de autenticao:

    Aquilo que voc . (impresso digital, voz, ris, etc)

    Aquilo que voc possui. (token gerador de senhas)

    Aquilo que voc sabe. (perguntas de segurana)

    Identificao nica de um usurio em um computador ou servios

  • Contas e senhas

    Cuidados a serem tomados ao usar suas contas e senhas:

    Certifique-se de no estar sendo observado ao digitar as suas senhas.

    No fornea a sua senha para outra pessoa, em hiptese alguma.

    Certifique-se de fechar a sua sesso ao acessar sites que requeiram o uso de

    senhas. (logout).

    Elabore boas senhas

    Altere as suas senhas sempre que julgar necessrio

    No use a mesma senha para todos os servios que acessa.

    Ao usar perguntas de segurana para facilitar a recuperao de senhas, evite

    escolher questes cujas respostas possam ser facilmente adivinhadas.

    Certifique-se de utilizar servios criptografados quando o acesso a um site

    envolver o fornecimento de senha.

    Procure manter sua privacidade, reduzindo a quantidade de informao que

    possam ser coletados sobre voc

    Seja cuidadoso ao usar a sua senha em computadores potencialmente

    infectados ou comprometidos

  • Contas e senhas

    Elaborao de senhas:

    Nmeros aleatrios (135428907854)

    Grande quantidade de caracteres (quanto mais longa for a senha mais difcil ser descobri-la)

    Diferentes tipos de caracteres (quanto mais bagunada for a senha mais difcil ser descobri-la)

    Selecione caracteres de uma frase

    Utilize uma frase longa (frase que faa sentido e seja fcil de memorizar)

    Faa substituio de caracteres (semelhana - w ou vv fontica - ca ou k)

    Uma senha boa, bem elaborada, aquela que difcil de ser descoberta (forte) e

    fcil de ser lembrada.

  • Criptografia

    Por meio do uso da criptografia voc pode:

    Proteger os dados sigilosos armazenados no computador

    Criar uma partio especfica, onde as informaes que forem gravadas sero

    automaticamente criptografadas

    Proteger comunicaes realizadas na internet

    Tipos de criptografia:

    Criptografia de chave simtrica : utiliza uma mesma chave para codificar e descodificar.

    Criptografia de chaves assimtricas: utiliza duas chaves di