Gilberto Sudré ©

Segurança da Informaçãoe

Políticas de Segurança

Gilberto Sudré

gilberto@sudre.com.br

vidadigital.blog.brwww.gilberto.sudre.com.br

Gilberto Sudré2

Gilberto Sudré3

Agenda

➢ A Segurança da Informação

➢ Serviços de Segurança da Informação

➢ Classificação de Segurança

➢ Riscos e Ameaças➢ Vírus➢ Internet

➢ Políticas de Segurança

Gilberto Sudré ©

A Segurança da

Informação

Gilberto Sudré5

Nova economia

➢ Acirramento da competição científica e econômica

➢ O conhecimento como expressão de poder e vantagem competitiva

➢ Capital intelectual – Ativo das organizações

Gilberto Sudré6

Conhecimento e Informação

➢ Natureza estratégica

➢ Diferencial competitivo

➢ Alto valor agregado

➢ Instrumento de poder

Gilberto Sudré7

Desafios da segurança

➢ Redução do riscos contra vazamento de informações confidenciais

➢ Redução da probabilidade de fraudes

➢ Diminuição de erros devido a treinamentos e mudanças de comportamento

➢ Manuseio correto de informações confidenciais

Gilberto Sudré8

Desafios da segurança

➢ Administrar uma gama muito grande de:➢ Ambientes

➢ Usuários

➢ Sistemas e Aplicações

➢ Perfis de Trabalho

➢ Especialidades

➢ Mudanças

Gilberto Sudré9

Eu odeio segurança !!

➢ Todos nós odiamos as restrições impostas pelos controles de segurança em nossa liberdade de ir, vir, ler, escrever e falar.

➢ Ninguém gosta de ter que carregar chaves de portas e de lembrar de senhas.

➢ Ficamos impacientes em esperar por aprovação para entrar em um prédio ou na sala de espera em um aeroporto. Reclamamos das portas de segurança dos bancos e dos limites de de velocidade das vias públicas.

➢ Mas ela é cada vez mais necessária...

Gilberto Sudré10

Gilberto Sudré11

Definições de Segurança

segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção.

[Aurélio]

Gilberto Sudré12

Definições de Segurança

Segurança em sistemas de computadores resume-se a uma série de soluções técnicas para problemas não técnicos.

[Garfinkel e Spafford]

Gilberto Sudré13

Definições de Segurança

“Segurança não é uma questão técnica, mas uma questão gerencial e humana. Não adianta adquirir uma série de dispositivos de hardware e software sem treinar e conscientizar o nível gerencial da empresa e todos os seus funcionários”

Christopher KlausCTO - Chief Technology OfficerISS – Internet Security System

Gilberto Sudré14

Solução de Segurança

Ferramentas Controles

Políticas de Segurança

Gilberto Sudré15

Pergunta...

O que é pior que não termos segurança alguma em nossos sistemas?

Gilberto Sudré16

! ! ! ...

É possuírmos a falsa impressão de segurança

Gilberto Sudré ©

Serviços de

Segurança da

Informação

Gilberto Sudré18

Serviços de Seg. da Informação

➢ Existem diferentes aspectos que caracterizam a segurança de um sistema de computadores. Estes aspectos são denominados serviços de segurança.

➢ Os serviços de segurança devem ter:➢ Confidencialidade➢ Integridade➢ Autenticidade➢ Disponibilidade➢ Controle de acesso➢ Não-repúdio➢ Auditoria

Gilberto Sudré ©

Classificação de

Segurança

Gilberto Sudré20

Classificação de Segurança

➢ O que é segurança?

Gilberto Sudré21

Classificação de SegurançaSegurança Física

➢ Backups

➢ Ambientes de alta disponibilidade➢ Plano de Contingência➢ Dualização de servidores

➢ Área Segura➢ Controle de acesso➢ Limitado pelo Perímetro de Segurança

➢ Descarte e lixo

➢ Política de mesa e tela limpas

➢ Segurança de Equipamentos

Gilberto Sudré22

Classificação de SegurançaSegurança Lógica

➢ Antivírus

➢ Autenticação➢ Senhas➢ Biometria

➢ Criptografia

➢ Ferramentas de:➢ Bloqueio de acesso➢ Detecção de invasões➢ Detecção de Vulnerabilidades➢ VPN (Virtual Private Network)

Gilberto Sudré ©

Riscos e

Ameaças

Gilberto Sudré24

Vírus de Computador

➢ Como surgiram?➢ Início dos anos 80➢ Fred Cohem, estudante da University of Southern

California➢ Experiências com códigos “hostis”➢ Tese de doutorado

➢ Qual foi o primeiro Vírus?➢ 1986➢ Origem Pakistão➢ Nome: Brain

Gilberto Sudré25

Worms(vermes)

➢ Termo genérico utilizado para qualquer software capaz de propagar a si próprio em redes de computadores

➢ Normalmente utilizam a exploração de falhas de código

➢ Exemplo:➢ Code Red➢ Explora falha de buffer overflow no Microsoft IIS Web

Server

Gilberto Sudré26

Cavalo de Tróia(Trojan Horse)

➢ Programa que é executado na máquina atacada (Servidor), controlado a partir do programa cliente instalado na máquina do atacante (Cliente)

➢ Normalmente não se propaga automaticamente, aguarda que o usuário o instale em sua máquina

Gilberto Sudré27

Hackers

➢ Experimentadores (“Lammers” , “Script Kiddies”)

➢ Vândalos

➢ Cybercriminosos (“Crackers”)

➢ Soldados (“InfoWarFare”)

Gilberto Sudré28

E-mail e Mensagens Instantâneas

➢ Meio de propagação de vírus e outras pragas virtuais

➢ Divulgação de informações enganosas e mentirosas

➢ Perda de produtividade

➢ Vazamento de informações sigilosas

Gilberto Sudré29

Programas piratas

➢ Ilegal➢ Multa até 2000 x o valor da cópia original

➢ Responsabilidade criminal➢ Administradores

➢ Caixa de surpresas➢ Você nunca sabe o que tem dentro !!!

Gilberto Sudré30

Navegação na Internet

➢ Disseminação de Vírus e Cavalos de Tróia

➢ Captura de informações pessoais

➢ Perda de produtividade

Gilberto Sudré ©

Política de

Segurança

Gilberto Sudré32

Política de SegurançaO que é?➢ Política de segurança é a expressão formal das regras

pelas quais é fornecido acesso aos recursos tecnológicos da empresa.

➢ Quem, quando e como pode ter acesso as informações

➢ Considerações➢ Serviços oferecidos X Segurança fornecida➢ Facilidade de uso X Segurança➢ Custo da segurança X Risco da perda

Gilberto Sudré33

Política de Segurança

➢ É importante para:

➢ Garantir a implementação de controles de segurança apropriados

➢ Auxiliar na seleção de produtos e no desenvolvimento de processos

➢ Documentar as preocupações da alta direção sobre segurança

➢ Evitar responsabilidade da empresa nos casos de quebra de segurança

➢ Transformar a segurança em um esforço comum

Gilberto Sudré34

Política de SegurançaTipos

➢ Fechada

➢ Tudo aquilo que não é permitido explicitamente é

proibido.

➢ Aberta

➢ Tudo aquilo que não é proibido explicitamente é

permitido.

Gilberto Sudré35

Política de Segurança

➢ Segurança da Informação precisa ser tratada corporativamente

➢ Verdadeiro

➢ É fator crítico de sucesso tratar os problemas de segurança de forma ampla e completa, pois diferente disso, as empresas terão apenas soluções isoladas e pontuais que pouco contribuirão para elevar o nível de controle e segurança das informações da empresa

Gilberto Sudré36

Política de SegurançaO que não deve prever ?

➢ Detalhes técnicos

➢ Copiar políticas e implementações de outro local

Gilberto Sudré37

Política de SegurançaComitê de Segurança

➢ Montar comitê representativo da Cultura da Organização (exemplos)

➢ Infra-estrutura➢ Informática, Engenharia

➢ Apoio➢ RH, Auditoria, Jurídico, Qualidade, Segurança

➢ Atividades-fim da Organização

Gilberto Sudré38

Uma solução evolutiva

Planejamento

ElaboraçãoMonitoramento

Implantação e

treinamento

Gilberto Sudré ©

Conclusão

Gilberto Sudré40

Conclusão

➢ A informação é o ativo mais importante da sociedade atual

➢ Segurança da informação é fator fundamental para garantir o uso correto das informações em um sistema de computadores

➢ A solução completa de segurança da informação deve contar, além dos recursos tecnológicos, com uma política e administração de segurança global, sistematicamente controlada (Pessoas, Procedimentos e Técnicas)

Perguntas !! Perguntas !!

Gilberto Sudré ©

Segurança da Informaçãoe

Políticas de Segurança

Gilberto Sudré

gilberto@sudre.com.br

vidadigital.blog.brwww.gilberto.sudre.com.br