270 likes | 420 Views
Segurança e Auditoria de Sistemas. Aula 1 - Introdução. O que será estudado nesta disciplina. Problemas de segurança: avaliar o risco e impacto. Como descrever uma Política de Segurança. Conhecer as principais técnicas utilizadas para comprometer um sistema.
E N D
Segurança e Auditoria de Sistemas • Aula 1 - Introdução
O que será estudado nesta disciplina • Problemas de segurança: avaliar o risco e impacto. • Como descrever uma Política de Segurança. • Conhecer as principais técnicas utilizadas para comprometer um sistema. • Inibir as principais ameaças a um sistema. • Estratégias de segurança: firewall, proxy, criptografia, assinatura digital. • Aspectos sobre Auditoria.
Motivação • A cada dia, mais informações são produzidase passíveis de ataques. • Esses ataques estão cada vez mais eficientes. • Acreditamos que esses ataques nunca acontecerão conosco. • Políticas de segurança devem ser criadas para minimizar as possibilidades de ataques.
Antigamente... • Sistemas trabalhavam de forma isolada. • Não havia comunicação internet. • A informação era levada de um computador a outro por meio de fitas ou disquetes. • Tempos depois a comunicação entre os computadores ainda era restrita à redes locais. • Riscos eram apenas internos, portanto mais fáceis de resolver.
Nos dias de hoje... • O ambiente está todo conectado: celular, smartphone, tablet, notebook etc. • Quase todos os computadores tem acesso a internet. • Redes wireless por toda parte. • Computação nas nuvens. • Programas de mensagem instantânea e e-mail estão cada vez mais populares. • Vírus que são transmitidos por meio de pen-drives, spams e lista de e-mails.
Como evitar/prevenir? • Realizar a análise de riscos. • Identificar as ameaças. • Implementar uma política de segurança. • Elaborar um plano de auditoria. • Auditar
Informação: o bem mais valioso • Toda empresa guarda a 7 chaves suas informações, afinal hoje é considerado o bem mais valioso da empresa. • Antigamente as informações eram documentadas em papel e arquivadas em local de acesso restrito. • Hoje as informações são digitais.
Informação: o bem mais valioso • Para gerar informação, é preciso que os dados sejam íntegros, confiáveis e estejam disponíveis. Integridade Segurança da Informação Confidencialidade Disponibilidade
Princípios básicos de um sistema de segurança • Confidencialidade dos dados: • refere-se à proteção contra o acesso não autorizado a dados, ou seja, a informação deve ser acessada somente por pessoas autorizadas. Uma vez desrespeitado esse princípio, temos o que chamamos de incidente de segurança da informação por quebra de confidencialidade.
Princípios básicos de um sistema de segurança • Integridade dos dados: • refere-se à proteção contra alteração dos dados, isto é, a informação deve ser mantida inalterada ou íntegra. Esses dados só podem ser alterados por uma pessoa autorizada.
Princípios básicos de um sistema de segurança • Disponibilidade de dados: • refere-se à proteção contra a interrupção do acesso a dados ou serviços. Resumidamente, a informação deve estar acessível sempre que pessoas autorizadas necessitam.
Análise de Riscos • Identificar o grau de proteção que cada tipo de informação precisa. • Proporcionar a proteção em grau adequado para o negócio. • Coletar informações sobre o grau de segurança existente em determinado ambiente da organização e elaborar um plano de segurança.
Empresas que realizam análise de riscos e sua frequência Pesquisa realizada em 2006 pela empresa Módulo http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf
Quanto investir? • Os investimentos em diminuição dos riscos não devem exceder a 1% do faturamento da organização. (CAMPOS, 2007, p. 52). • O custo não deve exceder o valor do ativo que se deseja proteger. CAMPOS, A. Sistema de segurança da informação: controlando os riscos. 2. ed. Florianópolis: Visual Books, 2007.
Valor médio dedicado para a Segurança da Informação Porcentagem retirada do valor total investido na área de TI Pesquisa realizada em 2006 pela empresa Módulo http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf
Mais alguns dados • 33% que não sabem quantificar as perdas. • 21% não sabem sequer identificar os responsáveis pelo problema. • 35% não possuem planejamento para segurança. • Falhas de segurança: • 24% causadas por funcionários. • 20% por hackers. • 77% de aumento nos problemas relacionados a segurança nos próximos anos.
Problemas que geram perdas financeiras Pesquisa realizada em 2006 pela empresa Módulo http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf
Políticas de segurança • Abrange um conjunto de controles que buscam diminuir as vulnerabilidades do sistema de informação. • Deve ser divulgada para que todos na organização a conheçam e saibam das penalidades para quem não a cumprir. • Elaborada eimplementada processo contínuo de revisão, com regras claras e simples.
Políticas de segurança • A partir de uma política, espera-se: • Diminuir a probabilidade de ocorrência. • Diminuir os prejuízos causados por eventuais ocorrências. • Elaborar procedimentos para recuperação de desastres.
Políticas de segurança • Ser simples • a política deve apresentar uma linguagem simples, facilitando sua leitura e compreensão. • Ser objetiva • a política não deve ser um documento muito extenso, deve apenas focar nos objetivos a serem alcançados. • Ser consistente • a política deve estar alinhada com as demais normas, como por exemplo, as legislações públicas.
Políticas de segurança • Definir metas • a política deve apresentar as metas a serem alcançadas. • Definir responsabilidades • a política deve estabelecer as responsabilidades sobre o uso da informação. • Definir penalidades • a política deve conter procedimentos de punição caso não seja cumprida.
Principal obstáculo para implementar a Segurança da Informação Pesquisa realizada em 2006 pela empresa Módulo http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf
Modelo de política de segurança 1. OBJETIVO • Descrever o objetivo. 2. ÂMBITO • Descrever a abrangência (todos os funcionários). 3. DEFINIÇÕES • Definir termos técnicos. 4. POLÍTICA 4.1 USO ACEITÁVEL • O que a política permite. 4.2 USO INACEITÁVEL • O que a política proíbe.
Modelo de política de segurança 5. SANÇÕES • As penalidades. 6. CONTROLE DE VERSÃO • Colocar versão, data e nome do autor.
Conclusão • Vimos que com a evolução da tecnologia estamos mais vulneráveis. • Vimos a importância da segurança da informação e quais as principais ameaças que geram prejuízos. • Vimos os 3 princípios básicos para um sistema de segurança. • Vimos sobre análise de riscos e política de segurança.