A evolução da segurança e os desafios atuais

1. A evolução da segurança e os desafios atuais Brasília, 27 de outubro de 2004

2. Visão de Segurança da Informação • Missão de Segurança da Informação

3. Ecossistema Transacional Banco pagar comprar Comprador A pagar/receber Internet vender informação Fábrica intermediar Comprador B Comerciantes, Empresas Transportadores • A integração das cadeias transacionais aumenta a exposição de informações e dados e conseqüentemente os riscos digitais

4. Ecossistema Digital • A utilização crescente de tecnologias eletrônicas digitais para aquisição , processamento, comunicação e armazenamento de dados e informações, exige o estabelecimento de MARCOS de referência visando assegurar: - Disponibilidade, Integridade, - Confiabilidade, Autenticidade, - Privacidade, - Não discriminação

5. Ecossistema Digital – Nossa Visão • Os principais ativos migraram para o ambiente digital: • Conhecimento – Informações – Dados – Processos – Comunicações; • Os ambientes digitais empregados são inseguros por natureza: micros, redes locais e principalmente a Internet; • Os sistemas de informações não implementam controles adequados • de segurança e de detecção de fraudes; • Há um ambiente propício à prática de fraudes com o emprego de tecnologias da informação (computadores em rede); • Não estamos preparadas para combater estas práticas pois na maioria dos casos os agentes fraudadores atuam internamente; • A penetração da Internet e o crescimento do seu uso através do comércio eletrônico e internet banking potencializam o problema;

6. Furto Sabotagem Digital Espionagem Concorrência desleal Privacidade Guerra Cibernética Integridade Confidencialidade Pirataria Perdas e danos Disponibilidade Autenticidade Fraudes Ciber Terrorismo Falsificações Violação da Propriedade Intelectual Ecossistema Digital – Ameaças e Desafios

7. Ameaças Digitais • As ameaças podem ser as mesmas, mas o CYBER-ESPAÇO muda tudo. • A INTERNET possui 3 características novas que tornam isso uma verdade. Qualquer uma delas é ruim; as 3 juntas são horrorizantes: AUTOMAÇÃO , AÇÃO A DISTÂNCIA e PROPAGAÇÃO DA TÉCNICA

8. Por que Segurança? • Evitar fraudes e perdas • Viabilizar aplicações e tecnologias • Atender agências reguladoras • Governança Corporativa • Conformidade

9. Segurança da Informação no Brasil • Brasil: maior número de hackers? • Projetos inovadores • Eleições, SPB, Imposto de Renda, Sistema financeiro • ICP Brasil • Legislação em desenvolvimento • Específica • Novo Código Civil • Fortalecimento da atuação de agências reguladoras • Banco Central, TCU, CVM, CFM, ... • Modelo da concessão • Fortalecimento da ação policial e judiciária

10. Segurança da Informação no Brasil • + Inovação • + Heterogeneidade • + Ataques • Legislação • Ações policiais e de defesa especializados • Agências de governo especializadas • Colaboração entre as partes

11. Os Desafios de Segurança estão Crescendo • O ambiente de TI está cada vez mais complexo • As ações de segurança precisam estar integradas com a legislação e regulamentação 3. A segurança da informação não é só em computadores 4. Está aumentando o valor financeiro da rede 5. O crime organizado tem aumentado sua atividade no meio eletrônico 6. As tecnologias de ataque estão se integrando 7. Crimes são além-fronteiras

12. Segurança TecnológicaPor que a Segurança está em Crescimento • O ambiente de TI está cada vez mais • Complexo • Amplo • Heterogêneo • Compacto, multimídia, consumindo menos energia, utilizando o protocolo TCP-IP, integrado com a rede de celulares • As ações de segurança precisam estar integradas com a legislação e regulamentação • Responsabilidade Civil dos administradores e técnicos • Atendimento a Agências Reguladoras • Gestão de Segurança através de normas e padrões

13. Segurança TecnológicaPor que a Segurança está em Crescimento 3. A segurança da informação não é só em computadores, deve considerar: • Sistemas de Telecomunicações • Papel • Conversas – pessoais e ao telefone • Roubo de equipamentos • Indeterminado 4. Está aumentando o valor financeiro da rede • Transações financeiras pela Internet • Transações financeiras em sistemas internos • Relacionamento pessoal • Armazenamento de informações de valor

14. Segurança TecnológicaPor que a Segurança está em Crescimento 5.O crime organizado tem aumentado sua atividade no meio eletrônico • Para usar novas tecnologias em crimes convencionais • Para novos crimes tecnológicos 6. As tecnologias de ataque estão se integrando • Vírus, Spam, Spyware, Invasão, ... 7. Crimes são além-fronteiras • Coréia/Banda Larga, China/Quantidade, India/IPv6

15. Ameaças Digitais Novas Condutas: • Acesso Indevido ao sistema de computador; • Violação ao sistema de computador; • Furto de informações; • Falsificação de documentos com o uso do computador; • Dano aos dados e informações arquivadas; • Obtenção de segredos industriais/comerciais;

16. Ameaças Digitais ...Novas Condutas: • Furto de tempo do sistema de informática; • Cópia de programa; • Violação do Direito Autoral; • Espionagem; • Interceptação indevida de informação; • Violação de bases de dados pessoais.

17. 10 Anos de Spam • Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails), mostra que, em março deste ano, 53% dos e-mails eram SPAM. Em agosto último esse índice foi de 84,2%, tendo chegado a 94,5% em julho/2004.

18. Convergência • Convergência: SPAM se tornou SCAM, usando técnicas de SPAM para propagar trojans e vírus • Criadores de vírus, mais técnicos, motivação era reconhecimento na “comunidade” • Spammers, menos técnicos, focados no lucro • Novo cenário: spammers mais técnicos e criadores de vírus focados no lucro • Vírus criados com o objetivo de ajudar a espalhar mensagens – spam (ou controlar ativamente máquinas contaminadas) - DDoS

19. Convergência • Golpes financeiros na Internet combinam várias técnicas: • SPAM no envio da mensagem • Vírus na criação e instalação do Trojan • Engenharia social • Lavagem de dinheiro (pagamento de contas) • Fraudes no comércio eletrônico

20. Por que proteger as informações ? O vazamento de informações pode causar: • Perdas financeiras; • Comprometimento da imagem; • Perdas de clientes; • Perda de vantagem competitiva 70% dos problemas de segurança são causados por desconhecimento dos procedimentos. 2002 CSI/FBI Computer Crime and Security Survey

21. Secreto Fontes das ameaças Tratamento inadequado dos documentos Acessos não autorizados a sistemas Má utilização dos Recursos Vazamento de Informações Paralisação dos processos Descuido com equipamentos Descuido com as áreas e instalações Instalação inadequada de Software e Hardware

22. Engenharia Social

23. Estruturação da Área de Segurança da Informação Gerenciamento de Segurança da Informação Metodologias de S.I. e Controle de Acesso Segurança em Redes e Telecomunicações BCM (BIA, BCP, DRP) Segurança Física das áreas de T.I. Segurança de Aplicações, sistemas, etc. Segurança de Operações Forensics (Leis, Investigações e ética) Criptografia

24. CBK – Common Body of Knowledge do (ISC)2: Disciplinas de Segurança da Informação segundo o (ISC)2: • Metodologia e Sistemas de Controle de Acesso • Segurança em Redes e Telecomunicações • Práticas de Gerenciamento de Segurança da Informação • Segurança de Aplicações, sistemas (desenvolvimento e manutenção) • Uso, controle e aplicação de criptografia e PKI • Modelos e Arquitetura de Segurança • Segurança de Operações • Continuidade - BCM (BIA, BCP, DRP) • Forensics (Leis, Investigações e Ética) • Segurança Física das áreas de T.I.

25. Novo Cenário Corporativo

26. Governança Corporativa Gerenciamento do Risco Operacional Conformidade Qual a influência da segurança em TICs nesse novo cenário?

27. SEGURANÇA DA INFORMAÇÃO Novas necessidades regulatórias: • Gramm-Leach-Bliley Act (Privacidade das informações financeiras) • HIPAA - Health Insurance Portability and Accountability Act (Privacidade das informações de saúde) • Sarbanes-Oxley (Retenção de informações contábeis (principalmente)) • Basiléia II (bancos) • Novo Código Civil Brasileiro

28. SEGURANÇA DA INFORMAÇÃO Novo papel do administrador de TI Retenção de documentos é diferente de backup! - faxes, e-mails, instant messages - TODAS as versões de documentos

29. SEGURANÇA DA INFORMAÇÃO Principais Recomendações de DEFESA: - NBR ISO/IEC 17799; e - BS 7799-2

30. SEGURANÇA DA INFORMAÇÃO Principais Recomendações de DEFESA: Segurança em TICs = Tecnologia X

31. SEGURANÇA DA INFORMAÇÃO Principais Recomendações de DEFESA: Segurança = Processo Segurança é processo, tecnologia é ferramenta

32. SEGURANÇA DA INFORMAÇÃO Principais Recomendações de DEFESA: O elo mais fraco da corrente é você! - apenas 48% das empresas americanas ministraram treinamento de segurança a seus empregados; destas, apenas 15% fizeram isso há menos de 6 meses. Fonte: Human Firewall Security Awareness Index Survey, 2003

33. SEGURANÇA DA INFORMAÇÃO BS 7799-2 • Security policy • Organizational security • Asset classification and control • Personnel security • Physical and environmental security • Communications and operations management • Access control • Systems development and maintenance • Business continuity management • Compliance

34. SEGURANÇA DA INFORMAÇÃO Papel da PESSOA na segurança • Novas ameaças surgem diariamente • Ferramentas técnicas de segurança com boa taxa de atualização • Grande investimento das corporações na segurança da informação • Pouco ou nenhum investimento em treinamento focado em segurança • Todos são responsáveis – regras de conformidade Sua casa tem fechadura e alarme, certo? Mas você sabe usa-los?

35. Há algo de novo no Horizonte? SIM.... Ciber Ataque e Sabotagem Digital

36. Desastres naturais ou ataques físicos X Ciber Ataque • Desastres naturais ou ataques físicos - extensão e dano imediato são limitados geograficamente Ex: Florianópolis, WTC • Cyber ataque • não localizado geograficamente • pode ser dissipado com altíssima velocidade • atinge todos e não somente alvos específicos

37. Ciber Ataque existe sim! Australian Sewage Attack • Março de 2000 – Brisbane, Austrália • Vitek Boden – consultor – sistema controlador de água • Marrochy Shire Council • Alterou as configurações das bombas das estações causando problemas em 2 estações • Boden foi capturado logo após o primeiro ataque, com os equipamentos e programas que facilitaram o ataque, que até então era visto como um mal funcionamento do sistema

38. Ciber Ataque existe sim! Distributed denial of service attack • Fevereiro de 2000 • Anatomia • Busca de hosts inseguros • Instalação de software para ataques tornado os servidores escravos do atacante • Lançamento do ataque remotamente ativando todos os sistemas simultaneamente

39. Ciber Ataque existe sim! Scaning Worms - The SQL Slammer attack • Worms x vírus • Vírus ficam latentes enquanto você não faz alguma atividade para ativa-los; • Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado; • Primeiro worm – 1989 – Morris worm; • Julho de 2001 – Code Red – 359.000 sistemas – a cada 37 minutos dobrava sua capacidade de ataque.

40. Ciber Ataque existe sim! Scaning Worms - The SQL Slammer attack • Janeiro de 2003 – SQL Slammer worm • Dobrava o numero de sistemas atacados a cada 8,5 segundos; • Infectou 90% dos servidores vulneráveis em apenas 10 minutos; • Apenas 3 minutos após sua ativação já verificava os servidores a uma velocidade de 55 milhões de verificações por segundo; • Infectou 75.000 servidores com sérias conseqüências • 13.000 ATM do Bank of America foram desabilitados; • O serviço de emergência 911 foi desabilitado afetando 680.000 pessoas; • 14 corpos de bombeiros e 02 delegacias também foram afetados; • A Microsoft já havia disponibilizado a correção a 6 meses.

41. Sabotagem Digital: PDVSA

42. 2,8 %D %I 12,6 No petrolero -23,6 -14,1 privado Petrolero Público -47,5 -11,2 23,5 No petrolero -7,2 -1,0 59,6 público -2,7 Otros Total -29 Sabotagem Digital: PDVSA Queda do PIB Total 29 % Primeiro Trimestre de 2003

43. Adoção de Metodologias específicas para Segurança da Informação: • Norma NBR ISO/IEC-17799 publicadas pela ABNT • CBK – Common Body of Knowledge do (ISC)2 • TCSEC – Padrão U.S. DoD (Orange Book) • ITSEC – Padrão Europeu • Common Criteria – ISO 15.404 • NIST 800 series • Melhores práticas de segurança de informações • Aderência a Normas e padrões geralmente aceitos – GASSP (Generally Accepted System Security Principles)

44. Atendimento a regulamentações: • Bacen • CVM • ANBID • C Civil • Basiléia II (R.O.) • HIPAA • SOx • outras normas e regulamentações

45. Oportunidades de desenvolvimento do CSO: • Associações profissionais • ISSA • ISACA • ASIS • CSI • Grupos de trabalho • CB21 (Norma ABNT ISO/IEC 17799) • Cerificações profissionais • CISSP • CISM • MCSO • CISA • CPP

46. A Segurança da Informação não deve ser um fim em si mesma: • Melhor performance • Redução de perdas • Compliance • Segurança como agente habilitador de negócios

47. Pessoas !!! Fatores Críticos de Sucesso Métricas, padrões,políticas e procedimentos Apoio da Alta Administração Ferramentas e mecanismos bem configurados Capacitação e conscientização Monitoramento

48. Fatores críticos de sucesso: Endosso da Alta Administração Objetivo Equipe Independência Alinhamento ao Negócio Reporte Executivo, Administração e Controle (Orçamento x métricas de retorno da função) Comunicação e Conscientização Metodologia, normas e modelos

49. Outros fatores • Projetos • BAU (dia a dia) • Demonstrar o Sucesso • Benefícios • Atuar mediante um plano • Coordenar atividades • Interagir melhor com deptos • Viabilizar continuidade • Integração com o negócio! Fatores críticos de sucesso:

50. Princípios que devem ser perseguidos: • Proteger as pessoas e suas informações privadas (Funcionários, Clientes, Fornecedores, Acionistas, Órgãos Reguladores) • Garantir Sistemas de Informação integros e protegidos • Proteção perimetral da rede de computadores • Garantir soluções tecnológicas seguras • Garantir soluções de Continuidade de Negócios • Promover conscientização contínua sobre o tema • Proporcionar ambiente de negócios alinhado às melhores práticas de Segurança da Informação internacionalmente aceitas