Transcript Slide 1 - Sistemas de Informação

Segurança e Auditória de
Sistemas de Informação
Prof. Rodrigo Bahia Paiva
[email protected]
bem vindos!
Objetivo
Objetivo
Proporcionar aos participantes uma abordagem dos
conceitos previstos pelo conteúdo do curso de
forma que essa abordagem resulte aos alunos a
capacidade de elaboração de Plano de Segurança
Computacional, Plano de Contingência e uma
Política de Segurança.
Agenda
Agenda
•
•
•
•
•
•
•
Conceitos Básicos de Segurança Computacional.
Segurança Física e Segurança Lógica.
Análise de Riscos.
Política de Segurança.
Implementação de Controles de Segurança.
Plano de Contingência.
Auditoria de Sistemas.
Bibliografia
Bibliografia
• GIL, Antônio de Loureiro. Segurança em
Informática. São Paulo: Editora Atlas, 1998.
• SOARES, Luiz Fernando Gomes. Redes de
Computadores. Rio de Janeiro: Editora Campus,
1995.
• TANENBAUM
Andrews
S.,
Redes
de
Computadores. Rio de Janeiro: Editora Campus,
1997.
Bibliografia - Segurança
•
•
•
•
www.security.unicamp.br
www.istf.com.br
www.certisign.com.br
www.verisign.com
Bibliografia
• www.cerias.purdue.edu/coast/ids
Firewall:
• www.aker.com.br
• www.symantec.com.br
Criptografia de chaves:
• www.epic.org/crypto
Segurança em redes sem fio:
• www.securityfocus.com/infocus/1199
• www.cisco.com/warp/public/cc/witc/ao350ap/prodlit/a35
0wov.htm
Regras do Jogo
Regras do Jogo
TP  N1  N 2  N 3  PF
Se:
TP  3 
aluno reprovado
3  TP  6 
TP  6 
TP ≡ total de pontos
N1 ≡ nota da 1ª Prova
N2 ≡ nota do 2ª Prova
N3 ≡ nota da 3ª Prova
PF ≡ prova final
aluno de Exame Final
aluno aprovado
Presença Mínima: 75%
Regras do Jogo
Distribuição Bimestral de notas :
• N1:
–
–
Lista: 5 pontos.
Avaliação: 15 pontos.
–
–
Lista: 5 pontos.
Avaliação: 15 pontos.
–
–
Lista: 5 pontos.
Avaliação: 15 pontos.
• N2:
• N3:
• Apresentação de trabalhos e sala de aula: 10
pontos.
• PF: prova final: 30 pontos.
Datas Importantes
Datas Importantes
•
•
•
•
01 de Março 1ª Prova.
05 de Abril 2ª Prova.
10 de Maio 3ª Prova.
Junho Prova Final.
• Prova de 2º chamada dia 17 Maio (para todos os alunos
que perderam alguma das provas) matéria de todo o
semestre.
OBS.: As listas de exercícios deveram ser entregues nos dias
das provas.
Introdução
Introdução
• Os sistemas de computadores surgiram, na década de
1960, como ferramentas para gerência de informações e
para o processamento de dados coorporativos,
substituindo os sistemas manuais.
• Desde essa época, os avanços tecnológicos têm
proporcionado às empresas maior eficiência e rapidez na
troca de informações e tomadas de decisões.
• Computadores cada vez mais rápidos são lançados em
curto espaço de tempo, as redes de computadores são
cada vez mais usadas por organizações para conduzir seus
negócios e o uso da Internet tornou-se essencial, estando
agora, disponível para todos e permitindo a qualquer
empresa praticar o comércio eletrônico.
Introdução
• As grandes organizações estão cada vez mais
dependentes dessa nova tecnologia, sendo quase
impossível manter seus negócios sem o auxilio do
computador.
• Nos últimos anos, com a queda dos preços e o
aumento de velocidade e capacidade de
processamento dos computadores, até pequenas
empresas e pessoas físicas aderiram a essa
tecnologia.
Introdução
• Dentro desse contexto e, devido a extrema
importância das informações internas e externas à
organização, surgiu, então a necessidade de se
utilizar melhores mecanismos para prover a
segurança das transações e do armazenamento de
informações,
principalmente
informações
confidenciais e/ou críticas para o negócio.
Introdução
• Na época em que as informações eram
armazenadas apenas em papel, a segurança era
relativamente simples. Bastava trancar os
documentos em algum lugar e restringir o acesso
físico àquele local.
• Com as mudanças tecnológicas e o uso de
computadores de grande porte, a estrutura de
segurança já ficou um pouco mais sofisticada,
englobando controles lógicos, porém ainda
centralizados.
Introdução
• Com a chegada dos computadores pessoais e das
redes de computadores que conectam o mundo
inteiro, os aspectos de segurança atingiram
tamanha complexidade que há necessidade de
desenvolvimento de equipes cada vez mais
especializadas para sua implementação e gerência.
• Paralelamente, os sistemas de informação também
adquiriram uma importância vital para a
sobrevivência da maioria das organizações
modernas, já que, sem computadores e redes de
comunicação, a prestação de serviços de
informação pode se tornar inviável.
Introdução
• Como a sociedade atual depende das informações
armazenadas nos sistemas computacionais para
tomar decisões de negócios ou de bem estar social,
a segurança dessas informações deve ser absoluta.
• Um erro nos sistemas informatizados pode
comprometer instituições do mercado financeiro,
indústrias, sistemas de telecomunicações, de
assistência médica, enfim, pode afetar a sociedade
de inúmeras maneiras, tamanha a dependência dos
equipamentos e sistemas computadorizados.
Introdução
• O que aconteceria se as informações adulteradas
caíssem nas mãos da concorrência ou fossem
corrompidas, apagadas ou adulteradas?
• Quais seriam as consequências para a continuidade
dos negócios da instituição?
• O vazamento de informações sobre seus clientes
comprometeria sua credibilidade e daria maiores
oportunidades aos concorrentes.
Introdução
• A questão de segurança é também bastante enfatizada quando
se imagina a possibilidade de se ter suas informações expostas a
atacantes ou intrusos da Internet, verdadeiras ameaças aos
ambientes computacionais que estão em constante evolução,
seja em número ou em forma, surgindo com meios cada vez
mais sofisticados para violar a privacidade e a segurança das
comunicações.
• Devido a essas preocupações, a proteção da informação tem se
tornado um dos interesses primários dos administradores de
sistemas, pois uma falha de segurança, vazamento ou perda de
informações pode determinar grandes prejuízos.
• Sem dúvida nenhuma, segurança das informações é hoje o
fator de sobrevivência e competitividade para as corporações
modernas.
Introdução
• É claro que as medidas de segurança não
asseguram 100% de proteção contra todas as
ameaças mas a definição das expectativas da
organização com relação ao comportamento e
os procedimentos necessários no manuseio dos
seus bens/ativos, deverá estar , mais do que
nunca, enraizada na cultura da empresa, pois
segurança não é só uma questão técnica, mas
de política e educação empresarial.
Introdução
• Para que a informação tenha o nível de segurança
desejado, é necessária uma atuação sobre dois
segmentos: acesso e integridade.
• O acesso as informações sensíveis de uma empresa
deve estar protegido por sistemáticas que garantam
que apenas as pessoas autorizadas possam obter essas
informações.
• Já a garantia de integridade deve garantir tanto a
exatidão dos dados (confiabilidade) quanto a
proteção no que tange à perda.
Introdução
• Para que seja possível obter um nível aceitável
de segurança, não basta reunir um conjunto de
ferramentas de software e implementá-las. Os
seus resultados tornam-se mais eficazes quando
sua utilização está dentro do contexto de um
plano de segurança, elaborado em conjunto
pelos níveis estratégico, tático e operacional da
empresa, como mostra a Figura a seguir:
Introdução
Nível em que as políticas da
organização são definidas. Descreve o
que deve ser feito.
Nível em que as normas da
organização são descritas conforme as
políticas definidas no nível superior.
Nível onde os procedimentos são
estabelecidos com base nas normas
definidas no nível acima. Descreve
como são implementadas as regras.
Razões da Segurança da Informação
• A administração deve preocupar-se com a segurança da
informação por três razões principais:
• 1ª Dependência dos sistemas de informação: sistemas que
ofereçam serviços adequados e no tempo certo são a chave
para a sobrevivência da maioria das organizações atuais.
• Sem seus computadores e sistemas de comunicação, as
empresas ficariam incapazes de fornecer serviços, processar
faturas, contatar fornecedores e clientes ou efetuar
pagamentos.
• Os sistemas de informação também armazenam dados sigilosos,
que, se tornados públicos, causariam embaraço e, em alguns
casos, o fracasso da organização.
Razões da Segurança da Informação
• 2ª Vulnerabilidade dos recursos de TI: esses sistemas
exigem um ambiente estável, podendo ser
danificados por desastres naturais, como fogo,
inundação ou terremotos, falhas no controle da
temperatura ou no suprimento da energia elétrica,
bombas, acidentes ou sabotagens.
• Os sistemas de informação são a chave para o aceso
a vastas quantidades de dados corporativos,
tornando-se um alvo atraente para hackers,
repórteres e espiões, e podem motivar funcionários
mal intencionados a abusar de seus privilégios,
vendendo informações para estranhos.
Razões da Segurança da Informação
• As organizações dependem da exatidão da
informação fornecida pelos seus sistemas. Se
essa confiança for destruída, o impacto para a
entidade pode ser comparável à própria
destruição do sistema. Dessa forma, é
importante proteger os dados tanto de
corrupções acidentais quanto propositais.
Razões da Segurança da Informação
• 3ª Investimento em Tecnologia da Informação:
os sistemas de informação são caros, tanto no
desenvolvimento quanto na manutenção e a
administração deve proteger esse investimento
como qualquer outro recurso valioso.
• Bens de TI são particularmente atrativos para
ladrões por serem portáteis, apresentarem uma
relação valor/peso bastante elevada e
poderem ser facilmente vendidos.
Pontos Importantes
• Alguns pontos são importantes determinar e a
empresa deve sempre tê-los em mente:
• O que deve ser protegido?
• Contra o quê será necessário proteger?
• Como será feita a proteção?
• Além disso, será necessário determinar que nível de
segurança é necessário, bem como avaliar a
questão ‘custo x benefício’.
Introdução
• Apesar de reconhecer a necessidade de se estabelecer
algum grau de segurança nos sistemas, a maioria das
organizações tende a relegar o assunto para o final
da sua lista de prioridades, até a ocorrência de um
desastre.
• Os dirigentes costumam ver a segurança da
informação sob uma perspectiva negativa, como
fatores inibidores, responsáveis pela redução da
capacidade operacional da organização, em vez de
uma atividade que auxilia a organização a alcançar
uma melhor qualidade do serviço com menos
recursos.
Introdução
• Por esse motivo, muitas vezes a alta cúpula
acaba atribuindo importância insuficiente à
segurança dos sistemas de informação,
sujeitando involuntariamente as organizações a
um grau inaceitável de risco.
• O processo de segurança da informação pode
ser mais bem ilustrado conforme o ciclo a
seguir:
Ciclo de Segurança
Análise de
Segurança
Definição e
atualização
de regras de
segurança
Auditorias
Administração
da Segurança
Implementação
E divulgação das
Regras de
Segurança
Ciclo de Segurança
Análise de
Segurança
• Diagnósticos da situação real, com identificação do
nível de risco a que a organização está exposta e
quais providências a serem tomadas para cobrir
eventuais vulnerabilidades.
Definição e
atualização
de regras de
segurança
• Com base na análise de risco e/ou outras
avaliações, as regras de segurança da informação
são revisadas e atualizadas periodicamente.
Ciclo de Segurança
Implementação
E divulgação das
Regras de
Segurança
Administração
da Segurança
Auditorias
• Após a definição/atualização das regras de
segurança, estas são implementadas e
colocadas em prática nas diversas áreas da
organização.
• Efetua o monitoramento das regras de
segurança por meio de ferramentas
específicas e analisa os incidentes de
segurança.
• Verificam o cumprimento das regras de
segurança das informações nas diversas áreas
da organização.
Segurança da Informação
• É necessário lembrar que não existe segurança
absoluta, pois ninguém é imune a ataques
nucleares, terremotos, epidemias, sequestros os
guerras. É preciso descobrir os pontos vulneráveis,
avaliar os riscos, tomar as providências adequadas
e investir o necessário para se ter uma segurança
homogênea e suficiente.
• Sempre existiram riscos. O que não se pode admitir
é o descaso com a segurança.
Segurança da Informação
• A segurança, mais do que um simples produto ou
tecnologia que se pode adquirir, aplicar e esquecer, mais
do que um comprimido (tecnológico ou monetário)
supressor de sintomas, é um processo contínuo e
abrangente, com implicações em todas as áreas
empresariais, desde a alta administração até colaboradores
que executam as operações cotidianas mais elementares.
• É um processo em permanente evolução, mutação e
transformação, que requer um esforço constante para o
sucesso e uma forte capacidade para provocar e gerir
mudanças, tanto nos procedimentos operacionais
corriqueiros dos funcionários como na infra-estrutura de
suporte da organização.
Muito agradecido.