Conceitos Gerais

Conceitos Gerais

www.microsoft.com.br

Agenda

Copyright Modulo Security Solutions - 2004

Histrico O que segurana da informao Conceito de risco Conceito da segurana da informao Aspectos da segurana da informao Macro desafio da segurana da informao Ameaas / Vulnerabilidades / Impactos / Vulnerabilidades de protocolo / Vulnerabilidades de IP Anatomia de um ataque Macro soluo de segurana Solues em segurana

www.microsoft.com.br

Histrico

www.microsoft.com.br

Conceitos Gerais
Era do conhecimento

poca
70s, 80s

Ambiente
Mainframe Mainframe + Rede

Proteo
Dados Dados + Informao

Foco Principal
Confidencialidade

Posio da Informtica
Retaguarda

80s, 90s

Confidencialidade Retaguarda + Integridade +Administrao e Operao

90s, 2000

Confidencialidade Dados Mainframe + Integridade + Informao + Rede + Conhecimento + Disponibilidade + IP

Negcio

www.microsoft.com.br

Desafios da nova economia

Copyright Modulo Security Solutions - 2004

Integrar

Tecnologia da Informao

Gesto

Negcios

www.microsoft.com.br

Desafios da nova economia

Fatos:

Os negcios esto cada vez mais dependentes da tecnologia da

informao; Os ambientes esto cada vez mais complexos, heterogneos e integrados; As fraudes so cada vez mais via computador; A nova ordem econmica (fuses, privatizaes, Nasdaq), tornam o problema ainda mais complexo; O Governo quer cada vez mais controle sobre o ambiente (Banco Central, ANATEL, PROCOM, ANEEL, Agncias Reguladoras etc).
www.microsoft.com.br

Conceitos Gerais
Cena da nova economia

www.microsoft.com.br

Desafios da segurana na nova economia

Copyright Modulo Security Solutions - 2004

Conscientizao do Corpo Executivo

Oramento, prioridade para a segurana, ...

Atualizao Tecnolgica
Autenticao, Poltica de Segurana, ...

Gerncia de Mudanas
Capacitao, responsabilizao, implementao, ...

Planejamento Estratgico
Priorizao de aes, integrao com o negcio, ... Plano de Ao

www.microsoft.com.br

Desafios da segurana na nova economia

Estratgia de Segurana Estratgico

Ttico

Operacional

www.microsoft.com.br

Conceitos Gerais
Desafios da segurana na nova economia
Controle centralizado;

Auditabilidade; Velocidade na implementao de solues; Conhecimento de ameaas e vulnerabilidades; padronizado;

Ambiente

Estratgia de Segurana; Pessoal tcnico capacitado; com o negcio;

Integrao

Gesto do investimento.

www.microsoft.com.br

Ondas de investimento

Copyright Modulo Security Solutions - 2004

2000
Infra de Internet E-commerce ERP Y2K Segurana

www.microsoft.com.br

ROI - Retorno sobre o Investimento

Market Viabilidade Share de novas Valor do aplicaes Negcio Disponibilidade

Agrega valor

Controles

Seguran Segurana do Neg Negcio

Conscientizao

Dano Fraudes Imagem Vazamento de Informao Interrupo do Negcio

Diminui os riscos, custos diretos e indiretos provocados pelos incidentes de quebra de segurana

www.microsoft.com.br

Conceitos Gerais
Papel da Segurana

NEGCIO e GESTO ATIVOS VULNERABILIDADES

SEGURANA
AMEAAS

www.microsoft.com.br

Papel da Segurana

Copyright Modulo Security Solutions - 2004

NEGCIO e GESTO ATIVOS VULNERABILIDADES

Entender o Mercado Desenvolver Produtos Conquistar Clientes ... ... Segredos de neg negcio Infraestrutura Tecnol Tecnol gica Know-how KnowT cnico Metodologias e Processos Recursos Humanos Informa es Informa de clientes
Ausncia de Pol Pol tica para Backup

SEGURANA
Invases Vazamentos

Ausncia de Fragmentadora

Ausncia de Pol Pol tica para Senha

Ausncia de Controle de Acesso F Fsico

Esta Esta o de Rede com Modem Interno

Aplica o com Aplica Backdoor

Acesso Indevido

AMEAAS
Retrabalho Indisponib. Indisponib . Fraudes Sabotagens

Perda de Informa Informa o

Prejuzo Preju Imagem

www.microsoft.com.br

Papel da Segurana

Eliminando as vulnerabilidades, minimizamos os riscos e reduzimos os impactos no negcio

SEGURANA
Risco tendendo a zero
www.microsoft.com.br

Conceitos Gerais
Ao sobre os ativos

ATIVO: Tudo que manipula informa informao, inclusive ela pr prpria.

www.microsoft.com.br

Tecnologia Processos Pessoas Ambientes

Ao sobre os ativos

Copyright Modulo Security Solutions - 2004

Solues pontuais isoladas no resolvem toda a problemtica associada segurana da informao.

Segurana se faz protegendo todos os elos da corrente, ou seja, todos os ativos que compem seu negcio. Afinal, o poder de proteo da corrente est diretamente associado ao elo mais fraco! Tecnologia Processos Pessoas Ambiente

Informaes

www.microsoft.com.br

Quebra de paradigma

Segurana no somente um problema tecnolgico mas...

a gesto inteligente da informao em todos os ambientes.

www.microsoft.com.br

Conceitos Gerais
Risco

Risco = Combinao da Probabilidade de um Evento e de suas Conseqncias.

Probabilidade = Grau de possibilidade de que um evento ocorra. Conseqncia = Resultado de um evento; impacto. Evento = Ocorrncia de um conjunto especfico de circunstncia; incidente.

Risco = ( Probabilidade x Evento x Conseqncia ) x Valor do Ativo --------------------------------------------------Medidas de Segurana

Fonte: ISO/IEC GUIDE 73:2002

www.microsoft.com.br

Riscos, exemplos

Copyright Modulo Security Solutions - 2004

Incndio

Inundao Erro humano Acesso indevido Fraude Sabotagem Vazamento Invaso Retrabalho Espionagem Industrial Indisponibilidade Perda de imagem Perda financeira ...

www.microsoft.com.br

Crescimento do risco

Segurana
Cadeia de Valor Extranet B2C Site Institucional Acesso Internet Intranet Rede Corporativa

Digital Marketplace

IP

IP

Conectividade
www.microsoft.com.br

Conceitos Gerais
Vulnerabilidades que maximizam os riscos
Grupos: Fsicas; Naturais; Equipamentos; Mdias; Comunicao; Humanas.

www.microsoft.com.br

Vulnerabilidades que maximizam os riscos

Copyright Modulo Security Solutions - 2004

Ausncia de controle de acesso fsico; Ausncia de fragmentadora de papel; Senha fraca; Criptografia fraca; Autenticao fraca; Autorizao deficiente; Sistemas operacionais desatualizados; Email sem proteo; Bugs de software; Backdoors; Ausncia de rotinas formais de backup; Recurso humano inconsciente e incapacitado; Ausncia de uma Poltica de Segurana; ...

www.microsoft.com.br

! !
8

Ameaas que potencializam os riscos

Engenharia social; Sniffer; Vrus; DDoS Distributed Denial of Service; Spoofing; Trashing; Password Crackers; Trojan Horse; ...

www.microsoft.com.br

Conceitos Gerais
Conceitos da Segurana da Informao
Integridade

Diferente do que pode parecer, o conceito Integridade est ligado ao estado da informao no momento de sua gerao e resgate. Ela estar ntegra se em tempo de resgate, estiver fiel ao estado original. Ex.: Gerao - 2 + 2 = 5 Resgate - 2 + 2 = 5

A Integridade no se prende ao contedo, que pode estar errado, mas variaes e alteraes entre o processo de gerao e resgate. Integridade no a exatido da informao.
www.microsoft.com.br

Conceitos da Segurana da Informao

Copyright Modulo Security Solutions - 2004

Confidencialidade

Confidencialidade no est relacionado ao isolamento da informao e ao seu no compartilhamento, trancafiandoa. Pelo contrrio. O conceito est ligado crescente necessidade de compartilhamento da informao, mas se utilizando de controles que permitam o acesso de pessoas e mquinas autorizadas, de forma segura. Ex.: informao em email que trafega pela Internet com o recurso de certificado digital para identificar o emissor e criptografia para garantir sua integridade e confidencialidade.
www.microsoft.com.br

Conceitos da Segurana da Informao

Disponibilidade

Este conceito tem despertado maior interesse depois que os negcios passaram a depender mais da informao para serem geridos. Afinal, de nada adiantar uma completa infra-estrutura tecnolgica, com recursos que garantam a integridade e confidencialidade das informaes, se quando for preciso acess-la, a mesma no estiver disponvel. Ex.: informaes financeiras que precisam ser consultadas para apoiar tomadas de deciso.
www.microsoft.com.br

Conceitos Gerais
Macro desafio da segurana da informao

Garantir a... Integridade Confidencialidade Disponibilidade

das informa informaes.
www.microsoft.com.br

Macro desafio da Segurana da Informao

Copyright Modulo Security Solutions - 2004

Criao
Manuseio Transporte Armazenamento Descarte

Ameaas
So os agentes ou condies que causam incidentes que comprometem as informaes e seus ativos por meio da explorao de vulnerabilidades. Podem ser:

Naturais: Ameaas decorrentes de fenmenos da natureza como incndios naturais, enchentes, terremotos, etc. Involuntrias: Ameaas inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causadas por acidentes, erros, falta de energia, etc. Voluntrias: Ameaas propositais causadas por agentes humanos como hackers, invasores, espies, ladres, criadores e disseminadores de vrus de computador, incendirios.

www.microsoft.com.br

10

Conceitos Gerais
Vulnerabilidades So fragilidades presentes ou associadas aos ativos que manipulam informaes que, ao serem exploradas por ameaas, permite a ocorrncia de um incidente de segurana, afetando negativamente um ou mais princpio da segurana da informao.
Naturais Software Comunicao

Fsicas

Hardware

Mdias

Humanas

www.microsoft.com.br

Impacto

Copyright Modulo Security Solutions - 2004

Abrangncia que os danos causados por um incidente de

segurana afeta um ou mais processos de negcio.

Incidente - Fato (evento) decorrente da ao de uma

ameaa, que explora uma ou mais vulnerabilidades, levando a perda de princpios da segurana da informao: confidencialidade, integridade e disponibilidade. Um incidente gera impactos aos processos de negcio da empresa, sendo ele o elemento a ser evitado em uma cadeia de gesto de processos e pessoas.

www.microsoft.com.br

Vulnerabilidades do Protocolo

IP IP

www.microsoft.com.br

11

Conceitos Gerais
Vulnerabilidades em IP

Vulnerabilidade Vulnerabilidade

Internet
Cliente Acesso Internet Vulnerabilidade Web Site Servidor

Rede Interna

www.microsoft.com.br

Anatomia de um ataque

Copyright Modulo Security Solutions - 2004

Explorao

Momento de explorar o ambiente invadido e as informaes disponveis. Momento de testar efetivamente as tcnicas na tentativa de invaso e conhecer as reais vulnerabilidades. Momento de coletar o maior nmero de informaes sobre o alvo. Momento de definir os objetivos e estratgias do ataque.

Invaso

Coleta de Dados

Planejamento

www.microsoft.com.br

Macro Soluo de Segurana

Administrao Implementao Poltica Anlise

Situao atual

www.microsoft.com.br

12

Conceitos Gerais
Solues em Segurana
Segurana Fsica Autenticao e Autorizao Combate a Ataques e Invases Teste de Invaso

Internet
Cliente Acesso Internet Segurana em Comunicao e Privacidade Poltica de Segurana Anlise de Segurana Auditoria Plano de Contingncia Web Site Servidor

Rede Interna

www.microsoft.com.br

Concluso

Copyright Modulo Security Solutions - 2004

Segurana da Informao :

um problema tecnolgico e humano;

um problema cclico; a proteo de todos os ativos igualitariamente; administrar riscos; um investimento necessrio; fator crtico de sucesso!
www.microsoft.com.br

Referncias: aprofundando o conhecimento...

Segurana
www.modulo.com.br www.modulo.com.br/links/index.htm www.sans.org www.certisign.com.br www.verisign.com www.securityportal.com www.securityfocus.com www.securitywatch.com www.ntbugtrack.com www.infowar.com www.first.org www.attrition.org www.isc2.org www.thegartnergroup.org

www.microsoft.com.br

13

Conceitos Gerais
Conceitos Gerais

Academia Latino Americana de Seguran Segurana da Informa Informao

Copyright Modulo Security Solutions - 2004

14