Escolar Documentos
Profissional Documentos
Cultura Documentos
Conceitos Gerais
www.microsoft.com.br
Agenda
Histrico O que segurana da informao Conceito de risco Conceito da segurana da informao Aspectos da segurana da informao Macro desafio da segurana da informao Ameaas / Vulnerabilidades / Impactos / Vulnerabilidades de protocolo / Vulnerabilidades de IP Anatomia de um ataque Macro soluo de segurana Solues em segurana
www.microsoft.com.br
Histrico
www.microsoft.com.br
Conceitos Gerais
Era do conhecimento
poca
70s, 80s
Ambiente
Mainframe Mainframe + Rede
Proteo
Dados Dados + Informao
Foco Principal
Confidencialidade
Posio da Informtica
Retaguarda
80s, 90s
90s, 2000
Negcio
www.microsoft.com.br
Integrar
Tecnologia da Informao
Gesto
Negcios
www.microsoft.com.br
Conceitos Gerais
Cena da nova economia
www.microsoft.com.br
Atualizao Tecnolgica
Autenticao, Poltica de Segurana, ...
Gerncia de Mudanas
Capacitao, responsabilizao, implementao, ...
Planejamento Estratgico
Priorizao de aes, integrao com o negcio, ... Plano de Ao
www.microsoft.com.br
Ttico
Operacional
www.microsoft.com.br
Conceitos Gerais
Desafios da segurana na nova economia
Controle centralizado;
Ambiente
Integrao
Gesto do investimento.
www.microsoft.com.br
Ondas de investimento
2000
Infra de Internet E-commerce ERP Y2K Segurana
www.microsoft.com.br
Agrega valor
Controles
Conscientizao
Diminui os riscos, custos diretos e indiretos provocados pelos incidentes de quebra de segurana
www.microsoft.com.br
Conceitos Gerais
Papel da Segurana
SEGURANA
AMEAAS
www.microsoft.com.br
Papel da Segurana
SEGURANA
Invases Vazamentos
Ausncia de Fragmentadora
Acesso Indevido
AMEAAS
Retrabalho Indisponib. Indisponib . Fraudes Sabotagens
www.microsoft.com.br
Papel da Segurana
SEGURANA
Risco tendendo a zero
www.microsoft.com.br
Conceitos Gerais
Ao sobre os ativos
Ao sobre os ativos
Segurana se faz protegendo todos os elos da corrente, ou seja, todos os ativos que compem seu negcio. Afinal, o poder de proteo da corrente est diretamente associado ao elo mais fraco! Tecnologia Processos Pessoas Ambiente
Informaes
www.microsoft.com.br
Quebra de paradigma
Conceitos Gerais
Risco
www.microsoft.com.br
Riscos, exemplos
Incndio
Inundao Erro humano Acesso indevido Fraude Sabotagem Vazamento Invaso Retrabalho Espionagem Industrial Indisponibilidade Perda de imagem Perda financeira ...
www.microsoft.com.br
Crescimento do risco
Segurana
Cadeia de Valor Extranet B2C Site Institucional Acesso Internet Intranet Rede Corporativa
Digital Marketplace
IP
IP
Conectividade
www.microsoft.com.br
Conceitos Gerais
Vulnerabilidades que maximizam os riscos
Grupos: Fsicas; Naturais; Equipamentos; Mdias; Comunicao; Humanas.
www.microsoft.com.br
Ausncia de controle de acesso fsico; Ausncia de fragmentadora de papel; Senha fraca; Criptografia fraca; Autenticao fraca; Autorizao deficiente; Sistemas operacionais desatualizados; Email sem proteo; Bugs de software; Backdoors; Ausncia de rotinas formais de backup; Recurso humano inconsciente e incapacitado; Ausncia de uma Poltica de Segurana; ...
www.microsoft.com.br
! !
8
Engenharia social; Sniffer; Vrus; DDoS Distributed Denial of Service; Spoofing; Trashing; Password Crackers; Trojan Horse; ...
www.microsoft.com.br
Conceitos Gerais
Conceitos da Segurana da Informao
Integridade
Diferente do que pode parecer, o conceito Integridade est ligado ao estado da informao no momento de sua gerao e resgate. Ela estar ntegra se em tempo de resgate, estiver fiel ao estado original. Ex.: Gerao - 2 + 2 = 5 Resgate - 2 + 2 = 5
A Integridade no se prende ao contedo, que pode estar errado, mas variaes e alteraes entre o processo de gerao e resgate. Integridade no a exatido da informao.
www.microsoft.com.br
Confidencialidade
Confidencialidade no est relacionado ao isolamento da informao e ao seu no compartilhamento, trancafiandoa. Pelo contrrio. O conceito est ligado crescente necessidade de compartilhamento da informao, mas se utilizando de controles que permitam o acesso de pessoas e mquinas autorizadas, de forma segura. Ex.: informao em email que trafega pela Internet com o recurso de certificado digital para identificar o emissor e criptografia para garantir sua integridade e confidencialidade.
www.microsoft.com.br
Disponibilidade
Este conceito tem despertado maior interesse depois que os negcios passaram a depender mais da informao para serem geridos. Afinal, de nada adiantar uma completa infra-estrutura tecnolgica, com recursos que garantam a integridade e confidencialidade das informaes, se quando for preciso acess-la, a mesma no estiver disponvel. Ex.: informaes financeiras que precisam ser consultadas para apoiar tomadas de deciso.
www.microsoft.com.br
Conceitos Gerais
Macro desafio da segurana da informao
Criao
Manuseio Transporte Armazenamento Descarte
Ameaas
So os agentes ou condies que causam incidentes que comprometem as informaes e seus ativos por meio da explorao de vulnerabilidades. Podem ser:
Naturais: Ameaas decorrentes de fenmenos da natureza como incndios naturais, enchentes, terremotos, etc. Involuntrias: Ameaas inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causadas por acidentes, erros, falta de energia, etc. Voluntrias: Ameaas propositais causadas por agentes humanos como hackers, invasores, espies, ladres, criadores e disseminadores de vrus de computador, incendirios.
www.microsoft.com.br
10
Conceitos Gerais
Vulnerabilidades So fragilidades presentes ou associadas aos ativos que manipulam informaes que, ao serem exploradas por ameaas, permite a ocorrncia de um incidente de segurana, afetando negativamente um ou mais princpio da segurana da informao.
Naturais Software Comunicao
Fsicas
Hardware
Mdias
Humanas
www.microsoft.com.br
Impacto
ameaa, que explora uma ou mais vulnerabilidades, levando a perda de princpios da segurana da informao: confidencialidade, integridade e disponibilidade. Um incidente gera impactos aos processos de negcio da empresa, sendo ele o elemento a ser evitado em uma cadeia de gesto de processos e pessoas.
www.microsoft.com.br
Vulnerabilidades do Protocolo
IP IP
www.microsoft.com.br
11
Conceitos Gerais
Vulnerabilidades em IP
Vulnerabilidade Vulnerabilidade
Internet
Cliente Acesso Internet Vulnerabilidade Web Site Servidor
Rede Interna
www.microsoft.com.br
Anatomia de um ataque
Explorao
Momento de explorar o ambiente invadido e as informaes disponveis. Momento de testar efetivamente as tcnicas na tentativa de invaso e conhecer as reais vulnerabilidades. Momento de coletar o maior nmero de informaes sobre o alvo. Momento de definir os objetivos e estratgias do ataque.
Invaso
Coleta de Dados
Planejamento
www.microsoft.com.br
Situao atual
www.microsoft.com.br
12
Conceitos Gerais
Solues em Segurana
Segurana Fsica Autenticao e Autorizao Combate a Ataques e Invases Teste de Invaso
Internet
Cliente Acesso Internet Segurana em Comunicao e Privacidade Poltica de Segurana Anlise de Segurana Auditoria Plano de Contingncia Web Site Servidor
Rede Interna
www.microsoft.com.br
Concluso
Segurana da Informao :
um problema cclico; a proteo de todos os ativos igualitariamente; administrar riscos; um investimento necessrio; fator crtico de sucesso!
www.microsoft.com.br
www.microsoft.com.br
13
Conceitos Gerais
Conceitos Gerais
14