Segurança da Informação

Unidade 1
Conceitos Gerais sobre
Segurança da Informação

Diorgens Miguel Meira

Importância da SI para os Negócios

Valor da informação;

Negócios dependentes da Tecnologia;

Prática ativa de segurança nos negócios,

envolvendo:
 processos,
 informações,
 funcionários,
 produtos.

Diorgens Miguel Meira

A importância da Informação

Quanto vale informação para uma empresa?

Sem Informação uma empresa pode

sobreviver quanto tempo?

O que exatamente precisa de ser protegido?

Diorgens Miguel Meira

Segurança da Informação

 Antes dos computadores

Informações armazenadas em papel;

Segurança relativamente simples;

Preocupação básica:
 Trancar documentos em local seguro;
 Restringir o acesso físico a este local.
 Após os computadores / conectividade

Necessidade de estrutura de segurança mais
sofisticada;

Necessidade de controles lógicos centralizados.

Diorgens Miguel Meira

Segurança da Informação
 Benefícios da prática da SI

Redução de riscos contra vazamento de
informações confidenciais / sigilosas;

Redução da probabilidade de fraudes;

Diminuição de erros devido a treinamentos e
mudança de comportamento;

Manuseio correto de informações confidenciais;

Aumento da produtividade dos usuários;

Ambiente mais organizado;

Maior controle sobre os recursos de informática;

Viabiliza uso de aplicações de missão crítica.

Diorgens Miguel Meira

Segurança da Informação
 Questões

O que se quer proteger?

Contra que ou quem?

Quais são as ameaças?

Qual a importância de cada recurso?

Qual o grau de proteção desejado?

Quanto gastar: tempo, $, RH?

Expectativas dos usuários e clientes em relação à SI ?

Quais as conseqüências se seus sistemas e informações
forem corrompidos ou roubados?
 Conforme respostas, estabelece-se política de SI.

Diorgens Miguel Meira

Segurança da Informação

 “É fácil ter-se um sistema de computação

seguro. Você meramente tem que
desconectar o seu sistema de qualquer rede
externa, e permitir somente terminais
ligados diretamente a ele. Pôr a máquina e
seus terminais em uma sala fechada, e um
guarda na porta.“

F.T. Grampp e R.H. Morris

Diorgens Miguel Meira

Cenário Atual do Mundo
Roubo de notebooks com dados sigilosos assusta empresas
IDG Now!

Computador com segredos de Estado desaparece nos EUA

Folha de São Paulo

Hackers roubam cartões de crédito de site pró-israelita

Site Securenet

O "vírus do amor" causou um prejuízo de US$2,5 bi nas

empresas e atingiu por volta de 600 mil computadores nos
EUA
Site Anti-Hackers

Diorgens Miguel Meira

Objetivos da SI

 Confidencialidade ou privacidade;
 Integridade de dados;
 Disponibilidade;
 Consistência;
 Isolamento ou uso legítimo;
 Auditoria;
 Confiabilidade.

Diorgens Miguel Meira

Elementos tratados pela SI
 Risco (R) é a probabilidade de que agentes,
que são Ameaças (A), explorem
Vulnerabilidades (V), expondo os ativos de
informação a perdas de confidencialidade,
integridade e disponibilidade, e causando
Impactos (I) nos negócios.

 Os Impactos são limitados por medidas de

segurança (M), que representam os controles.

V × A× I
R=
M
Diorgens Miguel Meira
Ativo de Informação

 Ativo é tudo que manipula direta ou

indiretamente uma informação, inclusive a
própria informação, dentro de uma
organização, e é isso que deve ser protegido
para que o negócio funcione corretamente.

Diorgens Miguel Meira

Vulnerabilidades

 Ponto suscetível a ataque:

Físicos;

Naturais;

Hardware;

Software;

Mídias;

Comunicações;

Humanos.

Diorgens Miguel Meira

Ameaças
 Fatores que podem causar incidentes de segurança

Internas / Externas;

Intencionais / Acidentais;

Ativas / Passivas;

Catástrofes;

Falha de energia elétrica;

Pane nos equipamentos de comunicação;

Pane na rede;

Problemas nos sistemas operacionais;

Problemas nos sistemas corporativos;

Comportamento (anti)social – paralisações e greves; alcoolismo e drogas; rixas
entre funcionários setores, gerências, diretorias; inveja profissional; etc.

Ação criminosa – furtos e roubos; fraudes; sabotagem; terrorismo e atentados;
seqüestros; espionagem industrial; engenharia social; etc.

 Risco pode ser reduzido, não eliminado;

 Controles existem para minimizar riscos.

Diorgens Miguel Meira

Ameaças à Segurança da Informação
F D
Fonte de Destino da
Informação Informação
Fluxo Normal

F D F D

I
Interrupção Interceptação

F D F D

M F
Modificação Fabricação
Diorgens Miguel Meira
Ameaças

 Internas

fraudes cometidas por funcionários;

roubo de informações;

erros humanos;

treinamento inadequado;

utilização inadequada do e-mail;

contaminação por vírus;

pirataria de software, etc.

Diorgens Miguel Meira

Ameaças

 Externas

Perpetradas por hackers, crackers, phreakers,
lammers, ex-funcionários, phishers, etc;

Esse agentes citados buscam ganhos financeiros,
vingança, necessidade de aceitação ou respeito,
idealismo, anarquia, ignorância, espionagem
industrial, etc.

Diorgens Miguel Meira

Possíveis conseqüências...

 Desastre

É o impacto de uma força externa agressiva (ameaça)
ocasionando perda ou prejuízo significativo

Diorgens Miguel Meira

 Agentes

 Quem pratica os crimes por computador ?

57%

21%
12%
8%
2%

Funcionários Empregados não Invasores de fora Parceiros de Concorrentes

autorizados a autorizados da empresa negócios das
entrar no sistema empresas

Fonte: Pricewaterhouse Coopers

Diorgens Miguel Meira

Fonte de Problemas ou Ataques

Estudante – Alterar ou enviar e-mail em
nome de outros.

Hacker / Cracker - Examinar a segurança

do Sistema; Roubar informação.

Empresário - Descobrir o plano de

marketing estratégico do competidor.

Ex-empregado - Vingar-se por ter sido

despedido.

Diorgens Miguel Meira

Fonte de Problemas ou Ataques

Contador - Desviar dinheiro de uma
empresa

Corretor - Negar uma solicitação feita a

um cliente por e-mail.

Terrorista - Roubar segredos de guerra

Outros

Diorgens Miguel Meira

Invasores digitais

 Hackers
 Crackers
 Phreakers
 Lammers
 Carders
 Defacer
 Script Kiddies

Diorgens Miguel Meira

Incidente de Segurança
 Incidente de segurança: qualquer evento que prejudique o
bom andamento dos sistemas, das redes ou do próprio
negócio.

 Pode ser o resultado de uma violação de segurança

concretizada, um acesso não-autorizado a determinadas
informações confidenciais ou até mesmo um site tirado do ar
por ação de um hacker;

 Os incidentes de segurança ocorrem pela ação efetiva de

determinada ameaça através de uma vulnerabilidade
encontrada.

 Logo, podemos afirmar que os incidentes de segurança

somente podem ser concretizados quando existem ambientes
propícios, ou seja, vulnerabilidades.

Diorgens Miguel Meira

Implicações
 Ameaças e suas implicações para os negócios das empresas

Diorgens Miguel Meira

Ciclo da Segurança da Informação

Fonte: Moreira, Nilton S.

Diorgens Miguel Meira

Ciclo de Vida da Segurança
O que precisa
ser protegido?

Simulação de Como
um ataque proteger?

Qual prejuízo, se Qual é nível da

ataque sucedido? proteção?

Qual é probabilidade
de um ataque?

Diorgens Miguel Meira

Estratégias adotadas num modelo de SI

 Política de Segurança;
 Criptografia forte / Certificação Digital;
 Controle de Acesso (físico e lógico) / Segurança física;
 Política de backup;
 Plano de Continuidade de Negócios;
 Monitoração;
 Firewall / Segurança de roteadores / Filtros de conteúdo;
 Política de senha;
 Detecção de intrusos / Teste de invasão / Alertas;
 Treinamento/Conscientização dos usuários;
 Auditoria de sistemas;
 Antivírus.

Diorgens Miguel Meira

Grupos de Estratégias

 Preventiva:

Antecipar-se aos incidentes de segurança;

 Detectiva:

Auditabilidade, monitoramento e detecção em
tempo real de tentativas de invasão;

 Corretiva:

Mecanismos e procedimentos necessários para a
recuperação e a continuidade dos negócios.

Diorgens Miguel Meira

Os 4 P’s dos planos de Segurança
 Paranóico

Tudo é proibido, mesmo aquilo que deveria ser permitido.

 Proibitivo

Tudo aquilo que não é permitido é explicitamente proibido.

 Permissivo

Oposto ao proibitivo. tudo aquilo que não é proibido é
explicitamente permitido.

 Promíscuo

Tudo é permitido, incluindo aquilo que deveria ser proibido.

Diorgens Miguel Meira

Cu$to da $egurança da Informação

 Avaliação de Custo x Benefício da SI

 Controles x Necessidades do Negócio
 Avaliação de Risco

Diorgens Miguel Meira

Custo da Segurança da Informação

 Segundo a pesquisa do Gartner, os orçamentos voltados à

aquisição de sistemas voltados à proteção de dados corporativos e
conformidade com normas regulatórias devem crescer 4% em 2010

Diorgens Miguel Meira

Fim da Unidade 1

Diorgens Miguel Meira