Escolar Documentos
Profissional Documentos
Cultura Documentos
e-mail: edison.igarashi@fatec.sp.gov.br
Tópicos da Aula
● Problemas de Segurança
● Vulnerabilidade
● Ameaça
● Impactos e Riscos
● Medidas de Segurança
● Mapeamento e Equipe
● Tipos de Segurança
● Legislações e Normas
● Políticas e Procedimentos 2
Problemas de Segurança
3
Problemas em Segurança
●
Informação NÃO tratada com cuidados:
– Perda de credibilidade
– Quebra de confiança
– Desconforto
4
Problemas em Segurança
●
Exemplos práticos:
– Alteração de conteúdo;
– Alterações nos elementos que oferecem suporte à
informação
5
Problemas de Segurança
●
Agentes e causas que geram transtornos:
– Engenharia social
– Pessoas mal treinadas
– Falta de comprometimento do Administrador
6
Problemas de Segurança
●
Como???
- Conhecendo as fragilidades
. Vulnerablidades
. Ameaças
7
Vulnerabilidade
8
Vulnerabilidade
● Fragilidade presente ou associada a ativos
– Manipulam e/ou processam informações
– Quando explorada:
●
Permite a ocorrência de um incidente de segurança
●
Para que hajam incidentes, é necessário um agente
causador (ameaça) e a condição favorável a isto
●
Obs: A vulnerabilidade por si só não provoca
um incidente pois é um elemento passivo 9
Tipos de Vulnerabilidade
●
Físicas:
– Instalações prediais fora do padrão
– Salas de CPD mal planejadas,
– Falta de extintores e de outros recursos de
combate a incêndios
10
Tipos de Vulnerabilidade
●
Naturais (eventos e desastres):
– Enchentes
– Acúmulo de poeira,
– Aumento da umidade e de temperatura
●
Hardware
– Falha nos recursos tecnológicos ou erros durante a instalação
11
Tipos de Vulnerabilidade
●
Software
– Erros na instalação ou na configuração podem
acarretar em:
● Acessos indevidos
● Vazamento de informações
●
Perda de dados ou indisponibilidade do recurso quando
necessário
12
Tipos de Vulnerabilidade
●
Mídias
– Disco e fitas magnéticas
– Relatórios e impressos perdidos ou danificados
●
Comunicação
– Acessos não autorizados
– Perda de comunicação
13
Tipos de Vulnerabilidade
●
Humanas
– Falta de treinamento
– Compartilhamento de informações confidenciais
– Não execução de rotinas de segurança
– Erros ou omissões
– Sabotagens
– Distúrbios civis
– Greves
– Invasões ou guerras 1
4
Ameaças
1
5
Ameaças
● Dois tipos: involuntárias e voluntárias
● Involuntárias:
– Fenômenos da natureza:
●
Incêndios naturais
● Enchentes, terremotos, tempestades eletromagnéticas
● Aquecimento e poluição
– Acidentes
– Erros
– Falta de energia elétrica 1
6
Ameaças
●
Voluntárias
– Agentes humanos:
● Hackers
● Invasores
● Espiões
● Ladrões
● Criadores e disseminadores de vírus de computador
● Incendiários
17
Sobre os Incidentes
●
Fato ou evento decorrente da ação de uma ameaça
●
Explora uma ou mais vulnerabilidades causando perda
ou extravio de informações
●
Gera impactos aos processos de negócio da empresa
●
A gravidade de um incidente pode ser analisada em
termos qualitativos e quantitativos, medido pelo
impacto
18
Sobre os Incidentes
19
Impactos e Riscos
20
Impacto
●
Danos causados por um incidente de
segurança
– Sobre um ou mais processos de negócio
– Prejuízo financeiro
21
Riscos
●
Probabilidade de ameaças explorarem
vulnerabilidades
●
Possivelmente causando impacto nos negócios
22
Medidas de Segurança
23
Medidas de Segurança
●
Definição:
– Práticas, procedimentos e mecanismos utilizados
para proteção dos ativos de informação
●
Podem impedir que as ameaças explorem as
vulnerabilidades
●
Permitem a redução das vulnerabilidades, a
limitação do impacto ou minimização do risco de
qualquer outra forma
24
Medidas de Segurança
●
Podem ser:
– Preventivas, Detectáveis e Corretivas
●
Preventivas:
– evitar que incidentes ocorram
– Manter a segurança já implementada por meio de
mecanismos que estabelecem a conduta e a ética da
segurança da instituição
– Exemplos:
●
Políticas de Segurança,
2
●
Ferramentas de implementação da política de segurança 5
Medidas de Segurança
●
Detectáveis:
– Identificar condições ou indivíduos causadores de
ameaças
– Evitar que as condições ou indivíduos explorem
vulnerabilidades
– Exemplos:
●
Análise de risco
● Sistemas de detecção de intrusão
● Alertas de segurança
2
●
Câmeras de vigilância 6
Medidas de Segurança
●
Corretivas
– correção de uma estrutura tecnológica e/ou
humana para que as mesmas se adaptem às
condições de segurança estabelecidas
– Reduz impactos
– Exemplos:
● Equipamentos para emergência
● Restauração por backup
2
●
Plano de continuidade 7
Mapeamento e Equipe
28
Mapeamento e Equipe
29
Mapeamento
●
Mapeamento das Informações:
– facilita o gerenciamento (nível de importância de
determinadas informações)
– Ajudar a definir possíveis ações de segurança e
onde devem ser aplicadas
– Pode ser feito por meio de ciclos
30
Tipos de Segurança
31
Tipos de Segurança
●
Principais tipos de segurança:
– Segurança física
– Segurança tecnológica – Aplicação
– Segurança tecnológica – S.O. e Redes
32
Segurança Física
●
Limitar o acesso ao espaço físico para impedir o
roubo de ativos e entrada não autorizada
●
Proteger contra o vazamento de informações e
roubo de documentos
– Ex: Dumpster Diving (vasculhar lixo) – recolher
informações confidenciais por peneirar lixo de uma
empresa
33
Segurança Tecnológica – Aplicação
●
Não há falhas no processo de verificação de
identidade
●
Configuração correta do servidor:
– Arquivos locais
– Banco de dados bem configurado
● Interpretação robusta dos dados
34
Segurança Tecnológica – S.O. e
Redes
●
Aplicativos utilizam o S.O. para diversas funções (ex.:
servidores web)
– O código do S.O. provavelmente contém vulnerabilidades:
●
Baixar patches necessários (ex.: Windows Update para patches
críticos)
● Segurança de rede: mitigar o tráfego malicioso
– Ferramentas: Sistemas de Detecção de Intrusão e Firewalls
35
Legislação e Normas
36
Legislação e Normas
●
Lei 12.737/2012
– Dispõe sobre a tipificação criminal de delitos informáticos
– Art. 154-A. Invadir dispositivo informático alheio,
conectado ou não à rede de computadores, mediante
violação indevida de mecanismo de segurança e com o fim
de obter, adulterar ou destruir dados ou informações sem
autorização expressa ou tácita do titular do dispositivo ou
instalar vulnerabilidades para obter vantagem ilícita:
●
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
37
Legislação e Normas
●
Família 27000
– ISO/IEC 27000:2016 - Overview and vocabulary
– ISO/IEC 27001:2013 (ABNT NBR) – Sistemas de
gestão da segurança da informação
– ISO/IEC 27002:2013 (ABNT NBR) – Código de
prática para controles de segurança da informação
38
Legislação e Normas
●
Família 27000
– ISO/IEC 27003:2015 (ABNT NBR) – Diretrizes para implantação de
um sistema de gestão da segurança da informação
– ISO/IEC 27005:2011 (ABNT NBR) – Gestão de riscos de segurança
da informação
– ISO/IEC 27007:2012 (ABNT NBR) – Diretrizes para auditoria de
sistemas de gestão da segurança da informação
– ISO/IEC 27014:2013 (ABNT NBR) – Governança de segurança da
informação
39
Políticas e Procedimentos
40
Políticas e procedimentos
●
Proteger informações corporativas
confidenciais
●
Os funcionários precisam estar cientes, e
instruídos para serem vigilantes
– Ex: Ataque de engenharia social: Aproveitando de
funcionários inocentes (atacante convence
funcionário a divulgar seu nome de usuário e
senha)
41
Segurança é Holística
● Segurança física
● Segurança tecnológica
– Segurança em aplicações
– Segurança do Sistema Operacional
– Segurança de rede
●
Políticas e Procedimentos
●
Todos eles são necessários
4
2
Atividade
Com base no artigo “O perigo de dentro” responda: