SEGURANÇA DA INFORMAÇÃO

Aula 03 – Aplicação da Segurança da

Informação

Prof. Édison Kazuo Igarashi

e-mail: edison.igarashi@fatec.sp.gov.br
 Tópicos da Aula
● Problemas de Segurança
● Vulnerabilidade
● Ameaça
● Impactos e Riscos
● Medidas de Segurança
● Mapeamento e Equipe
● Tipos de Segurança
● Legislações e Normas
● Políticas e Procedimentos 2
Problemas de Segurança

3
 Problemas em Segurança
●
Informação NÃO tratada com cuidados:
– Perda de credibilidade
– Quebra de confiança
– Desconforto

4
 Problemas em Segurança
●
Exemplos práticos:
– Alteração de conteúdo;
– Alterações nos elementos que oferecem suporte à
informação

5
 Problemas de Segurança
●
Agentes e causas que geram transtornos:
– Engenharia social
– Pessoas mal treinadas
– Falta de comprometimento do Administrador

6
 Problemas de Segurança
●
Como???
- Conhecendo as fragilidades
. Vulnerablidades
. Ameaças

7
Vulnerabilidade

8
 Vulnerabilidade
● Fragilidade presente ou associada a ativos
– Manipulam e/ou processam informações
– Quando explorada:
●
Permite a ocorrência de um incidente de segurança
●
Para que hajam incidentes, é necessário um agente
causador (ameaça) e a condição favorável a isto

●
Obs: A vulnerabilidade por si só não provoca
um incidente pois é um elemento passivo 9
 Tipos de Vulnerabilidade
●
Físicas:
– Instalações prediais fora do padrão
– Salas de CPD mal planejadas,
– Falta de extintores e de outros recursos de
combate a incêndios

10
 Tipos de Vulnerabilidade
●
Naturais (eventos e desastres):
– Enchentes
– Acúmulo de poeira,
– Aumento da umidade e de temperatura

●
Hardware
– Falha nos recursos tecnológicos ou erros durante a instalação

11
 Tipos de Vulnerabilidade
●
Software
– Erros na instalação ou na configuração podem
acarretar em:
● Acessos indevidos
● Vazamento de informações
●
Perda de dados ou indisponibilidade do recurso quando
necessário

12
 Tipos de Vulnerabilidade
●
Mídias
– Disco e fitas magnéticas
– Relatórios e impressos perdidos ou danificados

●
Comunicação
– Acessos não autorizados
– Perda de comunicação

13
 Tipos de Vulnerabilidade
●
Humanas
– Falta de treinamento
– Compartilhamento de informações confidenciais
– Não execução de rotinas de segurança
– Erros ou omissões
– Sabotagens
– Distúrbios civis
– Greves
– Invasões ou guerras 1
4
Ameaças

1
5
 Ameaças
● Dois tipos: involuntárias e voluntárias
● Involuntárias:
– Fenômenos da natureza:
●
Incêndios naturais
● Enchentes, terremotos, tempestades eletromagnéticas
● Aquecimento e poluição

– Acidentes
– Erros
– Falta de energia elétrica 1
6
 Ameaças
●
Voluntárias
– Agentes humanos:
● Hackers
● Invasores
● Espiões
● Ladrões
● Criadores e disseminadores de vírus de computador
● Incendiários
17
 Sobre os Incidentes
●
Fato ou evento decorrente da ação de uma ameaça
●
Explora uma ou mais vulnerabilidades causando perda
ou extravio de informações
●
Gera impactos aos processos de negócio da empresa
●
A gravidade de um incidente pode ser analisada em
termos qualitativos e quantitativos, medido pelo
impacto

18
Sobre os Incidentes

19
Impactos e Riscos

20
 Impacto
●
Danos causados por um incidente de
segurança
– Sobre um ou mais processos de negócio
– Prejuízo financeiro

21
 Riscos
●
Probabilidade de ameaças explorarem
vulnerabilidades
●
Possivelmente causando impacto nos negócios

22
Medidas de Segurança

23
 Medidas de Segurança
●
Definição:
– Práticas, procedimentos e mecanismos utilizados
para proteção dos ativos de informação
●
Podem impedir que as ameaças explorem as
vulnerabilidades
●
Permitem a redução das vulnerabilidades, a
limitação do impacto ou minimização do risco de
qualquer outra forma
24
 Medidas de Segurança
●
Podem ser:
– Preventivas, Detectáveis e Corretivas
●
Preventivas:
– evitar que incidentes ocorram
– Manter a segurança já implementada por meio de
mecanismos que estabelecem a conduta e a ética da
segurança da instituição
– Exemplos:
●
Políticas de Segurança,
2
●
Ferramentas de implementação da política de segurança 5
 Medidas de Segurança
●
Detectáveis:
– Identificar condições ou indivíduos causadores de
ameaças
– Evitar que as condições ou indivíduos explorem
vulnerabilidades
– Exemplos:
●
Análise de risco
● Sistemas de detecção de intrusão
● Alertas de segurança
2
●
Câmeras de vigilância 6
 Medidas de Segurança
●
Corretivas
– correção de uma estrutura tecnológica e/ou
humana para que as mesmas se adaptem às
condições de segurança estabelecidas
– Reduz impactos
– Exemplos:
● Equipamentos para emergência
● Restauração por backup
2
●
Plano de continuidade 7
Mapeamento e Equipe

28
Mapeamento e Equipe

29
 Mapeamento
●
Mapeamento das Informações:
– facilita o gerenciamento (nível de importância de
determinadas informações)
– Ajudar a definir possíveis ações de segurança e
onde devem ser aplicadas
– Pode ser feito por meio de ciclos

30
Tipos de Segurança

31
 Tipos de Segurança
●
Principais tipos de segurança:
– Segurança física
– Segurança tecnológica – Aplicação
– Segurança tecnológica – S.O. e Redes

32
 Segurança Física
●
Limitar o acesso ao espaço físico para impedir o
roubo de ativos e entrada não autorizada
●
Proteger contra o vazamento de informações e
roubo de documentos
– Ex: Dumpster Diving (vasculhar lixo) – recolher
informações confidenciais por peneirar lixo de uma
empresa

33
Segurança Tecnológica – Aplicação
●
Não há falhas no processo de verificação de
identidade
●
Configuração correta do servidor:
– Arquivos locais
– Banco de dados bem configurado
● Interpretação robusta dos dados

34
 Segurança Tecnológica – S.O. e
Redes
●
Aplicativos utilizam o S.O. para diversas funções (ex.:
servidores web)
– O código do S.O. provavelmente contém vulnerabilidades:
●
Baixar patches necessários (ex.: Windows Update para patches
críticos)
● Segurança de rede: mitigar o tráfego malicioso
– Ferramentas: Sistemas de Detecção de Intrusão e Firewalls

35
Legislação e Normas

36
 Legislação e Normas
●
Lei 12.737/2012
– Dispõe sobre a tipificação criminal de delitos informáticos
– Art. 154-A. Invadir dispositivo informático alheio,
conectado ou não à rede de computadores, mediante
violação indevida de mecanismo de segurança e com o fim
de obter, adulterar ou destruir dados ou informações sem
autorização expressa ou tácita do titular do dispositivo ou
instalar vulnerabilidades para obter vantagem ilícita:
●
Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
37
 Legislação e Normas
●
Família 27000
– ISO/IEC 27000:2016 - Overview and vocabulary
– ISO/IEC 27001:2013 (ABNT NBR) – Sistemas de
gestão da segurança da informação
– ISO/IEC 27002:2013 (ABNT NBR) – Código de
prática para controles de segurança da informação

38
 Legislação e Normas
●
Família 27000
– ISO/IEC 27003:2015 (ABNT NBR) – Diretrizes para implantação de
um sistema de gestão da segurança da informação
– ISO/IEC 27005:2011 (ABNT NBR) – Gestão de riscos de segurança
da informação
– ISO/IEC 27007:2012 (ABNT NBR) – Diretrizes para auditoria de
sistemas de gestão da segurança da informação
– ISO/IEC 27014:2013 (ABNT NBR) – Governança de segurança da
informação

39
Políticas e Procedimentos

40
 Políticas e procedimentos
●
Proteger informações corporativas
confidenciais
●
Os funcionários precisam estar cientes, e
instruídos para serem vigilantes
– Ex: Ataque de engenharia social: Aproveitando de
funcionários inocentes (atacante convence
funcionário a divulgar seu nome de usuário e
senha)
41
 Segurança é Holística
● Segurança física
● Segurança tecnológica
– Segurança em aplicações
– Segurança do Sistema Operacional
– Segurança de rede
●
Políticas e Procedimentos

●
Todos eles são necessários
4
2
 Atividade
Com base no artigo “O perigo de dentro” responda:

1. Qual a ameaça no que se refere à segurança da informação?

2. Por que ele é um risco pouco conhecido?
3. Quais as causas de seu crescimento?
4. Os gerentes têm responsabilidade nesta situação? Por quê?
5. Quais os motivos que levam as pessoas a executarem estes ataques?
6. As proteções para a segurança da informação são mais eficazes contra fontes
externas do que as internas? Por quê?
7. A adoção de uma política de segurança resolve o problema? Explique.
8. Cite algumas das atividades mais importantes que líderes não tecnológicos devem
pedir para seus departamentos de TI.
9. Qual a estratégia MAIS EFICAZ para neutralizar uma ameaça segundo o texto?