Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança da Informação
●
A Importância da Informação
●
Possuir informação é ganhar agilidade, competitividade, previsibilidade, dinamismo.
●
Indivíduo ●
Em pres a
● Aumento da gasolina ● Discurso do presidente
● Precipitação de chuva ● Valorização do Petróleo
● Promoção da passagem aérea ● Tendências tecnológicas
● Queda da Bovespa ● Oscilação da taxa de juros
●
... ●
...
2
Segurança da Informação
●
Contextualizando.. .
●
U m computador conectado à Internet s e m firewall ou antivírus pode
ser danificado e m segundos
●
E se for u m computador corporativo com dados confidenciais...
http://globaltechconsultants.org/?q=content/what-difference-between-virus-worm-trojan-and-rootkit
3
Segurança da Informação
●
Contextualizando.. .
●
Acidentes e ataques podem dizimar todos os dados de uma empresa
que não investe e m segurança da informação
4
Segurança da Informação
●
Internet das Coisas (IoT) impactará o modo como interagimos com o
mundo à nossa volta.
●
Bilhões de "coisas" conversando u m a s com a s outras: de TVs,
geladeiras e carros a medidores inteligentes, monitores de saúde e
dispositivos vestíveis (wearables).
●
O s dados transmitidos pela IoT formarão uma representação gráfica de
cada u m de nós. O grande desafio será proteger essas informações.
5
Internet d a s C o i s a s (IoT) e o s D e s a f i o s
de Segurança
6
Internet d a s C o i s a s (IoT) e o s D e s a f i o s
de Segurança
7
Internet d a s C o i s a s (IoT) e o s D e s a f i o s
de Segurança
8
Internet d a s C o i s a s (IoT) e o s D e s a f i o s
de Segurança
9
Segurança da Informação
10
Segurança da Informação
●
E m s e g u ra n ç a d a informação três asp ec t o s
importantes se destacam
●
Confidencialidade : capacidade de u m sistema de permitir que
alguns usuários acessem determinadas informações ao m e s m o tempo
em que impede que outros, não autorizados, a vejam.
●
Integridade : a informação deve estar correta, ser verdadeira e não
estar corrompida.
●
Disponibilidade : a informação deve estar disponível para todos que
precisarem dela para a realização dos objetivos empresariais.
11
Segurança da Informação
●
Outros aspectos
●
Autenticação : garantir que u m usuário é de fato quem alega ser.
●
Não-repúdio : capacidade do sistema de provar que u m usuário
executou uma determinada ação.
●
Le gal i d ad e : garantir que o sistema esteja aderente à legislação
pertinente.
●
Privacidade : capacidade de u m sistema de manter anônimo u m
usuário, impossibilitando o relacionamento entre o usuário e sua s
ações (exe.: sistema de voto)
●
Auditoria: capacidade do sistema de auditar tudo o que foi realizado
pelos usuários, detectando fraudes ou tentativas de ataques.
12
Segurança da Informação
●
Quando falamos em segurança da informação, estamos nos referindo
a t o m a r a ç õ e s p a ra g a ra n t i r o s a s p e c t o s da segurança das
informações dentro das necessidades do clientes.
●
U m incidente d e s e g u ra n ç a é a ocorrência de u m evento que possa
causar interrupções nos processos de negócio em consequência da
violação de algum aspecto de segurança.
13
Segurança da Informação
●
Vu l n e ra b i l i d a d e s e u s o i n d e v i d o d o s S I
●
SI's são vulneráveis pois o acesso aos seus dados no formato
eletrônico é feito através de redes, que podem sofrer ataques e m
qualquer u m dos pontos de acesso à ela Sistemas Corporativos
Servidores corporativos
Cliente
(us uário)
Linhas de comunicação
Banco
de dados
●
Escuta clandestina
●
Sniffing (farejamento) Hardware
●
Alteração de mens a gem Sistemas Operacionais
●
Roubo e fraude Software
●
Acesso não autorizado ●
Radiação
●
Erros ●
Ciberpirataria
●
Vírus e worms
●
Roubo e fraude ●
Roubo, cópia e alteração de dados
●
Vandalismo ●
Falha de hardware e de software
●
Ataques de recusa de serviço
14
Segurança da Informação
●
Vu l n e ra b i l i d a d e s e u s o i n d e v i d o d o s S I
● Atacantes
● Possíveis ataques
●
Técnicas e ferramentas utilizadas
●
Objetivo: mostrar que a preocupação com segurança é essencial para
continuidade do negócio
15
Segurança da Informação
●
Software mal-intencionado
● Programas de software mal-intencionados são designados malware
● Vírus
●
S e anexa a outros programas ou dados a fim de serem executados sem a permissão
do usuário
●
Quando executado, pode realizar diversos estragos: formatar o disco, entupir a
memória, impedir a inicialização
●
São transmitidos na cópia de arquivos infectados
16
Segurança da Informação
●
Software mal-intencionado
●
Worm s
●
Programas que se reproduzem automaticamente pela rede
●
São executados automaticamente e são tão devastadores quanto os vírus
17
Segurança da Informação
●
Software mal-intencionado
●
Cavalo de Troia
●
Software que parece benigno, m a s depois faz algo diferente do esperado
●
Termo se refere ao cavalo de madeira usado pelos gregos para invadir Troia com
guerreiros escondidos
●
Geralmente serve de porta de entrada para outros malwares
18
Segurança da Informação
●
Software mal-intencionado
●
S Q L injection
●
Código SQL é inserido em formulários e para gerar comandos prejudiciais ao Banco
de Dados. Ex.:
● USER: jo’; D R O P TABLE clientes; --
● PASS: 1 2 3 4
●
Gera o seguinte comando no B D
SELECT user, pass
F RO M clientes
W HERE user = ‘jo’; D R O P TABLE clientes ; --'
A N D pass = ‘1234';
19
Segurança da Informação
●
Software mal-intencionado
●
S p yware
●
Programas que instalam-se no computador do usuário e monitora suas atividades a
fim de usar as informações para marketing
●
Key loggers
●
Categoria de spyware que registra as teclas pressionadas para detectar senhas de
usuários
20
Analisando Impactos e Calculando
Riscos
● A l g u n s e x e m p l o s d e vírus
● Beijing : no 1 2 9 o boot e a cada 6 o boot, a tela apresenta a m e n s a g e m “Bloody June 4 1989”,
menção ao massacre ocorrido na Praça da Paz Celestial e m Pequim
● D a r k A v e n g e r : vírus identificado inicialmente e m 1 9 8 9 com a intenção de infectar
arquivos .com, .exe e .ovl, é u m vírus destrutivo que encolhe aleatoriamente áreas do disco
rígido cujos dados sã o apagados gradativamente
● M e l i s s a : aparição e m 1999, infecta documentos do Word e envia cópias de arquivos
infectados a os 5 0 primeiros endereços do diretório do outlook
● Conficker: aparição e m 2008, explora u m a velha vulnerabilidade do Windows para se
espalhar pela internet por mídias removíveis e por redes desprotegidas, criados para
bloquear acesso a sites de empresas de segurança e atualizações de antivírus, além de
impedir a restauração do sistema
● M a j a v a : explora vulnerabilidades na plataforma de desenvolvimento Java, dependendo do
nível podem dar ao invasor controle total da máquina
● Br owl ock : aparição e m 2014, bloqueia o acesso do usuário a arquivos e m seu computador
21
Analisando Impactos e Calculando
Riscos
●
Alguns outros exemplos de ameaças
●
Golpes no WhatsApp: após acessar o link u m vírus poderia ser
instalado no dispositivo oferecendo acesso a seus dados e
propagando ainda mais o link para outros contatos
●
Ovo s de páscoa prometidos pelas lojas Kopenhagen (o nome da
empresa foi usada pelos atacantes)
●
Golpes do FGTS: e m 2 0 1 7 cresceu o número de domínios falsos com o
objetivo de roubar o dinheiro de quem tinha direito ao benefício
●
Ataque homográfico: a URL de u m site parece de u m forma para o
usuário m a s na verdade é outro
22
Segurança da Informação
●
Hackers e Cibervandalismo
●
Hacker
●
Indivíduo que pretende obter acesso não autorizado a u m sistema de computador
●
O termo Cracker designa o Hacker com intenções criminosas (o Hacker pode, por
exemplo, estar testando sistemas)
●
Cibervandalismo
●
Interrupção, alteração da aparência de u m site ou SI corporativo
23
Segurança da Informação
24
Segurança da Informação
25
Segurança da Informação
●
Exemplo: Michael Calce (Mafiaboy),
●
Ataque de negação de serviço contra sites de reputação
●
(eBay, CNN, Amazon, Dell e Yahoo)
●
Ele tinha 1 5 anos e o dano foi de 1.2 bilhões
● Pena: oito meses de regime aberto, u m ano de liberdade condicional,
uso restrito da Internet e uma pequena multa
26
Segurança da Informação
●
Spoofing e Sniffing
●
Spoofing ou Phishing
● Disfarce de identidade que Hackers, por exemplo, e-mail falso
● Envolve também o redirecionamento a sites falsos
●
S n iffing
●
Programa que monitora informações transmitidas pela rede
27
Segurança da Informação
●
Ataques de Recusa de Serv iço
●
D o S (Denial of Service)
●
Hackers lotam u m servidor com centenas de requisições falsas a fim de inutilizar a
rede
●
A rede recebe tantas consultas que não consegue lidar com elas e ficam
indisponíveis para solicitações de serviço legítimas
● Exs.: Wikileaks e m 2 0 1 0
● Receita Federal e m 2 0 1 1
28
Segurança da Informação
●
Roubo de Identidade
●
Crime onde impostor obtém informações pessoais importantes como
senha do cartão de crédito e CPF e se passa por outra pessoa
●
E-commerce facilita essa prática
●
Evil twins
●
Redes s e m fio monitoradas por hackers que fingem oferecer conexão gratuita à
Internet
29
Segurança da Informação
●
F ra u d e d o C l i q u e
●
Algumas propagandas são cobradas por cliques
●
Indivíduo ou programa clica repetidamente e m anúncio s e m interesse
no m e s m o
●
Empresas contratam pessoas para clicar e m anúncios e aumentar os
custos da concorrente com marketing
30
Segurança da Informação
●
Val o r E m p r e s a r i a l d a S e g u r a n ç a e d o C o n t r o l e
●
Como a segurança não está diretamente relacionada à receita de
vendas, muitas organizações relutam e m gastar muito e m segurança
●
No entanto, organizações têm ativos de informação valiosos
● Registros médicos
● Segredos de negócio
●
Informações sobre estratégias militares
●
Controle e segurança inadequados podem criar sérios riscos legais
● Violação de privacidade
● Corrupção de dados
31
Segurança da Informação
●
Val o r E m p r e s a r i a l d a S e g u r a n ç a e d o C o n t r o l e
●
Prova eletrônica e Forense Computacional
●
Cada vez mais provas são apresentadas na forma de dados, como e-mails e
transações de e-commerce pela Internet
●
Procedimento de coleta, exame, autenticação preservação e análise de dados
mantidos em meios de armazenamento digital de maneira que possam ser usadas
como prova em juízo
●
Recuperar dados s e m prejudicar seu valor probatório
● Armazenar e administrar com segurança o s dados eletrônicos recuperados
● Encontrar informações significativas e m u m a grande base de dados
32
Segurança da Informação
●
E s t r u t u ra p a ra S e g u r a n ç a e C o n t r o l e
● Quanto investimento deve ser dedicado à Segurança da Informação?
● Avaliação de risco
●
Determina o nível de risco para a empresa caso uma atividade ou processo
específico não sejam controlados adequadamente
●
Deve-se investir anualmente no máximo até o prejuízo esperado
Exposição Pobabilidade Faixa de prejuízo/média ($) Prejuízo anual esperado ($)
de ocorrência
(%)
Falta de energia elétrica 30 5.000-200.000 30.750
(102.500)
Ataque de negação de serviço 5 1.000-50.000 1.275
(25.500)
Erro de usuário 98 200-40.000 19.698
(20.100)
33
Segurança da Informação
●
E s t r u t u ra p a ra S e g u r a n ç a e C o n t r o l e
●
Política de segurança
●
A Segurança da Informação "inicia" através da definição de uma política clara e
concisa acerca da proteção das informações
●
Através de uma política de segurança, a empresa formaliza suas estratégias e
abordagens para a preservação de seus ativos de informação
●
Essa s regras devem especificar quem pode acessar quais recursos
●
Especificar quais recursos são disponíveis no sistema, bem como procedimento e
controles necessários para proteger as informações
34
Segurança da Informação
●
E s t r u t u ra p a ra S e g u r a n ç a e C o n t r o l e
●
Política de segurança
●
D iretrizes
●
Conjunto de regras gerais de nível estratégico que tem como base a visão e a missão da
empresa
●
Representam à s preocupações da empresa sobre a segurança das informações
●
N orm a s
●
Geralmente são elaboradas com foco e m assuntos mais específicos como: controle de
acesso, u s o da Internet, u s o do correio eletrônico, acesso físico, instruções sobre criação de
senhas, realização de backups...
●
Serve para o usuário ter consciência de seu papel para a manutenção de segurança na
organização
35
Segurança da Informação
●
E s t r u t u ra p a ra S e g u r a n ç a e C o n t r o l e
●
Política de segurança
●
Procedimentos e Instruções
●
Conjunto de orientações para realizar atividades e instruções operacionais relacionadas a
segurança
●
Comandos operacionais a serem executados no momento da realização de u m
procedimento de segurança
●
Importante para o técnico ou administrador de segurança
●
Exemplo: definição e implementação das regras de filtragem do firewall
36
Segurança da Informação
●
E s t r u t u ra p a ra S e g u r a n ç a e C o n t r o l e
●
Plano de continuidade dos negócios
●
Como a empresa pode restaurar suas operações após u m desastre
●
Identificar processos críticos e elaborar planos de ação para lidar com funções essenciais
caso o s sistemas saiam do ar
●
Plano da recuperação de desastres
●
Estratégias para recuperar o s serviços de computação e comunicação após algum ataque
(terremoto, incêndio, ataques terroristas)
●
Centro de informática duplicado
37
Segurança da Informação
●
E s t r u t u ra p a ra S e g u r a n ç a e C o n t r o l e
●
Auditoria de sistemas
●
Identifica todos os controles que governam sistemas individuais de informação e
avalia sua efetividade
●
O auditor entrevista indivíduos-chave e pode até mesmo simular u m ataque ou
desastre para verificar como os recursos tecnológicos, a equipe de TI e os
funcionários reagem
38
Segurança da Informação
●
Te c n o l o g i a s e f e r ra m e n t a s p a ra g a ra n t i r a s e g u r a n ç a
d o s recursos de informação
●
Controle de Acesso
●
Conjunto de políticas e procedimentos que uma empresa usa para evitar acesso
indevido a seus sistemas por pessoas não autorizadas dentro e fora da organização
●
O controle é feito pela autenticação
● Capacidade de saber que u m a pessoa é quem declara ser
● Geralmente feita por meio de senha secreta
●
S e n h a s fáceis comprometem a segurança
● Autenticação biométrica
● Token
39
Segurança da Informação
●
Te c n o l o g i a s e f e r ra m e n t a s p a ra g a ra n t i r a s e g u r a n ç a
d o s recursos de informação
●
Firewall
●
Combinação de hardware e software que controla o fluxo de trafego que entra ou
sai da rede
● Age como u m porteiro que verifica as credenciais de cada conexão
● Usa regras de acesso
●
Ex.:
S e IPcliente = “200.243.100.002”,
recusar conexão;
S e Requisição = “FTP”,
recusar conexão;
40
Segurança da Informação
Ponto único
de acesso
Rede 2
Firewall
Rede 1
●
Controle de acesso
Formado por u m ou ●
Autenticação
mais componentes ●
Registro de Tráfego
41
Segurança da Informação
●
Te c n o l o g i a s e f e r ra m e n t a s p a ra g a ra n t i r a s e g u r a n ç a
d o s recursos de informação
●
Sistemas de Detecção de Invasão
●
Ferramentas de monitoração contínua instaladas nos pontos mais vulneráveis das
redes corporativas
●
Emite u m alarme quando encontra u m evento suspeito ou anômalo
42
Segurança da Informação
●
Te c n o l o g i a s e f e r ra m e n t a s p a ra g a ra n t i r a s e g u r a n ç a
d o s recursos de informação
●
Software antivírus
●
Software projetado para verificar sistemas e processos a fim de detectar a presença
de malware e eliminá-los
●
Criptografia
●
Processo de transformar textos comuns ou dados em texto cifrado, legível somente
ao destinatário
●
Backups e redundância de hardware
●
Manter cópias de dados importantes da organização em outra(s) localidade(s)
física(s) de modo a permitir sua recuperação em caso de sinistro
43
Segurança da Informação
44
Segurança da Informação
●
Aspectos H u m a n o s d a S eg u ran ç a d a Informação
●
Apesar de algumas tecnologias colaborarem para a segurança da
informação, o usuário continua sendo u m elemento chave
●
Engenharia Social
●
Hackers se p a s s a m por outras pe sso as para conquistar informações dos usuários
●
O s usuários devem ter conhecimento sobre algumas práticas de hackers e pessoas
mal-intencionadas na Internet
●
U m usuário com conhecimentos sobre ameaças virtuais estará muito mais protegido
●
A empresa deve preocupar com questões referentes ao recrutamento, treinamento,
desligamento...
45
Exercícios
46
Bibliografia b á s i c a
●
LAUDON, Kenneth C.; LAUDON, Jane Price. Sistemas de Informação
Gerenciais. 9a ed. S ã o Paulo: Pearson Education do Brasil, 2011.
●
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão
executiva. 1.ed. Rio de Janeiro: Campus, 2 0 0 3
●
https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-
coisas
●
Fonseca, G.H.G. Notas de Aula. Fundamentos e Teoria de Sistemas de
Informação
47