SEGURANÇA

DA
INFORMAÇÃO
 Passado X Presente X Futuro

De onde viemos?

Para onde vamos?

Lá tem Internet?
 SEGURANÇA da INFORMAÇÃO

Princípios

INTEGRIDADE

DISPONIBILIDADE

CONFIDENCIALIDADE
 Cenário Atual

Novas Tendências

Novas Ameaças Novos Riscos Novos Incidentes

 SEGURANÇA da INFORMAÇÃO

Benefícios

Reduzir os riscos

Aumentar a produtividade

Manter a Informática sob controle

Viabilizar aplicações
 INTERNET (mau uso)

10 funcionários 1.760 horas

(8h x 22 dias)
Horas improdutivas 220 horas
(10f x 1h x 22 d)
Custo mensal (com encargos) 20.000,00
(R$ 2.000 x 10)
Valor da hora 11,36
(20.000 / 1.760)
Prejuízo financeiro mensal 2.500,00
(h.improdutiva x valor da hora)
 PORQUE NÃO INVESTIMOS EM SEGURANÇA

1. O QUE TEMOS JÁ É SUFICIENTE...

2. NOSSO PESSOAL É DE CONFIANÇA...
3. SEGURANÇA É COISA DE PESSIMISTA...
4. NUNCA TIVEMOS PROBLEMA DE SEGURANÇA...
5. PROBLEMAS SÓ ACONTECEM COM OS OUTROS...
6 SEGURANÇA É PARA ORGANIZAÇÃO DE GRANDE PORTE
7. OS PROJETOS DE SEGURANÇA SEMPRE PODEM SER
ADIADOS...
8. SEGURANÇA NÃO É INVESTIMENTO...
Plano de Contingência, para que?

“Incêndio atingiu na terça-feira (21) o

prédio central da operadora de telefonia Oi
em Salvador e causou pane nos serviços
de telefonia fixa, móvel e de transmissão
de dados da empresa na capital baiana e
região metropolitana”. 22 Dezembro 2010
 SEGURANÇA da INFORMAÇÃO

Conjunto de regras e diretrizes, com

objetivo principal de direcionar
um Programa de Proteção da INFORMAÇÃO
 Análise de Riscos

 Análise de Risco se divide em cinco

partes de igual importância:

• Identificação e Classificação dos Processos de

Negócio
• Identificação e Classificação dos Ativos
• Análise de Ameaças e Danos
• Análise de Vulnerabilidades
• Análise de Risco
Análise de Riscos

• Segurança é a percepção dos riscos;

• Administrar a segurança é
administrar os riscos;
• Para aumentar a segurança os riscos
devem ser:
. Modelados;
. Quantificados;
. Minimizados ao longo do tempo.
 Gravidade de Vazamentos

Vazamento de Dados

Vazamento de Informações

Vazamento de Conhecimento
 “BIG BROTHER DOS E-MAILS
Nem as mensagens deletadas estão livres
de ser lidas por programas de monitoramento
do correio eletrônico usados por empresas e
governos.”

Fonte: Revista Veja – 16 Janeiro, 2013

 Ambiente Empresarial

O que a lei permite

Acesso ao conteúdo de e-mails corporativos ( aqueles com a terminação
@nomedaempresa.com), mesmo os enviados pelo computador de casa
O uso de programas para rastrear e-mails corporativos para detectar
atitudes suspeitas. A busca é peneirada por palavras-chave e frases
selecionadas, como “não participarei disso.”
Acompanhar tudo o q é feito em computadores e celulares de
propriedade da empresa: site acessados, arquivos baixados da web,
documentos enviados por e-mail.
 Hackers invadem computadores, celulares e sequestram-dados

Fonte: http://g1.globo.com/fantastico/noticia/2015/10/hackers-invadem-computadores-e-celulares-e-sequestram-dados.html
 POLÍTICA de SEGURANÇA
A S
F I N P B
E
I E N T E A
G.
R - T I S C
F
E M E - S K
Í
W A R V O U
S
A I N Í A P
R I
L L E L S
U C
L T
S A

ESTRATÉGIA de SEGURANÇA
Qual a melhor maneira de se proteger?
 ESTRATÉGIA de SEGURANÇA

Garantir implementação de controles de segurança

Auxiliar na seleção de produtos
Auxiliar no desenvolvimento de processos
Transformar a segurança em um esforço comum
Fornecer bases para estabelecimento de padrões
Minimizar riscos e vulnerabilidades
PROTEGER A INFORMAÇÃO
 ESTRATÉGIA de SEGURANÇA

NECESSIDADES

ENVOLVIMENTO DA ALTA ADMINISTRAÇÃO

DEFINIÇÃO GERAL DE DIRETRIZES DE NEGÓCIO

DESENVOLVIMENTO DE CENÁRIOS
 BS7799 e ISO/IEC 17799
Tópicos Abrangidos:
1. Política de segurança;
2. Segurança organizacional;
3. Classificação e controle dos ativos de informação;
4. Segurança de pessoas;
5. Segurança física e do ambiente;
6. Gerenciamento das operações e comunicações;
7. Controle de acesso;
8. Desenvolvimento e manutenção de sistemas;
9. Gestão da continuidade do negócio
10.Conformidade (com normas, regulamentos,
legislação, etc.)
 COBIT

Control Objectives for Information and Related

Technology, fundada pela ISACA

É um modelo de estrutura de controles internos

orientado para o entendimento e o gerenciamento
dos riscos associados ao uso da TI.
 COBIT

Temos a seguinte divisão :

 Planejamento e Organização (PO);

 Aquisição e Implementação (AI);
 Delivery e Suporte (DS);
 Monitoramento (M)
 Maioria dos funcionários não segue políticas de segurança das
empresas
Estudo encomendado pela McAfee e Xerox aponta que 54% dos
entrevistados afirmam nem sempre seguir as políticas de segurança
de TI das suas empresas, 33% sequer conhecem essas políticas, 21%
colocam em risco a segurança dos números de cartões de crédito dos
clientes, relatórios financeiros e documentos fiscais e de RH.

Fonte: http://idgnow.uol.com.br/seguranca/2012/03/06/maioria-dos-funcionarios-nao-segue-politicas-de-seguranca-das-empresas/
Para que a normatização?!
Para que a normatização?!
ISO/IEC 27001 e NBR ISO/IEC 27001 -
Tecnologia da informação – Técnicas de
segurança – Sistemas de gestão de segurança
da informação.
 SGSI-Sistemas de gestão de segurança da
informação

O que é ISMS?
Information Security Management
System, ou Sistema de Gerenciamento
da Segurança da Informação é o
resultado da aplicação planejada de
objetivos, diretrizes, políticas,
procedimentos, modelos e outras
medidas administrativas que, de forma
conjunta, definem como são reduzidos
os riscos para segurança da informação.
Uma empresa que implante a norma
BS/ISO acaba por constituir um ISMS.
 ISO/IEC 27001 e NBR ISO/IEC 27001

Esta Norma foi preparada para prover um modelo para

estabelecer, implementar, operar, monitorar, revisar, manter e
melhorar um Sistema de Gestão de Segurança da Informação
(SGSI). A adoção de um SGSI deve ser uma decisão estratégica
para uma organização. A especificação e implementação do SGSI
de uma organização são influenciadas pelas suas necessidades e
objetivos, exigências de segurança, os processos empregados e o
tamanho e estrutura da organização. É esperado que este e os
sistemas de apoio mudem com o passar do tempo. É esperado
que a implementação de um SGSI seja escalada conforme as
necessidades da organização, por exemplo, uma situação simples
requer uma solução de SGSI simples.
Esta Norma pode ser usada para avaliações de conformidade
pelas partes interessadas internas e externas.
Estratégias do Processo
ISO 27001
 ISO BS 25999:1

Uma das principais normas de continuidade de negócios

A seguir estão alguns dos principais procedimentos e documentos exigidos pela

BS 25999-2:
• objetivo do SGCN – identificação precisa da área da organização em que a
gestão de continuidade de negócios é aplicada;
• Política de GCN – definição de objetivos, responsabilidades, etc;
• gestão de recursos humanos;
• análise de impacto nos negócios e avaliação de riscos;
• definição da estratégia de continuidade de negócios;
• planos de continuidade de negócios
• manutenção de planos e sistemas; melhoria
 Motivos para Ataque

• Lucro
• Desafio, diversão
• Vingança
• Guerra (comercial ou militar)
• Coerção, extorsão
• Política, religião
 “Hackers invadem sistema de marcação de consultas e exames de
Camaçari”
Publicada em 11.09.2012

“Sites do governo da Bahia são atacados por grupo de hackers e

fica fora do ar.”
Publicada em 06/02/2012

“Homem é preso por usar fotos de jovens nuas para

chantageá-las online”
Publicada em 29/01/2012 09h04

Fonte:
http://www.ibahia.com/detalhe/noticia/site-do-governo-da-bahia-e-atacado-por-grupo-de-hackers-e-fica-fora-do-ar/
http://www.correio24horas.com.br/noticias/detalhes/detalhes-1/artigo/hackers-invadem-sistema-de-marcacao-de-consultas-e-exames-de-camacari/
 Tipos de Ataque

• Externos
• Internos – abuso de usuários legítimos
• Uso não autorizado
• Acesso a informações sigilosas
• Recusa (negação) de serviço
• Modificação de Informações (bancos de dados,
páginas WWW)
• Captura de senhas
 Tipos de Ataque

• Replay – mensagem interceptada e retransmitida

• Armadilhas (trapdoor) – comando secreto é
modificado para produzir efeitos não autorizados
em resposta a um determinado comando
• Personificação – alguém consegue se fazer
passar por uma outra máquina ou usuário da rede
• pode ter acesso dados confidenciais
• pode conseguir negação de serviço
• Man-in-the-Middle – o adversário fica no caminho
e engana os dois lados da comunicação.
 Tipos de Ataque

Fluxo Normal

A B
Destino da
informação
Interceptação Fabricação

A B A B

E E

Modificação Interrupção

A B A B
Nova versão do cavalo-de-tróia Gpcode criptografa arquivos e cobra resgate
do usuário.

“Segundo a Kaspersky, o novo Gpcode criptografa arquivos na máquina invadida e

deixa um arquivo chamado crypted.txt contendo uma nota (em russo) pedindo
resgate. Exige o pagamento de 10 dólares para que o usuário tenha de volta seus
arquivos – normalmente arquivos comuns como .doc, .xls, .jpg etc. Para não restar
dúvida, o Gpcode também substitui o papel de parede do micro por uma imagem
que mostra uma caveira e dois ossos cruzados, além de um endereço web e um
número de ICQ para que o usuário entre em contato com o autor do programa
seqüestrador. A criptografia usada no seqüestro dos arquivos tem chave de 1024
bits, e é praticamente impossível reaver os arquivos sem a ajuda do autor.”

http://info.abril.uol.com.br/aberto/infonews/082008/13082008-32.shl
 Tipos de Ataque

• Sobrecarga:
– processos
• usuário dispara muitos processos, deixando a
máquina sem condições de uso
– disco
• usuário ocupa todo o espaço em disco,
impedindo o funcionamento de alguns
programas
– rede
• usuário usa toda a capacidade da rede
• usuário sobrecarrega o subsistema de rede
 Tipos de Ataque

• Programas:
– Cavalos de Tróia
• Programas que parecem úteis mas tem código destrutivo
embutido
– Vírus
• Programas que se reproduzem, podem ser úteis em
ambientes de redes (agentes), mas são difíceis de
controlar. Podem ser destrutivos.
– Worms (Verme)
• Programas que se propagam pela rede. Podem causar
sobrecarga (Internet Worm) ou danos
 Como Ocorre a Infecção

Spam;

Exploint;

Url maliciosas;
 Mecanismos de Defesa

 Criptografia:

• Técnicas de modificação da mensagem (tornando-a

ininteligível) utilizado para se enviar informação
sensível através de meios de comunicação não
confiáveis
 Utilidade:
 Proteção de informações armazenadas
 Proteção de informações em trânsito
 Detecção de alterações nos dados
 Verificação de autoria
 Autenticação
• App de pornografia é acusado de fotografar
usuários secretamente para chantagem
“Uma empresa de segurança americana descobriu um
aplicativo malicioso de pornografia que tira fotos
secretamente e faz chantagem com os usuários.
O app Adult Player funciona em sistemas Android e
aparenta oferecer pornografia, segundo a empresa de
segurança Zscaler.”
Fonte: http://tecnologia.uol.com.br/noticias/bbc/2015/09/08/app-de-pornografia-e-acusado-de-fotografar-usuarios-secretamente-para-
chantagem.htm
 Criptografia de Chave Secreta

• Também chamada de criptografia simétrica

• Uma única chave
– deve ser combinada a priori
• Técnicas tradicionais:
– substituição ou transposição alfabética
– máquinas mecânicas (rotores)
• Algoritmos modernos:
– DES, IDEA, RC4, SkipJack
 Funcionamento de uma Cifra Simétrica

Chave Arquivo
Arquivo
Original Original

Algoritmo Algoritmo

Mensagem
codificada
 Criptografia de Chave Pública

• Mais recente (1973)

• Cada entidade tem duas chaves:
– Privada, usada para decifrar mensagens
– Pública, usada pelos parceiros para cifrar
mensagens
• Algoritmos mais comuns:
– RSA, ElGamal, DSA, Curvas Elípticas
 Funcionamento de uma Cifra Assimétrica

Chave Chave
Arquivo Pública Privada Arquivo
Original Original

Algoritmo Algoritmo

Mensagem
codificada
 Mecanismos de Defesa

• Assinaturas digitais:
– Similares às assinaturas em papel, servem para vincular
uma identidade a uma informação
– Baseadas em algoritmos de chave pública, embora
existam esquemas que só fornecem assinaturas
• Basta inverter a ordem de uso das chaves (em
sistemas reflexivos)
– Constituem uma das mais importantes técnicas de
autenticação
 Mecanismos de Defesa

 CONTROLE DE ACESSO:
• “Portaria” de um sistema;

• Necessita de um mecanismo de
autenticação;
• Impede uso não autorizado;

• Implementada com granularidade

diferente em cada sistema;
• Sistemas modernos usam ACLs (listas de
controle de acesso)
 Mecanismos de Defesa

Compromisso de terceiros

Access Control Lists

Exs:
ipfw add 020 allow tcp from a.b.c.d to z.x.y.w 25
access-list 120 permit ip host 10.152.222.20 any
iptables -A FORWARD –p udp -s $REDE_INTERNA –d $IP_DNS1 --dport 53 -
j ACCEPT
acl bad_sites dstdom_regex "/etc/squid/bad_sites"
 Mecanismos de Defesa

Soluções baseadas no conhecimento

Soluções baseadas na propriedade

Soluções baseadas em características

Mecanismos de Defesa

Estenografia

Detecção e Informe

Registro de Eventos

Messages Digest
 Hacker ‘clona’ impressão digital apenas com uma fotografia

Fonte: http://oglobo.globo.com/sociedade/tecnologia/hacker-clona-impressao-digital-apenas-com-uma-fotografia-14929951
 Mecanismos de Defesa

HASH

As funções de hash criptográficas (também chamadas funções de

hash one-way, message digests, impressões digitais, etc.) são fundamentais
a muitos protocolos criptográficos para garantir de integridade;

As funções de hash são utilizadas na computação há muito tempo:

transformam um input de tamanho variável num output de tamanho (menor)
fixo;

Para garantir integridade interessa extrair uma impressão digital

não invertível de uma mensagem: obter um valor que identifique o
conteúdo essa mensagem;
 Mecanismos de Defesa

BACKUP
• Reduzir custos com hardware, software e mídia para
backup em localidades remotas;
• Atenuar as consequências de desatres naturais e
acidentes com processos automáticos e transparentes de
recuperação de dados, inclusive nas filiais;
• Aumentar a cooperação entre os usuários das aplicações
e os gerentes de servidores e meios de armazenamento
para proteger um dos principais ativos da empresa – AS
INFORMAÇÕES.
 Revisão de acessos

Revisões Políticas
constantes de pessoal

Ferramentas
IDS

Rotinas
Auditoria
de verificação
preventiva
de acessos
Segurança em ambientes de Internet e Intranet
Ambiente de Segurança para aplicações na Intranet

ACESSO NÃO PERMITIDO

Router

Proxy Firewall
Ethernet
Internet
Balanceador

Router

Proxy
Firewall
Segurança em ambientes de Internet e Intranet
Ambiente de Segurança para aplicações na Internet

Intranet DMZ 2 DMZ 1

Servidor Internet
Ethernet Servidor
Firewall Firewall WEB Firewall
WEB Router
e-Comerce Institucional

Servidor Servidor Firewall

Firewall Firewall
WEB WEB
Institucional e-Comerce
 Segurança em ambientes de Internet e Intranet

Projeto de Avaliação do Ambiente

 1. Manutenção de usuários internos à rede
 2. Monitoração de boletins de segurança
 3. Monitoração de logs
 4. Tratamento de incidentes de segurança e respostas a
emergências
 5. Atualização de S.O / Software Básico
 6. Alteração de configuração de S.O / Software Básico
 7. Atualização e Manutenção de Certificados
 8. Atualização de filtros de FW
 9. Atualização de homepage
 10. Manutenção de DNS
 12. Gerência de Mudanças
 13. Disponibilidade
 14. Monitoração
 15. Auditoria
 16. Contingência
 Estatísticas de Invasão
Principais Ameaças às Informações de uma Empresa

Incêndio / Desastres
Acessos Remotos Indevidos
Uso Indevido de Recursos
Roubo / Furto
Pirataria
Vazamento de Informações
Divulgação Indevida
Funcionários Insatisfeitos
0% 10% 20% 30% 40% 50% 60%

Aproximadamente 53% das empresas apontam

os funcionários insatisfeitos como a maior ameaça
à Segurança da Informação nas Organizações
 Estatísticas de Invasão

As estatísticas de invasões têm mostrado

um crescimento assustador nos últimos anos
 Estatísticas de Invasão

Aproximadamente 53% das empresas apontam

os funcionários insatisfeitos como a maior ameaça
à Segurança da Informação nas Organizações
 Tendências

Legenda:
•dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de
operação um serviço, computador ou rede.
•invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
•web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
•scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados
por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um
computador.
•fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta
categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
•outros: notificações de incidentes que não se enquadram nas categorias anteriores.

http://www.cert.br/stats/incidentes/2015-jan-dec/tipos-ataque-acumulado.html
 Tendências

Ransomware
É um tipo de malware que restringe o acesso ao sistema infectado e cobra um
valor de "resgate" para que o acesso possa ser reestabelecido
 Tendências

Cuidando da privacidade das crianças e adolescentes Orientações

 Lembre-se que na Internet você nunca pode ter certeza sobre com
quem você está conversando;
 Fazer planos para encontrar seus amigos de Internet na vida real normalmente é
uma idéia muito ruim;
 Tenha em mente as regras de segurança quando estiver on-line.
 Tendências
Internet da Coisas - IoT
“Anote no seu caderninho: esta sexta-feira (21) pode se tornar uma
data histórica e aparecer nos livros didáticos do próximo
século. Como já noticiamos anteriormente aqui mesmo no
TecMundo, estamos presenciando o maior ataque de negação de
serviço (DDoS) da história da computação — e, de acordo com
algumas linhas de pensamento, também podemos ver o início da 1ª
Guerra Mundial Cibernética.
Porém, o pior ainda estava por vir. No dia 10 de outubro, uma
internauta identificada simplesmente como Anna-senpai publicou o
código-fonte do Mirai no Github, disponibilizando a
ferramenta para qualquer que tivesse interesse em usá-la. Poucas
horas após o início do ataque de hoje, Kyle Owen, chefe de
estratégia da empresa de segurança Flashpoint, confirmou que o
DDoS estava sendo organizado através do programa em questão.“
http://www.tecmundo.com.br/ataque-hacker/110871-entenda-internet-eua-massacrada-sexta-feira.htm
21/10/2016
 Tendências

Cuidando da privacidade das crianças e adolescentes Orientações

Exposição da privacidade
• De forma:
- voluntária
. por eles próprios (direta)
. por terceiros (indireta)

- involuntária
. pela uso de aplicativos, acesso a sites, etc
. por pessoas mal-intencionadas

• Riscos associados a:
- Comportamentos
- Tecnologia
- Problemas de segurança
 Direito Digital

“O direito digital consiste na evolução do próprio Direito, abrangendo a todos os

princípios fundamentais e institutos que estão vigentes e são aplicados até hoje,
assim como introduzindo novos elementos e institutos para o pensamento
jurídico, em todas as suas áreas.”

Art. 1016: Os administradores (cargo de gerente para cima) respondem solidariamente perante a
sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções.

Lei 12.737 – Lei Carolina Dieckamann

Fonte: Direito Civil, Direito Autoral, Direito Comercial, Direito Contratual, Direito Econômico, Direito Financeiro, Direito Tributário, Direito Penal,
Direito Internacional etc.
 Envolvimento

• Administradores de redes e sistemas

- não emanar “sujeira” de suas redes e adotar boas práticas
- notificar usuários sobre infecções e indícios de comprometimento
- fazer hardening das máquinas

• Usuários
- entender os riscos e seguir as dicas de segurança
- manter seus dispositivos atualizados e tratar infecções

• Desenvolvedores
- pensar em segurança desde o início pensar nos casos de ABUSO (o
ambiente é HOSTIL)

• Acadêmicos
- incluir conceitos de programação segura logo nos primeiros anos
 Dicas Preciosas

1. Não seja 100% técnico

2. Use as pessoas - Conscientização
3. Primeiro vem o treino, depois a pancadaria!
4. Planejar é preciso
5. Segurança da Informação = Segurança da
Computação
6. Não se faz um omelete sem se quebrar alguns
ovos
7. Tenha um EXCELENTE/MARAVILHOSO
relacionamento com o comando
8. Seja Honesto (Na medida do possível!)
É possível estar preparado para
enfrentar todos os riscos
existentes?
Porque todas estas ações são
importantes para uma
Organização?
SEGURANÇA da INFORMAÇÃO

Luciano Brandão Cruz

Luciano_brandao@hotmail.com