Autarquia Educacional do Vale do So Francisco AEVSF

Faculdade de Cincias Sociais e Aplicadas de Petrolina

FACAPE
Curso de Cincias da Computao

SEGURANA E AUDITORIA DE
SISTEMAS
Segurana

de Informaes

Cynara Carvalho
cynaracarvalho@yahoo.com.br

Segurana de informaes

Os requisitos de SEGURANA DA INFORMAO

dentro de uma organizao passaram por duas
mudanas importantes nas ltimas dcadas:

MUDANA 1)
ANTES do uso generalizado de equipamentos de
processamento de dados, a segurana da
informao
considerada
valiosa
para
uma
organizao era fornecida por principalmente por
meios fsicos e administrativos.
Ex.: - Armrios robustos com fechadura com
segredo para armazenar documentos confidenciais.

Segurana de Informaes

MUDANA 2)
Introduo de sistemas distribudos e o uso
de rede e recursos de comunicao para
transmitir dados entre o usurio do terminal
e o computador e entre computadores.
Segurana inter-rede empresas, governo e
organizaes acadmicas interconectam
seus equipamentos de processamento de
dados com um conjunto de redes.
3

Segurana de Informaes

O que aconteceria se as informaes institucionais

cassem nas mos da concorrncia ou fossem
corrompidas, apagadas ou adulteradas?

Quais seriam as conseqncias para a continuidade

dos negcios da instituio?

E se ocorressem desastres naturais ( incndio,

terremoto, enchentes)?

E falhas estruturais ( interrupo de fornecimento de

energia eltrica ou sobrecargas eltricas)?

Segurana de informaes

O vazamento de informaes sobre seus clientes

comprometeria sua credibilidade e daria maiores
oportunidades aos concorrentes.

Segurana de informao

Segurana
,
portanto,
a
proteo
de
informaes, sistemas, recursos e servios contra
desastres, erros e manipulao no autorizada,
de forma a reduzir a probabilidade e o impacto de
incidentes de segurana.

Segurana de Informaes
Poltica de Segurana
Informaes tm que estar disponveis no momento e no
local estabelecido, tm que ser confiveis, corretas e mantidas
fora do alcance de pessoas no autorizadas.
Objetivos de Segurana
Confidencialidade ou privacidade informaes
protegidas de acesso no autorizado. Envolve medidas de
controle de acesso e criptografia. (LEITURA)
Integridade dos dados Evitar alterao ou excluso
indevida de dados. (GRAVAO/ALTERAO/EXCLUSO).
Disponibilidade Garantia que os servios prestados por
um sistema esto sempre acessveis a pessoas
autorizadas. (BACKUP)
Consistncia Garantia de que o sistema atua de acordo
com a expectativa.

Segurana de Informaes
Poltica de Segurana
Objetivos de Segurana
Isolamento ou uso legtimo Regular o acesso ao sistema.
Acesso no autorizado sempre um problema, pois tem que
se identificar quem, quando, como e os resultados desta
ao.
Auditoria Proteo contra erros e atos acidentais ou no
dos usurios autorizados.
Confiabilidade Garantir que, mesmo em condies
adversas, o sistema atuar conforme esperado.
Dependendo da organizao, um objetivo pode ser mais
importante que o outro. Na maioria dos casos, dada maior
importncia disponibilidade e integridade.

Segurana de Informaes
Questes Relevantes
O que se quer proteger ?
Contra que ou quem ?
Quais as ameaas mais provveis ?
Qual a importncia de cada recurso ?
Qual o grau de proteo desejado ?
Quanto tempo e recursos para atingir os objetivos de
segurana ?
Qual a expectativa dos usurios e clientes em relao
segurana de informaes ?
Quais as conseqncias em caso de roubo ou dano?

Segurana de Informaes
Comprometimento da Gerncia Superior
Prioridade menor em relao a outros projetos.
Segurana s lembrada depois de um desastre ocorrido.
Poltica considerada dispendiosa.
Segurana vista como inibidor e no como uma garantia
Rastreamento ou monitoramento de outras gerncias.
Uma real poltica de segurana deve ser posta em prtica e
encarada com seriedade por todos e ter o total apoio da alta
gerncia.
O comprometimento deve ser formalizado, de forma clara e
objetiva, baseados nos princpios gerais, deixando os detalhes
para outros documentos mais especficos.

10

Segurana de Informaes
Definindo uma Poltica de Segurana de Informaes
Poltica de segurana um mecanismo preventivo de proteo
dos dados e processos importantes de uma organizao que
define um padro de segurana a ser seguido pelo corpo tcnico e
gerencial e usurios.
Princpios bsicos
Como a organizao ir proteger, controlar e monitorar seus
recursos computacionais e suas informaes.
Responsabilidades das funes relacionadas com a
segurana.
Discriminao das principais ameaas, riscos e impactos
envolvidos.
Poltica de segurana de informaes integrada poltica de
segurana em geral.

11

Segurana de Informaes
Relacionamento da Poltica de Segurana de Informaes
com a estratgia da organizao.
Estratgia geral da organizao
Estabelece
Plano Estratgico
de Informtica
Especifica

Contribui para o atingimento

Define

Poltica de segurana
de Informaes
Gera Impactos sobre

Planos de desenvolvimentos de sistemas

Plano de continuidade de servios
Planejamento de capacidade
Outros projetos

12

Segurana de Informaes
Poltica de Segurana de Informaes
Envolvimento de todos O Segredo do Sucesso !
Para uma completa e efetiva Poltica de segurana de
informaes imprescindvel que sejam envolvidos a alta
gerncia, a gerncia de segurana, a de recursos e de finanas, os
demais gerentes e sobretudo, os usurios.

13

Segurana de Informaes
Poltica de Segurana de Informaes - Tpicos
Importantes
Contedo bsico: orientaes sobre anlise e gerncia dos
riscos, princpios de conformidade dos sistemas com a PSI,
classificao das informaes e padres mnimos de qualidade.
Princpios legais e ticos:
Direito propriedade intelectual.
Direitos sobre softwares.
Princpios de implementao de segurana.
Polticas de controle de acesso a recursos e sistemas.
Princpios de superviso das tentativas de violao da SI.
Esses pontos devem ser claros e detalhados para serem
compreendidos. Para um maior aprofundamento, pode-se dispor
de outros documentos mais especficos.

14

Segurana de Informaes
Processo de Implantao da PSI
Processo formal e longo; flexvel para permitir ajustes conforme
necessidades
Fases:
Identificao dos recursos crticos.
Classificao das informaes.
Definio em linhas gerais, dos objetivos de segurana a
serem atingidos.
Anlise das necessidades de segurana (ameaas, riscos e
impactos).
Elaborao da proposta inicial.
Discusses abertas com os envolvidos.
Apresentao do documento formal gerncia superior.
Aprovao
Implementao
Avaliao da poltica e identificao das mudanas
necessrias
15
Reviso

Segurana de Informaes
Identificando os recursos
O que precisa ser protegido? Quais os mais importantes?
Hardware
Software
Dados
Pessoas
Documentao
Suprimentos
Classificao das informaes necessidade,
responsabilidade.
Pblicas ou de uso irrestrito ex.: servios de
informao ao pblico em geral;
De uso interno ex.: servios de informao interna;
Confidenciais ex.:dados pessoais de clientes e
funcionrios, senhas...
Secretas ex.: dados militares e de segurana
16 nacional.

Segurana de Informaes
Classificao dos Sistemas camadas para facilitar os
controles
Aplicativos necessidades especficas.
Servios utilizados pelos aplicativos.
Sistema Operacional gerenciamento de recursos
computacionais.
Hardware
Anlise individual de cada camada em termos de segurana,
configurada e monitoradas de forma compatvel com o nvel de
segurana definido.

17

Segurana de Informaes
Analisando Riscos
Risco = ameaa + vulnerabilidade + impactos.
Identifica componentes crticos e custo potencial aos
usurios.
Ponto chave em qualquer poltica de segurana.
Identificar ameaas e impactos, possibilidades de uma
ameaa se concretizar e entender os riscos potenciais.
Classificar por nvel de importncia, custos envolvidos na
preveno/ recuperao.
Riscos podem ser apenas reduzidos, nunca eliminados.
Medidas mais rgidas tornam os riscos menores, mas no
eliminam.
Conhecimento prvio das ameaas e seus impactos podem
resultar em medidas mais efetivas para reduzir as ameaas,
vulnerabilidades e impactos. sempre melhor (e mais
18
barato!) prevenir do que remediar.

Segurana de Informaes
Analisando ameaas Contra quem proteger ?
Custo pode ser mais alto do que os danos provocados.
Conceitos Bsicos:
Recurso componente de um sistema computacional.
Ameaa evento ou atitude indesejvel que pode
remover, desabilitar, danificar ou destruir um recurso.
Vulnerabilidade fraqueza ou deficincia que pode ser
explorada por uma ameaa.
Ataque ameaa concretizada.
Impacto conseqncia de uma vulnerabilidade ter sido
explorada por uma ameaa.
Probabilidade chance de uma ameaa atacar com
sucesso.
Risco medida da exposio a qual o sistema est
sujeito. Depende de uma ameaa atacar e do impacto
resultante. Envolve esses componentes mais as
19
vulnerabilidades.

Exerccios Propostos

1. Definir Poltica de Segurana.

2. Quais os Objetivos de Segurana citados por Cludia Dias? Fale sobre cada um
deles.
3. Quais as principais fases do processo de implantao de uma Poltica de
Segurana? Fale sobre cada uma delas.
4. Quais os principais recursos de tecnologia da informao a serem protegidos?
5. Como podem ser classificadas as informaes a serem protegidas em em uma
organizao?
6. Qual o objetivo da classificao das informaes em uma organizao?
7. Para efeito de elaborao e implementao de polticas de segurana, como
podem ser subdivididos os sistemas de informaes? Fale sobre cada um deles.
8. Quais os principais danos que podem causar uma ameaa hoje, no caso de
concretizada uma invaso (acidentais ou deliberadas)? Fale sobre cada um deles.
9. O que so ameaas programadas?
10. Cite e comente sobre as diferentes nomenclaturas para as ameaas
programadas.
11. Quais os principais tipos de vrus? Fale sobre cada um deles.
12. O que so Servios de Segurana? Cite exemplos.
13. O que so mecanismos de Segurana? Cite exemplos.
14. Quais os 3 princpios bsicos de segurana que devem ser vistos por uma
Gerncia de Segurana?
15. Como podem ser divididas as atividades de uma gerncia de segurana?

Cludia Dias pgs

20