Apresentao do PowerPoint
Auditoria e Segurana de SistemasSegurana da Informao: Conceitos
BsicosSegurana um assunto muito falado nos dias de hoje; pensa-se
muito em segurana residencial, fsica/pessoal,
automobilstica/trnsito;O foco desta disciplina a segurana da
Informao
Segurana da Informao tem 3 pilares, so eles:CONFIDENCIALIDADE:
Caracterstica de um determinado sistema permitir que alguns usurios
acessem algumas informaes do sistema e, ao mesmo tempo, impea
outros usuiros de acessar. Ou seja, sistema d acessoa determiandos
mdulos do sistema e nega a outros usurios;INTEGRIDADE: Mesmo
conceito de banco de dados: Informao correta. Representa um mundo
real, no pode ser ou estar corrompida;DISPONIBILIDADE: A informao
deve estar disponvel a todos que dela precisarem, a todo tempo de
qualquer local.Auditoria e Segurana de SistemasSegurana da
Informao: Conceitos Bsicos
A essncia dos trs pilares est nos seguintes conceitos:
AUTENTICAO: Significa que o sistema capaz de certificar que
usurio realmente quem ele diz ser;NO-REPDIO: Sistema capaz de
provar que um determinado usurio executou determinada ao. QUEM FEZ
O QU? E ONDE? Significado da rea jurdica: suficiente evidncia para
persuadir a autoridade legal (juiz/jurado/rbitro) a respeito de sua
origem, submisso entrega e integridade, apesar da tentativa de
negao pelo suposto responsvel pelo envio. Ex.: O no-repdio, fornece
provas de que um usurio realizou determinada ao, como uma transao
bancria;LEGALIDADE: Garantir que um sistema seja e esteja coerente
com a legislao vigente e pertinente ao negcio atendido pelo
sistema;PRIVACIDADE: Capacidade de o sistema manter annimo um
usurio, impossibilitando o relacionamento entre o usurio e suas
aes. Ex.: voto eletrnico;AUDITORIA: Capacidade de o sistema auditar
todas as aes realizadas pelo usurio, detectando fraudes e
tentativas de ataque.Auditoria e Segurana de SistemasSegurana da
Informao: Conceitos Bsicos
Quando falamos em segurana da informao, nos referimos a tomar
aes para garantir a confidencialidade, integridade, disponibilidade
e os demais aspectos, claro, dentro das necessidade e condies do
cliente, seja ele interno ou externo.Auditoria e Segurana de
SistemasSegurana da Informao: Conceitos Bsicos
Alguns outros conceitos importantes:
INCIDENTE DE SEGURANA: Algum evento que causa interrupo nos
processos de negcio da empresa, quando h violao de algum dos
aspectos estudados anteriormenteAlguns fatores, como intempries,
greves, manifestaes, podem, tambm, ser consideradas incidentes de
segurana, pois podem causar indisponibilidade e/ou afetar a
integridade de uma informao;ATIVO DE INFORMAO: toda a
informao/dados relacionados aos processos de negcio da empresa, mas
tambm tudo aquilo que a suporta ou utiliza, ou seja, toda
tecnologia necessria para criar e manter tal informao, bem como
tudo e todos que utilizam;;
ATAQUE: todo incidente de segurana causado por algum agente que
busque obter lucro/vantagem atingindo algum ativo de valor;
VULNERABILIDADE: Ativos da informao possuem vulnerabilidades ou
fraquezas que podem causar com ou sem inteno, indisponibilidade,
e/ou quebra de confidencialidade ou integridade; Essas
vulnerabilidades podem ou ser exploradas;Auditoria e Segurana de
SistemasSegurana da Informao: Conceitos Bsicos
Alguns outros conceitos importantes:
AMEAA: Ataque potencial a um ativo de informao. Algum agente
externo que se aproveita de alguma vulnerabilidade para quebrar um
ou mais princpios de segurana da informao;
PROBABILIDADE: Possibilidade de alguma falha de segurana ocorrer
frente s vulnerabilidades de um ativo, e as ameaas que venham a
explorar tais vulnerabilidades;Pode haver um ativo com vrias
vulnerabilidades, mas sem ameaa de ataque, o que indica
probabilidade prxima de zero.
IMPACTO: So as consequncias causadas por algum incidente de
segurana, aos processos de negcio suportados pelo ativo em
questo.
CONTROLE: Todo mecanismo utilizado para diminuir as
vulnerabilidades do ativo;Auditoria e Segurana de SistemasSegurana
e o ciclo de vida da informao
O ciclo de vida da informao composto por algumas etapas:
Obteno: Etapa onde se desenvolve procedimentos para captura e
recuperao da informao, bem como a sua criao. Nesta etapa h grande
foco na INTEGRIDADE;
Tratamento: A necessidade do tratamento se faz evidente pois
muitas vezes antes de ser consumida, a informao precise de alguma
organizao, formatao ou anlise, oferecendo-a com maior
inteligibilidade. No se pode afetar sua integridade, nem sua
confidencialidade;
Distribuio: Etapa onde se leva a informao at seus consumidores.
A distribuio deve ser objetiva e chegar onde se espera;
Uso: Etapa onde a informao usada para gerao de valor para a
organizao. Nesta etapa do ciclo de vida fundamental a prtica da
disponibilidade, integridade e da confidencialidade;Auditoria e
Segurana de SistemasSegurana e o ciclo de vida da informao
O ciclo de vida da informao composto por algumas etapas:
Armazenamento: Com o objetivo de uso futuro da informao, preciso
armazen-la. O fato de a informao estar em diferentes formatos e
mdias, torna o armazenamento mais oneroso. Integridade e
disponibilidade so uma constante e, se a informao for classsificada
com sigilosa a confidencialidade precisa ser forte;
Descarte: Quando a informao torna-se obsoleta ou perde sua
utilidade na organizao ela deve constar em um processo de descarte,
obedecendo as normas legais. Excluir informaes inteis melhora o
processo gesto da informao;
Auditoria e Segurana de SistemasSegurana e o ciclo de vida da
informao
Classificao e controle dos ativos da informao:
pela classificao da informao que se estabelece o grau de
importncia de determinadas informaes para o negcio da empresa;
Os ativos da informao podem ser divididos em alguns grupos:
Ativos da InformaoSoftwareFsicoServiosPessoasDocumento em
PapelInformaoAuditoria e Segurana de SistemasSegurana e o ciclo de
vida da informao
Conceitos importantes para o processo de classificao:
Classificao: Atitude de atribuir o grau de sigiloa um ativo da
informao;
Proprietrio: Responsvel pelo ativo da informao;
Custodiante: Responsvel pela guarda do ativo da informao
Auditoria e Segurana de SistemasSegurana e o ciclo de vida da
informao
Existem vrias formas de classificar um ativo da informao;
Porm fundamental que essa classificao seja de fcil compreenso e
muito clara na poltica de segurana;
A classificao do ativo da informao deve ser centrada em 4
eixos:
Confidencialidade: Nvel 1: Informao Pblica: Categoria onde esto
os ativos pblicos ou no classificados. So informaes que se forem
divulgadas fora da organizao no geram impactos para a empresa. E.:
folders, folhetos, etc.;
Nivel 2: Informao Interna: Ativos cujo acesso para o pblico
externo organizao deve ser evitado. Caso tal informao torne-se
pblica (vaze), as consequncias no so crticas ou no causam impactos.
Ex.: lista de ramais, agendas de executivos, etc.;
Auditoria e Segurana de SistemasSegurana e o ciclo de vida da
informao
Existem vrias formas de classificar um ativo da informao;
Porm fundamental que essa classificao seja de fcil compreenso e
muito clara na poltica de segurana;
A classificao do ativo da informao deve ser centrada em 4
eixos:
Confidencialidade: Nivel 3: Informao confidencial: Acesso
restrito dentro da organizao e protegido contra acesso externo. O
acesso no autorizado essa informao pode comprometer as operaes da
empresa, causando impacto. Ex.: Lista de clientes, dados sobre
vulnerabilidades, etc.;
Nivel 4: Informao Secreta: Tanto o acesso interno quanto o
acesso externo crtico para a organizao. Somente algumas pessoas
dentro da empresa, em geral diretoria, tm acesso a tal informao.
Ex.: informaes sobre concorrncia, contratos confidenciais que geram
impactos na empresa, etc.;
Auditoria e Segurana de SistemasSegurana e o ciclo de vida da
informao
Existem vrias formas de classificar um ativo da informao;
Porm fundamental que essa classificao seja de fcil compreenso e
muito clara na poltica de segurana;
A classificao do ativo da informao deve ser centrada em 4
eixos:
Disponibilidade: Que falta faz essa informao? Responder esta
pergunta permite classific-la em nveis d criticidade e estabelecer
um ordem para recuperao em caso de indisponibilidade:Nvel 1:
Informaes devem ser recuperadas em minutos;Nvel 2: Informaes devem
ser recuperadas horas;Nvel 3: Informaes devem ser recuperadas em
dias;Nvel 4: informaes que no so crticas.(Se no so crticas, por que
t-las?)
Auditoria e Segurana de SistemasSegurana e o ciclo de vida da
informao
Existem vrias formas de classificar um ativo da informao;
Porm fundamental que essa classificao seja de fcil compreenso e
muito clara na poltica de segurana;
A classificao do ativo da informao deve ser centrada em 4
eixos:
Integridade: Informa errada traz vrios transtornos, e at
impactos no negcio. Portanto gerar informao ntegra pe sempre
necessidade;
Autenticidade: de acordo com a ISO 17.799, dados e informaes
oferecidas ao pblico externo devem ter requisitos mnimos de
autenticidade. Assim deve-se estabelecer quais informaes esto neste
contexto.Auditoria e Segurana de SistemasSegurana e o ciclo de vida
da informao
Monitoramento contnuo
Aps classificar os ativos, deve-se estabelecer mecanismos para
medir periodicamente se determinados ativos permanecem em sua
classificao, se foram feridos/afetados, e/ou se devem mudar de
classificao.Auditoria e Segurana de SistemasUm pouco mais sobre
segurana
Segurana da informao baseada em TIDependncia da
TI;Vulnerabilidade da infraestrutura;Alto valor da informao
armazenada;
Segurana da informao NO baseada em TIPapel, microfilmagem, e
outros;Conhecimento;Processos;Fala;Auditoria e Segurana de
SistemasUm pouco mais sobre segurana
Aspectos humanos da segurana da informaoPessoas so os principais
elementos de um sistema de segurana da informao;Incidentes de
segurana sempre envolvem pessoas. Assim, o item pessoas deve ter
uma relevncia considerada em um sistema de segurana;Auditoria e
Segurana de SistemasUm pouco mais sobre segurana
Para se ter uma ideia, alguns dados (Fonte: Datapro Research,
2010):Danos causados por:Funcionrios: 81%Pessoas externas:
13%Ex-Funcionrios: 6%
Grande ameaaErros humanos: 52%Incndio: 15%Atividades desonestas:
10%Sabotagem: 10%gua: 10%Terrorismo: 3%
Causa dos problemas:Acidentes ou erros: 55%Desonestidade:
30%Causas naturais: 15%Auditoria e Segurana de SistemasUm pouco
mais sobre segurana
Security Officer O profissional de segurana
A dedicao com a segurana da informao deve ser de todos os
colaboradores da organizao e no apenas de um grupo de pessoas;
Em tempos onde crescente a dependncia da informao, bem como
avana o nmero de vrus e os casos de invaso, cresce a importncia da
existncia de um responsvel pelas atividades de segurana da
informao
CSO: Chief Security Officer, o profissional responsvel pela
coordenao do planejamento, implementao, monitoramento e melhoria do
sistema de segurana da informao. Dentre suas atribuies
esto:Coordenao da rea de segurana e da infraestrutura
organizacional;Planejar e acompanhar os investimentos em
segurana;Definir os ndices e indicadores para segurana
corporativa;Definio, elaborao, divulgao, treinamento, implementao e
administrao da poltica de segurana, plano de continuidade de
negcios e plano de contingncia;Investigao sobre incidentes de
segurana;Alm de todas as atribuies anteriores, o CSO deve conhecer
a fundo o negcio da empresa.Auditoria e Segurana de SistemasUm
pouco mais sobre segurana
Engenharia social
SANS Institute, define: como sendo a arte de utilizar o
comportamento humano para quebrar a segurana sem que a vtima
perceba que foi manipulada;CERT.br, define como mtodo de ataque
onde algum faz uso da persuaso, muitas vezes abusando da
ingenuidade ou confiana do usurio, para obter informaes que podem
ser utilizadas para ter acesso no autorizado aos ativos da
informao;
Ou seja, para se mostrar prestativas, educadas, e por confiarem
demais, pessoas fornecem informaes importantes;Pela engenharia
social, indivduos se aproveitam para conseguir informaes
importantes para preparar seus ataques;Engenharia social se divide
em: Fsica e PsicolgicaFsica: procura informao no lixo, presena
fsica, vasculha de papis sobre mesas, em gavetas, etc;Psicolgica:
relacionado ao comportamento humano. Ligaes com texto que puxam
informaes do atendente;Auditoria e Segurana de SistemasUm pouco
mais sobre segurana
Segurana nos termos, condies e responsabilidades de
trabalho:Registrar no contrato de trabalho as normas e requisitos
de segurana;
Segurana no processo de contratao / seleo de pessoal:Fazer um
levantamento minucioso do passado dos candidatos, certificar se
todas as informaes que ele forneceu so verdicas, contatar as
referncias, etc.;
Treinamento dos usuriosTreinar, educar e conscientizar, so
essenciais para o sucesso de uma poltica de seguranaAuditoria e
Segurana de SistemasSegurana empresarial Gerenciamento da
Infraestrutura
Segurana em escritrios, salas e instalaes de processamento de
dadosA ISO 17799 recomenda que sejam elaborados projetos de reas de
segurana que contemple escritrios fechados , e/ou salas que
identifique ameaas como fogo, poeira, fumaa, vibrao,
etc;Equipamentos devem ser instalados e protegidos para reduzir
riscos de ameaas e oportunidades de acesso no autorizados;
Segurana de equipamentos: os equipamentos tm