Segurança como parte do negocio
2
3
Agenda Falta de cuidado com relação à segurança Segurança como parte dos negócios Como a segurança é vista hoje Investimentos em segurança Mitos sobre segurança Riscos e considerações quanto à segurança Segurança versus funcionalidades Segurança versus produtividade Uma rede totalmente segura
FALTA DE CUIDADO COM RELAÇÃO À SEGURANÇA
TCP/IP e Internet: alcance mundial dos invasores aos seus alvos Portas TCP/IP
Macros (Word e Excel): Nova geração de vírus Infecção muito mais veloz Meios diversos de infecção (p.e., email) Qualquer tipo de arquivo pode ser infectado
Linguagens para a Internet (JavaScript, ActiveX) Difícil controle Podem causar sérios problemas numa rede interna
4
FALTA DE CUIDADO COM RELAÇÃO À SEGURANÇA
Sofisticação dos emails Interpretam diversos tipos de códigos e arquivos Códigos maliciosos se utilizam destes avanços
5
SEGURANÇA COMO PARTE DOS NEGÓCIOS
Muitos processos de negócios não enfocaram a segurança
Filosofia “funcionou, está ótimo” Falso senso de segurança
Instalar um firewall ou anti-vírus e se achar protegido
6
SEGURANÇA COMO PARTE DOS NEGÓCIOS
Negócios na Web Segurança passa a ser o principal responsável Exemplos:
Transmissão e armazenamento de informações de clientes
Disponibilidade dos sites Imagem da empresa em caso de ataque bem-
sucedido Comunicação segura entre matrizes, filiais,
fornecedores, parceiros comerciais, distribuidores e clientes
7
SEGURANÇA COMO PARTE DOS NEGÓCIOS
Profissional de segurança Ouvir as pessoas Conhecer as tecnologias Aplicar as tecnologias na organização de acordo
com: Estratégia de negócios Necessidades Estratégias de segurança
8
COMO A SEGURANÇA É VISTA HOJE
Reputação Anos para ser construída Destruída num instante
As organizações se baseiam na confiança de seus clientes
No ambiente cooperativo é pior ainda Problema com uma organização afeta todas
9
COMO A SEGURANÇA É VISTA HOJE
Vista como um gasto, não um investimento Nem sempre é quantificável Deve ser transparente Deve ser como a qualidade:
Ninguém discute se a qualidade é necessária hoje
Ele passou a ser algo necessário
10
INVESTIMENTOS EM SEGURANÇA (como é feito)
Orçamento geralmente pequeno Falta de visão da importância Fatos recentes mudaram esta visão Principais pontos de fortalecimento:
Fortificação do perímetro da rede Segurança e disponibilidade do servidor web Segurança e disponibilidade do servidor de comércio
eletrônico Segurança de email Segurança de acesso remoto
11
INVESTIMENTOS EM SEGURANÇA
Tendência no aumento gradual no nível de investimentos em segurança
Principais setores: Consultoria tecnológica Setor bancário e financeiro Governo e militares
Menos investimento: Educação revendedores
12
INVESTIMENTOS EM SEGURANÇA
Quantificação geralmente suposta (“chute”) Necessidade:
Análise de risco Metodologia para quantificar e qualificar os
níveis de segurança de cada recurso na organização
13
MITOS SOBRE SEGURANÇA “Isso não acontecerá conosco” “Já estamos seguros com o firewall” “Utilizamos os melhores sistemas, então eles
devem ser seguros” “Utilizamos as últimas versões dos sistemas dos
melhores fabricantes” “Nosso fornecedores irão nos avisar, caso
alguma vulnerabilidade seja encontrada” “Ninguém vai descobrir essa ‘brecha’ em nossa
segurança”14
MITOS SOBRE SEGURANÇA “Tomamos todas as precauções, de modo que
os testes não são necessários” “Vamos deixar funcionando e depois
resolveremos os problemas de segurança“ “Os problemas de segurança são de
responsabilidade do departamento de TI“ “Depois de instalar o Word, por favor, instale o
firewall“ “A companhia de segurança que foi contratada
irá cuidar da segurança”15
MITOS SOBRE SEGURANÇA “O nosso parceiro é confiável, podemos
liberar o acesso para ele” “Não precisamos nos preocupar com a
segurança, pois a segurança é um luxo para quem tem dinheiro”
Outros? ...
16
Exercícios
1) Você já foi afetado por vírus de macro? Dê exemplos.
2) Quanto aos mitos discutidos na aula de hoje, quais você já ouviu? Conhece outros mitos sobre segurança?
17
RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Falta de classificação das informações
Qual o valor? Qual a sua confiabilidade? Que risco estamos correndo? Quanto se perderia com um ataque?
18
RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Controle de acesso mal definido
Somente autenticação inicial Acesso irrestrito depois de autenticado Acesso a partes do sistema não necessárias
19
RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Dificuldade de controle sobre todos os
sistemas Sistemas operacionais Softwares Equipamentos ativos ‘bugs’ podem abrir ‘brechas’ internas
20
RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA A Internet é um ambiente hostil
Não pode ser presumida confiável Todo usuário é potencialmente um atacante
21
RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA As informações que trafegam na rede estão
sujeitas a serem capturadas Não apenas a informação, mas o padrão de
tráfego pode ser monitorado As mensagens que são enviadas para fora da
rede interna podem ser: capturadas lidas modificadas falsificadas
22
RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Qualquer conexão entre a rede interna e
qualquer outro ponto (do mundo!) pode ser utilizado para ataques à rede interna
Os telefones podem ser grampeados, e as informações (voz ou dados) podem ser gravadas
Os firewalls protegem contra acessos explicitamente proibidos e quanto aos serviços legítimos?
23
RISCOS E CONSIDERAÇÕES QUANTO À SEGURANÇA Segurança pela obscuridade
“Ninguém me invade por que não conhece meus segredos”
“Guardar a chave da porta debaixo do tapete” “Ninguém sabe o que eu guardo dentro desta
caixa” “Tomara que ninguém desconfie de quanto eu
tenho neste envelope”
24
SEGURANÇA VERSUS FUNCIONALIDADES Quanto maior a quantidade de
funcionalidades, tanto menor é a segurança Funcionalidades:
Serviços Aplicativos Pessoas envolvidas
25
SEGURANÇA VERSUS FUNCIONALIDADES Realidade de muitas organizações:
Ênfase nas funcionalidades Segurança em segundo plano
O ambiente cooperativo exige segurança Falta de preocupação com segurança
Pode ser bom no início Traz graves problemas depois
26
SEGURANÇA VERSUS FUNCIONALIDADES - FATORES
Exploração de vulnerabilidades Sistemas Operacionais Aplicativos Protocolos Serviços
Exploração de aspectos humanos Engenharia social
Falha no desenvolvimento ou implementação da política de segurança
27
SEGURANÇA VERSUS FUNCIONALIDADES - FATORES
Falha na configuração de serviços e sistemas de segurança
Desenvolvimento de ataques mais sofisticados
28
SEGURANÇA VERSUS FUNCIONALIDADES Pontos de vulnerabilidade:
Número de pontos de vulnerabilidade = número de recursos críticos x número de usuários que acessam estes recursos
Exemplo: Dez mil arquivos num servidor Cem usuários com acesso a estes arquivos Um milhão de possíveis pontos de acesso
vulneráveis
29
SEGURANÇA VERSUS PRODUTIVIDADE Quanto maior a segurança, menor a
produtividade Políticas muito restritivas afetam a
produtividade Política de segurança deve ser balanceada
Liberar serviços necessários Impedir os desnecessários ou de risco
30
SEGURANÇA VERSUS PRODUTIVIDADE Áudio por demanda, ICQ, MSN, chats
Comprometem nível de produtividade Consomem grande largura de banda da rede Trazem vulnerabilidades a rede interna
31
UMA REDE TOTALMENTE SEGURA Não existe! Segurança envolve diversos aspectos:
Técnológicos (autenticação) Técnicos (administrador) Sociais (insiders) Humanos (funcionários ludibriados) Educacionais (escolha de senhas)
32
UMA REDE TOTALMENTE SEGURA Definir a “máxima proteção” baseado em:
Que recursos devem ser protegidos Quem irá administrar a segurança Que investimento será feito
33
UMA REDE TOTALMENTE SEGURA Segurança inclui:
Política e procedimentos abrangentes Controle de usuários Autenticação de:
Meios de acesso Transações Comunicações
Proteção dos dados Monitoramento Evolução no nível da segurança Uso de novas tecnologias
34
UMA REDE TOTALMENTE SEGURA Segurança total não existe Segurança parcial assume os riscos Definição do nível de segurança de acordo
com o desejado
35
UMA REDE TOTALMENTE SEGURA Objetivo:
Criar uma rede altamente confiável Capaz de anular ataques casuais Capaz de tolerar acidentes Falhas benignas podem ser toleradas Colocar as vulnerabilidades onde causem o
mínimo de problemas Estar preparado para o pior
36
37
Exercícios3) Porque quando se fala de segurança, diz se, redução
das vulnerabiliades e não eliminação das vulnerabilidades?
4) Comente sobre segurança versus Funcionalidade.5) Comente sobre segurança versus produtividade.
38
Bibliografia deste material SÊMOLA, Marcos. Gestão da Segurança da
Informação: uma visão executiva. 1. ed. Rio de Janeiro: Elsevier, 2003. 156p.
Material dos professor Mehran Misaghi
39
Dúvidas
Obrigado pela atenção!