1

Se g urana da Info rm ao
Segurana da Informao A informao o maior patrimnio para muitas empresas e protege-la no uma atividade simples. Entretanto, para que seja possvel obter nvel aceitvel de segurana, no basta reunir um conjunto de ferramentas de software e implement-las. Os seus resultados tornam-se mais eficazes quando sua utilizao est dentro do contexto de um Plano de Segurana, elaborado em conjunto pelos nveis estratgicos, ttico e operacional da empresa. claro que as medidas de segurana no asseguram 100% de proteo contra todas as ameaas, mas a definio das expectativas da Organizao, com relao ao comportamento e os procedimentos necessrios no manuseio dos seus bens/ativos, dever estar mais do que nunca enraizados na cultura da empresa, pois segurana no s uma questo tcnica, mas de poltica e educao empresarial.

Se g urana da Info rm ao

Segurana da Informao Portanto a segurana de uma empresa no esta ligado somente a produtos voltados segurana como: Firewall; Software de encriptao de dados; IDS; etc.

Mas sua abrangncia vai muito alm disso, como podendo-se citar: Anlise de Risco; Poltica de Segurana; Controle de Acesso Fsico e Lgico; Treinamento e Conscientizao para Segurana da Informao; Plano de Contingncia.

A segurana da informao pode e deve ser tratada como um conjunto de mecanismo conforme acima exposto, devendo ser adequada necessidade de cada empresa.

Se g urana da Info rm ao

Segurana da Informao Alguns pontos so importantes de determinar quanto a segurana, e a empresa deve sempre t-los em mente: O que deve ser protegido? Contra o que ser necessrio proteger? Como ser feita a proteo? Alm disso, ser necessrio determinar que nvel de segurana necessrio, bem como avaliar a questo custo x beneficio.

Se g urana da Info rm ao

Segurana da Informao Exemplo: Uma agncia de publicidade, que esteja ligada a Internet, necessita de muita proteo para seus projetos, pois uma propaganda que ir veicular na mdia na semana seguinte no pode de maneira alguma cair nas mos da concorrncia. J em Universidade, no necessria tanta segurana, pois suas publicaes, como monografia, teses e material cientifico, geralmente so colocados disposio de alunos e pesquisadores do mundo inteiro, para consulta.

Se g urana da Info rm ao
Objetivos da Segurana da Informao Todo projeto de segurana de informao procura abranger pelo menos os processos mais crticos do negcio em questo. O resultado esperado de um trabalho como este , sem duvida, que no mnimo todos os investimentos efetuados devam conduzir para: Reduo de probabilidade de ocorrncia de incidentes de segurana; Reduo dos danos/perdas causados por incidentes de segurana; Recuperao dos danos em caso de desastre/incidente. O objetivo da segurana, no que tange informao, busca de disponibilidade, confidencialidade e integridade dos seus recursos e da prpria informao.

Se g urana da Info rm ao

Anlise de Risco A analise de risco consiste em um processo de identificao, avaliao dos fatores de risco presentes e de de forma antecipada no Ambiente Organizacional, possibilitando uma viso do impacto negativo causado aos negcios. Atravs da aplicao deste processo, possvel determinar as prioridades de ao em funo do risco identificado, para que seja atingindo o nvel de segurana desejado pela Organizao. Proporciona tambm informaes para que se possa identificar o tamanho e o tipo de investimento necessrio de forma antecipada aos impactos na Organizao causados pela perda ou indisponibilidade dos recursos fundamentais para o negcio. Portanto, como possvel prever alguns inmeros acontecimentos que podero ocorrer, este tipo de anlise aponta os possveis perigos e suas conseqncias em virtude das vulnerabilidades presentes no ambiente computacional de muitas empresas. Por outro lado, sem um processo deste tipo, no possvel identificar a origem das vulnerabilidades, nem visualizar os riscos.

7 Anlise de Risco

Se g urana da Info rm ao

As medidas de segurana no podem assegurar 100% de proteo, e a empresa deve analisar a relao custo/beneficio. Ento, a empresa precisa achar o nvel de risco ao qual estar disposta a correr. Este processo deve, no mnimo, proporcionar as seguintes informaes: Pontos vulnerveis do ambiente; Ameaas potenciais ao ambiente; Incidentes de segurana causados pela ao de cada ameaa; Impacto negativo para o negcio a partir da ocorrncia dos incidentes provveis de segurana; Riscos para o negcio a partir de cada incidente de segurana; Medidas de proteo adequadas para impedir ou diminuir o impacto de cada incidente. Alguns fatores so cruciais e devem ser identificados a fim de mapear todos o negcio da empresa com o intuito de detectar a presena de riscos.

Se g urana da Info rm ao

Ameaas Internas

Ativos Medidas de Segurana Hardware Software Processos Informaes

Negcio

Ameaas Externas
Ponto Vulnervel

Documentos Pes s oas

Incidente de Segurana Perda/Danos

Impacto negativo no negcio Danos imagem Perda de confiabilidade dos clientes Perda da vantagem competitiva

Incidente de Segurana

Se g urana da Info rm ao

Alguns exemplos de questionamento devem ser feitos pelas empresas antes de efetuarem qualquer investimento:
Que ativos devem ser protegidos? Quais ativos crticos devero ter proteo adicional? Quais servios na rede devero estar disponveis para os funcionrios? Quem ter acesso a esses servios? Quem poder conceder autorizao e privilgios para o acesso aos sistemas? Que software permitir nas estaes de trabalho? Como proceder quando programas encontrados nas estaes de trabalho? no-aprovados/piratas forem

Abrangncia O processo de analise das medidas de segurana pode ser aplicado onde seja necessrio avaliar riscos potenciais, independente da rea desejada, quanto maior o escopo de avaliao, menor a possibilidade de erros em virtude da abrangncia dos recursos envolvidos.

10

Se g urana da Info rm ao

Bas ead o Inform ao Ne g cio Prot egem con t m con t m Vulne rabilidades au m en t am Medidas de s e gurana d im in u em s u jeit a

Ris co s
au m en t am

p erm it em

au m en t am red u z em Inpacto s No Ne g cio Cau s am

au m en t am

Am e aas

Inte gridade Confide ncialidade Dis ponibilidade

Com p rom et em

Ciclo de Se gurana da Info rm ao

11

Se g urana da Info rm ao

Vulnerabilidade A vulnerabilidade o ponto onde qualquer sistema suscetvel a um ataque, ou seja, uma condio encontrada em determinados recursos, processos, configuraes, etc. Condio causada muitas vezes pelas ausncia ou ineficincia das medidas de proteo utilizadas com o intuito de salvaguardar os bens da empresa. Todos os sistemas so vulnerveis, partindo do pressuposto de que no existem ambientes totalmente seguros. At as medidas de seguranas implementadas pela empresa possuem falhas. O nvel de vulnerabilidade decai medida em que so implementados controles e medidas de proteo adequadas, diminuindo tambm os riscos para o negocio. Ento podemos dizer que os riscos esto ligados ao nvel de vulnerabilidade que o ambiente analisado possui, pois para se determinar os riscos, as vulnerabilidades precisam ser identificadas.

12

Se g urana da Info rm ao

Como Surgem as Vulnerabilidades? As vulnerabilidades esto presentes no dia-a-dia das empresas e se apresentam nas mais diversas reas de uma organizao.

Ambiente Computacional

Vulnerabilidades

No existe uma nica causa para o surgimento de vulnerabilidade. A negligncia por parte de administradores de rede e a falta de conhecimento tcnico so exemplos tpicos. Algumas vulnerabilidades esto presentes nos Sistemas Operacionais que acabamos de instalar. Normalmente os hackers so os primeiros a explorarem as vulnerabilidades.

13

Se g urana da Info rm ao

Qual a relao entre vulnerabilidade X medidas de Proteo? As medidas de proteo tambm esto sujeitas a terem vulnerabilidades. Enquanto que para um conjunto de ocorrncias (ameaas), determinadas medidas de proteo so adequadas, para outras no. Portanto nas empresas encontramos medias adequadas para uma determinada situao e inadequadas para outras. Por isso preciso buscar a melhor relao custo/beneficio no momento da definio de sua estratgia de segurana. O nvel de vulnerabilidade do ambiente computacional decai medida em que so implementados controles e medidas de proteo adequadas, diminuindo tambm os riscos para o negcio. Podemos dizer que os riscos esto ligados ao nvel de vulnerabilidade e ao grau de eficincia de proteo.

14

Se g urana da Info rm ao

Incidentes de Segurana Um incidente de segurana qualquer evento que prejudique o bom andamento dos sistemas, das redes ou do prprio negcio. Este incidente pode ser o resultado de uma violao de segurana concretizada, um acesso no-autorizado a determinadas informaes confidenciais ou at mesmo um site tirado do ar pela ao de um hacker. Os incidentes de segurana ocorrem pela ao efetiva de uma determinada ameaa atravs de uma vulnerabilidade encontrada. Logo, podemos afirmar que os incidentes de segurana somente podem ser concretizados quando existem ambientes propcios, ou seja, vulnerabilidades.

15

Se g urana da Info rm ao

Medidas de Segurana Medidas de segurana so esforos como procedimentos, software, configuraes, hardware e tcnicas empregadas para atenuar as vulnerabilidades com o intuito de reduzir a probabilidade de ocorrncia de ao de ameaas e, por conseguinte, os incidentes de segurana. Como tudo envolve custo, antes de decidir pela estratgia a ser adotada, importante atentar para o nvel de aceitao dos riscos. Este sim deve definir os nveis de investimentos das medidas de segurana que sero adotadas pela empresa.

16

Se g urana da Info rm ao

Medidas de Segurana Existem algumas estratgias que pode ser aplicada em um ambiente computacional. A seguir apresentamos trs estratgias de segurana que podem ser utilizadas: Medida Preventiva: Este tipo de estratgia possui como foco a preveno da ocorrncia de incidentes de segurana. Todos os esforos esto baseados na precauo e, por esta razo, o conjunto de ferramentas e/ou treinamentos esto voltados para esta necessidade.

Medida Detectiva: a estratgia utilizada quando se tem a necessidade de obter auditabilidade, monitoramento e deteco em tempo real de tentativas de invaso;

Medida Corretiva: O enfoque desta estratgia propor mecanismos para a continuidade das operaes, ela prope ferramentas e procedimentos necessrios para a recuperao e a continuidade de uma empresa. Est medida muito delicada e deve ser realizada com extremo nvel de profissionalismos, por se tratar da recuperao da imagem da empresa.

17

Se g urana da Info rm ao

Processo de segurana A segurana no uma tecnologia. No possvel comprar dispositivos que torne sua rede segura, assim como no possvel comprar ou criar um software capaz de tornar seu computador seguro. O que possvel fazer administrar um nvel aceitvel de risco. A segurana um processo. Pode-se aplicar o processo seguidamente rede e empresa que a mantm e, dessa maneira, melhorar a segurana dos sistemas. Se no iniciar ou interromper a aplicao do processo sua segurana ser cada vez pior, medida que surgirem novas ameaas e tcnicas. como subir uma escada rolante que desce.

18

Se g urana da Info rm ao

Processo de segurana O processo de segurana consiste em: Analise o problema levando em considerao tudo que conhece. Sintetize uma soluo para o problema a partir de sua anlise. Avalie a soluo e aprenda em que aspectos no correspondeu a suas expectativas. Depois, reinicie o processo seguidamente. Avaliao

Anlise

Sintese

19

Se g urana da Info rm ao
o processo de segurana consiste

Processo de segurana Em ambientes Informatizados basicamente em:

Aprenda tudo o que puder sobre ameaas que encontrar. Use a Internet para adquirir informaes e lembre-se de que as informaes mudam todos os dias. Planeje o melhor possvel de acordo com o que aprendeu antes de implementar qualquer coisa. Uma reflexo em um fim de semana sobre o que foi aprendido poder economizar uma quantidade considervel de tempo e dinheiro.

Pense como um atacante (pensar idias perversas) e fortalea a segurana at torn-la a mais segura possvel.

Implemente exatamente como foi projetado.

Verifique tudo continuamente para ter certeza de que nada foi alterado. Configuraes em computadores podem ser modificadas em instantes e essa modificao poder causar um forte impacto de segurana. Cuide para que mudanas temporrias sejam temporrias, pois no existe mecanismos capazes de chamar a ateno sobre mudanas. Pratique a execuo para ter certeza de que compreendeu e ser capaz de operla de maneira correta.

20

Se g urana da Info rm ao

Processo de segurana
Simplifique o que deseja que as pessoas faam. O sistema no deve ser seguro porque as pessoas no conseguem utiliz-lo. A arte de projetar a segurana de um sistema consiste em faze-lo de forma que os usurios no precisem se preocupar com as medidas de seguranas adotadas, contanto que faam o que lhes permitido. Dificulte o que no deseja que as pessoas faam. Isso se aplica para pessoas desautorizadas e autorizadas.

Facilite a identificao de problemas. Em qualquer rede existe uma grande quantidade de informaes relevantes aprenda como usar essas informaes.

Dificulte esconder o que no deseje que fique escondido. Quanto maior a quantidade de eventos registrados e quanto mais exaustivamente os analisar, maior ser a chance de reconhecer rastros de ataques.

Teste tudo o que puder testar. Comece pelos itens mais importantes e examine todos.

Pratique tudo o que puder praticar. Para defender a rede, as pessoas precisam conhecer suas funes e estar preparadas de maneira adequada.

Melhore tudo o que puder melhorar. Faa com que seja mais simples, mais rpido, mais robusto.

Repita esse processo continuamente, em todos os nveis de detalhe.

21

Se g urana da Info rm ao

Poltica de Segurana A poltica de segurana pode ser entendida como sendo um conjunto de normas e diretrizes destinadas a proteo dos ativos da Organizao. Poltica de segurana pode ser um documento, no qual deve estar descrito a forma que a empresa deseja que seus ativos sejam: Protegidos; Manuseados; Tratados; O objetivo de qualquer Poltica de Segurana o de definir as expectativas da Organizao quanto ao uso dos seus recursos (computadores e redes), estabelecendo procedimentos com o intuito de prevenir e responder a incidentes relativos segurana.

22

Se g urana da Info rm ao

Poltica de Segurana Devido ao fato da informao nos dias atuais ter um grande valor estratgico e ttico para as Organizaes. Hoje em dia, a informao o Ativo mais valioso de muitas empresas. Diante deste cenrio, a poltica de segurana passa a ter uma importante funo, pois visa a proteo dos ativos da Organizao para que os negcios no parem e ocorram dentro de um ambiente harmnico e seguro.

23

Se g urana da Info rm ao

Escrevendo uma poltica de segurana Uma poltica de segurana atende a vrios propsitos:

Descreve o que est sendo protegido e por qu.

Define prioridades sobre o que esta precisa ser protegido em primeiro lugar e com qual custo.

Permite estabelecer um acordo explicito com as vrias partes da empresa em relao ao valor da segurana.

Fornece ao departamento de segurana um motivo valido para dizer no quando necessrio.

Impede que o departamento de segurana tenha um desempenho ftil.

A Poltica de segurana de computadores o que h de mais importante. Porm, se pedir que algum profissional da segurana mostre a poltica que eles utilizam, bastante provvel que, com um sorriso meio sem graa, peram que volte ms que vem, quando estiver pronto, ou seja, quase ningum tem realmente uma poltica de segurana.

24

Se g urana da Info rm ao

Poltica de segurana A poltica de segurana a medida de segurana mais importante de uma empresa, mas muito provvel que a maioria das empresas no possua uma. As razoes para isso so: Prioridade. A poltica importante, mas hoje preciso que algum coloque o servidor Web on-line. necessrio notar que uma poltica de segurana urgente.

Poltica interna. Em qualquer empresa vrios fatores internos afetam qualquer deciso prtica.

Propriedade. Em algumas empresas existem brigas entre grupos para ser donos da poltica, ou o no.

Dificuldade para escrever. Uma boa poltica um documento difcil de se organizar.

25

Se g urana da Info rm ao

Adiante so apresentadas algumas sugestes para ajudar a solucionar problemas com a aplicao (confeco) de polticas de segurana em empresas: Uma boa poltica hoje melhor que uma excelente poltica no prximo ano.

Uma poltica fraca, mas bem-distribuda, melhor do que uma poltica forte que ningum leu.

Uma poltica simples e facilmente compreendida melhor do que uma poltica confusa e complicada que ningum se d o trabalho de ler.

Uma poltica cujos detalhes esto ligeiramente errados muito melhor do que uma poltica sem quaisquer detalhes.

Uma poltica dinmica que atualizada constantemente melhor do que uma poltica que se torna obsoleta com o passar do tempo.

Costuma ser melhor se desculpar do que pedir permisso.

26

Se g urana da Info rm ao

Para se escrever uma boa poltica execute os seguintes passos: 1. Escreva uma poltica de segurana para sua empresa. A poltica deve ter no mximo 5 paginas No tente torna-la perfeita; Procure apenas reunir algumas idias essenciais; No necessrio que esteja completa e no precisa ser de uma clareza absoluta. 2. Descubra trs pessoas dispostas a fazer parte do comit de poltica de segurana. Elas iro criar regras e emendas para a poltica sem modific-la. 3. Crie um site da Web interno sobre a poltica e inclua uma pgina descrevendo como entrar em contado com o comit de poltica de segurana. Mantenha sempre o site atualizado com as polticas. 4. Trate a poltica e as emendas como regras absolutas com fora de lei. Na permita que a poltica seja violada. 5. Se algum tiver algum problema com a poltica, faa com que a pessoa proponha uma emenda. 6. Programe um encontro regular, fora do local de trabalho, para consolidar a poltica e as emendas. 7. Repita o processo novamente. Exponha a poltica no site, trate-a como lei, envolva as pessoas da administrao, acrescente emendas conforme seja necessrio e revise tudo a cada ano.

27

Se g urana da Info rm ao

Descreva como determinada a importncia de uma violao da poltica e as categorias de conseqncias. Alguns exemplos so apresentados a seguir. Penalidades: Critica - Recomendao para demisso; - Recomendao para abertura de ao legal; Seria - Recomendao para demisso; - Recomendao para desconto de salrio; Limitada - Recomendao para desconto de salrio; - Repreenso formal por escrito; - Suspenso no-remunerada;

28

Se g urana da Info rm ao