Segurana da

Informao
Prof. Levi Vieira

Segurana da Informao
Segurana
Lat. SECURITAS Minimizar ou eliminar qualquer tipo de
risco
Proteger
Lat. PROTEGERE - , cobrir na frente, de PRO-,
frente, + TEGERE, cobrir, tapar.

Fonte: http://origemdapalavra.com.br/

Importncia da Informao
A informao elemento essencial para todos os
processos de negcio da organizao, sendo, portanto,
um bem ou ativo de grande valor.
Os sistemas computacionais so os responsveis por
garantir o armazenamento, a distribuio e a
integridade da informao.
Pessoas esto envolvidas nas diversas faces dos
sistemas computacionais.

Anos 70 Ambiente homogneo

Controles centralizados no mainframe
Usurios com direitos restritos pelo Administrador
central
Distribuio restrita a Distribuio restrita a rea de
processamento de dados de dados Segurana em Redes

Anos 80 Ambiente menos

homogneo
Controle centralizado no mainframe e em alguns

servidores
Usurios com direitos restritos pelos administradores
locais
Restrita a rea de processamento de dados, financeira,
de dados, financeira, etc. etc.

Anos 90/00/10 Ambiente

heterogneo

Usurios com direitos restritos pelo administrador

Distribuio em todas as reas da Empresa
Servios informatizados acessveis ao pblico

Princpios em Segurana da
Informao
Trip Fundamental da Segurana da Informao: C I A
Confidencialidade (Confidentiality)
Prev que a informao deve ser acessada somente por pessoas, processos
ou sistemas previamente e devidamente autorizados. Este acesso deve ser o
mnimo necessrio (least privilege) para a realizao de seu trabalho (needto-know).
Integridade (Integrity)
Prev que a informao deve estar protegida de alteraes acidentais,
intencionais e/ou no autorizadas.
Disponibilidade (Availability)
Prev que a informao deve estar disponvel e acessvel quando necessrio.

Os ativos abaixo requerem qual requerimento CIA?

Segredos de negcio da empresa
Confidencialidade
-Valores de transaes financeiras
Integridade
-Servidores de comrcio eletrnico
Disponibilidade
-Somente 1 requerimento?
No! Sempre deve existir um balanceamento dos 3 requerimentos,
porm deve ser levado em considerao o mais crtico para o ativo.

Os controles abaixo esto relacionados com qual requerimento CIA?

Backup
Balanceamento de carga
Clusterizao
Configuraes Fail-over
Controle de Acesso (fsico e lgico)
Controle de mudanas
Criptografia de dados armazenados
Criptografia de dados em trnsito
Funes Roll-back
Gerenciamento de configuraes
Hashing
RAID (Redundant array of inexpensive disks)

Os controles abaixo esto relacionados com qual requerimento CIA?

Backup -> Disponibilidade
Balanceamento de carga -> Disponibilidade
Clusterizao -> Disponibilidade
Configuraes Fail-over -> Disponibilidade
Controle de Acesso (fsico e lgico) -> Integridade
Controle de mudanas -> Integridade
Criptografia de dados armazenados -> Confidencialidade
Criptografia de dados em trnsito -> Confidencialidade
Funes Roll-back -> Disponibilidade
Gerenciamento de configuraes -> Integridade
Hashing -> Integridade
RAID (Redundant array of inexpensive disks) -> Disponibilidade

Fonte: Insights do Estudo IBM Chief Information Security Officer de 2013

Princpios da Segurana
da Informao

Identificao, Autenticao, Autorizao e

Responsabilizao (Accountability)
Muito conhecido como os 3 As da segurana
Identificao: a atribuio de uma identidade nica para uma pessoa
ou sistema. Ex: Username
Autenticao: o processo de verificao da identidade do usurio no
momento em que o usurio solicita o acesso um recurso e prov sua
identidade nica e uma informao privada que somente ele tenha
conhecimento, como por exemplo a senha.
Autorizao: Descreve as aes que podem ser executadas em um
sistema, uma vez que o usurio tenha se identificado e autenticado. As
aes podem incluir a leitura, escrita, ou a execuo de arquivos ou
programas.
Responsabilizao: registro dos usurios e as aes que executaram

Princpios da Segurana da
Informao
Defesa em profundidade (camadas)
a prtica de implementar mltiplas camadas de
segurana entre uma informao e um atacante.
A primeira linha de defesa de uma defesa em
profundidade o Controle de Acesso.
A ltima fronteira da defesa em profundidade a
Criptografia.

Princpios de Segurana da
Informao
Menor Privilgio (Least Privilege)
uma das caractersticas mais fundamentais de controle
de acesso para o cumprimento dos objetivos de
segurana. Significa que os usurios devem ter a
quantidade mnima de acesso (autorizao) necessria
para fazer o seu trabalho.
Somente o Necessrio (Need to Know)
um conceito complementar ao Menor Privilgio e
significa que deve ser definido o acesso necessrio para o
desempenho de determinado trabalho.

Politicas de Segurana

Princpios de Segurana da
Informao
Sujeitos (Subjects)
Um sujeito uma entidade ativa em um sistema de dados. Um
exemplo de sujeito uma pessoa ou sistema acessando dados.

Objetos (Objects)
Um objeto qualquer dado passivo em um sistema. Os objetos podem
ser dados em bancos de dados ou em arquivos texto. Um exemplo de
objeto um dado sendo acessado por uma pessoa ou sistema.

Confidencialidade

Integridade

Disponibilidade

Politicas de
Segurana

Confidencialidade

Integridade

Disponibilidade

Controles de Acesso
Controle de Acesso Discricionrio Discretionary Access
Control (DAC): D aos Sujeitos o controle total dos Objetos aos
quais lhes foi dado acesso, incluindo o compartilhamento dos
Objetos com outros Sujeitos.

Controle de Acesso Mandatrio - Mandatory Access Control

(MAC): o controle de acesso determinado pelo sistema com
base na Clearance (Autorizao) dos Sujeitos e nas Labels
(Rtulos) dos Objetos. Ex: Confidencial, Secreto e Ultra-Secreto.

Controles de Acesso

Controle de Acesso Baseado em Regras - Rule-based

access controls
Listas de controle de acesso - Access Control Lists
(ACLs)

Controles de Acesso
Controle de Acesso No-Discricionrio - Nondiscretionary
access control (NDAC): Os usurios no tm poder sobre os
grupos de Objetos que eles tm permisso para acessar e so
incapazes de transferir Objetos para outros Sujeitos.
Role-Based Access Control (RBAC): Baseado na Funo
(cargo/rea) que a pessoa desempenha em sua empresa. Os
Sujeitos so agrupados e recebem as permisses de acesso
baseados em suas Funes.

Princpios de Segurana da
Informao
Due Care
Devido Cuidado fazer o que uma pessoa razovel
faria. s vezes chamado a regra do "homem
prudente". O termo deriva do "dever de cuidar. uma
atividade informal e realizada no dia a dia.
Due Diligence
Devida diligncia como um passo alm do Due
Care. Ela segue um processo formal, por exemplo, uma
auditoria. a gesto do Due Care.

Princpios de Segurana da
Informao
Separao de funes ou segregao de funes:
Nenhuma pessoa sozinha possui todo o acesso
necessrio para realizar uma atividade sensvel. Mais de
uma pessoa realiza parte de uma atividade sensvel.
Rotao de Tarefas: As tarefas so desempenhadas
por diferentes pessoas de tempos em tempos. Durante
a execuo de determinada tarefa a pessoa deve
respeitar os princpios de least privilege e need to know.
Licena obrigatria/frias foradas: Visa identificar
indcios de fraude.

Princpios de Segurana da
Informao
Funes e Responsabilidades
As funes primrias de segurana de informao
incluem a alta administrao, o proprietrio dos dados, o
custodiante, e o usurio. Cada um desempenha um papel
diferente na segurana dos ativos de uma organizao.
A Alta Administrao cria o programa de segurana da
informao e garante que ele est devidamente
implementado e tem prioridade organizacional. Este
programa responsvel por garantir que todos os ativos
organizacionais esto protegidos.

Princpios de Segurana da
Informao
Funes e Responsabilidades
O Proprietrio dos Dados
(tambm chamado de dono/proprietrio da informao/negcio)
um funcionrio de nvel gerencial, responsvel por garantir que os
dados especficos esto protegidos. Proprietrios de Dados
determinam rtulos de sensibilidade de dados (classificao da
informao) e a frequncia do backup dos dados. Uma empresa
com vrias linhas de negcios pode ter vrios proprietrios de
dados. O proprietrio de dados exerce funes de gesto;
Custodiantes executam a proteo efetiva mo na massa dos
dados.

Princpios de Segurana da
Informao
Funes e Responsabilidades
O Custodiante fornece a proteo mo na massa dos ativos de
informao, tais como dados. Eles realizam backups e restaurao
de dados, aplicam patches nos sistemas, configuram o software
de antivrus, etc. Os custodiantes seguem ordens detalhadas, pois
eles no tomam decises crticas sobre a forma como os dados
esto protegidos. O proprietrio dos dados pode ditar "Todos os
dados devem ser backupeados a cada 24 horas. Os
custodiantes (e seus gestores) , ento, devem implantar e operar
uma soluo de backup que atenda aos requisitos do proprietrio
dos dados.

Princpios de Segurana da
Informao
Funes e Responsabilidades
O Usurio o quarto papel de segurana da
informao primria. Os usurios devem seguir as
regras: eles devem estar de acordo com os
procedimentos obrigatrios, polticas, normas, etc. Eles
no devem anotar suas senhas ou compartilhar contas ,
por exemplo. Os usurios devem estar cientes dos
riscos e exigncias. Voc no pode assumir que eles vo
saber o que fazer ou assumir que eles j esto fazendo
a coisa certa: eles devem ser informados, por meio de
programas de conscientizao em segurana da

Princpios de Segurana da
Informao

Princpios de Segurana da
Informao
Regulamentaes
Sarbanes-Oxley Act (SOX)
SOX uma lei federal dos EUA de 2002, que, entre outras coisas, pode enviar
executivos para a cadeia se for descoberto que a empresa apresentou resultados
contbeis fraudulentos para a Security Exchange Commission (SEC). A SOX baseada
no modelo COSO, portanto, para uma corporao para ser compatvel com SOX, ela
tem que seguir o modelo COSO. As empresas geralmente implementam a ISO/IEC
27000 e o CobiT para ajudar a construir e manter a sua estrutura interna COSO.
Payment Card Industry Data Security Standard (PCI-DSS)
um padro auto-regulatrio de segurana criado pelo Conselho de Padres de
Segurana da Indstria de Cartes de Pagamento. O conselho composto por
American Express, Discover, MasterCard, Visa, entre outros. O PCI-DSS procura
proteger os cartes de crdito, exigindo que os envolvidos na cadeia de pagamentos
com cartes de crdito adotem precaues de segurana especficas.

Princpios em Segurana da
Informao
Regulamentaes
Basel II (Basilia II)
O Banco de Compensaes Internacionais criou um meio para proteger os
bancos de excederem-se e tornarem-se insolventes, atravs da
implementao de um sistema que estabelece o montante mnimo de
capital que as instituies financeiras membros so obrigadas a manter
com base na exposio real de risco de cada instituio financeira.
Health Insurance Portability and Accountability Act (HIPAA)
Define leis rigorosas para instituies de sade visando garantir a
segurana e a privacidade dos registros dos pacientes, ditando a maneira
como os arquivos so acessados , armazenados e transmitidos em uma
rede.

Princpios em Segurana da
Informao
Padres de Mercado
ISO 17799 ou srie ISO 27000
A ISO 17799 uma abordagem de base ampla para o cdigo de prticas de
segurana da informao criado pela International Organization for
Standardization. O ttulo completo "ISO/IEC 17799:2005 - Tecnologia da
Informao Tcnicas de Segurana - Cdigo de Prticas para a Gesto da
Segurana da Informao". Foi baseada na BS ( British Standard ) 7799 Parte 1.
A ISO 17799 foi renumerada para ISO 27002 em 2005 para torn-la compatvel
com a srie de normas de segurana ISO 27000.
A ISO 27001 uma norma relacionada, formalmente chamada "ISO/IEC
27001:2005 - Tecnologia da Informao - Tcnicas de Segurana - Gesto de
Sistemas de Segurana da Informao - Requisitos. A ISO 27001 foi baseada na
BS 7799 Parte 2.

Princpios em Segurana da
Informao
Frameworks de Controles
COSO modelo de controle interno para a governana
corporativa para ajudar a evitar fraudes desenvolvido
pelo Committee of Sponsoring Organizations of the
Treadway Commission.
COBIT (Control Objectives for Information and related
Technology) uma estrutura de controle para o
emprego das melhores prticas de governana da
tecnologia da informao dentro de uma organizao.
COBIT foi desenvolvido pela ISACA (Information Systems
Audit and Control Association).

Princpios em Segurana da
Informao
Arquitetura de trs camadas
No caso de e-commerce, a camada de apresentao o front-end, que um
servidor Web com o qual os usurios interagem. Ela pode oferecer tanto contedo
esttico como contedo dinmico em cache.
A camada de lgica de negcios aonde a requisio reformatada e processada.
Geralmente, um processamento dinmico de contedo.
A camada de armazenamento de dados onde os dados sensveis so mantidos.
um banco de dados de back-end que contm tanto os dados e o software de
sistema de gerenciamento de banco de dados que usado para gerenciar e
fornecer acesso aos dados.
As camadas separadas pode ser conectadas com o middleware e serem
executadas em servidores fsicos separados.

Fonte: Wikipedia