Segurana da Informao

M.Sc. Bernardo E. F. de Oliveira

Dezembro /2005

Segurana da informao
AGENDA
Histrico Conceitos Ameaas Protees Norma NBR ISO/IEC 17799 Desafios Pesquisa nacional de Segurana da Informao

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
HISTRICO
Desde o incio da civilizao humana h uma preocupao com as informaes e com os conhecimentos atrelados a elas. Inicialmente, esta ateno especial pode ser observada no processo de escrita de alguns povos, como o caso da antiga civilizao egpcia, na qual somente as castas "superiores" da sociedade tinham acesso aos manuscritos da poca, e menos pessoas ainda ao processo de escrita dos mesmos. Assim a escrita, por meio de hierglifos do Egito antigo, representa uma das vrias formas utilizadas pelos antigos de protegerem e, ao mesmo tempo, perpetuarem o seu conhecimento. questo da segurana no mbito dos computadores ganhou fora com o surgimento das mquinas de tempo compartilhado, tambm conhecidas como computadores "time-sharing", ou seja, que permitiam que mais de uma pessoa, ou usurio, fizesse uso do computador ao mesmo tempo.

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
HISTRICO

Problema clssico de computadores : Como fazer com que usurios autorizados possam ter acesso a determinadas informaes, ao mesmo tempo em que os usurios no autorizados no possam acess-las ?

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
HISTRICO
1967 Security Control for Computer System: Report of Defense Science Boad Task Force on computer Security - DoD e CIA 1977 DoD Computer Security Initiative, um plano sistemtico para tratar do Problema Clssico de Segurana. Criao de "centro" para avaliar o quo seguro eram as solues disponibilizadas. 1978 A necessidade da criao de um conjunto de regras a serem utilizadas no processo de avaliao. Este conjunto de regras ficaria conhecido informalmente como "The Orange Book", -"Trusted Computer Evaluation Criteria - DoD 5200.28-STD. somente no dia 26 de dezembro de 1985 foi publicada a verso final e atual deste documento 2000 Norma NBR ISO/IEC-17799.

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
CONCEITOS
Informao
Conjunto de dados utilizados para a transferncia de uma mensagem
entre indivduos e/ou mquinas em processos comunicativos (isto , baseados em troca de mensagens) ou transacionais (isto , processos em que sejam realizadas operaes que envolvam, por exemplo, a

transferncia de valores monetrios). A informao pode estar

presente ou ser manipulada por inmeros elementos deste processo, chamados ativos, os quais so alvos de proteo da segurana da informao.

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
CONCEITOS
Ativo
Todo elemento que compe os processos, incluindo o prprio processo,
que manipulam e processam a informao, a contar a prpria informao, o meio em que ela armazenada, os equipamentos em que ela manuseada, transportada e descartada. O termo ativo

possui esta denominao, oriunda da rea financeira, por ser

considerado em elemento de valor para o individuo ou organizao.

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
CONCEITOS
Segurana da Informao
A Segurana da Informao por definio busca atravs de vrias
formas proteger o ativo contra as possveis ameaas. um processo que visa detectar e impedir que pessoas no autorizadas (invasores) possam acessar qualquer parte do sistema.

Na era do conhecimento, onde a informao considerada um dos

principais patrimnios das organizaes, ela deve ser protegida nos seus aspectos de disponibilidade, integridade e confidencialidade e a Segurana da Informao o elemento chave de proteo

coorporativa e de continuidade de negcios.

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
CONCEITOS
Segurana da Informao
a) Disponibilidade a garantia de que usurios autorizados tenham
acesso as informaes e servios sempre quando requerido. b) Confidencialidade a garantia de que as informaes so acessadas somente por pessoas autorizadas a terem acesso. c) Integridade a garantia que as informaes estejam sempre exatas e completas da forma que foram disponibilizadas pelo proprietrio, visando proteg-las contra alteraes indevidas, intencionais ou acidentais.

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
CONCEITOS

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
CONCEITOS
Politica de Segurana da Informao
Conjunto de diretrizes idealizadas pelos representantes de uma
organizao, moldadas de acordo com a funcionalidade da mesma, visando implementar a forma mais segura de utilizar uma informao. Regras para o uso de determinados equipamentos; Responsabilidades e concientizao de cada membro da empresa; Padronizao de procedimentos; Treinamento para os usurios dos meios de informtica; Controle do acesso a informaes; Periodicidade de auditorias e avaliao de riscos.

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
CONCEITOS
Politica de Segurana da Informao
Deve :
Ser verdadeira Ser curta

Ser vlida para todos

Ser simples Ter o patrocnio da alta direo da organizao

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
AMEAAS
Hackers - pessoas que detm algum conhecimento na rea de

informtica e utiliza esta sabedoria para o mal;

Backdoors - vulnerabilidase (portas) de programas permitindo ataques de hackers. Pode ser acidental, como por exemplo, uma falha na fabricao de um software ou proposital, quando esta porta criada

por um cavalo de tria;

Cavalo de Tria / Trojan - Software tipo cliente/Servidor. A parte servidor a que fica dentro do computado da vtima; SPAM - mensagens no solicitadas, enviadas por e-mail pelo spammer (autor do spam), com informaes inutis.

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
AMEAAS
DOS / DDOS - ameaa com a finalidade de sobrecarregar a vtima,

deixando as suas atividades indisponveis (negao de servio) ou

muito lentas. Este tipo de ataque no tem a inteno de corromper ou modificar dados. Vrus / Worms - este tipo de ameaa considerado, segundo as

pesquisas, um dos maiores problemas para os administradores de

rede. Vrus nada mais que um programa capaz de se reproduzir de um computador. Engenharia social - artifcio utilizado por pessoas maliciosas que se aproveitam da fragilidade e/ou da inocncia dos usurios de uma organizao, com o intuito de obter informaes necessrias para realizar um ataque

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
AMEAAS
Engenharia social - Tipos de ataques

No local de trabalho
Por telefone Lixo

On-line
Inversa Nunca pense que para realizar este tipo de ataque so necessrias mentiras complexas previamente preparadas. A maioria dos ataques direta e simples, apenas pedindo a informao !

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
9a. PESQUISA NACIONAL de SEGURANA da INFORMAO
42% das empresas tiveram problemas com a Segurana da Informao nos seis meses anteriores pesquisa. 26% das empresas no conseguem sequer identificar os responsveis pelos ataques. 35% das empresas reconhecem que tiveram perdas financeiras. 48% no possuem nenhum plano de ao formalizado em caso de invases e ataques. 60% indicam a internet como principal ponto de invaso em seus sistemas. 63,5% dos entrevistados adotam a ISO 17799 como a principal norma que norteia suas empresas. Fonte : Mdulo Security Out/2003

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
9a. PESQUISA NACIONAL de SEGURANA da INFORMAO
Vrus (66%), funcionrios insatisfeitos (53%), divulgao de senhas (51%), acessos indevidos (49%) e vazamento de informaes (47%) foram apontados como as cinco principais ameaas segurana das informaes nas empresas.

Pelo terceiro ano consecutivo, antivrus (90%), sistemas de backup (76,5%) e firewall (75,5%) foram apontados como as trs medidas de segurana mais implementadas nas empresas.
A falta de conscincia dos executivos apontada por 23% dos entrevistados como o principal obstculo para implementao da segurana.

Fonte : Mdulo Security Out/2003

Uma corrente no mais forte do que seu elo mais fraco

Segurana da informao
meramente tem que desconectar o seu sistema de qualquer rede externa, e permitir somente acesso a terminais ligados diretamente a ele. Pr a maquina e seus terminais em uma sala fechada e um guada armado na porta F.T. Gramp

facil ter-se um sistema de computao seguro. Voc

No basta tornar seguro, preciso manter seguro!

Segurana da informao

OBRIGADO !