MBA em Governana de TI Modelos Relacionados Segurana da Informao

Prof. MsC. Mauro Sobrinho mauro@pgr.mpf.gov.br

Introduo Segurana da Informao

Desde o surgimento da raa humana na Terra, a informao esteve presente atravs de diferentes formas e tcnicas. O homem buscava representar seus hbitos, costumes e intenes com diversos meios que pudessem ser utilizados por ele e por outras pessoas e que pudessem ser levados de um lugar para outro. As informaes importantes eram registradas em objetos preciosos e sofisticados e pinturas magnficas, entre outros, que eram armazenados com muito cuidado em locais de difcil acesso. A eles s tinham acesso aqueles que tivessem autorizao para interpret-la.

Introduo Segurana da Informao

Atualmente, as informaes constituem o objeto de maior valor para as empresas. O progresso da informtica e das redes de comunicao nos apresenta um novo cenrio, no qual os objetos do mundo real esto representados por bits e bytes, que ocupam lugar em diversos meios e possuem formas diferentes das originais, sem deixar de ter o mesmo valor que os objetos reais e, em muitos casos, chegando a ter um valor maior. Por esse e outros motivos a segurana da informao um assunto to importante para todos, pois afeta diretamente todos os negcios de uma empresa ou de um indivduo.

Introduo Segurana da Informao

As organizaes necessitam da informao para tomar decises objetivando seus fins (o sucesso). Isto mostra o quo poderosa a informao. Sem ela no h estratgias, no h mudanas ou at mesmo no existiria a empresa. Uma conseqncia natural da importncia da informao a extrema vulnerabilidade a que cada empresa se expe caso haja perda de dados vitais, como plantas de projetos, planilhas de custos, documentos contbeis, financeiros, etc. Quanto maior for a organizao maior ser sua dependncia da informao.

Introduo Segurana da Informao

A segurana da informao trata do conjunto de controles e processos que visam preservar

ativos e buscar :

Continuidade do negcio; Minimizao de risco ao negcio; Maximizao do retorno sobre os investimentos; Oportunidades de negcio. Premissa fundamental da segurana:

No existe segurana 100% No existe risco zero.

Principal finalidade da Segurana da Informao suportar o negcio da organizao.

Introduo Segurana da Informao

Os ativos so elementos que a segurana busca proteger. Possuem valor para as empresas e, como conseqncia, precisam receber uma proteo adequada para que seus negcios no sejam prejudicados. Um ativo todo elemento que manipula a informao, inclusive ela mesma, passando pelo seu emissor, o meio pelo qual ela transmitida ou armazenada, at chegar a seu receptor.

Introduo Segurana da Informao

Ativos: . . . . . . Informaes (dados, manuais, projetos, etc) Equipamentos Softwares Servios Reputao e imagem da organizao Pessoas e suas qualificaes

Introduo Segurana da Informao

Existem vrios tipos de ativos: Ativos de informao: base de dados de contratos e acordos, documentao de sistema e infra-estrutura, manuais, material de treinamento, procedimentos de suporte e operao, planos de continuidade de negcio, etc...; Ativos de softwares: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios; Ativos fsicos: equipamentos computacionais, de comunicao, mdias removveis;

Introduo Segurana da Informao

Existem vrios tipos de ativos (continuao): Servios: servios de computao, comunicaes, refrigerao, iluminao, eletricidade; Pessoas e suas qualificaes, habilidades e experincias; Ativos intangveis: reputao, credibilidade e imagem da organizao.

Introduo Segurana da Informao

Para alcanarmos um maior grau de segurana, precisamos : Conhecer os diferentes tipos de Ativos na empresa para identificar tudo aquilo que a segurana da informao deveria proteger; Detectar possveis Vulnerabilidades (falhas) relacionadas com esses ativos para nos prepararmos para sua proteo. Vulnerabilidades no seriam um problema se no houvesse elementos capazes de explor-las, causando danos. Estes elementos so conhecidos como

Ameaas.

Introduo Segurana da Informao

As Ameaas so causa potencial de um incidente indesejado, que caso se concretize pode resultar em dano. Ameaas exploram as falhas de segurana, que denominamos pontos fracos, e, como conseqncia, provocam perdas ou danos aos ativos de uma empresa, afetando os seus negcios.

existiro e esto relacionadas a causas que representam riscos.

Risco a Integridade, a Confidencialidade e a Disponibilidade das informaes. Essas ameaas sempre

colocar em

Os ativos esto constantemente sob ameaas que podem

Introduo Segurana da Informao

As ameaas so constantes e podem ocorrer a qualquer momento. Elas podem se dividir em trs grandes grupos:
Ameaas naturais condies da natureza e a intemprie que podero provocar danos nos ativos, tais como fogo, inundao, terremotos. Intencionais so ameaas deliberadas, fraudes, vandalismo, sabotagens, espionagem, invases e furtos de informaes, entre outros. Involuntrias so ameaas resultantes de aes inconscientes de usurios, por vrus eletrnicos, muitas vezes causados pela falta de conhecimento no uso dos ativos, tais como erros e acidentes.

Introduo Segurana da Informao

Para facilitar a identificao da ameaa e o seu respectivo tratamento (investimento em proteo) iremos categorizar as ameaas em: Tcnico / Lgicas Fsicas / Infra-estrutura Humana / Organizacional

Introduo Segurana da Informao

Exemplos de Ameaas categorizadas

Introduo Segurana da Informao

Exemplos de Protees para as Ameaas categorizadas

Introduo Segurana da Informao

Introduo Segurana da Informao

O conceito de Risco representa a probabilidade de que uma ameaa se concretize por meio da explorao de uma vulnerabilidade ou ponto fraco de um determinado ativo. Para minimizarmos o Risco, devemos proteger os ativos, mantendo-os seguros contra ameaas que possam afetar sua funcionalidade, buscando os princpios bsicos da segurana da informao : Integridade Confidencialidade Disponibilidade

Introduo Segurana da Informao

Integridade :
O primeiro dos trs princpios da segurana da informao que aplicamos a integridade, a qual nos permite garantir que a informao no tenha sido alterada de forma no autorizada e, portanto, ntegra. Uma informao ntegra uma informao que no foi alterada de forma indevida ou no-autorizada. Para que a informao possa ser utilizada, ela deve estar ntegra. A quebra de integridade ocorre quando a informao corrompida, falsificada ou indevidamente alterada. Ento, quando ocorre uma alterao no-autorizada da informao em um documento, isso quer dizer que o documento perdeu sua integridade.

Introduo Segurana da Informao

Confidencialidade :
O princpio da confidencialidade da informao tem como objetivo garantir que apenas a pessoa correta tenha acesso informao. As informaes trocadas entre indivduos e empresas nem sempre devero ser conhecidas por todos. Muitas informaes geradas pelas pessoas se destinam a um grupo especfico de indivduos e, muitas vezes, a uma nica pessoa. Isso significa que esses dados devero ser conhecidos apenas por um grupo controlado de pessoas, definido pelo responsvel da informao Por isso, dizemos que a informao possui um grau de confidencialidade que dever ser mantido para que as pessoas noautorizadas no tenham acesso a ela.

Introduo Segurana da Informao

Confidencialidade :
Ter confidencialidade na comunicao ter a segurana de que o que foi dito a algum ou escrito em algum lugar s ser escutado ou lido por quem tiver autorizao para tal. Perda de confidencialidade significa perda de segredo, sigilo. Se uma informao for confidencial, ela ser secreta e dever ser guardada com segurana, e no divulgada para pessoas noautorizadas. Alm disso, informaes tem diferentes graus de confidencialidade, normalmente relacionados ao seus valores. Quanto maior for o grau de confidencialidade, maior ser o nvel de segurana necessrio na estrutura tecnolgica e humana que participa desse processo.

Introduo Segurana da Informao

Confidencialidade :
Deve-se considerar a confidencialidade com base no valor que a informao tem para a empresa ou a pessoa e os impactos causados por sua divulgao indevida. Assim, deve ser acessada, lida e alterada somente por aqueles indivduos que possuem permisso para tal. O acesso deve ser considerado com base no Grau de sigilo das informaes, pois nem todas as informaes importantes da empresa so confidenciais. Grau de sigilo, que uma graduao atribuda a cada tipo de informao com base no grupo de usurios que possuem permisses de acesso. O grau de sigilo faz parte de um importante processo de segurana de informaes, a classificao da informao.

Introduo Segurana da Informao

Confidencialidade :
Dependendo do tipo de informao e do pblico para o qual se deseja colocar disposio a informao, define-se um grau de sigilo. Um exemplo de graus de sigilo pode ser: Confidencial Restrito Sigiloso Pblico

Introduo Segurana da Informao

Disponibilidade :
Alm de trabalharmos para que a informao chegue apenas aos destinatrios ou usurios adequados e de forma ntegra, devemos fazer com que esteja disponvel no momento oportuno. disso que trata o terceiro princpio da segurana da informao: a disponibilidade Para que uma informao possa ser utilizada, ela deve estar disponvel. A disponibilidade o terceiro princpio bsico da segurana da informao. Refere-se disponibilidade da informao e de toda a estrutura fsica e tecnolgica que permite o acesso, o trnsito e o armazenamento.

Introduo Segurana da Informao

Disponibilidade :
A disponibilidade da informao permite que: Seja utilizada quando necessrio Esteja ao alcance de seus usurios e destinatrios Possa ser acessada no momento em que for necessrio utiliz-la. Esse princpio est associado adequada estruturao de um ambiente tecnolgico e humano que permita a continuidade dos negcios da empresa ou das pessoas, sem impactos negativos para a utilizao das informaes.

Introduo Segurana da Informao

Disponibilidade :
Algumas medidas para proteger a disponibilidade: A configurao segura de um ambiente em que todos os elementos que fazem parte da cadeia de comunicao estejam dispostos de forma adequada para assegurar o xito da leitura, do trnsito e do armazenamento da informao. Tambm importante fazer cpias de segurana backup. Isso permite que as mesmas estejam duplicadas em outro local para uso caso no seja possvel recuper-las a partir de sua base original. Definir estratgias para situaes de contingncia e estabelecer rotas alternativas para o trnsito da informao, para garantir seu acesso e a continuidade dos negcios, inclusive quando alguns dos recursos tecnolgicos, ou humanos, no estejam em perfeitas condies de funcionamento.

Introduo Segurana da Informao

- aquele que conhece o inimigo e a si mesmo, lutar cem batalhas sem perigo de derrota; -para aquele que no conhece o inimigo, mas conhece a si mesmo, as chances para a vitria ou para a derrota sero iguais; - aquele que no conhece nem o inimigo e nem a si prprio, ser derrotado em todas Sun Tzu (A arte da Guerra) as batalhas.

Introduo Segurana da Informao

As ameaas sempre existiram e de se esperar que, medida que a tecnologia progride, tambm surjam novas formas atravs das quais os ativos podem ficar expostos. fundamental que conheamos os ativos, suas vulnerabilidades e as ameaas para as quais esto expostos. Dessa forma poderemos planejar melhor os controles de proteo que traro o risco para um patamar aceitvel.

Introduo Segurana da Informao

Ao se identificarem as vulnerabilidades ou pontos fracos, ser possvel dimensionar os riscos aos quais o ambiente est exposto e definir as medidas de segurana apropriadas para sua correo. As vulnerabilidades dependem da forma como se organizou o ambiente em que se gerenciam as informaes. A existncia de vulnerabilidades est relacionada presena de elementos que prejudicam o uso adequado da informao e da mdia que ela est utilizando. Podemos compreender agora outro objetivo da segurana da informao: a correo de vulnerabilidades ou pontos fracos existentes no ambiente em que se usa a informao, com o objetivo de reduzir os riscos a que ela est submetida, evitando, assim, a concretizao de uma ameaa.

Introduo Segurana da Informao

Vulnerabilidades fsicas
Os pontos fracos de ordem fsica so aqueles presentes nos ambientes em que esto sendo armazenadas ou gerenciadas as informaes. Exemplos: Instalaes inadequadas do espao de trabalho, ausncia de recursos para o combate a incndios; disposio desorganizada dos cabos de energia e de rede, no-identificao de pessoas e de locais, entre outros. Esses pontos fracos, ao serem explorados por ameaas, afetam diretamente os princpios bsicos da segurana da informao, principalmente a disponibilidade.

Introduo Segurana da Informao

Vulnerabilidades naturais Os pontos fracos naturais so aqueles relacionados s condies da natureza que podem colocar em risco as informaes. Exemplos: Ambientes sem proteo contra incndios, locais prximos a rios propensos a inundaes, infra-estrutura incapaz de resistir s manifestaes da natureza, como terremotos, maremotos, furaces, etc.

Introduo Segurana da Informao

Vulnerabilidades de hardware Os possveis defeitos de fabricao ou configurao dos equipamentos da empresa que poderiam permitir o ataque ou a alterao dos mesmos. Exemplos: Falta de configurao de suportes ou equipamentos de contingncia, ausncia de atualizaes de acordo com as orientaes dos fabricantes dos programas utilizados, conservao inadequada dos equipamentos, hardware utilizado no dimensionado corretamente para as suas funes, etc.

Introduo Segurana da Informao

Vulnerabilidades de softwares Os pontos fracos dos aplicativos e sistemas permitem que ocorram acessos indevidos aos sistemas de computador, inclusive sem o conhecimento de um usurio ou administrador de rede. Exemplos: Programas de email que permitem a execuo de cdigos maliciosos, editores de texto que permitem a execuo de vrus de macro, scripts, etc. Esses aplicativos so vulnerveis a vrias aes que afetam sua segurana, como, por exemplo, a configurao e a instalao inadequadas, a ausncia de atualizaes, programao insegura, etc.

Introduo Segurana da Informao

Vulnerabilidades dos meios de armazenamento Os meios de armazenamento so os suportes fsicos ou magnticos utilizados para armazenar as informaes. Entre os tipos de suporte ou meios de armazenamento das informaes que esto expostos, podemos citar : Disquetes, CD-ROMs, DVD-ROMs, fitas magnticas, discos rgidos dos servidores e das estaes de trabalho, os bancos de dados, cartes de memria, pen-drive, bem como as informaes armazenadas em papel, papel trmico, etc.

Introduo Segurana da Informao

Vulnerabilidades de comunicao
Esse tipo de ponto fraco abrange todo o trfego de informaes. Onde quer que transitem as informaes, seja por cabo, satlite, fibra ptica ou ondas de rdio, deve existir segurana. O sucesso no trfego dos dados um aspecto fundamental para a implementao da segurana da informao. Exemplos: A ausncia de sistemas de criptografia nas comunicaes poderia permitir que pessoas alheias organizao obtivessem informaes privilegiadas. A m escolha dos sistemas de comunicao para envio de mensagens de alta prioridade da empresa poderia fazer com que elas no alcanassem o destino esperado ou que a mensagem fosse interceptada no meio do caminho.

Introduo Segurana da Informao

Vulnerabilidades humanas Essa categoria de vulnerabilidade relaciona-se aos danos que as pessoas podem causar s informaes e ao ambiente tecnolgico que lhes oferece suporte. Exemplos: Senhas fracas, falta de uso de criptografia na comunicao, compartilhamento de identificadores como nome de usurio ou credencial de acesso, entre outros.

Introduo Segurana da Informao

Vulnerabilidades humanas Os pontos fracos humanos tambm podem ser intencionais ou no. Muitas vezes, os erros e acidentes que ameaam a segurana da informao ocorrem em ambientes institucionais. A maior vulnerabilidade o desconhecimento das medidas de segurana adequadas que so adotadas por cada elemento do sistema, principalmente os membros internos da empresa. Outros pontos fracos humanos : Falta de capacitao especfica para a execuo das atividades inerentes s funes de cada um, falta de conscincia de segurana para as atividades de rotina, os erros, omisses, descontentamentos, etc. No que se refere s vulnerabilidades humanas de origem externa, podemos considerar todas aquelas que podem ser exploradas por ameaas como: vandalismo, fraudes, invases, etc

Introduo Segurana da Informao

Tipos de Proteo :
Preventiva : Evita que incidentes ocorram Desencorajadora: Desencoraja a prtica de aes Limitadora: Diminui os danos causados Monitoradora: Monitora estado e funcionamento Detectora: Detecta a ocorrncia de incidentes Reativa: Reage a determinados incidentes Corretiva: Repara falhas existentes Recuperadora: Repara danos causados por incidentes

Introduo Segurana da Informao

Perguntas a serem feitas no planejamento e implementao de controles de segurana :

O qu deve ser protegido? (Dados, Recursos, Reputao...) Contra que ou quem? Quais as ameaas mais provveis? Qual o grau de proteo desejado? Quanto tempo, recursos humanos e financeiros se pretende gastar para atingir os objetivos de segurana? Quais as ocorrncias em caso de incidncia? Qual a importncia de cada recurso / ativo?

Introduo Segurana da Informao

Misso de quem trabalha com Segurana da Informao :

1 - Conhecer os diferentes tipos de ameaas que podem aparecer em todos os ativos da empresa para reconhecer sua importncia e nos permitir minimizar risco e o impacto que geram. 2 - Identificar os diferentes tipos de vulnerabilidades dos ativos e saber como eles podem permitir que as ameaas alterem a disponibilidade, a confidencialidade ou a integridade das informaes.

Introduo Segurana da Informao

Introduo Segurana da Informao

Concluso deste Mdulo :
Risco a probabilidade de que as ameaas explorem os pontos fracos, causando perdas ou danos aos ativos e impactos no negcio, ou seja, afetando: a confidencialidade, a integridade e a disponibilidade da informao. Conclumos que a segurana uma prtica orientada para a eliminao das vulnerabilidades a fim de evitar ou reduzir a possibilidade de que as ameaas potenciais se concretizem no ambiente que se deseja proteger. O principal objetivo garantir o xito da comunicao segura, com informaes (ativos) disponveis, ntegras e confidenciais, atravs de medidas de segurana que possam tornar o negcio de um indivduo ou empresa factvel com o menor risco possvel.