br
Sumrio
Ativos Cenrios Segurana Tecnologias e Palavras-chaves
Firewall, IDS Sistemas de Identificao de Intruso, UPS Sistemas de fornecimento de energia sem interrupo.
Terminologia
Ativo: qualquer elemento que tenha valor para uma organizao Valor do Ativo: quantificao de perda de determinado ativo quando esse tem sua confidencialidade, integridade ou disponibilidade afetadas Vulnerabilidade: falha no ambiente que ameae algum ativo Ameaa: possibilidade de explorao de uma vulnerabilidade Impacto: resultado da concretizao de uma ameaa contra um ativo
2 Prof. Edilberto Silva - edilms@yahoo.com - PGSI 3
Baseado no material dos profs.: Mrcio D avila / FUMEC Mauro Sobrinho / Unieuro Mehran Misaghi / SOCIESC
Edilberto Silva
edilms@yahoo.com / www.edilms.eti.br
Prof. Edilberto Silva - edilms@yahoo.com - PGSI
Ativos
Os ativos possuem valor para as empresas Tudo que manipula informao, inclusive a prpria informao Sustentam a operao do seu negcio Precisam receber uma proteo adequada para que seus negcios no sejam prejudicados importante conhecer os ativos da empresa e detectar suas vulnerabilidades para garantir a confidencialidade, a disponibilidade e a integridade da informao
5 Prof. Edilberto Silva - edilms@yahoo.com - PGSI 6
Ativos
Definio e relao com meios de comunicao
So trs os elementos que compem o que chamamos de ativos: As informaes; Os equipamentos que oferecem suporte a elas; As pessoas que as utilizam.
Informao
Recursos mais valioso: ttico, estratgico ou operacional; Ativo intangvel
o processo da comunicao, partindo da informao, seu emissor, o meio pelo qual ela transmitida, at chegar a seu receptor. Os ativos so elementos que a segurana da informao busca proteger.
Polticas de Segurana
Conjunto de normas e diretrizes destinadas para proteo dos bens da organizao. Objetivo: Definir a forma da utilizao dos seus recursos atravs de procedimentos para prevenir e atender incidentes de segurana. Importncia da Poltica de Segurana
Proteger a informao
Ameaas x Vulnerabilidades
As ameaas so agentes capazes de explorar as falhas de segurana, que denominamos Vulnerabilidades (pontos fracos), e, como conseqncia, provocar perdas ou danos aos ativos de uma empresa, afetando os seus negcios.
Definio de Segurana
Um mecanismo de Segurana da Informao providencia meios para reduzir as vulnerabilidades existentes em um Sistema de Informao. Segurana envolve tecnologia, processos e pessoas
10
11
12
Cenrios
No tempo e por segmentos
Tecnologia
Pessoas
Processos
13
14
15
16
17
18
e-mail 16%
Equipamentos 25%
Fonte: KPMG
De quem a culpa ?
Fonte: Mdulo
Fonte: Mdulo
22
23
24
Tipos de Segurana
Segurana Fsica Uso de barreiras fsicas como portas, cadeados, senhas para acessos a salas, etc. A maneira mais simples definir um permetro de segurana.
Sala cofre Racks com chave, cmeras
Tipos de Segurana
Segurana Lgica
Internet
LAN
WAN, MAN
Segurana
Conceitos, Elementos e Princpios
Proteger pontos de rede Proteger dispositivos de rede (switches, routers) Segmentar rede
Regras de controle de acessos (quem, o que, quando, como) Auditoria: logs Premissa: Tudo deve ser proibido a menos que seja expressamente permitido
26
Informao
Prof. Edilberto Silva - edilms@yahoo.com - PGSI
25
Segurana Lgica
Fornecer mecanismos para garantir: Integridade; Confidencialidade; Disponibilidade No Repudiao ou Irrefutabilidade; Autenticidade
28
29
30
33
Ameaas na Segurana
F
F
Fonte de Informao
D
Destino da Informao
Ameaas
Roubo / Vazamento de Informaes; Alterao de informaes; Danos fsicos; Indisponibilidade Violao da integridade Acesso no autorizado Uso indevido Ameaas programadas (vrus, worms, trojans) Espionagem
Riscos
Probabilidade de que as ameaas explorem os pontos fracos, causa perdas ou danos aos ativos e impactos no negcio Acarreta perda de: confidencialidade, a integridade e a disponibilidade da informao. Risco = Ameaa X Vulnerabilidade X Valor do patrimnio
35 Prof. Edilberto Silva - edilms@yahoo.com - PGSI 36
I Interceptao F F Fabricao
34
Hackers
Distines apenas tericas Crackers: Invadem para causar danos, incluindo furto por meio eletrnico Carder: cracker especializado em fraudes com cartes de crdito Defacer: hacker que invade sites para alterar o contedo da home page Lamer: sem conhecimentos avanados, tenta se fazer passar por hacker Phreaker: hacker especializado em violar o sistema telefnico (Captain Crunch)
Segurana
Ataques
37
38
Verme (Worm): programa que possui a habilidade de espalhar cpias funcionais de si mesmo para outras mquinas, causando lentido no processamento.
Prof. Edilberto Silva - edilms@yahoo.com - PGSI 41
42
mensagem que procura induzir o usurio instalao de cdigos maliciosos, projetados para furtar dados pessoais e financeiros; mensagem que, no prprio contedo, apresenta formulrios para o preenchimento e envio de dados pessoais e financeiros de usurios
43