Autarquia Educacional do Vale do São Francisco – AEVSF
Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE
Curso de Ciências da Computação
SEGURANÇA E AUDITORIA DE SISTEMAS
“Segurança
de Informações”
Cynara Carvalho
[email protected]
1
Segurança de informações

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro
de uma organização passaram por duas mudanças
importantes
nas
últimas
décadas:
MUDANÇA 1)
 ANTES do uso generalizado de equipamentos de
processamento de dados, a segurança da informação
considerada valiosa para uma organização era fornecida
por principalmente por meios físicos e administrativos.
 Ex.: - Armários robustos com fechadura com segredo
para armazenar documentos confidenciais.
2
Segurança de Informações
MUDANÇA 2)
 Introdução de sistemas distribuídos e o uso de
rede e recursos de comunicação para transmitir
dados entre o usuário do terminal e o
computador e entre computadores.
 Segurança inter-rede – empresas, governo e
organizações acadêmicas interconectam seus
equipamentos de processamento de dados com
um conjunto de redes.
3
Segurança de Informações

O que aconteceria se as informações institucionais caíssem
nas mãos da concorrência ou fossem corrompidas, apagadas
ou adulteradas?

Quais seriam as conseqüências para a continuidade dos
negócios da instituição?

E se ocorressem desastres naturais ( incêndio, terremoto,
enchentes)?

E falhas estruturais ( interrupção de fornecimento de energia
elétrica ou sobrecargas elétricas)?
4
Segurança de informações

O vazamento de informações sobre seus clientes
comprometeria sua credibilidade e daria maiores
oportunidades aos concorrentes.
5
Segurança de informação

Segurança é, portanto, a proteção de informações,
sistemas, recursos e serviços contra desastres, erros e
manipulação não autorizada, de forma a reduzir a
probabilidade e o impacto de incidentes de segurança.
6
Segurança de Informações
Política de Segurança
• Informações têm que estar disponíveis no momento e no local
estabelecido, têm que ser confiáveis, corretas e mantidas fora do
alcance de pessoas não autorizadas.
• Objetivos de Segurança
• Confidencialidade ou privacidade – informações protegidas de
acesso não autorizado. Envolve medidas de controle de acesso e
criptografia. (LEITURA)
• Integridade dos dados – Evitar alteração ou exclusão indevida de
dados. (GRAVAÇÃO/ALTERAÇÃO/EXCLUSÃO).
• Disponibilidade – Garantia que os serviços prestados por um
sistema estão sempre acessíveis a pessoas autorizadas. (BACKUP)
• Consistência – Garantia de que o sistema atua de acordo com a
expectativa.
7
Segurança de Informações
Política de Segurança
• Objetivos de Segurança
• Isolamento ou uso legítimo – Regular o acesso ao sistema. Acesso
não autorizado é sempre um problema, pois tem que se identificar
quem, quando, como e os resultados desta ação.
• Auditoria – Proteção contra erros e atos acidentais ou não dos
usuários autorizados.
• Confiabilidade – Garantir que, mesmo em condições adversas, o
sistema atuará conforme esperado.
Dependendo da organização, um objetivo pode ser mais importante
que o outro. Na maioria dos casos, é dada maior importância à
disponibilidade e integridade.
8
Segurança de Informações
Questões Relevantes
• O que se quer proteger ?
• Contra que ou quem ?
• Quais as ameaças mais prováveis ?
• Qual a importância de cada recurso ?
• Qual o grau de proteção desejado ?
• Quanto tempo e recursos para atingir os objetivos de segurança ?
• Qual a expectativa dos usuários e clientes em relação à segurança de
informações ?
• Quais as conseqüências em caso de roubo ou dano?
9
Segurança de Informações
Comprometimento da Gerência Superior
• Prioridade menor em relação a outros projetos.
• Segurança só é lembrada depois de um desastre ocorrido.
• Política considerada dispendiosa.
• Segurança vista como inibidor e não como uma garantia
• Rastreamento ou monitoramento de outras gerências.
• Uma real política de segurança deve ser posta em prática e encarada
com seriedade por todos e ter o total apoio da alta gerência.
• O comprometimento deve ser formalizado, de forma clara e objetiva,
baseados nos princípios gerais, deixando os detalhes para outros
documentos mais específicos.
10
Segurança de Informações
Definindo uma Política de Segurança de Informações
•Política de segurança é um mecanismo preventivo de proteção dos dados
e processos importantes de uma organização que define um padrão de
segurança a ser seguido pelo corpo técnico e gerencial e usuários.
• Princípios básicos
• Como a organização irá proteger, controlar e monitorar seus recursos
computacionais e suas informações.
• Responsabilidades das funções relacionadas com a segurança.
• Discriminação das principais ameaças, riscos e impactos envolvidos.
• Política de segurança de informações integrada à política de segurança
em geral.
11
Segurança de Informações
Relacionamento da Política de Segurança de Informações com a
estratégia da organização.
Estratégia geral da organização
Estabelece
Plano Estratégico
de Informática
Especifica
Contribui para o atingimento
Define
Política de segurança
de Informações
Gera Impactos sobre
Planos de desenvolvimentos de sistemas
Plano de continuidade de serviços
Planejamento de capacidade
Outros projetos
12
Segurança de Informações
Política de Segurança de Informações
Envolvimento de todos – O Segredo do Sucesso !
• Para uma completa e efetiva Política de segurança de informações é
imprescindível que sejam envolvidos a alta gerência, a gerência de
segurança, a de recursos e de finanças, os demais gerentes e sobretudo,
os usuários.
13
Segurança de Informações
Política de Segurança de Informações - Tópicos Importantes
• Conteúdo básico: orientações sobre análise e gerência dos riscos,
princípios de conformidade dos sistemas com a PSI, classificação das
informações e padrões mínimos de qualidade.
• Princípios legais e éticos:
• Direito à propriedade intelectual.
• Direitos sobre softwares.
• Princípios de implementação de segurança.
• Políticas de controle de acesso a recursos e sistemas.
• Princípios de supervisão das tentativas de violação da SI.
• Esses pontos devem ser claros e detalhados para serem compreendidos.
Para um maior aprofundamento, pode-se dispor de outros documentos
mais específicos.
14
Segurança de Informações
Processo de Implantação da PSI
• Processo formal e longo; flexível para permitir ajustes conforme
necessidades
• Fases:
• Identificação dos recursos críticos.
• Classificação das informações.
• Definição em linhas gerais, dos objetivos de segurança a serem
atingidos.
• Análise das necessidades de segurança (ameaças, riscos e impactos).
• Elaboração da proposta inicial.
• Discussões abertas com os envolvidos.
• Apresentação do documento formal à gerência superior.
• Aprovação
• Implementação
• Avaliação da política e identificação das mudanças necessárias
• Revisão
15
Segurança de Informações
• Identificando os recursos
O que precisa ser protegido? Quais os mais importantes?
• Hardware
• Software
• Dados
• Pessoas
• Documentação
• Suprimentos
• Classificação das informações – necessidade, responsabilidade.
• Públicas ou de uso irrestrito – ex.: serviços de informação ao
público em geral;
• De uso interno – ex.: serviços de informação interna;
• Confidenciais – ex.:dados pessoais de clientes e funcionários,
senhas...
• Secretas – ex.: dados militares e de segurança nacional.
16
Segurança de Informações
• Classificação dos Sistemas – camadas para facilitar os controles
•
•
•
•
Aplicativos – necessidades específicas.
Serviços – utilizados pelos aplicativos.
Sistema Operacional – gerenciamento de recursos computacionais.
Hardware
• Análise individual de cada camada em termos de segurança, configurada
e monitoradas de forma compatível com o nível de segurança definido.
17
Segurança de Informações
• Analisando Riscos
• Risco = ameaça + vulnerabilidade + impactos.
• Identifica componentes críticos e custo potencial aos usuários.
• Ponto chave em qualquer política de segurança.
• Identificar ameaças e impactos, possibilidades de uma ameaça se
concretizar e entender os riscos potenciais.
• Classificar por nível de importância, custos envolvidos na prevenção/
recuperação.
• Riscos podem ser apenas reduzidos, nunca eliminados. Medidas mais
rígidas tornam os riscos menores, mas não eliminam.
• Conhecimento prévio das ameaças e seus impactos podem resultar
em medidas mais efetivas para reduzir as ameaças, vulnerabilidades e
impactos. É sempre melhor (e mais barato!) prevenir do que
remediar.
18
Segurança de Informações
• Analisando ameaças – Contra quem proteger ?
• Custo pode ser mais alto do que os danos provocados.
• Conceitos Básicos:
• Recurso – componente de um sistema computacional.
• Ameaça – evento ou atitude indesejável que pode remover,
desabilitar, danificar ou destruir um recurso.
• Vulnerabilidade – fraqueza ou deficiência que pode ser
explorada por uma ameaça.
• Ataque – ameaça concretizada.
• Impacto – conseqüência de uma vulnerabilidade ter sido
explorada por uma ameaça.
• Probabilidade – chance de uma ameaça atacar com sucesso.
• Risco – medida da exposição a qual o sistema está sujeito.
Depende de uma ameaça atacar e do impacto resultante. Envolve
esses componentes mais as vulnerabilidades.
19
Exercícios Propostos

1. Definir Política de Segurança.
2. Quais os Objetivos de Segurança citados por Cláudia Dias? Fale sobre cada um deles.
3. Quais as principais fases do processo de implantação de uma Política de Segurança? Fale
sobre cada uma delas.
4. Quais os principais recursos de tecnologia da informação a serem protegidos?
5. Como podem ser classificadas as informações a serem protegidas em em uma organização?
6. Qual o objetivo da classificação das informações em uma organização?
7. Para efeito de elaboração e implementação de políticas de segurança, como podem ser
subdivididos os sistemas de informações? Fale sobre cada um deles.
8. Quais os principais danos que podem causar uma ameaça hoje, no caso de concretizada uma
invasão (acidentais ou deliberadas)? Fale sobre cada um deles.
9. O que são ameaças programadas?
10. Cite e comente sobre as diferentes nomenclaturas para as ameaças programadas.
11. Quais os principais tipos de vírus? Fale sobre cada um deles.
12. O que são Serviços de Segurança? Cite exemplos.
13. O que são mecanismos de Segurança? Cite exemplos.
14. Quais os 3 princípios básicos de segurança que devem ser vistos por uma Gerência de
Segurança?
15. Como podem ser divididas as atividades de uma gerência de segurança?

Cláudia Dias – págs














20