Segurança e Auditória de Sistemas de Informação Prof. Rodrigo Bahia Paiva [email protected] bem vindos! Objetivo Objetivo Proporcionar aos participantes uma abordagem dos conceitos previstos pelo conteúdo do curso de forma que essa abordagem resulte aos alunos a capacidade de elaboração de Plano de Segurança Computacional, Plano de Contingência e uma Política de Segurança. Agenda Agenda • • • • • • • Conceitos Básicos de Segurança Computacional. Segurança Física e Segurança Lógica. Análise de Riscos. Política de Segurança. Implementação de Controles de Segurança. Plano de Contingência. Auditoria de Sistemas. Bibliografia Bibliografia • GIL, Antônio de Loureiro. Segurança em Informática. São Paulo: Editora Atlas, 1998. • SOARES, Luiz Fernando Gomes. Redes de Computadores. Rio de Janeiro: Editora Campus, 1995. • TANENBAUM Andrews S., Redes de Computadores. Rio de Janeiro: Editora Campus, 1997. Bibliografia - Segurança • • • • www.security.unicamp.br www.istf.com.br www.certisign.com.br www.verisign.com Bibliografia • www.cerias.purdue.edu/coast/ids Firewall: • www.aker.com.br • www.symantec.com.br Criptografia de chaves: • www.epic.org/crypto Segurança em redes sem fio: • www.securityfocus.com/infocus/1199 • www.cisco.com/warp/public/cc/witc/ao350ap/prodlit/a35 0wov.htm Regras do Jogo Regras do Jogo TP N1 N 2 N 3 PF Se: TP 3 aluno reprovado 3 TP 6 TP 6 TP ≡ total de pontos N1 ≡ nota da 1ª Prova N2 ≡ nota do 2ª Prova N3 ≡ nota da 3ª Prova PF ≡ prova final aluno de Exame Final aluno aprovado Presença Mínima: 75% Regras do Jogo Distribuição Bimestral de notas : • N1: – – Lista: 5 pontos. Avaliação: 15 pontos. – – Lista: 5 pontos. Avaliação: 15 pontos. – – Lista: 5 pontos. Avaliação: 15 pontos. • N2: • N3: • Apresentação de trabalhos e sala de aula: 10 pontos. • PF: prova final: 30 pontos. Datas Importantes Datas Importantes • • • • 01 de Março 1ª Prova. 05 de Abril 2ª Prova. 10 de Maio 3ª Prova. Junho Prova Final. • Prova de 2º chamada dia 17 Maio (para todos os alunos que perderam alguma das provas) matéria de todo o semestre. OBS.: As listas de exercícios deveram ser entregues nos dias das provas. Introdução Introdução • Os sistemas de computadores surgiram, na década de 1960, como ferramentas para gerência de informações e para o processamento de dados coorporativos, substituindo os sistemas manuais. • Desde essa época, os avanços tecnológicos têm proporcionado às empresas maior eficiência e rapidez na troca de informações e tomadas de decisões. • Computadores cada vez mais rápidos são lançados em curto espaço de tempo, as redes de computadores são cada vez mais usadas por organizações para conduzir seus negócios e o uso da Internet tornou-se essencial, estando agora, disponível para todos e permitindo a qualquer empresa praticar o comércio eletrônico. Introdução • As grandes organizações estão cada vez mais dependentes dessa nova tecnologia, sendo quase impossível manter seus negócios sem o auxilio do computador. • Nos últimos anos, com a queda dos preços e o aumento de velocidade e capacidade de processamento dos computadores, até pequenas empresas e pessoas físicas aderiram a essa tecnologia. Introdução • Dentro desse contexto e, devido a extrema importância das informações internas e externas à organização, surgiu, então a necessidade de se utilizar melhores mecanismos para prover a segurança das transações e do armazenamento de informações, principalmente informações confidenciais e/ou críticas para o negócio. Introdução • Na época em que as informações eram armazenadas apenas em papel, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local. • Com as mudanças tecnológicas e o uso de computadores de grande porte, a estrutura de segurança já ficou um pouco mais sofisticada, englobando controles lógicos, porém ainda centralizados. Introdução • Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade que há necessidade de desenvolvimento de equipes cada vez mais especializadas para sua implementação e gerência. • Paralelamente, os sistemas de informação também adquiriram uma importância vital para a sobrevivência da maioria das organizações modernas, já que, sem computadores e redes de comunicação, a prestação de serviços de informação pode se tornar inviável. Introdução • Como a sociedade atual depende das informações armazenadas nos sistemas computacionais para tomar decisões de negócios ou de bem estar social, a segurança dessas informações deve ser absoluta. • Um erro nos sistemas informatizados pode comprometer instituições do mercado financeiro, indústrias, sistemas de telecomunicações, de assistência médica, enfim, pode afetar a sociedade de inúmeras maneiras, tamanha a dependência dos equipamentos e sistemas computadorizados. Introdução • O que aconteceria se as informações adulteradas caíssem nas mãos da concorrência ou fossem corrompidas, apagadas ou adulteradas? • Quais seriam as consequências para a continuidade dos negócios da instituição? • O vazamento de informações sobre seus clientes comprometeria sua credibilidade e daria maiores oportunidades aos concorrentes. Introdução • A questão de segurança é também bastante enfatizada quando se imagina a possibilidade de se ter suas informações expostas a atacantes ou intrusos da Internet, verdadeiras ameaças aos ambientes computacionais que estão em constante evolução, seja em número ou em forma, surgindo com meios cada vez mais sofisticados para violar a privacidade e a segurança das comunicações. • Devido a essas preocupações, a proteção da informação tem se tornado um dos interesses primários dos administradores de sistemas, pois uma falha de segurança, vazamento ou perda de informações pode determinar grandes prejuízos. • Sem dúvida nenhuma, segurança das informações é hoje o fator de sobrevivência e competitividade para as corporações modernas. Introdução • É claro que as medidas de segurança não asseguram 100% de proteção contra todas as ameaças mas a definição das expectativas da organização com relação ao comportamento e os procedimentos necessários no manuseio dos seus bens/ativos, deverá estar , mais do que nunca, enraizada na cultura da empresa, pois segurança não é só uma questão técnica, mas de política e educação empresarial. Introdução • Para que a informação tenha o nível de segurança desejado, é necessária uma atuação sobre dois segmentos: acesso e integridade. • O acesso as informações sensíveis de uma empresa deve estar protegido por sistemáticas que garantam que apenas as pessoas autorizadas possam obter essas informações. • Já a garantia de integridade deve garantir tanto a exatidão dos dados (confiabilidade) quanto a proteção no que tange à perda. Introdução • Para que seja possível obter um nível aceitável de segurança, não basta reunir um conjunto de ferramentas de software e implementá-las. Os seus resultados tornam-se mais eficazes quando sua utilização está dentro do contexto de um plano de segurança, elaborado em conjunto pelos níveis estratégico, tático e operacional da empresa, como mostra a Figura a seguir: Introdução Estratégico Nível em que as políticas da organização são definidas. Descreve o que deve ser feito. Tático Nível em que as normas da organização são descritas conforme as políticas definidas no nível superior. Operacional Nível onde os procedimentos são estabelecidos com base nas normas definidas no nível acima. Descreve como são implementadas as regras. Razões da Segurança da Informação • A administração deve preocupar-se com a segurança da informação por três razões principais: • 1ª Dependência dos sistemas de informação: sistemas que ofereçam serviços adequados e no tempo certo são a chave para a sobrevivência da maioria das organizações atuais. • Sem seus computadores e sistemas de comunicação, as empresas ficariam incapazes de fornecer serviços, processar faturas, contatar fornecedores e clientes ou efetuar pagamentos. • Os sistemas de informação também armazenam dados sigilosos, que, se tornados públicos, causariam embaraço e, em alguns casos, o fracasso da organização. Razões da Segurança da Informação • 2ª Vulnerabilidade dos recursos de TI: esses sistemas exigem um ambiente estável, podendo ser danificados por desastres naturais, como fogo, inundação ou terremotos, falhas no controle da temperatura ou no suprimento da energia elétrica, bombas, acidentes ou sabotagens. • Os sistemas de informação são a chave para o aceso a vastas quantidades de dados corporativos, tornando-se um alvo atraente para hackers, repórteres e espiões, e podem motivar funcionários mal intencionados a abusar de seus privilégios, vendendo informações para estranhos. Razões da Segurança da Informação • As organizações dependem da exatidão da informação fornecida pelos seus sistemas. Se essa confiança for destruída, o impacto para a entidade pode ser comparável à própria destruição do sistema. Dessa forma, é importante proteger os dados tanto de corrupções acidentais quanto propositais. Razões da Segurança da Informação • 3ª Investimento em Tecnologia da Informação: os sistemas de informação são caros, tanto no desenvolvimento quanto na manutenção e a administração deve proteger esse investimento como qualquer outro recurso valioso. • Bens de TI são particularmente atrativos para ladrões por serem portáteis, apresentarem uma relação valor/peso bastante elevada e poderem ser facilmente vendidos. Pontos Importantes • Alguns pontos são importantes determinar e a empresa deve sempre tê-los em mente: • O que deve ser protegido? • Contra o quê será necessário proteger? • Como será feita a proteção? • Além disso, será necessário determinar que nível de segurança é necessário, bem como avaliar a questão ‘custo x benefício’. Introdução • Apesar de reconhecer a necessidade de se estabelecer algum grau de segurança nos sistemas, a maioria das organizações tende a relegar o assunto para o final da sua lista de prioridades, até a ocorrência de um desastre. • Os dirigentes costumam ver a segurança da informação sob uma perspectiva negativa, como fatores inibidores, responsáveis pela redução da capacidade operacional da organização, em vez de uma atividade que auxilia a organização a alcançar uma melhor qualidade do serviço com menos recursos. Introdução • Por esse motivo, muitas vezes a alta cúpula acaba atribuindo importância insuficiente à segurança dos sistemas de informação, sujeitando involuntariamente as organizações a um grau inaceitável de risco. • O processo de segurança da informação pode ser mais bem ilustrado conforme o ciclo a seguir: Ciclo de Segurança Análise de Segurança Definição e atualização de regras de segurança Auditorias Administração da Segurança Implementação E divulgação das Regras de Segurança Ciclo de Segurança Análise de Segurança • Diagnósticos da situação real, com identificação do nível de risco a que a organização está exposta e quais providências a serem tomadas para cobrir eventuais vulnerabilidades. Definição e atualização de regras de segurança • Com base na análise de risco e/ou outras avaliações, as regras de segurança da informação são revisadas e atualizadas periodicamente. Ciclo de Segurança Implementação E divulgação das Regras de Segurança Administração da Segurança Auditorias • Após a definição/atualização das regras de segurança, estas são implementadas e colocadas em prática nas diversas áreas da organização. • Efetua o monitoramento das regras de segurança por meio de ferramentas específicas e analisa os incidentes de segurança. • Verificam o cumprimento das regras de segurança das informações nas diversas áreas da organização. Segurança da Informação • É necessário lembrar que não existe segurança absoluta, pois ninguém é imune a ataques nucleares, terremotos, epidemias, sequestros os guerras. É preciso descobrir os pontos vulneráveis, avaliar os riscos, tomar as providências adequadas e investir o necessário para se ter uma segurança homogênea e suficiente. • Sempre existiram riscos. O que não se pode admitir é o descaso com a segurança. Segurança da Informação • A segurança, mais do que um simples produto ou tecnologia que se pode adquirir, aplicar e esquecer, mais do que um comprimido (tecnológico ou monetário) supressor de sintomas, é um processo contínuo e abrangente, com implicações em todas as áreas empresariais, desde a alta administração até colaboradores que executam as operações cotidianas mais elementares. • É um processo em permanente evolução, mutação e transformação, que requer um esforço constante para o sucesso e uma forte capacidade para provocar e gerir mudanças, tanto nos procedimentos operacionais corriqueiros dos funcionários como na infra-estrutura de suporte da organização. Muito agradecido.