2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
A evolução da segurança e
os desafios atuais
Brasília, 27 de outubro de 2004
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
• Visão de Segurança da Informação
• Missão de Segurança da Informação
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Ecossistema Transacional
Banco
pagar
Comprador A
pagar/receber
vender
Fábrica
intermediar
Transportadores
Comprador B
Comerciantes,
Empresas
 A integração das cadeias transacionais aumenta a exposição de
informações e dados e conseqüentemente os riscos digitais
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Ecossistema Digital
• A utilização crescente de tecnologias
eletrônicas digitais para aquisição ,
processamento, comunicação e
armazenamento de dados e informações,
exige o estabelecimento de MARCOS de
referência visando assegurar:
- Disponibilidade, Integridade,
- Confiabilidade, Autenticidade,
- Privacidade,
- Não discriminação
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Ecossistema Digital – Nossa Visão
 Os principais ativos migraram para o ambiente digital:
Conhecimento – Informações – Dados – Processos – Comunicações;
 Os ambientes digitais empregados são inseguros por natureza: micros,
redes locais e principalmente a Internet;
 Os sistemas de informações não implementam controles adequados
de segurança e de detecção de fraudes;
 Há um ambiente propício à prática de fraudes com o emprego de
tecnologias da informação (computadores em rede);
 Não estamos preparadas para combater estas práticas pois na maioria
dos casos os agentes fraudadores atuam internamente;
 A penetração da Internet e o crescimento do seu uso através do
comércio eletrônico e internet banking potencializam o problema;
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Ecossistema Digital – Ameaças e Desafios
Furto
Sabotagem
Digital
Espionagem
Concorrência
desleal
Guerra
Cibernética
Perdas e
danos
Pirataria
Privacidade
Fraudes
Falsificações
Violação da
Propriedade
Intelectual
Ciber
Terrorismo
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Ameaças Digitais
• As ameaças podem ser as mesmas, mas o
CYBER-ESPAÇO muda tudo.
• A INTERNET possui 3 características novas
que tornam isso uma verdade. Qualquer uma
delas é ruim; as 3 juntas são horrorizantes:
AUTOMAÇÃO ,
AÇÃO A DISTÂNCIA e
PROPAGAÇÃO DA TÉCNICA
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Por que Segurança?
• Evitar fraudes e perdas
• Viabilizar aplicações e tecnologias
• Atender agências reguladoras
– Governança Corporativa
– Conformidade
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Segurança da Informação no Brasil
• Brasil: maior número de hackers?
• Projetos inovadores
– Eleições, SPB, Imposto de Renda, Sistema financeiro
– ICP Brasil
• Legislação em desenvolvimento
– Específica
– Novo Código Civil
• Fortalecimento da atuação de agências
reguladoras
– Banco Central, TCU, CVM, CFM, ...
– Modelo da concessão
• Fortalecimento da ação policial e judiciária
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Segurança da Informação no Brasil
• + Inovação
• + Heterogeneidade
• + Ataques
•
Legislação
•
Ações policiais e de defesa especializados
•
Agências de governo especializadas
•
Colaboração entre as partes
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Os Desafios de Segurança estão
Crescendo
1. O ambiente de TI está cada vez mais complexo
2. As ações de segurança precisam estar integradas com a
legislação e regulamentação
3. A segurança da informação não é só em computadores
4. Está aumentando o valor financeiro da rede
5. O crime organizado tem aumentado sua atividade no meio
eletrônico
6. As tecnologias de ataque estão se integrando
7. Crimes são além-fronteiras
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Segurança Tecnológica
Por que a Segurança está em Crescimento
1. O ambiente de TI está cada vez mais
–
–
–
–
Complexo
Amplo
Heterogêneo
Compacto, multimídia, consumindo menos energia, utilizando o
protocolo TCP-IP, integrado com a rede de celulares
2. As ações de segurança precisam estar integradas com a
legislação e regulamentação
– Responsabilidade Civil dos administradores e técnicos
– Atendimento a Agências Reguladoras
– Gestão de Segurança através de normas e padrões
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Segurança Tecnológica
Por que a Segurança está em Crescimento
3. A segurança da informação não é só em computadores,
deve considerar:
–
–
–
–
–
Sistemas de Telecomunicações
Papel
Conversas – pessoais e ao telefone
Roubo de equipamentos
Indeterminado
4. Está aumentando o valor financeiro da rede
–
–
–
–
Transações financeiras pela Internet
Transações financeiras em sistemas internos
Relacionamento pessoal
Armazenamento de informações de valor
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Segurança Tecnológica
Por que a Segurança está em Crescimento
5. O crime organizado tem aumentado sua atividade no
meio eletrônico
– Para usar novas tecnologias em crimes convencionais
– Para novos crimes tecnológicos
6. As tecnologias de ataque estão se integrando
– Vírus, Spam, Spyware, Invasão, ...
7. Crimes são além-fronteiras
– Coréia/Banda Larga, China/Quantidade, India/IPv6
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Ameaças Digitais
Novas Condutas:
•
•
•
•
Acesso Indevido ao sistema de computador;
Violação ao sistema de computador;
Furto de informações;
Falsificação de documentos com o uso do
computador;
• Dano aos dados e informações arquivadas;
• Obtenção de segredos industriais/comerciais;
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Ameaças Digitais
...Novas Condutas:
•
•
•
•
•
•
Furto de tempo do sistema de informática;
Cópia de programa;
Violação do Direito Autoral;
Espionagem;
Interceptação indevida de informação;
Violação de bases de dados pessoais.
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
10 Anos de Spam
• Dados divulgados mensalmente pela
MessageLabs (empresa de filtragens de emails), mostra que, em março deste ano, 53%
dos e-mails eram SPAM. Em agosto último esse
índice foi de 84,2%, tendo chegado a 94,5% em
julho/2004.
SPAM
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Março
SPAM
Abril
Maio
Junho
Julho
Agosto
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Convergência
• Convergência: SPAM se tornou SCAM, usando
técnicas de SPAM para propagar trojans e vírus
• Criadores de vírus, mais técnicos, motivação era
reconhecimento na “comunidade”
• Spammers, menos técnicos, focados no lucro
• Novo cenário: spammers mais técnicos e
criadores de vírus focados no lucro
• Vírus criados com o objetivo de ajudar a espalhar
mensagens – spam (ou controlar ativamente
máquinas contaminadas) - DDoS
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Convergência
• Golpes financeiros na Internet combinam
várias técnicas:
–
–
–
–
–
SPAM no envio da mensagem
Vírus na criação e instalação do Trojan
Engenharia social
Lavagem de dinheiro (pagamento de contas)
Fraudes no comércio eletrônico
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Por que proteger as informações ?
O vazamento de informações pode causar:
•
•
•
•
Perdas financeiras;
Comprometimento da imagem;
Perdas de clientes;
Perda de vantagem competitiva
70% dos problemas de segurança são causados
por desconhecimento dos procedimentos.
2002 CSI/FBI Computer Crime and Security Survey
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Fontes das ameaças
Acessos não
autorizados a
sistemas
Vazamento de
Informações
Descuido com
equipamentos
Instalação
inadequada de
Software e
Hardware
Paralisação dos
processos
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Engenharia Social
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Estruturação da Área de
Segurança da Informação
Gerenciamento de Segurança da Informação
Metodologias de S.I. e Controle de Acesso
Segurança em Redes e Telecomunicações
BCM (BIA, BCP, DRP)
Segurança Física das áreas de T.I.
Segurança de Aplicações, sistemas, etc.
Segurança de Operações
Forensics (Leis, Investigações e ética)
Criptografia
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
CBK – Common Body of Knowledge do (ISC)2:
Disciplinas de Segurança da Informação segundo o (ISC)2:
1.
Metodologia e Sistemas de Controle de Acesso
2.
Segurança em Redes e Telecomunicações
3.
Práticas de Gerenciamento de Segurança da Informação
4.
Segurança de Aplicações, sistemas (desenvolvimento e
manutenção)
5.
Uso, controle e aplicação de criptografia e PKI
6.
Modelos e Arquitetura de Segurança
7.
Segurança de Operações
8.
Continuidade - BCM (BIA, BCP, DRP)
9.
Forensics (Leis, Investigações e Ética)
10. Segurança Física das áreas de T.I.
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Novo Cenário Corporativo
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Governança Corporativa
Gerenciamento do Risco Operacional
Conformidade
Qual a influência da segurança
em TICs nesse novo cenário?
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
SEGURANÇA DA INFORMAÇÃO
Novas necessidades regulatórias:
•
•
•
•
•
Gramm-Leach-Bliley Act (Privacidade das informações
financeiras)
HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informações de
saúde)
Sarbanes-Oxley (Retenção de informações contábeis
(principalmente))
Basiléia II (bancos)
Novo Código Civil Brasileiro
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
SEGURANÇA DA INFORMAÇÃO
Novo papel do administrador de TI
Retenção de documentos é diferente
de backup!
- faxes, e-mails, instant messages
- TODAS as versões de documentos
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
SEGURANÇA DA INFORMAÇÃO
Principais Recomendações de
DEFESA:
- NBR ISO/IEC 17799; e
- BS 7799-2
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
SEGURANÇA DA INFORMAÇÃO
Principais Recomendações de
DEFESA:
Segurança em TICs
=
Tecnologia
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
SEGURANÇA DA INFORMAÇÃO
Principais Recomendações de
DEFESA:
Segurança
=
Processo
Segurança é processo, tecnologia é
ferramenta
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
SEGURANÇA DA INFORMAÇÃO
Principais Recomendações de
DEFESA:
O elo mais fraco da corrente é você!
- apenas 48% das empresas americanas ministraram treinamento de
segurança a seus empregados; destas, apenas 15% fizeram isso há
menos de 6 meses.
Fonte:
Human Firewall Security Awareness Index Survey, 2003
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
SEGURANÇA DA INFORMAÇÃO
BS 7799-2
•
•
•
•
•
•
•
•
•
•
Security policy
Organizational security
Asset classification and control
Personnel security
Physical and environmental security
Communications and operations
management
Access control
Systems development and maintenance
Business continuity management
Compliance
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
SEGURANÇA DA INFORMAÇÃO
Papel da PESSOA na segurança
•
•
•
•
•
Novas ameaças surgem diariamente
Ferramentas técnicas de segurança com boa taxa de
atualização
Grande investimento das corporações na segurança da
informação
Pouco ou nenhum investimento em treinamento focado
em segurança
Todos são responsáveis – regras de conformidade
Sua casa tem fechadura e alarme, certo?
Mas você sabe usa-los?
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Há algo de novo no Horizonte?
SIM....
Ciber Ataque e
Sabotagem Digital
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Desastres naturais ou ataques físicos
X Ciber Ataque
• Desastres naturais ou ataques físicos
- extensão e dano imediato são limitados
geograficamente
Ex: Florianópolis, WTC
• Cyber ataque
– não localizado geograficamente
– pode ser dissipado com altíssima velocidade
– atinge todos e não somente alvos específicos
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Ciber Ataque existe sim!
Australian Sewage Attack
• Março de 2000 – Brisbane, Austrália
• Vitek Boden – consultor – sistema
controlador de água
• Marrochy Shire Council
• Alterou as configurações das bombas das
estações causando problemas em 2 estações
• Boden foi capturado logo após o primeiro
ataque, com os equipamentos e programas
que facilitaram o ataque, que até então era
visto como um mal funcionamento do sistema
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Ciber Ataque existe sim!
Distributed denial of service attack
• Fevereiro de 2000
• Anatomia
– Busca de hosts inseguros
– Instalação de software para ataques
tornado os servidores escravos do atacante
– Lançamento do ataque remotamente
ativando todos os sistemas
simultaneamente
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Ciber Ataque existe sim!
Scaning Worms - The SQL Slammer attack
• Worms x vírus
– Vírus ficam latentes enquanto você não faz
alguma atividade para ativa-los;
– Worms propaga-se automaticamente sem
nenhuma atividade por parte do infectado;
– Primeiro worm – 1989 – Morris worm;
– Julho de 2001 – Code Red – 359.000
sistemas – a cada 37 minutos dobrava sua
capacidade de ataque.
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Ciber Ataque existe sim!
Scaning Worms - The SQL Slammer attack
• Janeiro de 2003 – SQL Slammer worm
– Dobrava o numero de sistemas atacados a cada 8,5
segundos;
– Infectou 90% dos servidores vulneráveis em apenas 10
minutos;
– Apenas 3 minutos após sua ativação já verificava os
servidores a uma velocidade de 55 milhões de
verificações por segundo;
– Infectou 75.000 servidores com sérias conseqüências
• 13.000 ATM do Bank of America foram desabilitados;
• O serviço de emergência 911 foi desabilitado afetando
680.000 pessoas;
• 14 corpos de bombeiros e 02 delegacias também
foram afetados;
• A Microsoft já havia disponibilizado a correção a
6 meses.
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Sabotagem Digital: PDVSA
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Sabotagem Digital: PDVSA
Queda do PIB Total 29 %
Primeiro Trimestre de 2003
2,8
%D
%I
12,6
23,5
59,6
No petrolero
privado
-23,6 -14,1
Petrolero Público
-47,5 -11,2
No petrolero
público
-7,2 -1,0
Otros
-2,7
Total -29
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Adoção de Metodologias específicas para
Segurança da Informação:
 Norma NBR ISO/IEC-17799 publicadas pela ABNT
 CBK – Common Body of Knowledge do (ISC)2
 TCSEC – Padrão U.S. DoD (Orange Book)
 ITSEC – Padrão Europeu
 Common Criteria – ISO 15.404
 NIST 800 series
 Melhores práticas de segurança de informações
Aderência a Normas e padrões geralmente aceitos – GASSP
(Generally Accepted System Security Principles)
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Atendimento a regulamentações:
Bacen
 CVM
 ANBID
 C Civil
 Basiléia II (R.O.)
 HIPAA
 SOx
 outras normas e regulamentações

2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Oportunidades de desenvolvimento do CSO:
 Associações profissionais
 ISSA
 ISACA
 ASIS
 CSI
 Grupos de trabalho
 CB21 (Norma ABNT ISO/IEC 17799)
 Cerificações profissionais
 CISSP
 CISM
 MCSO
 CISA
 CPP
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
A Segurança da Informação não deve ser
um fim em si mesma:
1.
Melhor performance
2.
Redução de perdas
3.
Compliance
4.
Segurança como agente habilitador de negócios
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Fatores Críticos de Sucesso
Apoio da Alta
Administração
Métricas, padrões,
políticas e procedimentos
Ferramentas e
mecanismos
bem configurados
Pessoas !!!
Capacitação e
conscientização
Monitoramento
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Fatores críticos de sucesso:
Endosso da Alta Administração
Objetivo
Equipe
Independência
Alinhamento ao Negócio
Reporte Executivo, Administração e Controle
(Orçamento x métricas de retorno da função)
Comunicação e Conscientização
Metodologia, normas e modelos
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Fatores críticos de sucesso:
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefícios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integração com o negócio!
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Princípios que devem ser perseguidos:
1. Proteger as pessoas e suas informações privadas (Funcionários,
Clientes, Fornecedores, Acionistas, Órgãos Reguladores)
2. Garantir Sistemas de Informação integros e protegidos
3. Proteção perimetral da rede de computadores
4. Garantir soluções tecnológicas seguras
5. Garantir soluções de Continuidade de Negócios
6. Promover conscientização contínua sobre o tema
7. Proporcionar ambiente de negócios alinhado às melhores práticas
de Segurança da Informação internacionalmente aceitas
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Funções da Segurança Digital
• Proteção:
• Proteção do acervo – informação e reputação
• Controle corporativo – obrigações legais
•
•
•
•
Viabilização de Negócios:
Competitividade e produtividade
Utilizar a Internet para atingir novos mercados
Estabelecer novas práticas operacionais
• e-Security está baseado na credibilidade do
usuário na empresa e nos serviços que ela
oferece.
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Modelo de Segurança
Responsabilidade Civil do Executivo de
Negócios (ISO 17799, 12)
Política de Segurança
(ISO 17799, 3)
Contratos com Fornecedores
(ISO 17799, 4)
Segurança da Infra-estrutura
(ISO 17799, 5/8/9)
Conscientização e
Responsabilização dos
Usuários (ISO 17799, 6)
Evidências Forenses
(ISO 17799, 12)
Infra-estrutura
Sistemas
Negócios
Segurança Física
(ISO 17799, 7)
Monitoração e Respostas a
Incidentes (ISO 17799, 9)
Responsabilidade Civil do CIO
(ISO 17799, 12)
Conformidade com a
Lei e Regulamentação
(ISO 17799, 12)
Continuidade do Negócio
(ISO 17799, 11)
Aplicação Segura
(desenvolvimento
e produção)
(ISO 17799, 10)
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
O Modelo de Segurança
Infra-estrutura
Sistemas
Ambiente Heterogêneo
Novas Tecnologias
Conformidade
Análise de Riscos
Negócios
Melhores Práticas
Integração com o negócio
Combate a Fraudes
Clientes
Fornecedores
Agências Reguladoras
Fazenda
Usuários
Judiciário
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Perguntas?
?
?
2o SIMPÓSIO LATINO AMERICANO DE SEGURANÇA MICROSOFT
Muito obrigado!
RICARDO THEIL