Autarquia Educacional do Vale do So Francisco AEVSF Faculdade de Cincias Sociais e Aplicadas de Petrolina FACAPE Curso de Cincias da Computao

SEGURANA E AUDITORIA DE SISTEMAS

Segurana

de Informaes

Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurana de informaes

Os requisitos de SEGURANA DA INFORMAO dentro de uma organizao passaram por duas mudanas importantes nas ltimas dcadas:

MUDANA 1) ANTES do uso generalizado de equipamentos de processamento de dados, a segurana da informao considerada valiosa para uma organizao era fornecida por principalmente por meios fsicos e administrativos. Ex.: - Armrios robustos com fechadura com segredo para armazenar documentos confidenciais.

Segurana de Informaes

MUDANA 2) Introduo de sistemas distribudos e o uso de rede e recursos de comunicao para transmitir dados entre o usurio do terminal e o computador e entre computadores. Segurana inter-rede empresas, governo e organizaes acadmicas interconectam seus equipamentos de processamento de dados com um conjunto de redes.
3

Segurana de Informaes

O que aconteceria se as informaes institucionais cassem nas mos da concorrncia ou fossem corrompidas, apagadas ou adulteradas? Quais seriam as conseqncias para a continuidade dos negcios da instituio?

E se ocorressem desastres naturais ( incndio, terremoto, enchentes)?

E falhas estruturais ( interrupo de fornecimento de energia eltrica ou sobrecargas eltricas)?

Segurana de informaes

O vazamento de informaes sobre seus clientes comprometeria sua credibilidade e daria maiores oportunidades aos concorrentes.

Segurana de informao

Segurana , portanto, a proteo de informaes, sistemas, recursos e servios contra desastres, erros e manipulao no autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurana.

Segurana de Informaes
Poltica de Segurana Informaes tm que estar disponveis no momento e no local estabelecido, tm que ser confiveis, corretas e mantidas fora do alcance de pessoas no autorizadas. Objetivos de Segurana Confidencialidade ou privacidade informaes protegidas de acesso no autorizado. Envolve medidas de controle de acesso e criptografia. (LEITURA) Integridade dos dados Evitar alterao ou excluso indevida de dados. (GRAVAO/ALTERAO/EXCLUSO). Disponibilidade Garantia que os servios prestados por um sistema esto sempre acessveis a pessoas autorizadas. (BACKUP) Consistncia Garantia de que o sistema atua de acordo com a expectativa.
7

Segurana de Informaes
Poltica de Segurana Objetivos de Segurana Isolamento ou uso legtimo Regular o acesso ao sistema. Acesso no autorizado sempre um problema, pois tem que se identificar quem, quando, como e os resultados desta ao. Auditoria Proteo contra erros e atos acidentais ou no dos usurios autorizados. Confiabilidade Garantir que, mesmo em condies adversas, o sistema atuar conforme esperado. Dependendo da organizao, um objetivo pode ser mais importante que o outro. Na maioria dos casos, dada maior importncia disponibilidade e integridade.

Segurana de Informaes
Questes Relevantes O que se quer proteger ? Contra que ou quem ? Quais as ameaas mais provveis ? Qual a importncia de cada recurso ? Qual o grau de proteo desejado ?

Quanto tempo e recursos para atingir os objetivos de segurana ?

Qual a expectativa dos usurios e clientes em relao segurana de informaes ? Quais as conseqncias em caso de roubo ou dano?

Segurana de Informaes
Comprometimento da Gerncia Superior Prioridade menor em relao a outros projetos. Segurana s lembrada depois de um desastre ocorrido. Poltica considerada dispendiosa. Segurana vista como inibidor e no como uma garantia Rastreamento ou monitoramento de outras gerncias.

Uma real poltica de segurana deve ser posta em prtica e encarada com seriedade por todos e ter o total apoio da alta gerncia.
O comprometimento deve ser formalizado, de forma clara e objetiva, baseados nos princpios gerais, deixando os detalhes para outros documentos mais especficos.

10

Segurana de Informaes
Definindo uma Poltica de Segurana de Informaes Poltica de segurana um mecanismo preventivo de proteo dos dados e processos importantes de uma organizao que define um padro de segurana a ser seguido pelo corpo tcnico e gerencial e usurios. Princpios bsicos Como a organizao ir proteger, controlar e monitorar seus recursos computacionais e suas informaes.

Responsabilidades das funes relacionadas com a segurana.

Discriminao das principais ameaas, riscos e impactos envolvidos. Poltica de segurana de informaes integrada poltica de segurana em geral.

11

Segurana de Informaes
Relacionamento da Poltica de Segurana de Informaes com a estratgia da organizao. Estratgia geral da organizao Estabelece Plano Estratgico Define
Contribui para o atingimento

de Informtica
Especifica

Poltica de segurana de Informaes Gera Impactos sobre

Planos de desenvolvimentos de sistemas Plano de continuidade de servios Planejamento de capacidade Outros projetos
12

Segurana de Informaes
Poltica de Segurana de Informaes
Envolvimento de todos O Segredo do Sucesso ! Para uma completa e efetiva Poltica de segurana de informaes imprescindvel que sejam envolvidos a alta gerncia, a gerncia de segurana, a de recursos e de finanas, os demais gerentes e sobretudo, os usurios.

13

Segurana de Informaes
Poltica de Segurana de Informaes - Tpicos Importantes
Contedo bsico: orientaes sobre anlise e gerncia dos riscos, princpios de conformidade dos sistemas com a PSI, classificao das informaes e padres mnimos de qualidade.

Princpios legais e ticos:

Direito propriedade intelectual. Direitos sobre softwares.

Princpios de implementao de segurana.

Polticas de controle de acesso a recursos e sistemas. Princpios de superviso das tentativas de violao da SI. Esses pontos devem ser claros e detalhados para serem compreendidos. Para um maior aprofundamento, pode-se dispor de outros documentos mais especficos.
14

Segurana de Informaes
Processo de Implantao da PSI Processo formal e longo; flexvel para permitir ajustes conforme necessidades

Fases:
Identificao dos recursos crticos. Classificao das informaes. Definio em linhas gerais, dos objetivos de segurana a serem atingidos. Anlise das necessidades de segurana (ameaas, riscos e impactos). Elaborao da proposta inicial. Discusses abertas com os envolvidos. Apresentao do documento formal gerncia superior. Aprovao Implementao Avaliao da poltica e identificao das mudanas necessrias Reviso
15

Segurana de Informaes
Identificando os recursos O que precisa ser protegido? Quais os mais importantes? Hardware Software Dados Pessoas Documentao Suprimentos Classificao das informaes necessidade, responsabilidade. Pblicas ou de uso irrestrito ex.: servios de informao ao pblico em geral; De uso interno ex.: servios de informao interna; Confidenciais ex.:dados pessoais de clientes e funcionrios, senhas... Secretas ex.: dados militares e de segurana nacional.
16

Segurana de Informaes
Classificao dos Sistemas camadas para facilitar os controles Aplicativos necessidades especficas. Servios utilizados pelos aplicativos. Sistema Operacional gerenciamento de recursos computacionais. Hardware

Anlise individual de cada camada em termos de segurana, configurada e monitoradas de forma compatvel com o nvel de segurana definido.

17

Segurana de Informaes
Analisando Riscos Risco = ameaa + vulnerabilidade + impactos. Identifica componentes crticos e custo potencial aos usurios. Ponto chave em qualquer poltica de segurana. Identificar ameaas e impactos, possibilidades de uma ameaa se concretizar e entender os riscos potenciais. Classificar por nvel de importncia, custos envolvidos na preveno/ recuperao. Riscos podem ser apenas reduzidos, nunca eliminados. Medidas mais rgidas tornam os riscos menores, mas no eliminam. Conhecimento prvio das ameaas e seus impactos podem resultar em medidas mais efetivas para reduzir as ameaas, vulnerabilidades e impactos. sempre melhor (e mais barato!) prevenir do que remediar.
18

Segurana de Informaes
Analisando ameaas Contra quem proteger ? Custo pode ser mais alto do que os danos provocados. Conceitos Bsicos: Recurso componente de um sistema computacional. Ameaa evento ou atitude indesejvel que pode remover, desabilitar, danificar ou destruir um recurso. Vulnerabilidade fraqueza ou deficincia que pode ser explorada por uma ameaa. Ataque ameaa concretizada. Impacto conseqncia de uma vulnerabilidade ter sido explorada por uma ameaa. Probabilidade chance de uma ameaa atacar com sucesso. Risco medida da exposio a qual o sistema est sujeito. Depende de uma ameaa atacar e do impacto resultante. Envolve esses componentes mais as vulnerabilidades.
19

Exerccios Propostos

1. Definir Poltica de Segurana. 2. Quais os Objetivos de Segurana citados por Cludia Dias? Fale sobre cada um deles. 3. Quais as principais fases do processo de implantao de uma Poltica de Segurana? Fale sobre cada uma delas. 4. Quais os principais recursos de tecnologia da informao a serem protegidos? 5. Como podem ser classificadas as informaes a serem protegidas em em uma organizao? 6. Qual o objetivo da classificao das informaes em uma organizao? 7. Para efeito de elaborao e implementao de polticas de segurana, como podem ser subdivididos os sistemas de informaes? Fale sobre cada um deles. 8. Quais os principais danos que podem causar uma ameaa hoje, no caso de concretizada uma invaso (acidentais ou deliberadas)? Fale sobre cada um deles. 9. O que so ameaas programadas? 10. Cite e comente sobre as diferentes nomenclaturas para as ameaas programadas. 11. Quais os principais tipos de vrus? Fale sobre cada um deles. 12. O que so Servios de Segurana? Cite exemplos. 13. O que so mecanismos de Segurana? Cite exemplos. 14. Quais os 3 princpios bsicos de segurana que devem ser vistos por uma Gerncia de Segurana? 15. Como podem ser divididas as atividades de uma gerncia de segurana? Cludia Dias pgs

20