Segurana de Sistemas de

Informao
Parte III
Prof. MSc. Luis Gonzaga de Paulo
Segurana da Informao

O QUE ?

Proteo de um conjunto de dados, no sentido de preservar o valor

que possuem para um indivduo ou uma organizao.

Proteo da informao e dos sistemas de informao do acesso no

autorizado, do uso, da divulgao, da interrupo, da modificao ou
da destruio.

Segurana da Informao Segurana de Sistemas

Segurana da Informao

Atributos bsicos - padres internacionais:

Confidencialidade: limita o acesso a informao queles autorizadas pelo
proprietrio da informao.
Integridade: garante que a informao mantenha todas as caractersticas originais
estabelecidas pelo proprietrio da informao, incluindo controle de mudanas e
garantia do seu ciclo de vida (nascimento,manuteno e destruio).
Disponibilidade: garante que a informao esteja sempre disponvel para o uso
legtimo, ou seja, por aqueles autorizados pelo proprietrio da informao.
Poltica de segurana

Visa garantir o nvel de segurana desejado, levando-se em

conta:

Riscos associados falta de segurana;

Benefcios;
Custos de implementao dos mecanismos.
Mecanismos de segurana

Suportes para as recomendaes de segurana:

Controles fsicos: limitam o contato ou acesso direto a informao ou a infra-

estrutura que a suporta:
Portas, trancas, paredes, blindagem, guardas , etc ..
Controles lgicos: impedem ou limitam o acesso a informao, que est em
ambiente controlado, geralmente eletrnico, e que, de outro modo, ficaria exposta a
alterao no autorizada:
Criptografia, Assinatura Digital, Garantia de Integridade (CRC, Hash Code),
Controle de acesso (Biometria, Smart Card, Firewall), Certificao Digital
Estratgias de segurana

So formas bsicas para impor a segurana, seja lgica ou fsica, e

compreendem, entre outras:
Princpio do menor privilgio
Defesa em profundidade
Ponto de estrangulamento
O elo mais fraco
Posio prova de falhas
Permisso ou negao padro
Participao universal
Diversidade da defesa
Simplicidade
Obscuridade
Nvel de segurana

Suportes para as recomendaes de segurana:

Segurana fsica: ameaas fsicas como incndios, desabamentos, descargas

eltricas, alagamento, acesso indevido de pessoas, forma inadequada de tratamento
e manuseamento do material.

Segurana lgica: ameaas ocasionadas por vrus, acessos remotos rede, backup
desatualizados, violao de senhas, etc.
Segurana da Informao pessoal

Principais focos de problemas

E-mail: boatos, correntes, diverso

Redes de relacionamento
Wi-Fi / Wireless
Ambientes e recursos de uso coletivo
Fundamentos de TICs

Ativos de rede:
Modem, Router, Switch, Bridge, Gateway, Proxy, Firewall, IDS...
Protocolo IP:
Endereos IP, Datagrama, Roteamento, ICMP, Modelo OSI-7, UDP,
TCP...
Servios do TCP/IP:
DNS, TELNET, FTP/TFTP, NFS, RPC, SMTP, SNMP, HTTP, SSL, HTTPS...
Aplicaes:
Internet, Mobile, Client/Server, Embbebed Systems, Coupled
Systems, Social Networks, Online Games...
Leis Normas - Regulamentos

No Brasil:

Esta Foto de Autor Desconhecido est licenciado em

CC BY-NC-ND
Leis Normas - Regulamentos

No Mundo:
FISMA (Federal Information Security Management Act)
Fundamenta o desenvolvimento de um framework abrangente para proteger
informaes, operaes e ativos do Governo
SOX - Sarbanes-Oxley Public Company Accounting Reform e Investor
Protection Act (2002)
Contabilidade e Finanas,
Responsabiliza os gestores por qualquer fraude ou falha, inclusive eletrnica
GLBA - Gramm-Leach-Bliley Financial Services Modernization Act
(1999),
Determina a privacidade e proteo dos registros de clientes mantidos por
instituies financeiras
HIPAA - Health Insurance Portability and Accountability Act (2005)
Como as organizaes de sade devem lidar com informaes pessoais sobre
sade no formato eletrnico (ePHI);
Basilia I e II
Gesto de risco, fluxo de capitais e mercado financeiro internacional
Leis Normas - Regulamentos

No Mundo:
Leis Normas - Regulamentos

ITIL Information Technology Infrastructure Library

Biblioteca para gerenciar de maneira eficiente a rea de T.I., bem como para
prestar servios de maneira otimizada e eficaz.
Um conjunto de melhores prticas de gesto de T.I. que surgiu no final dos anos 80
Mtodo criada pelo Governo Ingls, mais precisamente pela secretaria de comrcio
(Office of Government Commerce, OGC),
Leis Normas - Regulamentos

ITIL como um padro para o Gerenciamento de Servios :

Uma gesto mais eficiente da infra-estrutura e dos servios prestados;
Maior controle nos processos e menores riscos envolvidos;
Eliminao de tarefas redundantes;
Definio clara e transparente de funes e responsabilidades;
Maior qualidade no servio prestado;
Flexibilidade na gesto da mudana;
Possibilidade de medir a qualidade;
Reduo de custos de TI;
Aumento da satisfao do cliente ou usurio;
Respostas e processos mais geis;
Comunicao mais rpida e dirigida;
Organizao de T.I. mais clara e sistemtica;
Processos otimizados, consistentes e interligados;
Leis Normas - Regulamentos

COBIT - Control Objectives for Information and Related Technology

Um kit de ferramentas para a excelncia na gesto de TI ;
O CobiT um guia para a gesto de TI recomendado pelo ISACA/ISACF (Information
Systems Audit and Control Foundation )
O CobiT projetado para auxiliar trs audincias distintas:
Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma
organizao;
Usurios que precisam ter garantias de que os servios de TI dos quais dependem os seus
produtos e servios para os clientes internos e externos esto sendo bem gerenciados;
Auditores que podem se apoiar nas recomendaes do CobiT para avaliar o nvel da gesto de
TI e aconselhar o controle interno da organizao;
Leis Normas - Regulamentos

COBIT
Est dividido em quatro domnios:
Planejamento e organizao.
Aquisio e implementao.
Entrega e suporte.
Monitorao.
Leis Normas - Regulamentos

Normas ISO:
ISO 13335 : Marco prtico (1996)
Viso tecnolgica da informao
Valor adicional para o risco de bens
GMITS : Guia para o Gerenciamento de Segurana de TI
ISO 14516 : Segurana de E-commerce (2002)
ISO 15408 : Marco prtico (1999) Common Criteria
Aspectos tcnicos
Desenvolvimento de Software Seguro
Avalio da segurana de softwares desenvolvidos
ISO 17799 : Marco terico (2000)
Nveis organizacionais e administrativos da segurana
Capacitao
:2005 Brasil, primeiro do mundo a traduzir e publicar (Set/2005)
ISO 17944 : Segurana no Sistema Financeiro (2002)
ISO 18028 : Gerenciamento de comunicaes
ISO 18044 : Gerenciamento de Incidente
Leis Normas - Regulamentos

Normas ISO:
ISO/IEC 27000
Information Security Management Systems Fundamentals and Vocabulary
(2008-2009)
ISO/IEC 27001:2005
Information Security Management Systems Requirements
Substitui a BS 7799-2:2002
ISO/IEC 27002:2005
Information Technology Code of pratice for Information Security
Management
Leis Normas - Regulamentos

Normas ISO:
ISO/IEC 27003
ISMS Implementation Guidance (2008-2009)
ISO/IEC 27004
ISMS Measurements (2008-2009)
ISO/IEC 27005
ISMS Information Security Risk Management (2007)
Leis Normas - Regulamentos

ISO 15408
Segurana em desenvolvimento de Software
Segurana no ambiente de desenvolvimento;
Segurana na aplicao desenvolvida;
Garantias de segurana;
Mitos de segurana da informao

1. Estatsticas sobre cybercrimes;

2. A maioria dos ataques a sistemas so internos;
3. Crimes por computador so motivados pelo dinheiro;
4. Informaes mantidas em computadores so as mais vulnerveis;
5. O plano de recuperao (BCP) prioritrio;
6. Teste de invaso um mtodo eficiente de avaliao de segurana;
7. Segurana da informao um assunto tecnolgico;
Leis imutveis de segurana da informao

1. Se algum convencer voc a executar um programa dele em seu

computador, ento no ser mais o seu computador (sndrome do
YNF).
2. Se algum puder acessar e alterar o sistema operacional de seu
computador, ento no ser mais o seu computador.
3. Se algum tiver acesso fsico irrestrito a seu computador, ento no
ser mais o seu computador.
4. Se voc permitir que algum instale programas em seu web site,
ento no ser mais o seu web site.
5. Senhas fracas desmancham uma segurana forte.
Leis imutveis de segurana da informao

6. Um computador to seguro quanto confivel for seu

administrador.
7. Informaes criptografadas so to seguras quanto suas chaves de
criptografia.
8. Um anti-vrus desatualizado ligeiramente melhor do que nenhum
anti-vrus.
9. Anonimato absoluto no prtico, quer seja na vida real ou na Web.
10. A tecnologia no a soluo para todos os problemas.
Ataques

Intruso o tipo mais comum, e consiste no uso indevido do

computador de outra pessoa passando-se por um usurio legtimo.
Para isto, faz-se uso de:
Engenharia Social
Vrus
Trojan
Phising
Keylogger
Exploit
Ransonware
Ataques

Negao de servio (DoS & DDoS) tem por objetivo interromper a

utilizao dos recursos computacionais da vtima. So utilizadas
tcnicas como:
Nuke;
Fragmentos;
Land;
Smurf;
SYN Flooding;
Ataques

Roubo de informao, que pode ser Ativo ou Passivo, fazendo uso de:
Root kits;
Sniffers;
Backdoors
Proxy

Dispositivo de rede que atua como um procurador para um ou mais

servios, como e-mail ou navegao web. Atua na camada 7-Aplicao
do modelo OSI, e executa operaes de:
Autenticao;
Filtro de pacotes;
Log de acessos;
Traduo de endereos (NAT Network Address Translation);
Pode atuar com:
Configurao esttica: endereo interno x endereo externo
Ocultao de endereos: endereo externo nico x endereos
internos diversos
Traduo das portas: porta externa X porta interna, host ou servio
Firewall

Equipamento que controla o fluxo de informaes entre a rede interna

considerada segura e a rede externa considerada insegura. Funciona
como um roteador.
Tipos
Filtro de pacotes: mais simples, camada OSI 3, filtra endereos;
Stateful Inspection: analisa pacotes at a camada OSI 4, controla
conexes;
Application Proxy Gateways: exige autenticao, atua na
camadaOSI 7, analisa solicitaes da aplicao;
Ambientes
DMZ Demilitarized Zone: compartilhamento de recursos
VPN Virtual Private Network: usurios remotos e extranets
Regras do Firewall: determinam como ser analisado e filtrado o
trfego
Sistema de Deteco de Intruso - IDS

Ferramenta para detectar, notificar e prevenir acessos no

autorizados.
Funciona como um sniffer, capturando e analisando informaes da
rede e buscando identificar evidncias de um ataque em
andamento.
Pode atuar de forma integrada com o firewall ajustando as regras
deste dinamicamente.
Pode ser de host(HIDS) ou de rede (NIDS). Um IDS de rede um
analisador de protocolos e pode ser do tipo:
Knowledge-based: usa uma base de dados de ataques
conhecidos;
Behavior-based: analisa desvios no padro de trfego;
Data Mining: busca padres conhecidos, associaes, mudanas
e anomalias em um conjunto de dados ou eventos;
Trfego de rede: o volume o maior problema!
Sistema de Deteco de Intruso - IDS

Tem a finalidade de prover as seguintes informaes:

Quantas tentativas de ataque foram identificadas;
Quais tipos de ataques foram utilizados;
Qual a origem dos ataques;
Snort (www.snort.org):
Software livre;
Fcil manuseio e configurao;
Alta confiabilidade;
NMAP (http://nmap.org/):
Forte nos testes de firewall e fingerprints;
TWWWSCAN:
Vulnerabilidades de cdigo (CGI);
Fingerprints de host e IP;
Gesto da Segurana da Informao

Trata-se das atividades e mtodos destinados a manter a segurana no

nvel adequado, com base em:

Manuteno e Aplicao da PSI

Monitoramento;
Tratamento de incidentes;
Anlise e reteno de evidncias;
Gesto de crises;
...
Anlise de Riscos e Vulnerabilidades

Sistemas de Informao
Servios:
Varredura
Anlise de riscos
Poltica de Segurana da Informao

Provm de um plano maior, o Plano de Negcios (Business Plan) e

sua derivao na rea da Tecnologia da Informao: o Plano de
Sistemas.
Normas
Segurana fsica
Autenticao e segurana de rede
Internet e e-mail
Criptografia
Desenvolvimento de software
Poltica de Segurana da Informao

Manuteno
Aceitao e conscientizao do usurio
Verificao de conformidade e execuo
Reviso contnua para acompanhar evolues e mudanas
Procedimentos operacionais
 Referncias
Galvo, Michele da Costa. Fundamentos em Segurana da
Informao. So Paulo: Pearson Education, 2015.
ISO 27002:2013, Segurana da Informao Coletnea
eletrnica, Rio de Janeiro: ABNT, 2014.
PMI, A Guide to the Project Management Body of
Knowledgement (PMBOK GUIDE) . Project Management
Institute, 2013.
W. L. de Paulo; F. C. Fernandes; L. G. B. Rodrigues e J. Eidit,
Riscos e controles internos: uma metodologia de
mensurao dos nveis de controle de riscos empresariais.
Revista Contabilidade e Finanas, Vol.18, n 43, USP, So
Paulo, Jan/Abr, 2007.
Obrigado pela participao!

Prof. MSc. Luis Gonzaga de Paulo