Professional Documents
Culture Documents
Segurana
em
sistemas
de
redes
Devido ao cenrio de perda de dados (provocado por incidentes relacionados a Crise Financeira); Crescimento de uso de mobilidade; Devido a exposio demasiada de colaboradores, parceiros e executivos em Redes Sociais; Devido ao crescimento do uso de terceirizados; Devido aos prejuzos financeiros e de imagem que podem ser causados;
10/08/2013
Quem aqui a mame disse: No pegue o que no seu E quem ouviu a mame dizer: nem d CTRL C CTRL V no contedo alheio.
H caractersticas peculiares da cultura brasileira que favorecem isso: Americanos edoEuropeus 79% copiaram informaes sem autorizao empregador. Utilizaram CD/DVD, Drive USB ou conta pessoal de correio eletrnico. Na opinio deles, 59% eram tendem a s fazer o que informaes confidenciais. estiver autorizado. 61% relataram ter uma viso desfavorvel do seu antigo empregador. Brasileiros tendem a fazer 82% disse que seu empregador no realizou uma auditoria ou uma reviso dos papis ou documentos eletrnicos antes que ele/ela deixasse o emprego. tudo que no esteja proibido.
24% tiveram acesso ao sistema ou rede de computadores de empregador aps a sada da empresa.
Fonte: http://www.constatti.com.br/?tag=engenharia-social. Acessado em: 26/02/2010.
A Symantec e o Instituto Ponemon, uma empresa de pesquisa lder em gerenciamento de informao e privacidade, realizaram pesquisa junto a trabalhadores que perderam ou deixaram seus empregos em 2008 e constataram em relao s informaes da empresa:
As regras de TI esto claras, documentadas e em uso? 1. 2. 3. 4. 5. 6. 7. As equipes sabem usar senha de forma segura? o uso de webmail no ambiente de trabalho permitido? E acesso a sites de web ? E o uso de MSN ou outros comunicadores? E o uso de VoIP? E acesso remoto (VPN)? E a entrada com dispositivos com cmeras e aparelhos de MP3? 8. E as portas USB, esto liberadas? Pode-se baixar ou instalar qualquer coisa nas mquinas?
10/08/2013
Para fazer a Segurana da informao necessrio conhecer as situaes de risco, principalmente as comportamentais.
Uma analogia! Os Sistemas de Segurana tm um papel de detector e so como uma extenso dos sentidos do ser humano. Por meio destes possvel a partir de um nico local monitorar qualquer foco de incndio, fuga de gs, abertura indevida de uma porta, entrada numa zona restrita, e confirmar e guardar todos estes eventos por meio de imagens.
ISO/IEC 17799
O que segurana da informao? Informaes so ativos que, como qualquer outro ativo importante A segurana da informao obtida atravs da implementao de um para os negcios, possuem valor para uma organizao e conjunto consequentemente adequado de precisam controles, ser que protegidos podem ser adequadamente adequadamente. polticas, prticas, . A segurana de estruturas informaes protege as informaes contra uma procedimentos, organizacionais e funes de software. amplacontroles gama de ameaas, assegurar a assegurar continuidade Esses precisam ser para estabelecidos para quedos os negcios, de minimizar prejuzos e maximizar o retorno de objetivos segurana especficos da organizao sejam investimentos e oportunidades comerciais comerciais. . alcanados. As informaes podem existir sob muitas formas formas. . Podem ser impressas ou escritas em papel, armazenadas eletronicamente, enviadas pelo correio ou usando meios eletrnicos, mostradas em filmes, ou faladas em conversas conversas. . Qualquer que seja a forma que as informaes assumam, ou os meios pelos quais sejam compartilhadas ou armazenadas, elas devem ser sempre protegidas adequadamente adequadamente. .
Fonte: PADRO ISO/IEC INTERNACIONAL 17799 - Tecnologia da Informao Cdigo de Prtica para Gesto da Segurana de Informaes
10/08/2013
Princpios da Segurana
Autenticao
- Processo pelo qual a identidade de uma entidade verificada
Autorizao
- Associar uma identidade a uma lista de direitos, privilgios, ou reas de acesso
Controle de Acesso
- Garantir que usurios no autorizados sero mandados embora
Confidencialidade
- Proteger informaes sensveis de forma que estas no sejam vistas indiscriminadamente
Integridade
- Assegurar que recursos ou dados no sejam alterados por entidades no autorizadas
No repudiao
- Quando no se pode negar a autenticidade de um documento, a sua assinatura ou o seu envio
Disponibilidade
- Legitimar que os usurios tenham acesso quando necessitarem
Questes
Como os bancos atualmente utilizam as tecnologias de autenticao para garantir mais segurana nos seus sistemas via Internet? Quantas senhas voc tem de se lembrar atualmente? Quais so as possveis solues para diminuir esse nmero?
Autenticao
Evoluo dos mtodos de verificao pessoal ris Impresso digital face Smart cards
voz
mo O que Voc
assinatura Evoluo
10/08/2013
Login e Senhas!!!!!
De acesso ao sistema da empresa De acesso ao sistema da faculdade De acesso a MSN, Skype, etc. De acesso conta bancria De acesso ao carto de crdito
, ento, natural que, os usurios optem pela soluo mais fcil que,
utilizar da mesma para todos os recursos ou, mais simplesmente, a manuteno de uma lista escrita e que, por isso, vulnervel.
Login/usurio As palavras-passe (Login) so, um mal necessrio e, por isso devemos procurar maneiras de as substituir por formas simples e mais seguras.
identidade
A verificao da identidade baseia-se no pressuposto que a entidade a nica capaz de enviar uma dada informao, a qual o resultado de algo que a entidade Sabe
Senha (= palavra chave = palavra passe = password) ex: Senhas Unix, PAP, CHAP, Kerberos
tem,
Testemunhos (Tokens) ex: carto multibanco, S/Key, SecurID, SmartCard
Para maior comodidade dos usurios: Single Sign on (autentica-se uma vez no incio)
Ex: Kerberos
10/08/2013
Autenticao
Autenticao o processo de comprovar a identidade digital de um usurio, objeto na rede ou um recurso. Depois de autenticados, os usurios podem acessar recursos com base em seus privilgios. Existem diferentes mecanismos para autenticao e a escolha do mecanismo apropriado vai depender do ambiente onde se dar a autenticao.
Autenticao
Username e Password
Os mtodos de autenticao mais freqentes baseiamse na utilizao de palavras chave (passwords). Dada a fragilidade dos mecanismos da password, tm sido desenvolvidos vrios mtodos para as tornar mais seguras.
Autenticao
Cartes inteligentes (Smart Card)
O contedo de um Smart Card um pouco complexo: Circuitos integrados, memria de at 384 Kb, microprocessador de 16bits e outros componentes ...
10/08/2013
Autenticao
Cartes inteligentes (Smart Card)
Este mecanismo de autenticao proporciona um alto nvel de segurana e diversos equipamentos utilizam esta tecnologia para identificar usurios.
Autenticao
Token
O Token um dispositivo eletrnico que gera uma nova senha numrica randmica a cada 36 segundos, ou o tempo que for programado. Este dispositiva utilizada como um fator de segurana adicional na autenticao pois garante total privacidade em caso de roubo de senhas (atravs de um spy, por exemplo).
Autenticao
Token
A soluo do Token baseada no conceito OTP (One Time Password) que gera senhas descartveis, obrigando o usurio a informar senhas diferentes a cada acesso. O uso de senhas descartveis OTP uma soluo simples e de fcil implementao. Quando o usurio vai acessar o sistema, o cdigo de acesso do Token solicitado, garantindo segurana.
10/08/2013
Autenticao Senhas
Podem ser quebradas de diversas maneiras: Adivinhao Pesca de senhas - busca por papeizinhos com as senhas Quebra de sigilo - inteno do prprio usurio Monitoramento e captura de senhas Acesso ao arquivo de senhas Ataque de fora bruta Keylogger
Autenticao Senhas
O esquecimento de senhas um fato comum e representa certa de 30% dos chamados em Help Desk. Possvel soluo
One-time password: senhas vlidas por apenas uma vez.
10/08/2013
Desvantagens: custo alto dificuldade de administrao possibilidade de perda, roubo ou decodificao insatisfao dos usurios com sua manipulao
Impresso digital Caractersticas faciais Reconhecimento de voz Retina ris do olho Geometria das mos Padro de escrita Padro de digitao
Poros da pele DNA Formato da orelha Composio qumica do odor corporal Emisses trmicas Geometria dos dedos Identificao de unha Maneira de andar
10/08/2013
10
10/08/2013
Mtodo de identificao e autorizao que permite uma administrao consistente, de maneira que os usurios podem acessar vrios sistemas diferentes, de modo transparente e unificado, por meio de uma nica autenticao.
11
10/08/2013
Dvidas
12