Segurana da Informao

e
Polticas de Segurana
Gilberto Sudr
gilberto@sudre.com.br

vidadigital.blog.br
www.gilberto.sudre.com.br

Gilberto Sudr
 2
Gilberto Sudr
 Agenda
A Segurana da Informao

Servios de Segurana da Informao

Classificao de Segurana

Riscos e Ameaas
Vrus
Internet

Polticas de Segurana
3
Gilberto Sudr
 A Segurana da
Informao

Gilberto Sudr
 Nova economia
Acirramento da competio cientfica e econmica

O conhecimento como expresso de poder e

vantagem competitiva

Capital intelectual Ativo das organizaes

5
Gilberto Sudr
 Conhecimento e Informao
Natureza estratgica

Diferencial competitivo

Alto valor agregado

Instrumento de poder

6
Gilberto Sudr
 Desafios da segurana
Reduo do riscos contra vazamento de informaes
confidenciais

Reduo da probabilidade de fraudes

Diminuio de erros devido a treinamentos e

mudanas de comportamento

Manuseio correto de informaes confidenciais

7
Gilberto Sudr
 Desafios da segurana
Administrar uma gama muito grande de:
Ambientes

Usurios

Sistemas e Aplicaes

Perfis de Trabalho

Especialidades

Mudanas
8
Gilberto Sudr
 Eu odeio segurana !!
Todos ns odiamos as restries impostas pelos controles de
segurana em nossa liberdade de ir, vir, ler, escrever e falar.

Ningum gosta de ter que carregar chaves de portas e de

lembrar de senhas.

Ficamos impacientes em esperar por aprovao para entrar em

um prdio ou na sala de espera em um aeroporto. Reclamamos
das portas de segurana dos bancos e dos limites de de
velocidade das vias pblicas.

Mas ela cada vez mais necessria...

9
Gilberto Sudr
 10
Gilberto Sudr
 Definies de Segurana

segurana. S. f. 2. Estado, qualidade ou condio de

seguro. 3. Condio daquele ou daquilo em que se
pode confiar. 4. Certeza, firmeza, convico.

[Aurlio]

11
Gilberto Sudr
 Definies de Segurana

Segurana em sistemas de computadores resume-se

a uma srie de solues tcnicas para problemas no
tcnicos.

[Garfinkel e Spafford]

12
Gilberto Sudr
 Definies de Segurana

Segurana no uma questo tcnica, mas uma

questo gerencial e humana. No adianta adquirir
uma srie de dispositivos de hardware e software
sem treinar e conscientizar o nvel gerencial da
empresa e todos os seus funcionrios

Christopher Klaus
CTO - Chief Technology Officer
ISS Internet Security System

13
Gilberto Sudr
 Soluo de Segurana

Ferramentas Controles

Polticas de
Segurana

14
Gilberto Sudr
 Pergunta...

O que pior que no termos

segurana alguma em nossos
sistemas?

15
Gilberto Sudr
 ! ! ! ...

possurmos a falsa impresso

de segurana

16
Gilberto Sudr
 Servios de
Segurana da
Informao

Gilberto Sudr
 Servios de Seg. da Informao

Existem diferentes aspectos que caracterizam a

segurana de um sistema de computadores. Estes
aspectos so denominados servios de segurana.

Os servios de segurana devem ter:

Confidencialidade
Integridade
Autenticidade
Disponibilidade
Controle de acesso
No-repdio
Auditoria

18
Gilberto Sudr
 Classificao de
Segurana

Gilberto Sudr
 Classificao de Segurana
O que segurana?

20
Gilberto Sudr
 Classificao de Segurana
Segurana Fsica
Backups

Ambientes de alta disponibilidade

Plano de Contingncia
Dualizao de servidores

rea Segura
Controle de acesso
Limitado pelo Permetro de Segurana

Descarte e lixo

Poltica de mesa e tela limpas

Segurana de Equipamentos

21
Gilberto Sudr
 Classificao de Segurana
Segurana Lgica
Antivrus

Autenticao
Senhas
Biometria

Criptografia

Ferramentas de:
Bloqueio de acesso
Deteco de invases
Deteco de Vulnerabilidades
VPN (Virtual Private Network)
22
Gilberto Sudr
 Riscos e
Ameaas

Gilberto Sudr
 Vrus de Computador

Como surgiram?
Incio dos anos 80
Fred Cohem, estudante da University of Southern
California
Experincias com cdigos hostis
Tese de doutorado

Qual foi o primeiro Vrus?

1986
Origem Pakisto
Nome: Brain

24
Gilberto Sudr
 Worms
(vermes)

Termo genrico utilizado para qualquer software

capaz de propagar a si prprio em redes de
computadores

Normalmente utilizam a explorao de falhas de

cdigo

Exemplo:
Code Red
Explora falha de buffer overflow no Microsoft IIS Web
Server

25
Gilberto Sudr
 Cavalo de Tria
(Trojan Horse)

Programa que executado na mquina atacada

(Servidor), controlado a partir do programa cliente
instalado na mquina do atacante (Cliente)

Normalmente no se propaga automaticamente,

aguarda que o usurio o instale em sua mquina

26
Gilberto Sudr
 Hackers
Experimentadores (Lammers , Script Kiddies)

Vndalos

Cybercriminosos (Crackers)

Soldados (InfoWarFare)

27
Gilberto Sudr
 E-mail e Mensagens Instantneas
Meio de propagao de vrus e outras pragas virtuais

Divulgao de informaes enganosas e mentirosas

Perda de produtividade

Vazamento de informaes sigilosas

28
Gilberto Sudr
 Programas piratas
Ilegal
Multa at 2000 x o valor da cpia original

Responsabilidade criminal
Administradores

Caixa de surpresas
Voc nunca sabe o que tem dentro !!!

29
Gilberto Sudr
 Navegao na Internet
Disseminao de Vrus e Cavalos de Tria

Captura de informaes pessoais

Perda de produtividade

30
Gilberto Sudr
 Poltica de
Segurana

Gilberto Sudr
 Poltica de Segurana
O que ?
Poltica de segurana a expresso formal das regras
pelas quais fornecido acesso aos recursos
tecnolgicos da empresa.

Quem, quando e como pode ter acesso as

informaes

Consideraes
Servios oferecidos X Segurana fornecida
Facilidade de uso X Segurana
Custo da segurana X Risco da perda

32
Gilberto Sudr
 Poltica de Segurana
importante para:

Garantir a implementao de controles de segurana

apropriados

Auxiliar na seleo de produtos e no desenvolvimento de

processos

Documentar as preocupaes da alta direo sobre

segurana

Evitar responsabilidade da empresa nos casos de quebra de

segurana

Transformar a segurana em um esforo comum 33

Gilberto Sudr
 Poltica de Segurana
Tipos
Fechada
Tudo aquilo que no permitido explicitamente
proibido.

Aberta
Tudo aquilo que no proibido explicitamente
permitido.

34
Gilberto Sudr
 Poltica de Segurana
Segurana da Informao precisa ser tratada
corporativamente

Verdadeiro

fator crtico de sucesso tratar os problemas de segurana

de forma ampla e completa, pois diferente disso, as
empresas tero apenas solues isoladas e pontuais que
pouco contribuiro para elevar o nvel de controle e
segurana das informaes da empresa

35
Gilberto Sudr
 Poltica de Segurana
O que no deve prever ?

Detalhes tcnicos

Copiar polticas e implementaes de outro local

36
Gilberto Sudr
 Poltica de Segurana
Comit de Segurana
Montar comit representativo da Cultura da
Organizao (exemplos)

Infra-estrutura
Informtica, Engenharia

Apoio
RH, Auditoria, Jurdico, Qualidade, Segurana

Atividades-fim da Organizao

37
Gilberto Sudr
 Uma soluo evolutiva

Planejamento

Elaborao
Monitoramento

Implantao e
38
Gilberto Sudr treinamento
 Concluso

Gilberto Sudr
 Concluso
A informao o ativo mais importante da sociedade
atual

Segurana da informao fator fundamental para

garantir o uso correto das informaes em um sistema
de computadores

A soluo completa de segurana da informao deve

contar, alm dos recursos tecnolgicos, com uma
poltica e administrao de segurana global,
sistematicamente controlada (Pessoas, Procedimentos
e Tcnicas) 40
Gilberto Sudr
Perguntas !!
 Segurana da Informao
e
Polticas de Segurana
Gilberto Sudr
gilberto@sudre.com.br

vidadigital.blog.br
www.gilberto.sudre.com.br

Gilberto Sudr