Palestra Sobre Segurança de Informações

V Semana Acadêmica da FCAT
Segurança de Informações
PROF. DEIVISON PINHEIRO FRANCO
PERITO FORENSE COMPUTACIONAL, AUDITOR DE TI E PENTESTER
ISO/IEC 27002 FOUNDATION
CEH, CHFI, CIFI, CFCE E DSFE
deivison.pfranco@gmail.com

2
V Semana Acadêmica da FCAT Segurança de Informações
QUEM SOU EU?
üMestre em Inovação Tecnológica e em Computação Aplicada,
Especialista em Ciências Forenses com Ênfase em Computação
Forense, em Suporte a Redes de Computadores e em Redes de
Computadores e Graduado em Processamento de Dados;
üAnalista Pleno em Segurança de TI, Consultor Especial de
Segurança da Informação e Membro do Comitê de Segurança
Corporativa para Prevenção, Combate e Resposta a Incidentes e
Crimes Cibernéticos do Banco da Amazônia;
üProfessor das Disciplinas: Computação Forense, Segurança de
Redes e de Sistemas e Auditoria de Redes e de Sistemas;
üColaborador/Colunista das Revistas Segurança Digital,
Convergência Digital, Espírito Livre, Digital Forensics Magazine,
eForensics Magazine e Hakin9 Magazine;
üPerito Forense Computacional, Auditor de TI e Pentester;
üCertificações: ISO/IEC 27002 Foundation, CEH – Certified Ethical
Hacker, CHFI – Certified Hacking Forensic Investigator, CIFI –
Certified Information Forensic Investigator, CFCE – Certified
Forensic Computer Examiner e DSFE – Data Security Forensics
Examiner .

3
AGENDA
ü Segurança de Informações
§ Conceitos Gerais
§ Princípios Básicos
§ Aspectos e Elementos
§ As Informações e os Atores do Processo de
§ Tipos de Segurança
§ Riscos, Ameaças e Ataques
§ Prevenção e Medidas de Segurança
§ Mecanismos para Controle de Segurança
§ Principais Normas
§ O profissional de Segurança de Informações

4
ANTES DE TUDO...
Um pouco de história e conceitos...

5
EVOLUÇÃO TECNOLÓGICA
ü Anos 70 (Mainframes) e Anos 80/90
(Cliente/Servidor)
§ Fronteiras virtuais rígidas.
ü Características da Segurança e Proteção
§ Acesso aos sistemas e aplicações através da
identificação combinada à usuário x senha;
§ Permitir comunicação eletrônica com parceiros
externos por meio de aplicações customizadas.

6
EVOLUÇÃO TECNOLÓGICA (CONT.)
ü Final dos Anos 90 e o início dos anos 2000
§ Aplicações Internet à acesso aos sistemas pelos
navegadores;
§ Soluções web à intranets e extranets;
§ Empresa expandida à alteração da segurança de
informações.
ü Características da Segurança - Proteção
§ Recursos tecnológicos certos conectados e disponíveis
para as pessoas certas, no momento certo;
§ Proteção e monitoramento de perímetro;
§ Confidencialidade e integridade dos dados.

7
EVOLUÇÃO TECNOLÓGICA (CONT.)
ü Ambiente cheio de mudanças
ü Motivador à Evolução tecnológica acelerada
§ Redução do tamanho e do custo dos equipamentos e
componentes;
§ Aumento da capacidade de processamento;
§ Aumento da capacidade de armazenamento e
transmissão de dados.
ü Motivador à Novas necessidades e
oportunidades
§ Criatividade x Necessidade x Oportunidade;
§ Popularização da TI à Consumerização de TI.

8
AS INFORMAÇÕES
ü Devem ser sempre protegida
adequadamente, seja qual for a forma
apresentada:
§ Impressa;
§ Escrita;
§ Armazenada;
§ Transmitida;
§ Apresentada em filmes;
§ Falada em conversas;
§ Ou por outro meio de compartilhamento ou
armazenamento.

9
CICLO DE VIDA DAS INFORMAÇÕES
Criação à
Manuseio
Armazenamento
Transporte
Descarte Informações

10
CICLO DE VIDA DA SEGURANÇA
O que precisa
ser protegido?
Como
proteger?
Simulação de
um ataque
Qual é probabilidade
de um ataque?
Qual prejuízo, se
ataque sucedido?
Qual é nível da
proteção?
Informações

11
SEGURANÇA X INFORMAÇÕES
ü A Importância da
§ Quanto vale a informação?
§ Sem informação uma empresa pode sobreviver
quanto tempo?
§ O que proteger?
§ Por que proteger?
§ Quando proteger?
§ Onde proteger?
§ Proteger do que?

12
DOMÍNIOS DE CONHECIMENTO
ü Gerenciamento de SI
ü Segurança de
Aplicações
ü Arquitetura de SI
ü Segurança Física
ü Segurança Lógica
ü Continuidade de
Negócios
ü Investigação e Perícia
Forense
ü Segurança de
Operações

13
ATIVOS DE INFORMAÇÕES
Informações Processos Serviços
Pessoas
ü Todo elemento que compõe os
processos que manipulam e
processam a informação
ü A própria informação
ü O meio em que ela é armazenada
ü Os equipamentos em que ela é
manuseada transportada e descartada

14
ATIVOS DE INFORMAÇÕES
Ou seja…
ü Tudo que possui valor para a organização
Informações Processos Serviços
Pessoas
ü Todo o ciclo de vida da informação

15
PRA QUE SERVE
A SEGURANÇA DE INFORMAÇÕES?
ü Área de conhecimento dedicada à
proteção de informações e seus ativos
ü Protege um dos maiores bens de uma
organização: As informações
ü Trabalha na criação de mecanismos de
tratamento de riscos
ü Protege as informações contra perda de:
§ Confidencialidade
§ Integridade
§ Disponibilidade
§ Autenticidade
à Segurança de Informações envolve tecnologia,
processos e pessoas

16
PRINCÍPIOS BÁSICOS
ü Confidencialidade;
ü Integridade;
ü Disponibilidade;
ü Autenticidade.
ü Não Repúdio

17
CONFIDENCIALIDADE

18
INTEGRIDADE

19
DISPONIBILIDADE

20
AUTENTICIDADE

21
NÃO REPÚDIO

22
ASPECTOS E ELEMENTOS DA
SEGURANÇA DE INFORMAÇÕES?
ü Essenciais na prática da segurança
de informações, dependendo do
objetivo que se pretende alcançar
§ Autenticação
§ Legalidade
§ Auditoria
§ Privacidade
§ Vulnerabilidades
§ Ameaças
§ Incidentes

23
AUTENTICAÇÃO
ü Processo de identificação e reconhecimento
formal da identidade dos elementos que
entram em comunicação ou fazem parte de
uma transação eletrônica
§ Acesso à informação e ativos por meio de controles
de identificação

24
LEGALIDADE
ü Característica das informações que
possuem valor legal dentro de um
processo de comunicação
§ Ativos estão de acordo com as cláusulas
contratuais pactuadas ou com a legislação
política institucional

25
AUDITORIA/PERÍCIA
ü Processo de coleta de evidências
de uso dos recursos existentes, a fim
de identificar as entidades envolvidas
em um processo de troca de
informações
§ Análise/Investigação da origem, destino e
meios de tráfego de uma informação

26
PRIVACIDADE
ü Controle da exposição e da
disponibilidade de informações de alguém
ü Garantia ao usuário de Não Monitoramento,
Não Registro e Não Reconhecimento
à Não ser “visto e ouvido”
à Não ter imagens e conversas gravadas
à Não ter imagens e conversas gravadas
publicadas na Internet em outros meios
Obs.: Políticas de Segurança/Contrato de Trabalho à Permitem
internamente Monitoramento, Registro e Reconhecimento

27
VULNERABILIDADES
ü Fragilidade presente nos ativos que
manipulam e/ou processam informações
§ São elementos passivos à necessitam de
um agente causador
Obs.: Ela por si só não provoca incidentes à Ao ser
explorada é que permite a ocorrência de um
incidente de segurança

28
AMEAÇAS
ü Agentes ou condições que causam
incidentes que comprometem as
informações e seus ativos por meio de
exploração de vulnerabilidades,
provocando perdas de confiabilidade,
integridade e disponibilidade

29
CLASSIFICAÇÃO DE AMEAÇAS
ü Naturais:
Fenômenos da natureza
ü Involuntárias:
Acidentes e Erros
ü Voluntárias:
Invasão, Espionagem

30
AMEAÇAS EXTERNAS - ATAQUES
ü Comprometimento de um sistema/rede
ü Deriva de uma ameaça inteligente
ü Tentativa deliberada à sentido de um método
ou técnica para invadir sistemas e violar
políticas de segurança
ü Ato de tentar desviar dos controles de
segurança de um sistema de forma a quebrar
“CIDA”.

31
ü Um ataque pode ser:
§ Ativo à alteração de dados;
§ Passivo à liberação de dados;
§ Destrutivo à negação de acesso a dados ou serviços.
ü O fato de um ataque estar acontecendo não
significa necessariamente que ele terá sucesso
ü O nível de sucesso depende da vulnerabilidade
do sistema ou da atividade e da eficácia de
contramedidas existentes

32
ü Possíveis formas de ataques:
§ Interceptação
• Acesso a informações por entidades não
autorizadas à violação da confidencialidade
§ Interrupção
• Interrupção do fluxo normal entre origem e
destino - violação da disponibilidade
§ Modificação
• Alteração de informações por entidades não
autorizadas à violação da integridade
§ Personificação ou Fabricação
• Acesso ou transmissão de informações passando
por uma entidade autêntica à violação da
autenticidade

33

34
Invasões
Virus,
Vermes
Acesso/Uso
Indevido
Email
Malicioso
Criminoso
Internet

35
Vítima
Atacante
O Atacante Invade Máquinas Vulneráveis e Instala
Programas de Acesso Remoto Nelas
AMEAÇAS EXTERNAS – ESQUEMA DE UM ATAQUE

36
Para a vítima, a
origem aparece como
sendo a máquina
zumbi, e não a
máquina do atacante
O Atacante Seleciona um Escravo e Comanda
um Ataque Indireto
Vítima
Atacante
AMEAÇAS EXTERNAS – ESQUEMA DE UM ATAQUE

37
AMEAÇAS INTERNAS
ü Mais Críticas à O usuário é a Ameaça
§ Roubo de Informações
§ Alteração de informações
§ Danos físicos
§ Alteração de configurações

38
INCIDENTE DE SEGURANÇA
ü Quando uma Ameaça explora uma
Vulnerabilidade de um Ativo
§ Quebra do “CIDA” à Impacto x Prejuízo

39
PREVENÇÃO DE AMEAÇAS INTERNAS
ü Restrições de acesso lógico à privilégios
ü Restrições de acesso físico à áreas críticas
ü Definição e divulgação normas e políticas de
segurança à acesso físico e lógico
ü Implementação de soluções de
criptografia/auditoria à informações críticas
ü Controle de terceiros à Acesso físico e lógico

40
MEDIDAS DE SEGURANÇA
ü Preventivas à Evitar que incidentes
ocorram
§ Exemplo: Política de segurança
ü Detectáveis à Identificar condições ou
indivíduos causadores de ameaça
§ Exemplo: Sistemas de detecção de intrusão
ü Corretivas à Correção de uma estrutura
tecnológica e humana para que as mesmas se
adaptem às condições preventivas
§ Exemplo: Adequação de sistemas
Obs.: Reativas à Depois que um incidente ocorreu à Não é
interessante que haja esse tipo de medida

41
TIPOS DE SEGURANÇA
ü Segurança Física
§ Providenciar mecanismos para restringir o acesso às
áreas críticas da organização
§ Como isto pode ser feito?
• Controle de acesso à meios de identificação/autorização à
câmeras, biometria, crachá, CFTV etc.
ü Segurança Lógica
§ Fornecer mecanismos para garantir:
• Confidencialidade
• Integridade
• Disponibilidade
• Autenticidade
Apenas os mecanismos tradicionais não garantem a
Segurança Lógica!

42
PREVENÇÃO
ü Mudança Cultural
Ø Políticas
Ø Palestras
Ø Seminários
Ø Exemplos práticos
Ø Simulações
Ø Estudo de Casos

43
RISCOS

44
RISCOS

45
ü Relação entre Probabilidade e Impacto à
Possibilidade de uma ameaça explorar uma
vulnerabilidade à Prejuízo
ü Medida da incerteza associada aos retornos
esperados de investimentos
ü Identificação de pontos que demandam
investimentos em segurança da informação
ü Essencial para o progresso à falhas
decorrentes à processo de aprendizado
ü Evento ou condição incerta à Risco Positivo
e Negativo
RISCOS

46
Risco
RISCOS

47
ATORES DO PROCESSO DE SEGURANÇA DA INFORMAÇÃO

48
ATORES DO PROCESSO DE SEGURANÇA DA INFORMAÇÃO

49
MECANISMOS PARA CONTROLES DE SEGURANÇA
ü Autorização
§ Processo de conceder ou negar direitos a usuários
ou sistemas
§ Listas de controle de acessos (Acess Control Lists –
ACL)
§ Perfis de acesso
ü Autenticação
§ Meio para obter a certeza de que o usuário ou o
objeto remoto é quem está afirmando ser
§ Assegura o controle e a legitimidade do acesso
§ Permite trilhas de auditoria

50
ü Autenticação à Três métodos:
§ Identificação Positiva
§ Identificação Proprietária
§ Identificação Biométrica

51
ü Identificação Positiva à O que você sabe
ü Usuário demonstra conhecimento de alguma
informação utilizada no processo de autenticação à
login/senha

52
ü Identificação Proprietária à O que você
tem
ü O usuário demonstra possuir algo a ser utilizado no
processo de autenticação à cartão magnético

53
ü Identificação Biométrica à O que você é
ü O usuário exibe alguma característica própria à
impressão digital

54
ü Autenticação Híbrida
§ Identificação Positiva + Identificação Proprietária +
Identificação Biométrica
+ +

55
CONCLUINDO...
SEGURANÇA DE INFORMAÇÕES NO DIA-A-DIA
ü Análises de Risco
ü Avaliações e
Certificações
ü Conscientização
ü Análises de logs
ü Resposta a Incidentes
ü Investigações e
Perícias
ü Ataques simulados
ü “Hardenizações” de
Equipamentos e
Sistemas
ü Controle de Acesso e
Identidade

56
Normas e códigos de boas práticas
ü ABNT NBR ISO/IEC 27001:2006
§ Sistemas de gestão de segurança da informação -
Requisitos
ü ABNT NBR ISO/IEC 27002:2005
§ Código de prática para a gestão da segurança da
informação
ü ABNT NBR ISO 31000:2009
§ Gestão de riscos - Princípios e diretrizes
ü ABNT NBR 15999-1:2007
§ Gestão de continuidade de negócios - Código de prática
ü PCI-DSS V2.0:2010
§ Payment Card Industry Data Security Standard
5
CONCLUINDO...

57
CONCLUINDO...
O PROFISSIONAL DE SEGURANÇA DE INFORMAÇÕES
ü Formação Superior em TI;
ü Especialização / Pós em Segurança de
Informações ou Certificações na área:
§ Security+
§ CISSP
§ CISM
§ CEH
§ CHFI
§ ISO 27002, etc.

58
ENCONTRE 8 ERROS DE SEGURANÇA DA INFORMAÇÃO:
CONCLUINDO...

59
8 ERROS DE SEGURANÇA DA INFORMAÇÃO:
CONCLUINDO...

60
"Se você acha que tecnologia pode resolver
seus problemas de segurança, então você não
entende os problemas nem a tecnologia."
Bruce Schneier
REFLITAM

61
PROF. DEIVISON PINHEIRO FRANCO
PERITO FORENSE COMPUTACIONAL, AUDITOR DE TI E PENTESTER
ISO/IEC 27002 FOUNDATION
CEH, CHFI, CIFI, CFCE E DSFE
deivison.pfranco@gmail.com
Dúvidas?
OBRIGADO PELA ATENÇÃO!

Palestra Sobre Segurança de Informações

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Palestra Sobre Segurança de Informações

Similar a Palestra Sobre Segurança de Informações (20)

Más de Deivison Pinheiro Franco.·.

Más de Deivison Pinheiro Franco.·. (6)

Palestra Sobre Segurança de Informações