Conteúdo: Segurança da Informação, Principais Ameaças, Meios de Proteção, Legislação.
Aula 3 da Disciplina de Gerenciamento de Tecnologia da Informação e ERP do MBA em Gestão de Negócios da Faculdade Estácio do Recife.
GTI/ERP 07/12 Segurança da Informação e Legislação
1. Gerenciamento de Tecnologia da Informação e ERP
Aula 3 – Segurança da Informação e Legislação
FELIPE AUGUSTO PEREIRA
felipe.pereira@live.estacio.br | @felipeunu
Recife, 2012
1
2. Conteúdo
• Segurança da Informação
• Principais Ameaças
• Meios de Proteção
• Legislação
2
4. Segurança da Informação
Confidencialidade
Segurança
Integridade da
Informação
Disponibilidade
4
5. Cibercrimes
• Prática que consiste em fraudar a segurança de computadores
e redes empresariais ou utilizar meios eletrônicos para a
realização de crimes
• Ex: SPAM, fraudes bancárias, violação de propriedade
intelectual, pornografia, invasão de websites, etc.
5
6. Cibercrimes no Mundo
• 1. Estados Unidos (23%)
• 2. China (9%)
• 3. Alemanha (6%)
• 4. Inglaterra (5%)
• 5. Brasil (4%)
• 6. Espanha (4%)
• 7. Itália (3%)
• 8. França (3%)
• 9. Turquia (3%)
• 10. Polônia (3%)
Fonte: BusinessWeek (2009) 6
7. Cibercrimes no Brasil
• Ranking de 2008
– Fração da atividade maliciosa no mundo: 4%
– Cibercrimes em geral: 5º lugar
– Códigos maliciosos: 16º lugar
– Zumbis para SPAM: 1º lugar
– Hospedagem de sites phishing : 16º lugar
– Bots (PCs controlados remotamente): 5º lugar
– Origem dos ataques: 9º lugar
Fonte: BusinessWeek (2009)
7
9. Motivações para Cibercrimes
• Inicialmente
– Ação individual
– Status e reconhecimento
• Atualmente
– Crime organizado
– Motivação financeira
– Ataques a usuários finais
9
10. Atividade 3.1 (em trio)
• Selecione uma empresa e apresente:
– Nome
– Produtos/serviços
– Relevância da segurança da informação para a
empresa (justifique sua resposta)
10
12. Fontes de Vulnerabilidade dos
Sistemas
• Usuários
• Linhas de comunicação
• Servidores corporativos
• Sistemas corporativos
12
13. SPAM
• Envio de e-mails não solicitados
• Problemas
– Redução da produtividade
– Sobrecarga da infraestrutura de comunicação
– Porta para malwares e outras ameaças
– Inclusão do servidor em listas de bloqueio
13
14. Malwares
• Malicious Software = software malicioso
• Vírus, worms, backdoors, cavalos de tróia, spywares,
keyloggers, screenlogers, bots, rootkits
• Software mal intencionado
• Normalmente disseminados através de websites, e-mails e
pen drives
• Ações benignas x malignas
14
16. Hackers
• Indivíduos que pretendem obter acesso não autorizado a um
sistema computacional
• Cracker, black hat, white hat
• Algumas ações
– Invasão de sistemas
– Vandalismo
– Roubo de informações
16
17. Invasão
• Força Bruta
• Exploração de falhas conhecidas
• Suscetibilidade de computadores com banda larga (IP
constante alta velocidade e longo tempo de conexão)
• Conexões sem fio
17
18. Scam
• Golpe que normalmente objetiva vantagem financeira
– Site de vendas ou leilão com preços muito abaixo do mercado, que
não serão entregues ou servirão para furto de dados financeiros
– E-mail recebido em nome de uma instituição financeira solicitando
atuação como intermediário de uma transferência internacional
mediante adiantamento
18
19. Spoofing
• “Disfarce” de pessoas ou programas através da falsificação de
informações
• Empresas com material com copyright divulgam materiais
distorcidos em redes de compartilhamento para desencorajar
o uso
• E-mail spoofing
– Alteração do remetente de e-mails
• Spoofing em ligações
– Alteração de informações de quem está originando a ligação
19
20. Phishing
• Modalidade de spoofing em que há a tentativa de obter
informações importantes através de elementos mascarados
como de instituições idôneas
• Modalidades
– E-mails com falsas informações atraindo para links
– E-mails com manipulação de links
– E-mails com formulários
– Redirecionamento a websites falsos na digitação de endereços
verdadeiros
– Phishing telefônico
– Utilização de popups solicitando informações no acesso a sites
verdadeiros
20
21. Phishings Comuns
Tema Texto da mensagem
Cartões virtuais UOL, Voxcards, Musical Cards, etc.
SERASA e SPC Débitos e restrições
Governo CPF/CNPJ cancelados, problemas com
imposto de renda ou eleições
Celebridades, fatos da mídia Fotos e vídeos
Relacionamentos Traição, convites para relacionamentos
Empresas de telefonia Débitos, bloqueio, serviços
Antivírus Atualizações
Lojas virtuais Pedidos, débitos
Negócios Solicitações de orçamentos, recibos
Promoções Vários
Programas Novidades, ofertas
21
22. Hoaxes
• Boatos com alarmes falsos enviados por e-mail
• Podem espalhar desinformação ou ter fins maliciosos
• Já houve casos de divulgação por meios de comunicação
• Exemplos
– Envio de mensagem para n pessoas e obtenção de benefício
– Auxílio a pacientes de doenças graves através do envio de mensagens
– Produtos contaminados em empresas conhecidas
– Seringa com AIDS
– Roubo de órgãos
22
23. Fakes
• Utilização de identidades falsas em redes sociais e softwares
de comunicação instantânea
• Identidades de famosos ou conhecidos
• Utilizado para acessar serviços sem se identificar ou se fazer
passar por outros
23
24. Sniffing
• Programa espião que monitora os dados transmitidos através
de uma rede
• Permite acesso a arquivos, senhas ou conversações em tempo
real
24
25. Ataques DoS
• Sobrecarga de servidor de rede ou web com falsas requisições
• Servidor sobrecarregado não consegue atender as solicitações
• Costuma usar bots
• Serviço atacado fica indisponível
• De 2% a 3% do tráfego de grandes backbones é ruído de DoS
25
26. Ciberterrorismo
• Exploração das vulnerabilidades das redes por terroristas,
serviços de inteligência estrangeiros ou outros grupos para
criar perturbações e prejuízos
• Acredita-se que vários países tenham ações de ataque e
defesa em desenvolvimento para uma ciberguerra
• Preocupação de vários governos
26
27. Funcionários
• Ocorrências intencionais de funcionários
• Ocorrências intencionais de ex-funcionários
• Engenharia social
• Falhas na operação de sistemas
27
28. Falhas de software
• Softwares comerciais apresentam falhas frequentes
– Falhas descobertas são divulgadas e aproveitadas por indivíduos mal
intencionados
– Patches são lançados para resolver tais falhas
• Softwares online podem apresentar falhas através da
manipulação de URL
– Não proteção de arquivos em servidores online
– Acesso a funcionalidades por usuários não credenciados
28
29. Falhas Físicas
• Danos a equipamentos
• Invasão física
• Quedas e falta de energia
• Acidentes naturais
29
30. Atividade 3.2 (em trio)
• Dentre as ameaças abordadas (SPAM,
malwares, scanning, hackers, invasão, scam,
spoofing, phishing, hoaxes, fakes, sniffing,
ataque DoS, ciberterrorismo, funcionários,
falhas de software, falhas físicas), cite as 06
principais a que a empresa selecionada está
sujeita e explique qual o impacto de cada uma
delas.
30
32. Política de Segurança
• Normaliza, padroniza e estabelece critérios mínimos para
garantir a integridade, confidencialidade e disponibilidade da
informação no ambiente computacional
• Requer apoio da alta gestão e todos os funcionários
• É específica a cada organização
• Define regras de infraestrutura, utilização dos equipamentos,
redes, e-mails corporativos, acesso à internet, senhas, etc
32
33. Plano de Contingência
• Define ações a serem tomadas na ocorrência de grandes
problemas
• Inclui ações para restauração dos serviços de computação e
comunicação à normalidade
33
34. Controle de Acesso
• Conjunto de políticas e procedimentos utilizados pela
empresa para evitar acesso indevido a informações
• Permissão
– Definição das restrições de acesso
• Autenticação
– Identificação da identidade de um usuário
– Senhas, cartões, tokens, biometria, etc.
34
35. Senhas
• Senhas longas
• Senhas com caracteres especiais (!@#$%&*?<>)
• Caracteres repetidos, sequências do teclado, palavras de
quaisquer dicionários e dados pessoais devem ser evitados
• A senha deve ser alterada periodicamente (de 02 a 03 meses),
com utilização de senhas diferentes das anteriores
35
36. Senhas
• O uso da mesma senha em diversos sistemas deve ser evitado
• Senhas não devem ser enviadas por telefone, e-mail ou
software de comunicação instantânea
• Senhas não devem ser anotadas, exceto se houver dificuldade
para decorar (nesse caso, a anotação deve ser mantida em
local seguro)
36
38. Suítes Anti-malwares
• Pacotes com soluções antivírus, anti-SPAM e anti-spywares
• Verifica os sistemas em busca de arquivos e processos
possivelmente infectados
• Devem ser atualizados diariamente
38
39. Segurança em E-mails
• Desativação recomendada
– Abertura e execução automática de anexos
– Execução de JavaScript e Java
– Modo de visualização de e-mails HTML
• Atenção a anexos suspeitos ou de remetentes desconhecidos
• Atenção ao clicar em links em e-mails suspeitos (digitar o
endereço diretamente no browser é preferível)
39
40. Segurança em E-mails
• SPAMs não devem ser respondidos (nem solicitação de
descadastramento)
• A divulgação de e-mails na Internet deve ser feita com
precaução
40
41. Segurança na Navegação na Internet
• Atenção à execução de programas Java, Activex e JavaScripts
• Popups devem ser bloqueados
• Procedência do site e uso de conexões seguras ao realizas
transações devem ser conferidos
– Cadeado
– Validade e propriedade do certificado
• Websites de entretenimento de natureza desconhecida são
perigosos (ex: pornografia e jogos)
41
42. Privacidade
• Atenção com os cookies
• Atenção com o bluetooth
• Informações não devem ser desnecessariamente divulgadas
online (inclusive em grupos e comunidades)
42
43. Segurança na Comunicação
Instantânea
• Convites de desconhecidos não devem ser aceitados
• Atenção para a engenharia social
• Atenção para o recebimento de arquivos
43
44. Segurança no Compartilhamento de
Arquivos
• Atenção à configuração de softwares de compartilhamento de
arquivos (Kazaa, BitTorrent, Emule, etc.)
• Compartilhamentos de pastas devem ser feitos com o uso de
senhas
44
45. Segurança de Redes sem Fio
• Alteração do SSID e senhas default dos equipamentos
• Utilização de protocolos de autenticação robustos (ex: WPA,
criptografia AES)
• Criação de redes virtuais (VLANs) para visitantes
45
46. Criptografia
• Transformação de dados comuns em dados cifrados para que
sejam conhecidos apenas pelo remetente e destinatário
– Criptografia de dados armazenados
– Criptografia de dados trafegados
– Assinatura digital
– Certificado digital
• Criptografia de chave única x chave pública e privada
46
47. Certificado Digital
• Arquivo eletrônico com dados de uma pessoa (física ou
jurídica)
• Armazenado no PC, token ou smart card
• Autoridade Certificadora = “cartório eletrônico”
47
48. Firewalls
• Sistemas que protegem redes privadas de acessos não
autorizados
• Controle do fluxo de entrada e saída da rede
• Baseado em filtros de pacotes, regras e controles por
endereço MAC, IP, etc.
• Hardware e/ou software
• Geração de logs
• Firewalls pessoais
48
49. Mudanças de Padrões
• Alteração de portas
• Alteração de usuários e senhas de aplicações, redes, etc.
• Válido para softwares e hardwares
49
50. Denúncias
• SPAMs: rede do remetente e mail-abuse@cert.br
• Scams e phishing: rede do remetente e cert@cert.br
• Invasões, tentativas, ataques DoS e outros incidentes: rede
originária do incidente e cert@cert.br
50
51. Segurança em Software
• Aquisição
– Evitar pirataria
– Atualização constante dos patches
– Seleção de bons fornecedores
• Desenvolvimento
– Atualização das ferramentas e tecnologias de
desenvolvimento
– Qualificação da equipe
– Atenção a boas práticas de engenharia de software
51
52. Backups
• Frequência depende da periodicidade de atualização dos
dados, do risco e valor da perda
• Mídia a ser utilizada dever ser analisada
• Atenção ao local de armazenamento
52
53. Ações contra Danos Físicos
• Espelhamento de discos
• Realização de backups
• No-breaks
• Segurança física dos ambientes (computadores e demais
dispositivos)
53
54. Outras Ações
• Treinamento com usuários
• O uso de computadores desconhecidos deve ser moderado
(dispositivos de armazenamento móvel e dados confidenciais)
• Configurações de segurança devem ser feitas bloqueando
tudo e liberando apenas o necessário
• Tráfego de rede deve ser monitorado
54
56. Atividade 3.3 (em trio)
• Quais desses meios de proteção você identifica na empresa
selecionada: política de segurança, plano de contingência,
controle de acesso, senhas, suítes anti-malwares,
privacidade, segurança em e-mails, navegação na Internet,
comunicação instantânea, compartilhamento de arquivos,
redes sem fio, criptografia, firewalls, mudanças de padrões,
denúncias, segurança em software, backups e proteção
contra danos físicos?
• Explique como cada um é implementado.
• Alguma das ameaças da atividade 3.2 não está sendo
contemplada? O que fazer para evitá-la?
56
58. Legislação
• Pirataria
• Prova da autoria de crimes eletrônicos
• Direito autoral e propriedade intelectual
• Questões trabalhistas
58
59. Licenciamento
• Freeware
– Uso gratuito
– Autor detém o copyright e pode impor restrições ao uso
– Software não pode ser alterado ou distribuído sem permissão
• Domínio público
– Não tem copyright
– Pode ser alterado e distribuído sem permissão
– Normalmente, financiado por governo e criado por universidade e/ou
instituições de pesquisa
59
60. Licenciamento
• Código aberto
– Código fonte é disponibilizado
– Outros programadores podem alterar e redistribuir
• Shareware
– Software comercial distribuído gratuitamente por um período
experimental
– Deve ser registrado para funcionar após o término do prazo
• Demo
– Software comercial que apresenta limitação de funcionalidades para
testes
– Interessado deve adquirir versão completa
60