Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Segurança da Informação

No description
by

Camila Campos

on 28 May 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Segurança da Informação

Ameaças e Estratégias de Defesa SEGURANÇA DA INFORMAÇÃO Controles de saída garantem resultados precisos, válidos, completos e consistentes.

= estudo da natureza dos erros de saída comuns e as suas causas Controles de processamento dados completos, válidos e precisos
programas executados corretamente Controles de Entrada Outros controles gerais de programação
para evitar erros de interpretação
de desenvolvimento de sistemas

administrativos diretrizes e monitoria da adequação
de comunicação (redes) Controles de segurança de dados protege de,
liberação acidental ou intencional
modificações/destruições Controles biométricos Controles de acesso restrição Controles físicos riscos naturais e humanos Como proteger a TI? Inserir controles: proteção de dados, software, hardware e rede *essencial onde o potencial de danos é muito alto evita erros, impede ataques, nega acesso minimizar perdas, sistema tolerante a falhas diagnóstico Estratégias de defesa:
1) Controles para prevenção e desencorajamento
2) Detecção
3) Controle de danos
4) Recuperação
5) Correção plano de recuperação, substituição potencial para evitar novos problemas Tipos de controle gerais

de aplicação Físicos de acesso biométricos segurança de dados entrada processamento saída ao terminal
ao sistema
aos comandos, transações, privilégios, dados compara qualquer usuário válido a um identificador de usuário (UID) exclusivo método automatizado p/ verificar identidades, baseado em características psicológicas ou comportamentais geometria da mão, padrão de vasos sanguíneos na retina, voz, assinatura, dinâmica de uso de teclas, reconhecimento facial, termografia facial, impressões digitais, varredura da íris sistemas operacionais, programas de controle de acesso de segurança, produtos de comunicação de dados/bancos de dados, procedimentos recomendados de backup, etc. confidencialidade
controle de acesso
natureza crítica dos dados
integridade *condição computadores
centro de dados
software
manuais
redes Controles de Aplicação protegem o conteúdo das aplicações específicas embutidos regras de validação evitam alteração ou perda de dados precisão
completitude
consistência G
I
G
O arbage
n
arbage
ut novos controles Proteção de rede e firewalls Exemplo: problema de manutenção na AT&T redes de frame relay: redes de dados públicos de alta velocidade transmissão de informações dos consumidores e outros dados Controle de Acesso Criptografia identificação
controle
privacidade Testadores de cabo solução de problemas
localiza falhas Detecção de intrusos Firewalls sistema (ou grupo) que reforça uma política de controle entre 2 redes
melhor solução custo/benefício contra hackers Os sistemas de informação enfrentam muitos perigos
o Vírus
o Catástrofes naturais
o Erros de sistema
o Hackers A SEGURANÇA Aumentam a mediada que nos deslocamos para um mundo de computação de rede. As ameaças podem ser não – intencionais e intencionais. Vulnerabilidade dos SIs Ameaças não – intencionais § Erros humanos – no projeto, na programação,
§ Riscos ambientais – terremotos, furacões
§ Falhas de sistema de computador – problemas de fabricação ou materiais defeituosos. Ameaças Intencionais roubos de dados, mal uso de dados, transferência de informação para tirar alguma vantagem. São encaradas como crimes de computador Crimes de computador Podem ocorrer de 4 maneiras
ser o alvo
ser o meio de ataque
usado como ferramenta
utilizado para intimidar ou enganar

Podem ser executados por Pessoal externo (HACKER) ou por pessoal interno

Métodos de ataque Adulteração de dados
Técnicas de programação à Virus Camila Campos
Djanira do Carmo
Mariana Macedo Gene Spafford
Diretor de Operações de Computador, Auditoria e Tecnologia da Segurança
Purdue University, França “O único sistema verdadeiramente seguro é aquele que está desligado, desplugado, trancado num cofre de titanium, lacrado, enterrado em um bunker de concreto, envolto por gás nervoso e vigiado por guardas armados muito bem pagos. Mesmo assim, eu não apostaria minha vida nisso.” Segurança da Informação: É a preservação da Confidencialidade, Integridade e disponibilidade da informação
Confidencialidade: é a garantia de que a informação seja acessível apenas às pessoas autorizadas;

Integridade: é a proteção da exatidão e completeza da informação e dos métodos de processamento;

Disponibilidade: é a garantia de que as pessoas autorizadas tenham acesso às informações, bem como aos bens associados,
quando requeridos.
Armazenada em computadores;
Transmitida através de rede;
Impressa ou escrita em papel;
Enviada através de fax;
Armazenada em fitas ou disco. Qual informação deve ser protegida ?

Falada em conversas ao telefone;
Enviada por e-mail;
Armazenada em banco de dados;
Mantida em filmes e microfilmes;
Apresentada em projetores; A Informação que é: A Informação que está: Acesso acidental;
Empregado desleal;
Crime organizado;
“Hacker” de computador;
Espionagem industrial;
Fraude;
Arrombamento;
Gravação de comunicação;
Escuta telefônica; AMEAÇA

Uma causa potencial de um incidente indesejável com um ativo ou grupo de ativos de informação que pode resultar em danos para a organização.

Ex: Inundação, Roubo, Erro de Usuário, Falha de Hardware. VULNERABILIDADE
Uma fraqueza de um ativo ou grupo de ativos de informação que pode ser explorada por uma AMEAÇA.

Ex: Data Center ao lado de um rio, Portas destrancadas, Alocação errada de direitos de senha, Falta de manutenção. garantem, Importância das normas CASO 1: Deutsche Bank
O Banco tinha 2 escritórios funcionando no World Trade World Trade Center e já operava os seus sistemas quase que normalmente no dia seguinte ao atentado terrorista de 11 de Setembro 2001.

Requisitos da Norma:
-Cópias de Segurança (8.4.1).
-Gestão da continuidade do negócio (11);

Estes requisitos definem regras para evitar a interrupção do negócio e proteger os processos críticos contra efeitos de falhas ou desastres críticos contra efeitos de falhas ou desastres significativos.
Resultado: atendido
Preservação: disponibilidade CASO 2: Ministério de Defesa Britânico ério de Defesa Britânico
Em abril de 2001 um notebook do Ministério de Defesa Britânico,
contendo segredos de segurança nacional, foi deixado em um táxi por um oficial do exército.

Requisitos da Norma:
-Computação Móvel (9.8.1)

Este requisito estabelece que quando se utilizam recursos da computação móvel, cuidados especiais devem ser tomados, para garantir
que a informação não seja comprometida. A norma recomenda que seja adotada uma política formal, incluindo requisitos para proteção física,
controles de acesso, técnicas criptográficas, cópias de segurança e
proteção contra vírus.

Resultado: não atendido
Comprometimento: confidencialidade CASO 3: Ataque de vírus na Samarco
Em maio de 2000 o vírus “I love you” invadiu o servidor de correio da Samarco provocando paralisação de 1 semana dos serviços.
Requisitos da Norma:
-Controles contra software malicioso (8.3.1)

Este requisito estabelece que sejam adotadas medidas de precaução para prevenir e detectar softwares maliciosos. A norma recomenda que seja adotada uma política formal, análise crítica dos softwares, procedimento para gerenciamento, planos de contingência e monitoramento constante do ambiente computacional.

Resultado: não atendido
Comprometimento: disponibilidade Casos Recentes Caso: Bancos
• Os bancos brasileiros usam multiplataforma Java.
• Oferecem apenas “plug-ins” de segurança e autenticação, que funcionam dentro do navegador web.
• O atalho do Java usado está sendo usado para invadir computadores.
• Manipulação de aplicativos.
Surgiram nos sites essas janelas de segurança. Caso: Boleto
Vírus altera boletos na web e pagamento cai em conta indevidaMuda o código de barra simultaneamente.Pequeno atraso na exibição da página.Quem não utiliza internet banking pode cair no golpe. Referências Bibliográficas TURBAN, Efraim; RAINER, R. Kelly; POTTER, Jr. Richard E.
ADMINISTRAÇÃO DE TECNOLOGIA DA INFORMAÇÃO - Teoria e Prática Samarco: Segurança da Informação:
Conceitos e Modelo de Gestão
Sérgio Marinho Novembro.2004 http://www.linhadefensiva.org/
Full transcript