Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Auditoria e Segurança da Informação

Palestra Estácio (Jabaquara) 14/11/2012
by

Denis Rodrigues

on 4 June 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Auditoria e Segurança da Informação

Métricas
ATENÇÃO!
O conteúdo apresentado por muitas vezes é considerado ÓBVIO. Por este mesmo motivo requer ESTUDO E DEDICAÇÃO!
SEGURANÇA DA INFORMAÇÃO
A segurança da informação está relacionada com proteção de um conjuto de dados o sentido de preservar o valor que possuem para um indivíduo ou organização.
FAMÍLIA ISO 27k
27000 - Vocabulário e definições a serem utilizadas pelas demais normas

27001 - Define os requisitos para implementação de um SGSI

27002 - Define as Boas Práticas para a gestão da segurança da informação

27003 - Guia para implentação de um SGSI

27004 - Define métricas e meios para avaliar a eficácio de um SGSI

27005 - Define linhas de orientação para a gestão do risco da segurança da informação

27006 - Guia para o processo de acreditação de entidades certificadoras
Segurança da Informação e Auditoria de Sistemas
Denis Cruz Rodrigues
Características Básicas da SI
CONFIDENCIALIDADE
INTEGRIDADE
DISPONIBILIDADE
Propriedade que limita o acesso a informação somente às entidades legítimas. (confidencial)
Propriedade que garante a originalidade estabelecida pelo proprietário da informação. (Íntegro).
Propriedade que garante que a informação esteja sempre disponível para uso legítimo.
Informação
Todo e qualquer dado ou conteúdo que tenha valor para alguma organização ou pessoa
Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nivel de segurança existente.

Através destas métricas poderemos discutir uma melhoria ou não da segurança existente.
Mecanismos de Segurança
Controles Físicos: Barreiras para limitar o acesso direto a informação ou infraestrutura. Ex: Portas, trancas, paredes, guardas, etc.
Controles lógicos: Barreiras para limitar o acesso à informação através de ambientes controlados (geralmente eletrônicos).
Ex: Senhas, biometria, etc.
Análise de Risco
Identificar os riscos de segurança presentes na rede fornecendo conhecimento para que seja implementados controles eficázes de segurança.
ATIVOS: Pessoas, Infraestrutura, Aplicações, Tecnologia, Informações, Etc.
VULNERABILIDADES: Identificar vulnerabilidades nos ativos que possam prejudicar a empresa (causar indisponibilidade, perda de informações, etc.)
AMEAÇAS: Identificar agentes que possam ameaçar a empresa
IMPACTO: Após identificação das vulnerabilidades e ameaças, calculas o impacto que essas podem causar à empresa (paralização de serviços, roubo de informação, perdas financeiras, etc.)
CRIPTOGRAFIA
Estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível. De forma que possa ser conhecida apenas por seu destinatário (detentor da chave secreta)
Chaves simétricas - Simples e Obsoletas

Chaves assimétricas - Complexas e modernas

Algoritmos de Hash - Atual
TÉCNICAS DE ATAQUE E DEFESA
MÉTODOS INTRUSIVOS E ANTI-INTRUSIVOS
DoS - Denial of Service
Man in the Middle
Phishing
Derrubar uma rede com solicitações forçando uma NEGAÇÃO DE SERVIÇO
Construção de falsos concentradores que recebem conexões e informações transmitidas
Técnica de golpe que se utiliza principalmente de uma página web para capturar informações privadas
FERRAMENTAS DE ATAQUE
Várias ferramentas de ataque disponíveis foram adaptadas do modelo de redes cabeadas para sua utilização em redes sem fio*
Wireshark e Airtraf
Ferramenta SNIFFER que capta o tráfego de uma rede e decodifica seus pacotes.
Wep Cracker e Airsnort
Ferramenta passiva que trabalha analisando o tráfego , quebrando e computando as chaves WEP
Inssider
Ferramenta de mapeamento e identificação das redes sem fio. Fornece MAC, IP, Canal, Criptografia, Gráfico, etc.
AirJack
Ferramenta capaz de transformar um computador num concentrador para capturar dados.
NMAP
Software OPEN SOURCE utilizado para avaliar a segurança de computadores e para descobrir serviços ou servidores em uma rede.
Malware (Vírus, Worms e Trojans)
Worms (Vermes)
Caracterizado como um programa completo sendo executado de forma oculta
Virus
Apenas um código que reprograma um software existente (worms ou trojans). Não precisa ser executado e possui propriedades de infecção que se espalha a usuários descuidados.
Trojan (Cavalo de Troia)
Arquivo normal que os vírus / worms se utilizam para se esconder (parasitas) carregando por onde forem. Muito comuns em softwares piratas.
deniscruzrodrigues@linux.com
Métodos de Defesa
Mediante autorização, é correto aplicar técnicas anti-intrusivas e de surveillance para verificar as principais vulnerabilidades e aumentar a segurança da rede.
Utilizando as ferramentas corretas, verificamos as vulnerabilidades, monitoramos o tempo de resposta, disponibilidades e atividades na rede.
Precisamos diagnosticar pontos críticos e aplicar correções preventivas, preditivas e corretivas.
Podemos aumentar a segurança através de equipamentos ativos (Routers, Switches, etc.) e softwares (IDS, Firewall, VPN's , etc.)
Firewall
Dispositivo computacional que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. Suas funções são restringir tráfego e filtrar sessões
IDS - Intrusion Detection System
Método de surveillance para descobrir acessos não autorizados (Ação hacker ou funcionários mal intencionados na rede).
VPN - Virtual Private Network
Este tipo de conexão utiliza protocolos de criptografia por tunelamento que fornecem a Confidencialidade, Integridade e Disponibilidade necessárias para garantir a privacidade das comunicações referidas.
Honeypots
Armadilhas "atrativas" prontas para serem invadidas e com isso detectar novas técnicas de invasão Hacker.
Uma rede de Honeypots é denominada Honeynet.
Segurança em ambientes Wireless
Após estudar as principais ferramentas utilizadas en ataques contra redes sem fio, aplicamos as medidas:

- Alterar a SSID
- Utilizar criptografia alphanumerica WPA2/PSK
- Restringir MAC Address
- Inibir acessos fechando portas não utilizadas
Projeto de Rede Segura
Para projetar uma rede segura, além de aplicar as normas de SI, é necessário levar em consideração:
- Disponibilidade e Redundância
- VPN
- Virtualização
- Dispositivos físicos e lógicos de segurança
- Segurança para dispositivos sem fio
- Monitoramento
- Autenticação integrada (Log e correções)
- Armazenamento e Backup de dados
No futuro teremos centenas de milhares de equipamentos ativos às nossas rotinas (IPV6).

Existem 2.000.000.000 de pessoas que acessam redes e 190.000 são hospedeiros de algum problema malicioso sem saber. 10% serão vítimas de algum crime virtual.

Quanto mais tecnologia maior o conforto e menor a segurança

Todo tipo de ataque está sujeito a rastreabilidade

Ações que motivam a proliferação de Malwares
- Má índole de quem ataca
- Imperícia dos administradores
- Ignorância dos usuários
Atualmente mais de 90% da informação processada é digital e seu crescimento é constante.

Raramente este ativo estratégico ou de decisão de negócios é armazenado corretamente.
ILM - Information Lifecycle Management

Apesar do seu valor ser dinâmico, a informação é um bem fundamental para traçarmos estratégias e tomadas de decisões nos negócios.

A gestão do ciclo de vida da informação traz benefícios comerciais, agilidade, produtividade, eficiência operacional e proteção.

Fases do Ciclo

- Manipulação: Manuseio da informação durante os processos de criação
- Armazenameto: Disponibilização de informações (Diferente de arquivamento)
- Transporte: Movimentação / Transferência de informações entre processos
- Descarte: Destruição da informação
Gestão de Recursos Escassos (Tempo, Inormações e Dinheiro)
- Big Data
- Storage
- Cloud
- Redes
Os cybercrimes geraram custos de 110 bilhões de dólares no mundo apenas nos últimos doze meses.
A cada segundo dezoito pessoas tornam-se vítimas de crimes cibernéticos, resultando em mais de um milhão e meio de vítimas por dia.

A todo o momento surgem novas ferramentas, atualizações críticas e novidades nas normas e procedimentos antiintrusivos.

Montar uma rede de computadores deixou de ser uma tarefa amadora. É necessário analisar os casos, estudar definições, princípios, objetivos, monitorar com ferramentas eficázes, aplicar criptografias, enfim, utilizar normas e aplicar medidas de segurança para proteger a informação.

Não é por acaso que o mercado carece de profissionais de Segurança da Informação.
Obrigado!
Full transcript