Triforsec   segurança da informação
Upcoming SlideShare
Loading in...5
×
 

Triforsec segurança da informação

on

  • 390 views

 

Statistics

Views

Total Views
390
Views on SlideShare
390
Embed Views
0

Actions

Likes
0
Downloads
12
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Triforsec   segurança da informação Triforsec segurança da informação Presentation Transcript

  • Segurança da Informação www.triforsec.com.br
  • Perfil Triforsec
    • 15 anos de know-how em segurança de T.I.
    • Alguns clientes
  • Segurança da Informação — Cena atual
    • Em 99,99% das empresas auditadas — no Brasil — informações estavam sendo atacadas ou ameaçadas de alguma forma
    • Violar emails, sites e sistemas alimenta um próspero mercado de dados sigilosos, uso clandestino de T.I., congestionamento orquestrado de sites e outros — um "negócio" lucrativo e com baixo risco de punição
    • As fraudes crescem muito mais rápido do que a velocidade da lei e da justiça pode alcançá-las — até porque muitas vêm do exterior
    • Fraudes podem durar anos despercebida e, enquanto isto, a empresa perde negócios ou causas judiciais de forma inexplicável ou tem boa parte de sua capacidade computacional "adotada" por fraudadores — via internet ou de dentro da própria empresa
    • O Brasil é terreno fértil pois pouquíssimas empresas têm práticas de segurança efetivas
    • A melhor saída — talvez a única — é a prevenção
    • O padrão internacional recomenda uma auditoria anual no mínimo — e feita por uma auditora externa
  • Segurança da Informação — Alguns tipos de ataques e fraudes
    • Furtos de dados
      • Feito por funcionário ou visitante com acesso à rede que quer desviar dados sigilosos ou entrar na justiça contra a empresa
      • Feito por hacker ou técnico de T.I. da própria empresa — que viola emails e sistemas para vender dados sigilosos a terceiros
    • Vazamento de dados por omissão técnica
      • Causados por processos e treinamentos frágeis que permitem práticas inseguras de usuários (e.g., compartilham senhas, deixam computador sem dar sign-out nos sistemas, etc.)
    • Uso clandestino de infraestrutura de T.I.
      • Feito por hacker ou técnico de T.I. da própria empresa — que se apropria da infraestrutura de T.I. da mesma para “negócios” paralelos (e.g., hospedar sites), sem a empresa o desconfiar
      • É um negócio da China pois o fraudador ganha dinheiro e não paga nem pela energia elétrica
      • Ataques pela internet são uma epidemia — são milhões por dia
  • Segurança da Informação — Alguns tipos de ataques e fraudes
    • Ataques à imagem de empresas
      • Hackers são pagos para congestionar sites ou “defaceá-los“ redirecionando visitantes a sites estranhos (e.g., pornôs)
    • Fraudes contra campanhas de marketing via sites ou redes sociais
      • Espertinhos criam por exemplo softwares-robôs para obter grandes pontuações e assim levar centenas de brindes (e.g., créditos de celulares, celulares, etc.)
  • Alguns cases e registros
    • Vazamento de dados da Receita, do Enem e outros
    • Milhões de sites violados diariamente
    • Hospital (do norte-nordeste) perde causa milionária porque teve sua rede invadida e a defesa que seria apresentada na audiência foi parar nas mãos do advogado do demandante — que assim pôde conhecer-lhe a linha de defesa e foi mais fácil derrubá-la
    • É comum a auditoria fisgar senhas bancárias, listas de clientes, preços e estoques, prontuários médicos
  • Segurança da Informação — Pilares
    • A informação segura repousa sobre o tripé abaixo e a ausência de qualquer destes pilares põe a perder a segurança como um todo
    Integridade Confiabilidade Disponibilidade
  • Segurança da Informação — Quando implementá-la?
    • Deve estar presente antes mesmo da informática ir ao ar — tal qual se faz com seguro de saúde ou de automóvel
    • A seguir, os processos de segurança de T.I. com maturidade de padrão internacional
    Monitoria de Logs e Eventos (MLE) Política de Segurança de Informática (PSI) Planejamento da Infraestrutura de Informática (PII) Gestão e Análise de Vulnerabilidades (GAV) Penetration test (pentest)
  • Pentest (penetration test)
    • É uma auditoria da vulnerabilidade da T.I. da empresa
    • Formas mais comuns
      • Blind
        • A área de T.I. do cliente sabe que vai ser auditada e o auditor não sabe o que vai encontrar
      • Double Blind
        • A área de T.I. do cliente não sabe que vai ser auditada — e pode não sabê-lo mesmo depois da auditagem
    • Costuma ser porta de entrada da Triforsec no cliente
    • Pode ser parcial (e.g., externa, interna, por aplicação)
    • Quem o requisita é a diretoria ou o CIO (e.g., ao assumir um CPD)
  • Gestão e Análise de Vulnerabilidades (GAV)
    • Serviço contínuo que dispensa a necessidade de futuros Pentest
    • Busca vulnerabilidades por omissões técnicas
    • Idem para a ausência de patches de segurança (windows)
    • Varre vulnerabilidades conhecidas
    • Reporta vulnerabilidade no momento de sua detecção
    • Gera relatórios periódicos
  • Monitoria de Logs e Eventos (MLE)
    • Análise contínua na busca de anomalias
    • Reporte da anomalia no momento de sua detecção
    • Gera relatórios periódicos
  • Política de Segurança de Informática (PSI)
    • Consultoria que assessora a criação de práticas e regras que regulam, protegem, gerenciam, distribuem informações e planeja a segurança da informação como um todo, incluindo
      • Controles de acessos internos e externos à internet, rede, servidores
      • Criptografia de HD, pendrives, CDs, comunicações
      • Mecanismos de garantia de inviolabilidade de dados — mesmo em caso de sequestro dos computadores da organização
      • Minimização de risco de furtos de dados por invasores virtuais ou locais com acesso à rede (funcionário, cliente, fornecedor, visitante) ou por omissão técnica
  • Planejamento de Infraestrutura de Informática (PII)
    • Aponta fragilidades e tem como referência a Rede Segura Triforsec (de padrão internacional de segurança)
    Servidores Internet Ambiente Internet DMZ (Zona Desmilitarizada) Proteção de 1o. nível: - Retém Spams , Malwares e a maioria dos ataques externos WARM - Web Access Report Manager IDSRG - Intrusion Detection System Report Generation WEB FTP E-mail CRM Internet Proteção de 2o. nível: acesso controlado entre VLANs Ambiente VLAN (Virtual LAN) Servidores Internos VLAN - Vendas & Administração VLAN - Informática VLAN - Diretoria Banco Dados Firewall Triforsec WARM / IDSRG IPbx Aplicativos Rede Roteamento entre VLANs
  • Planejamento de Infraestrutura de Informática (PII)
    • Gestão de Servidores com monitoramento pró-ativo, incluindo
      • Análise de Performance
      • Gerenciamento de acessos de usuários
      • Restricionamento de acesso a sites
  • Obrigado!!