Your SlideShare is downloading. ×
0

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

GTI/ERP 07/12 Segurança da Informação e Legislação

881

Published on

Conteúdo: Segurança da Informação, Principais Ameaças, Meios de Proteção, Legislação. …

Conteúdo: Segurança da Informação, Principais Ameaças, Meios de Proteção, Legislação.

Aula 3 da Disciplina de Gerenciamento de Tecnologia da Informação e ERP do MBA em Gestão de Negócios da Faculdade Estácio do Recife.

Published in: Business
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
881
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
29
Comments
0
Likes
3
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Gerenciamento de Tecnologia da Informação e ERPAula 3 – Segurança da Informação e Legislação FELIPE AUGUSTO PEREIRA felipe.pereira@live.estacio.br | @felipeunu Recife, 2012 1
  • 2. Conteúdo• Segurança da Informação• Principais Ameaças• Meios de Proteção• Legislação 2
  • 3. SEGURANÇA DA INFORMAÇÃO 3
  • 4. Segurança da Informação Confidencialidade Segurança Integridade da Informação Disponibilidade 4
  • 5. Cibercrimes• Prática que consiste em fraudar a segurança de computadores e redes empresariais ou utilizar meios eletrônicos para a realização de crimes• Ex: SPAM, fraudes bancárias, violação de propriedade intelectual, pornografia, invasão de websites, etc. 5
  • 6. Cibercrimes no Mundo• 1. Estados Unidos (23%)• 2. China (9%)• 3. Alemanha (6%)• 4. Inglaterra (5%)• 5. Brasil (4%)• 6. Espanha (4%)• 7. Itália (3%)• 8. França (3%)• 9. Turquia (3%)• 10. Polônia (3%)Fonte: BusinessWeek (2009) 6
  • 7. Cibercrimes no Brasil• Ranking de 2008 – Fração da atividade maliciosa no mundo: 4% – Cibercrimes em geral: 5º lugar – Códigos maliciosos: 16º lugar – Zumbis para SPAM: 1º lugar – Hospedagem de sites phishing : 16º lugar – Bots (PCs controlados remotamente): 5º lugar – Origem dos ataques: 9º lugarFonte: BusinessWeek (2009) 7
  • 8. Incidentes reportados ao CERT.br Fonte: NIC.Br 8
  • 9. Motivações para Cibercrimes• Inicialmente – Ação individual – Status e reconhecimento• Atualmente – Crime organizado – Motivação financeira – Ataques a usuários finais 9
  • 10. Atividade 3.1 (em trio)• Selecione uma empresa e apresente: – Nome – Produtos/serviços – Relevância da segurança da informação para a empresa (justifique sua resposta) 10
  • 11. PRINCIPAIS AMEAÇAS 11
  • 12. Fontes de Vulnerabilidade dosSistemas• Usuários• Linhas de comunicação• Servidores corporativos• Sistemas corporativos 12
  • 13. SPAM• Envio de e-mails não solicitados• Problemas – Redução da produtividade – Sobrecarga da infraestrutura de comunicação – Porta para malwares e outras ameaças – Inclusão do servidor em listas de bloqueio 13
  • 14. Malwares• Malicious Software = software malicioso• Vírus, worms, backdoors, cavalos de tróia, spywares, keyloggers, screenlogers, bots, rootkits• Software mal intencionado• Normalmente disseminados através de websites, e-mails e pen drives• Ações benignas x malignas 14
  • 15. Scanning• Varredura de redes de computadores à procura de vulnerabilidades 15
  • 16. Hackers• Indivíduos que pretendem obter acesso não autorizado a um sistema computacional• Cracker, black hat, white hat• Algumas ações – Invasão de sistemas – Vandalismo – Roubo de informações 16
  • 17. Invasão• Força Bruta• Exploração de falhas conhecidas• Suscetibilidade de computadores com banda larga (IP constante alta velocidade e longo tempo de conexão)• Conexões sem fio 17
  • 18. Scam• Golpe que normalmente objetiva vantagem financeira – Site de vendas ou leilão com preços muito abaixo do mercado, que não serão entregues ou servirão para furto de dados financeiros – E-mail recebido em nome de uma instituição financeira solicitando atuação como intermediário de uma transferência internacional mediante adiantamento 18
  • 19. Spoofing• “Disfarce” de pessoas ou programas através da falsificação de informações• Empresas com material com copyright divulgam materiais distorcidos em redes de compartilhamento para desencorajar o uso• E-mail spoofing – Alteração do remetente de e-mails• Spoofing em ligações – Alteração de informações de quem está originando a ligação 19
  • 20. Phishing• Modalidade de spoofing em que há a tentativa de obter informações importantes através de elementos mascarados como de instituições idôneas• Modalidades – E-mails com falsas informações atraindo para links – E-mails com manipulação de links – E-mails com formulários – Redirecionamento a websites falsos na digitação de endereços verdadeiros – Phishing telefônico – Utilização de popups solicitando informações no acesso a sites verdadeiros 20
  • 21. Phishings Comuns Tema Texto da mensagem Cartões virtuais UOL, Voxcards, Musical Cards, etc. SERASA e SPC Débitos e restrições Governo CPF/CNPJ cancelados, problemas com imposto de renda ou eleições Celebridades, fatos da mídia Fotos e vídeos Relacionamentos Traição, convites para relacionamentos Empresas de telefonia Débitos, bloqueio, serviços Antivírus Atualizações Lojas virtuais Pedidos, débitos Negócios Solicitações de orçamentos, recibos Promoções Vários Programas Novidades, ofertas 21
  • 22. Hoaxes• Boatos com alarmes falsos enviados por e-mail• Podem espalhar desinformação ou ter fins maliciosos• Já houve casos de divulgação por meios de comunicação• Exemplos – Envio de mensagem para n pessoas e obtenção de benefício – Auxílio a pacientes de doenças graves através do envio de mensagens – Produtos contaminados em empresas conhecidas – Seringa com AIDS – Roubo de órgãos 22
  • 23. Fakes• Utilização de identidades falsas em redes sociais e softwares de comunicação instantânea• Identidades de famosos ou conhecidos• Utilizado para acessar serviços sem se identificar ou se fazer passar por outros 23
  • 24. Sniffing• Programa espião que monitora os dados transmitidos através de uma rede• Permite acesso a arquivos, senhas ou conversações em tempo real 24
  • 25. Ataques DoS• Sobrecarga de servidor de rede ou web com falsas requisições• Servidor sobrecarregado não consegue atender as solicitações• Costuma usar bots• Serviço atacado fica indisponível• De 2% a 3% do tráfego de grandes backbones é ruído de DoS 25
  • 26. Ciberterrorismo• Exploração das vulnerabilidades das redes por terroristas, serviços de inteligência estrangeiros ou outros grupos para criar perturbações e prejuízos• Acredita-se que vários países tenham ações de ataque e defesa em desenvolvimento para uma ciberguerra• Preocupação de vários governos 26
  • 27. Funcionários• Ocorrências intencionais de funcionários• Ocorrências intencionais de ex-funcionários• Engenharia social• Falhas na operação de sistemas 27
  • 28. Falhas de software• Softwares comerciais apresentam falhas frequentes – Falhas descobertas são divulgadas e aproveitadas por indivíduos mal intencionados – Patches são lançados para resolver tais falhas• Softwares online podem apresentar falhas através da manipulação de URL – Não proteção de arquivos em servidores online – Acesso a funcionalidades por usuários não credenciados 28
  • 29. Falhas Físicas• Danos a equipamentos• Invasão física• Quedas e falta de energia• Acidentes naturais 29
  • 30. Atividade 3.2 (em trio)• Dentre as ameaças abordadas (SPAM, malwares, scanning, hackers, invasão, scam, spoofing, phishing, hoaxes, fakes, sniffing, ataque DoS, ciberterrorismo, funcionários, falhas de software, falhas físicas), cite as 06 principais a que a empresa selecionada está sujeita e explique qual o impacto de cada uma delas. 30
  • 31. MEIOS DE PROTEÇÃO 31
  • 32. Política de Segurança• Normaliza, padroniza e estabelece critérios mínimos para garantir a integridade, confidencialidade e disponibilidade da informação no ambiente computacional• Requer apoio da alta gestão e todos os funcionários• É específica a cada organização• Define regras de infraestrutura, utilização dos equipamentos, redes, e-mails corporativos, acesso à internet, senhas, etc 32
  • 33. Plano de Contingência• Define ações a serem tomadas na ocorrência de grandes problemas• Inclui ações para restauração dos serviços de computação e comunicação à normalidade 33
  • 34. Controle de Acesso• Conjunto de políticas e procedimentos utilizados pela empresa para evitar acesso indevido a informações• Permissão – Definição das restrições de acesso• Autenticação – Identificação da identidade de um usuário – Senhas, cartões, tokens, biometria, etc. 34
  • 35. Senhas• Senhas longas• Senhas com caracteres especiais (!@#$%&*?<>)• Caracteres repetidos, sequências do teclado, palavras de quaisquer dicionários e dados pessoais devem ser evitados• A senha deve ser alterada periodicamente (de 02 a 03 meses), com utilização de senhas diferentes das anteriores 35
  • 36. Senhas• O uso da mesma senha em diversos sistemas deve ser evitado• Senhas não devem ser enviadas por telefone, e-mail ou software de comunicação instantânea• Senhas não devem ser anotadas, exceto se houver dificuldade para decorar (nesse caso, a anotação deve ser mantida em local seguro) 36
  • 37. O que você acha dessas senhas?• senha • GAFANHOTO• admsenha • asdfg• A3Dkiu0! • 1qaz2wsx• felipe • 1234567890• pereira • 87654321• 01081980 • AcDaz90!• Lionfish • amanda 37
  • 38. Suítes Anti-malwares• Pacotes com soluções antivírus, anti-SPAM e anti-spywares• Verifica os sistemas em busca de arquivos e processos possivelmente infectados• Devem ser atualizados diariamente 38
  • 39. Segurança em E-mails• Desativação recomendada – Abertura e execução automática de anexos – Execução de JavaScript e Java – Modo de visualização de e-mails HTML• Atenção a anexos suspeitos ou de remetentes desconhecidos• Atenção ao clicar em links em e-mails suspeitos (digitar o endereço diretamente no browser é preferível) 39
  • 40. Segurança em E-mails• SPAMs não devem ser respondidos (nem solicitação de descadastramento)• A divulgação de e-mails na Internet deve ser feita com precaução 40
  • 41. Segurança na Navegação na Internet• Atenção à execução de programas Java, Activex e JavaScripts• Popups devem ser bloqueados• Procedência do site e uso de conexões seguras ao realizas transações devem ser conferidos – Cadeado – Validade e propriedade do certificado• Websites de entretenimento de natureza desconhecida são perigosos (ex: pornografia e jogos) 41
  • 42. Privacidade• Atenção com os cookies• Atenção com o bluetooth• Informações não devem ser desnecessariamente divulgadas online (inclusive em grupos e comunidades) 42
  • 43. Segurança na ComunicaçãoInstantânea• Convites de desconhecidos não devem ser aceitados• Atenção para a engenharia social• Atenção para o recebimento de arquivos 43
  • 44. Segurança no Compartilhamento deArquivos• Atenção à configuração de softwares de compartilhamento de arquivos (Kazaa, BitTorrent, Emule, etc.)• Compartilhamentos de pastas devem ser feitos com o uso de senhas 44
  • 45. Segurança de Redes sem Fio• Alteração do SSID e senhas default dos equipamentos• Utilização de protocolos de autenticação robustos (ex: WPA, criptografia AES)• Criação de redes virtuais (VLANs) para visitantes 45
  • 46. Criptografia• Transformação de dados comuns em dados cifrados para que sejam conhecidos apenas pelo remetente e destinatário – Criptografia de dados armazenados – Criptografia de dados trafegados – Assinatura digital – Certificado digital• Criptografia de chave única x chave pública e privada 46
  • 47. Certificado Digital• Arquivo eletrônico com dados de uma pessoa (física ou jurídica)• Armazenado no PC, token ou smart card• Autoridade Certificadora = “cartório eletrônico” 47
  • 48. Firewalls• Sistemas que protegem redes privadas de acessos não autorizados• Controle do fluxo de entrada e saída da rede• Baseado em filtros de pacotes, regras e controles por endereço MAC, IP, etc.• Hardware e/ou software• Geração de logs• Firewalls pessoais 48
  • 49. Mudanças de Padrões• Alteração de portas• Alteração de usuários e senhas de aplicações, redes, etc.• Válido para softwares e hardwares 49
  • 50. Denúncias• SPAMs: rede do remetente e mail-abuse@cert.br• Scams e phishing: rede do remetente e cert@cert.br• Invasões, tentativas, ataques DoS e outros incidentes: rede originária do incidente e cert@cert.br 50
  • 51. Segurança em Software• Aquisição – Evitar pirataria – Atualização constante dos patches – Seleção de bons fornecedores• Desenvolvimento – Atualização das ferramentas e tecnologias de desenvolvimento – Qualificação da equipe – Atenção a boas práticas de engenharia de software 51
  • 52. Backups• Frequência depende da periodicidade de atualização dos dados, do risco e valor da perda• Mídia a ser utilizada dever ser analisada• Atenção ao local de armazenamento 52
  • 53. Ações contra Danos Físicos• Espelhamento de discos• Realização de backups• No-breaks• Segurança física dos ambientes (computadores e demais dispositivos) 53
  • 54. Outras Ações• Treinamento com usuários• O uso de computadores desconhecidos deve ser moderado (dispositivos de armazenamento móvel e dados confidenciais)• Configurações de segurança devem ser feitas bloqueando tudo e liberando apenas o necessário• Tráfego de rede deve ser monitorado 54
  • 55. Cartilha CERT• http://cartilha.cert.br 55
  • 56. Atividade 3.3 (em trio)• Quais desses meios de proteção você identifica na empresa selecionada: política de segurança, plano de contingência, controle de acesso, senhas, suítes anti-malwares, privacidade, segurança em e-mails, navegação na Internet, comunicação instantânea, compartilhamento de arquivos, redes sem fio, criptografia, firewalls, mudanças de padrões, denúncias, segurança em software, backups e proteção contra danos físicos?• Explique como cada um é implementado.• Alguma das ameaças da atividade 3.2 não está sendo contemplada? O que fazer para evitá-la? 56
  • 57. LEGISLAÇÃO 57
  • 58. Legislação• Pirataria• Prova da autoria de crimes eletrônicos• Direito autoral e propriedade intelectual• Questões trabalhistas 58
  • 59. Licenciamento• Freeware – Uso gratuito – Autor detém o copyright e pode impor restrições ao uso – Software não pode ser alterado ou distribuído sem permissão• Domínio público – Não tem copyright – Pode ser alterado e distribuído sem permissão – Normalmente, financiado por governo e criado por universidade e/ou instituições de pesquisa 59
  • 60. Licenciamento• Código aberto – Código fonte é disponibilizado – Outros programadores podem alterar e redistribuir• Shareware – Software comercial distribuído gratuitamente por um período experimental – Deve ser registrado para funcionar após o término do prazo• Demo – Software comercial que apresenta limitação de funcionalidades para testes – Interessado deve adquirir versão completa 60
  • 61. Dúvidas 61

×