11.08.11 Inicio das aulas. O que est em negrito super importante.

SEGURANA EM TECNOLOGIA DA INFORMAO

Prof. Juliano e-mail: js.ignacio2santanna.br e Juliano.s.ignacio@gmail.com Assistir HAKER 2, pois importante para a matria.

18.08.11 Segunda aula. Opo de estudos: Mapas conceituais C map tods e o VUE. Ser enviado o Cap. I e II.

Um dado uma informao bruta, sem contexto. A partir que se inicia um contexto voc gera uma informao. Exemplo: 12 apenas o nmero fica um dado bruto. Ex: 12 anos de idade J gera uma informao e conhecimento. Informao -> Dado com uma interpretao lgica ou natural dada a ele ou seja a esse dado pelo seu usurio, significa que o que voc fala cabe a outra pessoa o seu entendimento. Que pode representar:

Um alto valor Um grande poder Inteligncia competitiva

Com diferenciais Podendo fazer definio e execuo de estratgia.

Formando garantias juntamente com os diferenciais competitivos: Continuidade

operacional e sade da empresa prolongando o seu tempo de vida til. O alto valor visto com o (ATIVO $) condio econmica da empresa. Da informao parti a coleta e armazenagem que se une com o ATIVO. Pela importncia do ATIVO nasce a necessidade de sua proteo (segurana).

Segurana da informao tem 3 Princpios:

1. Confidencialidade: A proteo de dados e informao o

saber mais por tica e respeito a empresa o colaborador no repassa para outro setor: Ex: Salrios.

2. Disponibilidade: Informao integra e verdadeira, mais com

bloqueios e senhas para seu acesso.

3. Integridade: (Pesquisar).
Segurana da Informao: Deve respeitar:

Autenticidade garantir que a informao autentica. No repdio Quando voc nega uma informao, Ex: dizer que no foi voc que fez tal ao no sistema, sendo que isso est registrado pelo prprio sistema. Legalidade Cumprir as bases das leis e contratos firmados, tais como no repassar ou transferir senhas e login que so absolutamente do seu poder. Privacidade Garantir apenas quem tem direito a tal informao. Auditoria COBIT garante que sistemas digitais possam ser auditveis

Partindo para a tecnologia:

Dentre a entrada e a Sada deve haver e feedback traz informa es

Ambiente Organizao Sistema de informao:

Trs processos que garante a forma com que possa sistematizar a informao dentro da empresa

Dados de entradas; Processar e Classificar de modo Pblico Confidencial Interna Secreta. Sada de informao

Fornecedores Clientes CR M BS Ag. Reguladores Acionistas Concorrentes

Isso tudo o Ciclo de vida da informao: Manuseio Armazenamento

Transporte Descarte importantssimas descartadas descartem. informaes que devem ser

25.08.11 Terceira Aula. Ameaa qualquer ao que possa agir sobre um ATIVO -> Informao atravs de uma vulnerabilidade gerando conseqentemente com IMPACTO. E no existe ameaa sem Vulnerabilidade e vise e verso. Tipos de Ameaas:

Ameaa inteligente: Existe potencial tcnico e operacional para explorar uma

vulnerabilidade. Ex: Pessoas qualificadas e formadas no assunto. (Possibilidade).

Ameaa de Violao: Existe quando h potencial de violao da segurana, podendo ser

ate uma ameaa involuntria. (Possibilidade).

Ameaa de Analise: Analise das probabilidades das concorrncias de segurana. Ameaa Conseqncia: quando h a violao da segurana como resultado da ao
de um ameaa. Ou seja houve a invaso, assim parte para o acontecimento concreto. (Fato). As ameaas tambm so separadas em Grupos tais como:

Ameaas Naturais So decorrentes de fenmenos da natureza como Incndios

naturais, enchentes, terremotos, poluio, etc.

Ameaas Involuntrias - Inconseqentes, causadas pelo desconhecimento e causadas

por acidentes, erros, falta de energia, etc.

Ameaa Voluntaria Proposital, causadas por agentes humanos como invasores,

espies, ladres, criadores e disseminadores de vrus, incendirios, etc. ATAQUES. Assalto ao sistema de segurana que deriva de uma AMEAA INTELIGENTE- O ataque sempre voluntario, que sempre planejado. Tipos de Ataque:

Ataque Ativo: Como resulto altera os dados. Ataque passivo: Como resultado libera dados. (liberao de dados a amostra para outras pessoas). Ataque destrutivo: Negao de dados. (A excluso dos dados, gerando danos ou negando a informao).

Formas de Ataque:

Interceptao: A informao chegando para o destinatrio chega tambm para um terceiro, podendo dar essa fonte de informao ao mesmo sem nem estar sabendo.

Interrupo: A informao enviada ao seu destinatrio bloqueada. Modificao: Quando a informao alterado no meio do caminho antes de chegar ao destinatrio. Personificao: O grande problema so as redes sociais pois no traz garantia, a pessoa pode implantar informaes falsas e se passar por outras. Esse o maior perigo hoje.

Vulnerabilidade:

o o

Ponto onde qualquer sistema suscetvel a um ataque ou seja so os pontos fracos das empresas, sistemas e segurana, sem exceo. Todos os ambientes seja eles qual for, so vulnerveis, tanto por ameaas naturais, involuntrias e voluntarias, pois NO existe ambientes totalmente seguros. Identificar as vulnerabilidade um aspecto ESSENCIAL na identificao de medidas adequadas na segurana.

Apenas informaes: DoS: para travar o e-mail da empresa s mandar um e-mail com o tamanho de 5 MB, o que faz travar e cair a rede ou deixa ela bem lento. I.P nada mais que um endereo de site, ex: www.uol.com.br que transformado em numerao que at o momento varia de 5 a 250, formando-se da seguinte forma: I.P 231.127.12.5. www.busuu.com Site para aperfeioamento em lnguas tais como Ingls, Espanhol e etc.

01.09.11 Quarta aula. PMBOK - Escopo Tarefas Custos: dentre isso os recursos a serem utilizados tais como Recursos Humanos (Gente) ai vem a qualidade da informao, com as pessoas e tento que ter total qualidade da comunicao trazendo com isso os Riscos e com tudo a Aquisio de contratos etc. com o objetivo da Qualidade fazendo tudo gerar uma integrao (Plano de interao) juno de tudo que se no meia Projeto. Planejamento de risco fazer algo pensando no que e como agir.

E Aquisi o
Qualidade

RH

C Risco

T Comunica

Autorizao diferente de autenticao.Autorizao: Voc ter acesso de outras formas. Autenticao por senha, digital ou algo que identifique a pessoa. Mecanismos Para o controle de Segurana.

Autorizao - Lista de Controle de acesso (Conceder direitos e negar direitos)

Assegura

Autenticao - Para ter certeza de que quem afirma ser. Mtodos de identificao: o o Positiva (O que voc sabe Ex: Senha) Proprietria (O que voc tem) Biomtrica (o que voc )

Dispositivos de HW e SW de Segurana:

FIREWALL: Refora a segurana entre a rede interna e uma rede no-confivel (Internet). Pode ser: PC, roteador, equipamento especifico, etc. Classes Filtros de pacotes: Permite ou no a passagem de dados. Servidor Proxy: Permite ou no a conexo de servios de T.I

IDS (Intrusion Detection System): Automatiza a tarefa de analisar dados dos auditados (LOG) -> Sistema operacional, Banco de dados, aplicaes. (Ocorrncias) ele detecta algo estranho e levanta os dados para que a pessoal faa uma analise.

Privacidade

Criptografia: Um conjunto de tcnicas usadas para manter a informao segura.(O embaralho da informao).Dois tipos:

Simtrica (Chave Privada) = Mesma chave nos 2 lados. Cliente/Empresa o

problema e se algum da empresa use seu senha para alterar algo, ou seja a ocorrncia ser no seu nome.

Assimtrica (Chave Pblica) = Quem transmite possui uma chave Privada e

quem recebe, uma Chave Publica. ( hoje o que garante a segurana digital).

ICP Infraestrutura de Chave Pblica que garante a confiabilidade de chaves publicas de criptografia. www.icp.gov.br

Atrela/Liga as chaves pblicas s emitidas.

Importncia: Segurana no fornecimento de ser vios de autenticao norepdia, gerao de provas (LOG) integridade de dados, confidencialidade para e-business.

VPN Virtual Private Network: o uso de uma rede pblica (Internet) com a segurana e criptografia para conectar pontos autorizados.

Pode ser usado em: Intranet, Extranet ou Acesso remoto.

08.09.11 Quinta aulas SLA Service Level Agrement (Acordo de nvel de Servio Documento). Est ligado a qualidade. Extrema importncia nesse tema:
Tercei ro Empr esa

Servi o # Qualidade - SLA # Segurana

1. Objetivos e escopo de acordo.

2. Polticas de acordo.

3. Atualizao do SLA. 4. Responsabilidade. 5. Inventario dos servios e atividades. (relao de todos os servios abordados nesse
documento). 6. Gerenciamento de segurana e problema.

7. Determinao de nveis de severidade, prioridade, objetivos e valores.

8. Penalidade e benefcios por nvel de servio.

9. Medio do desempenho.(Aquilo que voc no consegue medir, voc no consegue

controlar). Leis fundamentais da segurana de T.I:

1. Segurana do lado do cliente no funciona (A segurana sempre est na rede por isso que
existe banco de dados).

2. Voc no pode trocar chaves de criptografia com segurana sem uma informao
compartilhada (HTTPS: O s Assegura que o site tem uma segurana criptogrfica onde os
dados chegara ao seu destino de forma segura, caso contrario essa informao pode chegar clara para o cliente, essa invaso conhecida como Man-in-the-middle Homem no meio).

3. No existe proteo total contra cdigo malicioso (Manter sempre o anti-vrus atualizado).

4. Qualquer cdigo malicioso pode ser completamente modificado para evitar deteco de
assinatura (Segurana por mudanas de assinatura e cdigos, evita vrus, e roubo de dados).

5. Os firewalls no podem proteg-lo 100% contra ataques (Proteo e controle de uso dos
sites, bloqueia o que a pessoa desejar na pagina da internet, por exemplo: site de jogos ou pornogrficos, ele no 100% seguro pois so vrios sites a ser bloqueados).

6. Qualquer IDS pode ser burlado (Sistema de deteco de intruso) 7. Algoritmos criptogrficos secretas no so seguros (No so seguros, pois so de cdigos
abertos, ele Open-Source, qualquer pessoa pode ver. No mesmo pode ser buscar solues para possveis falhas.)

8. Se uma chave no for necessria, voc tem codificao (Criptografia com senha e
codificao a base de cdigos.)

9. Para que um sistema comece a ser considerado seguro, precisa submeter-se auditoria
externa. (Chamar algum de fora para ver possveis erros que as vezes passam batidos.)

10.Segura atravs de obscuridade no funciona

As 10 Leis imutveis de segurana. Da 1 a 4 so aqueles tipos de e-mails, Veja nossas fotos desse final de semana. 5 - fala das senhas fracas O Melhor modo de fazer senha misturar nmeros e letras. 6 - Administrao confivel. 7 - Anonimato no existe nem dentro e nem fora da internet, tudo rastreado.

15.09.11 Sexta aula. Laboratrio (Tabela Dinmica).

22.09.11 Stima aula. Reviso: A importncia da informao Juno de trs pontos que d valor para a informao:

Processos / Pessoas e Tecnologias.

2 Bimestre Inicio 13/10/11 Polticas de segurana (Cap.VII) Definindo uma poltica de segurana de INFORMAO. Poltica de segurana a formalizao do desejo de Proteger a informao da empresa.(estamos falando de uma necessidade). A partir do momento que a Poltica de segurana se encontra em um documento ela se torna um Mecanismo para Proteger a informao a quais so dados e processos importantes. (recursos). O mecanismo define os padres de segurana para acesso aos dados e processos importantes. Esses padres de segurana so a fim de decidir: O que proteger e por qu? O que proteger primeiro X custo? Qual o valor da segurana? Dizer no se necessrio e sustent-lo Sobre o desempenho da segurana

Politica de segurana estabelece responsabilidades e princpios institucionais. Princpios institucionais em como: Proteger Controlar Monitorar Recursos computacionais e conseqentemente os dados e processos importantes da empresa.

Responsabilidades quanto s: Ameaas riscos e impactos Funes de segurana

Sejam elas voltadas para: Fsica (CPU no cho, fios maus conectados), Organizacionais (Confirmao de e-mail, processos decorrentes como decises), Recursos computacionais (Usurios e senhas de modo a barrar-se no tiver autorizao, isso poltica de segurana),

Organizacionais eles so integrados com os princpios institucionais (necessrios a garantia de integrao). Integrados ao Planejamento estratgico e as metas (objetivo) de negocio.

Planejamento Estratgico a qual possui: PDI (Plano diretor de informtica), PEI (Plano estratgico de informtica) ou PDTI (plano diretor da tecnologia da informao), onde so determinadas a poltica de segurana. Com tudo o objetivo o plano de montar um recurso computacional de modo seguro. ____________________________________________________________________________ Algumas armadilhas a ser observadas.

1. Prioridade: Tem sempre que haver um tempo X disponvel, tudo no seu tempo para que
no aja falhas na segurana. Mais sempre lembrando que o bom inimigo do timo ou seja melhor ir mexendo no que j est sendo feito do que para e esperar um grande tempo at que esteja tudo timo.

2. Poltica Interna: Tudo que a de ser mudado pode gerar uma crise humana, ou seja, a
falta de habito exemplo senhas nas portas ou carto mais senhas e etc., pode gerar uma resistncia da cultura.

3. Propriedade: Feudos so grupos. Antigamente formados como feudalismo, Empresa

hierrquica existe muitos feudos, onde os grupos se acham donos dos processos aonde deixa fragilizada a polticas de seguranas. As empresas que no tem grupos de feudos so as que trabalham por gesto de projetos ou gesto de resultados por seu giro no conhecimento especifico em reas e nunca trabalham varias vezes no mesmo projeto ou com as mesmas pessoas. Exemplos: Google. 4. Dificuldades para ESCREVER: um dever saber escrever na lngua correta e clara de para montagem de um projeto. Sem deixar margem de duvidas.

Segunda aula 20.10.11 Divises da Poltica de Segurana. Tipos de texto: Estratgico:

Bom senso Procedimento: Alinhamento com os valores da empresa (Rumo/Direo) Misso, Viso, Valores. Estamos falando Padronizao de procedimentos.

Ttico:

Padronizao de ambiente: Equipamentos, Software, Senhas (fortes), Utilizao de e-mail (forma tica da utilizao), cpias de segurana

(Backup), segurana fsica (Carrinhos na CPU para que a maquina no fique no cho), etc. Estamos falando de Padronizao dos processos Operacional:

Detalhamento para garantir a continuidade do negocio: necessrio a padronizao detalhada de atividades tarefas, pois as pessoas possuem conhecimentos e praticas diferentes.

As polticas de segurana que ir descrever as: Barreiras de Segurana.

Ameaas: Desencorajar; Dificultar; Discriminar; Detectar; Deter; Diagnosticar Esse so os 6D, voltados para o Negocio Ativo

1D - Desencorajar: a simples presena de uma cmera (Mesmo Falsa), um aviso de alarme, campanha e/ou treinamento sobre polticas de segurana, etc.; 2D - Dificultar: dispositivos de autenticao; 3D - Discriminar: autorizao (Direitos de Acessos). 4D: - Detectar: monitoramento e auditoria; 5D: - Deter: conter a ao de ameaa; j ultrapassou a 4 barreira j se torna mais grave pois houve brechas nos outros procedimentos e conter a ao por que j h uma infiltrao j houve uma ao. 6D: - Diagnosticar: continuidade de processo de gesto de segurana e, retornos ao inicio ciclo; PDCA,toda a avaliao em cima de todos os processos buscando sempre uma melhoria continua.

o o o o

Gerenciamento de Risco. Conhecimento:

Uma das ferramentas mais poderosas no gerenciamento de risco, conhecimento o acumulo de: Quanto mais voc e melhor sabe gera a diminuio de riscos.

Informao: Quanto mais voc sabe e melhor sabe gera a diminuio de riscos: Tratada os aspectos de:

Disponibilidade Para todos. Integridade Informao verdica Confidencialidade Viso apenas para as pessoas de direito. Autenticidade Demonstra que venho de uma fonte confivel.

Onde todas essas informaes representam um: Ativo Portanto deve-se proteger a INFORMAO.

Probabilidade de um Evento (Ocorrncias) X Conseqncia do Evento (Ocorrncias) = RISCO. Probabilidade de um evento: Ameaas. Oportunidades.

Conseqncia do Evento: Danos Materiais. Inteno Imagem Multas, etc.

Terceira Aulas 27.10.11 Plano de Continuidade um plano para a resposta de emergncia, operaes de backup e, recuperao aps um evento (Desastre) em um sistema (ou parte de uma poltica de segurana), para assegurar a disponibilidade de recursos de sistemas crticos e, para facilitar a continuidade das operaes durante determinados eventos (crise). Um Plano de Contingncia Corporativo prov a avaliao de todas as funes de negcios, juntamente com a analise do ambiente dede negcios em que a empresa se insere, ganhando-se uma viso objetiva dos riscos que ameaam a organizao, desta maneira, a empresa poder evitar que interrupes mais serias em sua infra-estrutura operacional possam afetar sua sade financeira. *Evento: a concretizao de uma ameaa previamente identificao, podendo ou no obter sucesso. Processos de Negocio dos riscos de: Inoperncia Paralisao

de RISCOS originam os EVENTOS (Ataques e ameaas a pontos vulnerveis da empresa) monitora os PLANO DE CONTINUIDADE aplicados aos PROCESSOS DE NEGOCIO. ANALISANDO RISCOS: 1. Quais so os princpios negcios da empresa? 2. Quais so os fatores de risco operacionais que podem afetar seriamente os negcios da empresa?

3. Qual seria o impacto mas receitas geradas pelos negcios da empresa se um ou mais fatores de riscos se manifestassem? 4. Como a empresa est preparada para lidar com o inevitvel ou o inesperado? TIPOS DE PLANOS DE CONTINGNCIA

1. Plano de ADM da crise: definir posso a passo todas as medidas para o estado de
vigilncia e aes de resposta emergenciais, s quais devem estar documentadas e definidas as equipes de planto responsveis pela sua execuo, at a sua normalidade;

2. Plano de Continuidade Operacional: definir os procedimentos para contingenciamento

dos ativos que suportam cada processo de negcio no menor prazo possvel, (Mitigar) minimizando impactos ao negcio; (Mitigar reduzir ao Maximo).

3. Plano de Recuperao Desastres: definir os procedimentos de recuperaes e

restaurao funcionalidade dos ativos afetados, a fim de restabelecer o ambiente e as condies originais de operaes; * FCS (Fator Critico de Sucesso Tudo aquilo que faz o seu negocio ir bem) estabelecer adequadamente os gatilhos de acionamento para cada plano de contingncia, evitando o acionamento prematuros ou tardios.

Quarta Aula 03.11.11. Auditoria de S.I Preocupa-se em aumentar o controle sobre o processamento de dados. Tornou-se ESTRATGIA o Interdependente da Seg. da informao para produzir os efeitos desejveis a empresa. o Verifica-se a implementao est em conformidade com os requisitos.

Tornou-se ESTRATGIA o Como as tcnicas de PD e as maneiras de burlar os controles v em evolvido de maneira rpida, os auditores devem sempre estar atentos s mudanas.

Avalia

Examina

Descobre

Pontos Falhos

Eficcia/Eficincia

Auxilia os Negcios Legislao A Segurana da informativo possui grande importncia para a sociedade moderna, porm, a legislao brasileira ainda no est to consolidada como a americana, mais, j existem dispositivos legais sobre assuntos relativos a informtica, direitos autorais e sigilo da informao.

Crime Digital: um crime de meio. No faltam leis para punio dos crimes , falhas preparo para lidar com atos ilegais por estes meios. Legislaes Especificas: o o 9296196: Sigilo da transmisso de dados; 9983/00: Divulgao de segredo (Senhas, Dados invadidos);

A Questo Humana na Segurana da Informao: De que adianta toda a proteo tecnolgica, se: o o o Esquea porta aberta? No tem controle e conscientizao? No existe confidencialidade?

Grupos que visam alcanar seus objetivos e atender suas necessidades.

Criam

Atividades que produzem um resultado

Estratgi co _____________________________ Pessoas Processos Tti _ co_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

Operaciona

Tecnologia

Utilizam Ferramentas

Agilizam e aumentam a qualidade

So as pessoas que protegem e executam os diversos processos dentro da empresa.