Agenda

Conceito de Segurana da Informao;

Direito e Segurana da Informao;
Setores da Segurana da Informao;
Engenharia Social;
Riscos a Segurana da Informao;
Princpios e mecanismos por trs da segurana;
Polticas de Segurana da Informao.

Conceito
A Segurana da Informao se refere proteo existente sobre as informaes
de uma determinada empresa ou pessoa, isto , aplica-se tanto as informaes
corporativas quanto s pessoais. Entende-se por informao todo e qualquer
contedo ou dado que tenha valor para alguma organizao ou pessoa. Ela
pode estar guardada para uso restrito ou exposta ao pblico para consulta ou
aquisio.

Direito e Segurana da Informao
Constituio Federal, art. 5, inciso XIV: Sigilo das
informaes relacionadas intimidade ou vida
privada de algum.
Constituio Federal, art. 5, inciso XXXIV:
Disponibilidade das informaes constantes nos
rgos pblicos.
Cdigo Penal, art. 151: Proteo do sigilo, integridade
e disponibilidade das informaes de carter pessoal
veiculadas atravs dos meios de comunicao.



Setores da Segurana da Informao
A segurana da informao pode ser dividida em oito
partes. As primeiras trs partes constituem a base da
segurana da informao e devem estar corretamente
dispostas ao implementar o resto das partes. No
referente ao resto das partes, a segurana da
informao implementa com a ajuda dos meios
tcnicos. Os mdios utilizam-se para implementar a
segurana da informao em funo de sua
necessidade e dependendo dos recursos disponveis e o
valor do que ter que proteger.
Engenharia Social
Engenharia social termo utilizado para descrever um
mtodo de ataque, onde algum faz uso da persuaso,
muitas vezes abusando da ingenuidade ou confiana do
usurio, para obter informaes que podem ser utilizadas
para ter acesso no autorizado a computadores ou
informaes.
A engenharia social praticada em diversas profisses, de
forma benfica ou no, visando proteger um sistema da
segurana da informao ou atacar um sistema da
segurana da informao.



Exemplos
Exemplo 1: o usurio recebe uma mensagem e-mail,
onde o remetente o gerente ou algum em nome do
departamento de suporte do banco. Na mensagem ele
diz que o servio de internet Banking est
apresentando algum problema e que tal problema
pode ser corrigido se o usurio executar o aplicativo
que est anexado mensagem. A execuo deste
aplicativo apresenta uma tela anloga quela utilizada
para ter acesso a conta bancria, aguardando que o
usurio digite sua senha. Na verdade, este aplicativo
est preparado para furtar senhas de acesso a conta
bancria e envi-la para o atacante
Exemplos
Exemplo 2: algum desconhecido liga para a sua casa e
diz ser do suporte tcnico do seu provedor. Nesta
ligao ele diz que sua conexo com a internet est
apresentando algum problema e, ento, pede sua
senha para corrigi-lo. Caso voc entregue sua senha,
este suposto tcnico poder realizar uma infinidade de
atividades maliciosas, utilizando a sua conta de acesso
a internet e, portanto, relacionando tais atividades ao
seu nome.






Riscos a Segurana da Informao
Nos dias de hoje, as empresas dependem cada vez mais dos
sistemas de informao e da Internet para fazer negcios,
no podendo se dar ao luxo de sofrer interrupes em suas
operaes. Um incidente de segurana pode impactar
direta e negativamente as receitas de uma corporao, a
confiana de seus clientes e o relacionamento com sua rede
de parceiros e fornecedores.
Os incidentes de segurana da informao vm
aumentando consideravelmente ao longo dos ltimos anos
e assumem as formas mais variadas, como, por exemplo:
infeco por vrus, acesso no autorizado, ataques denial of
service contra redes e sistemas, furto de informao
proprietria, invaso de sistemas, fraudes internas e
externas, uso no autorizado de redes sem fio, entre outras.

Riscos a Segurana da Informao
Um dos principais motivadores desse aumento a difuso da
Internet, que cresceu de alguns milhares de usurios no incio da
dcada de 1980 para centenas de milhes de usurios ao redor do
globo nos dias de hoje. Ao mesmo tempo que colaborou com a
democratizao da informao e se tornou um canal on-line para
fazer negcios, tambm viabilizou a atuao dos ladres do
mundo digital e a propagao de cdigos maliciosos (vrus,
worms, trojans etc.), spam, e outros inmeros inconvenientes
que colocam em risco a segurana de uma corporao.
No so apenas as ameaas externas que representam riscos a
uma corporao. Os prprios funcionrios representam alto risco
quando mal-intencionados ou mesmo quando no conscientes
dos riscos envolvidos na manipulao da informao. Dados de
pesquisas apontam que mais de dois teros dos incidentes de
segurana tm origem interna.

Riscos a Segurana da Informao
Juntamente com a difuso da Internet, outros fatores
contriburam para impulsionar o crescimento dos
incidentes de segurana. Um desses fatores o aumento do
nmero de vulnerabilidades nos sistemas existentes, como,
por exemplo, as brechas de segurana nos sistemas
operacionais utilizados em servidores e estaes de
trabalho.
A tendncia que as ameaas segurana continuem a
crescer no apenas em ocorrncia, mas tambm em
velocidade, complexidade e alcance, tornando o processo
de preveno e de mitigao de incidentes cada vez mais
difcil e sofisticado.


Exemplos:
Telefones celulares com cmera podem ser verdadeiras ameaas
segurana, dependendo da caracterstica do negcio da empresa e, em
geral, no esto conectados a nenhuma plataforma que a corporao
possa controlar de maneira efetiva. Qualquer pessoa no ambiente de
trabalho, mal-intencionada, pode utilizar, sem autorizao, um
telefone com cmera para tirar fotos de algo confidencial por
exemplo, um documento sigiloso, o prottipo de um produto ainda em
desenvolvimento e divulg-las com a finalidade de lesar a corporao.

Dispositivos de armazenamento de dados portveis constituem uma
ameaa latente segurana. s conectar um dispositivo de memria
do tamanho de um chaveiro na porta USB de uma estao de trabalho e
qualquer informao que possa ser acessada pode ser copiada. Um
funcionrio mal-intencionado pode gravar quantidades significativas
de informao confidencial da rede corporativa e sair tranqilamente
pela porta da frente sem que ningum se d conta.


Princpios e mecanismos por trs
da segurana
Em segurana da informao, a autenticao um processo
que busca verificar a identidade digital do usurio de um
sistema, normalmente, no momento em que ele requisita
um log in (acesso) em um programa ou computador. A
autenticao normalmente depende de um ou mais
"fatores de autenticao".
O termo "autorizao" muitas vezes confundido com o
termo autenticao, mas apesar de serem relacionados, o
significado de ambos muito diferente. A autenticao o
processo que verifica a identidade de uma pessoa, por sua
vez, a autorizao verifica se esta pessoa possui permisso
para executar determinadas operaes. Por este motivo, a
autenticao sempre precede a autorizao.

Princpios e mecanismos por trs
da segurana
Controle de acesso
O controle de acesso um exemplo comum de adoo de
mecanismos de autenticao. Um sistema computacional, cujo
acesso permitido apenas a usurios autorizados, deve detectar e
excluir os usurios no autorizados. O acesso controlado por
um procedimento que estabelece a identidade do usurio com
algum grau de confiana (autenticao), e s ento concede
determinados privilgios (autorizao) de acordo com esta
identidade. Alguns exemplos de controle de acesso so
encontrados em sistemas que permitem:
saque de dinheiro de um caixa eletrnico;
comunicao com um computador atravs da Internet;
navegao em um sistema de Internet banking.
Princpios e mecanismos por trs
da segurana
Fatores de autenticao
Os fatores de autenticao para humanos so normalmente
classificados em trs casos:
aquilo que o usurio (impresso digital, padro retinal, sequncia de
DNA padro de voz, reconhecimento de assinatura, sinais eltricos
unicamente identificveis produzidos por um corpo vivo, ou qualquer
outro meio biomtrico).
aquilo que o usurio tem (carto de identificao, security token
software token ou telefone celular)
aquilo que o usurio conhece (senha, frase de segurana, PIN)
Freqentemente utilizada uma combinao de dois ou mais mtodos.
A Secretaria da Receita Federal, por exemplo, pode requisitar um
certificado digital (o que se possui) alm da senha (o que se sabe) para
permitir o acesso a uma declarao de imposto de renda, neste caso o
termo "autenticao de dois fatores" utilizado.

Criptografia