Luis Aguiar

So um conjunto de controles, (incluindo polticas, processos, estruturas organizacionais, normas e procedimentos de segurana,) com o objetivo de proteger dados e informaes de clientes e ou empresas, nos seus aspectos de confidencialidade, integridade e disponibilidade.

Andrew S. Tanenbaum

L1

Slide 2

L1 LuisAguiar; 23/09/2011

Coleo de computadores independentes que se apresenta ao usurio como um sistema nico e consistente

Andrew S. Tanenbaum

So sistemas onde a centralizao das informaes no se resume a um ou dois servidores, e sim em grandes servidores de bancos de dados e ou aplicaes que so replicados para os diversos data centers que devem fazer parte do sistema e que passam transparentes ao usurio final.

Luis A. Aguiar

1971 inicio da Internet para fins de comunicao;

1995 inicio da Internet Comercial no Brasil; Implementao de Sistemas Distribudos com

alto custo; Links dedicados com custos altos, ex: REMPAC (R$ 1.500,00 por 64Kbps);

Segurana dos sistemas engatinhando; 1971, primeiro vrus (Creeper) emitia

periodicamente na tela a mensagem: "I'm a creeper... catch me if you can!" (Sou uma trepadeira, agarrem-me se puderem). Para eliminar este virus foi criado o primeiro programa antivirus denominado Reaper.

Internet: Google Apps, Virtualizao(nuvens)

Sistemas de Gerenciamento de Passagens areas ou terrestre;

Sistemas Governamentais tais como: SUS, Receita Federal, Bancos, etc;

Peer to Peer: Emule, Torrent, SETI (Projeto Seti at home que visa procurar em sinais de rdiointerplanetrios algum vestgio de vida extraterrestre.), etc.

Falhas iniciam nos procedimentos de seguranas comuns a quaisquer sistemas tais como: Senhas fracas; Sistema de backup falho ou ausente; Portas abertas e Falhas em sistemas de log; Sistemas sem fio desprotegidas; Falha nas camadas de segurana dos

sistemas operacionais; Trojan humano, engenheiros sociais

disfarados de terceirizados ou semelhante.

90% das falhas vem de dentro da prpria empresa (fonte: CERT-CGI);

Falta de treinamento para os funcionrios; Contratao irregular de terceirizados; Escolha dos softwares de compem o sistema (pirataria); Disponibilizao de acessos restritos sem auditoria; Ausncia de PenTests (testes de penetrao); Falha no descarte de material de trabalho (papel,

smartphones, mdias ticas pendrives) Falta de uma poltica de segurana (interna e externa) Falha na implementao:

politicas, servios, processos, etc

O deputado Hugo Leal (PSC/RJ) apresentou dados de uma pesquisa feita pelo TCU, que revelam: 88% dos 256 rgos da administrao pblica federal tiveram nota inferior a 50 (0 a 100) na avaliao do nvel de governana de TI. E 63% sequer possuem um plano diretor de informtica aprovado e publicado.

A equipe da British Telecom conseguiu descobrir que um BlackBerry pertenceu a um diretor snior de vendas de uma empresa japonesa.Eles recuperaram o seu histrico de chamadas, 249 contatos, sua agenda, 90 endereos de e-mail e 291 e-mails.Isto permitiu determinar a estrutura da sua organizao, o futuro plano de negcios e os principais clientes, projetos de viagem, detalhes sobre a famlia do proprietrio incluindo filhos, estado civil, endereo, datas de consulta e endereos de assistncia mdica e odontolgica, dados de conta bancria e o nmero da licena do automvel.

Emails pessoais

Disponibilizao de acesso irrestrito as mdias digitais (cd, dvd, pen drive, bluethooth etc)

A posio mais alta no ranking de ameaas virtuais no TrojanAutorunINF.Gen (9,14%)

Junto com o WormAutorun.VHG (4,31%) , acumulam quase 14% do total de registros de ataques cibernticos no Brasil. Isto faz com que a funo autorun dos dispositivos removveis abra uma brecha para qualquer tipo de ataque.

Escolha de um ou mais Data Centers; Treinamento (funcionrios e parceiros); Implementar Auditorias; Contratao de uma equipe de segurana da informao; Implementar software de gesto com segurana

aumentada (ssl, java, criptografia forte , vpn, etc); Implantao de Frameworks com processos que objetivem

a segurana (ISO27001, ITIL, COBIT, etc; Implementar Pentests; Implementar protocolo IPV6; Mtodos de reao a eventuais falhas ou vulnerabilidades.

DESCULPE NO EXISTEM RECUSOS FINANCEIROS, AS PRIORIDADES SO OUTRAS (Muitas vezes s desculpa);

PORQUE CONTINUAM FALANDO SOBRE IMPLEMENTAO DA POLITICA? (Executivos no compreendem os reais benefcios);

DESCULPE MUITO COMPLEXO (complexo no significa que deva ser ignorado);

A POLTICA DE SEGURANA VAI FAZER COM QUE EU PERCA MEU PODER?

DataCenter da Microsoft em Santo Antnio,

California46.000m

Espionagem industrial (Invases); Desejo de possuir o produto (CNPJ,

emails, Num. De Carto de Crdito, Numerrios)

Contedo exclusivo aumenta o desejo de acesso para roubar dados (Ex. Endereos, telefones, emails, Cartes de crdito);

Lei para crimes da Internet ainda muito branda ou ausente.

Redao final do Substitutivo do Senado ao Projeto de Lei da Cmara n 89, de 2003 (n 84, de 1999, na Casa de origem)., que altera o Decreto-Lei n 2848, de 07 de dezembro de 1940 - Cdigo Penal e a Lei n 9296, de 24 de julho de 1996, e d outras providncias.

DOS CRIMES CONTRA A SEGURANADOS SISTEMAS INFORMATIZADOS

Art. 285-A. Acessar, mediante violao de segurana, rede de computadores, dispositivo de comunicao ou sistema informatizado, protegidos por expressa restrio de acesso:Pena - recluso, de 1 (um) a 3 (trs) anos, e multa.

Insero ou difuso de cdigo maliciosoArt. 163-A. Inserir ou difundir cdigo malicioso em dispositivo de comunicao, rede de computadores, ou sistema informatizado:Pena recluso, de 1 (um) a 3 (trs) anos, e multa. 1 Insero ou difuso de cdigo malicioso seguido de danoPena recluso, de 2 (dois) a 4 (quatro) anos, e multa.

Divulgao ou utilizao indevida de informaese dados pessoais

Art. 339-C. Divulgar, utilizar, comercializar ou disponibilizar dados e informaes pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuncia da pessoa a que se referem, ou de seu representante legal:Pena deteno, de 1 (um) a 2 (dois) anos, e multa.

A segurana da informao est vulnervel em sistemas distribudos.

Infelizmente no Brasil, a cultura de querer tirar vantagem sempre em alguma coisa, faz com que os detentores de informaes privilegiadas corrompam-se e acabem por vender ou trocar por favores estas informaes, aliado a falta de uma poltica de leis severas e a efetiva aplicao das mesmas para os que praticam atos de cybercrimes.

Um conjunto de Solues tais como: software, hardware, processos, treinamento, implementao de frameworks e auditorias so as formas de se tentar manter a segurana das informaes sejam elas em Sistemas Distribudos ou no seu Servidor Local.

Pense grande.guias no

caam moscas.

Provrbio latino

OBRIGADO

Luis Alberto Lyra de AguiarFormado em Sistemas de Informao.- Trabalhou como Gestor de TI em empresas de grande porte tais como So Paulo Alpargatas(SP), CEPROL(CE), Pagfacil(PB);- Possui mais de 20 anos vivncia em TI;-Possui diversos cursos na rea de TI tais como: COBIT, TCP/IP Microsoft Offcial Curriculun, Windows Server 2003, Segurana da Informao, etc.