SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

24
SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS Luis Aguiar

description

Luis Aguiar. SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS. O que é Segurança da Informação?. - PowerPoint PPT Presentation

Transcript of SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

Page 1: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

SEGURANÇA DA INFORMAÇÃO PARA

SISTEMAS DISTRIBUIDOS

Luis Aguiar

Page 2: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

O QUE É SEGURANÇA DA INFORMAÇÃO?

São um conjunto de controles, (incluindo políticas, processos, estruturas organizacionais, normas e procedimentos de segurança,) com o objetivo de proteger dados e informações de clientes e ou empresas, nos seus aspectos de confidencialidade, integridade e disponibilidade.

Andrew S. Tanenbaum

LuisAguiar
Page 3: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

Coleção de computadores independentes que se apresenta ao usuário como um sistema único e consistente

O QUE SÃO SISTEMAS DISTRIBUIDOS?

Andrew S. Tanenbaum

Page 4: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

São sistemas onde a centralização das informações não se resume a um ou dois servidores, e sim em grandes servidores de bancos de dados e ou aplicações que são replicados para os diversos data centers que devem fazer parte do sistema e que passam transparentes ao usuário final.

O QUE SÃO SISTEMAS DISTRIBUIDOS

Luis A. Aguiar

Page 5: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

1971 inicio da Internet para fins de comunicação; 1995 inicio da Internet Comercial no Brasil; Implementação de Sistemas Distribuídos com alto

custo; Links dedicados com custos altos, ex: REMPAC (R$ 1.500,00 por 64Kbps);

Segurança dos sistemas engatinhando; 1971, primeiro vírus (Creeper) emitia periodicamente

na tela a mensagem: "I'm a creeper... catch me if you can!" (Sou uma trepadeira, agarrem-me se puderem). Para eliminar este virus foi criado o primeiro programa antivirus denominado Reaper.

PASSADO DA SEGURANÇA DA INFORMAÇÃO

Page 6: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

Internet: Google Apps, Virtualização (nuvens)

Sistemas de Gerenciamento de Passagens aéreas ou terrestre;

Sistemas Governamentais tais

como: SUS, Receita Federal,

Bancos, etc; Peer to Peer: Emule, Torrent, SETI (Projeto

Seti at home que visa procurar em sinais de rádio

interplanetários algum vestígio de vida extraterrestre.), etc.

EXEMPLOS DE SISTEMAS DISTRIBUÍDOS

Page 7: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

Falhas iniciam nos procedimentos de seguranças comuns a quaisquer sistemas tais como: Senhas fracas; Sistema de backup falho ou ausente; Portas abertas e Falhas em sistemas de log; Sistemas sem fio desprotegidas; Falha nas camadas de segurança dos

sistemas operacionais; “Trojan humano”, engenheiros sociais

disfarçados de terceirizados ou semelhante.

FALHAS DE SEGURANÇA

Page 8: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

90% das falhas vêem de dentro da própria empresa (fonte: CERT-CGI);

Falta de treinamento para os funcionários; Contratação irregular de terceirizados; Escolha dos softwares de compõem o sistema (pirataria); Disponibilização de acessos restritos sem auditoria; Ausência de PenTests (testes de penetração); Falha no descarte de material de trabalho (papel,

smartphones, mídias óticas pendrives) Falta de uma política de segurança (interna e externa) Falha na implementação:

politicas, serviços, processos, etc

FALHAS DE SEGURANÇA EM SDS

Page 9: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

O deputado Hugo Leal (PSC/RJ) apresentou dados de uma pesquisa feita pelo TCU, que revelam: 88% dos 256 órgãos da administração pública federal tiveram nota inferior a 50 (0 a 100) na avaliação do nível de governança de TI. E 63% sequer possuem um plano diretor de informática aprovado e publicado.

EXEMPLOS DE FALHAS DE SEGURANÇA EM SDS

Page 10: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

A equipe da British Telecom conseguiu descobrir que um BlackBerry pertenceu a um diretor sênior de vendas de uma empresa japonesa.

Eles recuperaram o seu histórico de chamadas, 249 contatos, sua agenda, 90 endereços de e-mail e 291 e-mails.

Isto permitiu determinar a estrutura da sua organização, o futuro plano de negócios e os principais clientes, projetos de viagem, detalhes sobre a família do proprietário — incluindo filhos, estado civil, endereço, datas de consulta e endereços de assistência médica e odontológica, dados de conta bancária e o número da licença do automóvel.

EXEMPLO DE FALTA DE POLÍTICAS DE SEGURANÇA

Page 11: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

Emails pessoais

EXEMPLOS DE FALHAS NA POLÍTICA DE SEGURANÇA

Page 12: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

Disponibilização de acesso irrestrito as mídias digitais (cd, dvd, pen drive, bluethooth etc)

EXEMPLOS DE FALHAS DE SEGURANÇA EM SDS

Page 13: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

A posição mais alta no ranking de ameaças virtuais no Trojan AutorunINF.Gen (9,14%)

Junto com o � WormAutorun.VHG (4,31%) , acumulam quase � 14% do total de registros de ataques cibernéticos no Brasil. Isto faz com que a função autorun dos dispositivos removíveis abra uma brecha para qualquer tipo de ataque.

10 MAIORES AMEAÇAS EM 2011

Page 14: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

Escolha de um ou mais Data Centers; Treinamento (funcionários e parceiros); Implementar Auditorias; Contratação de uma equipe de segurança da informação; Implementar software de gestão com segurança aumentada

(ssl, java, criptografia forte , vpn, etc); Implantação de Frameworks com processos que objetivem a

segurança (ISO27001, ITIL, COBIT, etc; Implementar Pentests; Implementar protocolo IPV6; Métodos de reação a eventuais falhas ou vulnerabilidades.

AUMENTANDO A SEGURANÇA

EM SDS

Page 15: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

DESCULPE NÃO EXISTEM RECUSOS FINANCEIROS, AS PRIORIDADES SÃO OUTRAS (Muitas vezes é só desculpa);

PORQUE CONTINUAM FALANDO SOBRE IMPLEMENTAÇÃO DA POLITICA? (Executivos não compreendem os reais benefícios);

DESCULPE É MUITO COMPLEXO (complexo não significa que deva ser ignorado);

A POLÍTICA DE SEGURANÇA VAI FAZER COM QUE EU PERCA MEU PODER?

POLÍTICAS DE SEGURANÇAOBSTÁCULOS DA IMPLEMENTAÇÃO

Page 16: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

DATA CENTERS

DataCenter da Microsoft em Santo Antônio,

California46.000m²

Page 17: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

DISTRIBUIÇÃO DE

DATA CENTERS NO

BRASIL E NO MUNDO

Page 18: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

Espionagem industrial (Invasões); Desejo de possuir o produto (CNPJ,

emails, Num. De Cartão de Crédito, Numerários)

Conteúdo exclusivo aumenta o desejo de acesso para roubar dados (Ex. Endereços, telefones, emails, Cartões de crédito);

Lei para crimes da Internet ainda muito branda ou ausente.

MOTIVAÇÕES PARA REFORÇO NA SEGURANÇA EM SD

Page 19: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

PLC – PROJETO DE LEI DA CÂMARA

Nº 657 DE 2008

Redação final do Substitutivo do Senado ao Projeto de Lei da Câmara nº 89, de 2003 (nº 84, de 1999, na Casa de origem)., que altera o Decreto-Lei nº 2848, de 07 de dezembro de 1940 - Código Penal e a Lei nº 9296, de 24 de julho de 1996, e dá outras providências.

DOS CRIMES CONTRA A SEGURANÇADOS SISTEMAS INFORMATIZADOS

Art. 285-A. Acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso:Pena - reclusão, de 1 (um) a 3 (três) anos, e multa.

Page 20: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

PLC – PROJETO DE LEI DA CÂMARA

Nº 657 DE 2008“Inserção ou difusão de código malicioso”

Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado:Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.§ 1º Inserção ou difusão de código malicioso seguido de danoPena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.

“Divulgação ou utilização indevida de informaçõese dados pessoais”

Art. 339-C. Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal:Pena – detenção, de 1 (um) a 2 (dois) anos, e multa.

Page 21: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

A segurança da informação está vulnerável em sistemas distribuídos.

Infelizmente no Brasil, a cultura de querer tirar vantagem sempre em alguma coisa, faz com que os detentores de informações privilegiadas corrompam-se e acabem por vender ou trocar por favores estas informações, aliado a falta de uma política de leis severas e a efetiva aplicação das mesmas para os que praticam atos de cybercrimes.

Um conjunto de Soluções tais como: software, hardware, processos, treinamento, implementação de frameworks e auditorias são as formas de se tentar manter a segurança das informações sejam elas em Sistemas Distribuídos ou no seu Servidor Local.

CONCLUSÕES

Page 22: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

MENSAGEM

Pense grande.Águias não

caçam moscas.

Provérbio latino

OBRIGADO

Page 23: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

PERGUNTAS

Page 24: SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

Luis Alberto Lyra de AguiarAluno concluinte do curso de Sistemas de Informação.

- Trabalhou como Gestor de TI em empresas de grande porte tais como São Paulo Alpargatas(SP), CEPROL(CE), Pagfacil(PB);

- Possui mais de 20 anos vivência em TI;-Possui diversos cursos na área de TI tais como: COBIT, TCP/IP Microsoft Offcial Curriculun, Windows Server 2003, Segurança da Informação, etc.

MAIS INFORMAÇÕES EM:WWW.LUISAGUIAR.COM.BR