Luis Aguiar
So um conjunto de controles, (incluindo polticas, processos, estruturas organizacionais, normas e procedimentos de segurana,) com o objetivo de proteger dados e informaes de clientes e ou empresas, nos seus aspectos de confidencialidade, integridade e disponibilidade.
Andrew S. Tanenbaum
L1
Slide 2
L1 LuisAguiar; 23/09/2011
Coleo de computadores independentes que se apresenta ao usurio como um sistema nico e consistente
Andrew S. Tanenbaum
So sistemas onde a centralizao das informaes no se resume a um ou dois servidores, e sim em grandes servidores de bancos de dados e ou aplicaes que so replicados para os diversos data centers que devem fazer parte do sistema e que passam transparentes ao usurio final.
Luis A. Aguiar
1971 inicio da Internet para fins de comunicao;
1995 inicio da Internet Comercial no Brasil; Implementao de Sistemas Distribudos com
alto custo; Links dedicados com custos altos, ex: REMPAC (R$ 1.500,00 por 64Kbps);
Segurana dos sistemas engatinhando; 1971, primeiro vrus (Creeper) emitia
periodicamente na tela a mensagem: "I'm a creeper... catch me if you can!" (Sou uma trepadeira, agarrem-me se puderem). Para eliminar este virus foi criado o primeiro programa antivirus denominado Reaper.
Internet: Google Apps, Virtualizao(nuvens)
Sistemas de Gerenciamento de Passagens areas ou terrestre;
Sistemas Governamentais tais como: SUS, Receita Federal, Bancos, etc;
Peer to Peer: Emule, Torrent, SETI (Projeto Seti at home que visa procurar em sinais de rdiointerplanetrios algum vestgio de vida extraterrestre.), etc.
Falhas iniciam nos procedimentos de seguranas comuns a quaisquer sistemas tais como: Senhas fracas; Sistema de backup falho ou ausente; Portas abertas e Falhas em sistemas de log; Sistemas sem fio desprotegidas; Falha nas camadas de segurana dos
sistemas operacionais; Trojan humano, engenheiros sociais
disfarados de terceirizados ou semelhante.
90% das falhas vem de dentro da prpria empresa (fonte: CERT-CGI);
Falta de treinamento para os funcionrios; Contratao irregular de terceirizados; Escolha dos softwares de compem o sistema (pirataria); Disponibilizao de acessos restritos sem auditoria; Ausncia de PenTests (testes de penetrao); Falha no descarte de material de trabalho (papel,
smartphones, mdias ticas pendrives) Falta de uma poltica de segurana (interna e externa) Falha na implementao:
politicas, servios, processos, etc
O deputado Hugo Leal (PSC/RJ) apresentou dados de uma pesquisa feita pelo TCU, que revelam: 88% dos 256 rgos da administrao pblica federal tiveram nota inferior a 50 (0 a 100) na avaliao do nvel de governana de TI. E 63% sequer possuem um plano diretor de informtica aprovado e publicado.
A equipe da British Telecom conseguiu descobrir que um BlackBerry pertenceu a um diretor snior de vendas de uma empresa japonesa.Eles recuperaram o seu histrico de chamadas, 249 contatos, sua agenda, 90 endereos de e-mail e 291 e-mails.Isto permitiu determinar a estrutura da sua organizao, o futuro plano de negcios e os principais clientes, projetos de viagem, detalhes sobre a famlia do proprietrio incluindo filhos, estado civil, endereo, datas de consulta e endereos de assistncia mdica e odontolgica, dados de conta bancria e o nmero da licena do automvel.
Emails pessoais
Disponibilizao de acesso irrestrito as mdias digitais (cd, dvd, pen drive, bluethooth etc)
A posio mais alta no ranking de ameaas virtuais no TrojanAutorunINF.Gen (9,14%)
Junto com o WormAutorun.VHG (4,31%) , acumulam quase 14% do total de registros de ataques cibernticos no Brasil. Isto faz com que a funo autorun dos dispositivos removveis abra uma brecha para qualquer tipo de ataque.
Escolha de um ou mais Data Centers; Treinamento (funcionrios e parceiros); Implementar Auditorias; Contratao de uma equipe de segurana da informao; Implementar software de gesto com segurana
aumentada (ssl, java, criptografia forte , vpn, etc); Implantao de Frameworks com processos que objetivem
a segurana (ISO27001, ITIL, COBIT, etc; Implementar Pentests; Implementar protocolo IPV6; Mtodos de reao a eventuais falhas ou vulnerabilidades.
DESCULPE NO EXISTEM RECUSOS FINANCEIROS, AS PRIORIDADES SO OUTRAS (Muitas vezes s desculpa);
PORQUE CONTINUAM FALANDO SOBRE IMPLEMENTAO DA POLITICA? (Executivos no compreendem os reais benefcios);
DESCULPE MUITO COMPLEXO (complexo no significa que deva ser ignorado);
A POLTICA DE SEGURANA VAI FAZER COM QUE EU PERCA MEU PODER?
DataCenter da Microsoft em Santo Antnio,
California46.000m
Espionagem industrial (Invases); Desejo de possuir o produto (CNPJ,
emails, Num. De Carto de Crdito, Numerrios)
Contedo exclusivo aumenta o desejo de acesso para roubar dados (Ex. Endereos, telefones, emails, Cartes de crdito);
Lei para crimes da Internet ainda muito branda ou ausente.
Redao final do Substitutivo do Senado ao Projeto de Lei da Cmara n 89, de 2003 (n 84, de 1999, na Casa de origem)., que altera o Decreto-Lei n 2848, de 07 de dezembro de 1940 - Cdigo Penal e a Lei n 9296, de 24 de julho de 1996, e d outras providncias.
DOS CRIMES CONTRA A SEGURANADOS SISTEMAS INFORMATIZADOS
Art. 285-A. Acessar, mediante violao de segurana, rede de computadores, dispositivo de comunicao ou sistema informatizado, protegidos por expressa restrio de acesso:Pena - recluso, de 1 (um) a 3 (trs) anos, e multa.
Insero ou difuso de cdigo maliciosoArt. 163-A. Inserir ou difundir cdigo malicioso em dispositivo de comunicao, rede de computadores, ou sistema informatizado:Pena recluso, de 1 (um) a 3 (trs) anos, e multa. 1 Insero ou difuso de cdigo malicioso seguido de danoPena recluso, de 2 (dois) a 4 (quatro) anos, e multa.
Divulgao ou utilizao indevida de informaese dados pessoais
Art. 339-C. Divulgar, utilizar, comercializar ou disponibilizar dados e informaes pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuncia da pessoa a que se referem, ou de seu representante legal:Pena deteno, de 1 (um) a 2 (dois) anos, e multa.
A segurana da informao est vulnervel em sistemas distribudos.
Infelizmente no Brasil, a cultura de querer tirar vantagem sempre em alguma coisa, faz com que os detentores de informaes privilegiadas corrompam-se e acabem por vender ou trocar por favores estas informaes, aliado a falta de uma poltica de leis severas e a efetiva aplicao das mesmas para os que praticam atos de cybercrimes.
Um conjunto de Solues tais como: software, hardware, processos, treinamento, implementao de frameworks e auditorias so as formas de se tentar manter a segurana das informaes sejam elas em Sistemas Distribudos ou no seu Servidor Local.
Pense grande.guias no
caam moscas.
Provrbio latino
OBRIGADO
Luis Alberto Lyra de AguiarFormado em Sistemas de Informao.- Trabalhou como Gestor de TI em empresas de grande porte tais como So Paulo Alpargatas(SP), CEPROL(CE), Pagfacil(PB);- Possui mais de 20 anos vivncia em TI;-Possui diversos cursos na rea de TI tais como: COBIT, TCP/IP Microsoft Offcial Curriculun, Windows Server 2003, Segurana da Informao, etc.
Top Related