boas práticas em segurança da informação
TRANSCRIPT
![Page 1: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/1.jpg)
Prof. Rodrigo Santa Maria 30/09/2014
Boas Práticas em Segurança da Informação
![Page 2: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/2.jpg)
O objetivo desta apresentação é introduzir os conceitos relacionados à Segurança da Informação e sugerir alguns cuidados.
Conceitos - Contextualização sobre o assunto.
Números - Sobre o atual cenário dentro da Segurança da Informação.
Dicas - Sugestões práticas para evitar problemas de segurança eletrônica.
Antes de começarmos…
![Page 3: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/3.jpg)
Rodrigo Santa MariaEmpresário e Professor
Universitário
Sobre o Autor• Bacharel em Ciência da Computação pela
PUC Minas; • Especialista em Gerenciamento de
Projetos com MBA Executivo Internacional pela Fundação Getúlio Vargas e Ohio University College of Business – USA.
• Ex-Desenvolvedor de Aplicações da IBM; • Professor universitário do curso de Análise
e Desenvolvimento de Sistemas no Centro Universitário Octávio Bastos – UNIFEOB;
• Empresário fundador da DigitallyMade Desenvolvimento Web;
• Diretor-Presidente e co-fundador do Instituto Internacional de Ideias. !
Contato • Email: [email protected]
![Page 4: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/4.jpg)
Para refletir…
"A desconfiança é a mãe da segurança."
!
Madeleine Scudéry - Ficou conhecida como a primeira mulher literata de França e do mundo.
![Page 5: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/5.jpg)
PORTANTO…
A Informação é um ativo que, como qualquer outro, possui importância para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegida.
DefiniçõesINFORMAÇÃO: Conjunto de dados que possuem valor para um indivíduo ou organização. É o resultado do processamento, manipulação e organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que a recebe.
SEGURANÇA DA INFORMAÇÃO: Proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.
![Page 6: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/6.jpg)
Antigamente, as informações eram armazenadas apenas em papel e a segurança era relativamente simples…
Hoje, com o constante avanço tecnológico, o uso cada vez maior de computadores e das redes, sobretudo a Internet e aplicações, aspectos relacionados a segurança das informações estão mais complexos, exigindo equipes e métodos de segurança cada vez mais sofisticados.
Contextualização
![Page 7: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/7.jpg)
Confidencialiade ou Privacidade Garantia de que os dados só serão acessados somente por pessoas autorizadas (sigilo, confidencial).
Disponibilidade Garante que um sistema estará funcionando sempre que for requisitado (estar disponível, acessível).
Autenticidade Garante a identidade de um usuário ou sistema com que se realiza uma comunicação (ser autentico, ou seja, ser ele mesmo).
Princípios Básicos da Segurança da Informação
![Page 8: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/8.jpg)
Integridade Garante que uma mensagem (dado, e-mail, arquivo, etc.) não foi alterado sem autorização (ser íntegro, manter-se o mesmo).
Não Repúdio Garante que um autor não consiga negar falsamente um ato ou documento de sua autoria. Isto é condição necessária para a validade jurídica de documentos e transações.
Confiabilidade Garante que um sistema funcionará de forma eficiente e eficaz, de acordo com suas atribuições e funcionalidades (o sistema vai “cumprir seu papel”, vai fazer o que tem que fazer, no mínimo).
Princípios Básicos da Segurança da Informação
![Page 9: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/9.jpg)
• Defeitos de Hardware (Computadores, Servidores, Discos, etc);
• Facilidades no Acesso Físico ;
• Hackers (Usuários que invadem sistemas);
• Ataques Deliberados;
• Spams (Emails Não Solicitados);
• Malwares (Programas Maliciosos);
• Scams (Golpes);
Ameaças à Segurança
![Page 10: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/10.jpg)
Vírus É um programa que se anexa a um arquivo hospedeiro (ou seja, o vírus aloca seu código dentro do corpo do arquivo hospedeiro) e de lá tenta se copiar para outros arquivos. Só entra em ação quando seu arquivo hospedeiro é executado.
Principais Programas Maliciosos
![Page 11: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/11.jpg)
Worm (verme) É um programa que se auto replica. É projetado para tomar ações maliciosas após infestar um sistema, além de se auto replicar, pode excluir arquivos ou enviar documentos por email.
Principais Programas Maliciosos
![Page 12: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/12.jpg)
Trojan (Cavalo de Tróia) É um programa disfarçado de um programa legítimo, que esconde objetivos maliciosos, como apagar dados, roubar informações e abrir portas de comunicação para que se possa invadir o computador.
Principais Programas Maliciosos
![Page 13: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/13.jpg)
Spyware Programa que monitora as atividades de um sistema e envia as informações a terceiros.
Keylogger: Registra tudo o que é digitado pelo usuário e as envia para o invasor.
Screenlogger: Registra em forma de imagem as teclas digitadas pelo usuário e as envia para o invasor.
Principais Programas Maliciosos
![Page 14: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/14.jpg)
Engenharia Social (HOAX) Tipo de golpe, pelo qual alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
Principais Programas Maliciosos
![Page 15: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/15.jpg)
Phishing SCAM Tipo de golpe para obter dados de usuários desavisados ou fazê-los abrir arquivos com programas maliciosos para obter senhas de banco, números de cartão de crédito, etc.
Normalmente implementado por meio de email (spam), através do envio de uma mensagem ilegítima que aparenta pertencer a uma instituição conhecida.
Principais Programas Maliciosos
![Page 16: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/16.jpg)
Alguns Números…
![Page 17: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/17.jpg)
60% dos dados vazados de uma empresa é de responsabilidade do usuário da própria empresa. (Fonte: CGI)
1 em cada 3 computadores atualmente estão infectados por algum tipo de programa malicioso. (Fonte: UOL Segurança Online)
1 em cada 30 usuários é vítima de roubo de identidade nos Estados Unidos. (Fonte: UOL Segurança Online)
3.23 Milhões de pessoas já tiveram sua identidade virtual roubada. (Fonte: UOL Segurança Online)
x
x
x
x
![Page 18: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/18.jpg)
Uso inapropriado de identidade
OS TIPOS MAIS COMUNS
O uso inapropriado de identidade acontece quando uma pessoa consegue se passar por outra para obter acesso a serviços ou benefícios da outra. !Fonte: UOL Segurança Online.
35% Uso indevido da Conta Bancária64.1%
Uso indevido do Cartão de Crédito
14.2% Uso Indevido de
Informações Pessoais
![Page 19: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/19.jpg)
46% Instalaram antivírus em
seus computadores.
23% Mudaram de banco.
21% Mudaram de operadora de cartão de crédito.
Atitudes tomadas após golpes financeiros
Fonte: UOL Segurança Online.
![Page 20: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/20.jpg)
Smartphones
7%Dos usuários de smartphones já foram vítimas de roubo de identidade. !
!
Caso atual: Roubo de fotos de celebridades de dentro dos servidores do iCloud da Apple.
Fonte: UOL Segurança Online.
![Page 21: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/21.jpg)
11% Phishing
(Golpe roubo de informações)
As maiores ameças no Brasil
OS TIPOS MAIS COMUNSTodos os anos, milhares de brasileiros
são vítimas de ataques na Internet. !
Fonte: UOL Segurança Online.
19% Invasão de Perfis/
Redes Sociais
64% Vírus/Malware de computador
![Page 22: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/22.jpg)
Saiu na Mídia
![Page 23: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/23.jpg)
![Page 24: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/24.jpg)
![Page 25: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/25.jpg)
![Page 26: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/26.jpg)
E agora? Como nos proteger?
![Page 27: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/27.jpg)
Mecanismos de Segurança
CONTROLE FÍSICO São barreiras que limitam o contato ou acesso direto a informação ou a infra-estrutura (que garante a existência da informação) que a suporta. Ex: Portas, salas, câmeras, guardas, prédios, muros, etc; !
!
CONTROLE LÓGICO São barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado. Ex: firewall, senha/pin, biometria, smartcards
![Page 28: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/28.jpg)
Prevenções
BACKUP Realizar Backup em disco externo ou na nuvem (cloud), ou seja, em servidores remotos. !
ANTI-VIRUS Possuir Anti-virus e Anti-Spyware instalado e configurado para atualização automática e frequente. !
SOFTWARE LEGÍTIMO Utilizar softwares originais. !
ATUALIZAÇÕES RECORRENTES Manter o sistema operacional (Windows, OSX, Linux) sempre atualizado para corrigir eventuais falhas (ativar atualizações automáticas no painel de controle).
![Page 29: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/29.jpg)
Anti-Spyware
São programas cujo objetivo é tentar eliminar do sistema, através de uma varredura, spywares, keyloggers, trojans e outros malwares.
![Page 30: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/30.jpg)
Prevenções na Internet
• Navegar conscientemente na Web.
• Não clicar em links suspeitos recebidos por e-mail.
• Não executar arquivos anexados a e-mails, sem antes examiná-los.
• Evitar sites que pareçam suspeitos e não clicar em links de janelas Pop-ups.
• Utilizar sites seguros ao enviar dados confidenciais.
• Utilizar senhas fortes em qualquer tipo de cadastro.
• Utilizar certificados digitais.
• Possuir firewall instalado e ativo (computador ou de rede).
![Page 31: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/31.jpg)
Site Seguro
![Page 32: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/32.jpg)
Criptografia
• É uma técnica para tornar a informação ilegível, conhecida apenas pelo
remetente e seu destinatário (detentores da "chave secreta"), o que a torna
muito difícil de ser lida por alguém não autorizado.
![Page 33: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/33.jpg)
Criptografia de E-mail GRÁTIS!
• A Comodo, empresa de emissão de certificados de segurança, oferece
gratuitamente um certificado para criptografia de e-mails.
• Acesse: https://www.comodo.com/home/email-security/free-email-certificate.php
![Page 34: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/34.jpg)
Criptografia de E-mail GRÁTIS!
Email criptografado recebido:Escrevendo um email criptografado:
![Page 35: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/35.jpg)
Senhas
![Page 36: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/36.jpg)
Senhas• Senhas longas e complexas. Ex: mínimo de 07 caracteres, incluindo letras
maiúsculas e minúsculas, números e caracteres especiais (ex: @ # $ % & *);
• Não utilizar nomes próprios, sobrenomes, datas de nascimento, parte do
CPF, etc;
• Alterar regularmente por sua iniciativa própria ou de acordo com a política
da instituição (Ex: a cada 30 dias);
• Seguir corretamente a política de senha do site ou organização;
• Jamais salvar senhas em cybercafés, Llan-houses, computadores públicos
ou de terceiros;
![Page 37: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/37.jpg)
Certificados Digitais• É um documento eletrônico que contém informações que identificam uma
pessoa, uma máquina ou uma organização na Internet. Este documento
garante a nossa identidade de forma incontestável, porque está assinado
digitalmente por uma a Autoridade Certificadora - AC, uma espécie de
“Cartório Digital”). Exemplo: Comodo.
![Page 38: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/38.jpg)
Certificados Digitais
![Page 39: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/39.jpg)
Assinatura Digital• É o recurso que permite associar uma mensagem ou documento a um autor,
garantindo a autoria e a integridade da mensagem;
• É o equivalente a nossa assinatura real e autenticada, sendo que no mundo digital;
• Necessidade de utilização do PIN (Personal Identification Number);
• Exemplo de assinatura digital de documentos: Adobe EchoSign (possui versão grátis).
![Page 40: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/40.jpg)
Firewall
• É uma solução de segurança baseada em hardware ou software (mais
comum) que, a partir de um conjunto de regras ou instruções, analisa o
tráfego de rede para determinar quais operações de transmissão ou
recepção de dados podem ser executadas.
![Page 41: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/41.jpg)
Referências• Boas práticas em tecnologia da informação,
André Gustavo, TCE-RN.
• Site Info Wester - www.infowester.com.br
• Site UOL Segurança - seguranca.uol.com.br
• Site G1 Notícias - www.g1.com.br
• Comodo Certificates - www.comodo.com
![Page 42: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/42.jpg)
A prioridade do instituto é ser considerado um portal para que estudantes de TI percorram carreiras compatíveis com seus potenciais e desempenhos, oferecendo estágios e empregos em empresas do mercado, dentro das áreas relacionadas.
Acesse também…
![Page 43: Boas Práticas em Segurança da Informação](https://reader038.vdocuments.net/reader038/viewer/2022103104/58a997d31a28abc2518b52c5/html5/thumbnails/43.jpg)
Contato Diretor | DigitallyMade
rodrigobsm
Rodrigo Santa Maria
twitter.com/rodrigobsm
facebook.com/rodrigobsm
lnkd.in/bUX-VZtin