Segurança de Sistemas PDF
Document Details
Uploaded by Deleted User
Tags
Summary
Este documento apresenta fundamentos e tópicos relacionados à segurança de sistemas, incluindo a triade CID, pilares da segurança da informação e meios de aplicabilidade. Também abrange o ciclo de vida da informação, a organização de segurança e as técnicas de auditoria de sistemas de informação.
Full Transcript
P Segurança da Informação Tríade CID Garantia da integridade, confidencialidade e disponibilidade dos dados: Garantir que os dados sejam precisos, protegidos contra acesso não autorizado e esteja...
P Segurança da Informação Tríade CID Garantia da integridade, confidencialidade e disponibilidade dos dados: Garantir que os dados sejam precisos, protegidos contra acesso não autorizado e estejam disponíveis quando necessários, garantindo assim a confiabilidade e eficácia das operações. Identificação de vulnerabilidades e riscos: Detectar e mitigar possíveis pontos fracos nos sistemas que possam ser explorados por ameaças, reduzindo assim a probabilidade de incidentes de segurança. Cumprimento de regulamentações e normas de segurança: Assegurar que os sistemas estejam em conformidade com leis, regulamentos e padrões de segurança estabelecidos, protegendo assim a organização contra possíveis penalidades legais e danos à reputação. P Principais Pilares da Segurança da Informação 1. Confidencialidade: Garantia de que apenas usuários autorizados tenham acesso a informações sensíveis. 2. Integridade: Garantia de que os dados não sejam alterados ou corrompidos por usuários não autorizados. 3. Disponibilidade: Garantia de que os recursos de tecnologia da informação estejam disponíveis quando necessários. 4. Autenticidade: Garantia de que a identidade de usuários e recursos seja confirmada de forma confiável. 5. Não-repúdio: Garantia de que as partes envolvidas em uma comunicação ou transação não possam negar sua participação ou as ações realizadas. P Meios de Aplicabilidade da Segurança e Auditoria Políticas de Segurança: Conjunto de regras e diretrizes que orientam o comportamento dos usuários e a administração dos sistemas para proteger os recursos de informação. Controles de Acesso: Mecanismos que limitam o acesso a recursos de informação somente a usuários autorizados, utilizando métodos como autenticação e autorização. Criptografia: Técnica de codificação de informações para proteger sua confidencialidade durante a transmissão e armazenamento. Monitoramento de Atividades: Acompanhamento contínuo das atividades dos usuários e sistemas para identificar comportamentos suspeitos ou violações de segurança. Auditorias Regulares: Avaliação periódica dos controles de segurança e práticas de conformidade para garantir a eficácia e conformidade com políticas e regulamentações. P A Segurança e o Ciclo de Vida da Informação Criação e Coleta: Dados são gerados ou coletados de diversas fontes. Fontes de dados: Sensores, pesquisas, transações, etc. Cuidados na criação: Garantir precisão e integridade desde o início. Proteção inicial: Criptografia e controles de acesso Armazenamento: Dados são armazenados de maneira segura. Métodos de armazenamento: Servidores, nuvem, dispositivos físicos. Medidas de Segurança: Criptografia, backups regulares, controle de acesso. Políticas de Retenção: Definição de períodos de retenção de dados P A Segurança e o Ciclo de Vida da Informação Uso: Acesso e utilização dos dados de forma controlada. Controle de Acesso: Autenticação e autorização Monitoramento: Auditorias e logs de acesso. Educação de Usuários: Treinamento em boas práticas de segurança Compartilhamento: Troca de dados entre diferentes partes, com segurança. Políticas de Compartilhamento: Definição clara de quem pode acessar o quê. Segurança da Transferência: Uso de canais seguros (VPNs, SSL/TLS). Gerenciamento de Permissões: Revisão e atualização periódica de permissões P A Segurança e o Ciclo de Vida da Informação Arquivamento: Dados são armazenados para referência futura. Critérios de Arquivamento: Dados que precisam ser mantidos por razões legais ou históricas. Segurança de Arquivos: Criptografia e armazenamento em locais seguros. Acesso a Arquivos: Controle rigoroso sobre quem pode acessar arquivos arquivados. Descarte: Eliminação segura de dados que não são mais necessários. Métodos de Descarte: Destruição física, sobrescrita, desmagnetização. Políticas de Descarte: Procedimentos claros e documentados. Compliance: Conformidade com regulamentações e leis. P Classificação e Controle dos Ativos de Informação Objetivo da Classificação: Definição de Ativos de Identificar o nível de sensibilidade e Informação: Qualquer recurso importância dos ativos. que tenha valor para a organização e que contenha Categorias Comuns: dados ou informação. Público, Interno, Confidencial, Restrito. Importância: Proteção Critérios de Classificação: adequada dos ativos contra riscos e ameaças. Sensibilidade, impacto potencial de divulgação, valor para a organização. P Classificação e Controle dos Ativos de Informação Identificação dos Ativos: Lista completa dos ativos de informação. Objetivo dos Controles: Garantir a segurança, integridade e Avaliação de Sensibilidade: disponibilidade dos ativos Análise do impacto de vazamento ou perda. Tipos de Controle: Físico, Atribuição de Categorias: Definir a técnico, administrativo. categoria apropriada para cada ativo. Implementação de controles: Documentação: Registrar e Medidas de segurança baseadas manter atualizada a classificação na classificação dos ativos. dos ativos. P Segurança do Ambiente Físico e Lógico Ambiente Físico Ambiente Lógico Exemplos: Exemplos: Travas, câmeras de segurança, controle de Firewalls, criptografia, autenticação multifator. acesso a instalações. Proteção de Ambientes: Proteção de Sistemas: Data centers, salas de servidores, arquivos Redes, computadores, dispositivos móveis. físicos. Monitoramento e Auditoria: Monitoramento: Logs de acesso, sistemas de detecção de Vigilância contínua e registro de acessos. intrusão. A Aspectos Humanos da Segurança da Informação A segurança da informação não depende apenas de tecnologias avançadas e políticas rigorosas, mas também do comportamento e das ações das pessoas que interagem com os sistemas e dados da organização. Os aspectos humanos da segurança da informação envolvem a conscientização, treinamento e comportamento dos funcionários, que são frequentemente considerados a primeira linha de defesa contra ameaças à segurança. A Aspectos Humanos da Segurança da Informação Conscientização e Treinamento A conscientização dos funcionários sobre os riscos e práticas de segurança é crucial. Programas de treinamento regulares devem ser implementados para educar os funcionários sobre: Boas Práticas de Segurança: Uso adequado de senhas, reconhecimento de e- mails de phishing, e proteção de informações sensíveis. Políticas e Procedimentos de Segurança: Entendimento das políticas da empresa e dos procedimentos a serem seguidos para garantir a segurança da informação. Resposta a Incidentes: Como identificar e responder a incidentes de segurança, como vazamento de dados ou tentativas de intrusão. A Aspectos Humanos da Segurança da Informação Cultura Organizacional Criar uma cultura de segurança dentro da organização é fundamental. Isso envolve: Engajamento da Liderança: Os líderes da organização devem promover e apoiar a importância da segurança da informação. Comunicação Aberta: Incentivar os funcionários a reportarem problemas de segurança sem medo de repercussões. Reforço Positivo: Reconhecer e recompensar comportamentos que contribuem para a segurança da informação. A Aspectos Humanos da Segurança da Informação Comportamento e Atitudes O comportamento e as atitudes dos funcionários têm um impacto significativo na segurança da informação. É importante: Minimizar o Erro Humano: Implementar sistemas e processos que reduzam a possibilidade de erro humano, como a automação de tarefas críticas e a implementação de controles de segurança. Gestão de Acessos: Garantir que os funcionários tenham acesso apenas às informações necessárias para o desempenho de suas funções, minimizando o risco de acesso indevido. Segurança Física: Educar os funcionários sobre a importância de proteger dispositivos físicos, como laptops e smartphones, contra roubo ou perda. A Controle de Acesso Controle de Acesso é uma medida de segurança que restringe o acesso a recursos críticos e dados sensíveis, garantindo que apenas usuários autorizados possam acessar determinados sistemas ou informações. Ele é essencial para proteger a integridade, confidencialidade e disponibilidade dos ativos organizacionais. A Controle de Acesso Controle de Acesso Lógico envolve políticas e ferramentas que regulam quem pode acessar sistemas de informação, redes e dados digitais. Os principais componentes incluem: Autenticação: Verifica a identidade dos usuários por meio de senhas, tokens, biometria, etc. Autorização: Define o que os usuários autenticados podem acessar e modificar, baseada em permissões e papéis (RBAC). Auditoria: Registra e monitora as atividades dos usuários para detectar e prevenir comportamentos suspeitos ou não autorizados. Criptografia: Protege dados durante a transmissão e armazenamento, garantindo que apenas usuários autorizados possam acessá-los. A Controle de Acesso Controle de Acesso Físico se refere a medidas de segurança que limitam o acesso a locais físicos, como edifícios, salas de servidores, e datacenters. Exemplos incluem: Cartões de Acesso: Identificam e registram entradas e saídas de funcionários e visitantes em áreas restritas. Sistemas de Videomonitoramento (CCTV): Monitoram em tempo real áreas sensíveis, ajudando na detecção de acessos não autorizados. Biometria: Utiliza características físicas, como impressões digitais ou reconhecimento facial, para garantir que apenas pessoas autorizadas tenham acesso. Barreiras Físicas: Portas blindadas, catracas, e cercas que dificultam ou impedem o acesso físico não autorizado. A Controle de Acesso A implementação eficaz de controle de acesso oferece diversos benefícios para a segurança organizacional: Proteção contra Ameaças Internas e Externas: Previne acessos não autorizados a informações críticas. Compliance: Garante conformidade com regulamentos de segurança e privacidade, como LGPD e GDPR. Resposta a Incidentes: Melhora a capacidade de detectar e responder a incidentes de segurança. Confiança dos Stakeholders: Fortalece a confiança de clientes e parceiros na segurança das operações. A Controle de Acesso Para garantir a eficácia do controle de acesso, adote as seguintes práticas: Implementação de Múltiplos Fatores de Autenticação (MFA): Adicione camadas extras de segurança além de senhas. Princípio do Menor Privilégio (PoLP): Conceda aos usuários apenas as permissões necessárias para realizar suas tarefas. Auditorias Regulares: Revise e ajuste periodicamente as permissões e acessos concedidos. Treinamento de Usuários: Eduque os funcionários sobre a importância do controle de acesso e as melhores práticas de segurança. P Organização da Segurança A Organização da Segurança refere-se à estruturação e coordenação das políticas, procedimentos, recursos e pessoas envolvidas na proteção dos ativos e informações de uma organização. Ela é fundamental para garantir que todos os aspectos da segurança sejam abordados de maneira integrada e eficiente. P Organização da Segurança A organização da segurança é composta por diversos elementos interligados, incluindo: Governança de Segurança: Estrutura de liderança e diretrizes que assegura que a segurança esteja alinhada com os objetivos estratégicos da organização. Políticas de Segurança: Conjunto de regras e diretrizes que definem como os recursos da organização devem ser protegidos. Recursos Humanos: Envolvimento de pessoas treinadas e capacitadas para implementar e monitorar práticas de segurança. Tecnologia: Ferramentas e sistemas que suportam a implementação de controles de segurança. Processos e Procedimentos: Metodologias para a gestão de riscos, incidentes de segurança e conformidade. P Organização da Segurança A Governança de Segurança é o pilar central na organização da segurança, responsável por: Definição de Políticas e Normas: Estabelece as diretrizes de segurança que devem ser seguidas por toda a organização. Tomada de Decisão: Garante que decisões críticas relacionadas à segurança sejam tomadas com base em uma análise abrangente dos riscos. Gestão de Riscos: Identifica, avalia e mitiga riscos que possam impactar a segurança dos ativos e informações da organização. Conformidade: Assegura que a organização cumpre com todas as leis, regulamentos e padrões aplicáveis à segurança. P Organização da Segurança Políticas e Procedimentos de Segurança são documentos fundamentais que orientam as ações de segurança na organização. Eles incluem: Política de Segurança da Informação (PSI): Define diretrizes para a proteção de dados e informações sensíveis. Política de Uso de Recursos: Regula como os recursos tecnológicos devem ser utilizados pelos colaboradores. Plano de Resposta a Incidentes: Procedimentos para identificar, responder e recuperar-se de incidentes de segurança. Gestão de Identidades e Acessos (IAM): Normas para gerenciar o ciclo de vida de identidades digitais e o acesso a sistemas. P Organização da Segurança A estrutura organizacional de segurança envolve diferentes níveis de responsabilidade: Comitê de Segurança: Grupo de líderes que orienta a direção estratégica da segurança na organização. Equipe de Segurança da Informação: Profissionais dedicados à implementação e monitoramento das políticas e práticas de segurança. Auditores Internos e Externos: Responsáveis por avaliar a eficácia dos controles de segurança e conformidade. Colaboradores: Todos os funcionários têm responsabilidades na manutenção da segurança organizacional. P Organização da Segurança Desenvolver uma Cultura de Segurança robusta é essencial para o sucesso da organização da segurança: Conscientização e Treinamento: Eduque continuamente os colaboradores sobre práticas seguras e as ameaças emergentes. Engajamento de Todos os Níveis: A segurança deve ser uma prioridade para todos na organização, do nível operacional à alta administração. Comunicação Eficiente: Estabeleça canais claros para a comunicação de incidentes, preocupações e melhorias na segurança. Reconhecimento e Incentivo: Recompense comportamentos que promovam a segurança e incentivem a participação ativa dos colaboradores. P Organização da Segurança A organização da segurança enfrenta desafios que devem ser gerenciados com cuidado: Complexidade Organizacional: Organizações grandes ou distribuídas enfrentam dificuldades para manter políticas de segurança consistentes. Evolução das Ameaças: A rápida evolução das ameaças cibernéticas exige que a organização da segurança seja dinâmica e adaptável. Resistência à Mudança: Implementar novas políticas ou tecnologias de segurança pode encontrar resistência dentro da organização. Custo e Recursos: A alocação de recursos financeiros e humanos para a segurança pode ser limitada, exigindo decisões estratégicas. P Organização da Segurança Para uma organização de segurança eficaz, adote as seguintes melhores práticas: Alinhamento Estratégico: Assegure que as iniciativas de segurança estejam alinhadas com os objetivos de negócios. Avaliação Contínua de Riscos: Realize avaliações periódicas para identificar novas ameaças e ajustar as medidas de segurança. Integração de Segurança em Todos os Processos: Incorpore a segurança em todas as fases dos processos organizacionais, desde o planejamento até a execução. Investimento em Tecnologia e Pessoas: Combine soluções tecnológicas avançadas com capacitação contínua dos profissionais de segurança. A Segurança no Contexto da Governança de TI O que é Governança de TI? Como a Segurança se Integra à Governança de TI Conjunto de práticas, processos e estruturas Segurança como componente organizacionais. central na Governança de TI. Alinhamento da TI com os Estabelecimento de políticas e objetivos de negócios. procedimentos de segurança. Gestão eficaz dos recursos Alinhamento das práticas de de TI, maximizando valor e segurança com os objetivos minimizando riscos. estratégicos. A Segurança no Contexto da Governança de TI Benefícios Redução de riscos cibernéticos. Conformidade com regulamentações (ex.: LGPD, GDPR). Proteção de ativos críticos e dados sensíveis. Maior confiança dos stakeholders. Os tipos comuns de ataques Cibernéticos Phishing: Um dos ataques mais frequentes, onde os invasores enviam e-mails ou mensagens fraudulentas que parecem ser de fontes confiáveis, com o objetivo de induzir as vítimas a fornecer informações pessoais ou clicar em links maliciosos. Ransomware: Nesse tipo de ataque, os criminosos sequestram os dados de uma organização ou indivíduo, criptografando-os e exigindo um resgate para restaurar o acesso. Exemplos notórios incluem ataques como o WannaCry. Ataques de Negação de Serviço (DoS/DDoS): Esses ataques sobrecarregam um servidor, rede ou serviço com tráfego excessivo, tornando-os inacessíveis para os usuários legítimos. Em ataques DDoS (Distribuídos), essa sobrecarga vem de várias fontes, dificultando a defesa. Malware: Programas maliciosos, como vírus, worms, trojans e spyware, projetados para causar danos ao sistema, roubar informações ou executar atividades não autorizadas. O malware pode ser distribuído por e-mails, downloads maliciosos ou mídias removíveis. Os tipos comuns de ataques Cibernéticos Ataques Man-in-the-Middle (MitM): O invasor intercepta a comunicação entre dois sistemas, podendo capturar ou alterar dados em trânsito sem que as partes envolvidas percebam. Esse tipo de ataque é comum em redes Wi-Fi desprotegidas. SQL Injection: Esse ataque ocorre quando invasores inserem códigos maliciosos em uma aplicação através de consultas SQL vulneráveis, permitindo o acesso não autorizado a bancos de dados. Isso pode levar ao roubo de informações sensíveis, como dados de usuários. Ataques de Engenharia Social: Manipulação psicológica de indivíduos para que eles revelem informações confidenciais ou realizem ações inseguras. Os ataques de engenharia social exploram a confiança e podem ser combinados com outras técnicas, como phishing. Exploração de Vulnerabilidades Zero-Day: Ataques que exploram falhas de segurança desconhecidas ou não corrigidas nos softwares. Como as vulnerabilidades são desconhecidas pelo fabricante, os ataques zero-day podem ser altamente devastadores até que uma correção seja disponibilizada. Fundamentos em Auditoria de Sistemas de Informação O que é Auditoria de Sistemas de Informação? Auditoria de Sistemas de Informação (ASI) é o processo de avaliar e revisar os controles, a segurança e a integridade de sistemas tecnológicos e informações empresariais. Seu objetivo é garantir que os sistemas funcionem corretamente, de forma eficiente e em conformidade com as normas e regulamentações aplicáveis. Fundamentos em Auditoria de Sistemas de Informação Importância da Auditoria de SI Segurança e Proteção de Dados: Identifica vulnerabilidades e garante que medidas de segurança adequadas estejam implementadas para proteger dados sensíveis. Conformidade: Assegura que a organização esteja de acordo com leis, regulamentos e políticas internas, como LGPD, SOX e outras normas do setor. Eficiência Operacional: Verifica se os sistemas de TI estão funcionando de forma eficaz e eficiente para suportar as operações do negócio. Detecção de Fraudes: Ajuda a detectar e prevenir fraudes, manipulação de dados e outras irregularidades. Fundamentos em Auditoria de Sistemas de Informação Tipos de Auditoria de SI Auditoria de Conformidade: Avalia se os sistemas e processos atendem às regulamentações e normas exigidas. Auditoria de Segurança: Verifica os controles de segurança, incluindo firewalls, criptografia e práticas de autenticação. Auditoria Operacional: Analisa a eficácia dos processos e procedimentos internos de TI. Auditoria de Desempenho: Avalia a eficiência dos sistemas em termos de processamento de dados, resposta a usuários e uso de recursos. Fundamentos em Auditoria de Sistemas de Informação Princípios da Auditoria de Sistemas de Informação Independência e Objetividade: O auditor deve ser imparcial e independente, evitando conflitos de interesse. Integridade: As auditorias devem ser conduzidas de forma ética e com precisão nos registros e conclusões. Baseada em Riscos: A auditoria deve focar em áreas de maior risco para a organização, avaliando controles e processos críticos. Documentação Adequada: Manter registros detalhados e organizados do processo de auditoria é fundamental para garantir rastreabilidade e conformidade. Fundamentos em Auditoria de Sistemas de Informação Processo de Auditoria de Sistemas de Informação Planejamento: Definir o escopo da auditoria, identificar os riscos e priorizar áreas a serem auditadas. Execução: Revisar documentos, realizar entrevistas e testes para verificar controles e procedimentos. Relatório: Documentar os achados, fornecer recomendações e sugerir ações corretivas. Follow-up: Monitorar a implementação das recomendações e garantir que os problemas identificados sejam resolvidos. Fundamentos em Auditoria de Sistemas de Informação Benefícios da Auditoria de SI para as Organizações Melhoria nos Controles Internos: A auditoria ajuda a identificar deficiências e sugerir melhorias nos processos de controle interno. Aprimoramento da Segurança: Proporciona uma avaliação crítica dos controles de segurança e suas vulnerabilidades. Eficiência nos Processos: Identifica gargalos e recomendações para melhorar o desempenho e a eficiência operacional. Confiança nas Operações: Garante maior transparência e confiança nas operações de TI, mitigando riscos. Ferramentas de Auditoria de Sistemas de Informação Tipos de Ferramentas de Auditoria de SI Ferramentas de Avaliação de Riscos Essas ferramentas ajudam a identificar e avaliar os riscos de segurança e de operação de TI, fornecendo relatórios detalhados sobre áreas que precisam de atenção. Exemplo: RiskWatch, GRC Tools (Governance, Risk, and Compliance) Ferramentas de Análise de Logs Analisam registros de eventos gerados por sistemas e aplicativos para detectar padrões incomuns que podem indicar falhas de segurança ou problemas de conformidade. Exemplo: Splunk, Graylog, SolarWinds Log & Event Manager Ferramentas de Auditoria de Sistemas de Informação Tipos de Ferramentas de Auditoria de SI Ferramentas de Varredura de Vulnerabilidades Realizam varreduras automáticas nos sistemas para identificar falhas de segurança, como patches desatualizados ou configurações incorretas. Exemplo: Nessus, OpenVAS, QualysGuard Ferramentas de Auditoria de Redes Verificam a segurança e eficiência das redes, analisando tráfego de dados, uso de banda e configuração de dispositivos de rede. Exemplo: Wireshark, Nmap, SolarWinds Network Configuration Manager Técnicas de Auditoria de Sistemas de Informação Entrevistas e Questionários Coleta de informações sobre os processos e controles através de interação com os responsáveis. Observação Direta Análise das atividades e processos em tempo real, identificando riscos. Revisão de Documentos e Registros Avaliação da documentação e registros de sistema para verificar conformidade. Testes de Controle Validação dos controles implementados, por meio de testes práticos. Técnicas de Auditoria de Sistemas de Informação Análise de Logs e Rastreamento Utilização de ferramentas de SIEM para detectar incidentes e anomalias. Análise de Vulnerabilidades Ferramentas como Nessus, OpenVAS para identificar vulnerabilidades. Penetration Testing (Pentest) Testes controlados de invasão para verificar a segurança do sistema. Auditorias de Configuração Ferramentas de verificação de conformidade com padrões de configuração (ex.: CIS Benchmarks). Técnicas de Auditoria de Sistemas de Informação Auditoria de Aplicações e Banco Auditoria de Rede e Infraestrutura de Dados Escopo: Verificar a segurança dos Auditoria de Aplicações elementos de rede (firewalls, roteadores, switches). Avaliação de vulnerabilidades e falhas de segurança em aplicações. Técnicas: Testes de penetração, Auditoria de Banco de Dados análise de logs e avaliação de configuração. Revisão de privilégios de acesso, integridade dos dados e controles de Objetivo: Garantir que os dados segurança. trafeguem de forma segura. Técnicas de Auditoria de Sistemas de Informação Auditoria de Controles de Acesso e Identidades Revisão de Acessos Verificação de permissões, segregação de funções e compliance com o princípio de menor privilégio. Identidades e Autenticação Análise dos métodos de autenticação, como MFA, e controles de senha.