Triforsec segurança da informação

2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida

Segurança da Informação

www.triforsec.com.br

http://www.triforsec.com.br/


Perfil Triforsec

► 15 anos de know-how em segurança de T.I.► Alguns clientes


Segurança da Informação — Cena atual

► Em 99,99% das empresas auditadas — no Brasil — informações estavam sendo atacadas ou ameaçadas de alguma forma

► Violar emails, sites e sistemas alimenta um próspero mercado de dados sigilosos, uso clandestino de T.I., congestionamento orquestrado de sites e outros — um "negócio" lucrativo e com baixo risco de punição

► As fraudes crescem muito mais rápido do que a velocidade da lei e da justiça pode alcançá-las — até porque muitas vêm do exterior

► Fraudes podem durar anos despercebida e, enquanto isto, a empresa perde negócios ou causas judiciais de forma inexplicável ou tem boa parte de sua capacidade computacional "adotada" por fraudadores — via internet ou de dentro da própria empresa

► O Brasil é terreno fértil pois pouquíssimas empresas têm práticas de segurança efetivas

► A melhor saída — talvez a única — é a prevenção► O padrão internacional recomenda uma auditoria anual no mínimo

— e feita por uma auditora externa


Segurança da Informação — Alguns tipos de ataques e fraudes

► Furtos de dados Feito por funcionário ou visitante com acesso à rede que quer

desviar dados sigilosos ou entrar na justiça contra a empresa Feito por hacker ou técnico de T.I. da própria empresa — que

viola emails e sistemas para vender dados sigilosos a terceiros► Vazamento de dados por omissão técnica

Causados por processos e treinamentos frágeis que permitem práticas inseguras de usuários (e.g., compartilham senhas, deixam computador sem dar sign-out nos sistemas, etc.)

► Uso clandestino de infraestrutura de T.I. Feito por hacker ou técnico de T.I. da própria empresa — que

se apropria da infraestrutura de T.I. da mesma para “negócios” paralelos (e.g., hospedar sites), sem a empresa o desconfiar

É um negócio da China pois o fraudador ganha dinheiro e não paga nem pela energia elétrica

Ataques pela internet são uma epidemia — são milhões por dia


Segurança da Informação — Alguns tipos de ataques e fraudes

► Ataques à imagem de empresas Hackers são pagos para congestionar sites ou “defaceá-los“

redirecionando visitantes a sites estranhos (e.g., pornôs)► Fraudes contra campanhas de marketing via sites ou redes sociais

Espertinhos criam por exemplo softwares-robôs para obter grandes pontuações e assim levar centenas de brindes (e.g., créditos de celulares, celulares, etc.)


Alguns cases e registros

► Vazamento de dados da Receita, do Enem e outros► Milhões de sites violados diariamente

► Hospital (do norte-nordeste) perde causa milionária porque teve sua rede invadida e a defesa que seria apresentada na audiência foi parar nas mãos do advogado do demandante — que assim pôde conhecer-lhe a linha de defesa e foi mais fácil derrubá-la

► É comum a auditoria fisgar senhas bancárias, listas de clientes, preços e estoques, prontuários médicos


Segurança da Informação — Pilares

► A informação segura repousa sobre o tripé abaixo e a ausência de qualquer destes pilares põe a perder a segurança como um todo

ConfiabilidadeDisponibilidade

Integridade


Segurança da Informação — Quando implementá-la?

► Deve estar presente antes mesmo da informática ir ao ar — tal qual se faz com seguro de saúde ou de automóvel

► A seguir, os processos de segurança de T.I. com maturidade de padrão internacional

Monitoria de Logs e Eventos (MLE)

Política de Segurança de Informática (PSI)

Planejamento da Infraestrutura de Informática (PII)

Gestão e Análise de Vulnerabilidades (GAV)

Penetration test (pentest)


Pentest (penetration test)

► É uma auditoria da vulnerabilidade da T.I. da empresa► Formas mais comuns

Blind A área de T.I. do cliente sabe que vai ser auditada e o

auditor não sabe o que vai encontrar Double Blind

A área de T.I. do cliente não sabe que vai ser auditada — e pode não sabê-lo mesmo depois da auditagem

► Costuma ser porta de entrada da Triforsec no cliente► Pode ser parcial (e.g., externa, interna, por aplicação) ► Quem o requisita é a diretoria ou o CIO (e.g., ao assumir um CPD)


Gestão e Análise de Vulnerabilidades (GAV)

► Serviço contínuo que dispensa a necessidade de futuros Pentest ► Busca vulnerabilidades por omissões técnicas► Idem para a ausência de patches de segurança (windows)► Varre vulnerabilidades conhecidas► Reporta vulnerabilidade no momento de sua detecção► Gera relatórios periódicos


Monitoria de Logs e Eventos (MLE)

► Análise contínua na busca de anomalias► Reporte da anomalia no momento de sua detecção► Gera relatórios periódicos


Política de Segurança de Informática (PSI)

► Consultoria que assessora a criação de práticas e regras que regulam, protegem, gerenciam, distribuem informações e planeja a segurança da informação como um todo, incluindo Controles de acessos internos e externos à internet, rede,

servidores Criptografia de HD, pendrives, CDs, comunicações Mecanismos de garantia de inviolabilidade de dados — mesmo

em caso de sequestro dos computadores da organização Minimização de risco de furtos de dados por invasores virtuais

ou locais com acesso à rede (funcionário, cliente, fornecedor, visitante) ou por omissão técnica


Planejamento de Infraestrutura de Informática (PII)

► Aponta fragilidades e tem como referência a Rede Segura Triforsec (de padrão internacional de segurança)

Servidores Internet

Ambiente Internet DMZ(Zona Desmilitarizada)

Proteção de 1o. nível:- Retém Spams, Malwares e a maioria dos

ataques externos

WARM - Web Access Report ManagerIDSRG - Intrusion Detection System Report Generation

WEB FTPE-mail CRM

Internet

Proteção de 2o. nível: acesso controlado entre VLANs

Ambiente VLAN(Virtual LAN)

Servidores Internos

VLAN - Vendas & Administração

VLAN - Informática

VLAN - Diretoria

Banco Dados

Firewall Triforsec

WARM / IDSRG

IPbxAplicativosRede

Roteamentoentre VLANs


Planejamento de Infraestrutura de Informática (PII)

► Gestão de Servidores com monitoramento pró-ativo, incluindo Análise de Performance Gerenciamento de acessos de usuários Restricionamento de acesso a sites


Obrigado!!

Documents

Triforsec segurança da informação