Upload
geraldaduarte
View
258
Download
3
Embed Size (px)
Citation preview
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Segurança da Informação
www.triforsec.com.br
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Perfil Triforsec
► 15 anos de know-how em segurança de T.I.► Alguns clientes
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Segurança da Informação — Cena atual
► Em 99,99% das empresas auditadas — no Brasil — informações estavam sendo atacadas ou ameaçadas de alguma forma
► Violar emails, sites e sistemas alimenta um próspero mercado de dados sigilosos, uso clandestino de T.I., congestionamento orquestrado de sites e outros — um "negócio" lucrativo e com baixo risco de punição
► As fraudes crescem muito mais rápido do que a velocidade da lei e da justiça pode alcançá-las — até porque muitas vêm do exterior
► Fraudes podem durar anos despercebida e, enquanto isto, a empresa perde negócios ou causas judiciais de forma inexplicável ou tem boa parte de sua capacidade computacional "adotada" por fraudadores — via internet ou de dentro da própria empresa
► O Brasil é terreno fértil pois pouquíssimas empresas têm práticas de segurança efetivas
► A melhor saída — talvez a única — é a prevenção► O padrão internacional recomenda uma auditoria anual no mínimo
— e feita por uma auditora externa
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Segurança da Informação — Alguns tipos de ataques e fraudes
► Furtos de dados Feito por funcionário ou visitante com acesso à rede que quer
desviar dados sigilosos ou entrar na justiça contra a empresa Feito por hacker ou técnico de T.I. da própria empresa — que
viola emails e sistemas para vender dados sigilosos a terceiros► Vazamento de dados por omissão técnica
Causados por processos e treinamentos frágeis que permitem práticas inseguras de usuários (e.g., compartilham senhas, deixam computador sem dar sign-out nos sistemas, etc.)
► Uso clandestino de infraestrutura de T.I. Feito por hacker ou técnico de T.I. da própria empresa — que
se apropria da infraestrutura de T.I. da mesma para “negócios” paralelos (e.g., hospedar sites), sem a empresa o desconfiar
É um negócio da China pois o fraudador ganha dinheiro e não paga nem pela energia elétrica
Ataques pela internet são uma epidemia — são milhões por dia
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Segurança da Informação — Alguns tipos de ataques e fraudes
► Ataques à imagem de empresas Hackers são pagos para congestionar sites ou “defaceá-los“
redirecionando visitantes a sites estranhos (e.g., pornôs)► Fraudes contra campanhas de marketing via sites ou redes sociais
Espertinhos criam por exemplo softwares-robôs para obter grandes pontuações e assim levar centenas de brindes (e.g., créditos de celulares, celulares, etc.)
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Alguns cases e registros
► Vazamento de dados da Receita, do Enem e outros► Milhões de sites violados diariamente
► Hospital (do norte-nordeste) perde causa milionária porque teve sua rede invadida e a defesa que seria apresentada na audiência foi parar nas mãos do advogado do demandante — que assim pôde conhecer-lhe a linha de defesa e foi mais fácil derrubá-la
► É comum a auditoria fisgar senhas bancárias, listas de clientes, preços e estoques, prontuários médicos
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Segurança da Informação — Pilares
► A informação segura repousa sobre o tripé abaixo e a ausência de qualquer destes pilares põe a perder a segurança como um todo
ConfiabilidadeDisponibilidade
Integridade
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Segurança da Informação — Quando implementá-la?
► Deve estar presente antes mesmo da informática ir ao ar — tal qual se faz com seguro de saúde ou de automóvel
► A seguir, os processos de segurança de T.I. com maturidade de padrão internacional
Monitoria de Logs e Eventos (MLE)
Política de Segurança de Informática (PSI)
Planejamento da Infraestrutura de Informática (PII)
Gestão e Análise de Vulnerabilidades (GAV)
Penetration test (pentest)
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Pentest (penetration test)
► É uma auditoria da vulnerabilidade da T.I. da empresa► Formas mais comuns
Blind A área de T.I. do cliente sabe que vai ser auditada e o
auditor não sabe o que vai encontrar Double Blind
A área de T.I. do cliente não sabe que vai ser auditada — e pode não sabê-lo mesmo depois da auditagem
► Costuma ser porta de entrada da Triforsec no cliente► Pode ser parcial (e.g., externa, interna, por aplicação) ► Quem o requisita é a diretoria ou o CIO (e.g., ao assumir um CPD)
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Gestão e Análise de Vulnerabilidades (GAV)
► Serviço contínuo que dispensa a necessidade de futuros Pentest ► Busca vulnerabilidades por omissões técnicas► Idem para a ausência de patches de segurança (windows)► Varre vulnerabilidades conhecidas► Reporta vulnerabilidade no momento de sua detecção► Gera relatórios periódicos
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Monitoria de Logs e Eventos (MLE)
► Análise contínua na busca de anomalias► Reporte da anomalia no momento de sua detecção► Gera relatórios periódicos
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Política de Segurança de Informática (PSI)
► Consultoria que assessora a criação de práticas e regras que regulam, protegem, gerenciam, distribuem informações e planeja a segurança da informação como um todo, incluindo Controles de acessos internos e externos à internet, rede,
servidores Criptografia de HD, pendrives, CDs, comunicações Mecanismos de garantia de inviolabilidade de dados — mesmo
em caso de sequestro dos computadores da organização Minimização de risco de furtos de dados por invasores virtuais
ou locais com acesso à rede (funcionário, cliente, fornecedor, visitante) ou por omissão técnica
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Planejamento de Infraestrutura de Informática (PII)
► Aponta fragilidades e tem como referência a Rede Segura Triforsec (de padrão internacional de segurança)
Servidores Internet
Ambiente Internet DMZ(Zona Desmilitarizada)
Proteção de 1o. nível:- Retém Spams, Malwares e a maioria dos
ataques externos
WARM - Web Access Report ManagerIDSRG - Intrusion Detection System Report Generation
WEB FTPE-mail CRM
Internet
Proteção de 2o. nível: acesso controlado entre VLANs
Ambiente VLAN(Virtual LAN)
Servidores Internos
VLAN - Vendas & Administração
VLAN - Informática
VLAN - Diretoria
Banco Dados
Firewall Triforsec
WARM / IDSRG
IPbxAplicativosRede
Roteamentoentre VLANs
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Planejamento de Infraestrutura de Informática (PII)
► Gestão de Servidores com monitoramento pró-ativo, incluindo Análise de Performance Gerenciamento de acessos de usuários Restricionamento de acesso a sites
2010 ® — Direitos Reservados TRIFORSEC — Reprodução Proibida
Obrigado!!