1 / 24

SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

Luis Aguiar. SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS. O que é Segurança da Informação?.

arch
Télécharger la présentation

SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Luis Aguiar SEGURANÇA DA INFORMAÇÃO PARA SISTEMAS DISTRIBUIDOS

  2. O que é Segurança da Informação? • São um conjunto de controles, (incluindo políticas, processos, estruturas organizacionais, normas e procedimentos de segurança,) com o objetivo de proteger dados e informações de clientes e ou empresas, nos seus aspectos de confidencialidade, integridade e disponibilidade. Andrew S. Tanenbaum

  3. O que SÃO SISTEMAS DISTRIBUIDOS? • Coleção de computadores independentes que se apresenta ao usuário como um sistema único e consistente Andrew S. Tanenbaum

  4. O que são SISTEMAS DISTRIBUIDOS • São sistemas onde a centralização das informações não se resume a um ou dois servidores, e sim em grandes servidores de bancos de dados e ou aplicações que são replicados para os diversos data centers que devem fazer parte do sistema e que passam transparentes ao usuário final. Luis A. Aguiar

  5. Passado da segurança da informação • 1971 inicio da Internet para fins de comunicação; • 1995 inicio da Internet Comercial no Brasil; • Implementação de Sistemas Distribuídos com alto custo; Links dedicados com custos altos, ex: REMPAC (R$ 1.500,00 por 64Kbps); • Segurança dos sistemas engatinhando; • 1971, primeiro vírus (Creeper) emitia periodicamente na tela a mensagem:"I'm a creeper... catch me ifyoucan!" (Sou uma trepadeira, agarrem-me se puderem). Para eliminar este virus foi criado o primeiro programa antivirus denominado Reaper.

  6. Exemplos de sistemas distribuídos • Internet: Google Apps, Virtualização (nuvens) • Sistemas de Gerenciamento de Passagens aéreas ou terrestre; • Sistemas Governamentais tais como: SUS, Receita Federal, Bancos, etc; • Peer to Peer: Emule, Torrent, SETI (Projeto Setiat home que visa procurar em sinais de rádio interplanetários algum vestígio de vida extraterrestre.), etc.

  7. Falhas de segurança Falhas iniciam nos procedimentos de seguranças comuns a quaisquer sistemas tais como: • Senhas fracas; • Sistema de backup falho ou ausente; • Portas abertas e Falhas em sistemas de log; • Sistemas sem fio desprotegidas; • Falha nas camadas de segurança dos sistemas operacionais; • “Trojan humano”, engenheiros sociais disfarçados de terceirizados ou semelhante.

  8. Falhas de segurança em sds • 90% das falhas vêem de dentro da própria empresa (fonte: CERT-CGI); • Falta de treinamento para os funcionários; • Contratação irregular de terceirizados; • Escolha dos softwares de compõem o sistema (pirataria); • Disponibilização de acessos restritos sem auditoria; • Ausência de PenTests (testes de penetração); • Falha no descarte de material de trabalho (papel, smartphones, mídias óticas pendrives) • Falta de uma política de segurança (interna e externa) • Falha na implementação: • politicas, serviços, processos, etc

  9. Exemplos de Falhas de segurança em sds • O deputado Hugo Leal (PSC/RJ) apresentou dados de uma pesquisa feita pelo TCU, que revelam: 88% dos 256 órgãos da administração pública federal tiveram nota inferior a 50 (0 a 100) na avaliação do nível de governança de TI. E 63% sequer possuem um plano diretor de informática aprovado e publicado.

  10. Exemplo de Falta de políticas de segurança A equipe da British Telecom conseguiu descobrir que um BlackBerry pertenceu a um diretor sênior de vendas de uma empresa japonesa. Eles recuperaram o seu histórico de chamadas, 249 contatos, sua agenda, 90 endereços de e-mail e 291 e-mails. Isto permitiu determinar a estrutura da sua organização, o futuro plano de negócios e os principais clientes, projetos de viagem, detalhes sobre a família do proprietário — incluindo filhos, estado civil, endereço, datas de consulta e endereços de assistência médica e odontológica, dados de conta bancária e o número da licença do automóvel.

  11. Exemplos de Falhas na política de segurança • Emails pessoais

  12. Exemplos de Falhas de segurança em sds • Disponibilização de acesso irrestrito as mídias digitais (cd, dvd, pen drive, bluethoothetc)

  13. 10 maiores ameaças em 2011 • A posição mais alta no ranking de ameaças virtuais no TrojanAutorunINF.Gen (9,14%) • Junto com o – WormAutorun.VHG (4,31%) –, acumulam quase 14% do total de registros de ataques cibernéticos no Brasil. Isto faz com que a função autorun dos dispositivos removíveis abra uma brecha para qualquer tipo de ataque.

  14. Aumentando a segurançaem sds • Escolha de um ou mais Data Centers; • Treinamento (funcionários e parceiros); • Implementar Auditorias; • Contratação de uma equipe de segurança da informação; • Implementar software de gestão com segurança aumentada (ssl, java, criptografia forte , vpn, etc); • Implantação de Frameworks com processos que objetivem a segurança (ISO27001, ITIL, COBIT, etc; • Implementar Pentests; • Implementar protocolo IPV6; • Métodos de reação a eventuais falhas ou vulnerabilidades.

  15. POLÍTICAS DE SEGURANÇAOBSTÁCULOS DA IMPLEMENTAÇÃO • DESCULPE NÃO EXISTEM RECUSOS FINANCEIROS, AS PRIORIDADES SÃO OUTRAS (Muitas vezes é só desculpa); • PORQUE CONTINUAM FALANDO SOBRE IMPLEMENTAÇÃO DA POLITICA? (Executivos não compreendem os reais benefícios); • DESCULPE É MUITO COMPLEXO (complexo não significa que deva ser ignorado); • A POLÍTICA DE SEGURANÇA VAI FAZER COM QUE EU PERCA MEU PODER?

  16. DATA CENTERS DataCenter da Microsoft em Santo Antônio, California 46.000m²

  17. DISTRIBUIÇÃO DE DATA CENTERS NO BRASIL E NO MUNDO

  18. Motivações para reforço na segurança em SD • Espionagem industrial (Invasões); • Desejo de possuir o produto (CNPJ, emails, Num. De Cartão de Crédito, Numerários) • Conteúdo exclusivo aumenta o desejo de acesso para roubar dados (Ex. Endereços, telefones, emails, Cartões de crédito); • Lei para crimes da Internet ainda muito branda ou ausente.

  19. Plc – projeto de lei da câmara nº 657 de 2008 Redação final do Substitutivo do Senado ao Projeto de Lei da Câmara nº 89, de 2003 (nº 84, de 1999, na Casa de origem)., que altera o Decreto-Lei nº 2848, de 07 de dezembro de 1940 - Código Penal e a Lei nº 9296, de 24 de julho de 1996, e dá outras providências. DOS CRIMES CONTRA A SEGURANÇA DOS SISTEMAS INFORMATIZADOS Art. 285-A. Acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso: Pena - reclusão, de 1 (um) a 3 (três) anos, e multa.

  20. Plc – projeto de lei da câmara nº 657 de 2008 “Inserção ou difusão de código malicioso” Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. § 1º Inserção ou difusão de código malicioso seguido de dano Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa. “Divulgação ou utilização indevida de informações e dados pessoais” Art. 339-C. Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal: Pena – detenção, de 1 (um) a 2 (dois) anos, e multa.

  21. conclusões A segurança da informação está vulnerável em sistemas distribuídos. Infelizmente no Brasil, a cultura de querer tirar vantagem sempre em alguma coisa, faz com que os detentores de informações privilegiadas corrompam-se e acabem por vender ou trocar por favores estas informações, aliado a falta de uma política de leis severas e a efetiva aplicação das mesmas para os que praticam atos de cybercrimes. Um conjunto de Soluções tais como: software, hardware, processos, treinamento, implementação de frameworks e auditorias são as formas de se tentar manter a segurança das informações sejam elas em Sistemas Distribuídos ou no seu Servidor Local.

  22. MENSAGEM Pense grande. Águias não caçam moscas. OBRIGADO Provérbio latino

  23. Perguntas

  24. MAIS INFORMAÇÕES EM:Www.Luisaguiar.com.br Luis Alberto Lyra de Aguiar Aluno concluinte do curso de Sistemas de Informação. - Trabalhou como Gestor de TI em empresas de grande porte tais como São Paulo Alpargatas(SP), CEPROL(CE), Pagfacil(PB); - Possui mais de 20 anos vivência em TI; • Possui diversos cursos na área de TI tais como: COBIT, TCP/IP Microsoft OffcialCurriculun, Windows Server 2003, Segurança da Informação, etc.

More Related