XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

                                                         AULA 02

 

PARTE 3

? Onde Começar ?

Leis Imutáveis da Segurança

?   Ninguém acredita que nada de mal possa acontecer até que acontece;

?   Segurança só funciona se a forma de se manter seguro for uma forma simples;

?   Se você não realiza as correções de segurança, sua rede não será sua por muito tempo;

?   Vigilância eterna é o preço da segurança;

?   Segurança por Obscuridade, não é segurança;

?   LOGs, se não auditá-los, melhor não tê-los.

Leis Imutáveis da Segurança

?   Existe realmente alguém tentando quebrar (adivinhar) sua senha;

?   A rede mais segura é uma rede bem administrada;

?   A dificuldade de defender uma rede é diretamente proporcional a sua complexidade;

?   Segurança não se propõe a evitar os riscos, e sim gerenciá-los;

?   Tecnologia não é tudo.

 

By Scott Pulp – Security Program Manager at Microsoft Security Response Center

Principais Destaques

?    Para 78% dos entrevistados, as ameaças, os riscos e os ataques deverão aumentar em 2004.

?   Número de incidentes aumentou de 54.000+ para 77.000+ de 2004 para 2005

 

?    42% das empresas tiveram problemas com a Segurança da Informação nos seis meses anteriores à pesquisa.

 

?    35% das empresas reconhecem que tiveram perdas financeiras. Já o percentual de empresas que não conseguiram quantificar essas perdas diminuiu de 72%, em 2002, para 65%, em 2003.

Principais Destaques

?    Vírus (66%), funcionários insatisfeitos (53%), divulgação de senhas (51%), acessos indevidos (49%) e vazamento de informações (47%) foram apontados como as cinco principais ameaças à segurança das informações nas empresas.

 

?    O percentual de empresas que afirmam ter sofrido ataques e invasões subiu de 43%, em 2002, para 77%, em 2003.

 

?    32% dos entrevistados apontam os hackers como os principais responsáveis por ataques e invasões de sistemas corporativos.

 

Principais Destaques

?    26% das empresas não conseguem sequer identificar os responsáveis pelos ataques.

 

?    48% não possuem nenhum plano de ação formalizado em caso de invasões e ataques.

 

?    60% indicam a internet como principal ponto de invasão em seus sistemas.

 

?    58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico por causa da sensação de falta de segurança.

 

Ameaças, Ataques e Invasões

Ameaças, Ataques e Invasões

A Importância da Segurança

Incidentes NBSO/NIC

Incidentes NBSO/NIC

Incidentes NBSO/NIC

Total Anualizado

Informações da Indústria

?   55% dos trabalhadores trocam mensagens potencialmente ofensivas pelo menos uma vez por mês (PC Week)þ

?   30-40% da navegação na web não está relacionada ao negócio da empresa (IDC)þ

?   Em pesquisa com 13.000 usuários de eMail, 90% afirma receber spam pelo menos uma vez por dia (Gartner Group)þ

?   Em pesquisa com 800 trabalhadores, 21-31% admitem enviar informações confidenciais para caixas postais
externas a organização via eMail
(PC Week)þ

Responsabilidades da Empresa

?  “Desde que uma empresa fornece acesso internet a seus funcionários, esta empresa torna-se responsável pelo que ele faz, a menos que possa provar que tomou as medidas cabíveis para evitar problemas”

 

Corporate Politics on the Internet:
Connection with Controversy, 1996

Segurança nas Organizações

?   Segurança é um ”processo” que tenta manter protegido um sistema complexo composto de muitas entidades:

?  Tecnologia (hardware, software, redes)þ

?  Processos (procedimentos, manuais)þ

?  Pessoas (cultura, conhecimento)þ

?   Estas entidades interagem das formas mais variadas e imprevisíveis

?   A Segurança falhará se focar apenas em parte do problema

?   Tecnologia não é nem o problema inteiro, nem a solução inteira

Segurança nas Organizações

Segurança x Custo x Funcionalidade

?   Determinar a segurança adequada considerando:

?  Ameaças que você enfrenta

?  Sua disposição a aceitar riscos

?  O valor de seus ativos da informação

 

 

 

 

 

 

 

Segurança absoluta é inatingível

Ciclo de Segurança

?   Análise da Segurança (Risk Assessment)þ

?   Definição e Atualização de Regras de Segurança (Política de Segurança)þ

?   Implementação e Divulgação das Regras de Segurança (Implementação)þ

?   Administração de Segurança (Monitoramento, Alertas e Respostas a Incidentes)þ

?   Auditorias (Verificação do Cumprimento da Política)þ

PARTE 4

? Repositórios

Sites Úteis

?   http://www.insecure.org

?   http://www.securityfocus.com

?   http://www.sans.org

?   http://www.digg.com

?   http://techrepublic.com.com

?   http://www.hackaday.com

?   http://slashdot.org

?   http://www.modulo.com.br

?  Alguns PodCasts

?  Security Now!

? http://www.grc.com/securitynow.htm

? 2600 - Off The Hook

? http://www.2600.com/offthehook

? SploitCast

? http://www.sploitcast.com

? TWiT – This Week in Tech

? http://www.twit.tv/TWiT

? Extreme Tech

? http://www.extremetech.com

? Video PodCasts

?   HAK.5

?  http://www.hak5.org

?  Local Area Security

?  http://www.localareasecurity.com

?  IronGeek

?  http://irongeek.com

?  Hacking Illustrated

?  Revision3

?  http://www.revision3.com

?  Digital Life Television (DL Tv)þ

?  http://dl.tv

?  Congressos e Eventos

?  HOPE – Hacker on Planet Earth

? http://www.hopenumbersix.net

? DEFCon

? http://www.defcon.org – Archives

? BlackHat

? http://www.blackhat.com – Archives

? H2HC – Hackers 2 Hackers Conference

? http://www.h2hc.org.br

? CCC.de – Chaos Computer Club

? http://www.ccc.de

Listas de Discussão

?  CISSPBr

? Yahoo Groups

?  BugTraq

?  Modulo Newsletter

PARTE 5

? Ameaças Digitais

Ataques

?    Geralmente divididos nos seguintes tipos:

?   Pelo alvo geral do ataque (aplicações, redes ou misto)þ

?   Se o ataque é ativo ou passivo

?   Pelo mecanismo de ataque (quebra de senha, exploração de código, ...)þ

?    Ataques Ativos

?   DoS, DDoS, buffer overflow, inundação de SYN

?    Ataques Passívos

?   Pesquisa de vulnerabilidade, sniffing, ...

?    Ataques de Senha

?   Força bruta, Dicionário, “hackish”, Rainbow Tables

?    Código malicioso (malware)þ

?   Vírus, trojans, worms, ...

 

Ataques Ativos

?   DoS/DDoS

?   Reduzir a qualidade de serviço a níveis intoleráveis

?   Tanto mais difícil quanto maior for a infra-estrutura do alvo

?   Enquanto DoS é de fácil execução e pode ser corrigido, DDoS é de difícil e não pode ser evitado

?   “Zombies” e Mestres (Masters), ataque smurf

?   BOTs e BOTNets, ataques “massificados” por banda larga

?   Tipos

? Consumo de Recursos (largura de banda, cpu, RAM, ...)þ

? Pacotes malformados (todas as flags ligadas)þ

Ataques Ativos (cont.)þ

?   Buffer Overflow

?   Sobrescrever o próprio código em execução

?   “Shell code”, escrito em assembler

?   Tem como objetivo executar algum código, ou conseguir acesso privilegiado

?   Ataques SYN

?   Fragilidade nativa do TCP/IP

?   Conexão de 3-vias (Syn, Syn-Ack, Ack)þ

?   Spoofing

?   Se fazer passar por outro ativo da rede

?   MITM (Man-In-The-Middle)þ

Ataques Ativos (Cont.)þ

?    Lixeiros

?   Documentos sensíveis mal descartados

?   Informações em hardwares obsoletos

?   Falta de Política de Classificação da Informação

?    Engenharia social

?   Kevin Mitnick

?   Normalmente relevada nos esquemas de segurança

?   Utiliza-se do orgulho e necessidade de auto-reconhecimento, intrínseco do ser humano

 

     “Um computador não estará seguro nem quando desligado e trancado em uma sala, pois mesmo assim alguém pode ser instruído a ligá-lo.”

 

[ Kevin Mitnick – A arte de enganar/The Art of Deception ]

Ataques Passívos

?    Normalmente utilizado antes de um ataque ativo

?    Pesquisa de Vulnerabilidades

?   Pesquisa por Portas/Serviços

?  http://www.insecure.org – Nmap

?    Escuta (sniffing)þ

?   Extremamente difícil detecção

?   Não provoca ruído sensível

?   Senhas em texto claro, comunicações não encriptadas

?   Redes compartilhadas Vs comutadas

?  Switch Vs Hub

?   EtheReal (Win), TCPDump (Lin)þ

?  http://www.ethereal.com

?  http://www.tcpdump.org

 

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX  

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

AULA 01

 

Segurança Logica de Redes

Alberto Viegas

Apresentação

?     Alberto Viegas

?   Graduação em Administração de Emrpesas;

?   Pós Graduando em Segurança da INformação;

?   Certificado pela Red Hat (RHCE), LPIC-1, ICS;

?   +10 anos de experiência da área de TI;

?   +5 anos de experiência na área de segurança da informação com enfase em Software Livre;

Objetivos desta Cadeira

?    Uma reflexão sobre Informação nos dias atuais;

?    Apresentar uma visão geral dos conceitos básicos e fundamentais, domínios de conhecimento, relacionados à Segurança de Informações;

?    Falar sobre tipos de mídia e repositórios de informação disponíveis; Protocolos Seguros

?    Politicas de Seguraça

?    Identificar e tipificar ataques segundo suas principais características e formas de execução;

?    Apresentar ferramental inicial.

PARTE 1

 A Informação

Informação (Michaelis)þ

?    do Lat. informatione

 

s. f.,

     Ato ou efeito de informar ou informar-se;

     Comunicação;

     Conjunto de conhecimentos sobre alguém ou alguma coisa;

     Conhecimentos obtidos por alguém;

     Fato ou acontecimento que é levado ao conhecimento de alguém ou de um público através de palavras, sons ou imagens;

     Elemento de conhecimento susceptível de ser transmitido e conservado graças a um suporte e um código.

Propriedade (Michealis)þ

?    do Lat. proprietate

 

s. f.,

     Aquilo que pertença legitimamente a alguém ou sobre o qual alguém tenha direito pleno;

     Bens, posses;

     Patrimônio físico(tangível) e imaterial(intangível).

Consideração

? E quando o patrimônio é a informação?

Considerações

?  Segundo a Universidade da Califórnia em Berkeley(2005) :

? Existe aproximadamente 2.5 Bilhões de documentos acessíveis na WEB;

? Este número cresce em cerca de 700 mil páginas por dia.

?  Velhos jargões

? “O segredo é a alma do negócio”;

?  Novas tendências

? Mundo Globalizado, Ubiqüidade, Acesso a Informação.

PARTE 2

? Conceitos

Axioma de Segurança

 

 

“Uma corrente não é mais forte que o seu elo mais fraco”

Segurança da Informação

?   “A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de segurança, tendo como objetivo a proteção das informações dos clientes e da empresa ( ativos/bens), controlando o risco de revelação ou alteração por pessoas não autorizadas.”

Política de Segurança

?  Trata-se um conjunto de diretrizes (normas) que definem formalmente as regras e os direitos dos usuários, visando à proteção adequada dos ativos da informação

Ativos (Bens)þ

Definições

?    Ameaça

?  Evento ou atitude indesejável que potencialmente remove, desabilita, danifica ou destrói um recurso;

?    Vulnerabilidade

?  Característica de fraqueza de um bem;

?  Características de modificação e de captação de que podem ser alvos os bens, ativos, ou recursos intangíveis de informática, respectivamente, software, ou programas de bancos de dados, ou informações, ou ainda a imagem corporativa.

Conceitos Básicos

?   Risco

? A probabilidade da ocorrência de uma ameaça em particular

? A probabilidade que uma ameaça explore uma determinada vulnerabilidade de um recurso

Ameaça, Vulnerabilidade e Risco

?  Ameaça (evento)þ

? assalto a uma agência bancária

?  Vulnerabilidade (ponto falho)þ

? liberação manual das portas giratórias pelos vigilantes

?  Risco

? baixo, devido ao percentual de assaltos versus o universo de agências

? alto, se comparando as tentativas frustradas versus as bem sucedidas

Conceitos Fundamentais

?  Princípios da Segurança

CIA – Confidencialidade

?  Propriedade de manter a informação a salvo de acesso e divulgação não autorizados;

?  Proteger as informações contra acesso de qualquer pessoa não devidamente autorizada pelo dono da informação, ou seja, as informações e processos são liberados apenas a pessoas autorizadas.

CIA – Integridade

?  Propriedade de manter a informação acurada, completa e atualizada

?  Princípio de segurança da informação através do qual é garantida a autenticidade da informação

?  O usuário que arquiva dados espera que o conteúdo de seus arquivos não seja alterado por erros de sistema no suporte físico ou lógico

CIA – Disponibilidade (Availability)þ

?  Propriedade de manter a informação disponível para os usuários, quando estes dela necessitarem

?  Relação ou percentagem de tempo, em que uma unidade do equipamento de processamento está funcionando corretamente

Princípios Auxiliares

Controle de Acesso

?  Suporta os princípios da CIA

?  São mecanismos que limitam o acesso a recursos, baseando-se na identidade do usuário, grupo que integra e função que assume.

?  Em segurança, é suportado pela tríade AAA (definida na RFC 3127)þ

Auditoria (Accountability)þ

?  É a capacidade que um sistema tem de determinar as ações e comportamentos de um único indivíduo no sistema, e de identificar este indivíduo;

?  Trilha de auditoria, tentativas de acesso, problemas e erros de máquina, e outros eventos monitorados ou controlados.

 

Autenticação

?  Propriedade de confirmar a identidade de uma pessoa ou entidade.

?  Meio pelo qual a identidade de um usuário é confirmada, e garante que ele realmente é quem diz ser

Autorização

?  São os direitos ou permissões, concedidos a um indivíduo ou processo, que permite acesso a um dado recurso.

?  Após a identificação e autenticação de um usuário terem sido estabelecidas, os níveis de autorização irão determinar a extensão dos direitos que este usuário pode ter em um dado sistema.

Sigilo

?   Trata-se do nível de confidencialidade e garantia de privacidade de um usuário no sistema;

?   Ex.: Garante a privacidade dos dados de um usuário em relação ao operador do sistema.

Mecanismos de Controle de Acesso

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX  

Segurança Lõgica de Redes

Alberto Viegas

Objetivos desta Cadeira

Uma reflexão sobre Informação nos dias atuais;

Apresentar uma visão geral dos conceitos básicos e fundamentais, domínios de conhecimento, relacionados à Segurança de Informações;Falar sobre tipos de m

ídia e repositórios de informação disponíveis; Protocolos Seguros

Politicas de SeguraçaIdentificar e tipificar ataques segundo suas principais caracter

ísticas e formas de execução;

Apresentar ferramental inicial.

Apresentação

Alberto Viegas

Graduação em Administração de Emrpesas;Pós Graduando em Segurança da INformação;

Certificado pela Red Hat (RHCE), LPIC-1, ICS;

+10 anos de experiência da área de TI;

+5 anos de experiência na área de segurança da informação com enfase em Software Livre;

PARTE 1

A Informação

Informação (Michaelis)þ

do Lat. informatione

 

s. f.,

Ato ou efeito de informar ou informar-se;

Comunicação;

Conjunto de conhecimentos sobre alguém ou alguma coisa;Conhecimentos obtidos por algu

ém;

Fato ou acontecimento que é levado ao conhecimento de alguém ou de um público através de palavras, sons ou imagens;

Elemento de conhecimento susceptível de ser transmitido e conservado graças a um suporte e um código.

Propriedade (Michealis)þ

do Lat. proprietate

 

s. f.,

Aquilo que pertença legitimamente a alguém ou sobre o qual alguém tenha direito pleno;

Bens, posses;

Patrimônio físico(tangível) e imaterial(intangível).

Consideração

E quando o patrimônio é a informação?

Considerações

Segundo a Universidade da Califórnia em Berkeley(2005):Existe aproximadamente 2.5 Bilhões de documentos acessíveis na WEB;

Este número cresce em cerca de 700 mil páginas por dia.

Velhos jargões

"O segredo é a alma do negócio";

Novas tendências

Mundo Globalizado, Ubiqüidade, Acesso a Informação.

PARTE 2

Conceitos

Axioma de Segurança

 

 

"Uma corrente não é mais forte que o seu elo mais fraco"

Segurança da Informação

"A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de segurança, tendo como objetivo a proteção das informações dos clientes e da empresa (ativos/bens), controlando o risco de revelação ou alteração por pessoas não autorizadas."

Política de Segurança

Trata-se um conjunto de diretrizes (normas) que definem formalmente as regras e os direitos dos usuários, visando à proteção adequada dos ativos da informação

Ativos (Bens)þ

Definições

Ameaça

Evento ou atitude indesejável que potencialmente remove, desabilita, danifica ou destrói um recurso;

Vulnerabilidade

Característica de fraqueza de um bem;

Características de modificação e de captação de que podem ser alvos os bens, ativos, ou recursos intangíveis de informática, respectivamente, software, ou programas de bancos de dados, ou informações, ou ainda a imagem corporativa.

Conceitos Básicos

Risco

A probabilidade da ocorrência de uma ameaça em particular

A probabilidade que uma ameaça explore uma determinada vulnerabilidade de um recurso

Ameaça, Vulnerabilidade e Risco

Ameaça (evento)þ

assalto a uma agência bancária

Vulnerabilidade (ponto falho)þ

liberação manual das portas giratórias pelos vigilantes

Risco

baixo, devido ao percentual de assaltos versus o universo de agências

alto, se comparando as tentativas frustradas versus as bem sucedidas

Conceitos Fundamentais

Princípios da Segurança

CIA – Confidencialidade

Propriedade de manter a informação a salvo de acesso e divulgação não autorizados;

Proteger as informações contra acesso de qualquer pessoa não devidamente autorizada pelo dono da informação, ou seja, as informações e processos são liberados apenas a pessoas autorizadas.

CIA – Integridade

Propriedade de manter a informação acurada, completa e atualizadaPrinc

ípio de segurança da informação através do qual é garantida a autenticidade da informação

O usuário que arquiva dados espera que o conteúdo de seus arquivos não seja alterado por erros de sistema no suporte físico ou lógico

CIA – Disponibilidade (Availability)þ

Propriedade de manter a informação disponível para os usuários, quando estes dela necessitarem

Relação ou percentagem de tempo, em que uma unidade do equipamento de processamento está funcionando corretamente

Princípios Auxiliares

Controle de Acesso

Suporta os princípios da CIA

São mecanismos que limitam o acesso a recursos, baseando-se na identidade do usuário, grupo que integra e função que assume.

Em segurança, é suportado pela tríade AAA (definida na RFC 3127)þ

Auditoria (Accountability)þ

É a capacidade que um sistema tem de determinar as ações e comportamentos de um único indivíduo no sistema, e de identificar este indivíduo;

Trilha de auditoria, tentativas de acesso, problemas e erros de máquina, e outros eventos monitorados ou controlados.

Autenticação

Propriedade de confirmar a identidade de uma pessoa ou entidade.

Meio pelo qual a identidade de um usuário é confirmada, e garante que ele realmente é quem diz ser

Autorização

São os direitos ou permissões, concedidos a um indivíduo ou processo, que permite acesso a um dado recurso.

Após a identificação e autenticação de um usuário terem sido estabelecidas, os níveis de autorização irão determinar a extensão dos direitos que este usuário pode ter em um dado sistema.

Sigilo

Trata-se do nível de confidencialidade e garantia de privacidade de um usuário no sistema;

Ex.: Garante a privacidade dos dados de um usuário em relação ao operador do sistema.

Mecanismos de Controle de Acesso

PARTE 3

Onde Começar ?

Leis Imutáveis da Segurança

Ninguém acredita que nada de mal possa acontecer até que acontece;Seguran

ça só funciona se a forma de se manter seguro for uma forma simples;

Se você não realiza as correções de segurança, sua rede não será sua por muito tempo;Vigil

ância eterna é o preço da segurança;

Segurança por Obscuridade, não é segurança;

LOGs, se não auditá-los, melhor não tê-los.

Leis Imutáveis da Segurança

Existe realmente alguém tentando quebrar (adivinhar) sua senha;A rede mais segura

é uma rede bem administrada;

A dificuldade de defender uma rede é diretamente proporcional a sua complexidade;Seguran

ça não se propõe a evitar os riscos, e sim gerenciá-los;

Tecnologia não é tudo.

 

By Scott Pulp – Security Program Manager at Microsoft Security Response Center

9a Pesquisa Nacional de Segurança da Informação

Adequação a Legislação, Normas e Regulamentos

Principais Destaques

Para 78% dos entrevistados, as ameaças, os riscos e os ataques deverão aumentar em 2004.

Número de incidentes aumentou de 54.000+ para 77.000+ de 2004 para 2005

 

42% das empresas tiveram problemas com a Segurança da Informação nos seis meses anteriores à pesquisa.

 

35% das empresas reconhecem que tiveram perdas financeiras. Já o percentual de empresas que não conseguiram quantificar essas perdas diminuiu de 72%, em 2002, para 65%, em 2003.

Principais Destaques

Vírus (66%), funcionários insatisfeitos (53%), divulgação de senhas (51%), acessos indevidos (49%) e vazamento de informações (47%) foram apontados como as cinco principais ameaças à segurança das informações nas empresas.

 

O percentual de empresas que afirmam ter sofrido ataques e invasões subiu de 43%, em 2002, para 77%, em 2003.

 

32% dos entrevistados apontam os hackers como os principais responsáveis por ataques e invasões de sistemas corporativos.

Principais Destaques

26% das empresas não conseguem sequer identificar os responsáveis pelos ataques.

 

48% não possuem nenhum plano de ação formalizado em caso de invasões e ataques.

 

60% indicam a internet como principal ponto de invasão em seus sistemas.

 

58% dos entrevistados sentem-se inseguros para comprar em sites de comércio eletrônico por causa da sensação de falta de segurança.

Principais Destaques

60% das empresas fazem Planejamento de Segurança, sendo que 27% possuem Planejamento para até 1 ano.

 

A área de Tecnologia (49,5%) continua sendo a principal responsável pelo gerenciamento da Segurança da Informação nas empresas, seguida pela área específica, Security Office, com 25,5%.

 

Pelo terceiro ano consecutivo, antivírus (90%), sistemas de backup (76,5%) e firewall (75,5%) foram apontados como as três medidas de segurança mais implementadas nas empresas.

Principais Destaques

60% afirmam que os investimentos de suas empresas em Segurança para 2004 vão aumentar.

"São Paulo, 22 de março de 2006 – Segurança da Informação permanece em 2006 na lista de prioridades dos investimentos reservados para tecnologia das empresas em todo o mundo."

 

(IDC Brasil: IDC Brasil IT Security & Business Continuity Conference 2006)þ

Ameaças, Ataques e Invasões

Ameaças, Ataques e Invasões

A Importância da Segurança

A Importância da Segurança

Importância da Segurança

Incidentes NBSO/NIC

Incidentes NBSO/NIC

Incidentes NBSO/NIC

Incidentes NBSO/NIC

Tipo de Ataque Acumulado

Total Anualizado

Relatório de Incidentes CAIS/RNP

Relatório de Incidentes CAIS/RNP

Incidentes CERT/CC

Informações da Indústria

55% dos trabalhadores trocam mensagens potencialmente ofensivas pelo menos uma vez por mês (PC Week)þ

30-40% da navegação na web não está relacionada ao negócio da empresa (IDC)þ

Em pesquisa com 13.000 usuários de eMail, 90% afirma receber spam pelo menos uma vez por dia (Gartner Group)þ

Em pesquisa com 800 trabalhadores, 21-31% admitem enviar informações confidenciais para caixas postais
externas a organização via eMail
(PC Week)þ

Empresas Reais, Problemas Reais

A Microsoft foi hackeada várias vezes

Protestantes hackearam o World Economic Forum

15,700 número de cartões de crédito e de débito de clientes da Western Union foram roubados por hackers

Hackers tentaram chantagear a VISA por $11M

Dados dos clientes do Barclay Bank foram expostos

Hacker tentou chantagear a Bloomberg $200mil

As contas secretas do Credit Suisse foram expostas

8.071 casos documentados em http://www.attrition.org/(8/1/99-1/4/01)þ

Responsabilidades da Empresa

"Desde que uma empresa fornece acesso internet a seus funcionários, esta empresa torna-se responsável pelo que ele faz, a menos que possa provar que tomou as medidas cabíveis para evitar problemas"

 

Corporate Politics on the Internet:
Connection with Controversy, 1996

Segurança nas Organizações Segurança é um "processo" que tenta manter protegido um sistema complexo composto de muitas entidades:

Tecnologia (hardware, software, redes)þ

Processos (procedimentos, manuais)þ

Pessoas (cultura, conhecimento)þ

Estas entidades interagem das formas mais variadas e imprevisíveis

A Segurança falhará se focar apenas em parte do problema

Tecnologia não é nem o problema inteiro, nem a solução inteira

Segurança nas Organizações

Segurança x Custo x Funcionalidade Determinar a segurança adequada considerando: Ameaças que você enfrenta

Sua disposição a aceitar riscosO valor de seus ativos da informa

ção

 

 

 

 

 

 

 

Segurança absoluta é inatingível

Ciclo de Segurança

Análise da Segurança (Risk Assessment)þ

Definição e Atualização de Regras de Segurança (Política de Segurança)þ

Implementação e Divulgação das Regras de Se