Segurança da Informação Para Sistemas Distribuidos

Page 1

Luis Aguiar


L1

São um conjunto de controles, (incluindo políticas, processos, estruturas organizacionais, normas e procedimentos de segurança,) com o objetivo de proteger dados e informações de clientes e ou empresas, nos seus aspectos de confidencialidade, integridade e disponibilidade. Andrew S. Tanenbaum


Slide 2 L1

LuisAguiar; 23/09/2011


Coleção de computadores independentes que se apresenta ao usuário como um sistema único e consistente Andrew S. Tanenbaum


São sistemas onde a centralização das informações não se resume a um ou dois servidores, e sim em grandes servidores de bancos de dados e ou aplicações que são replicados para os diversos data centers que devem fazer parte do sistema e que passam transparentes ao usuário final. Luis A. Aguiar


1971 inicio da Internet para fins de comunicação; 1995 inicio da Internet Comercial no Brasil; Implementação de Sistemas Distribuídos com alto custo; Links dedicados com custos altos, ex: REMPAC (R$ 1.500,00 por 64Kbps); Segurança dos sistemas engatinhando; 1971, primeiro vírus (Creeper) emitia periodicamente na tela a mensagem: "I'm a creeper... catch me if you can!" (Sou uma trepadeira, agarrem-me se puderem). Para eliminar este virus foi criado o primeiro programa antivirus denominado Reaper.


Internet: Google Apps, Virtualização (nuvens) Sistemas de Gerenciamento de Passagens aéreas ou terrestre; Sistemas Governamentais tais como: SUS, Receita Federal, Bancos, etc; Peer to Peer: Emule, Torrent, SETI (Projeto

Seti at home que visa procurar em sinais de rádio interplanetários algum vestígio de vida extraterrestre.),

etc.


Falhas iniciam nos procedimentos de seguranças comuns a quaisquer sistemas tais como: Senhas fracas; Sistema de backup falho ou ausente; Portas abertas e Falhas em sistemas de log; Sistemas sem fio desprotegidas; Falha nas camadas de segurança dos sistemas operacionais; “Trojan humano”, engenheiros sociais disfarçados de terceirizados ou semelhante.


90% das falhas vêem de dentro da própria empresa (fonte: CERT-CGI); Falta de treinamento para os funcionários; Contratação irregular de terceirizados; Escolha dos softwares de compõem o sistema (pirataria); Disponibilização de acessos restritos sem auditoria; Ausência de PenTests (testes de penetração); Falha no descarte de material de trabalho (papel, smartphones, mídias óticas pendrives) Falta de uma política de segurança (interna e externa) Falha na implementação: politicas, serviços, processos, etc


O deputado Hugo Leal (PSC/RJ) apresentou dados de uma pesquisa feita pelo TCU, que revelam: 88% dos 256 órgãos da administração pública federal tiveram nota inferior a 50 (0 a 100) na avaliação do nível de governança de TI. E 63% sequer possuem um plano diretor de informática aprovado e publicado.


A equipe da British Telecom conseguiu descobrir que um BlackBerry pertenceu a um diretor sênior de vendas de uma empresa japonesa. Eles recuperaram o seu histórico de chamadas, 249 contatos, sua agenda, 90 endereços de e-mail e 291 e-mails. Isto permitiu determinar a estrutura da sua organização, o futuro plano de negócios e os principais clientes, projetos de viagem, detalhes sobre a família do proprietário — incluindo filhos, estado civil, endereço, datas de consulta e endereços de assistência médica e odontológica, dados de conta bancária e o número da licença do automóvel.


Emails pessoais


Disponibilização de acesso irrestrito as mídias digitais (cd, dvd, pen drive, bluethooth etc)


A posição mais alta no ranking de ameaças virtuais no Trojan AutorunINF.Gen (9,14%)

Junto com o WormAutorun.VHG (4,31%) , acumulam quase 14% do total de registros de ataques cibernéticos no Brasil. Isto faz com que a função autorun dos dispositivos removíveis abra uma brecha para qualquer tipo de ataque.


Escolha de um ou mais Data Centers; Treinamento (funcionários e parceiros); Implementar Auditorias; Contratação de uma equipe de segurança da informação; Implementar software de gestão com segurança aumentada (ssl, java, criptografia forte , vpn, etc); Implantação de Frameworks com processos que objetivem a segurança (ISO27001, ITIL, COBIT, etc; Implementar Pentests; Implementar protocolo IPV6; Métodos de reação a eventuais falhas ou vulnerabilidades.


DESCULPE NÃO EXISTEM RECUSOS FINANCEIROS, AS PRIORIDADES SÃO OUTRAS (Muitas vezes é só desculpa); PORQUE CONTINUAM FALANDO SOBRE IMPLEMENTAÇÃO DA POLITICA? (Executivos não compreendem os reais benefícios); DESCULPE É MUITO COMPLEXO (complexo não significa que deva ser ignorado); A POLÍTICA DE SEGURANÇA VAI FAZER COM QUE EU PERCA MEU PODER?


DataCenter da Microsoft em Santo Ant么nio, California 46.000m虏



Espionagem industrial (Invasões); Desejo de possuir o produto (CNPJ, emails, Num. De Cartão de Crédito, Numerários) Conteúdo exclusivo aumenta o desejo de acesso para roubar dados (Ex. Endereços, telefones, emails, Cartões de crédito); Lei para crimes da Internet ainda muito branda ou ausente.


Redação final do Substitutivo do Senado ao Projeto de Lei da Câmara nº 89, de 2003 (nº 84, de 1999, na Casa de origem)., que altera o Decreto-Lei nº 2848, de 07 de dezembro de 1940 - Código Penal e a Lei nº 9296, de 24 de julho de 1996, e dá outras providências.

DOS CRIMES CONTRA A SEGURANÇA DOS SISTEMAS INFORMATIZADOS Art. 285-A. Acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso: Pena - reclusão, de 1 (um) a 3 (três) anos, e multa.


“Inserção ou difusão de código malicioso” Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado: Pena – reclusão, de 1 (um) a 3 (três) anos, e multa. § 1º Inserção ou difusão de código malicioso seguido de dano Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa. “Divulgação ou utilização indevida de informações e dados pessoais” Art. 339-C. Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal: Pena – detenção, de 1 (um) a 2 (dois) anos, e multa.


A segurança da informação está vulnerável em sistemas distribuídos. Infelizmente no Brasil, a cultura de querer tirar vantagem sempre em alguma coisa, faz com que os detentores de informações privilegiadas corrompamse e acabem por vender ou trocar por favores estas informações, aliado a falta de uma política de leis severas e a efetiva aplicação das mesmas para os que praticam atos de cybercrimes. Um conjunto de Soluções tais como: software, hardware, processos, treinamento, implementação de frameworks e auditorias são as formas de se tentar manter a segurança das informações sejam elas em Sistemas Distribuídos ou no seu Servidor Local.


Pense grande. Águias não caçam moscas. OBRIGADO Provérbio latino



Luis Alberto Lyra de Aguiar Formado em Sistemas de Informação. - Trabalhou como Gestor de TI em empresas de grande porte tais como São Paulo Alpargatas(SP), CEPROL(CE), Pagfacil(PB); - Possui mais de 20 anos vivência em TI; -Possui diversos cursos na área de TI tais como: COBIT, TCP/IP Microsoft Offcial Curriculun, Windows Server 2003, Segurança da Informação, etc.


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.