A importância da informação nos negócios e segurança

A Informação nos processos de Negócio A informação está presente cada vez mais nos processos de negócio. Informação é essencial para o negócio funcionar.

Porém, deve-se tomar cuidado com a informação disponibilizada, pois esta pode causar prejuízos.

O Crescimento da dependência da Informação - Evolução dos riscos Cada dia mais as empresas dependem das informações. Elas trocam informações. Muitas vezes a informação só tem valor para a empresa se ela está circulando. Por isso, que fica mais difícil e complexo a proteção dela. Os riscos hoje são maiores do que os de antigamente porque agora compartilhamos informações para ela ter valor aos negócios. Então cada vez mais você depende dessa informação, cada vez mais você está interconectado. Então, tudo isso aumento o número de riscos e devem ser devidamente tratados.

Propriedades da Informação (CIDAL) Confidencialidade: Significa que a informação tem um grau de sigilo adequado aos seus participantes. Ou seja, se eu mandei uma informação que é confidencial só eu e a pessoa para quem eu mandei teremos acesso a essa informação. Então, se outra pessoa entrar no círculo não irá ver a informação, não terá acesso a informação.

Integridade: Que dizer a operações devidas e indevidas das mensagens. Se a mensagem tiver integridade então ela não sofrerá alterações indevidas. Exemplo: eu vou sacar dez reais e a informação chega falando que você quer sacar é mil reais. Então, a informação ela deve sair e chegar mantendo-se integra. Só pode sofrer alterações devidas.

Disponibilidade: O usuário deve ter acesso a informação no momento que ele precisar.

Autenticidade: Inclui a integridade. Está relacionado a autoria. Ou seja, alguma coisa autenticada você tem certeza de que ela veio de quem diz ter vindo. Então, se eu mandei uma mensagem e disse que ela é minha (se a mensagem foi autenticada). Tem que ser possível você confirmar se ela é sua mesmo.

Legalidade: Ela não pode infringir nenhuma lei. Ela deve estar conforme com as leis, governo.

Ciclo de vida da Informação (MATD) Descreve o que acontece com a informação desde de quando ela nasce e morre (deixa de ser importante).

Manuseio: Diz respeito a toda parte de criação e atualização de conteúdo da informação.

Armazenamento: A informação é armazenada que seria ela em repouso. Exemplo: em cofre, servidores, etc.

Transporte: Quando você envia a informação ela está em trânsito. Exemplo: carta lacrada, e-mail, etc.

Descarte: Quando a informação perde a utilidade, chega ao final da vida dela, ela será descartada. Exemplo: Pode dar um delete, jogar o cd fora, picotar, etc.

O que são Hackers – Tipos São especialistas em programação, tem habilidades de descobrir furos e falhas de sistemas. Eles têm uma ética hacker, gostam de compartilhar seu conhecimento.

Cracker tem intenções maliciosas é uma instância de hacker.

Por que a Engenharia Social é eficaz É você usar dos sentimentos humanos, de artifícios para chegar até as pessoas e persuadi-las a fazer coisas que elas não fariam em situações normais. Elogiar ou apelar para algum sentimento dela, etc. Porque eficaz: Porque muitas vezes as pessoas não estão preparadas para uma abordagem.

Visão do Iceberg (da segurança) porção de gelo que vemos fora da linha d’agua é comumente correspondente a apenas 1/5 de todo o bloco do gelo que permanece submerso e, portanto, escondido dos nossos olhos. As pessoas têm tendência de ver a informação só a parte que é mais visível como a parte da tecnologia e o resto eles esquecem. E quando eles menos esperam as ameaças pegam eles de surpresa.

Vulnerabilidades x Ameaças Vulnerabilidades: É entendida como uma fraqueza sua, do seu sistema ou da sua empresa. Um ponto fraco que pode levar a um incidente.

Ameaças: São agentes maliciosos, geralmente externos. Intencional, malicioso que vai tentar causar um incidente.

Risco: Probabilidade de uma ameaça explorar a vulnerabilidade e transformar em incidente

O ROI da Segurança Analise que os investidores ou empresários fazem para verificar se vai valer a pena um investimento. Segurança: pegar a segurança e trata-la como se fosse um ROI tanto para o lado positivo como negativo. Pegar os problemas que tiveram no passado e pensar assim se você não faz nada, pode acontecer tudo de novo, eu vou ter os mesmos prejuízos, os mesmos incidentes que eu tive no futuro. Se eu não fizer nada eles irão se repetir. Quanto que isso vai me custar, você codifica isso. Fora o lado positivo que a segurança traz para a empresa: melhor visão da marca, contabilidade.

Então, a ideia do ROI na segurança ele é uma forma de você transformar segurança em investimento. E não em uma despesa.

Posicionamento Hierárquico da Segurança Onde a área de segurança fica no organograma da empresa. O lastima das empresas é colocar a segurança embaixo da área de T.I. Isso tem três problemas: problema de visão se o cara da segurança está em baixo, então a visão dele vai ser segurança de T.I vai se preocupar só com a parte tecnológica. Segundo problema é se o cara é subordinado a um setor ele chega em um outro setor que não é daquela área, ele não vai ter poder nenhum ali, ele não vai ter autoridade nenhuma, então ele não vai ter como transitar nas áreas da empresa que precisaria. Terceiro é o orçamento se ele está de baixo da T.I o orçamento dele é o que sobrar da T.I, geralmente dinheiro da T.I não sobra.

Risco tendendo a Zero - segurança não tem risco zero. Não adianta tentar zerar porque você além de poder ter prejuízo, se você consegue zerar ele hoje amanhã ele pode não ser mais zero. Risco é dinâmico. Então, a gente tende zera-lo ao máximo e ou tende a trazer o risco a um nível que você é capaz de suportar.

ISO 17799 - série de controles, recomendações, boas práticas de segurança. Ela serve para recomendar boas práticas de segurança, ela não manda nada, apenas recomenda.

ISO 27001 - norma de certificação. Ou seja a empresa é obrigada a fazer para ter uma certificação de segurança Ela tem que implementar os controles em seu sistema.

Autenticar: garantir a autenticidade. Utilizada para pessoas, mensagens ou servidores de sistema

Repúdio: é quando você quer negar algo que foi feito

Plano de retorno: engloba todas as fases da segurança da empresa, visando a segurança

Plano Diretor de Segurança: plano a nível estratégico, que envolve tudo que se diz a respeito da segurança. Etapas: Identificação dos Processos de Negócio; o Mapeamento da Relevância; o Estudo de Impactos; o Estudo de Prioridades; o Estudo de Perímetros; o Estudo de Atividades

Sensibilidade CIDAL: pegar cada ativo e processo e classifica-los de acordo com as cinco propriedades da informação. Você verifica a sensibilidade do processo.

matriz GUT (Gravidade, urgência e tendência) ferramenta de administração e segurança do software. Pega cada item, cada ativo, cada processo e analisa-los sobre esses três prismas.

Plano de continuidade de negócios: Plano geral para tratar a contingência. Plano de contingência: planejamento para possíveis incidentes que venham a acontecer.

Política de Segurança da Informação: São as regras e normas a serem seguidas dentro de uma empresa. Níveis: Diretrizes (estratégico) , Normas (nível tático e intermediário detalham as diretrizes e procedimentos (detalham as normas)

Análise de risco: diagnóstico que as empresas fazem, pois as auditorias pedem. Faz um raio x geral de todos as possibilidades vulnerabilidades. Teste de invasão validar a segurança. Não faz a varredura de tudo, ele verifica se está tudo de acordo.

Ferramentas de autenticação: MAC’s, Criptografia, Assinatura Dig, Protocolos

Para que você precisa de autenticação? Para saber se as pessoas que você está entrando em contato são realmente quem você espera que seja.

• MACS: espécie de um código simples para verificar autenticidade da mensagem
• Assinatura Digital: É o ato de você criptografar sua mensagem com sua chave privada. Garante autenticidade. Criptografar sua mensagem com a sua a chave privada. Marca que ninguém pode tirar chave privada
• Protocolos: e um diálogo entre os dois lados e no final as informações trocadas são de origem segura.

• Criptografia: escrita oculta, escrever de uma forma que os outros não vão entender. Hoje é um meio fundamental na área de informação.
• Esteganografia: Você vê a mensagem passando, mas não acha que tem. (Através de imagens )
• Criptanalise: Processo reverso da criptografia. Verifica a força da criptografia

Técnicas Clássicas: Facilmente quebráveis utilizando a força bruta / Criptografia de César: mandava suas mensagens cifradas so os generais sabiam.

DES: algoritmo simétrico. Ele foi feito para chaves de 56 bits criptografando em blocos de 64 bits. característica efeito avalanche você criptografa a mensagem mudando um bit da mensagem e criptografa de novo 50% dos bits vão mudar. Isso dificulta totalmente o processo de tentar adivinhar qual é a chave. SEGURANÇA: USAVA TECNICAS CLASSICAS, MAS UTILIZANDO O PROPRIO COMPUTADOR PARA DIFICULTAR A QUEBRA

RSA: chave pública. Associava a criptografia a problemas matemáticos complexos SEGURANÇA: Se tem os dois números primos calcula o inverso do modular. Ou seja conseguir realizara quebra. Algoritmo mais pesado do que o DES e outros também simétricos. Esse é um algoritmo On3 cúbico. E o DES é um algoritmo On ele é linear

AES é simétrico novo padrão que substituiu o DES utilizado hoje.

DSS, Curvas elípticas (muito pesado): chave pública

Hashs Criptografico: Multiplicação com os dados para gerar numero menor. DNA da mensagem. É o resumo da mensagem que garante a identidade da mensagem. (Usado em assinatura digital)

SHA-1, MD5= HASH

AUDITORIA: Examinar em uma empresa os procedimentos, controles se estão sendo seguidos.

Natureza Operacional: Dia-a-dia (operações do dia

Natureza Financeira: Saúde financeira da empresa

Natureza Legalidade: se está em conformidade com as normas.

AUDITORIA DE TI: de natureza operacional. Conhecimento especifico do auditor

AUDITOR: Muitas vezes é melhor pegar um bom técnico de TI e treinar em auditoria. Um bom técnico não é necessariamente um bom auditor. Tem que tem um bom relacionamento pessoal, ser confiável.

Controles Organizacionais

Gerência de recursos humanos: verificar a origem das pessoas, independente do cargo

Segregação de Funções: Não permitir que uma pessoa ou grupo controle uma etapa de um mesmo processo, devido a possível fraude. Um fiscaliza o outro.

Gerência de recursos computacionais: Realizar gerencia para não esperar os problemas acontecerem.

Diferenças entre criptografia simétrica e chave pública?

Criptografia simétrica: A mesma chave que é usada para criptografar é usada para decifrar. Qual é o problema: primeiro você deve ter uma forma segura de combinar chave, segundo ele não garante a assinatura. Vantagem: é mais rápida.

Chave pública: é mais lenta, mais segura. Você cria um par de chaves, o algoritmo gera um par de chaves e essas chaves são relacionadas entre si e tem uma relação matemática. Vantagem: se eu quiser trocar mensagens com 40 pessoas eu não preciso ter quarenta pares de chaves simétricas ou secretas para cada pessoa. Eu posso ter um par de chave só, só o meu. Eu tenho a minha chave que é privada e a minha chave que é pública. E se eu quiser conversar com qualquer pessoa eu peço a pública dele e abro a privada dele.

Quando é que eu tenho assinatura digital usando a chave pública? É quando eu criptografo mensagem na minha chave privada.

O que são os Certificados Digitais – o que garantem

É a sua chave pública assinada pela sua autoridade certificadora.

Hierarquia de CA’s – o que é, como é feita, qual o motivo?

Se organizam para elas certifiquem os usuários através de um órgão maior em que isso e controlado por uma cadeia, em que uma confia na outra através de certificados gerados entre elas.