TDHX, é a sua Solução para Segurança de seus Dados
Por que me preocupar com a segurança de minha rede?
Atualmente uma grande maioria de pessoas não tem a noção da importância e valor de seus Dados e ainda vêem como custo a preservação dos seus dados, quando deveria ser visto como um ótimo investimento. Esta visão míope também se estende aos serviços de manutenção na rede, só é percebido quando ocorre acidentes ou sinistro que compromete suas informações, neste caso pode advir alto prejuízos a empresa, se há recursos para proteger seu sistema de informações, então porque não fazê-lo?
Pergunta a si mesmo e responda. Quanto vale os seus dados? Quanto vale a sua empresa? Será que um serviço de segurança qualificada pode valer mais que o seus dados e a sua empresa? Saber que os seus dados na sua empresa esta vulnerável a ataques, deixa-o tranqüilo? E ainda pelo fato de aparentemente nunca ter sofrido uma invasão ou um ataque virulento, não signifique que a empresa esta segura. Isso é pura fantasia.
Hoje no mundo capitalista e informatizado, o tempo e toda a informação valem dinheiro e muito. Será preciso pagar pra ver acontecer? Se não houver proteção certamente acontecerá. E o custo pode ser altíssimo. Em alguns casos os riscos são muito grande que abala a estrutura de uma empresa.
Mas por que alguém iria querer invadir e/ou atacar o meu sistema?
Para esta pergunta poderemos enumerar dezenas de motivos para que isso possa acontecer. Alguns desses motivos seriam:
• utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor;
• utilizar seu computador para lançar ataques contra outros computadores;
• utilizar seu disco rígido como repositório de dados;
• destruir informações (vandalismo);
• disseminar mensagens alarmantes e falsas;
• ler e enviar e-mails em seu nome;
• propagar vírus de computador;
• furtar números de cartões de crédito e senhas bancárias;
• furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por você;
• furtar dados do seu computador, como por exemplo, informações do seu Imposto de Renda.
• engenharia social
O que é engenharia social?
É um termo usado para descrever um ataque onde o invasor procura obter informações sobre o seu futuro alvo através de persuasão.
Vamos citar alguns exemplos onde por sinal esta muito difundido pela mídia hoje em dia mas que ainda pega muita gente.
Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O ultimo exemplo apresenta um ataque realizado por telefone.
Exemplo 1: você recebe uma mensagem e-mail, onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo que está anexado a mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso à conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso a conta bancária e enviá-la para o atacante.
Exemplo 2: você recebe uma mensagem de e-mail, dizendo que seu computador está infectado por um vírus. A mensagem sugere que você instale uma ferramenta disponível em um site da
Internet, para eliminar o vírus de seu computador. A real função desta ferramenta não é eliminar um vírus, mas sim permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados.
Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor. Nesta ligação ele diz que sua conexão com a Internet está apresentando algum problema e, então, pede sua senha para corrigi-lo. Caso você entregue sua senha, este suposto técnico poderia realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a Internet e, portanto, relacionando tais atividades ao seu nome.
Estes casos mostram ataques típicos de engenharia social, pois os discursos apresentados nos exemplos procuram induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas.
Mas o que é um sistema seguro?
Todo sistema computacional dita como seguro deverá atender a três requisitos básicos:
Confiabilidade: Toda a informação deverá estar disponível apenas para aqueles devidamente autorizados.
Integridade: Toda a informação armazenada não será destruída, corrompida ou modificada. E o sistema deve ter um desempenho correto
Disponibilidade: Todos os serviços e recursos deverão ser totalmente disponíveis sempre quando forem requisitados.
Para que isso fique mais claro, darei alguns exemplos de invasões para cara requisito:
A confiabilidade de um sistema perderá a sua razão quando esta sofrer um acesso não autorizado onde isso poderá acarretar diversas situações:
a) Leitura de todas as informações contidas na sua declaração de imposto de renda. Isso levará ao invasor ter total acesso as suas informações de renda, investimento, bens, poupança. A parti daí poderá ter uma noção de todo o faturamento da empresa. Tornando-se um alvo em potencial.
b) Poderá ter acesso aos seus projetos. O invasor depois poderá vender estas informações para a sua concorrência, pois assim ele saberá a os seus investimentos para o projeto, quanto irá cobrar por eles e etc. E com isso o concorrente poderá se antecipar tornando-se uma concorrência desleal.
A integridade de um sistema perderá a sua razão quando esta sofrer um acesso não autorizado e o invasor fizer alterações indevidas em seus dados e isso poderá acarretar diversas situações:
a) Após o sistema ter sofrido uma invasão, ele poderá fazer tudo o que ele quiser. Desde modificar, apagar e roubar todos os seus dados e isso incluem seus projetos, informações sobre o seu importo de renda, cadastros de clientes, pagamentos a receber e a pagar, simplesmente tudo. Tudo que tiver na sua rede o invasor terá acesso.
b) Mas simplesmente ele poderá provocar um colapso na rede e em todos os seu sistemas só para que a empresa perca tempo e dinheiro.
A disponibilidade de um sistema perderá a sua razão quando esta sofrer uma grande sobrecarga ou um ataque de negação de serviço (DDoS).
a) Isso poderá ocasionar perda de desempenho e podendo ficar impossibilitado de enviar qualquer informação para fora e também de receber qualquer informação (estas informações seriam e-mail, envio de declaração de imposto de renda, pagamentos on-line, etc.).
Mas além destes requisitos básicos há algo muito importante a ser considerado. É a política de segurança onde toda empresa ou instituição deverá seguir a risca. Mas o que é política de segurança?
O que é política de segurança?
Um sistema seguro não só se aplica a ela mesma. Não adianta nada só implementar e instalar toda uma infra-estrutura e sistemas. É necessária uma política de segurança atribui a direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham.
Uma política de segurança também deve prever o que pode ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que descumprir a política de segurança pode ser considerado um incidente de segurança.
Na política de segurança também são definidas as penalidades às quais estão sujeitos aqueles que não cumprirem a política.
O que é um incidente de segurança?
Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.
São exemplos de incidentes de segurança:
• tentativas de ganhar acesso não autorizado a sistemas ou dados;
• ataques de negação de serviço;
• uso ou acesso não autorizado a um sistema;
• modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;
• desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.
Alguns dados importantes:
Os gráficos das figs. 1 e 2 são notificações voluntárias e refletem os incidentes ocorridos em redes que espontaneamente os notificaram ao CERT.Br (Centro de Estudo, Resposta e Tratamento de Incidentes de Segurança do Brasil) e os gráficos das figs. 3 ao 5 foram formulados a partir de pesquisas feitas por empresas de diversos setores no EUA pelo CSI (Computer Security Institute)
Os gráficos (Figs. 1 e 2) demonstram como os incidentes e spams vem aumentando.
Fig. 1 - Gráfico fornecido pelo CERT.Br
Fig. 2 - Gráfico fornecido pelo CERT.br
As perdas decorrentes de fraudes e o mau uso ou falhas nos sistemas de segurança das empresas, vem aumentando. (Fig.3)
Em decorrência disso há um aumento das necessidades de uma implementação de soluções de segurança para minimizar riscos de perdas e aumentar a garantia de continuidade dos negócios das empresas.
O próximo gráfico (Fig. 4) identifica os tipos de tecnologias de segurança mais utilizadas pelas organizações.
Fig. 3 - Gráfico fornecido pelo CSI - Computer Security Institute
Fig 4 - Gráfico fornecido pelo CSI - Computer Security Institute
Neste gráfico os participantes do exame foram pedidos também para avaliar a importância da consciência da segurança que treina a suas organizações em cada uma de diversas áreas.
Mas como posso impedir que isso tudo possa acontecer?
A TDHX possuí um leque de soluções para diversas situações. Onde existe um profundo planejamento e implementação com profissionais altamente qualificados. Proporcionando assim soluções completas, objetivas e definitivas para a segurança da informação, abrangendo um conjunto variado de ambientes e plataformas.
Seguem algumas de nossas soluções:
- Monitoramento e Suporte de Segurança de Sites
- Suporte e Gerenciamento Remoto de Segurança
- Planejamento Estratégico de Segurança da Informação
- Acesso Remoto Seguro
- Implantação de VPN
- e-Mail Seguro
- Integração de Soluções de Segurança
- Solução de Antivírus
- Web Site Seguro
- Migração e Implantação de Windows 2003 Server
Para maiores informações e detalhes, consulte-nos.
sábado, 12 de março de 2011
Postado por Henrique da Silva às 13:04 0 comentários
Assinar:
Postagens (Atom)

