Introdução a Segurança da Informação

1
Segurança da Informação
PROF. ESP. RAFAEL DE BRITO MARQUES
rafaelmarques@leaosampaio.edu.br
O que define segurança da
informação??

2
Você precisa de uma
informação segura?
Empresas precisam de
informação segura??

3
Sistemas computacionais
precisam estar seguros???
Quais pontos devemos focar
para obter um sistema de
computação seguro??

4
• É importante definir as propriedades de segurança que devem
ser asseguradas, antecipar os tipos de ataques que podem ser
lançados e desenvolver defesas específicas.
• O projeto também pode levar em consideração questões de
usabilidade.
• Em seguida, a implementação do hardware e do software de
um sistema precisa ser rigorosamente testada para detectar
erros de programação que introduzem vulnerabilidades.
• Após o sistema ser liberado, procedimentos devem ser
adotados para monitorar o comportamento do sistema,
detectar brechas de segurança e reagir a elas.
Medidas drásticas???

5
Vulnerabilidades
Um aspecto importante da segurança de computadores é a
identificação de vulnerabilidades em sistemas de computadores.
Vulnerabilidades podem permitir a um usuário malicioso obter
acesso a dados privados e mesmo assumir pleno controle de uma
máquina e mais outras diversas formas de ataque.
Medidas preventivas?

6
A segurança da informação está diretamente
relacionada com:
• proteção de um conjunto de informações
• preservar o valor que possuem para um
indivíduo ou uma organização.

7
SEGUNDO A NBR ISO/IEC 17799:2005
A informação é :
• Um ativo que, como qualquer outro ativo importante para os negócios,
tem um valor para a organização e consequentemente necessita ser
adequadamente protegida.
A segurança da informação:
• Protege a informação de diversos tipos de ameaças para garantir a
continuidade dos negócios, minimizar os danos aos negócios e maximizar
o retorno dos investimentos e as oportunidades de negócio.
ISO/IEC 17799:2005
Atualmente o conceito de Segurança da Informação está
padronizado pela norma ISO/IEC 17799:2005, influenciada
pelo padrão inglês (British Standard) BS 7799. A série de
normas ISO/IEC 27000 foram reservadas para tratar de
padrões de Segurança da Informação, incluindo a
complementação ao trabalho original do padrão inglês. A
ISO/IEC 27002:2005 continua sendo considerada formalmente
como 17799:2005 para fins históricos

8
Plano de Continuidade de Negócio - PCN
• Composto por:
• PCN = AIN + (PAC + PCO + PRD)
PLANO DE CONTIGÊNCIA
Análise de Impacto de Negócios - AIN
Tem o objetivo de garantira continuidadede processos e informaçõesvitais à sobrevivênciada
empresa, no menor espaço de tempo possível,com o objetivo de minimizaros impactos do
desastre.
02/02/2016 16

9
Plano de Contingência
Norteia a organização no sentido de prevenção de
incidentes bem como a recuperação em caso de
desastres e em momentos de crise.
17
Modelos de Plano de Contingência
• Plano de Administração de Crise - PAC
• Definição detalhada do funcionamento das equipes envolvidas
com o acionamento da contigência antes, durante e depois da
ocorrência do incidente.
02/02/2016
18

10
• Plano de Continuidade Operacional - PCO
• Define os procedimentos para o contingenciamento
• Reduzir o tempo de indisponibilidade
• Reduzir os impactos potenciais ao negócio
• Cria atividades alternativas para manter os processos em operação
02/02/2016
19
• Plano de recuperação de desastres - PRD
• Definir um plano para restauração das funcionalidades afetadas
• Restabelecer o ambiente
• Restabelecer as condições originais da operação
02/02/2016
20

11
1. Mapeamentode processos e atividades;
2. Identificaçãodos riscos
3. Análisedos riscos
4. Análisede impactos nos processos e atividades
5. Estratégias de continuidade
6. Ações operacionais
7. Roteiro de testes
8. Ativaçãodo plano
Fases do plano de contingência
02/02/2016
21
Estratégias de Contingência
02/02/2016
Hot-site
 É a estratégia mais rápida e está sempre prestes a entrar em ação, oferecendo um
tempo mínimo ou até inexistente de paralisação do processo ou serviço.
Warm-site
Aplicável a situações menos exigentes que a anterior, porém ainda
com baixa tolerância à paralização, oferece soluções prontas para
contingenciar incidentes, porém que implicam em alguma latência de
implementação
Realocação de Operação
Prevê o desvio de atividade atingida por um incidente para outra
instalação, ambiente físico, enlace, equipamento, pertences à mesma
empresa e disponíveis.
Bureau de serviços
 Semelhanteao anterior, porémcom o uso de infraestruturaterceirizada
22

12
Estratégias de Contingência
02/02/2016
Acordo de reciprocidade
Empresas semelhantes compartilham recursos. Implementação das
estratégias de contingência se apresentam inviáveis pelos altos
custos. Compartilhamento de recursos de terceiros. Problemas com a
manipulaçãodos dadospor terceiros.
Cold-site
 Propõe uma alternativa viável apenas para instalações sem recursos de
processamento de dados e recursos mínimos de infraestrutura e Telecom,
ficando à mercê de soluções que serão implantadas para cada caso, de
acordo com a disponibilidadede recursos e pessoal.
Autossuficiência
 É o extremo oposto da hot-site, e é aplicável quando nenhuma das
estratégias anteriores é adequada, ou porque os impactos não são
significativosou então estas estratégiasnão são economicamenteviáveis.
23
Requisitos para segurança da informação

13
Princípios Básicos de Segurança da Informação
•Confidencialidade
• Garantirque a informação seja acessadasomente por pessoas autorizadas.
•Confidencialidade
• No contexto de segurança de computadores,confidencialidadeé evitar a
revelação não autorizada deinformação. Isto é, confidencialidadeenvolve a
proteção dos dados,propiciando acesso àquelesque são autorizadosa vê-
los e não permitindoque outros saibamalgo a respeito do seu conteúdo.
• Atualmente ,obter confidencialidadeé maisdesafiador.Computadores
estão em todos os lugares e cada um é capaz de executaroperações que
podem comprometer a confidencialidade.
• Com todasessas ameaçasà confidencialidadeda informação, ferramentas
tem sido desenvolvidaspara proteger a informaçãosensível.

14
- Confidencialidade
•Exemplo
• Acesso ao internet Bank
- Confidencialidade
•Encriptação:
• A transformaçãode informação usandoum segredo, chamado de chave de
encriptação, de modo que essa informação transformadapossa apenasser
lida usando outro segredo, denominandode chave de decriptação.
• Em alguns casos a chave de encriptação pode ser a mesma de decriptação.

15
- Confidencialidade
•Controle de acesso:
• Regras e políticasque limitamo acesso a informação confidencialapenas
para aquelaspessoas ou sistemascom a necessidadede saber sobre a
informação.
• Como identificaro acesso:
• IDENTIDADE (CPF,RG)
• NOME DA PESSOA
• Nº DE SÉRIE DO MICRO
• ESPECIALIDADE
- Confidencialidade
•Autenticação:
• A determinaçãoda identidadeou do papel de alguém. Essa determinação
pode ser feita de diversasmaneirasdiferentes, mas é geralmentebaseada
em uma combinaçãode algo que a pessoa tem.
• Exemplo:
• Cartão inteligente
• Token ou dispositivoque armazenachavessecretas
• Senha
• Característicafísica e exclusiva(Impressão digital ou Íris)

16
- Confidencialidade
•Autorização:
• A determinação se uma pessoa ou sistema tem permissão de acessar os
recursos, com base em uma política de controle de acesso.Tal autorização
deve evitar que um atacanteengane o sistema para que este permita o seu
acesso a recursos protegidos.
- Confidencialidade
•Segurança Física:
• O estabelecimentode barreirasfísicas para limitaro acesso a recursos
computacionaisprotegidos.
• Tais barreirasincluem:
• Cadeados em gabinetes e portas
• Uso de ambientes físicos sem janelas
• Uso de materialsólido para isolamento
• Prédiosou salascom parede de cobre (Gaiola de Faraday)

17
•Integridade
• Garantirque a informação não seja modificada.Ainformação não foi
alterada deforma não autorizadaou indevida
- Integridade
•Cópia de Segurança ( Backup)
• O arquivamentoperiódico de dados. Feito de modo que arquivos de dados
possam ser restauradoscaso tenham sido alteradosde maneiranão
autorizadaou não intencional.

18
- Integridade
Somas de Verificação ( Checksum)
 As mais conhecidas são o MD5 e o SHA, algoritmos
criptográficos que geram hashs individuais para cada arquivo
existente.
 A computação que mapeia o conteúdo de um arquivo para um
valor numérico.
 Exemplo: Quando realizamos o download de um arquivo e o fazemos
passar pelo mesmo algoritmo utilizado pelo desenvolvedor, a soma
obtida deve ser exatamente a mesma, caso contrário o arquivo estará
corrompido. Disponível em http://canaltech.com.br/o-que-e/software/O-
que-e-Checksum/#ixzz37fv4y4bK.
- Integridade
 Redundância
 Envolve a replicação de algum conteúdo de informação ou funções de dados
de modo que possamos detectare algumasvezes mesmo corrigir brechas
na integridadedos dados.

19
- Integridade
Metadados
É importante também proteger os metadados de cada
arquivo e manter sua integridade. Já que são os atributos do
arquivo ou informação.
Exemplo:
 Usuárioproprietáriodo arquivo
 Ultimo usuárioque modificou o arquivo
 Datas e horários de criaçãodo arquivo,da última alteraçãoe do último acesso
 Lista de usuáriosque podem ler ou escreverno arquivo.
 Portanto, alterar qualquer metadado de um arquivo de ser considerado a
violação de sua integridade.
•Disponibilidade
• Garantirque a informação esteja sempre disponível.

20
- Disponibilidade
•Disponibilidade
• Além da confidencialidade e integridade, outra propriedade importante de
segurança da informação é a disponibilidade, que é a propriedade da
informação ser acessível ou modificável no momento oportuno por aqueles
que necessitem fazer isto.
- Disponibilidade
•Proteções Físicas
• Infraestruturaprojetada para manter a informação
disponível mesmo na presença de desafios físicos.
• Tais proteções podem incluir que prédios contendo
sistemasde computaçãocríticos sejam construídos para
resistir a fortes tempestades,terremotos e explosões de
bombas.
• Sejam equipadoscom geradores e outros equipamentos
eletrônicos que possam enfrentar interrupções e picos de
energia.

21
- Disponibilidade
•Redundâncias computacionais
• Computadorese dispositivosde armazenamentoque servem como reserva
no caso de falhas.
• Exemplo:
• RAID – (RedundantArrayof InexpensiveDisks)ou seja arranjoredundantede
discos independentes.Usam redundâncias de armazenamentopara manter os
dados disponíveisa seus clientes.
• Exemplo:
• ServidoresWEB
A.G.A
Autenticidade
Anonimato
Garantia

22
- Autenticidade
•Autenticidade
• Garantirque a informação é autêntica. É a garantiade que a informação é
realmentequem ela diz ser.
- Autenticidade
• Autenticidade éa capacidade dedeterminarque declarações,políticase
permissões emitidaspor pessoas ou sistemassão genuínas.
 Assinaturasdigitais.
 São cálculos criptográficos que permitem que uma pessoa ou sistema para confirmar a
autenticidade de seus documentos de uma forma única que atinge o não-repúdio, que é a
propriedade que autênticas declarações emitidas por alguma pessoa ou sistema não podem ser
negadas.

23
- Autenticidade
• Não Repúdio
• Garantirprovas de que o usuário realizouuma determinada ação,ou seja,
que o usuário não negue ter assinadoou criado a informação.
•Garantia
• É o princípio em que a confiança é fornecida e gerenciada sem sistemasde
computação, mas precisa ser garantida.Ou seja, reconhecidamentea
própria confiança é difícil de quantificar,mas sabemos que ela envolve o
grau de confiança que temos de pessoas ou sistemascomportem da
maneiraque esperamos.

24
- Garantia
• Políticas x Permissõesx Proteções
• Políticas
• Especificam as expectativas comportamentais que pessoas ou sistemas têm de si
mesmas ou de outros.
• Exemplo:
• Projetistas de um sistema e-commerce de games podem especificar políticas que
descrevam como usuário podem acessar e fazer downloads de jogos.
 Permissões
 Descrevem os comportamentos permitidos pelos agentes que interagem com uma
pessoa ou sistema.
 Exemplo:
 Uma loja de música online pode fornecer permissões de acesso a cópia limitadas para
pessoas que tenham comprada certas músicas.
- Garantia
 Proteções
 Descrevemmecanismosinseridospara assegurarpermissões e políticas.
 Exemplo:
 Em um sistema web pode ser desenvolvido proteções para evitar que pessoas
façam acessos e cópias não autorizadas de dados. Biblioteca Virtual.

25
• Anonimato
• A propriedade que certos registros ou transaçõesnão deve ser atribuída a
qualquerindivíduo. Garante que a origem dos dados não seja conhecida.
Ferramentas:
Agregação
• A combinação de dados de muitos indivíduos assim que divulgada soma ou média
não pode ser ligada a qualquer indivíduo.
Mistura
• O entrelaçamento das transações, informações ou comunicações de uma forma que
não pode ser atribuída a qualquer indivíduo.
-
Proxies
• Agentes confiáveis que estão dispostos a participar em ações de um
indivíduode uma forma que não pode ser rastreadode volta a essa pessoa.
Pseudônimos
• Identidades fictíciasque podem preencher as identidadesde verdade nas
comunicações e transações, mas caso contrário são conhecidas apenas por
uma entidadeconfiável.

Introdução a Segurança da Informação

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Introdução a Segurança da Informação

Similaire à Introdução a Segurança da Informação (20)

Dernier

Dernier (20)

Introdução a Segurança da Informação