Baixe o app para aproveitar ainda mais
Prévia do material em texto
10/02/2017 1 1 Auditoria e Segurança da Informação e Redes Professora: Janaide Nogueira Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 2 Segurança Segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção. [Aurélio] Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 3 Classificação das Informações Pública – informação que pode vir a público sem maiores consequências danosas ao funcionamento normal da empresa, e cuja integridade não é vital; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 4 Classificação das Informações Interna – o acesso a esse tipo de informação deve ser evitado, embora as consequências do uso não autorizado não sejam por demais sérias; Sua integridade é importante, mesmo que não seja vital. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 5 Classificação das Informações Confidencial – informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras, ou de confiabilidade perante o cliente externo, além de permitir vantagem expressiva ao concorrente; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 6 Classificação das Informações Secreta – informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas; A manipulação desse tipo de informação é vital para a companhia. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 10/02/2017 2 7 Ciclo de vida da Informação Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 8 Ciclo de vida da Informação Manuseio – Momento em que a informação é criada e manipulada: - Seja ao folhear um maço de papéis; - Ao digitar informações recém-geradas em uma aplicação Internet; - Ao utilizar sua senha de acesso para autenticação, por exemplo. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 9 Ciclo de vida das informações Armazenamento – Momento em que a informação é armazenada, seja em: - Um banco de dados compartilhado; - Em uma anotação de papel posteriormente postada em um arquivo de ferro; - Em uma mídia depositada na gaveta da mesa de trabalho, por exemplo. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 10 Ciclo de vida das informações Transporte – Momento em que a informação é transportada, seja ao: - Encaminhar informações por correio eletrônico; - - Ao postar um documento via aparelho de fax; - Ao falar ao telefone uma informação confidencial, por exemplo. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 11 Ciclo de vida das informações Descarte – Momento em que a informação é descartada, seja ao: - Depositar na lixeira da empresa um material impresso; - Ao eliminar um arquivo eletrônico em seu computador de mesa; - Ao descartar um CDROM usado que apresentou falha na leitura. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 12 Segurança de Dados em Computação Introdução; Objetivo da Segurança de Dados; O ambiente computacional; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 10/02/2017 3 13 Introdução Segurança é um termo que transmite conforto e tranquilidade a quem desfruta de seu estado; Entender e implementar este “estado” em um ambiente empresarial exige conhecimento e práticas especializadas que somente são possíveis com o emprego e uso de um código de práticas de segurança. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 14 Continuando... Atualmente, um dos maiores problemas para as organizações é definir um processo de controle das suas informações, de forma que esse controle atinja um nível adequado de gestão dos riscos que essa organização esta exposta. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 15 Objetivo da Segurança de Dados Proteção dos sistemas de informação contra a negação de serviços a usuário autorizados; Proteção contra a intrusão, e a modificação desautorizada de dados ou informação, armazenados em processamento ou em trânsito; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 16 Objetivo da Segurança de Dados Proteção da segurança dos recursos humanos; Proteção da documentação e do material; Proteção das áreas e instalações das comunicações e computacional, assim como as destinadas a prever, detectar, deter e documentar eventuais ameaças a seu desenvolvimento. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 17 Onde pode haver tentativa de ataque? Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 18 Onde pode haver tentativa de ataque? Uma pessoa ou uma empresa manipula uma grande quantidade de informações; Uma informação possui três estados possíveis: armazenamento, processamento e transmissão; Em quaisquer destes estados é possível haver uma tentativa de ataque ou intrusão às informações; Como prevenir? - Uso de técnicas de segurança existentes para proteção dos dados; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 10/02/2017 4 19 Objetivos da Segurança Agir no armazenamento no processamento e na transmissão das informações. A segurança da informação possui três objetivos principais: - A confidencialidade; - A integridade; - A disponibilidade. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 20 Necessidade da Segurança Reduzir os risco: - Fraudes; - Acessos indevidos; - Uso indevido; - Sabotagem; - Roubo e erros. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 21 Medidas para garantir segurança Proteger: - O quê? - De quem? - A que custos? - Com que riscos? Essa questão remete a outra, o que precisa ser protegido, contra quem e como? Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 22 Princípios Confidencialidade; Integridade; Disponibilidade. A segurança da informação deve seguir três princípios básicos: Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 23 Confidencialidade É a garantia do resguardo das informações dadas pessoalmente em confiança e a proteção contra a sua revelação não autorizada; Uso de mecanismos de proteção como criptografia. Criptografia é a arte e ciência de guardar e transmitir dados confidenciais. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 24 Integridade Dados não podem ser criados, alterados, ou removidos sem autorização; É a garantia de que a informação não foi alterada durante a sua transmissão; Tipos de integridade: - Receptor – Assinatura digital; - Dados – Algoritmos de hash; Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 10/02/2017 5 25 Algoritmo hash Função que recebe uma quantidade arbitrária de dados e os comprime retornando um número fixo de bits. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 26 Disponibilidade Necessidade de um serviço estar disponível para os usuários sempre que eles necessitarem das informações. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 27 Garantindo a Confidencialidade Algumas técnicas ajudam a garantir a confidencialidade; A primeira age principalmente quando a informação está em armazenamento,no que diz respeito ao acesso a esta; Para evitar que pessoas não autorizadas consigam ver ou manipular esses dados de alguma forma, é implementado o serviço de autenticidade, que é dividido em: identificação, autenticação e autorização. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 28 Identificação É como o usuário se identifica ao sistema computacional a ser protegido; É o primeiro passo para prover a autenticidade; Na prática pode ser um nome de usuário, um identificador de login, um número de conta, um endereço de email, um número de CPF, etc; Em resumo, algo que identifique quem é o usuário que está tentando acessar o sistema. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 29 Autenticação Apenas identificar o usuário não é suficiente. É necessário ter certeza de que é ele mesmo que está tentando acessar o sistema e não outra pessoa se passando por ele, como um invasor, por exemplo; Para isso é necessário que ele apresente algo que garanta a sua identidade; Para o processo de autenticação ser efetuado, podemos lançar mão de três mecanismos: - O que o usuário sabe; - O que o usuário tem; - O que o usuário é. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 30 Autenticação - baseada em três métodos distintos: Identificação positiva (O que você sabe) – Na qual o requerente demonstra conhecimento de alguma informação utilizada no processo de autenticação, por exemplo uma senha. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 10/02/2017 6 31 Autenticação - baseada em três métodos distintos: Identificação proprietária (O que você tem) – Na qual o requerente demonstrar possuir algo a ser utilizado no processo de autenticação, como um cartão magnético. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 32 Autenticação - baseada em três métodos distintos: Identificação Biométrica (O que você é) – Na qual o requerente exibe alguma característica própria, tal como a sua impressão digital. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 33 Cuidado com as senhas A forma mais comum de autenticação, normalmente usando uma senha, ou outra coisa que o usuário conheça, como uma palavra-chave; É fato que este método é eficaz, mas não tão eficiente quando usado sozinho, principalmente pelo fato de os usuários serem muito descuidados com suas senhas, inclusive no momento da sua criação. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 34 Cuidados devem existir com as senhas Uma senha pode facilmente ser perdida se anotada displicentemente em um pedaço de papel; Alguns usuários ainda tem o feio costume de compartilhar suas senhas com outras pessoas. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 35 Descobrindo as senhas Podem ser facilmente descobertas através da observação; Ataque de força bruta, que é o procedimento de tentar uma enorme quantidade de senhas possíveis, seja manualmente ou com o auxílio de softwares; Engenharia social, que é a técnica usada para conseguir informações ou privilégios de pessoas descuidadas; Sniffers, que são programas de monitoramento de rede que “farejam” todo o tráfego da rede e podem capturar senhas muitas vezes desprotegidas, ou não criptografadas; Spywares, programas espiões ou sites falsos; Entre outros. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 36 Ataque de força bruta Em um ataque de força bruta, nem sempre se demora muito para descobrir uma senha, pois em muitos casos a senha é de fácil dedução, por exemplo: - Palavras comuns (chocolate, teste, senha, password); - Nomes próprios; - Números óbvios como data de nascimento (um dos mais clássicos); - Número de telefone, placa do carro, banda preferida, nome do cachorro, seqüências numéricas (12345, 654321), seqüências das teclas do teclado (qwerty, asdfgh, 1q2w3e4r), entre tantas outras! Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 10/02/2017 7 37 Política para criação de senhas seguras Existem políticas para a criação de senhas que são aconselháveis para torná-la mais segura; Se não for possível usar todas, deve-se usar pelo menos algumas na tentativa de minimizar os riscos; Vejamos nos slides a seguir algumas delas. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 38 Usar senhas de pelo menos oito caracteres Misturar letras maiúsculas e minúsculas. Usar caracteres especiais ( !@#$%¨&*()- +=[]{}?/>< ). Misturar letras e números. Trocar a senha a cada 30 dias. Não usar palavras de qualquer idioma. Não usar dados pessoais. Podem-se usar as iniciais de cada palavra de uma frase, por exemplo, na frase: “A vida é bela e a girafa é amarela!”, a senha pode ser “Avebeagea!” ou “Av3b3@g#@!”. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 39 Outro métodos - Biometria Este método é o mais seguro e pessoal de todos, pois baseia-se em alguma característica física única e intransferível do usuário e portanto, só ele a possui. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 40 Biometria A técnica usada neste tipo de autenticação é a Biometria, onde bio =vida e metria = medida, ou seja, medida da vida. Sistema baseado no que o usuário tem, o procedimento de autenticação se dá pelo prévio cadastro de uma característica física do usuário em um banco de dados. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 41 Sistema com senha Ao tentar acessar a informação, o usuário informa a sua senha; Esta será comparada à senha cadastrada em um banco de dados; Caso sejam iguais o acesso é autorizado, caso contrário o acesso é negado. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 42 Outras formas de autenticação Tokens; Cartões magnéticos inteligentes; Sistemas biométricos; Etc. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 10/02/2017 8 43 Token É um objeto que o usuário possui, que o diferencia das outras pessoas e o habilita a acessar algum objeto; Desvantagem: - A desvantagem das tokens em relação às senhas é que essas, por serem objetos, podem ser perdidas, roubadas ou reproduzidas com maior facilidade. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 44 Tokens As chaves que abrem a porta da sua residência ou seu cartão com tarja magnética para utilizar o caixa eletrônico do banco são exemplos de tokens; O cartão magnético é uma token especial, pois guarda outras informações, como, por exemplo, a sua conta bancária. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 45 Cartões magnéticos inteligentes Os cartões inteligentes são tokens que contêm microprocessadores e capacidade de memória suficiente para armazenar dados, a fim de dificultar sua utilização por outras pessoas que não seus proprietários legítimos. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 46 Sistema Biométrico Sistema baseado no que o usuário é, sua característica física também é cadastrada em um banco de dados, para posteriormente ser comparada, autorizando ou não o acesso; O que vai diferenciar é o tipo de comparação; No caso das senhas, elas devem ser exatamente iguais; Nas características biométricas, espera-se encontrar um número mínimo de características idênticas para a autenticação; Quanto mais características idênticas forem exigidas no momento da comparação, maior o nível de segurançado sistema biométrico. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 47 Técnicas de reconhecimento biométrico Assinatura. Impressão digital. Geometria das mãos. Reconhecimento de voz. Reconhecimento de face. Reconhecimento de íris. Reconhecimento de retina. Faculdade IEducare Auditoria e Segurança em Sistemas de Informação Faculdade IEducare Auditoria e Segurança em Sistemas de Informação 48
Compartilhar