02-auditoria-e-seguranca-em-si

Prévia do material em texto

10/02/2017 
1 
1 
Auditoria e Segurança da 
Informação e Redes 
Professora: Janaide Nogueira 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
2 
Segurança 
Segurança. S. f. 2. Estado, qualidade ou condição de 
seguro. 3. Condição daquele ou daquilo em que se 
pode confiar. 4. Certeza, firmeza, convicção. 
[Aurélio] 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
3 
Classificação das Informações 
 
 
 Pública – informação que pode vir a público sem 
maiores consequências danosas ao funcionamento 
normal da empresa, e cuja integridade não é vital; 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
4 
Classificação das Informações 
 
 Interna – o acesso a esse tipo de informação deve 
ser evitado, embora as consequências do uso não 
autorizado não sejam por demais sérias; 
 Sua integridade é importante, mesmo que não seja 
vital. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
5 
Classificação das Informações 
 
 
 Confidencial – informação restrita aos limites da 
empresa, cuja divulgação ou perda pode levar a 
desequilíbrio operacional, e eventualmente, perdas 
 financeiras, ou de confiabilidade perante o cliente 
externo, além de permitir vantagem expressiva ao 
concorrente; 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
6 
Classificação das Informações 
 
 
 Secreta – informação crítica para as atividades da 
empresa, cuja integridade deve ser preservada a 
qualquer custo e cujo acesso deve ser restrito a um 
número bastante reduzido de pessoas; 
 A manipulação desse tipo de informação é vital 
para a companhia. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
10/02/2017 
2 
7 
Ciclo de vida da Informação 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
8 
Ciclo de vida da Informação 
 
 Manuseio – Momento em que a informação é 
criada e manipulada: 
 
 - Seja ao folhear um maço de papéis; 
 - Ao digitar informações recém-geradas em uma 
aplicação Internet; 
 - Ao utilizar sua senha de acesso para 
autenticação, por exemplo. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
9 
Ciclo de vida das informações 
 
 Armazenamento – Momento em que a informação 
é armazenada, seja em: 
 
 - Um banco de dados compartilhado; 
 - Em uma anotação de papel posteriormente 
postada em um arquivo de ferro; 
 - Em uma mídia depositada na gaveta da mesa de 
trabalho, por exemplo. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
10 
Ciclo de vida das informações 
 
 Transporte – Momento em que a informação é 
transportada, seja ao: 
 
 - Encaminhar informações por correio eletrônico; - 
- Ao postar um documento via aparelho de fax; 
 - Ao falar ao telefone uma informação confidencial, 
por exemplo. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
11 
Ciclo de vida das informações 
 
 Descarte – Momento em que a informação é 
descartada, seja ao: 
 
 - Depositar na lixeira da empresa um material 
impresso; 
 - Ao eliminar um arquivo eletrônico em seu 
computador de mesa; 
 - Ao descartar um CDROM usado que apresentou 
falha na leitura. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
12 
Segurança de Dados em 
Computação 
 Introdução; 
 Objetivo da Segurança de Dados; 
 O ambiente computacional; 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
10/02/2017 
3 
13 
Introdução 
 
 Segurança é um termo que transmite conforto e 
tranquilidade a quem desfruta de seu estado; 
 
 Entender e implementar este “estado” em um 
ambiente empresarial exige conhecimento e 
práticas especializadas que somente são possíveis 
com o emprego e uso de um código de práticas de 
segurança. 
 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
14 
Continuando... 
 
 Atualmente, um dos maiores problemas para as 
organizações é definir um processo de controle das 
suas informações, de forma que esse controle 
atinja um nível adequado de gestão dos riscos que 
essa organização esta exposta. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
15 
Objetivo da Segurança de Dados 
 
 Proteção dos sistemas de informação contra a 
negação de serviços a usuário autorizados; 
 
 Proteção contra a intrusão, e a modificação 
desautorizada de dados ou informação, 
armazenados em processamento ou em trânsito; 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
16 
Objetivo da Segurança de Dados 
 Proteção da segurança dos recursos humanos; 
 Proteção da documentação e do material; 
 Proteção das áreas e instalações das comunicações 
e computacional, assim como as destinadas a 
prever, detectar, deter e documentar eventuais 
ameaças a seu desenvolvimento. 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
17 
Onde pode haver tentativa de 
ataque? 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
18 
Onde pode haver tentativa de 
ataque? 
 Uma pessoa ou uma empresa manipula uma 
grande quantidade de informações; 
 Uma informação possui três estados possíveis: 
armazenamento, processamento e 
transmissão; 
 Em quaisquer destes estados é possível haver uma 
tentativa de ataque ou intrusão às informações; 
 Como prevenir? 
 - Uso de técnicas de segurança existentes para 
proteção dos dados; 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
10/02/2017 
4 
19 
Objetivos da Segurança 
 Agir no armazenamento no processamento e na 
transmissão das informações. 
 
 A segurança da informação possui três objetivos 
principais: 
 - A confidencialidade; 
 - A integridade; 
 - A disponibilidade. 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
20 
Necessidade da Segurança 
 
 Reduzir os risco: 
 
 - Fraudes; 
 - Acessos indevidos; 
 - Uso indevido; 
 - Sabotagem; 
 - Roubo e erros. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
21 
Medidas para garantir 
segurança 
 Proteger: 
 - O quê? 
 - De quem? 
 - A que custos? 
 - Com que riscos? 
Essa questão remete a outra, o que precisa ser 
protegido, contra quem e como? 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
22 
Princípios 
 Confidencialidade; 
 Integridade; 
 Disponibilidade. 
 
A segurança da informação deve seguir três princípios básicos: 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
23 
Confidencialidade 
 É a garantia do resguardo das informações dadas 
pessoalmente em confiança e a proteção contra a 
sua revelação não autorizada; 
 Uso de mecanismos de proteção como criptografia. 
Criptografia é a arte e ciência de 
guardar e transmitir dados confidenciais. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
24 
Integridade 
 Dados não podem ser criados, alterados, ou 
removidos sem autorização; 
 É a garantia de que a informação não foi alterada 
durante a sua transmissão; 
 Tipos de integridade: 
 - Receptor – Assinatura digital; 
 - Dados – Algoritmos de hash; 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
10/02/2017 
5 
25 
Algoritmo hash 
 Função que recebe uma quantidade arbitrária de 
dados e os comprime retornando um número fixo 
de bits. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
26 
Disponibilidade 
 Necessidade de um serviço estar disponível para os 
usuários sempre que eles necessitarem das 
informações. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
27 
Garantindo a Confidencialidade 
 
 Algumas técnicas ajudam a garantir a 
confidencialidade; 
 
 A primeira age principalmente quando a informação 
está em armazenamento,no que diz respeito ao 
acesso a esta; 
 
 Para evitar que pessoas não autorizadas consigam 
ver ou manipular esses dados de alguma forma, é 
implementado o serviço de autenticidade, que é 
dividido em: identificação, autenticação e 
autorização. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
28 
Identificação 
 
 É como o usuário se identifica ao sistema 
computacional a ser protegido; 
 
 É o primeiro passo para prover a autenticidade; 
 
 Na prática pode ser um nome de usuário, um 
identificador de login, um número de conta, um 
endereço de email, um número de CPF, etc; 
 
 Em resumo, algo que identifique quem é o usuário 
 que está tentando acessar o sistema. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
29 
Autenticação 
 
 Apenas identificar o usuário não é suficiente. É 
necessário ter certeza de que é ele mesmo que 
está tentando acessar o sistema e não outra pessoa 
se passando por ele, como um invasor, por 
exemplo; 
 Para isso é necessário que ele apresente algo que 
garanta a sua identidade; 
 Para o processo de autenticação ser efetuado, 
podemos lançar mão de três mecanismos: 
 - O que o usuário sabe; 
 - O que o usuário tem; 
 - O que o usuário é. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
30 
Autenticação - baseada em três 
métodos distintos: 
 Identificação positiva (O que você sabe) – Na qual o 
requerente demonstra conhecimento de alguma 
informação utilizada no processo de autenticação, por 
exemplo uma senha. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
10/02/2017 
6 
31 
Autenticação - baseada em três 
métodos distintos: 
 Identificação proprietária (O que você tem) – Na 
qual o requerente demonstrar possuir algo a ser utilizado 
no processo de autenticação, como um cartão 
magnético. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
32 
Autenticação - baseada em três 
métodos distintos: 
 Identificação Biométrica (O que você é) – Na qual o 
requerente exibe alguma característica própria, tal como 
a sua impressão digital. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
33 
Cuidado com as senhas 
 
 A forma mais comum de autenticação, normalmente 
usando uma senha, ou outra coisa que o usuário 
conheça, como uma palavra-chave; 
 
 É fato que este método é eficaz, mas não tão 
eficiente quando usado sozinho, principalmente pelo 
fato de os usuários serem muito descuidados com 
suas senhas, inclusive no momento da sua criação. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
34 
Cuidados devem existir com as 
senhas 
 
 Uma senha pode facilmente ser perdida se anotada 
displicentemente em um pedaço de papel; 
 
 Alguns usuários ainda tem o feio costume de 
compartilhar suas senhas com outras pessoas. 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
35 
Descobrindo as senhas 
 Podem ser facilmente descobertas através da 
observação; 
 Ataque de força bruta, que é o procedimento de 
tentar uma enorme quantidade de senhas possíveis, 
seja manualmente ou com o auxílio de softwares; 
 Engenharia social, que é a técnica usada para 
conseguir informações ou privilégios de pessoas 
descuidadas; 
 Sniffers, que são programas de monitoramento de 
rede que “farejam” todo o tráfego da rede e podem 
capturar senhas muitas vezes desprotegidas, ou não 
criptografadas; 
 Spywares, programas espiões ou sites falsos; 
 Entre outros. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
36 
Ataque de força bruta 
 Em um ataque de força bruta, nem sempre se 
demora muito para descobrir uma senha, pois em 
muitos casos a senha é de fácil dedução, por 
exemplo: 
 - Palavras comuns (chocolate, teste, senha, password); 
 - Nomes próprios; 
 - Números óbvios como data de nascimento (um dos mais 
clássicos); 
 - Número de telefone, placa do carro, banda preferida, nome do 
cachorro, seqüências numéricas (12345, 654321), seqüências 
das teclas do teclado (qwerty, asdfgh, 1q2w3e4r), entre tantas 
outras! 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
10/02/2017 
7 
37 
Política para criação de senhas 
seguras 
 
 Existem políticas para a criação de senhas que são 
aconselháveis para torná-la mais segura; 
 
 Se não for possível usar todas, deve-se usar pelo 
menos algumas na tentativa de minimizar os riscos; 
 
 Vejamos nos slides a seguir algumas delas. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
38 
Usar senhas de pelo menos oito 
caracteres 
 Misturar letras maiúsculas e minúsculas. 
 Usar caracteres especiais ( !@#$%¨&*()-
+=[]{}?/>< ). 
 Misturar letras e números. 
 Trocar a senha a cada 30 dias. 
 Não usar palavras de qualquer idioma. 
 Não usar dados pessoais. 
 Podem-se usar as iniciais de cada palavra de uma 
frase, por exemplo, na frase: “A vida é bela e a 
girafa é amarela!”, a senha pode ser “Avebeagea!” 
ou “Av3b3@g#@!”. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
39 
Outro métodos - Biometria 
Este método é o mais seguro e pessoal de todos, 
pois baseia-se em alguma característica física única 
e intransferível do usuário e portanto, só ele a 
possui. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
40 
Biometria 
 A técnica usada neste tipo de autenticação é a 
Biometria, onde bio =vida e metria = medida, ou 
seja, medida da vida. 
 Sistema baseado no que o usuário tem, o 
procedimento de autenticação se dá pelo prévio 
cadastro de uma característica física do usuário em 
um banco de dados. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
41 
Sistema com senha 
 Ao tentar acessar a informação, o usuário informa a 
sua senha; 
 
 Esta será comparada à senha cadastrada em um 
banco de dados; 
 
 Caso sejam iguais o acesso é autorizado, caso 
contrário o acesso é negado. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
42 
Outras formas de autenticação 
 
 Tokens; 
 
 Cartões magnéticos inteligentes; 
 
 Sistemas biométricos; 
 
 Etc. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
10/02/2017 
8 
43 
Token 
 
 É um objeto que o usuário possui, que o diferencia 
das outras pessoas e o habilita a acessar algum 
objeto; 
 
 Desvantagem: 
 - A desvantagem das tokens em relação às senhas é 
 que essas, por serem objetos, podem ser perdidas, 
 roubadas ou reproduzidas com maior facilidade. 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
44 
Tokens 
 
 As chaves que abrem a porta da sua residência ou 
 seu cartão com tarja magnética para utilizar o 
caixa eletrônico do banco são exemplos de tokens; 
 
 O cartão magnético é uma token especial, pois 
 guarda outras informações, como, por exemplo, a 
 sua conta bancária. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
45 
Cartões magnéticos inteligentes 
 
 Os cartões inteligentes são tokens que contêm 
 microprocessadores e capacidade de memória 
 suficiente para armazenar dados, a fim de dificultar 
 sua utilização por outras pessoas que não seus 
 proprietários legítimos. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
46 
Sistema Biométrico 
 Sistema baseado no que o usuário é, sua característica 
física também é cadastrada em um banco de dados, 
para posteriormente ser comparada, autorizando ou não 
o acesso; 
 O que vai diferenciar é o tipo de comparação; 
 No caso das senhas, elas devem ser exatamente iguais; 
 Nas características biométricas, espera-se encontrar um 
número mínimo de características idênticas para a 
autenticação; 
 Quanto mais características idênticas forem exigidas no 
momento da comparação, maior o 
 nível de segurançado sistema biométrico. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
47 
Técnicas de reconhecimento 
biométrico 
 Assinatura. 
 Impressão digital. 
 Geometria das mãos. 
 Reconhecimento de voz. 
 Reconhecimento de face. 
 Reconhecimento de íris. 
 Reconhecimento de retina. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
48