Conceitos de proteção e segurança

Prévia do material em texto

Proteção e Segurança
Princípios da Segurança da Informação
Palavras chaves: Preservação da confidencialidade, integridade e disponibilidade. Formam o CID.
 Confidencialidade – garante proteger as informações contra acesso não autorizado, portanto, esse princípio é respeitado quando apenas as pessoas explicitamente autorizadas podem ter acesso à informação..
 Integridade – é usado para proteger a informação contra alteração não autorizada, portanto, esse princípio é respeitado quando a informação acessada está completa, sem alterações e, portanto, confiável. Garantia da não alteração da informação.
 Disponibilidade – tem como função garantir que o recurso esteja disponível sempre que necessário, portanto, esse princípio é respeitado quando a informação está acessível, por pessoas autorizadas, sempre que necessário.
 Autenticidade – é um dos princípios da segurança da informação, que garante que a mensagem seja autêntica, ou seja, que a pessoa que enviou é realmente ela.
 Não Repúdio – é a propriedade que indica que a afirmação autentica emitida por alguma pessoa não pode ser negada. Uma maneira de efetivar a propriedade de não repúdio é utilizando assinaturas digitais.
Terminologias
Incidente é um fato decorrente da ação de uma ameaça que explora uma ou mais vulnerabilidades, levando a perdas.
Ameaças são agentes ou condições que causam incidentes, que comprometem os ativos da organização por meio da exploração de vulnerabilidades, causando impacto aos negócios;
Impacto diz respeito à abrangência dos danos causados por um incidente de segurança sobre um ou mais processos de negócio;
Vulnerabilidades são fragilidades presentes ou associadas a ativos que, quando exploradas por ameaças, levam à ocorrência de incidentes de segurança.
Confidencialidade
Criptologia
1. Criptografia – codificar dados; pegar um texto claro e torna-lo incompreensível. A proposta é ocultar o significado. Pode ser simétrica ou assimétrica.
Ex: É a fala de trás pra frente.
2. Criptoanálise – engenharia reversa da criptografia. Consistem em pegar um texto cifrado e converte-lo em texto claro.
3. Esteganografia – oculta o conteúdo das informações. Muito usada por traficantes e outros criminosos que utilizam imagens com textos ocultos para se comunicarem.
“Engenharia Social é o termo utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para acesso não autorizado a computadores ou informações.”
Criptografia
Simétrica – uma única chave. Costuma ser mais rápida que a assimétrica. Cifra e decifra mais rápida, porém, tem mais dificuldade em como estabelecer e sincronizar a chave.
Na criptografia simétrica, utilizamos apenas uma chave, a chave pode ser tanto do remetente como do destinatário, ela é compartilhada entre ambos em um canal seguro para que seja usada para cifrar e decifrar o documento.
Assimétrica – terá um par de chaves. Uma é pública e a outra é privada. São diferentes, mas complementares. Criptografar com a chave privada não oferece sigilo. Para criptografar uma mensagem, usa-se a chave pública da outra pessoa e essa pessoa utiliza sua chave privada para ler a mensagem.
Se o emissor usa a chave PÚBLICA e o receptor usa a chave PRIVADA é um caso de CONFIDENCIALIDADE.
Se o emissor usa a chave PRIVADA e o receptor a chave PÚBLICA é um caso de AUTENTICIDADE.
Autenticidade
1. Autenticação x 2. Autorização
1. Autenticação: Garantia de que a pessoa é realmente quem diz ser;
“Autenticar é confirmar a identidade de uma entidade visando, por exemplo, garantir que a entidade é quem ela diz ser. As técnicas para autenticação podem basear-se na verificação de informações como, por exemplo, senhas”.
2. Autorização: Garantia de que as pessoas não executarão qualquer ação que não possuam permissão. A autorização determina as capacidades reais de um usuário.
Fatores de autenticação
 São aquilo que você sabe, o que você é e o que você tem.
Integridade
HASH – o que é um HASH? É um resumo da mensagem enviada. É também um código gerado por uma função criptográfica, onde se recebe um texto de tamanho variável e desse texto irá resultar em um resumo de tamanho fixo unidirecional, e a partir desse código é impossível chegar na mensagem original.
Assinatura digital
Na Assinatura Digital, a chave privada e pública é de propriedade do remetente.
Se eu criptografo uma mensagem com a chave pública do destinatário, eu garanto o Princípio da Confidencialidade; se eu criptografo uma mensagem com a minha chave privada, eu garanto o Princípio da Autenticidade. No entanto, vamos ser mais ambiciosos: a Assinatura Digital garantirá a Autenticidade, a Integridade e a Irretratabilidade.
A assinatura digital é uma técnica criptográfica que autentica documentos e promove a integridade, o não repúdio e a autenticidade. Permite comprovar a autenticidade e a integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isso e que ela não foi alterada. Baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codificar uma informação, então apenas seu dono poderia ter feito isso. A verificação da assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave privada, somente a chave pública correspondente pode decodifica-lo. 
É o HASH da mensagem criptografada com a chave privada do emissor, anexado ao arquivo para prover: 	
1. Integridade
2. Não repúdio
3. Autenticidade
Em outras palavras, a garantia da autenticidade e da integridade garante automaticamente a irretratabilidade ou não-repúdio
RESUMO:
· Na assinatura digital a verificação da origem dos dados é feita com a CHAVE PÚBLICA DO REMETENTE;
· Para garantir o não repúdio ou a irretratabilidade é a chave privada do certificado digital do autor do documento.
· Não garante o sigilo das informações.
Certificado digital
Um certificado digital é um documento digital composto por diversos dados que pode ser emitido para pessoas, empresas, serviços. Nesse sentido, um certificado digital pode ser homologado para diferentes usos, tais como criptografia e assinatura digital. 
Quando adquirido para uso de Assinatura Digital tem o certificado tipo A;
Quando adquirido para uso de Criptografia tem o certificado tipo S.
 pode ser assinatura digital ou criptografia. O certificado digital é necessário para se trabalhar com a assinatura digital. 
Um certificado digital pode conter as seguintes informações:
· Dados do portador;
· Chave pública do portador;
· Dados da AC emissora
· Assinatura digital da AC emissora
· Período de validade do certificado
· Outros dados complementares
Tipo A1: o certificado digital é emitido diretamente no computador e fica armazenado no navegador da internet.
Tipo A3: o certificado digital é emitido e armazenado em uma mídia criptográfica: cartão inteligente ou token. Armazenado e emitido em mídias (Cartão, Token ou nuvem). É protegido por senha ou duplo fator de autenticação. Não pode ser copiado. Validade de 1 a 5 anos (12 a 60 meses).
Quadro resumo
	Assinatura Digital
	Criptografia assimétrica
	INA
Integridade
Não repúdio
Autenticidade
	Pode garantir a confidencialidade ou não, depende de como será feito:
1. se for usada a chave privada para encriptar e pública para decriptar, garantirá apenas: integridade, não repúdio e autenticidade (igual assinatura digital);
2. se usar a chave pública do receptor para encriptar a mensagem e a chave privada para decriptar, será garantiga a confidencialidade, integridade, não repúdio e autenticidade.
	Assinatura digital
(INA)
	Integridade, não repúdio e autenticidade;
	Certificado digital
(ICA)
	Integridade, confidencialidade e autenticidade
	Criptografia
	Confidencialidade 
· Assinatura digital não garante sigilo (confidencialidade), mas sim a autenticidade e a integridade. Quem garante sigilo é a criptografia.
· A integridade é garantida na assinatura digital por meio da função hash, que gera um resumoque é comparado no recebimento com aquele gerado no envio.
· Uma função Hash é um método criptográfico que, quando aplicado sobre uma informação, independente do tamanho que ela tenha, gera um resultado único e de tamanho fixo.
· A criptografia é um método que codifica os dados do usuário para que só o destinatário possa ler, dessa maneira garantindo a confidencialidade da informação;
· A chave privada pode ser usada para criptografar uma assinatura que pode ser verificada por qualquer pessoa com a chave pública;
· A chave pública pode ser usada para criptografar informações que só podem ser descriptografadas pelo detentor da chave privada.
Firewall
Sempre vai fazer o papel de filtragem de pacotes e acessos indevidos. É como se fosse o “porteiro” de um prédio.
Política de Segurança
Define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais e as penalidades às quais está sujeito caso não a cumpra.
	POLÍTICA DE SENHAS
	Define as regras sobre o uso das senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca.
	POLÍTICA DE BACKUP
	Define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução.
	POLÍTICA DE PRIVACIDADE
	Define como são tratadas as informações pessoas, sejam elas de clientes, usuários ou funcionários.
	POLÍTICA DE CONFIDENCIALIDADE
	Define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros.
	POLÍTICA DE USO ACEITÁVEL OU ACCEPTABLE USE POLICY
	Também chamada de “termos de uso” ou “termos de serviços”, define as regras de uso dos recursos computacionais, direitos e responsabilidades de quem os utiliza e as situação consideradas abusivas.
image6.tmp
image7.tmp
image8.tmp
image9.tmp
image1.tmp
image2.png
image3.tmp
image4.tmp
image5.tmp