aulas 7 , 14 , 21 e 28 de agosto

Prévia do material em texto

<p>Níveis de ataques:</p><p>Nível 01</p><p>Física:</p><p>Ataques: Furto de notebook, furtos de papéis, etc...</p><p>Proteção: Câmeras, catraca, biometria, cerca elétrica, etc...</p><p>Nível 02:</p><p>Técnico:</p><p>Ataques:</p><p>DDoS (Indisponibilidade), Brute Force (Combinações para descobrir senhas), Sniffer (Interceptação)</p><p>Proteção:</p><p>VPN (Tunel de acesso | Criptografia), Firewall (Bloqueia acessos | Controle de portas e protocolos), Antivírus, GPO, Roteador</p><p>TERCEIRO:</p><p>Organizacional: (Falhas em Processos)</p><p>Proteção: Política de segurança da informação, Normas ISO 27001, Checagem de fatos,</p><p>QUATRO:</p><p>Pessoal (Engenharia social)</p><p>Proteção: Treinamentos, orientações pessoais, investigação</p><p>==================================</p><p>As 4 áreas de segurança:</p><p>1) Segurança Defensiva: Proteção.</p><p>Profissionais: Diretor de segurança da informação (CISO); Analista de segurança; DPO (Diretor de Proteção de Dados).</p><p>Certificação: ISO 27001 Profissional</p><p>Certificação iso 27000:</p><p>é um conjunto de certificações de segurança da informação e proteção de dados para empresas e órgãos públicos. Elas servem como base para a criação de um Sistema de Gestão de Segurança da Informação (SGSI) em organizações de pequeno, médio e grande porte.</p><p>2) Segurança ofensiva: Testar.</p><p>Profissionais: Hacker -> PenTest (Teste de penetração)</p><p>Certificação: CEH (certified, ethical, hacker) é umas das principais certificações internacionais voltadas a proteção de dados.</p><p>3) Segurança forense: Investigação</p><p>Profissionais: Perito forense;</p><p>Certificação: CHFI; Psicanalista forense.</p><p>4) Segurança avaliatória: Fiscalização</p><p>Profissionais: Auditor de segurança</p><p>Certificação: ISO 27001 Auditor Leader</p><p>Dia 14/08/2018 - Aniversário LGPD (Assinada)</p><p>LGPD - Lei geral da proteção de dados (Pessoais)</p><p>Temer assina a LGPD - 2018</p><p>Autoridade supervisora - Órgão do governo responsável (Fiscalização)</p><p>Valor máximo de multa: R$50 Milhões.</p><p>Não respeitar - Coletou dados para uma coisa e utilizou para outra</p><p>Nenhuma empresa pode compartilhar os dados sem que você saiba</p><p>Inspiração -> GDPR (Europa)</p><p>ANPD - Autoridade nacional de proteção de dados (Multa empresas e fiscaliza)</p><p>Controlador - Empresas</p><p>Operadores - Empresas simultâneas</p><p>Sub-operador - Empresa dos operadores</p><p>Pessoas - Titulares (Donos dos dados)</p><p>Hacker invadir qualquer operador, a responsabilidade é do controlador</p><p>Nova profissão - DPO / Encarregado de proteção de dados / Diretor de proteção de dados / Oficial de proteção de dados</p><p>Quantos DPOs: 15 mil (ANPPD.org)</p><p>Classificações de dados: Pessoais normais (Nome, RG, CPF e e-mail), dados sensíveis (Preconceito)</p><p>Cursos:</p><p>1) Exin - Iso 27001 fond</p><p>2) Privacy Data P (Pdpf)</p><p>Associação DPO</p><p>EUA – IAPP - https://iapp.org/ - (A Associação Internacional de Profissionais de Privacidade)</p><p>Portugal – APDPO - https://www.dpo-portugal.pt (associação dos Profissionais de Proteção e de Segurança de Dados)</p><p>França – UDPO - https://www.efdpo.eu/france/ (Union of Data Protection Officers)</p><p>Espanha – AEPD - https://www.aepd.es/ ( A Agência Espanhola de Proteção de Dados)</p><p>Grécia – HADPP - Elenic data protection association - https://www.dataprotection.gr/</p><p>Brasil - Associação nacional da proteção de dados (ANPD) https://www.gov.br/anpd/pt-br</p><p>Em Segurança da Informação, o que significa CIDAL ?</p><p>O conceito base da segurança da informação reúne cinco aspectos:</p><p>· Confidencialidade</p><p>· Integridade</p><p>· Disponibilidade</p><p>· Autenticidade</p><p>· Legalidade</p><p>Confidencialidade – “sf. Comunicação ou ordem sob sigilo. C. reservada: a que deve ser lida somente pela pessoa a quem é dirigida. “A segurança da informação prima pela confidencialidade dos dados, ou seja, as informações só devem ser acessadas por pessoas autorizadas, por exemplo o saldo bancário de um cliente. (Medida de proteção: FMA múltiplos fator de autenticação, película de proteção para celular e notebook falar em outra língua) ataque: clean step ataque</p><p>Integridade – “1 Inteiro, completo. 2 Reto, incorruptível. ” Quando enviamos ou recebemos qualquer tipo de informação queremos que esses dados sejam verdadeiros, ou seja, não seja alterado por outra pessoa. Por exemplo clean step ataque fazermos um backup de determinado arquivo, queremos que esse backup seja uma cópia fiel do arquivo original e se mantenha sempre assim.</p><p>Medidas de proteção:</p><p>Senhas, certificado digital, permissões, VPN.</p><p>Disponibilidade – “Diz-se da mercadoria que pode ser entregue imediatamente ao comprador. ” Todas as nossas informações estão armazenadas em algum local, hoje em dia quase tudo em computadores, agora imagine que se você precise de uma determinada informação e quando for acessá-la não consegue porque o servidor está indisponível, não podemos deixar que isso ocorra.</p><p>Medidas de proteção: manutenção preventiva, redundância, backup´s</p><p>Aula do dia 04/09/2023</p><p>Autenticidade – “Digno de fé ou de confiança. Genuíno. ” Ao enviarmos algum dado queremos ter certeza de enviar para o receptor correto e ao recebermos queremos ter certeza que foi enviado pelo emissor verdadeiro. Um exemplo é a troca de e-mails, devemos garantir a veracidade do emissor e receptor</p><p>Garantir que as informações seja autenticas em seu conteúdo, ao remetente e ao destinatário (veracidade) ex. dados cadastrados nas empresas tem que estar sempre atualizado.</p><p>Medidas de proteção:</p><p>1- Avaliar perfil comportamental</p><p>2- Validação em cartório (autenticado), na instituição emissora, em órgão competente, autenticidade</p><p>3- Autenticidade, quando você reportar violações: 1- quando a informações violar a lei. 2- Quando houver risco para terceiros 3- “ a mentira sempre chega mais rápido que a verdade, porque ela não precisa de tempo para trazer as evidencias”</p><p>4- Quando a informação prejudicar a si mesmo</p><p>Os 4 tipo de conhecimento:</p><p>1- popular > se baseia-se nas experiências , vivencias , opiniões subjetivas ( achismo )</p><p>2- Religioso > se baseasse na fé, nas crenças</p><p>3- Filosófico > se baseasse na lógica, observa e tirar uma conclusão</p><p>4- Cientifico > provas, evidencias, fazer teste antes de tirar uma conclusão.</p><p>Legalidade – “1 Conforme à lei. 2 Relativo a lei. 3 prescrito pela lei. ” O uso da tecnologia de informática e comunicação deve estar de acordo com as leis vigentes no local ou país.</p><p>Garantira as ações respeitem as leias existente, regulamentações setoriais e normas internas</p><p>1- lei de proteção de dados pessoais ( LGPD ) 13.709/2018 : protege dados pessoais como : nome , rg e cpf . Exige um DPO. Resumo da lei foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade, e a livre formação da personalidade de cada indivíduo.</p><p>2- Lei do parto civil da internet, lei 12.965/2014: regulamenta do uso da internet no brasil. Resumo da lei: Esta Lei estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria.</p><p>3- Lei de crimes cibernético: lei 12.737/2012</p><p>4- Lei Carolina Dieckmann 12.737/2012 rege os acessos aos dispositivos informáticos, tipificando os não autorizados como acessos hackers – até anos de prisão.</p><p>Resumo da lei: protege a privacidade dos brasileiros no ambiente virtual</p><p>Lei de acesso à informação (la lei 12527/2011: define quais informações podem ser publicadas e a classificação de documentos): O que é a Lei de Acesso à Informação? A Lei Federal nº 12.527/2011, Lei de Acesso à Informação, destina-se a regulamentar dispositivos da Constituição da República Federativa do Brasil que dispõem sobre o direito de acesso à informação e sua restrição.</p><p>1- publica ex. lista de produtos</p><p>2- Interno ex. lista de ramais, lista de aniversariantes</p><p>3- Restrita ex. folha de pagamento, lista de cliente.</p><p>5-Confidencial ex. toda informação que prejudique a empresa - esses são os níveis sensibilidade.</p><p>25/09/2023</p><p>Direito constitucional:</p><p>Poder público: só pode fazer o que a lei permite</p><p>Iniciativa privada: pode fazer tudo que a lei não proíbe.</p><p>3 setores da economia:</p><p>Publico</p><p>Privado (empresas, população)</p><p>Organizações sem fins lucrativos, associações, institutos e igrejas.</p><p>Ainda em Segurança da Informação,</p><p>veja as normas técnicas de segurança para as empresas:</p><p>· NBR 1333, de 12/1990 – Controle de acesso físico a CPDs (Centro de Processamento de Dados).</p><p>· NBR 1334, de 12/1990 – Critérios de segurança física para armazenamento de dados.</p><p>· NBR 1335, de 07/1991 – Segurança física de microcomputadores e terminais em estações de trabalho.</p><p>· NBR 10842 – Equipamentos para tecnologia da informação e requisitos de segurança.</p>