Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. Ricardo Baudel ricardo.baudel@gmail.com Sistemas Computacionais Segurança da Informação Sistemas Computacionais Segurança da informação Porque precisamos de segurança da informação Para garantir : Precisão Integridade Segurança de todos os processos e recursos do sistema de informação Segurança da informação Porque precisamos de segurança da informação Um gerenciamento eficaz da segurança da informação garante minimização de : Erros Fraudes Perdas nos sistemas de informação Segurança da informação Porque precisamos de segurança da informação Para garantir a continuidade da organização Minimizar as perdas, prevenindo e reduzindo o impacto de problemas relacionados à segurança Permitir compartilhamento seguro da informação A informação só deve estar disponível apenas para quem realmente tem permissão para acessá- la Ambiente atual – Houve uma grande evolução tecnológica, com as pessoas cada vez mais dependentes da tecnologia • Internet banking • B2C, B2B, B2E, etc – Houve uma grande mudança na forma como a tecnologia é utilizada • Redes de Computadores • Internet • Comunicação móvel Segurança da informação Conseqüência inevitável – Maior exposição a ameaças – Maior vulnerabilidade • Toda nova tecnologia tem problemas – Difícil controle da privacidade e integridade das informações – Acesso não autorizado as informações • Intencional • Não intencional Segurança da informação Segurança da Informação – É a proteção dos sistemas de informação para: • Evitar negação de serviço (DoS) • Impedir modificação não-autorizada • Impedir qualquer tipo de acesso não-autorizado • Salvaguardar pessoas, instalações e recursos de uso indevido • Prevenir, detectar, deter e documentar ameaças Segurança da informação Critérios Fundamentais da Segurança Integridade Disponibilidade Confidencialidade “A informação certa comunicada às pessoas certas (na hora certa) é de importância vital para a empresa.” Segurança da informação Outras propriedades – Autenticidade – Atesta a origem do dado ou informação – Não Repúdio – Não é possível negar o envio ou recepção – Legalidade – Aderência de um sistema a legislação Segurança da informação Segurança da informação Confidencialidade e integridade • A confidencialidade é dependente da integridade, pois se a integridade de um sistema for perdida, os mecanismos que controlam a confidencialidade não são mais confiáveis • Exemplo: Eliminação de registros históricos (log). A integridade é totalmente dependente da confidencialidade Se alguma informação confidencial for perdida os mecanismos de integridade podem ser desativados. Exemplo: Invasão com uso de Sql Injection. Integridade e Confidencialidade dos dados Segurança da informação A auditoria é dependente da integridade e confidencialidade, pois: se a confidencialidade for perdida os mecanismos de auditoria podem ser prejudicados. se a integridade for perdida, as informações não podem ser consideradas confiáveis Auditoria X Integridade/ Confidencialidade Segurança da informação Uma política correta de segurança: – Proporciona maior controle sobre os recursos – Viabiliza o uso de aplicações de missão crítica – Evita prejuízos por uso não previsto • Ex : prevenção de transações indevidas em cartão de crédito – Sistemas rastreiam e avisam sobre operações suspeitas – Podem até contactar o usuário sobre a operação Segurança da informação Portanto – Um sistema somente pode ser considerado “seguro” se todos os mecanismos funcionarem : • adequadamente • de forma como foram projetados • de acordo com o ambiente Segurança da informação Idéias equivocadas sobre segurança da informação – “Uma vez implantada a segurança, as informações estarão seguras.” – “A implantação da segurança é um processo simples.” – “A segurança é um assunto de exclusiva responsabilidade da área de segurança.” – “A estrutura da segurança é relativamente estática.” – “daqui pra frente não teremos problemas” Segurança da informação Idéias comuns em segurança (não apenas de redes) –“As portas dos fundos são tão boas quanto as portas da frente.” Segurança da informação Idéias comuns em segurança(não apenas de redes) “Uma corrente é tão forte quanto o seu elo mais fraco.” Segurança da informação “Idéias comuns em segurança(não apenas de redes) • “Um invasor não tenta transpor as barreiras encontradas, ele vai ao redor delas buscando o ponto mais vulnerável .” Segurança da informação Medidas mais comuns em segurança • Uso de criptografia – Senhas, mensagens, arquivos e outros dados podem ser transmitidos de forma embaralhada – Só são lidos corretamente por usuários autorizados – Usa chaves para codificar e decodificar os dados Segurança da informação Medidas mais comuns em segurança • Firewall – Costuma ser um processador de comunicações, normalmente um roteador, ou um servidor dedicado, junto com o software de firewall – É um “porteiro” para as redes da empresa(conexão intranet/internet) – Só permite transmissões autorizadas para dentro e para fora das redes Segurança da informação Medidas mais comuns em segurança • Firewall – Detém, mas nem sempre previne ataques – Nenhum sistema é 100% seguro. – Diversos programas : • Norton firewall • Zone Alarm Segurança da informação Medidas mais comuns em segurança • Monitoramento de e-mail – Varre mensagens buscando : • Palavras suspeitas • Arquivos suspeitos – Costuma proibir arquivos potencialmente perigosos • Extensão exe, com, etc. Segurança da informação Medidas mais comuns em segurança • Uso de antivírus – Defesa contra • Vírus • Worms • Trojans • Qualquer programa maldoso Segurança da informação Medidas mais comuns em segurança • Uso de antivírus – Controle centralizado pelo pessoal de SI – Atualização constante(mais de 1 vez por dia) – Diversos fabricantes • Trend • McAfee • Symantec • E outros Segurança da informação Medidas mais comuns em segurança • Códigos de segurança sequenciais – Várias senhas, uma para cada atividade/aplicativo • Às vezes falha por culpa do usuário – Combinada com criptografia – Uso de políticas de criação de senha. Segurança da informação Medidas mais comuns em segurança • Backup – Todos os arquivos devem ter cópias de segurança – Normalmente são armazenados em servidor que tem backup periódico – Evita perda de dados – Muitas empresas ainda possuem políticas deficientes de backup. Segurança da informação Medidas mais comuns em segurança • Novos métodos de controle de acesso – Biometria • Digital • Reconhecimento ótico • Outros dispositivos de identificação. Segurança da informação Final da parte 10 Sistemas Computacionais Slide 1 Slide 2 Segurança da informação Segurança da informação Segurança da informação Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12 Slide 13 Slide 14 Slide 15 Slide 16 Slide 17 Slide 18 Slide 19 Slide 20 Slide 21 Slide 22 Slide 23 Slide 24 Slide 25 Slide 26 Slide 27 Slide 28 Slide 29
Compartilhar