Seg_Info_pII

Prévia do material em texto

1
Vulnerabilidade,
Crimes e
Proteção
Segurança da Informação
Tríade da
Segurança da
Informação
Integridade
Confidencialidade Disponibilidade
2
Vulnerabilidade dos sistemas
 Ameaças não intencionais
 Erros humanos
 Riscos ambientais
 Falhas de sistema
 Ameaças intencionais
 Roubo de dados
 Roubo de tempo de máquina
 Sabotagem
 Etc.
 Principais ameaças
Fonte: Menezes, Josué das C. Gestão da Segurança da Informação apud Bernardinelli, Mário C. R., Segurança da Informação no Ambiente da 
Internet com Ênfase em Certificação Digital (2006)
3
Foote: 10ª Pesquisa Nacional de Segurança da Informação – Módulo (2006)
Crimes de informática
 Hacker
 Cracker
 Engenharia social (pessoal interno)
 Cibercrimes (internet)
 Roubo de identidade
 Ciberguerra
4
Métodos de ataque
 Vírus
 Worm
 Cavalo de Tróia
 Bomba lógica
 Sniffer
 Negação de serviço
Proteção (controles)
 Controles gerais
 Físicos
 Acesso
 Segurança de dados
 Administrativos
5
 Comunicações
 Firewalls
 Antivírus
 Detecção da intrusão
 Rede privada virtual (VPN)
 Autorização
 Autenticação
 Aplicação
 Entrada
 Processamento
 Saída
6
Criptografia Simétrica
Para: Banco
De: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,5
milhões da conta
254674-12 para
a conta 071517-08
Affonso
Para: Banco
De: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,5
milhões da conta
254674-12 para
a conta 071517-08
Affonso
*> *ql3*UY
#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9eea
qw9vijhas9djerhp7
(*Y23k^wbvlqkwc
zqw-_89237xGyjdc
Biskdue di7@94
*> *ql3*UY
#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9eea
qw9vijhas9djerhp7
(*Y23k^wbvlqkwc
zqw-_89237xGyjdc
Biskdue di7@94
Encriptografia
+ + Algoritmo =
Decriptografia
Para: Banco
De: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,5
milhões da conta
254674-12 para
a conta 071517-08
Affonso
Para: Banco
De: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,5
milhões da conta
254674-12 para
a conta 071517-08
Affonso
*> *ql3*UY
#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9eea
qw9vijhas9djerhp7
(*Y23k^wbvlqkwc
zqw-_89237xGyjdc
Biskdue di7@94
*> *ql3*UY
#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9eea
qw9vijhas9djerhp7
(*Y23k^wbvlqkwc
zqw-_89237xGyjdc
Biskdue di7@94
+ + =Algoritmo
Criptografia Simétrica
Algoritmos simétricos - exigem que a chave 
seja mantida secreta, do conhecimento 
exclusivo dos dois interlocutores. 
É requerido um canal seguro que permita a 
um usuário transmitir a chave ao seu 
interlocutor.
Diversos algoritmos: DES, Triple DES, IDEA, 
RC2
7
Criptografia Assimétrica
Para: Banco
De: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,0
milhões da conta
254674-12 para
a conta 071517-08
Affonso
Para: Banco
De: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,0
milhões da conta
254674-12 para
a conta 071517-08
Affonso
*> *ql3*UY
#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9%#@
qw9vijhas9djerhp7
(*Y23k^wbvlqkwc
zqw-_89237xGyjdc
Biskdue di7@94
*> *ql3*UY
#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9%#@
qw9vijhas9djerhp7
(*Y23k^wbvlqkwc
zqw-_89237xGyjdc
Biskdue di7@94
Criptografia
+ + Algoritmo =
Chave Pública
Decriptografia
Para: Banco
De: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,0
milhões da conta
254674-12 para
a conta 071517-08
Affonso
Para: Banco
De: Affonso
Data: 16, Abr, 2001
Transferir R$ 2,0
milhões da conta
254674-12 para
a conta 071517-08
Affonso
*> *ql3*UY
#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9%#@
qw9vijhas9djerhp7
(*Y23k^wbvlqkwc
zqw-_89237xGyjdc
Biskdue di7@94
*> *ql3*UY
#~00873/JDI
c4(DH: IWB(883
LKS9UI29as9%#@
qw9vijhas9djerhp7
(*Y23k^wbvlqkwc
zqw-_89237xGyjdc
Biskdue di7@94
+ + Algoritmo =
Chave Privada
Criptografia Assimétrica
As chaves são sempre geradas aos pares: 
uma para cifrar e outra para decifrar.
A chave pública é divulgada, a chave privada
é proprietária (normalmente não abandona o 
ambiente onde foi gerada).
As duas chaves são relacionadas através de 
funções matemáticas unidirecionais.
Algoritmos: RSA, ElGamal, Diffie-Hellman, 
Curvas Elípticas.
8
Assinatura Digital
Criação de um código, através da utilização de 
uma chave privada, que possibilita verificar se o 
remetente é mesmo quem diz ser e identificar 
qualquer mensagem que possa ter sido 
modificada.
Neste processo é utilizado o método de 
criptografia de chaves pública e privada.
Certificado Digital
Arquivo eletrônico que contém dados de uma 
pessoa ou instituição, utilizados para comprovar 
sua identidade.
O arquivo pode estar armazenado em um 
computador ou em outra mídia, como um token
ou smart card.
9
Algumas das principais informações encontradas 
em um certificado digital são:
 dados que identificam o dono (nome, número 
de identificação, estado, etc);
 nome da Autoridade Certificadora (AC) que 
emitiu o certificado ;
 o número de série e o período de validade do 
certificado;
 a assinatura digital da Autoridade Certificadora.
Planejamento de Recuperação
de Acidentes
Contingência
evento com potencial para interromper 
operações computacionais, e por consequência, 
as missões críticas e funções dos negócios
Plano de Contingência Operacional
Conjunto de atividades alternativas, 
previamente planejadas, com o objetivo de 
manter as atividades de negócio que sofram o 
risco de serem interrompidas.
10
 Fases do Planejamento:
 Atividades Preliminares
 Análise de Impacto
 Análise das Alternativas de Recuperação
 Backup
 Procedimentos manuais
 Acordos comerciais
 Acordos de reciprocidade
 Soluções internas
FIM