Buscar

Segurança PSI e Autenticação

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 37 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 6, do total de 37 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 9, do total de 37 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
MÉTODOS DE AUTENTICAÇÃO
Prof André Molina
MÉTODOS DE AUTENTICAÇÃO
Prof. André Molina
http://timasters.ning.com/profile/AndreMolina
Sobre o professor
Formação
y Engenharia de Computação – ITA
y Mestre em Telecomunicações – UnB
y Especialista em Criptografia – UFFy Especialista em Criptografia – UFF
Atuação profissional
y Aeronáutica – 2000 a 2007
y CGU – 2007 a 2009
y Senado Federal (Prodasen) – 2009Senado Federal (Prodasen) 2009
2 Prof. André Molina
êReferências
y Cryptography and Network Security. William Stallings.
y Segurança de Redes em Ambientes Cooperativos. Emilio Nakamura 
e Paulo Geus.
y Practical Unix & Internet Security. Simon Garfinkel; Gene Spafford e 
Alan SchuwartzAlan Schuwartz
y ABNT NBR ISO/IEC 27002
y Guia Security Officer 1 Móduloy
y Official (ISC)2 Guide to the CISSP Exam. Susan Hansche, John 
Berti e Chris Hare.
3 Prof. André Molina
Ementa
y Política de Segurança
y DefiniçõesDefinições
y Melhores Práticas
y Legislação
y Recomendações
y Métodos de Autenticação
S hy Senhas
y Certificados
y TokensTokens
y Smartcards
y Biometria
4 Prof. André Molina
Paolla
Highlight
Paolla
Highlight
Política de Segurança da Informação
Como implementar a SI de forma que esteja 
li h d bj ti d ó i ?alinhada aos objetivos do negócio?
5 Prof. André Molina
Política de Segurança da Informação
Acórdão TCU 1603/2008 – Plenário: recursos empregados pela Administração Federal
na área de tecnologia da informação segundo dados do Siafi de 2007 ultrapassam ana área de tecnologia da informação, segundo dados do Siafi de 2007, ultrapassam a
soma de seis bilhões de reais.
Acórdão TCU 2 308/2010 Plenário o significati o impacto da tecnologia daAcórdão TCU 2.308/2010 – Plenário: o significativo impacto da tecnologia da
informação na administração pública federal decorre de seu papel crítico no apoio à
execução de políticas, programas e projetos de governo, bem como do expressivo valor
de recursos a ela alocados, que corresponderam a cerca de R$ 12,5 bilhões no, q p $ ,
orçamento da União de 2010
6 Prof. André Molina
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Política de Segurança da Informação
Políticas e Planos podem ser entendidos como instrumentos da Governança 
Corporativa Servem como direcionadores ESTRATÉGICOS para todas asCorporativa. Servem como direcionadores ESTRATÉGICOS para todas as 
atividades desempenhadas em uma organização.
Política/Plano -
Estratégico
Norma –Tático
Procedimentos e 
Instruções - Operacional
7 Prof. André Molina
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Política de Segurança da Informaçãog ç ç
Definições
Uma Política Segurança da Informação é um conjunto de princípios objetivos eUma Política Segurança da Informação é um conjunto de princípios, objetivos e 
diretrizes formalmente expressos pela direção que norteiam a gestão de segurança 
da informação de uma instituição. As diretrizes estabelecidas nessa política 
determinam as linhas mestras a serem seguidas pela organização para que sejadeterminam as linhas mestras a serem seguidas pela organização para que seja 
assegurada a segurança de suas informações.
Têm como objetivos:j
• Prover orientação e apresentar diretrizes de SI para a organização como um todo
• Reduzir/controlar os riscos
• Maximizar eficiência
• Assegurar transparência
• Aumentar a confiabilidade
• Apoiar o negócio
• Garantir conformidade com regulamentações, acordos, etc.
8 Prof. André Molina
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Política de Segurança da Informaçãog ç ç
Melhores Práticas
NBR ISO/IEC 27002:2005: Seção 5 – Política de Segurança da InformaçãoNBR ISO/IEC 27002:2005: Seção 5 Política de Segurança da Informação
Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e
demonstre apoio e comprometimento com a segurança da informação por meio da publicação
e manutenção de uma política de segurança da informação para toda a organização.
COBIT 4.1: DS5.2 Plano de Segurança de TI
Traduzir os requisitos de negócio, de risco e conformidade, em um plano abrangente deTraduzir os requisitos de negócio, de risco e conformidade, em um plano abrangente de
segurança de TI, que leve em consideração a infraestrutura de TI e a cultura de segurança. O
plano deve ser implementado em políticas e procedimentos de segurança, juntamente com
investimentos adequados em serviços, pessoal, software e hardware. Políticas e
di t d d i d á i t i t dprocedimentos de segurança devem ser comunicados aos usuários e partes interessadas
ITIL V3: Service Design – Política de Segurança da Informação
A PSI deve ter o total apoio da gerência executiva de TI e, preferencialmente, o apoio eS de e e o o a apo o da ge ê c a e ecu a de e, p e e e c a e e, o apo o e
comprometimento da gerência executiva do negócio.
9 Prof. André Molina
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Política de Segurança da Informaçãog ç ç
Melhores Práticas
NBR ISO/IEC 27002:2005
Objetivo: Prover uma orientação e 
apoio da direção para a segurança da 
informação de acordo com os 
requisitos do negócio e com as leis e q g
regulamentações relevantes.
Controle 
Administrativo
10 Prof. André Molina
Política de Segurança da Informaçãog ç ç
Melhores Práticas
NBR ISO/IEC 27002:2005
11 Prof. André Molina
Política de Segurança da Informaçãog ç ç
Melhores Práticas
5.1.1 Documento da PSI
• aprovado pela direção, publicado e comunicado para todos (interno e externo)
d fi i õ t i tâ i ti t d di ã• definições, metas, escopo, importância, comprometimento da direção
• estrutura de Gestão de Segurança da Informação (GSI)
• explanação das normas de SI
• aborde questões de conformidade, educação em SI, gestão da continuidadeaborde questões de conformidade, educação em SI, gestão da continuidade
• estabeleça consequências de violações
• responsabilidades na GSI
• referências de outras documentações de SI
12 Prof. André Molina
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Política de Segurança da Informaçãog ç ç
Melhores Práticas
5.1.2 Análise crítica da política de segurança da informação
• análise crítica a intervalos planejados ou quando mudanças significativas ocorrerem
t á l l t ã d PSI• gestor responsável pela manutenção da PSI
• aprovação pela direção da política de segurança da informação revisada
13 Prof. André Molina
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Política de Segurança da Informaçãog ç ç
Melhores Práticas
Outros aspectos da PSI na NBR ISO/IEC 27002
A PSI é t l id d lh áti d i f ãA PSI é um controle considerado melhor prática para a segurança da informação.
Política de segurança da informação é um fator crítico de sucesso na implementação daPolítica de segurança da informação é um fator crítico de sucesso na implementação da
segurança da informação dentro de uma organização.
D d NBR ISO/IEC 27001 é t l b i tó iDe acordo com a NBRISO/IEC 27001, é um controle obrigatório.
14 Prof. André Molina
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Política de Segurança da Informaçãog ç ç
Legislação (Federal)
• Decreto 3.505 de 13 de junho de 2000
•Acórdãos TCU 1.603/2008, 2.471/2008, 2.308/2010
• Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008Instrução Normativa GSI/PR n 1, de 13 de junho de 2008
• Norma Complementar nº 03/DSIC/GSIPR, de 3 de julho de 2009
15 Prof. André Molina
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Política de Segurança da Informaçãog ç ç
Legislação (Federal)
Decreto 3.505 de 13 de junho de 2000
• Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal
• Cria o CGSI (Comitê Gestor de Segurança da Informação) para assessorar a Secretaria-Executiva do
Conselho de Defesa Nacional
• Conceber, especificar e coordenar a implementação da infra-estrutura de chaves públicas a serem
utilizadas pelos órgãos e pelas entidades da Administração Pública Federal
16 Prof. André Molina
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Política de Segurança da Informaçãog ç ç
Legislação (Federal)
Acórdão TCU 1603/2008: Deficiências em Governança de TI (TCU)
17 Prof. André Molina
Política de Segurança da Informaçãog ç ç
Legislação (Federal)
Acórdãos TCU 1.603/2008, 2.471/2008, 2.308/2010:
9.1.3. Orientem sobre a importância do gerenciamento da segurança da informação, promovendo, inclusive
mediante normatização, ações que visem estabelecer e/ou aperfeiçoar a gestão da continuidade do negócio, a
gestão de mudanças, a gestão de capacidade, a classificação da informação, a gerência de incidentes, a análise de
i d TI á ífi i t d d i f ã líti driscos de TI, a área específica para gerenciamento da segurança da informação, a política de segurança
da informação e os procedimentos de controle de acesso;
9.1.8. Introduzam práticas voltadas à realização de Auditorias de TI, que permitam a avaliação regular da
conformidade, da qualidade, da eficácia e da efetividade dos serviços prestados.
9.6.1. Crie procedimentos para elaboração de Políticas de Segurança da Informação, Políticas de Controle de 
Acesso, Políticas de Cópias de Segurança, Análises de Riscos e Planos de Continuidade do Negócio. 
Referidas políticas, planos e análises deverão ser implementadas nos entes sob sua jurisdição por meio 
75. Não se percebe melhora nos indicadores de segurança da informação em relação ao levantamento
de orientação normativa; 
9.6.2. Identifique boas práticas relacionadas à segurança da informação, difundindo-as na Administração Pública Federal; 
p g ç ç ç
anterior, a despeito da recomendação emitida pelo TCU. A Administração, de forma geral, continua a
desconhecer e a não proteger suas informações críticas adequadamente. Como não há avaliação de
riscos, nem ao menos é possível estimar as suas consequências caso estes se materializem.
76. Dessa forma, deve-se dar especial atenção a este aspecto no monitoramento das recomendações do Acórdão nº
18 Prof. André Molina
p p
1.603/2008-TCU-Plenário.
Política de Segurança da Informaçãog ç ç
Legislação (Federal)
Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008Instrução Normativa GSI/PR n 1, de 13 de junho de 2008
Art. 2º Para fins desta Instrução Normativa, entende-se por:
I - Política de Segurança da Informação e Comunicações: documento aprovado pela autoridade responsável
pelo órgão ou entidade da Administração Pública Federal direta e indireta com o objetivo de fornecerpelo órgão ou entidade da Administração Pública Federal, direta e indireta, com o objetivo de fornecer
diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e
comunicações;
VII - Gestão de Segurança da Informação e Comunicações: ações e métodos que visam à integração das
atividades de gestão de riscos gestão de continuidade do negócio tratamento de incidentes tratamento daatividades de gestão de riscos, gestão de continuidade do negócio, tratamento de incidentes, tratamento da
informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica,
segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e
táticos, não se limitando, portanto, à tecnologia da informação e comunicações;
Art. 5º Aos demais órgãos e entidades da Administração Pública Federal, direta e indireta, em seu âmbito de
atuação, compete:
VII - aprovar Política de Segurança da Informação e Comunicações e demais normas de segurança da
informação e comunicações;informação e comunicações;
19 Prof. André Molina
Política de Segurança da Informaçãog ç ç
Legislação (Federal)
Norma Complementar nº 03/DSIC/GSIPR, de 3 de julho de 2009.Norma Complementar n 03/DSIC/GSIPR, de 3 de julho de 2009.
1 OBJETIVO
Estabelecer diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e
atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades daatualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da
Administração Pública Federal, direta e indireta - APF.
2 CONSIDERAÇÕES INICIAIS
2.1 A Política de Segurança da Informação e Comunicações declara o comprometimento da alta direção
organizacional com vistas a prover diretrizes estratégicas responsabilidades competências e o apoio paraorganizacional com vistas a prover diretrizes estratégicas, responsabilidades, competências e o apoio para
implementar a gestão de segurança da informação e comunicações nos órgãos ou entidades da
Administração Pública Federal, direta e indireta;
2.2 As diretrizes constantes na Política de Segurança da Informação e Comunicações no âmbito do órgão ou
entidade visam viabilizar e assegurar a disponibilidade integridade confidencialidade e autenticidade daentidade visam viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade da
informação.
4 CONCEITOS E DEFINIÇÕES
4 4 Política de Segurança da Informação e Comunicações (POSIC): documento aprovado pela autoridade4.4 Política de Segurança da Informação e Comunicações (POSIC): documento aprovado pela autoridade
responsável do órgão ou entidade da APF, com o objetivo de fornecer diretrizes, critérios e suporte
administrativo suficientes à implementação da segurança da informação e comunicações;
20 Prof. André Molina
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Underline
Paolla
Highlight
Paolla
Highlight
Política de Segurança da Informaçãog ç ç
Legislação (Federal)
Sugestão de conteúdo (NC 03/DSIC/GSIPR)Sugestão de conteúdo (NC 03/DSIC/GSIPR)
¾Escopo (abrangência, limites)
¾Conceitos e Definições
¾Referências legais e normativas¾Referências legais e normativas
¾Princípios
¾Diretrizes Gerais
¾ Tratamento da Informação;
¾ Tratamento de Incidentes de Rede;¾ Tratamento de Incidentes de Rede;
¾ Gestão de Risco;
¾ Gestão de Continuidade;
¾ Auditoria e Conformidade;
¾ Controles de Acesso;¾ Controles de Acesso;
¾ Uso de e-mail; e
¾ Acesso a Internet.
¾Penalidades
¾Competências e Responsabilidades (estrutura da gestão da SI, definição de gestor, etc.)¾Competências e Responsabilidades (estrutura da gestão da SI, definição de gestor, etc.)
¾Atualização.
21 Prof. André Molina
Política de Segurança da Informaçãog ç ç
Recomendações
Definir escopoDefinir escopo
Identificar objetivos estratégicos 
Identificar pontos prioritários de atenção (Análise e Avaliação de Risco – AAR)p p ç ( ç )
Identificar requisitos do negócio, legaise regulatórios
Recomendar os controles para tratar os riscos
Definir a estrutura da gestão de segurança da informação 
Atribuição de responsabilidades
Estilo, linguagem, clareza, simplicidade
Apoio e assinatura da direção
Publicação, comunicação
Monitorar com métricas (ex: número de incidentes)
Revisão periódica
22 Prof. André Molina
Revisão periódica
Política de Segurança da Informaçãog ç ç
Questões
1) (PMV 2007 Cargo 1) 101 Uma política de segurança para uma rede visa, tipicamente, identificar os) ( g ) p g ç p , p ,
recursos que precisam ser protegidos, os riscos aos recursos, a importância destes, as medidas para
protegê-los, quem pode usá-los e conceder acesso a eles, quais usos dos recursos são considerados
apropriados, quais os direitos e as responsabilidades dos usuários.
2) (PMV 2007 Cargo 1) 103 Realizar cópias de segurança (backup) pode ser parte de uma política de
segurança. Por exemplo, pode-se exigir uma cópia de segurança integral no primeiro dia de cada mês e
cópias incrementais nos outros dias.
3) (SEBRAE 2010 Cargo 3) De acordo com a ABNT, o Sistema de Gestão de Segurança da Informação é
uma forma de gerenciamento utilizada para estabelecer políticas baseadas na análise de risco do
negócio. Tendo esse sistema certificado, a organização demonstra sua capacidade de definir, de
implementar, de operar, de manter e de sempre melhorar a segurança da informação. Com base nasp , p , p g ç ç
recomendações das normas ISO 27001 e ISO 27002, julgue os itens subsequentes:
16 O documento de política de segurança da informação deve ser aprovado pela direção da
organização, mas não deve ser publicado nem comunicado a colaboradores ou partes externas.
4) (MPU 2010 Cargo 26) Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos itens.
143 Os principais fatores críticos de sucesso apresentados na referida norma incluem política de
segurança, abordagem e estrutura da segurança consistente com a cultura organizacional,
comprometimento de todos os níveis gerenciais, entendimento dos requisitos de segurança e divulgação
23 Prof. André Molina
p g q g ç g ç
da segurança.
Paolla
Highlight
Política de Segurança da Informaçãog ç ç
Questões
(TCU 2007 Cargo 9) Julgue os itens que se seguem, considerando que, na proposta organizacional descrita
na figura III, a empresa tenha implantado um programa de gestão de segurança da informaçãog , p p p g g g ç ç
embasado na ABNT NBR ISO/IEC 17799 (ISO 17799).
5) 143 A política corporativa de segurança da informação deverá ser elaborada somente após o
estabelecimento das políticas de segurança no desenvolvimento de software e de segurança em
operações de TI.p ç
6) 144 Todo evento de segurança da informação identificado no âmbito da organização corresponderá a
uma ou mais violações da política de segurança da informação da organização.
24 Prof. André Molina
Política de Segurança da Informaçãog ç ç
Questões
7) (TRT 21 2010 Cargo 11) Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à gestão de
segurança da informação, julgue os itens que se seguem.
102 Um dos controles da política de segurança da informação estabelece que ela deve ser analisada
criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a suap j q ç g , p g
contínua pertinência, adequação e eficácia.
8) (TCU 2007 Cargo 2) 179 O estabelecimento de uma política organizacional de segurança da informação
é uma atividade que depende em maior escala do apoio obtido pelo estafe de nível inferior na hierarquiaq p p p q
organizacional que do apoio explícito provido pela alta administração.
9) (INMETRO 2010 Cargo 16) QUESTÃO 35 Quanto à política de segurança da informação, assinale a
opção correta.pç
A É necessário definir o que deve ser protegido e o porquê.
B As responsabilidades pela proteção não devem ser definidas.
C As ameaças e as vulnerabilidades específicas a serem tratadas devem ser enumeradas.
D Os recursos tecnológicos que devem ser utilizados na proteção devem ser especificados.g q p ç p
E A política deve ser divulgada apenas entre os membros da administração superior da organização.
25 Prof. André Molina
Política de Segurança da Informaçãog ç ç
Questões
10) (INMETRO 2010 Cargo 14) QUESTÃO 66 Com relação à segurança da informação, assinale a opção
correta.
A A política de segurança da informação define o que deve ser protegido, por quê, e também quem seráp g ç ç q p g , p q , q
o responsável pela proteção, provendo uma base para decisões futuras.
B A avaliação de riscos deve abranger o que deve ser protegido e contra o quê. Porém, não deve levar
em consideração o esforço, o tempo e os recursos necessários.
C Vulnerabilidade é uma feature de um software que, quando explorada, pode levar a comportamentoq , q p , p p
não desejado.
D O risco de um ataque é proporcional à sua facilidade de execução.
E A ameaça é o produto do risco pelo custo da proteção.
11) (INMETRO 2010 Cargo 27) QUESTÃO 66 A política de segurança da informação deve
A servir de base para a solução de futuros conflitos.
B basear-se nas opiniões dos responsáveis pela operação da infraestutura de tecnologia da informação.
C ter sua divulgação restrita à alta direção da organização.g ç ç g ç
D ser elaborada por meio de um processo representativo e democrático.
E ser detalhada nos aspectos tecnológicos de sua implementação.
26 Prof. André Molina
Política de Segurança da Informaçãog ç ç
Questões
(ABIN 2010 Cargo 8) Acerca da Política de Segurança da Informação (PSI) nos órgãos e entidades da
administração pública federal, instituída pelo Decreto n.º 3.505/2000, julgue os seguintes itens.
12) 39 Os membros do Comitê Gestor da Segurança da Informação só podem participar de processos, no) g ç ç p p p p ,
âmbito da segurança da informação, de iniciativa do setor privado, caso essa participação seja julgada
imprescindível para atender aos interesses da defesa nacional, a critério do Comitê Gestor e após
aprovação do Gabinete de Segurança Institucional da Presidência da República.
13) 40 Entre os objetivos da PSI, insere-se o estímulo à participação competitiva do setor produtivo no
mercado de bens e de serviços relacionados com a segurança da informação, incluindo-se a fabricação
de produtos que incorporem recursos criptográficos.
(UNIPAMPA 2009 Cargo 3) Com relação à segurança de redes e sistemas, julgue os itens subsequentes.
14) 69 A política de segurança deve ser um documento minucioso e detalhado, no qual estejam previstos 
procedimentos recomendados e práticas proibidas.p p p
15) 70 A política de segurança deve ser definida democraticamente pelos usuários e levada à administração 
superior para sanção.
27 Prof. André Molina
Mét d d A t ti ãMétodos de Autenticação
Identificação x Autenticação x AutorizaçãoIdentificação x Autenticação x Autorização
Identificação: Ato de apresentar uma credencial a um recurso
Autenticação: Ato de validar uma credencial apresentada a um recurso
Autorização: Definição de quais direitos e permissões tem o usuário do
recurso após identificado e autenticado
Prof. André Molina28
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Mét d d A t ti ãMétodos de Autenticação
Autenticação é o processo de garantir que alguém ou alguma coisa é 
de fato quem diz ser
A forma de autenticação pode ser dividida em 3 categorias:
y Algo que sabemos: nome de usuário senhay Algo que sabemos: nome de usuário, senha
y Algo que temos: token, smartcard, certificado
y Algo que somos: biometria (impressões digitais, retina, rosto, voz)
Autenticação Forte: pelo menos duas formas de autenticação juntas 
(autenticação de dois fatores)(autenticação de dois fatores)
Prof. André Molina29
Paolla
HighlightPaolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Mét d d A t ti ãMétodos de Autenticação
Tipo Exemplo Vantagens Desvantagens
Algo que Senha passphrase Facilidade e baixo Fácil de descobrir; sujeito aAlgo que 
sabemos
Senha, passphrase,
ou PIN (personal
identification number)
Facilidade e baixo
custo de 
implementação
Fácil de descobrir; sujeito a 
ataques de dicionário; 
usuários não mantêm suas 
senhas em sigilo
Algo que 
temos
Token, memory card, 
smart card, certificado 
digital
Dificuldade de atacar Pode ser roubado ou 
perdido; alto custo de 
implementação
Algo que 
somos
Leitores biométricos Portabilidade e provê 
fácil método de 
autenticação
Alto custo de 
implementação; baixa 
aceitabilidade dos usuários; 
taxas de falsa rejeição etaxas de falsa rejeição e 
falsa aceitação 
Prof. André Molina30
Mét d d A t ti ãMétodos de Autenticação
y Tipo mais comum de autenticação (custo, facilidade, padronização)Tipo mais comum de autenticação (custo, facilidade, padronização)
y Fragilidades
y Sigilo
y Complexidade baixay Complexidade baixa
y Passphrase: a senha é uma frase.
y Alternativas: requisitos de complexidade, expiração, educação.
y Validação: hash
y Quebra de senhas:
y Ataques de força bruta (ataque de dicionário informações do usuário buscay Ataques de força bruta (ataque de dicionário, informações do usuário, busca
exaustiva)
y Engenharia social
y Sniffers de redey Sniffers de rede
y Ataques de replay
y Key loggers
y Efeito tempest
Prof. André Molina31
y Efeito tempest
Métodos de Autenticaçãoç
Certificados
y Funcionam como uma identidade digital.Funcionam como uma identidade digital.
y Contêm a chave pública do proprietário.
y Podem conter informações diversas sobre o proprietário, tais como CPF, RG,
endereço e mail profissão local de trabalho etcendereço, e-mail, profissão, local de trabalho, etc.
y Pode estar contido em um arquivo em disco, ou em smartcard/token.
y Mais detalhes serão vistos dentro do tópico de ICP.p
Prof. André Molina32
Métodos de Autenticaçãoç
Tokens
y Hardware com funções de armazenamento e processamento
y Alguns tipos conectam-se ao computador, outros não
y Capaz de gerar e armazenar as chaves criptográficas que irão compor os 
certificados digitaisg
y Uma vez geradas as chaves, não será possível retirá-las ou exportá-las
y Utiliza um PIN (Personal Identification Number), que é uma senha, a qual 
permite a utilização do tokenpermite a utilização do token
y Utilizados para acesso a bancos, VPN, assinaturas digitais, etc.
y Autenticação forte: algo que você sabe (PIN) + algo que você tem (token 
com chave privada ou chave instantânea)
Prof. André Molina33
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Métodos de Autenticaçãoç
Smartcards
y Semelhante a um cartão de crédito com chip, com funções de 
armazenamento e processamento
Capa de gerar e arma enar as cha es criptográficas q e irão compor osy Capaz de gerar e armazenar as chaves criptográficas que irão compor os 
certificados digitais
y Uma vez geradas as chaves, não será possível retirá-las ou exportá-las
y Também utiliza o PIN
y Operações realizadas dentro do chip
y Autenticação forte: algo que você sabe (PIN) + algo que você tem (tokeny Autenticação forte: algo que você sabe (PIN) + algo que você tem (token 
com chave privada ou chave instantânea)
Prof. André Molina34
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Métodos de Autenticaçãoç
Biometria
y Uso de características biológicas em mecanismos deUso de características biológicas em mecanismos de 
autenticação
y Características mais utilizadas:
Íy Íris: analisa os anéis em torno da pupila
y Retina: analisa os vasos sanguíneos
y Impressão digital: óptica, capacitiva, ultra-sônicap g p , p ,
y Voz: problema com ruídos e variações da voz
y Formato do rosto: não é muito preciso
y Geometria da mãoy Geometria da mão
y Assinatura
y Principal vantagem é o maior nível de segurança fornecido
y Desvantagens: maior custo e requer ajustes dos valores de 
aceitação
Prof. André Molina35
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Paolla
Highlight
Métodos de Autenticaçãoç
Questões
INMETRO 2010 - Pesquisador-Tecnologista em Metrologia e Qualidade – Área: Gestão da Informação
16) Questão 42 - Acerca dos métodos de autenticação de usuários, assinale a opção correta.
A) O método de autenticação embasado no que você sabe é adotado, por exemplo, quando se utiliza um pendrive com
senha para auxiliar na autenticação de um usuário na rede.
B) As senhas são armazenadas em arquivos que jamais podem ser acessados ou decriptografados; por isso aB) As senhas são armazenadas em arquivos que jamais podem ser acessados ou decriptografados; por isso, a
autenticação por meio de senha é a mais segura e a mais utilizada.
C) Os métodos de autenticação embasados no que você é consistem na utilização de mecanismo de autenticação
relacionado à posição hierárquica que o indivíduo ocupa em uma organização, permitindo-se mais privilégios de uso do
ambiente computacional àqueles que ocupam posições superiores.
D) O método embasado no que você sabe é relacionado ao uso de senhas de acesso e de logon para identificar oD) O método embasado no que você sabe é relacionado ao uso de senhas de acesso e de logon para identificar o
usuário na rede.
E) A administração de privilégios de acesso refere-se à possibilidade de leitura, escrita, gravação e exclusão de
arquivos, procedimentos que não podem estar associados a métodos de autenticação, pois podem gerar muitas
variáveis na administração da autenticação dos usuários.
EMBASA 2009 Cargo 6 - Analista de Tecnologia da Informação – atuação em Desenvolvimento
Com referência aos fundamentos de segurança relacionados a criptografia, firewalls, certificados e autenticação, julgue os
itens a seguir.
17) 99 O princípio da autenticação em segurança diz que um usuário ou processo deve ser corretamente identificado. Além17) 99 O princípio da autenticação em segurança diz que um usuário ou processo deve ser corretamente identificado. Além
disso, todo processo ou usuário autêntico está automaticamente autorizado para uso dos sistemas.
36 Prof. André Molina
Política de Segurança da Informaçãog ç ç
Respostas
1) C)
2) C
3) E
4) C
5) E)
6) E
7) C
8) E
9) A)
10) A
11) A
12) C
13) E)
14) E
15) E
16) D
17) E)
37 Prof. André Molina

Outros materiais