INFO - Segurança da Informação - Resumo

Prévia do material em texto

Segurança da Informação 
 
Resumo 
 
Prof. Leopoldo França 
Resumo 
 Os princípios e conceitos básicos de segurança da 
Informação; 
 Definições e conceitos 
 Tipos de Ataques 
 Tipos de controle de acesso; 
 Criptografia; 
Resumo 
 Gestão da segurança da informação; 
 Desafios e melhores práticas em segurança da 
informação. 
 Fundamentos em segurança da informação / 
Michele da Costa Galvão, organizadora. 
– São Paulo : Pearson Education do Brasil, 2015. – (Coleção 
Bibliografia Universitária Pearson) 
 
Bibliografia. 
ISBN 978-85-430-0421-1 
 
15-01651 CDD-658.47 
Bibliografia recomendada 
 Informação 
 É a base para o funcionamento de uma organização. 
 Um ativo da organização. 
 Valor. 
 Dados X Informação 
 Dados: elementos ainda não analisados e não 
processados. 
 Informação: são o resultado do processamento desses 
dados pelo computador. 
 
Introdução 
 Classificando e reclassificando as 
informações 
 
 
 
 
 
 Graus de sigilo. 
 Reavaliação periódica 
 
Informação 
Órgãos e entidades públicas Empresas privadas 
Ultrassecreto Confidencial 
Secreto Privada 
Reservado Sigilosa 
Público Pública 
 Manuseio – quando a informação é criada ou 
alterada. 
 Armazenamento – quando a informação é retida 
(por exemplo, em meio magnético). 
 Transporte – quando a informação é conduzida 
ou transportada (por exemplo, por fax ou e-mail). 
 Descarte – quando a informação é inutilizada, 
descartada (por exemplo, arquivo eletrônico ou 
papel é excluído). 
Ciclo de vida da informação 
 Problemas ambientais (variações térmicas, umidade); 
 Interrupção de serviços (queda de energia elétrica, falha 
nos equipamentos, problemas de software); 
 Ataque de crackers (vírus que excluem dados); 
 Erros involuntários de usuários; 
 Treinamento inadequado; 
 Erro em cópias de dados ou esquecimento da 
realização de backup. 
Perda de informação 
 Crackers; 
 Phishing; 
 Criação de sites falsos; 
 Invasão de sistemas para captura de dados; 
 Etc. 
Roubo de informação 
 Para detectar possíveis ataques em tempo 
hábil. 
 Reconhecer atividades suspeitas e; 
 Procedimentos que possam deixar o sistema 
vulnerável a falhas de segurança. 
 Diminui a vulnerabilidade da organização. 
 Cria informações para auditoria de segurança. 
Monitoramento 
 Confidencialidade; 
 Integridade; 
 Disponibilidade; 
 Autenticidade; 
 Irrevogabilidade. 
Princípios e medidas de segurança 
 Hackers - não causam delitos ou crimes 
digitais, portanto nunca invadem um 
computador para causar danos, apenas por 
curiosidade. 
 Crackers - são indivíduos que praticam a 
quebra de segurança de um sistema, ou seja, 
cometem delitos ou crimes digitais. 
 Muitos crackers, quando descobertos e presos, 
aceitam a redução da pena em troca de trabalharem 
como hackers. 
 
Hackers e Crackers 
 Investimento tecnológico em Segurança da 
Informação. 
 
 Aumento do uso da Internet  aumento no 
interesse dos criminosos. 
 
 Comércio eletrônico ( e-commerce ). 
 
Internet 
 Autenticação por conhecimento – o que se sabe (não 
físico). (nome do usuário, senha, etc.). 
 
 Autenticação por propriedade – o que se possui.(física) 
(cartão de identificação, cartões magnéticos, etc.). 
 
 Autenticação por característica – o que se é. 
(biometria: impressão digital, íris, etc.). 
Sistemas de identificação e 
autenticação de usuários 
Sistemas de identificação e 
autenticação de usuários 
 Autenticação através de um único fator: 
 Ex: Cartão magnético, ou impressão digital. 
 Autenticação através de dois fatores: 
 Ex: Cartão magnético + senha. 
 Autenticação através de três fatores: 
 Ex: Cartão magnético + senha + impressão digital. 
 
 Autenticação única (single sign-on): 
 Ex: Conta unificada do Google, etc. 
 
Modelos de Autenticação 
Técnica empregada para cifrar a escrita. 
 
 Cifração - mistura e/ou substituição das letras 
 
 Decifração - traduz o texto cifrado para o original 
 
 Criptoanálise - decodificação de criptogramas. 
 
Criptografia (cryptography) 
 Um Sistema de Criptografia (cryptosystem) utiliza 
um algoritmo de cifragem matemático. 
 Os algoritmos de cifragem são divulgados 
publicamente, portanto é necessária a adição de 
uma chave secreta (senha). 
 Existem dois tipos de algoritmos: 
 Chaves Simétricas (chave secreta) 
 Chaves Assimétricas (chave pública) 
Modelos de criptografia 
 Deslocamento de 3 posições: 
Plain: A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 
Cipher: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C 
 
 
 
 
 
 
 
A frase: “A CASA DE MURO VERDE” 
Será cifrada como: “D FDVD GH PXUR YHUGH”: 
Exemplo: Cifra de César. 
 
 São os documentos de identificação digital. 
 
 Equivalente a uma identidade ou passaporte. 
 
 São expedidos por uma Autoridade Certificadora (AC). 
 
Certificados digitais 
 Diversos tipos de negócios  aumento do comércio eletrônico. 
 Criminosos também vem aumentando. 
 Pessoas hesitam em realizar transações pela Internet. 
 Categorias do e-commerce: 
 Business to Consumer (B2C) 
 Business to Business (B2B) 
 Consumer to Consumer (C2C) 
 Government to Consumers (G2C) 
 Government to Business (G2B) 
Segurança no comércio eletrônico 
 Firewalls - sistemas de detecção de invasão, redes 
privadas virtuais, filtragem de conteúdo web etc. 
 
 Auditoria e controle de sistemas - é um processo 
realizado para avaliar o sistema de segurança da 
informação de uma organização. 
 Apontar todos os pontos de risco; 
 Avaliar o impacto desses riscos; 
 
Ferramentas de segurança 
em sistemas computacionais 
 Confidencialidade é um dos princípios mais 
importantes dentro do contexto da segurança. 
 Funcionários da própria empresa são os 
responsáveis por acessar informações não 
autorizadas. 
 Antes que o acesso seja fornecido aos sistemas 
computacionais, é importante que o termo de 
confidencialidade seja entregue e assinado. 
 
Termo de confidencialidade 
 Garantir a segurança na Internet. 
 Procedimento para acesso à Internet. 
 Pode ser uma entrada para vírus e ataques que 
possibilitam o roubo ou a danificação de dados 
da empresa. 
 Regras de acesso à Internet devem constar na 
política de segurança da informação de toda 
organização. 
Aspectos de segurança na Internet 
 Utilize opções “Sair” ou “Logout”. 
 Não crie senhas fáceis e altere-as frequentemente. 
 Tenha sempre um software antivírus instalado em 
computadores de uso pessoal e também em celulares. 
 Não baixe arquivos de sites que fornecem downloads sem 
ter a certeza de que são confiáveis. 
 Evite acessar links provenientes de redes sociais. 
 Pesquise sobre a reputação de um site, antes de realizar 
compras nele. 
Procedimentos para acesso seguro 
 Alguns tipos de incidentes de segurança da 
informação possíveis de ocorrer: 
 Código malicioso (malware) 
 Negação de serviço 
 Dados incompletos ou inconsistentes 
 Violações de confidencialidade e integridade 
 
Administração da segurança e seus riscos 
 Engenharia social é o nome dado ao conjunto de ações 
realizadas por indivíduos que assumem outra personalidade 
para obter informações sigilosas e confidenciais, pela 
exploração da confiança de pessoas. 
 
 Indivíduos mal-intencionados, utilizam-se da engenharia 
social para conseguir informações de funcionários de 
empresas e, assim, conseguir invadiros seus sistemas 
computacionais. 
Engenharia social 
 Algumas empresas ainda não perceberam que um 
bom treinamento em segurança da informação 
evitaria vários casos de violação em seus dados. 
 Treinamento poderia gerar maior conscientização. 
 Segurança da informação não é feita só de máquinas. 
 Treinamento para que os funcionários não favoreçam 
a prática da engenharia social. 
Treinamento e conscientização 
 A segurança da informação enfrenta desafios diários. 
 A informatização nas empresas evoluirá ainda mais nos 
próximos anos. 
 A tendência é que no futuro os crimes digitais continuem 
aumentando. 
 Mudança da cultura organizacional em favor da segurança 
é outro ponto que deve ser considerado. 
 
Desafios e melhores práticas em 
segurança da informação