Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação Resumo Prof. Leopoldo França Resumo Os princípios e conceitos básicos de segurança da Informação; Definições e conceitos Tipos de Ataques Tipos de controle de acesso; Criptografia; Resumo Gestão da segurança da informação; Desafios e melhores práticas em segurança da informação. Fundamentos em segurança da informação / Michele da Costa Galvão, organizadora. – São Paulo : Pearson Education do Brasil, 2015. – (Coleção Bibliografia Universitária Pearson) Bibliografia. ISBN 978-85-430-0421-1 15-01651 CDD-658.47 Bibliografia recomendada Informação É a base para o funcionamento de uma organização. Um ativo da organização. Valor. Dados X Informação Dados: elementos ainda não analisados e não processados. Informação: são o resultado do processamento desses dados pelo computador. Introdução Classificando e reclassificando as informações Graus de sigilo. Reavaliação periódica Informação Órgãos e entidades públicas Empresas privadas Ultrassecreto Confidencial Secreto Privada Reservado Sigilosa Público Pública Manuseio – quando a informação é criada ou alterada. Armazenamento – quando a informação é retida (por exemplo, em meio magnético). Transporte – quando a informação é conduzida ou transportada (por exemplo, por fax ou e-mail). Descarte – quando a informação é inutilizada, descartada (por exemplo, arquivo eletrônico ou papel é excluído). Ciclo de vida da informação Problemas ambientais (variações térmicas, umidade); Interrupção de serviços (queda de energia elétrica, falha nos equipamentos, problemas de software); Ataque de crackers (vírus que excluem dados); Erros involuntários de usuários; Treinamento inadequado; Erro em cópias de dados ou esquecimento da realização de backup. Perda de informação Crackers; Phishing; Criação de sites falsos; Invasão de sistemas para captura de dados; Etc. Roubo de informação Para detectar possíveis ataques em tempo hábil. Reconhecer atividades suspeitas e; Procedimentos que possam deixar o sistema vulnerável a falhas de segurança. Diminui a vulnerabilidade da organização. Cria informações para auditoria de segurança. Monitoramento Confidencialidade; Integridade; Disponibilidade; Autenticidade; Irrevogabilidade. Princípios e medidas de segurança Hackers - não causam delitos ou crimes digitais, portanto nunca invadem um computador para causar danos, apenas por curiosidade. Crackers - são indivíduos que praticam a quebra de segurança de um sistema, ou seja, cometem delitos ou crimes digitais. Muitos crackers, quando descobertos e presos, aceitam a redução da pena em troca de trabalharem como hackers. Hackers e Crackers Investimento tecnológico em Segurança da Informação. Aumento do uso da Internet aumento no interesse dos criminosos. Comércio eletrônico ( e-commerce ). Internet Autenticação por conhecimento – o que se sabe (não físico). (nome do usuário, senha, etc.). Autenticação por propriedade – o que se possui.(física) (cartão de identificação, cartões magnéticos, etc.). Autenticação por característica – o que se é. (biometria: impressão digital, íris, etc.). Sistemas de identificação e autenticação de usuários Sistemas de identificação e autenticação de usuários Autenticação através de um único fator: Ex: Cartão magnético, ou impressão digital. Autenticação através de dois fatores: Ex: Cartão magnético + senha. Autenticação através de três fatores: Ex: Cartão magnético + senha + impressão digital. Autenticação única (single sign-on): Ex: Conta unificada do Google, etc. Modelos de Autenticação Técnica empregada para cifrar a escrita. Cifração - mistura e/ou substituição das letras Decifração - traduz o texto cifrado para o original Criptoanálise - decodificação de criptogramas. Criptografia (cryptography) Um Sistema de Criptografia (cryptosystem) utiliza um algoritmo de cifragem matemático. Os algoritmos de cifragem são divulgados publicamente, portanto é necessária a adição de uma chave secreta (senha). Existem dois tipos de algoritmos: Chaves Simétricas (chave secreta) Chaves Assimétricas (chave pública) Modelos de criptografia Deslocamento de 3 posições: Plain: A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Cipher: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C A frase: “A CASA DE MURO VERDE” Será cifrada como: “D FDVD GH PXUR YHUGH”: Exemplo: Cifra de César. São os documentos de identificação digital. Equivalente a uma identidade ou passaporte. São expedidos por uma Autoridade Certificadora (AC). Certificados digitais Diversos tipos de negócios aumento do comércio eletrônico. Criminosos também vem aumentando. Pessoas hesitam em realizar transações pela Internet. Categorias do e-commerce: Business to Consumer (B2C) Business to Business (B2B) Consumer to Consumer (C2C) Government to Consumers (G2C) Government to Business (G2B) Segurança no comércio eletrônico Firewalls - sistemas de detecção de invasão, redes privadas virtuais, filtragem de conteúdo web etc. Auditoria e controle de sistemas - é um processo realizado para avaliar o sistema de segurança da informação de uma organização. Apontar todos os pontos de risco; Avaliar o impacto desses riscos; Ferramentas de segurança em sistemas computacionais Confidencialidade é um dos princípios mais importantes dentro do contexto da segurança. Funcionários da própria empresa são os responsáveis por acessar informações não autorizadas. Antes que o acesso seja fornecido aos sistemas computacionais, é importante que o termo de confidencialidade seja entregue e assinado. Termo de confidencialidade Garantir a segurança na Internet. Procedimento para acesso à Internet. Pode ser uma entrada para vírus e ataques que possibilitam o roubo ou a danificação de dados da empresa. Regras de acesso à Internet devem constar na política de segurança da informação de toda organização. Aspectos de segurança na Internet Utilize opções “Sair” ou “Logout”. Não crie senhas fáceis e altere-as frequentemente. Tenha sempre um software antivírus instalado em computadores de uso pessoal e também em celulares. Não baixe arquivos de sites que fornecem downloads sem ter a certeza de que são confiáveis. Evite acessar links provenientes de redes sociais. Pesquise sobre a reputação de um site, antes de realizar compras nele. Procedimentos para acesso seguro Alguns tipos de incidentes de segurança da informação possíveis de ocorrer: Código malicioso (malware) Negação de serviço Dados incompletos ou inconsistentes Violações de confidencialidade e integridade Administração da segurança e seus riscos Engenharia social é o nome dado ao conjunto de ações realizadas por indivíduos que assumem outra personalidade para obter informações sigilosas e confidenciais, pela exploração da confiança de pessoas. Indivíduos mal-intencionados, utilizam-se da engenharia social para conseguir informações de funcionários de empresas e, assim, conseguir invadiros seus sistemas computacionais. Engenharia social Algumas empresas ainda não perceberam que um bom treinamento em segurança da informação evitaria vários casos de violação em seus dados. Treinamento poderia gerar maior conscientização. Segurança da informação não é feita só de máquinas. Treinamento para que os funcionários não favoreçam a prática da engenharia social. Treinamento e conscientização A segurança da informação enfrenta desafios diários. A informatização nas empresas evoluirá ainda mais nos próximos anos. A tendência é que no futuro os crimes digitais continuem aumentando. Mudança da cultura organizacional em favor da segurança é outro ponto que deve ser considerado. Desafios e melhores práticas em segurança da informação
Compartilhar