Baixe o app para aproveitar ainda mais
Prévia do material em texto
2 Sumário Segurança da Informação .................................................................... 3 Princípios Básicos da Segurança da Informação - P.B.S.I: ............... 3 Disponibilidade ............................................................................ 3 Integridade .................................................................................. 3 Confidencialidade ........................................................................ 4 Autenticidade .............................................................................. 4 Procedimentos de Segurança .............................................................. 4 Programas básicos ........................................................................... 4 Política de mesa limpa ..................................................................... 4 Política de tela limpa ....................................................................... 5 Boas práticas .................................................................................... 5 Criptografia .......................................................................................... 5 Criptografia de Chave Simétrica: ..................................................... 5 Criptografia de Chave Assimétrica: ................................................. 6 Confidencialidade: ............................................................................... 6 Autenticidade: ..................................................................................... 7 Certificado Digital ................................................................................ 7 Exercícios ............................................................................................. 9 Gabarito ......................................................................................... 11 ALÔ, VOCÊ! Este é um material de acompanhamento de Aulas Gratuitas transmitidas pelo AlfaCon em seu Canal Oficial no Somos mais de 1 Milhão de inscritos! Inscreva-se para receber o melhor conteúdo para concursos públicos! Conheça também http://bit.ly/FabricadeValores Central de Vendas (WhatsApp) → 45 9 9856-2827 | 45 9 946-2194 Sede em Cascavel/PR → 45 3037-8890 | WhatsApp 45 9 9136-9764 Sede em São Paulo/SP → 11 3905-2900 | WhatsApp 11 9 6352-0355 3 Mude sua vida: Começando do Zero Informática | João Paulo Segurança da Informação A segurança da Informação é maior do que a própria informática, ela condiz com os procedimentos que envolvam a informação seja qual for seu formato, digital ou impresso. A segurança da informação deve estar presente em todas as etapas do ciclo de vida dos dados (documentos): criação/aquisição/seleção, transporte, armazenamento, manuseio, organização, recuperação e eliminação. A ISO 27002 (conhecida antes como ISO 17799) é uma norma internacional contendo controles para a segurança da Informação. É uma norma que trata das melhores práticas de segurança da informação. Nesse âmbito de segurança alguns princípios devem ser buscados. Princípios Básicos da Segurança da Informação - P.B.S.I: Disponibilidade Garante que esteja disponível Integridade Garante a não alteração dos dados Confidencialidade Garante o sigilo do dado Autenticidade Garante o Autor do dado Disponibilidade Garante que um sistema de informações estará sempre disponível aos usuários. Ex.: Um edital determina o dia X para a divulgação da lista dos aprovados em um concurso, perante o princípio da disponibilidade ele deve estar disponível para acesso pelos usuários, ou seja, deve garantir as condições para que, por exemplo, uma demanda de acesso muito elevada não impossibilite o usuário de acessar o resultado. Integridade A integridade é a garantia de que um dado não sofreu alteração durante a transmissão. A integridade é garantida com o uso de uma função HASH. A função HASH gera um “resumo” do dado que se deseja garantir a integridade. Por exemplo, temos uma mensagem que será enviada a determinado destino e queremos garantir que ninguém durante a transmissão a altere, então utilizamos a função HASH para gerar um resumo desta mensagem, este resumo tem um tamanho fixo e é composto por dígitos hexadecimais, e enviamos este código HASH Central de Vendas (WhatsApp) → 45 9 9856-2827 | 45 9 946-2194 Sede em Cascavel/PR → 45 3037-8890 | WhatsApp 45 9 9136-9764 Sede em São Paulo/SP → 11 3905-2900 | WhatsApp 11 9 6352-0355 4 junto com a mensagem. Existe somente um código HASH para cada mensagem, se uma vírgula for alterada na mensagem original o código HASH será diferente, e desta forma ao receber uma mensagem e o resumo dela o destino gera novamente um resumo desta mensagem e o compara com o recebido. Não há como, a partir de um código HASH gerar a mensagem original. Confidencialidade Confidencialidade é o princípio que garante o sigilo de um dado, ou seja, assegura que somente a quem o dado se destina é que pode acessá-lo, entende-lo. Autenticidade É responsável por garantir a identidade do autor do dado. “Assegurar que é quem diz ser.” Não Repúdio É o princípio que deriva da autenticidade, pois uma vez que se usa da estrutura para garantir a autenticidade não se pode negar o vínculo. Procedimentos de Segurança Os procedimentos de segurança tratam dos requisitos básicos para uma segurança bem como das precauções por parte dos usuários. Programas básicos Dentre as prerrogativas de segurança é necessário que o computador possua: • Programa antivírus ou antimalware instalado e atualizado; • Manter o firewall sempre ativo; • Manter o sistema operacional sempre atualizado. Política de mesa limpa uma política de "mesa limpa" é uma forma eficaz para reduzir os riscos de acesso não autorizado, perda ou dano à informação durante e fora do horário normal de trabalho, assim, os seguintes procedimentos devem ser adotados: • Papéis e mídias de computador devem ser guardados, quando não estiverem sendo utilizados, em lugares adequados, com fechaduras ou outras formas seguras de mobiliário, especialmente fora do horário normal de trabalho; • Informações sensíveis ou críticas ao negócio, quando não requeridas, devem ser guardadas em local distante, de forma segura e fechada, de preferência em um cofre ou arquivo resistente a fogo, especialmente quando o escritório estiver vazio; • Pontos de recepção e envio de correspondências e máquinas de fax e telex não assistidas devem ser protegidos; Central de Vendas (WhatsApp) → 45 9 9856-2827 | 45 9 946-2194 Sede em Cascavel/PR → 45 3037-8890 | WhatsApp 45 9 9136-9764 Sede em São Paulo/SP → 11 3905-2900 | WhatsApp 11 9 6352-0355 5 • Equipamentos de reprodução (fotocopiadoras, "scanners" e máquinas fotográficas digitais) devem ser travadas ou de alguma forma protegidas contra o uso não autorizado fora do horário de trabalho; • Informações sensíveis e classificadas, quando impressas, devem ser imediatamente retiradas da impressora e fax. Política de tela limpa uma política de "tela limpa" é uma forma eficaz para reduzir os riscos de acesso não autorizado, perda ou dano à informação durante e fora do horário normal de trabalho, assim, os seguintes procedimentos devem ser adotados: • Os computadores pessoais, terminais de computador e impressoras devem ser desligados quando desassistidos; • Equipamentos devem ser protegidos por mecanismo de travamento de tela e teclado controlados por senhas, chaves ou outros mecanismos de autenticação quando não estiverem em uso; • Se uma sessão estiver ociosa por mais de 15 minutos, exigir que o usuário redigite a senha parareativar o terminal. Boas práticas Dentre as boas práticas destacam-se o uso de senhas com pelo menos três tipos de caracteres e no mínimo de 8 dígitos. As senhas são de caráter pessoal e intrasferível. Durante a navegação nas páginas da Internet não clicar em qualquer link ou mensagem. Escanear arquivos com antivírus antes de abri-los. Realizar rotinas de backup e verificação de malwares. Criptografia Criptografia: é a Arte de escrever em códigos. É uma técnica utilizada para garantir o sigilo de uma mensagem. Os métodos de criptografia atuais baseiam-se no uso de uma ou mais chaves. Uma chave é uma sequência de caracteres, que pode conter letras, dígitos e símbolos (como uma senha), e que é convertida em um número, utilizado pelos métodos de criptografia para codificar e decodificar as mensagens. C K H Z E N P A L F A C O N Criptografia de Chave Simétrica: Neste método se faz o uso de uma mesma chave tanto para cifrar quanto decifrar as mensagens. Ele é mais rápido do que o método de chaves Assimétricas, porém, precisa de Central de Vendas (WhatsApp) → 45 9 9856-2827 | 45 9 946-2194 Sede em Cascavel/PR → 45 3037-8890 | WhatsApp 45 9 9136-9764 Sede em São Paulo/SP → 11 3905-2900 | WhatsApp 11 9 6352-0355 6 alguma forma segura de compartilhar a chave entre indivíduos que desejam trocar informações criptografadas com essa chave. Criptografia de Chave Assimétrica: Neste método utilizamos duas chaves, uma chave Pública, que fica disponível para todos, e uma chave Privada, que somente o dono conhece. As mensagens criptografadas com a chave pública só podem ser decifradas com a chave privada correspondente, ou seja, uma mensagem criptografada com uma chave de um usuário poderá ser aberta somente pela outra chave do mesmo usuário. Confidencialidade: Para que o sigilo de uma informação seja garantido, precisamos garantir que somente a quem se destina a informação poderá entendê-la. Como você acabou de ler, existe uma chave que somente o dono conhece, a sua chave privada, e que se um dado é criptografado com a chave pública de um usuário somente pode ser decriptografada pela chave privada do mesmo usuário. Assim, quando desejamos manter o sigilo de um dado devemos cifrar este dado com a chave pública do destino. Vejamos de uma outra maneira que pode aparecer na prova: Um usuário X enviando uma mensagem para um usuário Y querendo garantir a confidencialidade. Então, X usa a chave Pública de Y para criptografar a mensagem e envia a para Y que por sua vez usa a sua chave Privada para decriptografar a mensagem. Processo da Confidencialidade: João envia uma mensagem para Ana de forma que somente ela consiga entender a mensagem. Central de Vendas (WhatsApp) → 45 9 9856-2827 | 45 9 946-2194 Sede em Cascavel/PR → 45 3037-8890 | WhatsApp 45 9 9136-9764 Sede em São Paulo/SP → 11 3905-2900 | WhatsApp 11 9 6352-0355 7 Autenticidade: No processo de autenticação, as chaves são aplicadas de forma inversa ao da confidencialidade. O remetente de uma mensagem utiliza sua chave Privada para criptografa-lo, assim garante que somente ele poderia ter realizado esta criptografia, pois parte do princípio de que somente ele conhece sua chave privada. Em decorrência desta regra de segurança em que o usuário de uma chave provada se compromete a manter sigilo desta chave o conceito de Não Repúdio é associado, o qual nega ao usuário o direito de dizer que alguém enviou a mensagem tentando se passar por ele. Vejamos de uma outra maneira que pode aparecer na prova: Um usuário X enviando uma mensagem para um usuário Y querendo garantir a autenticidade. Então, X usa a sua chave Privada para criptografar a mensagem e envia a para Y que por sua vez usa a chave Pública de X para abrir a mensagem. Processo da Autenticidade: João envia uma mensagem para Ana, garantindo que foi ele quem enviou. Certificado Digital O Certificado digital é um documento eletrônico assinado digitalmente e cumpre a função de associar uma pessoa ou entidade a uma chave pública. Um certificado normalmente assimila as seguintes informações a um usuário: • Nome da pessoa ou entidade a ser associada à chave pública; • Período de validade do certificado; Central de Vendas (WhatsApp) → 45 9 9856-2827 | 45 9 946-2194 Sede em Cascavel/PR → 45 3037-8890 | WhatsApp 45 9 9136-9764 Sede em São Paulo/SP → 11 3905-2900 | WhatsApp 11 9 6352-0355 8 • Chave pública; • Nome e assinatura da entidade que assinou o certificado; • Número de série. Autoridade de Registro (AR): É a responsável por prover um intermédio entre um usuário e uma AC. Ela é responsável por conferir as informações do usuário e enviar a requisição do certificado para a AC. Autoridade Certificadora (AC): É responsável pela geração, renovação, revogação de certificados digitais e emissão da lista de certificados revogados (LCR), além das regras de publicação dos certificados digitais e LCR. Uma autoridade certificadora pode ser uma empresa, organização ou indivíduo, público ou privado. A AC recebe a requisição de certificado digital, assinada pela AR, confere a assinatura digital da AR e emite o certificado digital para o usuário final.Assinatura Digital Quando assinamos um documento impresso de nossa autoria, geralmente no fim do documento, estamos comprovando que somos o autor deste, para verificar esta autoria precisamos conferir a assinatura, que em geral registramos em cartório, assim, basta irmos ao cartório para que seja confirmada que a assinatura no papel é realmente a assinatura de quem diz ter assinado, desde que confiemos neste cartório. Mas assinar somente no fim deste documento estaria dando brecha para que alguém trocasse as páginas iniciais, neste caso rubricamos todas as páginas a fim de garantir a integridade do documento. A Assinatura Digital garante exatamente e somente estes dois princípios a Autenticidade e a Integridade. No processo de assinatura digital o documento não sofre alteração, ou seja, não é criptografado, mas somente o hash (resumo) gerado deste dado que é criptografado com a chave privada do autor da mensagem. Desta forma, o processo consiste nos seguintes passos: 1. Aplica-se a função HASH na mensagem; 2. Criptografa-se o hash gerado com a chave privada do autor; 3. Envia a mensagem (original) anexada do hash criptografado; 4. O destino decriptografa o hash recebido com a chave pública do autor, garantindo assim a Autenticidade, e aplica novamente a função HASH na mensagem original; 5. Em posse do hash recebido e do hash gerado a partir da mensagem recebida, o destinatário compara os dois números se forem idênticos o documento está integro. Central de Vendas (WhatsApp) → 45 9 9856-2827 | 45 9 946-2194 Sede em Cascavel/PR → 45 3037-8890 | WhatsApp 45 9 9136-9764 Sede em São Paulo/SP → 11 3905-2900 | WhatsApp 11 9 6352-0355 9 Exercícios Acerca de conceitos básicos de segurança da informação, julgue os itens seguintes. Central de Vendas (WhatsApp) → 45 9 9856-2827 | 45 9 946-2194 Sede em Cascavel/PR → 45 3037-8890 | WhatsApp 45 9 9136-9764 Sede em São Paulo/SP → 11 3905-2900 | WhatsApp 11 9 6352-0355 10 1. De acordo com o princípio da disponibilidade, a informação só pode estar disponível para os usuários aos quais ela é destinada, ou seja, não pode haver acesso ou alteração dos dados por parte de outros usuários que não sejam os destinatários da informação. 2. É recomendável que, entre as medidas de segurança propostas para gerenciar um ambiente automatizado, seja incluída a instalação, em rede, de ameaças que possam servir de armadilhas parausuários mal-intencionados, como criptografia, algoritmos, assinatura digital e antivírus. Julgue os itens subsequentes, relativos a segurança da informação, procedimentos, práticas e outros aspectos. 3. A política de mesa limpa e de tela limpa é medida essencial para a melhoria do controle de acesso lógico e físico em um ambiente corporativo seguro. Uma política alternativa seria a instalação de um sistema de single-sign-on no ambiente de sistemas de informações corporativo. 4. Segundo os padrões internacionais de segurança da informação, ISO/IEC 17799:2005, a propriedade básica de segurança que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e seu ciclo de vida (nascimento, manutenção e destruição), é (A) confidencialidade. (B) disponibilidade. (C) autenticidade. (D) integridade. (E) irretratabilidade. Julgue o item abaixo, a respeito de mecanismos de segurança da informação, considerando que uma mensagem tenha sido criptografada com a chave pública de determinado destino e enviada por meio de um canal de comunicação. 5. A mensagem criptografada com a chave pública do destinatário garante que somente quem gerou a informação criptografada e o destinatário sejam capazes de abri-la. Considerando aspectos gerais de informática, julgue os itens subsequentes. 6. O gerenciamento das chaves criptográficas tem grande influência sobre o uso adequado de procedimentos de criptografia, como ocorre no caso da criptografia assimétrica, que depende da preservação do estrito sigilo das chaves criptográficas privadas. Acerca de redes de computadores e segurança da informação, julgue os itens subsequentes. 7. A criptografia, mecanismo de segurança auxiliar na preservação da confidencialidade de um documento, transforma, por meio de uma chave de codificação, o texto que se pretende proteger. Acerca de segurança da informação, julgue os itens que se seguem. Central de Vendas (WhatsApp) → 45 9 9856-2827 | 45 9 946-2194 Sede em Cascavel/PR → 45 3037-8890 | WhatsApp 45 9 9136-9764 Sede em São Paulo/SP → 11 3905-2900 | WhatsApp 11 9 6352-0355 11 8. As possíveis fraudes que ocorrem em operações realizadas com cartões inteligentes protegidos por senha são eliminadas quando se realiza a autenticação do usuário por meio de certificados digitais armazenados no cartão. Julgue os próximos itens, referentes ao uso de certificação digital e de assinatura digital na criação de documentos. 9. Por princípio, considera-se que qualquer documento assinado digitalmente está criptografado. 10. Um certificado digital pode ser emitido para que um usuário assine e criptografe mensagens de correio eletrônico. No que se refere a conceitos de sistemas de informações e de segurança da informação, julgue os item subsequente. 11. Um arquivo criptografado fica protegido contra contaminação por vírus. 12. Acerca de certificação digital, assinale a opção correta. (A) A infraestrutura de chaves públicas é uma rede privada que garante que seus usuários possuem login e senha pessoais e intransferíveis. (B) Uma autoridade de registro emite o par de chaves do usuário que podem ser utilizadas tanto para criptografia como para assinatura de mensagens eletrônicas. (C) A autoridade certificadora raiz emite certificados para usuários de mais alto nível de sigilo em uma organização com uma chave de criptografia de 128 bits. (D) A autoridade de registro recebe as solicitações de certificados dos usuários e as envia à autoridade certificadora que os emite. (E) O uso de certificado digital garante o repúdio de comunicações oriundas de usuários ou sítios que possuem certificados válidos e emitidos por entidades confiáveis. Considerando conceitos básicos de informática e aspectos relacionados à segurança da informação, julgue os itens a seguir. 13. O uso de assinatura digital tem maior potencial de garantia de não repúdio que segurança de sigilo sobre determinada informação digital. Gabarito 1. Errado. 2. Errado. 3. Errado. 4. D 5. Errado. Central de Vendas (WhatsApp) → 45 9 9856-2827 | 45 9 946-2194 Sede em Cascavel/PR → 45 3037-8890 | WhatsApp 45 9 9136-9764 Sede em São Paulo/SP → 11 3905-2900 | WhatsApp 11 9 6352-0355 12 6. Certo. 7. Certo. 8. Errado. 9. Errado. 10. Certo. 11. Errado. 12. D. 13. Certo. Central de Vendas (WhatsApp) → 45 9 9856-2827 | 45 9 946-2194 Sede em Cascavel/PR → 45 3037-8890 | WhatsApp 45 9 9136-9764 Sede em São Paulo/SP → 11 3905-2900 | WhatsApp 11 9 6352-0355 13
Compartilhar