Baixe o app para aproveitar ainda mais
Prévia do material em texto
............................................................................................................................... Analise e desenvolvimento de sistemas Juliana Aparecida Idalgo Leite de Faria - 245922020 Segurança em ambiente web ........................................................................................................................... Navegantes 2020 Juliana aparecida idalgo leite de faria Segurança em ambiente web Trabalho apresentado ao Curso Analise e desenvolvimento de sistemas do Centro Universitário ENIAC para a disciplina Segurança em Ambiente WEB. Professor Lucio Luzetti Criado Navegantes 2020 Respostas .................................................................................................................... Você foi contratado por uma grande empresa prestadora de serviços em tecnologia da informação para garantir a segurança dos seus dados e informações. Pedro, o contratante, precisa se preocupar com as principais categorias de vulnerabilidades e ameaças, de modo a evitar que qualquer problema impacte no trabalho da empresa. Analisando esse cenário, descreva as medidas que Pedro deve tomar para prevenir a vulnerabilidade: - física: garantir a segurança de portas e janelas, instalar equipamento estabilizador de voltagem. - de hardware: climatizar a sala que armazena o servidor, instalar nobreak e gerador de energia para manter a aplicação em caso de falta de luz. - de software: Sistema deverá utilizar assinatura digital para garantir que a identidade do usuário seja verídica, armazenar os dados criptografados no banco de dados. - de comunicação: proteger as linhas de comunicação, identificar e autenticar o emissor e o receptor, proteger as conexões de rede pública. - de documentação: proteger os arquivos da empresa, controlar as copias realizadas e controlar a disponibilização das documentações. - de pessoal: treinamento de segurança para todos os setores da empresa, treinamento de como utilizar o softwares e as máquinas que a empresa disponibiliza, implantação de politicas para utilização correta de mídias e de mensagens. Você, como profissional contratado, deverá explicar o que é confidencialidade, integridade e disponibilidade das informações e como mantê-las. Ainda, você deverá citar os benefícios da ISO 27001 para a clínica Saúde 10. Para obter confidencialidade os dados deverão ser armazenados criptografados no banco de dados e o sistema utilizará uma assinatura digital para garantir que a identidade do usuário seja verídica. Em relação a integridade, a utilização da assinatura digital, garantirá que nenhum invasor altere as informações dos pacientes. E poderá ser usado hash para armazenamento de senha do usuário, impedindo que terceiros descubram a senha e efetuem alterações ou exclusões dos dados dos dispostos no sistema. Disponibilidade de os servidores que armazenam a aplicação e os dados serem configurados replicados, para que caso de um deles estiver indisponível, o outro assume o papel deste e o sistema não fique fora do ar. A principal filosofia da ISO 27001, se baseia na gestão de riscos, ou seja, descobrir onde os riscos estão e, então, tratá-los sistematicamente. Em geral, os controles implementados estão na forma de políticas, procedimentos e implementações técnicas. No caso da clínica Saúde 10, como já possuem redes, softwares e usuários, as implementações da ISO 27001 será sobre definir as regras organizacionais necessárias de modo a prevenir brechas de segurança, para não ocorrer problemas futuros com os cadastros de pacientes e usuários do sistema. Qual é a certificação em segurança da informação que você vai indicar para ele? A Certificação CSP (Certified Secure Programmer), pois essa certificação comprova que o profissional tem a capacidade de desenvolver códigos de programação com alta qualidade, utilizando as melhores práticas de programação existentes, com o intuito de proteger as informações contra vulnerabilidade, uma vez que a maior parte das ameaças aos softwares são proveniente de erros de programação e códigos mal escritos. Analise e responda as questões abaixo sobre assinatura digital: 1) Tecnicamente, por que não podemos usar uma chave secreta para gerar uma assinatura digital? Porque a assinatura digital permite comprovar a autenticidade e a integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. Sendo assim, a assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codificar uma informação, então apenas seu dono poderia ter feito isto. A verificação da assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave privada, somente a chave pública correspondente pode decodificá-lo. 2) Conceitualmente, temos cinco serviços para um sistema de segurança. Quais desses serviços são garantidos com o uso das assinaturas digitais? Acredito que seja a criptografia, pois é uma ferramenta fundamental na segurança, pois pode garantir confidencialidade de dados, autenticação de mensagens, integridade de dados, além de evitar ataques de repetição.
Compartilhar