Portfólio Segurança em ambiente web

Prévia do material em texto

...............................................................................................................................
Analise e desenvolvimento de sistemas
Juliana Aparecida Idalgo Leite de Faria - 245922020
Segurança em ambiente web
...........................................................................................................................
Navegantes
2020
Juliana aparecida idalgo leite de faria
Segurança em ambiente web
Trabalho apresentado ao Curso Analise e desenvolvimento de sistemas do Centro Universitário ENIAC para a disciplina Segurança em Ambiente WEB.
Professor Lucio Luzetti Criado
Navegantes
2020
Respostas
....................................................................................................................
Você foi contratado por uma grande empresa prestadora de serviços em tecnologia da informação para garantir a segurança dos seus dados e informações. Pedro, o contratante, precisa se preocupar com as principais categorias de vulnerabilidades e ameaças, de modo a evitar que qualquer problema impacte no trabalho da empresa.
Analisando esse cenário, descreva as medidas que Pedro deve tomar para prevenir a vulnerabilidade:
- física: garantir a segurança de portas e janelas, instalar equipamento estabilizador de voltagem. 
- de hardware: climatizar a sala que armazena o servidor, instalar nobreak e gerador de energia para manter a aplicação em caso de falta de luz.
- de software: Sistema deverá utilizar assinatura digital para garantir que a identidade do usuário seja verídica, armazenar os dados criptografados no banco de dados.
- de comunicação: proteger as linhas de comunicação, identificar e autenticar o emissor e o receptor, proteger as conexões de rede pública.
- de documentação: proteger os arquivos da empresa, controlar as copias realizadas e controlar a disponibilização das documentações.
​​​​​​​- de pessoal: treinamento de segurança para todos os setores da empresa, treinamento de como utilizar o softwares e as máquinas que a empresa disponibiliza, implantação de politicas para utilização correta de mídias e de mensagens.
Você, como profissional contratado, deverá explicar o que é confidencialidade, integridade e disponibilidade das informações e como mantê-las. Ainda, você deverá citar os benefícios da ISO 27001 para a clínica Saúde 10.
Para obter confidencialidade os dados deverão ser armazenados criptografados no banco de dados e o sistema utilizará uma assinatura digital para garantir que a identidade do usuário seja verídica.
Em relação a integridade, a utilização da assinatura digital, garantirá que nenhum invasor altere as informações dos pacientes. E poderá ser usado hash para armazenamento de senha do usuário, impedindo que terceiros descubram a senha e efetuem alterações ou exclusões dos dados dos dispostos no sistema.
Disponibilidade de os servidores que armazenam a aplicação e os dados serem configurados replicados, para que caso de um deles estiver indisponível, o outro assume o papel deste e o sistema não fique fora do ar.
A principal filosofia da ISO 27001, se baseia na gestão de riscos, ou seja, descobrir onde os riscos estão e, então, tratá-los sistematicamente. Em geral, os controles implementados estão na forma de políticas, procedimentos e implementações técnicas. No caso da clínica Saúde 10, como já possuem redes, softwares e usuários, as implementações da ISO 27001 será sobre definir as regras organizacionais necessárias de modo a prevenir brechas de segurança, para não ocorrer problemas futuros com os cadastros de pacientes e usuários do sistema. 
Qual é a certificação em segurança da informação que você vai indicar para ele?
A Certificação CSP (Certified Secure Programmer), pois essa certificação comprova que o profissional tem a capacidade de desenvolver códigos de programação com alta qualidade, utilizando as melhores práticas de programação existentes, com o intuito de proteger as informações contra vulnerabilidade, uma vez que a maior parte das ameaças aos softwares são proveniente de erros de programação e códigos mal escritos.
Analise e responda as questões abaixo sobre assinatura digital:
​​​1) Tecnicamente, por que não podemos usar uma chave secreta para gerar uma assinatura digital?
Porque a assinatura digital permite comprovar a autenticidade e a integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. Sendo assim, a assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codificar uma informação, então apenas seu dono poderia ter feito isto. A verificação da assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave privada, somente a chave pública correspondente pode decodificá-lo.
2) Conceitualmente, temos cinco serviços para um sistema de segurança. Quais desses serviços são garantidos com o uso das assinaturas digitais?
​Acredito que seja a criptografia, pois é uma ferramenta fundamental na segurança, pois pode garantir confidencialidade de dados, autenticação de mensagens, integridade de dados, além de evitar ataques de repetição.