Baixe o app para aproveitar ainda mais
Prévia do material em texto
Teoria de Sistemas de Informação Prof: Antonio César Brandão 2 CONCEITOS, NORMAS E MECANISMOS DE SEGURANÇA DA INFORMAÇÃO 3 A segurança da Informação As informações são vitais a qualquer organização. Elas compreendem todos os conteúdos que são armazenados e que são utilizados nos negócios da empresa. A segurança da informação permite que a empresa tenha mais controle sobre seus sistemas de informação e sobre sua rede interna, uma vez que as principais ameaças partem de dentro da própria organização. CIDAL é o conceito base da Segurança da Informação que reúne cinco importantes aspectos: Confidencialidade, Integridade, Disponibilidade, Autenticidade e legalidade. 4 A segurança da Informação 5 A segurança da Informação Confidencialidade: Este fator não significa informação inacessível, restrita a todos, mas garante que somente as pessoas de direito terão acesso à informação. Integridade: Este conceito nos ajuda a localizar informações adulteradas. Ela não garante que a informação não seja alterada, mas sim que qualquer alteração fora dos controles padrões, será identificada. Disponibilidade: Este fator é muito importante dentro de uma organização, o mesmo garantirá o acesso à informação sempre que for necessário, dentro do horário estabelecido e dentro dos padrões. Autenticidade: Este conceito é utilizado para garantir que a informação transmitida para o receptor é de origem autentica e que o receptor seja realmente a pessoa que deverá receber esta mensagem. Legalidade: Trata-se do embasamento perante a lei referente aos procedimentos, suas normas e diretrizes. Todas as operações de tecnologia de informação terão esse respaldo legal. 6 NORMAS DE SEGURANÇA A norma de segurança informa aos usuários, gerente e ao pessoal técnico de suas obrigações para proteger os ativos de tecnologia e informações. Para que essa segurança seja garantida, existe a Norma de Segurança das Informações que em 2001 foi homologada pela ABNT na forma Brasileira como NBR ISO/IEC 17799, que possuem diversos controles e requerimentos a serem atendidos pelas empresas para garantir a segurança das informações pertinentes às mesmas, tornando bastante complexa a obtenção deste certificado e por outro lado, exigindo que os sistemas sejam realmente confiáveis e imprescindíveis às empresas. 7 NORMAS DE SEGURANÇA A NBR ISSO/IEC 17799 define: 1) Controle de Acesso: define as competências e responsabilidades de controle do acesso aos sistemas da organização, delegando apenas a alguns a responsabilidade de acessar as informações da organização. 2) Política de Segurança: considera as responsabilidades, punições e autoridades. 3)Gestão de incidentes de segurança: notifica as vulnerabilidades, ocorrências de segurança e o controle de incidentes. 8 Ameaças à Segurança Alguns autores enumeram como as principais ameaças os seguintes itens abaixo relacionados: 1) Falha na conscientização dos colaboradores em tornar a segurança parte da cultura da organização; 2) Não identificação correta dos riscos do negócio da empresa; 3) Falha na gestão: De acordo com SearchSecurity: TechTarget.com. 95% dos problemas de segurança podem ser resolvidos com gerenciamento, 65% dos ataques exploram ambientes mal configurados, 30% dos ataques exploram vulnerabilidades conhecidas e podem ser resolvidas aplicando patchs, hotfix e service packs (pacotes de correção); 4) Perda de informações: Não classificação das informações, a organização não controla e não sabe a respeito do trânsito das informações. 9 Ameaças à Segurança Partindo das necessidades básicas de segurança da informação que podem ser resumidas na sigla CIDAL (Confidencialidade, Integridade, Disponibilidade, Autenticidade, Legalidade) podemos dividir em três grupos as ameaças de segurança: - Perda de Confidencialidade: Quebra de sigilo de um dado ou informação; - Perda de Integridade: Alterações realizadas por pessoas não autorizadas; - Perda de Disponibilidade: A informação fica indisponível, ocasionada por perda de comunicação, ou do arquivo; 10 Ameaças à Segurança Para Laudon (2004, p. 262), "as principais ameaças aos sistemas de informação computadorizados são desastres, como incêndios ou falhas elétricas, mau funcionamento do hardware, erros de software, erros de usuários e crime de mau uso de computador“. 11 Ameaças à Segurança 12 Mecanismo de Segurança As recomendações de suporte de segurança são divididas em dois grandes segmentos: Controles físicos: São barreiras que limitam o acesso direto às estruturas. Alguns mecanismos dão suporte a esses controles, como exemplo: portas, trancas, paredes, blindagem, guardas , entres outros. Controles Lógicos: São barreiras que impedem o acesso às informações, através de mecanismos eletrônicos como: criptografia, assinatura digital, mecanismos que garantem a integridade das informações, mecanismos de controle de acesso, através de firewalls, mecanismos de certificação, integridade, e protocolos de seguros. Ainda hoje, existem outras ferramentas que podem ser utilizadas para oferecer segurança, como detectores de intrusões, antivírus, firewalls, firewalls locais, filtros anti- spam, fuzzers e analisadores de código, dentre outros. 13 Mecanismo de Segurança Os controles físicos servem para limitar o acesso direto aos equipamentos, como servidores, banco de dados, hardware em modo geral. Físico: Envolve os controles de acesso convencionais como guardas, iluminação, detectores de movimento, dentre outros Técnico: Envolve crachás de acesso e dispositivos biométricos Administrativo: Envolve procedimentos de emergência,controle de pessoal, planejamento e implementação de políticas 14 Mecanismo de Segurança Controles lógicos CRIPTOGRAFIA : A criptografia é um conjunto de técnicas utilizadas para tornar uma informação ilegível, aparentemente sem sentido, com o intuito de mantê-la em sigilo,de forma que apenas o emissor e o destinatário tenham acesso à mesma. É um ramo da Criptologia, disciplina matemática que engloba também a Criptoanálise. Esta última, por sua vez, se dedica à tentativa de descobrir uma forma de acessar a informação cifrada ou codificada quando não se é o emissor ou destinatário. Histórico: 1900 AC – Egipicios Julio César – Avanços de 3 casas 1918 Enigma- Maquina alemã 15 Mecanismo de Segurança Controles lógicos CRIPTOGRAFIA : Códigos e Cifras: Na criptografia, é comum encontrarmos a utilização das expressões cifra e código com o mesmo conceito. Isso ocorre porque ambos transmitem a mesma idéia, porém possuem formas diferentes de implantação. Os códigos utilizam à técnica de substituição de uma palavra ou frase por outra (Ex: “Atacar por terra” ser substituída por “Jorge Amado”). Já as Cifras fazem uso de instruções e cálculos que tornam a informação ilegível (Ex: “Atacar por terra” passaria a ser “hhgstf xvs okgtw”). 16 Mecanismo de Segurança Controles lógicos CRIPTOGRAFIA : Códigos e Cifras: A cifra é um ou mais algoritmos que cifram e decifram um texto. A operação do algoritmo costuma ter como parâmetro uma chave criptográfica. Tal parâmetro costuma ser secreto (conhecido somente pelos comunicantes). A cifra pode ser conhecida, mas não a chave; assim como se entende o mecanismo de uma fechadura comum, mas não se pode abrir a porta sem uma chave real. 17 Mecanismo de Segurança Controles lógicos CRIPTOGRAFIA : CRIPTOGRAFIA CLÁSSICA: Antes do surgimento da tecnologia, a forma de codificar e cifra a informação era realizada através da substituição ou transferência de caracteres e da ocultação de mensagens dentro de outras. Essas técnicas são conhecidas como criptografia clássica. CRIPTOGRAFIA MODERNA: Este modelo de criptografia é o mais utilizado atualmente. Consiste na utilização de algoritmos e suas chaves criptográficas para que a informaçãonão possa ser lida por alguém que não seja o destinatário. Com o passar do tempo, os algoritmos vão sendo aperfeiçoados e torna-se mais difícil decifrar informações cifradas quando não se é possuidor da chave criptográfica. 18 Mecanismo de Segurança Controles lógicos CRIPTOGRAFIA : CHAVES SIMÉTRICAS : Utilizando a chave simétrica, o emissor e o receptor fazem uso da mesma chave criptográfica para cifrar e decifrar a informação. É método mais simples que possui a desvantagem de deixar a chave sujeita à descoberta, por ter uma cópia em cada extremidade da comunicação. CHAVES ASSIMÉTRICAS : É também conhecida como chave pública e utiliza duas chaves: a chave publica e a chave privada. Neste método, o emissor envia a mesma chave pública a todos os destinatários e cria uma chave privada distinta para cada um deles. A chave pública será utilizada pelo destinatário para cifrar a informação e envia-la ao emissor e este, por sua vez, só poderá decifrar a informação utilizando a chave privada correspondente ao referido destinatário. 19 Mecanismo de Segurança Controles lógicos CRIPTOGRAFIA : ASSINATURA DIGITAL E CERTICADO DIGITAL: É um método que se baseia na criptografia assimétrica, consiste num código que é utilizado para garantir que o dado fornecido é realmente do remetente, é uma garantia de que o dado está sendo enviado da fonte correta. A assinatura digital é comprovada através do certificado digital, que garante que a fonte da informação é autêntica. O certificado digital é um arquivo digital que é assinado digitalmente em que contém 20 Mecanismo de Segurança Controles lógicos CONEXÃO SEGURA : A conexão segura é um mecanismo que consiste em garantir que o canal de trânsito dos dados esteja sendo feito de forma segura. É utilizado um protocolo de criptografia para transmissão dos dados, como exemplo, os banklines que normalmente utilizam o HTTPS, o acesso aos servidores de forma remota através do protocolo SSH. 21 Mecanismo de Segurança CLASSIFICAÇÃO DA INFORMAÇÃO -Públicas ou de uso irrestrito: as informações e os sistemas assim classificados podem ser divulgados a qualquer pessoa sem que haja implicações para a instituição. -Internas ou de uso interno: podem ser chamadas também de corporativas. As informações e os sistemas assim classificados não devem sair do âmbito da instituição. Porém, se isto ocorrer, as conseqüências não serão críticas. -Confidenciais: informações e sistemas tratados como confidenciais dentro da instituição e protegidos contra o acesso externo. O acesso a estes sistemas e informações é feito de acordo com sua estrita necessidade. -Secretas: o acesso interno ou externo de pessoas não autorizadas a este tipo de informação é extremamente crítico para a instituição. É imprescindível que o número de pessoas autorizadas seja muito restrito e controle sobre o uso dessas informações seja total. Antonio César antonio.brandao@unifacs.br Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12 Slide 13 Slide 14 Slide 15 Slide 16 Slide 17 Slide 18 Slide 19 Slide 20 Slide 21 Slide 22
Compartilhar