Aula TSI6 (1)

Prévia do material em texto

Teoria de Sistemas de Informação
Prof: Antonio César Brandão
2
CONCEITOS, NORMAS E MECANISMOS DE
SEGURANÇA DA INFORMAÇÃO
3
A segurança da Informação
 As informações são vitais a qualquer organização. Elas 
compreendem todos os conteúdos que são armazenados e que 
são utilizados nos negócios da empresa.
 A segurança da informação permite que a empresa tenha mais 
controle sobre seus sistemas de informação e sobre sua rede 
interna, uma vez que as principais ameaças partem de dentro 
da própria organização.
 CIDAL é o conceito base da Segurança da Informação que 
reúne cinco importantes aspectos: Confidencialidade, 
Integridade, Disponibilidade, Autenticidade e legalidade.
4
A segurança da Informação
5
A segurança da Informação
 Confidencialidade: Este fator não significa informação inacessível, restrita 
a todos, mas garante que somente as pessoas de direito terão acesso à 
informação.
 Integridade: Este conceito nos ajuda a localizar informações adulteradas. 
Ela não garante que a informação não seja alterada, mas sim que qualquer 
alteração fora dos controles padrões, será identificada.
 Disponibilidade: Este fator é muito importante dentro de uma 
organização, o mesmo garantirá o acesso à informação sempre que for 
necessário, dentro do horário estabelecido e dentro dos padrões. 
 Autenticidade: Este conceito é utilizado para garantir que a informação 
transmitida para o receptor é de origem autentica e que o receptor seja 
realmente a pessoa que deverá receber esta mensagem.
 Legalidade: Trata-se do embasamento perante a lei referente aos 
procedimentos, suas normas e diretrizes. Todas as operações de tecnologia 
de informação terão esse respaldo legal.
6
NORMAS DE SEGURANÇA
 A norma de segurança informa aos usuários, gerente e ao 
pessoal técnico de suas obrigações para proteger os ativos de 
tecnologia e informações.
 Para que essa segurança seja garantida, existe a Norma de 
Segurança das Informações que em 2001 foi homologada pela 
ABNT na forma Brasileira como NBR ISO/IEC 17799, que 
possuem diversos controles e requerimentos a serem 
atendidos pelas empresas para garantir a segurança das 
informações pertinentes às mesmas, tornando bastante 
complexa a obtenção deste certificado e por outro lado, 
exigindo que os sistemas sejam realmente confiáveis e 
imprescindíveis às empresas.
7
NORMAS DE SEGURANÇA
 A NBR ISSO/IEC 17799 define:
 1) Controle de Acesso: define as competências e 
responsabilidades de controle do acesso aos sistemas da 
organização, delegando apenas a alguns a responsabilidade de 
acessar as informações da organização.
 2) Política de Segurança: considera as responsabilidades, 
punições e autoridades. 
 3)Gestão de incidentes de segurança: notifica as 
vulnerabilidades, ocorrências de segurança e o controle de 
incidentes.
8
Ameaças à Segurança
 Alguns autores enumeram como as principais ameaças os seguintes 
itens abaixo relacionados: 
 1) Falha na conscientização dos colaboradores em tornar a segurança 
parte da cultura da organização;
 2) Não identificação correta dos riscos do negócio da empresa;
 3) Falha na gestão: De acordo com SearchSecurity: TechTarget.com. 
95% dos problemas de segurança podem ser resolvidos com 
gerenciamento, 65% dos ataques exploram ambientes mal configurados, 
30% dos ataques exploram vulnerabilidades conhecidas e podem ser 
resolvidas aplicando patchs, hotfix e service packs (pacotes de 
correção);
 4) Perda de informações: Não classificação das informações, a 
organização não controla e não sabe a respeito do trânsito das 
informações.
9
Ameaças à Segurança
 Partindo das necessidades básicas de segurança da informação 
que podem ser resumidas na sigla CIDAL (Confidencialidade, 
Integridade, Disponibilidade, Autenticidade, Legalidade) 
podemos dividir em três grupos as ameaças de segurança: 
 - Perda de Confidencialidade: Quebra de sigilo de um dado 
ou informação;
 - Perda de Integridade: Alterações realizadas por pessoas 
não autorizadas;
 - Perda de Disponibilidade: A informação fica indisponível, 
ocasionada por perda de comunicação, ou do arquivo;
10
Ameaças à Segurança
 Para Laudon (2004, p. 262), "as principais ameaças aos 
sistemas de informação computadorizados são desastres, como 
incêndios ou falhas elétricas, mau funcionamento do hardware, 
erros de software, erros de usuários e crime de mau uso de 
computador“.
11
Ameaças à Segurança
12
Mecanismo de Segurança
 As recomendações de suporte de segurança são divididas em dois 
grandes segmentos:
 Controles físicos: São barreiras que limitam o acesso direto às 
estruturas. Alguns mecanismos dão suporte a esses controles, como 
exemplo: portas, trancas, paredes, blindagem, guardas , entres outros.
 Controles Lógicos: São barreiras que impedem o acesso às informações, 
através de mecanismos eletrônicos como: criptografia, assinatura digital, 
mecanismos que garantem a integridade das informações, mecanismos 
de controle de acesso, através de firewalls, mecanismos de certificação, 
integridade, e protocolos de seguros. Ainda hoje, existem outras 
ferramentas que podem ser utilizadas para oferecer segurança, como 
detectores de intrusões, antivírus, firewalls, firewalls locais, filtros anti-
spam, fuzzers e analisadores de código, dentre outros.
13
Mecanismo de Segurança
 Os controles físicos servem para limitar o acesso direto aos 
equipamentos, como servidores, banco de dados, hardware em 
modo geral. 
 Físico: Envolve os controles de acesso convencionais como 
guardas, iluminação, detectores de movimento, dentre outros
 Técnico: Envolve crachás de acesso e dispositivos biométricos
 Administrativo: Envolve procedimentos de emergência,controle 
de pessoal, planejamento e implementação de políticas
14
Mecanismo de Segurança
 Controles lógicos
 CRIPTOGRAFIA : A criptografia é um conjunto de técnicas utilizadas 
para tornar uma informação ilegível, aparentemente sem sentido, 
com o intuito de mantê-la em sigilo,de forma que apenas o emissor e 
o destinatário tenham acesso à mesma. É um ramo da Criptologia, 
disciplina matemática que engloba também a Criptoanálise. Esta 
última, por sua vez, se dedica à tentativa de descobrir uma forma de 
acessar a informação cifrada ou codificada quando não se é o 
emissor ou destinatário.
 Histórico: 1900 AC – Egipicios 
 Julio César – Avanços de 3 casas 
 1918 Enigma- Maquina alemã 
15
Mecanismo de Segurança
 Controles lógicos
 CRIPTOGRAFIA : 
 Códigos e Cifras: Na criptografia, é comum encontrarmos a 
utilização das expressões cifra e código com o mesmo conceito. 
Isso ocorre porque ambos transmitem a mesma idéia, porém 
possuem formas diferentes de implantação.
 Os códigos utilizam à técnica de substituição de uma palavra 
ou frase por outra (Ex: “Atacar por terra” ser substituída por 
“Jorge Amado”). Já as Cifras fazem uso de instruções e cálculos 
que tornam a informação ilegível (Ex: “Atacar por terra” 
passaria a ser “hhgstf xvs okgtw”).
16
Mecanismo de Segurança
 Controles lógicos
 CRIPTOGRAFIA : 
 Códigos e Cifras: A cifra é um ou mais algoritmos que cifram e 
decifram um texto. A operação do algoritmo costuma ter como 
parâmetro uma chave criptográfica. Tal parâmetro costuma ser 
secreto (conhecido somente pelos comunicantes).
 A cifra pode ser conhecida, mas não a chave; assim como se 
entende o mecanismo de uma fechadura comum, mas não se 
pode abrir a porta sem uma chave real.
17
Mecanismo de Segurança
 Controles lógicos
 CRIPTOGRAFIA : 
 CRIPTOGRAFIA CLÁSSICA: Antes do surgimento da tecnologia, a forma 
de codificar e cifra a informação era realizada através da substituição 
ou transferência de caracteres e da ocultação de mensagens dentro 
de outras. Essas técnicas são conhecidas como criptografia clássica.
 CRIPTOGRAFIA MODERNA: Este modelo de criptografia é o mais 
utilizado atualmente. Consiste na utilização de algoritmos e suas 
chaves criptográficas para que a informaçãonão possa ser lida por 
alguém que não seja o destinatário. Com o passar do tempo, os 
algoritmos vão sendo aperfeiçoados e torna-se mais difícil decifrar 
informações cifradas quando não se é possuidor da chave 
criptográfica.
18
Mecanismo de Segurança
 Controles lógicos
 CRIPTOGRAFIA : 
 CHAVES SIMÉTRICAS : Utilizando a chave simétrica, o emissor e o 
receptor fazem uso da mesma chave criptográfica para cifrar e decifrar a 
informação. É método mais simples que possui a desvantagem de deixar 
a chave sujeita à descoberta, por ter uma cópia em cada extremidade da 
comunicação.
 CHAVES ASSIMÉTRICAS : É também conhecida como chave pública e 
utiliza duas chaves: a chave publica e a chave privada. Neste método, o 
emissor envia a mesma chave pública a todos os destinatários e cria 
uma chave privada distinta para cada um deles. A chave pública será 
utilizada pelo destinatário para cifrar a informação e envia-la ao emissor 
e este, por sua vez, só poderá decifrar a informação utilizando a chave 
privada correspondente ao referido destinatário.
19
Mecanismo de Segurança
 Controles lógicos
 CRIPTOGRAFIA : 
 ASSINATURA DIGITAL E CERTICADO DIGITAL: É um método que 
se baseia na criptografia assimétrica, consiste num código que 
é utilizado para garantir que o dado fornecido é realmente do 
remetente, é uma garantia de que o dado está sendo enviado 
da fonte correta. A assinatura digital é comprovada através do 
certificado digital, que garante que a fonte da informação é 
autêntica. O certificado digital é um arquivo digital que é 
assinado digitalmente em que contém
20
Mecanismo de Segurança
 Controles lógicos
 CONEXÃO SEGURA : 
 A conexão segura é um mecanismo que consiste em garantir 
que o canal de trânsito dos dados esteja sendo feito de forma 
segura. É utilizado um protocolo de criptografia para 
transmissão dos dados, como exemplo, os banklines que 
normalmente utilizam o HTTPS, o acesso aos servidores de 
forma remota através do protocolo SSH.
21
Mecanismo de Segurança
 CLASSIFICAÇÃO DA INFORMAÇÃO 
 -Públicas ou de uso irrestrito: as informações e os sistemas assim 
classificados podem ser divulgados a qualquer pessoa sem que haja 
implicações para a instituição.
 -Internas ou de uso interno: podem ser chamadas também de 
corporativas. As informações e os sistemas assim classificados não 
devem sair do âmbito da instituição. Porém, se isto ocorrer, as 
conseqüências não serão críticas.
 -Confidenciais: informações e sistemas tratados como confidenciais 
dentro da instituição e protegidos contra o acesso externo. O acesso a 
estes sistemas e informações é feito de acordo com sua estrita 
necessidade.
 -Secretas: o acesso interno ou externo de pessoas não autorizadas a 
este tipo de informação é extremamente crítico para a instituição. É 
imprescindível que o número de pessoas autorizadas seja muito restrito 
e controle sobre o uso dessas informações seja total.
Antonio César
antonio.brandao@unifacs.br
	Slide 1
	Slide 2
	Slide 3
	Slide 4
	Slide 5
	Slide 6
	Slide 7
	Slide 8
	Slide 9
	Slide 10
	Slide 11
	Slide 12
	Slide 13
	Slide 14
	Slide 15
	Slide 16
	Slide 17
	Slide 18
	Slide 19
	Slide 20
	Slide 21
	Slide 22