Introdução a Segurança de Sistemas de Informação

Outros

IFG

Enviado por Breno Leles em 22/09/2013

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Segurança da Informação 
 
 
Segurança da Informação 
 
Prof. Sirlon Diniz de Carvalho 
Segurança da Informação 
 
Informações sobre a Disciplina 
 
Ementa: Conceitos de segurança da informação; Políticas de 
segurança; Princípios da criptografia tradicional; Criptografia 
simétrica e assimétrica; Certificação Digital; Ferramentas para a 
encriptação de mensagens de correio eletrônico; Princípios de 
segurança em redes de computadores. Política de Backup; 
Programação segura; Proteção contra malware. 
 
Objetivo: 
 - Compreender os processos de segurança da informação; 
- Aprender a projetar uma política de backup. 
- Associar as ameaças de segurança da informação aos controles 
utilizados para reduzir os riscos; 
- Compreender o funcionamento e a utilização da criptografia; 
- Compreender o funcionamento dos controles de segurança em 
redes de computadores. 
 
Segurança da Informação 
 
Informações sobre a Disciplina 
 
Bibliografia: 
SÊMOLA, Marcos. Gestão da Segurança da Informação – Uma 
visão executiva. 1ª ed. Ed. Campus, Rio de Janeiros, 2002. 
FERREIRA, Fernando N. F. Segurança da Informação. 1ª ed. Ed. 
Ciência Moderna, Rio de Janeiros, 2003. 
MARTINS, J. C. C. Gestão de projetos de Segurança da 
Informação. 1ª ed. Ed. Brasport, Rio de Janeiros, 2003. 
NBR_ISO 27002. 
COBIT 
ITIL 
 
 
Segurança da Informação 
 
Sequência didática inicial 
1.  Ambiente e Características 
2.  A importância da Informação 
3.  Pilares de Segurança da Informação 
4.  Conceitos gerais e crimes cibernéticos 
5.  Mecanismos para Controles de Segurança 
6.  Introdução a Processos de Segurança 
 
Segurança da Informação 
 
1 – Ambiente e Características 
1o) Terreno: muro, controle de acesso: guarita, seguranças 
PRODESP 
2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas 
3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança 
4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria 
5o) Racks com chave, cameras 
6o) Sala cofre 
Segurança da Informação 
 
1 – Ambiente e Características 
•  Ferramentas de segurança 
•  Ferramentas de auditoria 
•  Processos de segurança 
•  Processos X recursos tecnológicos de segurança 
Segurança da Informação 
 
2 - A Importância da informação 
•  Dado e informação 
•  Classificação da informação 
•  Ciclo de vida da informação 
Segurança da Informação 
 
Dado 
•  Fonte da informação 
•  Estrutura fundamental 
•  Formatos variados: textos, vídeos, imagens etc. 
Informação 
•  Dados interpretados 
•  Semântica ou significado 
•  Dados conceituados 
 
 
Segurança da Informação 
 
Classificação da informação 
•  Secreta: vital para a organização 
•  Confidencial: restrita aos limites da organização 
•  Interna: acesso deve ser evitado 
•  Pública: informação que pode ser divulgada 
abertamente 
 
Por qual razão classificar a informação? 
 
Nota: A informação pode ser estratégica, tática ou 
operacional 
Segurança da Informação 
 
Ciclo de vida da informação 
•  Manuseio: criação ou manipulação 
•  Armazenamento: salvaguarda e perpetuação 
•  Transporte: troca de informações (fax, e-mail, rede 
pública etc.) 
•  Descarte: eliminação 
Segurança da Informação 
 
3 – Pilares de Segurança da informação 
•  Confidencialidade 
•  Disponibilidade 
•  Integridade 
•  Outros princípios 
Confidencialidade 
Integridade Disponibilidade 
Segurança da Informação 
 
Confidencialidade 
•  A informação somente pode ser acessada por pessoas 
explicitamente autorizadas. O aspecto mais importante deste 
item é garantir a identificação e autenticação das partes 
envolvidas. 
Disponibilidade 
•  A informação ou sistema de computador deve estar disponível 
no momento em que a mesma for necessária. 
Integridade 
•  A informação deve ser retornada em sua forma original no 
momento em que foi armazenada. É a proteção dos dados ou 
informações contra modificações intencionais ou acidentais 
não-autorizadas. 
Segurança da Informação 
 
Outros princípios de segurança 
 
•  Autenticidade: garantia de autenticidade da 
informação ou usuário 
•  Não repúdio: não é possível negar 
•  Legalidade: de acordo com a legislação vigente 
•  Privacidade: além de confidencial só pode ser 
acessado pelo seu “dono”. Ex.: correspondência de 
área versus correspondência pessoal 
•  Auditoria: rastreabilidade dos passos ou processo 
Segurança da Informação 
 
4 – Conceitos gerais e crimes cibernéticos 
•  Ameaças 
•  Ataques 
•  Vulnerabilidade 
•  Criminosos digitais 
•  Formas de atuação 
Segurança da Informação 
 
Ameaças: 
 
•  Naturais: fenômenos da natureza, incidentes 
•  Involuntár ias: gera lmente causadas por 
desconhecimento 
•  Voluntárias: geralmente causadas por agente 
humano 
•  Diversas: falha de hardware, problemas de 
comunicação, problemas elétricos 
 
Segurança da Informação 
 
Ataques: 
 
•  Interceptação: acesso não autorizado 
•  Interrupção: Interrupção do fluxo normal 
•  Modificação: violação da integridade 
•  Personificação: se passar por outrem 
 
Exemplos de ataques: 
 
 
Segurança da Informação 
 
Segurança da Informação 
 
Segurança da Informação 
 
Segurança da Informação 
 
Vulnerabilidades 
 
•  Susceptibilidade: não há privilégios 
•  Ambientes: computacional e pessoas 
podem ter impacto direto 
•  Identificar: análise 
 
Segurança da Informação 
 
Criminosos digitais 
 
Hacker: modificam software e hardware de computadores, 
desenvolvendo funcionalidades novas ou adaptando antigas 
 
Cracker: pratica a quebra (ou cracking) de um sistema de 
segurança de forma ilegal ou sem ética. Termo criado em 
1985 por hackers contra o uso jornalístico do termo hacker 
 
Phreaker (PhHacker): Pessoas ou Hackers de 
Telefonia. Clonam celulares, realizam escutas telefônicas etc. 
 
Lammer? 
 
Segurança da Informação 
 
Formas de atuação 
 
•  Spywares 
•  Adware: publicidades indesejáveis 
•  Vírus 
•  Trojans ou Cavalos de Tróia 
•  Engenharia Social 
•  Invasão… 
Segurança da Informação 
 
5 – Mecanismos para Controle 
•  Autenticação 
•  Combate a invasão: firewall e IDS 
•  Privacidade das comunicações: criptografia, 
assinatura digital, VPN, PKI, 
Segurança da Informação 
 
Autenticação 
 
•  Conceito: meio para obter a certeza de que o 
usuário ou o objeto é realmente quem está 
afirmando ser 
•  ACL: Lista de Controle de Acesso 
•  Identificação positiva: o que você sabe 
•  Identificação proprietária: o que você tem 
•  Identificação biométrica: o que você é 
 
Segurança da Informação 
 
Combate a invasão 
 
•  Firewall: mecanismo de segurança capaz de 
analisar e/ou filtrar. 
•  Pode ser 
•  De pacotes: não considera o conteúdo da mensagem 
•  De aplicação (proxy): avalia conteúdo da mensagem 
 
Segurança da Informação 
 
Combate a invasão: firewall 
 
 
Conexão 
Segura 
Segurança da Informação 
 
Combate a invasão: firewall 
 
 Application 
TCP Transport 
IP Network 
Datalink 
Physical 
Application 
TCP Transport 
IP Network 
Datalink 
Physical 
Gateway de Aplicação 
Circuit Gateway (relay) 
Packet Filter 
Host Internet Firewall Rede Interna 
Application 
TCP Transport 
IP Network 
Datalink 
Physical 
Segurança da Informação 
Host Internet 
Aplicação 
Apresentação 
Sessão 
Transporte 
Link de dados 
Físico 
Rede 
Rede Interna 
Aplicação 
Apresentação 
Sessão
Transporte 
Link de dados 
Físico 
Rede 
Link de dados 
Físico 
Firewall 
Prós Contras 
l  Baixo custo 
l  Transparência para 
l  a Apliacação 
l  Pouca segurança 
l  Dificuldade em gerenciar ACLs grandes 
l  Não escalável 
l  Sem detector acima da camada de Rede 
l  Sem status ou Informação de contexto de aplicação 
Filtragem por pacotes 
Segurança da Informação 
Aplicação 
Apresentação 
Sessão 
Transporte 
Link de dados 
Físico 
Aplicação 
Apresentação 
Sessão 
Transporte 
Link de dados 
Físico 
Rede Rede 
Aplicação 
Apresentação 
Sessão 
Transporte 
Link de dados 
Físico 
Prós Contras 
l  Boa segurança 
l  Completamente consciente 
da camada de Aplicação 
l  Baixa performance 
l  Baixa escalabilidade 
l  Não é transparente 
Telnet FTP HTTP 
Rede 
Gateway de camada de Aplicação 
Segurança da Informação 
Aplicação 
Apresentação 
Sessão 
Transporte 
Link de dados 
Físico 
Rede 
Rede 
Apresentação 
Sessão 
Transporte 
Link de dados 
Físico 
Aplicação 
Aplicação 
Apresentação 
Sessão 
Transporte 
Link de dados 
Físico 
Rede 
Prós 
l  Boa segurança 
l  Alta performance 
l  Completamente consciente 
da camada de Aplicação 
l  Escalabilidade 
l  Expansão 
l  Transparência 
Tabelas 
dinâmicas 
de estados 
Dispositivo de inspeção 
Inspeciona as camadas acima 
Inspeção 
Segurança da Informação 
 
Combate a invasão: 
 
•  IDS: Sistema detector de intrusão (pelo inglês, 
Intrusion Detection System). Tecnologia que permite 
monitorar a rede ou mesmo um servidor. 
 
Segurança da Informação 
 
Combate a invasão: 
 
•  Honeypot: tem a função de propositalmente simular 
falhas de segurança de um sistema e colher 
informações sobre o invasor. 
Segurança da Informação 
 
Privacidade nas Comunicações: 
 
•  Criptografia: tem origem grega (kriptos = 
escondido, oculto e grifo = grafia,escrita) e define a 
arte ou ciência de escrever em cifras ou em códigos. 
•  Criptografia Simétrica: chave privada e única para 
criptografia e descriptografia. 
 
Segurança da Informação 
 
Privacidade nas Comunicações: 
 
•  Criptografia Assimétrica ou chave Pública: duas 
chaves, uma Pública para criptografia e uma Privada 
para descriptografia 
Nota: utilizada para garantir a confidencialidade. 
 
Segurança da Informação 
 
Privacidade nas Comunicações (Cont.): 
 
•  Assinatura Digital: funciona no sentido da chave 
privada para a pública. 
•  Integridade: somente a assinatura é criptografada, 
o conteúdo da mensagem não. 
Segurança da Informação 
 
Privacidade nas Comunicações (Cont.): 
 
•  VPN: Rede Privada Virtual (pelo inglês, Virtual 
Private Network). Cria uma rede segura em um 
ambiente público. 
Segurança da Informação 
 
Privacidade nas Comunicações (Cont.): 
 
•  PKI: Infra-estrutura de Chaves Públicas (ICP) 
•  Certificação ou Autenticação: entidades certificadoras 
Segurança da Informação 
 
6 – Processos de Segurança 
•  SLA – Acordo de Nível de Serviço 
•  Comitê de Segurança da Informação 
•  Políticas de Segurança da Informação 
Tecnologia 
Processos 
Pessoas 
Funcionários 
 Fornecedores 
 Clientes 
 Parceiros 
 Consultorias 
 Cidadão 
Segurança da Informação 
 
SLA – Service Level Agreement: 
 
•  Conceito: acordos formais entre fornecedores de 
serviço e clientes (internos e externos) que definem, 
conjuntamente, condições, responsabilidades e 
níveis de desempenho para os serviços. 
•  Conteúdos: Objetivos e escopo, políticas, 
atualização, responsabilidades, inventário de 
atividades e serviços, gerenciamento de segurança 
e problemas, níveis de serveridade e prioridade, 
penalidades e benefícios, medidas de desempenho 
etc.