A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança e Auditoria de Sistemas Segurança da Informação - Parte III

Apresentações semelhantes


Apresentação em tema: "Segurança e Auditoria de Sistemas Segurança da Informação - Parte III"— Transcrição da apresentação:

1 Segurança e Auditoria de Sistemas Segurança da Informação - Parte III
Prof. Msc. Vitor Mesaque Alves de Lima

2 Programa 1. Segurança da Informação a. Conceitos e Princípios de Segurança da Informação b. A Segurança e o Ciclo de Vida da Informação c. Classificação e Controle dos Ativos de Informação d. Aspectos Humanos da Segurança da Informação e. Segurança do Ambiente Físico e Lógico f. Controle de Acesso g. A Organização da Segurança h. A Segurança no Contexto da Governança de TI 2. Segurança no Desenvolvimento de Software a. Modelos de Especificação da Segurança b. Especificação da Segurança Desejada c. Segurança do Ambiente de Desenvolvimento d. Garantia da Segurança da Aplicação 3. Auditoria em Sistemas de Informação a. Fundamentos em Auditoria de Sistemas de Informação b. Metodologia de Auditoria de Sistemas de Informação c. Ferramentas de Auditoria de Sistemas de Informação d. Técnicas de Auditoria de Sistemas de Informação e. Auditoria na Aquisição, Desenvolvimento, Documentação e Manutenção de Sistemas de Informação f. Auditoria no Processo ou Metodologia de Desenvolvimento de Sistema de Informação g. Auditoria de Sistemas de Informação em Produção 4. Política de Segurança a. Os Planos de Segurança

3 Aula passada... Ativo Características de Segurança
Importância da Segurança da Informação O que é um Sistema de Informação? Dados e Informação Ativo Ciclo de vida da informação Classificação e Controle dos Ativos da Informação Monitoramento contínuo Incidente de Segurança Problemas de Segurança Definições de Segurança Métricas de Segurança Política de segurança Aspectos Humanos da Segurança da Informação O profissional de segurança A Engenharia Social

4 Final da aula passada... Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005 A Norma foi influenciada pelo padrão inglês BS7799 (British Standard). A série de normas ISO/IEC foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos.

5 ISO/IEC 17799 Compilação de recomendações para melhores práticas de segurança, que podem ser aplicadas por empresas de qualquer porte ou setor. O grande objetivo da norma é o de garantir a continuidade dos negócios por meio da implantação de controles, reduzindo muito as possibilidades de perda das informações.

6 Segurança da Informação Segurança do Ambiente
Barreiras de Segurança A ISO define como barreiras de segurança quaisquer medidas preventivas que impeçam os ataques aos ativos da informação Dois tipos de medidas Físicas – muros, cercas e trancas Lógicas – senhas, firewalls, certificados digitais, assinatura digital, criptografia, etc.

7 Segurança da Informação
Segurança do Ambiente Físico

8 Segurança da Informação Segurança do Ambiente Físico
Tipos de Medidas Para garantir a segurança física dos ativos da informação é preciso combinar medidas de: Prevenção; Detecção; e Reação aos possíveis incidentes de segurança.

9 Segurança da Informação Segurança do Ambiente Físico
Perímetro de Segurança Importante definir o perímetro de segurança do ambiente físico: Contorno ou linha imaginária que delimita uma área ou região O perímetro ajuda a estabelecer melhor os investimentos e definir os tipos de barreiras mais adequados Exemplos de perímetro: salas, prédios, geradores, cofres, etc.

10 Segurança da Informação Segurança do Ambiente Físico
Segurança em escritórios, salas e instalações de processamento de dados É importante elaborar um projeto de áreas de segurança dentro de um perímetro seguro de ameaças de: poeira, fumaça, vibração, vazamento de água, explosão ou desastres naturais Áreas que contenham equipamentos exigem medidas contra acesso não autorizado, dano ou furto Exemplo: treinamento específico para os prestadores de serviços de limpeza e manutenção

11 Segurança da Informação Segurança do Ambiente Físico
Segurança de equipamentos Os equipamentos precisam ser protegidos contra: Falha de energia Problemas na alimentação elétrica Defeitos de Hardware Medidas: Alimentação com múltiplas fontes Uso de nobreaks e geradores Manutenção periódicas nos equipamentos

12 Segurança da Informação Segurança do Ambiente Físico
Segurança em documentos de papel e eletrônicos Implantar mecanismos para proteção dos documentos em papel: Tratamento das cópias (acidez do papel, técnicas de restauração de livros); Armazenamento ( umidade do ambiente); Transmissão; Descartes seguros;

13 Segurança da Informação Segurança do Ambiente Físico
Segurança em documentos de papel e eletrônicos Controles para proteção dos papéis: Uso de rótulos para identificar documentos; Política de armazenamento em local adequado; Procedimentos especiais para impressão, cópia e transmissão; Recepção e envio de correspondências sigilosas.

14 Segurança da Informação Segurança do Ambiente Físico
Segurança em documentos de papel e eletrônicos Controles para proteção dos documentos eletrônicos: Aparato tecnológico que os torne visíveis aos seus usuários; Integridade das informações Arquivamento dos documentos

15 Segurança da Informação Segurança do Ambiente Físico
Segurança de Mídias de Computador Mídias devem ser guardados, quando não estiverem sendo utilizados, em gavetas adequadas, com fechaduras, especialmente fora do horário normal de trabalho Grande preocupação com a Segurança de backups Política específica para: Armazenamento, controle de acesso, transporte, cópia e descarte

16 Segurança da Informação Segurança do Ambiente Físico
Segurança no Cabeamento Recomendações para cabeamento elétrico e telecomunicações: Sempre que possível utilizar linhas subterrâneas Proteção do cabeamento de redes contra interceptação não autorizada Separação dos cabos elétricos dos cabos de comunicação Uso de conduítes

17 Segurança da Informação
Segurança do Ambiente Lógico

18 Segurança da Informação Segurança do Ambiente Lógico
A segurança das redes deve abranger problemas de autenticação de usuários e interfaces de segurança entre o ambiente interno e externo Mecanismos de proteção Criptografia Antivírus Gateways Firewalls Assinatura e Certificado Digital ... Estes mecanismos são usados para: Manter confidencialidade, integridade controlar o tráfego que entra e sai das redes, estabelecer rotas obrigatórias e dividir grandes redes em domínios lógicos separados

19 Segurança da Informação
Implementando Defesas de Segurança

20 Segurança da Informação Implementando Defesas de Segurança
Existem muitas soluções de segurança, dentre elas: Maior treinamento aos usuários, Uso de tecnologias, Escrita de software sem bugs. Defesa em profundidade é a teoria de segurança mais comum – múltiplas camadas de segurança é melhor do que menos camadas.

21 Segurança da Informação Implementando Defesas de Segurança
Política de Segurança Política de segurança descreve o que está sendo protegido Ex: Os usuários não devem compartilhar suas senhas Sem uma política, é impossível que os usuários e os administradores saibam: o que é permissível, o que é obrigatório e o que não é permitido Deve ser um documento atualizado permanentemente e divulgada para as pessoas envolvidas

22 Segurança da Informação Implementando Defesas de Segurança
Avaliação de Vulnerabilidades Avaliação de vulnerabilidade procura saber se a política de segurança foi implementada corretamente A principal atividade das avaliações de vulnerabilidades é um teste de penetração As varreduras de vulnerabilidades normalmente são feitas em ocasiões em que o uso do computador é relativamente baixo Quando apropriado, são feitas em sistemas de teste

23 Aspectos verificados na Varredura de um sistema
Segurança da Informação Implementando Defesas de Segurança Avaliação de Vulnerabilidades Aspectos verificados na Varredura de um sistema Senhas curtas ou fáceis de descobrir Programas não-autorizados nos diretórios do sistema Processos de longa duração não previstos Proteções de diretórios impróprias nos diretórios do usuário e do sistema Proteções impróprias nos arquivos de dados do sistema, como arquivo de senhas, drivers de dispositivos

24 Segurança da Informação Implementando Defesas de Segurança
Avaliação de Vulnerabilidades Aspectos verificados na Varredura de um sistema Um sistema altamente secreto só pode ser acessado de dentro de um prédio também considerado altamente secreto Porém, é impossível trancar uma máquina em uma sala secreta e desativar todo o acesso remoto As varreduras de portas determinam os detalhes da aplicação escutando as portas e tentando determinar se possui alguma vulnerabilidade

25 Ferramentas de varredura de porta
Segurança da Informação Implementando Defesas de Segurança Avaliação de Vulnerabilidades Ferramentas de varredura de porta As ferramentas de varredura de porta podem ser utilizadas por um cracker, em vez de alguém tentando melhorar a segurança As mesmas ferramentas podem ser usadas para o bem ou para o mal Alguns defendem a segurança da obscuridade, onde nenhuma ferramenta deveria ser criada, pois as ferramentas são usadas para encontrar brechas na segurança.

26 Segurança da Informação Implementando Defesas de Segurança
Detecção de Intrusão Proteger sistemas está ligada a detecção de intrusão A detecção de intrusão se esforça para detectar intrusões tentadas ou realizadas

27 Honeypot Pote de mel-Utilizado para desviar a atividade de um intruso
Um recurso falso, uma isca para o atacante Para o invasor, o recuso parece ser real e permite ao sistema monitorar e receber informações sobre o ataque

28 Segurança da Informação Implementando Defesas de Segurança
Detecção de Intrusão Esforços de detecção de intrusão para detectar intrusões tentadas ou bem sucedidas Detecção baseada em assinatura busca padrões de comportamento problemáticos - Ataques conhecidos. Ex: busca de pacotes /etc/passwd/ Detecção de anomalia busca diferenças do comportamento normal, visa detectar ataques previamente desconhecidos Problema: Falsos positivos e falsos negativos- Saber se a atividade invasora não está incluída nas atividades normais

29 Segurança da Informação Implementando Defesas de Segurança
Proteção contra vírus A proteção contra vírus é um aspecto importante para a segurança do sistema, pois os vírus podem danificá-lo Os programas antivirus pesquisam todos os programas em um sistema em busca de um padrão específico de instruções conhecidas por compor o vírus Quando encontram o padrão conhecido, removem as instruções, desinfectando o sistema

30 Segurança da Informação Implementando Defesas de Segurança
Auditoria, contabilidade e logging Auditoria, contabilidade e logging de todas as atividades da rede ou específicas do sistema A contabilidade pode ser usada para encontrar mudanças de desempenho que revelem problemas de segurança, onde são detectadas anomalias

31 Segurança da Informação Implementando Defesas de Segurança
Auditoria, contabilidade e logging Logging Pode ser geral ou específico Todas as execuções de chamadas de sistema podem ser registradas para análise de comportamento do programa Normalmente os eventos suspeitos são registrados em log As falhas de autenticação e autorização podem dizer muito sobre tentativas de invasão

32 Autenticação

33 Autenticação A autenticação é o processo de verificação da identidade de um usuário, isto é, garantir que um usuário é de fato quem diz ser.

34 Autenticação SYK – Something You Know (“algo que você sabe”): estas técnicas de autenticação são baseadas em informações conhecidas pelo usuário, como seu nome de login e sua senha.

35 Autenticação SYH – Something You Have (“algo que você tem”): são técnicas que se baseiam na posse de alguma informação mais complexa, como um certificado digital ou uma chave criptográfica, ou algum dispositivo material, como um smartcard, um cartão magnético, um código de barras, etc.

36 Autenticação SYA – Something You Are (“algo que você é”): se baseiam em características intrinsecamente associadas ao usuário, como seus dados biométricos: impressão digital, padrão da íris, timbre de voz, etc.

37 Firewall

38 Firewall Conceito Uma firewall (em português: parede de fogo) é um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. Pode ser usado para ajudar a impedir que sua rede ou seu computador seja acessado sem autorização. É possível evitar que os usuários acessem serviços ou sistemas indevidos, permitindo auditoria.

39 Firewall Um firewall pode ser um computador, um roteador, um servidor, um appliance ou a combinação destes que determine qual informação ou serviços podem ser acessados de fora e a quem é permitido usar a informação e os serviços de fora.

40 Firewall

41 Características do Firewall
Todo tráfego entre a rede interna e a externa (entrada e saída) deve passar pelo Firewall Somente o tráfego autorizado passará pelo Firewall, todo o resto será bloqueado O Firewall em si deve ser seguro e impenetrável

42 Controles do Firewall Controle de Serviço: determina quais serviços Internet (tipos) estarão disponíveis para acesso Controle de Sentido: determina o sentido de fluxo no qual serviços podem ser iniciados Controle de Usuário: controla o acesso baseado em qual usuário está requerendo (tipicamente os internos, ou externo via VPN) Controle de Comportamento: controla como cada serviço pode ser usado (ex: anti-spam)

43 Limitações de um Firewall
O Firewall não protege contra ameaças internas O Firewall não protege contra transferência de arquivos infectados por vírus, pois seria impraticável analisar o conteúdo de tudo que trafega

44 Tipos de Firewall Filtragem de pacotes Firewalls de aplicação
Firewalls baseados no estado

45 Filtragem de Pacotes Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem.

46 Filtragem de Pacotes IP de origem: É o endereço de IP que o pacote lista como seu emissor.  IP de destino: É o endereço de IP para onde o pacote está sendo mandado. ID de protocolo IP: Um cabeçalho IP pode ser seguido por vários cabeçalhos de protocolos. Cada um desses protocolos tem seu próprio ID de protocolo IP. Os exemplos mais conhecidos são TCP (ID 6) e UDP (ID 17). Numero de portas TCP ou UDP : O numero da porta indica que tipo de serviço o pacote é destinado. Flag de fragmentação: Pacotes podem ser quebrados em pacotes menores. Ajuste de opções do IP: Funções opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opções são apenas usadas para diagnóstico, de forma que o firewall possa descartar pacotes com opções de IP determinadas.

47 Firewalls de Aplicação
Com a utilização deste tipo de firewall, podemos usufruir da filtragem na base em informação de nível de aplicação (por exemplo, com base em URLS dentro de um servidor, possibilita o estabelecimento de zonas com diferentes tipos de acesso); Possibilita o modo de acordo com a informação e não simplesmente com base em regras de acesso estáticas;

48 Firewall baseado em estado
Firewall de Pacotes + Firewall de Aplicação Possibilita o funcionamento ao nível da aplicação de uma forma dinâmica Inclui funcionalidades de encriptação e encapsulamento e balanceamento de carga A manutenção e configuração requerem operações menos complexas Alto custo

49 IDS – Intrusion Detection Systems

50 IDS – Intrusion Detection Systems
Conceito Tipos: IDS localizados em hosts (H-IDS) IDS localizados na rede (N-IDS) IDS Híbridos

51 IDS – Intrusion Detection Systems

52 IDS baseados em Host Conceito
refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados. Mais empregados nos casos em que a segurança está focada em informações contidas em um servidor e os usuários não precisam ser monitorados; Aplicado em redes onde a velocidade de transmissão é muito alta como em redes “Gigabit Ethernet”; Usados também quando não se confia na segurança corporativa da rede em que o servidor está instalado.

53 Verificações dos IDS baseados em Host
Acesso a arquivos Integridade de arquivos Varredura de portas Modificação e privilégios de usuários Processos do sistema Execução de programas Uso de CPU Conexões

54 Vantagens do IDS baseado em Host
Ataques que ocorrem fisicamente num servidor podem ser detectados. Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes. Independem da topologia da rede Geram poucos “falsos positivos”, que são alarmes falsos de ataques. Não necessita de hardware adicional.

55 Desvantagens do IDS baseado em Host
São de difícil monitoramento, já que em cada estação deve ser instalado e configurado um IDS; Podem ser desativados por DoS; Recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho; O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação monitorada; Fica difícil de configurar e gerenciar em todos os hosts de uma rede.

56 Desvantagens do IDS baseado em Host
Necessita de espaço de armazenamento adicional para os registros do sistema. É dependente do SO. HIDS para Linux é diferente de um HIDS Windows. Não têm bom desempenho em sistemas operacionais que geram poucas informações de auditoria. Apresenta diminuição do desempenho do host monitorado.

57 Componentes dos IDS baseados em Rede
Os sensores que cuidam dos segmentos de redes, fazem a captura, formatação de dados e análise de tráfego. Gerenciador: fazem com que os sensores sejam administrados de modo integrado, com a definição dos tipos de resposta para cada tipo de comportamento suspeito detectado. A comunicação entre sensores e gerenciador é criptografada.

58 Vantagens do IDS baseado em rede
Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede Difíceis de serem percebidos por atacantes e com grande segurança contra ataques Pode detectar tentativas de ataques (ataques que não tiveram resultados). Fica mais difícil um invasor apagar seu rastro.

59 Desvantagens do IDS baseado em rede
Podem falhar em reconhecer um ataque em um momento de trafego intenso; Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam; Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões; Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.

60 Exemplos de IDS baseados em hosts
Tripwire Swatch Portsentry OSSEC-HIDS

61 Exemplos de IDS baseados em rede
Snort RealSecure NFR

62 Exemplo de ambiente híbrido
OSSEC-HIDS + Snort

63 Backup

64 Backup Falhas técnicas: falha no disco rígido (HD), falha de energia, sobrecarga na rede de computadores que pode gerar falhas de comunicação e de software; Falhas ambientais: descargas elétricas provindas de raios, enchentes, incêndios; Falhas humanas: detém 84% das perdas de dados e são devidas à exclusão ou modificação de dados acidental ou mal-intencionada, vírus, roubo de equipamentos e sabotagem.

65 Tipos de Backup Backup normal Backup diferencial Backup incremental

66 Backup Normal Um backup normal copia todos os arquivos selecionados e os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo é desmarcado). Com backups normais, você só precisa da cópia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal é executado quando você cria um conjunto de backup pela primeira vez.

67 Backup Normal VANTAGENS: Os arquivos são mais fáceis de localizar porque estão na mídia de backup atual. Requer apenas uma mídia ou um conjunto de mídia para a recuperação dos arquivos. DESVANTAGENS: É demorado. Se os arquivos forem alterados com pouca freqüência, os backups serão quase idênticos.

68 Backup Diferencial Um backup diferencial copia arquivos criados ou alterados desde o último backup normal ou incremental. Não marca os arquivos como arquivos que passaram por backup (o atributo de arquivo não é desmarcado). Se você estiver executando uma combinação dos backups normal e diferencial, a restauração de arquivos e pastas exigirá o último backup normal e o último backup diferencial.

69 Backup Diferencial VANTAGENS: A recuperação exige a mídia apenas dos últimos backups normal e diferencial. Fornece backups mais rápidos do que um backup normal. DESVANTAGENS: A restauração completa do sistema pode levar mais tempo do que se for usado o backup normal. Se ocorrerem muitas alterações nos dados, os backups podem levar mais tempo do que backups do tipo incremental.

70 Backup Incremental Um backup incremental copia somente os arquivos criados ou alterados desde o último backup normal ou incremental. e os marca como arquivos que passaram por backup (o atributo de arquivo é desmarcado). Se você utilizar uma combinação dos backups normal e incremental, precisará do último conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.

71 Backup Incremental VANTAGENS: Requer a menor quantidade de armazenamento de dados. Fornece os backups mais rápidos. DESVANTAGENS: A restauração completa do sistema pode levar mais tempo do que se for usado o backup normal ou diferencial.

72 Periodicidade de Backup
Frequência de Modificações X Importância da Informação Backup Diário Backup Semanal Backup Mensal Backup Anual

73 Criptografia

74 Criptografia

75 Criptografia Conceito Histórico Tipos Criptografia Simétrica;
Criptografia Assimétrica

76 Conceituação kryptos (oculto, secreto), graphos (escrever).
Texto aberto: mensagem ou informação a ocultar Texto cifrado: informação codificada; Cifrador: mecanismo responsável por cifrar/decifrar as informações Chaves: elementos necessários para poder cifrar ou decifrar as informações Espaço de chaves: O número de chaves possíveis para um algoritmo de cifragem

77 Conceituação Algoritmo computacionalmente seguro
Custo de quebrar excede o valor da informação O tempo para quebrar excede a vida útil da informação Meios de criptoanálise Força bruta Mensagem conhecida Mensagem escolhida (conhecida e apropriada) Análise matemática e estatística Engenharia social Conceitos para bom algoritmo de criptografia Confusão: transformações na cifra de forma irregular e complexa Difusão: pequena mudança na mensagem, grande na cifra

78 Histórico Cifrador de César
mensagem aberta: Reunir todos os generais para o ataque mensagem cifrada com k = 1: Sfvojs upept pt hfofsbjt qbsb p bubrvf mensagem cifrada com k = 2: Tgwpkt vqfqu qu igpgtcku rctc q cvcswg mensagem cifrada com k = 3: Uhxqlu wrgrv rv jhqhudlv sdud r dwdtxh

79 Curiosidade Criptografia AES (Advanced Encryption Standard)
Chaves de 128 bits, ou seja, espaço de chaves com 2128 possibilidades chaves diferentes

80 Tipos de Cifras Cifras de Transposição Cifras de Substituição:
Cifra de substituição simples ou monoalfabética ; Cifra de substituição polialfabética; Cifra de substituição de polígramos ; Cifra de substituição por deslocamento.

81 Criptografia Simétrica
Algoritmo É o próprio processo de substituição ou transposição. Consiste nos passos a serem tomados para realizar a encriptação. Chave Define o alfabeto cifrado exato que será utilizado numa codificação em particular. O algoritmo utilizado em um processo de encriptação pode ser divulgado sem problemas. A chave, porém, deve ser uma informação confidencial do remetente e do destinatário.

82

83 Desvantagens do Uso de Chaves Simétricas
Se uma pessoa quer se comunicar com outra com segurança, ela deve passar primeiramente a chave utilizada para cifrar a mensagem. Grandes grupos de usuários necessitam de um volume grande de chaves, cujo gerenciamento é complexo

84 Criptografia Assimétrica
Postulada pela primeira vez em meados de por Withfield Diffie e Martin Hellman Algoritmos de chave pública e privada Baseada em princípios de manipulação matemática. Os algoritmos são computacionalmente pesados e lentos.

85 Criptografia Assimétrica

86 Criptografia Assimétrica
RSA Ron Rivest / Adi Shamir / Leonard Adleman Criado em 1977. É o algoritmo de chave pública mais utilizado. Utiliza números primos. A premissa por trás do RSA é que é fácil multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número.

87 Criptografia Assimétrica
Cerca de 95% dos sites de comércio eletrônico utilizam chaves RSA de 512 bits. O desenvolvimento dos algoritmos de criptografia assimétrica possibilitou o aparecimento de aplicações que trafegam dados internet de forma segura, notadamente do e-commerce.

88 Certificado Digital e Assinatura Digital

89 Certificado Digital Assim como o RG ou o CPF identificam uma pessoa, um certificado digital contém dados que funcionam como um certificado físico, contendo informações referentes a: pessoa ou entidade a quem foi emitido o certificado digital e respectivo endereço; sua chave pública e respectiva validade; número de série; e nome da empresa que emitiu seu certificado (chamada de Autoridade Certificadora, ou AC) com respectiva assinatura digital.

90 Certificado Digital Qualquer modificação realizada em um certificado digital o torna inválido e por isso é impossível falsificá-lo. O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora – AC) garante a veracidade das informações nele contidas. Fazendo uma analogia, a AC faz o papel dos órgãos públicos como a Secretaria de Segurança Pública quando emite um RG, ou seja, ela garante quem você é, dando-lhe legitimidade através de sua assinatura digital.

91

92 Assinatura Digital Um documento pode ser considerado genuíno quando não sofreu alterações. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais. No mundo virtual, este item pode ser assegurado através do uso de assinaturas digitais.

93 Assinatura Digital A assinatura digital visa garantir que um determinado documento não seja alterado após assinado. Etapas: O autor, através de um software próprio, realiza uma operação e faz um tipo de resumo dos dados do documento que quer enviar, também chamado de “função hash”. O Autor usa a chave privada de seu certificado digital para encriptar este resumo.

94 Assinatura Digital

95 Complexidade de Senhas
A função primordial da senha? Autenticidade Métodos de quebra de senha: Dedução inteligente Ataques de dicionário Automatização ou Força Bruta

96 Sugestões para a criação de senhas seguras
Não utilize palavras existentes em dicionários nacionais ou estrangeiros; Não escreva suas senhas em papéis, muito menos salve na máquina documentos digitais, como o Word ou o bloco de notas; Não utilize informações pessoais fáceis de serem obtidas, tais como: nome ou sobrenome do usuário, nome da esposa, filhos ou animais de estimação, matrícula na empresa, números de telefone, data de nascimento, cidades de origem, etc.; Não utilize senhas constituídas somente por números ou somente por letras; Utilize senhas com, pelo menos, seis caracteres; Misture caracteres em caixa baixa e alta (minúsculas e maiúsculas);

97 Sugestões para a criação de senhas seguras
Crie senhas que contenham letras, números e caracteres especiais (*,#,$,%...); Inclua na senha, pelo menos, um caractere especial ou símbolo; Utilize um método próprio para lembrar das senhas que dispense registrar a mesma em qualquer local; Não empregue senhas com números ou letras repetidos em sequência; Não forneça sua senha para ninguém; Altere as senhas, pelo menos, a cada 3 meses; Utilize senhas que possam ser digitadas rapidamente, sem que seja preciso olhar para o teclado; Para facilita a memorização da senha é possível criar uma frase secreta e extrair delas as iniciais de cada letra. Por exemplo da frase “É melhor 1 pássaro na mão do que 2 voando” se extrai “Em1pnmdq2v”.

98 Medidas Consideradas Efetivas

99 Segurança da Informação
A organização da Segurança

100 Segurança da Informação A Organização da Segurança
- Para organizar a segurança é preciso criar um departamento (Comitê Corporativo de Segurança da Informação) É preciso ter uma visão clara das etapas da organização; E formalizar os processos

101 Segurança da Informação A Organização da Segurança
- Etapas da Organização da Segurança: Comitê Corporativo de Segurança; Mapeamento da Segurança Estratégia da Segurança Planejamento de Segurança Implementação de Segurança Administração de Segurança Segurança na cadeia produtiva

102 Segurança da Informação A Organização da Segurança
Comitê Corporativo de Segurança Orienta as ações corporativas de segurança e mede os resultados; Alinha o plano considerando valores, buscando o melhor retorno dos investimentos; Coordena os agentes de segurança; Garante o sucesso da Implantação de Segurança; Promove a consolidação do Modelo de Gestão Corporativo de Segurança.

103 Segurança da Informação A Organização da Segurança
Mapeamento da Segurança Identificar os diversos processos de negócio, perímetros e infra- estruturas; Inventariar os ativos físicos, tecnológicos e humanos. Considerar as variáveis que interferem nos riscos da empresa. Identificar o cenário atual: ameaças, vulnerabilidades e impactos Mapear as necessidades em relação ao manuseio, armazenamento, transporte e descarte de informações Organizar as demandas de segurança do negócio.

104 Segurança da Informação A Organização da Segurança
Estratégia de Segurança Definir um plano de ação consistindo de particularidades do negócio junto aos executivos: Estratégica Tática Operacional Definir também riscos: Físicos, tecnológicos e humanos

105 Segurança da Informação A Organização da Segurança
Planejamento de Segurança Organizar os comitês e oficializar suas responsabilidades; Iniciar ações preliminares de capacitação dos executivos e técnicos; Elaborar uma Política de Segurança detalhando: processos de negócio, perímetro e infra-estrutura, diretrizes, normas e procedimentos; Realizar ações corretivas emergenciais em função do risco iminente.

106 Segurança da Informação A Organização da Segurança
Implementação de Segurança Divulgar a Política de Segurança Capacitar, conscientizando os usuários no manuseio, armazenamento, transporte e descarte da informação Implementar mecanismos de controles físicos, tecnológicos e humanos que irão permitir a eliminação das vulnerabilidades

107 Segurança da Informação A Organização da Segurança
Administração de Segurança Monitorar os controles implementados, medindo sua eficiência Projetar o Retorno sobre os investimentos Garantir a adequação e a conformidade do negócio com as normas Manter plano estratégicos para contingência e recuperação de desastres, objetivando garantir a disponibilidade

108 Segurança da Informação A Organização da Segurança
Segurança na Cadeia Produtiva Equalizar as medidas de segurança junto aos parceiros: Fornecedores Clientes Governo Objetivo: Nivelar o fator de risco sem que uma das partes exponha informações compartilhadas e represente ameaça.


Carregar ppt "Segurança e Auditoria de Sistemas Segurança da Informação - Parte III"

Apresentações semelhantes


Anúncios Google