A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

SEGURANÇA DA INFORMAÇÃO. Informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito.

Apresentações semelhantes


Apresentação em tema: "SEGURANÇA DA INFORMAÇÃO. Informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito."— Transcrição da apresentação:

1 SEGURANÇA DA INFORMAÇÃO

2 Informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito e sendo de utilidade ao ser humano. A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais. O NÍVEL DE SEGURANÇA DA INFORMAÇÃO DESEJADO ESTÁ NA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO.

3 ATRIBUTOS DE UMA INFORMAÇÃO SEGURA D DISPONIBILIDADE Propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade. Facilidade de recuperação ou acessibilidade de dados e informações. propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação I INTEGRIDADE Propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental; Incolumidade de dados ou informações na origem, no trânsito ou no destino. propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição) C CONFIDENCIALIDADE Propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado. propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. A AUTENTICIDADE Propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade. Asseveração de que o dado ou informação são verdadeiros e fidedignos tanto na origem quanto no destino.

4 EXEMPLOS DE VIOLAÇÕES Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal. Integridade: alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de Imposto de Renda, momentos antes de você enviá-la à Receita Federal; Confidencialidade: alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda; Autenticidade – alguém obtém acesso não autorizado ao seu computador, copia as informações da sua declaração de Imposto de Renda, e as envia com um outro CPF à Receita Federal;

5 Conceitos importantes: Não-repúdio ou irretratabilidade - é a garantia de segurança que impede uma entidade participante numa dada operação de negar essa participação. As partes envolvidas não repudiam o fato de que em data e hora específicos ocorreu o acesso a determinada informação Comprometimento: perda de segurança resultante do acesso não-autorizado; Credencial de segurança: certificado, concedido por autoridade competente, que habilita determinada pessoa a ter acesso a dados ou informações em diferentes graus de sigilo

6 Segurança da Informação Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão e a modificação desautorizada de dados ou informações, armazenados em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento.

7 DECRETO 3.505/2000 Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. PRESSUPOSTOS: assegurar a garantia ao direito individual e coletivo das pessoas, à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição; proteção de assuntos que mereçam tratamento especial; capacitação dos segmentos das tecnologias sensíveis; uso soberano de mecanismos de segurança da informação, com o domínio de tecnologias sensíveis e duais; criação, desenvolvimento e manutenção de mentalidade de segurança da informação; capacitação científico-tecnológica do País para uso da criptografia na segurança e defesa do Estado; e conscientização dos órgãos e das entidades da Administração Pública Federal sobre a importância das informações processadas e sobre o risco da sua vulnerabilidade;

8 OBJETIVOS: dotar os órgãos e as entidades da Administração Pública Federal de instrumentos jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis; eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação; promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação; estabelecer normas jurídicas necessárias à efetiva implementação da segurança da informação; promover as ações necessárias à implementação e manutenção da segurança da informação; promover o intercâmbio científico-tecnológico entre os órgãos e as entidades da Administração Pública Federal e as instituições públicas e privadas, sobre as atividades de segurança da informação; promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação; e assegurar a interoperabilidade entre os sistemas de segurança da informação.

9 DECRETO 4.553/2002 Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, bem como das áreas e instalações onde tramitam. São considerados originariamente sigilosos, e serão como tal classificados, dados ou informações cujo conhecimento irrestrito ou divulgação possa acarretar qualquer risco à segurança da sociedade e do Estado, bem como aqueles necessários ao resguardo da inviolabilidade da intimidade da vida privada, da honra e da imagem das pessoas. O acesso a dados ou informações sigilosos é restrito e condicionado à necessidade de conhecer.

10 CLASSIFICAÇÃO DOS SIGILOSOS ULTRA-SECRETOSSECRETOSCONFIDENCIAISRESERVADOS

11 ULTRA-SECRETOS dados ou informações referentes: à soberania e à integridade territorial nacionais, a planos e operações militares, às relações internacionais do País, a projetos de pesquisa e desenvolvimento científico e tecnológico de interesse da defesa nacional a programas econômicos, cujo conhecimento não- autorizado possa acarretar dano excepcionalmente grave à segurança da sociedade e do Estado. Prazo de duração (todos são prorrogáveis): 30 anos

12 A classificação no grau ultra-secreto é de competência das seguintes autoridades: Presidente da República; Vice-Presidente da República; Ministros de Estado e autoridades com as mesmas prerrogativas; Comandantes da Marinha, do Exército e da Aeronáutica; Chefes de Missões Diplomáticas e Consulares permanentes no exterior. Excepcionalmente essa competência pode ser delegada pela autoridade responsável a agente público em missão no exterior. Dados ou informações classificados no grau de sigilo ultra-secreto somente poderão ser reclassificados ou desclassificados, mediante decisão da autoridade responsável pela sua classificação.

13 SECRETOS dados ou informações referentes: a sistemas, instalações, programas, projetos, planos ou operações de interesse da defesa nacional, a assuntos diplomáticos e de inteligência a planos ou detalhes, programas ou instalações estratégicos, cujo conhecimento não-autorizado possa acarretar dano grave à segurança da sociedade e do Estado. Atribuição das autoridades que exerçam funções de direção, comando, chefia ou assessoramento, de acordo com regulamentação específica de cada órgão ou entidade da Administração Pública Federal; Prazo de duração: 20 anos;

14 CONFIDENCIAIS dados ou informações: que, no interesse do Poder Executivo e das partes, devam ser de conhecimento restrito e cuja revelação não-autorizada possa frustrar seus objetivos ou acarretar dano à segurança da sociedade e do Estado Prazo de duração: máximo de 10 anos.

15 RESERVADOS dados ou informações cuja revelação não- autorizada possa comprometer planos, operações ou objetivos neles previstos ou referidos. Prazo de duração: máximo de 5 anos.

16 DA RECLASSIFICAÇÃO E DA DESCLASSFICAÇÃO Para os graus secreto, confidencial e reservado, poderá a autoridade responsável pela classificação ou autoridade hierarquicamente superior competente para dispor sobre o assunto, respeitados os interesses da segurança da sociedade e do Estado, alterá-la ou cancelá-la, por meio de expediente hábil de reclassificação ou desclassificação dirigido ao detentor da custódia do dado ou informação sigilosos.

17 DA GESTÃO DE DADOS OU INFORMAÇÕES SIGILOSOS Para os graus secreto, confidencial e reservado, poderá a autoridade responsável pela classificação ou autoridade hierarquicamente superior competente para dispor sobre o assunto, respeitados os interesses da segurança da sociedade e do Estado, alterá-la ou cancelá-la, por meio de expediente hábil de reclassificação ou desclassificação dirigido ao detentor da custódia do dado ou informação sigilosos; Poderão ser elaborados extratos de documentos sigilosos, para sua divulgação ou execução; O acesso a dados ou informações sigilosos em órgãos e entidades públicos e instituições de caráter público é admitido: I - ao agente público, no exercício de cargo, função, emprego ou atividade pública, que tenham necessidade de conhecê-los; e II - ao cidadão, naquilo que diga respeito à sua pessoa, ao seu interesse particular ou do interesse coletivo ou geral, mediante requerimento ao órgão ou entidade competente. Todo aquele que tiver conhecimento de assuntos sigilosos fica sujeito às sanções administrativas, civis e penais decorrentes da eventual divulgação dos mesmos. Os dados ou informações sigilosos exigem que os procedimentos ou processos que vierem a instruir também passem a ter grau de sigilo idêntico. Serão liberados à consulta pública os documentos que contenham informações pessoais, desde que previamente autorizada pelo titular ou por seus herdeiros.

18 Por que alguém iria querer invadir meu computador? A resposta para esta pergunta não é simples. Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Alguns destes motivos podem ser: utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor; utilizar seu computador para lançar ataques contra outros computadores; utilizar seu disco rígido como repositório de dados; destruir informações (vandalismo); disseminar mensagens alarmantes e falsas; ler e enviar s em seu nome; propagar vírus de computador; furtar números de cartões de crédito e senhas bancárias; furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por você; furtar dados do seu computador, como por exemplo, informações do seu Imposto de Renda.

19 INCIDENTE OU QUEBRA DE SEGURANÇA Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores. TRATAMENTO DE INCIDENTE Atividade que tem como função receber, analisar e responder às notificações e as atividades relacionadas a incidentes de segurança.

20 INCIDENTES Os incidentes são de vários tipos, como, por exemplo, a invasão em sites de empresas e a deliberada violação de informações privadas que ocorreram por iniciativa de alguém mal intencionado. Há também incidentes que ocorrem sem haver uma intenção explícita de gerar dano, mas que por omissão ou até mesmo por desconhecimento provocam danos à segurança das informações. O que todos os incidentes têm em comum é que eles afetam a confidencialidade, integridade, disponibilidade ou a autenticidade das informações.

21 Vulnerabilidade Vulnerabilidade é definida como uma falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador.

22 VULNERABILIDADES FÍSICAS - vulnerabilidades das instalações físicas que servem de suporte ao sistemas de informação. Ex.: instalações prediais fora do padrão, falta de extintores etc. NATURAIS - Ex.: enchentes, tempestades, aumento de umidade e temperatura.HARDWARE - falha nos recursos tecnológicos resultantes de desgastes ou obsolência dos equipamentos. SOFTWARE - erro de instalação e configuração do software podem acarretar acessos indevidos a sistemas, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário. MÍDIAS - discos, fitas e relatórios impressos que registram os dados podem ser perdidos ou danificados de modo que não haja possibilidade de sua recuperação. COMUNICAÇÃO - acessos não autorizados ou perda de comunicação. HUMANAS - estão relacionadas a falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros ou omissões.

23 HACKER Indivíduos maliciosos, em geral com profundo conhecimento técnico, que agem com a intenção de violar sistemas de informação, burlando sistemas de segurança existentes. Os ataques são as tentativas, feitas por invasores, de agredir a D-I-C-A de um sistema de informações. Eles exploram as vulnerabilidades existentes nos sistemas de informação.

24 VÍRUS é um programa de computador malicioso criado para gerar resultados indesejados, que se auto-dissemina sem o conhecimento do usuário, contagiando os computadores que tiverem contato com ele. Ele precisa de um programa executável para nele se instalar; infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros computadores, utilizando-se de diversos meios. Alguns vírus e outros programas maliciosos (incluindo o spyware) estão programados para re- infectar o computador mesmo depois de detectados e removidos.

25 WORMS (vermes) são programas capazes de se autopropagar por meio de redes. São muito parecidos com vírus, mas ao contrário destes, não necessitam ser explicitamente executados para se propagar. Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o Worm é um programa completo e não precisa de outro para se propagar. Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema, além de se autoreplicar, pode deletar arquivos em um sistema ou enviar documentos por . A partir disso, o worm pode tornar o computador infectado vulnerável a outros ataques.

26 TROJAN (cavalo de tróia) é um invasor que não se reproduz. Ele se instala, geralmente via , e toda vez que o computador é ligado, o trojan automaticamente é executado sem o conhecimento do usuário. As ações maliciosas mais comuns são o furto de senhas e outras informações como numero de cartões de crédito. Os trojans atuais são disfarçados de programas legítimos, embora, diferentemente de vírus ou de worms, não criam réplicas de si (e esse é o motivo pelo qual o Cavalo de Tróia não é considerado um vírus).

27 TROJAN São instalados diretamente no computador. De fato, alguns trojan são programados para se auto-destruir com um comando do cliente ou depois de um determinado tempo. Os trojans atuais são divididos em duas partes: O servidor eservidor O cliente.cliente O servidor se instala e se oculta no computador da vítima, normalmente dentro de algum outro arquivo. No momento que esse arquivo é executado, o computador pode ser acessado pelo cliente, que irá enviar instruções para o servidor executar certas operações no computador da vítima. Geralmente um trojan é instalado com o auxílio de um ataque de engenharia social, com apelos para convencer a vítima a executar o arquivo do servidor, o que muitas vezes acaba acontecendo, dada a curiosidade do internauta,como um atraindo a pessoa a ver fotos de um artista, pedindo a instalação de um Plugin, onde o Trojan fica "Hospedado".engenharia social

28 Rootkits A principal intenção dele é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus. Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.

29 Rootkits são um tipo de Malware surgido nos últimos anos.Malware A principal intenção dele é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus. Isto é possível por que estas aplicações têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu resultado. Por exemplo, quando o Windows faz um pedido para a leitura ou abertura de um arquivo (seja a mando do antivírus ou pelo proprio usuário), o rootkit intercepta os dados que são requisitados (intercepção via API) e faz uma filtragem dessa informação, deixando passar apenas o código não infectado. Desta forma, o antivírus ou qualquer outra ferramenta ficam impossibilitados de encontrar o arquivo malicioso.Windows arquivoAPI Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.trojanprogramação

30 Keylogger registrador do teclado; é um programa de computador do tipo spyware cuja finalidade é monitorar tudo o que a vítima digita, a fim de descobrir suas senhas de banco, números de cartão de crédito e afins. Muitos casos de phishing, assim como outros tipos de fraudes virtuais, se baseiam no uso de algum tipo de keylogger, instalado no computador sem o conhecimento da vítima, que captura dados sensíveis e os envia a um hacker que depois os utiliza para fraudes.

31 BACKDOOR Backdoor (também conhecido por Porta dos fundos) é uma falha de segurança que pode existir em um programa de computador ou sistema operacional, que pode permitir a invasão do sistema por um cracker para que ele possa obter um total controle da máquina. Muitos crackers utilizam-se de um Backdoor para instalar vírus de computador ou outros programas maliciosos, conhecidos como malware.

32 Spyware aplicativo ou programa espião consiste num programa automático de computador, que recolhe informações sobre o usuário, sobre os seus costumes na Internet e transmite essa informação a uma entidade externa na Internet, sem o seu conhecimento nem o seu consentimento. Diferem dos cavalos de Tróia por não terem como objetivo que o sistema do usuário seja dominado, seja manipulado, por uma entidade externa, por um cracker.

33 Códigos Maliciosos (Malware) Código malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador. Na literatura de segurança o termo malware também é conhecido por "software malicioso". Alguns exemplos de malware são: vírus; worms; backdoors; cavalos de tróia; keyloggers e outros programas spyware; rootkits.

34 Phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea.

35 PREVENÇÃO E COMBATE Atualizar o computador periodicamente; Antispywares - são programas utilizados para combater spyware, keyloggers entre outros programas espiões. Entre esses programas estão os: firewalls, antivírus entre outros. Antivírus; Firewall - nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra

36 ATAQUE DE NEGAÇÃO DE SERVIÇOS – (DoS – Denial of Service) ocorre quando um número excessivamente grande de comunicações é enviado de propósito a um computador para sobrecarregar sua capacidade de lidar com elas. Os alvos deste tipo de ataque são os computadores de organizações que os usam para prestar algum serviço pela internet. Nos ataques de negação de serviço o atacante utiliza um computador para tirar de operação um serviço ou computador conectado à Internet.

37 DDoS - (Distributed Denial of Service) Constitui um ataque de negação de serviço distribuído, ou seja, um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet. Normalmente estes ataques procuram ocupar toda a banda disponível para o acesso a um computador ou rede, causando grande lentidão ou até mesmo indisponibilizando qualquer comunicação com este computador ou rede.

38 SPAM envio de grande volume de mensagens não solicitadas por seus destinatários. Ex.: propaganda de produtos, boatos, propostas de ganhar dinheiro fácil etc.

39 Cookies Cookies são pequenas informações que os sites visitados por você podem armazenar em seu browser. Estes são utilizados pelos sites de diversas formas, tais como: guardar a sua identificação e senha quando você vai de uma página para outra; manter listas de compras ou listas de produtos preferidos em sites de comércio eletrônico; personalizar sites pessoais ou de notícias, quando você escolhe o que quer que seja mostrado nas páginas; manter a lista das páginas vistas em um site, para estatística ou para retirar as páginas que você não tem interesse dos links.

40 ENGENHARIA SOCIAL O conceito de engenharia social é que se trata de uma maneira de se obter informações confidenciais sobre determinada pessoa, equipamento, campanha ou empresa, sem o uso da força apenas com inteligência, técnica, perspicácia e persuasão.

41 Engenharia Social O termo é utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de . O último exemplo apresenta um ataque realizado por telefone. Exemplo 1: você recebe uma mensagem , onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso a conta bancária e enviá-la para o atacante. Exemplo 2: você recebe uma mensagem de , dizendo que seu computador está infectado por um vírus. A mensagem sugere que você instale uma ferramenta disponível em um site da Internet, para eliminar o vírus de seu computador. A real função desta ferramenta não é eliminar um vírus, mas sim permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados. Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor. Nesta ligação ele diz que sua conexão com a Internet está apresentando algum problema e, então, pede sua senha para corrigí-lo. Caso você entregue sua senha, este suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a Internet e, portanto, relacionando tais atividades ao seu nome. Estes casos mostram ataques típicos de engenharia social, pois os discursos apresentados nos exemplos procuram induzir o usuário a realizar alguma tarefa e o sucesso do ataque depende única e exclusivamente da decisão do usuário em fornecer informações sensíveis ou executar programas.

42 Engenharia Social Engenharia social, dentro da área de segurança de sistemas computacionais, é um termo utilizado para qualificar os tipos de intrusão não técnica, que coloca ênfase na interação humana e, freqüentemente, envolve a habilidade de enganar pessoas objetivando violar procedimentos de segurança.

43 Dentre essas características, pode-se destacar: Vontade de ser útil – O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário. Busca por novas amizades – O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações. Propagação de responsabilidade – Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades. Persuasão – Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis a manipulação.

44 Engenharia Social Nesse sentido, observa-se que a engenharia social possui uma seqüência de passos na qual um ataque pode ocorrer: Coleta de informações – O hacker ou engenheiro social busca as mais diversas informações dos usuários como número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc. Essas informações ajudarão no estabelecimento de uma relação com alguém da empresa visada. Desenvolvimento de relacionamento – O engenheiro social explora a natureza humana de ser confiante nas pessoas até que se prove o contrário. Exploração de um relacionamento – O engenheiro social procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque. Execução do ataque – O hacker ou engenheiro social realiza o ataque a empresa ou vítima, fazendo uso de todas informações e recursos obtidos.

45 COMO EVITAR? Educação e Treinamento – Importante conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar os usuários sobre como age um engenheiro social. Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização. Política de Segurança – Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser capaz de ter acesso a senha de usuários de um sistema. Estimular o uso de senhas de difícil descoberta, além de remover contas de usuários que deixaram a instituição. Controle de Acesso – Os mecanismos de controle de acesso tem o objetivo de implementar privilégios mínimos a usuários a fim de que estes possam realizar suas atividades. O controle de acesso pode também evitar que usuários sem permissão possam criar/remover/alterar contas e instalar software danosos a organização.

46 MEDIDAS PROTETIVAS É importante conhecer os mecanismos e medidas de proteção contra falhas e ameaças: MEDIDAS PREVENTIVAS: evitar que invasores violem os mecanismos de segurança. Ex.: políticas de segurança, instruções e procedimentos de trabalho, as campanhas de sensibilização e conscientização de usuários, uso de antivírus, senhas, realização de cópias de segurança etc. MEDIDAS DETECTÁVEIS: são aquelas que identificam a ocorrência de alguma vulnerabilidade. Ex.: sistemas de detecção de intrusão em redes, os alertas de segurança, as câmeras de vídeo, alarmes etc. MEDIDAS CORRETIVAS: mecanismo para interromper a ameaça, avaliar e reparar danos, além de manter a operacionalidade do sistema caso ocorra invasão ao sistema Planos de contingência, restauração de cópias de segurança (backups).

47 CONTROLES FÍSICOS São barreiras que limitam o contato ou acesso direto a informação ou a infra- estrutura (que garante a existência da informação) que a suporta. Existem mecanismos de segurança que apóiam os controles físicos: Portas, trancas, guardas... 1 – Demarcação das áreas Identificação Delimitação Marcação com diferentes graus de sensibilidade: Livres, Sigilosos e Restritos 2. Implantação de barreiras Alarme, vigilância, controle de pessoas, controle de veículos, muros, cercas, espelhos dágua 3 Sistema de Guarda e Vigilância 4 Prevenção de Acidentes

48 CONTROLES LÓGICOS São barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado. Existem mecanismos de segurança que apóiam os controles lógicos: Mecanismos de criptografia. Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração. Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade do documento associado, mas não a sua confidencialidade.

49 CONTROLES LÓGICOS Mecanismos de controle de acesso: Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes. Mecanismos de certificação. Atesta a validade de um documento. Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos citados aqui

50 MEDIDAS DE SEGURANÇA Veja a seguir as medidas de segurança comumente usadas para garantir a segurança dos sistemas de informação: Uso de senhas; Criptografia de dados; Cópia de dados críticos (backup); Uso de servidores ou drives de discos redundantes; Controle de acesso às estações de trabalho; Classificação dos usuários da rede; Documentação em meio papel; Software antivírus.

51 DOS SISTEMAS DE INFORMAÇÃO Entende-se como oficial o uso de código, cifra ou sistema de criptografia no âmbito de órgãos e entidades públicos e instituições de caráter público. CRIPTOGRAFIA Ciência e arte de escrever mensagens em forma cifrada ou em código. è parte de um campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades, para: autenticar a identidade de usuários; autenticar e proteger o sigilo de comunicações pessoais e de transações comerciais e bancárias; proteger a integridade de transferências eletrônicas de fundo s.

52 DOS SISTEMAS DE INFORMAÇÃO Aplicam-se aos programas, aplicativos, sistemas e equipamentos de criptografia todas as medidas de segurança previstas neste Decreto para os documentos sigilosos controlados e os seguintes procedimentos: realização de vistorias periódicas, com a finalidade de assegurar uma perfeita execução das operações criptográficas; manutenção de inventários completos e atualizados do material de criptografia existente; designação de sistemas criptográficos adequados a cada destinatário; comunicação, ao superior hierárquico ou à autoridade competente, de qualquer anormalidade relativa ao sigilo, à inviolabilidade, à integridade, à autenticidade, à legitimidade e à disponibilidade de dados ou informações criptografados; e identificação de indícios de violação ou interceptação ou de irregularidades na transmissão ou recebimento de dados e informações criptografados. Parágrafo único. Os dados e informações sigilosos, constantes de documento produzido em meio eletrônico, serão assinados e criptografados mediante o uso de certificados digitais emitidos pela Infra-Estrutura de Chaves Públicas Brasileira (ICP-Brasil).

53 CRIPTOGRAFIA Uma mensagem codificada por um método de criptografia deve ser privada, ou seja, somente aquele que enviou e aquele que recebeu devem ter acesso ao conteúdo da mensagem. Além disso, uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o remetente é mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter sido modificada. Os métodos de criptografia atuais são seguros e eficientes e baseiam-se no uso de uma ou mais chaves. A chave é uma seqüência de caracteres, que pode conter letras, dígitos e símbolos (como uma senha), e que é convertida em um número, utilizado pelos métodos de criptografia para codificar e decodificar mensagens. Atualmente, os métodos criptográficos podem ser subdivididos em duas grandes categorias, de acordo com o tipo de chave utilizada: a criptografia de chave única (utiliza a mesma chave tanto para codificar quanto para decodificar mensagens) e a criptografia de chave pública e privada. A criptografia de chaves pública e privada utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens. Neste método cada pessoa ou entidade mantém duas chaves: uma pública, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pública só podem ser decodificadas com a chave privada correspondente.

54 Seja o exemplo, onde José e Maria querem se comunicar de maneira sigilosa. Então, eles terão que realizar os seguintes procedimentos: José codifica uma mensagem utilizando a chave pública de Maria, que está disponível para o uso de qualquer pessoa; Depois de criptografada, José envia a mensagem para Maria, através da Internet; Maria recebe e decodifica a mensagem, utilizando sua chave privada, que é apenas de seu conhecimento; Se Maria quiser responder a mensagem, deverá realizar o mesmo procedimento, mas utilizando a chave pública de José.

55 ASSINATURA DIGITAL A assinatura digital consiste na criação de um código, através da utilização de uma chave privada, de modo que a pessoa ou entidade que receber uma mensagem contendo este código possa verificar se o remetente é mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. É importante ressaltar que a segurança do método baseia-se no fato de que a chave privada é conhecida apenas pelo seu dono. Também é importante ressaltar que o fato de assinar uma mensagem não significa gerar uma mensagem sigilosa.

56 Para o exemplo anterior, se José quisesse assinar a mensagem e ter certeza de que apenas Maria teria acesso a seu conteúdo, seria preciso codificá-la com a chave pública de Maria, depois de assiná-la. Desta forma, é utilizado o método de criptografia de chaves pública e privada, mas em um processo inverso ao apresentado no exemplo da seção Que exemplos podem ser citados sobre o uso de criptografia de chave única e de chaves pública e privada?8.2 Exemplos que combinam a utilização dos métodos de criptografia de chave única e de chaves pública e privada são as conexões seguras, estabelecidas entre o browser de um usuário e um site, em transações comerciais ou bancárias via Web. Estas conexões seguras via Web utilizam o método de criptografia de chave única, implementado pelo protocolo SSL (Secure Socket Layer). O browser do usuário precisa informar ao site qual será a chave única utilizada na conexão segura, antes de iniciar a transmissão de dados sigilosos. Para isto, o browser obtém a chave pública do certificado 4 da instituição que mantém o site. Então, ele utiliza esta chave pública para codificar e enviar uma mensagem para o site, contendo a chave única a ser utilizada na conexão segura. O site utiliza sua chave privada para decodificar a mensagem e identificar a chave única que será utilizada. 4 A partir deste ponto, o browser do usuário e o site podem transmitir informações, de forma sigilosa e segura, através da utilização do método de criptografia de chave única. A chave única pode ser trocada em intervalos de tempo determinados, através da repetição dos procedimentos descritos anteriormente, aumentando assim o nível de segurança de todo o processo Que tamanho de chave deve ser utilizado? Os métodos de criptografia atualmente utilizados, e que apresentam bons níveis de segurança, são publicamente conhecidos e são seguros pela robustez de seus algoritmos e pelo tamanho das chaves que utilizam. Para que um atacante descubra uma chave ele precisa utilizar algum método de força bruta, ou seja, testar combinações de chaves até que a correta seja descoberta. Portanto, quanto maior for a chave, maior será o número de combinações a testar, inviabilizando assim a descoberta de uma chave em tempo hábil. Além disso, chaves podem ser trocadas regularmente, tornando os métodos de criptografia ainda mais seguros. Atualmente, para se obter um bom nível de segurança na utilização do método de criptografia de chave única, é aconselhável utilizar chaves de no mínimo 128 bits. E para o método de criptografia de chaves pública e privada é aconselhável utilizar chaves de 2048 bits, sendo o mínimo aceitável de 1024 bits. Dependendo dos fins para os quais os métodos criptográficos serão utilizados, deve-se considerar a utilização de chaves maiores: 256 ou 512 bits para chave única e 4096 ou 8192 bits para chaves pública e privada. Se José quiser enviar uma mensagem assinada para Maria, ele codificará a mensagem com sua chave privada. Neste processo será gerada uma assinatura digital, que será adicionada à mensagem enviada para Maria. Ao receber a mensagem, Maria utilizará a chave pública de José para decodificar a mensagem. Neste processo será gerada uma segunda assinatura digital, que será comparada à primeira. Se as assinaturas forem idênticas, Maria terá certeza que o remetente da mensagem foi o José e que a mensagem não foi modificada.

57 Certificado Digital O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra mídia, como um token ou smart card. Exemplos semelhantes a um certificado digital são o CNPJ, RG, CPF e carteira de habilitação de uma pessoa. Cada um deles contém um conjunto de informações que identificam a instituição ou pessoa e a autoridade (para estes exemplos, órgãos públicos) que garante sua validade. Algumas das principais informações encontradas em um certificado digital são: dados que identificam o dono (nome, número de identificação, estado, etc); nome da Autoridade Certificadora (AC) que emitiu o certificado (vide seção 9.1);9.1 o número de série e o período de validade do certificado; a assinatura digital da AC. O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora) garante a veracidade das informações nele contidas. Autoridade Certificadora (AC) é a entidade responsável por emitir certificados digitais. Estes certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departamento de uma instituição, instituição, etc. Os certificados digitais possuem uma forma de assinatura eletrônica da AC que o emitiu. Graças à sua idoneidade, a AC é normalmente reconhecida por todos como confiável, fazendo o papel de "Cartório Eletrônico".

58 9.2. Que exemplos podem ser citados sobre o uso de certificados? Alguns exemplos típicos do uso de certificados digitais são: quando você acessa um site com conexão segura, como por exemplo o acesso a sua conta bancária pela Internet (vide Parte IV: Fraudes na Internet), é possível checar se o site apresentado é realmente da instituição que diz ser, através da verificação de seu certificado digital;Parte IV: Fraudes na Internet quando você consulta seu banco pela Internet, este tem que se assegurar de sua identidade antes de fornecer informações sobre a conta; quando você envia um importante, seu aplicativo de pode utilizar seu certificado para assinar "digitalmente" a mensagem, de modo a assegurar ao destinatário que o é seu e que não foi adulterado entre o envio e o recebimento.

59 SEGURANÇA ELETRÔNICA

60 FINALIDADES BÁSICAS DOS SISTEMAS ELETRÔNICOS DE SEGURANÇA DETECTAR – automaticamente pelo próprio equipamento, seja ele um sensor de presença ou uma câmera de detecção d movimento; COMUNICAR – SONORA, LUMINOSA, SILENCIOSA (botão de pânico); INIBIR – ter um sistema de seg eletrônica vísivel ou sonoro é mostrar aos inimigos indesejáveis que o imóvel está protegido, inibindo uma possível ação invasiva.

61 Diagnóstico – ANÁLISE DE RISCO Identifico os riscos e sua origem, levanto variáveis internas e externas que impactarão na segurança do imóvel, bem como as vulnerabilidades das instalação. A partir daí, pra alcançar a eficácia de implantação de um sistema eletrônico de segurança, é preciso criar um projeto de sistema. A partir desse projeto é que se identifica a tecnologia mais adequada a local. Uma solução personalizada.

62 EQUIPAMENTOS - ALARMES Em geral, os sistemas de alarme são compostos por: PAINEL DE ALARME E TECLADO, SENSORES, SIRENES E BATERIA. O PAINEL DE ALARME é o coração do sistema e deve num local de difícil acesso e protegido por um sensor de movimento no local e um sensor de abertura em sua caixa metálica de proteção. O TECLADO é instalado o mais próximo possível da entrada ou saída do imóvel. Ele serve para armar e desarmar o sistema, checar seu funcionamento, inibir setores, cadastrar senhas, verificar memória de disparos (buffer), acionar pânico ou emergência; OS SETORES DE COBERTURA – são usados para dividir o imóvel ou programar funções. Quanto mais setores, melhor será a identificação do imovel e, portanto, dos locais eventualmente violados. A eficácia do sistema de alarme está no monitoramento 24 h e na proteção da sua comunicação. As falhas de comunicação mais utilizadas no sistemas de alarme são: linha telefônica convencional, back-up via celular analógico; rádio frequência/ gsm/gprs.

63 CFTV É COMPOSTO por câmera, caixa de proteção, suporte, cabeamento ou transmissor sem fio, processadores, monitores gravadores de vídeo e alimentação.

64


Carregar ppt "SEGURANÇA DA INFORMAÇÃO. Informação compreende qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a determinado propósito."

Apresentações semelhantes


Anúncios Google