1 Documento RestritoRN #### Fernando Nery Sistema de Análise de Riscos e Gestão do Conhecimento em Segurança da Informação.

Apresentação em tema: "1 Documento RestritoRN #### Fernando Nery Sistema de Análise de Riscos e Gestão do Conhecimento em Segurança da Informação."— Transcrição da apresentação:

1 1 Documento RestritoRN #### Fernando Nery fnery@modulo.com.br Sistema de Análise de Riscos e Gestão do Conhecimento em Segurança da Informação

2 2 Documento RestritoRN #### Uso oficial de certificados digitais SPB / Banco Central Susep / Apólices de Seguro CFM / Prontuário Eletrônico Imprensa Nacional – DOU IOESP – Diário Oficial Receita Federal – e-cpf, e-cnpj Secretaria de Fazenda de PE...

3 3 Documento RestritoRN #### ICP é parte da Segurança Início da Internet Comercial Discussão sobre tamanho da chave criptográfica Problemas: Invasões DDOS Sites falsos Ataque aos equipamentos dos clientes Confidencialidade, Integridade, Disponibilidade Proteção da chave privada, proteção contra ataques Compliance com Código Civil, Resoluções do Banco Central, Basiléia, Sarbanes e Oxley, Cobit, Coso, ISO 17799 TI, Segurança, Compliance, Gerência de Riscos, Auditoria, Jurídico Proteção das chaves privadas

4 4 Documento RestritoRN #### Histório de Interoperabilidade Confiança em identidades Passaporte, Carteira de Identidade, Crachá empresarial, Carteira do Clube, Cartão Fidelidade Cartões de crédito e telefonia celular Protocolos IPX, SNA, NetBUI, IP! Interfaces Windows, GDK, HTTP! Consolidação do mercado Verisign, RSA, Entrust, Baltimore, Microsoft, Freepki,... Aplicações e insumos Certificação cruzadas e Clearing houses de certificados digitais Algumas vezes a interoperabilidade não é conveniente (grupos fechados ou restrição de acesso)

5 5 Documento RestritoRN #### Interoperabilidade exige Definição do nível de segurança Auditoria e certificação dos atores Definição de níveis de serviço e requisitos técnicos mínimos Normas técnicas (ABNT) Interoperabilidade técnica e jurídica Gerenciamento de certificados expirados e revogados Acompanhamento das auditorias das ACs participantes

6 6 Documento RestritoRN #### Interoperabilidade Interoperabilidade de AC Raiz Interoperabilidade Funcional Facilidade de uso Portabilidade Benefício para o usuário vs uso compulsório Ambiente de Certificados Digitais X509 Cartões inteligentes Chips de Celular Time stamp Token CD, Disquete Cross-certification Relação de confiança entre ACs - Acordos Seguros, Responsabilidade Civil Notarização Consular

7 7 Documento RestritoRN #### Exemplo Razoavelmente Simples de Interoperabilidade ICE CAR – The European Telematics Applications Programme Internetworking Public Key Certification Infrastructure for Commerce, Administration and Research Interoperabilidade é um dos maiores obstáculos para prover segurança Interoperabilidade entre emails (x509, pkcs) Aspectos considerados ACs s/mime, Plug-in de icp em emails LDAP (v2, v3) Cliente s/mime Cliente Outlook Express, Outlook, Netscape Messenger ?Cartões Inteligentes, ?tokens, ?SSL, ?outros serviços de diretório, ?outros algoritmos de criptografia

8 8 Documento RestritoRN #### Novas tecnologias Wireless Celulares PDA Web services VoIP IPv6 TV Digital Linux

9 9 Documento RestritoRN #### Conclusões Segmento ainda não tem maturidade técnica Não existe massa crítica de aplicações Os resultados alcançados foram mais lentos que o esperado Deve haver consolidação no setor Neste momento a discussão filosófica é prejudicial à aplicação, estaremos perdendo dinheiro com isso Importante que haja busca de padrões de interoperabilidade pelos principais players (governo, bancos, e-commerce, OAB, Universidades,...) Deve-se considerar níveis de segurança Deve-se focar no usuário e na aplicação e não na tecnologia