Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança de Redes
Prof. Frank
frankdcfarias@gmail.com
Introdução à Segurança da Informação
Tópicos:
segurança/usabilidade
Introdução à Segurança da Informação
- Políticas;
- Processos;
- Procedimentos;
- Estruturas organizacionais;
- Softwares e hardware
- Confidencialidade
- AUTENTICIDADE
- Integridade
- LEGALIDADE
- Disponibilidade
-Outros aspectos:
- Autenticidade
- Legalidade
Pilares da Segurança da Informação:
- Confidencialidade:
- Refere-se à garantia de que apenas as pessoas as quais
devam ter conhecimento legitimamente sobre um assunto terão
acesso ao mesmo.
- Integridade:
- Refere-se à proteção da informação contra alterações em
seu estado original, sejam elas intencionais ou acidentais.
- Disponibilidade:
- Refere-se a garantia de que a informação só possa ser
acessada por aqueles que dela necessitam e no momento em que
precisam.
Pilares da Segurança da Informação:
- Outros aspectos:
- Autenticidade:
Garantia de que as entidades (informações, máquinas,
usuários) identificadas em um processo de comunicação como
remetentes ou autores sejam exatamente o que dizem ser e que a
mensagem ou informação não tenha sido alterada após o seu envio
ou validação.
Pilares da Segurança da Informação:
-Outros aspectos:
- Legalidade:
É a legalidade das informações dentro de um processo de
comunicação, em que todos os ativos seguem um acordo ou
legislação.
Exercícios:
1) Descreva sucintamente os três pilares da
Segurança da Informação e cite exemplos de sua
aplicação.
- Ativo;
- Informação;
- Ciclo de vida da informação:
- Produção;
- Armazenamento;
- Transporte;
- Descarte.
Condições que afetam a informação:
- Ameaças;
- Vulnerabilidades;
- Incidentes de Segurança;
- Riscos;
- Impacto;
- Controles.
Condições que afetam a informação:
Ameaças:
Incêndios
Inundações Tempestades
eletromagnéticas
Ameaças Humanas
Hackers “Usuários”
Engenharia
Ladrão
Social
Ameaças Tecnológicas
Fraudes
Malwares
SPAM
Condições que afetam a informação:
Vulnerabilidades:
•
São fragilidades existentes ou associadas a ativos que
processam informações e que se explorados podem comprometer a
segurança da informação.
Vulnerabilidades Físicas
Superaquecimento
Proteção
Vazamentos inadequada
Vulnerabilidades Humanas
Falhas humanas
Desconhecimento
Inexperiência
técnico
Vulnerabilidades Tecnológicas
Falhas tecnológicas
Cabeamento não
estruturado Sistema
desatualizado
Condições que afetam a informação:
Incidentes de Segurança:
Fonte: www.rnp.br/cais
Condições que afetam a informação:
Riscos:
Riscos:
Condições que afetam a informação:
Impacto:
Abrangência dos danos causados
por um incidente de segurança sobre um
ou mais processos de negócio.
Condições que afetam a informação:
Controles:
- Privilégio Mínimo;
- Defesa em Profundidade;
- Elo mais Fraco;
- Ponto de Estrangulamento;
- Segurança pela Obscuridade;
- Simplicidade.
Estratégias de Segurança:
- Estratégias de proteção:
Privilégio Mínimo:
- Refere-se a uma não exposição de risco desnecessária;
- Estratégias de proteção:
Defesa em Profundidade:
- Estratégias de proteção:
- Estratégias de proteção:
- Ponto de Estrangulamento:
- Estratégias de proteção:
- Estratégias de proteção:
Simplicidade:
• O que proteger?
- Hackers;
- Espiões;
- Ladrões;
- Ex-funcionários;
- Terroristas.
Segurança de Redes:
Motivações:
- Diversão;
- Espionagem industrial;
- Vingança;
- Vaidade;
- Dinheiro.
Segurança de Redes:
- Planos de ataque:
Um agente competente desenvolve um plano de ação:
- Estudo do alvo;
- Ferramentas de escuta;
Engenharia:
Social:
- Ingenuidade/despreparo;
- Confiança;
- Medo;
- Ambição;
- Vaidade;
- Ira.
Engenharia Social:
- Técnicas:
- Falsidade ideológica/estelionato;
- Disfarces;
- Uso de autoridade;
- Contra medidas:
Diretrizes:
Expressa a importância que a Organização dá a
informação. Ex: necessidade de salvaguarda de determinada
informação.
Política de Segurança:
Normas:
Detalham ambientes, situações e processos específicos. Ex:
normas para uso da Internet.
Procedimentos e instruções:
Detalham os passos necessários a realização de uma
determinada atividade. Ex: passos necessários para proceder o
descarte de mídia magnética.
Classificação da Informação:
- Processo de identificar e definir níveis e critérios adequados de
proteção.
- Valor;
- Sensibilidade/criticidade;
- Requisitos legais;
- No âmbito privado:
- Depende da natureza da organização e dos objetivos
estratégicos da organização.
Classificação da Informação:
Exercícios:
Tópico:
- Introdução ao Gerenciamento da S.I;
- SGSI;
- Normas de segurança;
- Exercícios.
Introdução ao Gerenciamento da S.I:
- Objetiva manter os ativos da informação em nível de risco
controlado, utilizando-se para isso:
- Políticas;
- Processos;
- Procedimentos;
- Estrutura organizacional;
- Mecanismos de proteção.
Implantação da S.I:
- A implantação da segurança requer:
- Estabelecer;
- Implementar;
- Operar;
- Monitorar;
- Analisar criticamente;
- Manter;
- Melhorar continuamente um SGSI.
Normas de Segurança:
- Tem o propósito de definir:
- Regras;
- Padrões;
- Instrumentos de controle.
- Objetivam uniformizar:
- Processos;
- Produtos;
- Serviços.
Destacam-se:
- No fórum internacional:
- ISO (International Organization for Standardization);
- IEC (International Electrotechnical Commission).
- No fórum nacional:
- Estabelecer;
- Implantar;
- Operar;
- Monitorar;
- Reavaliar;
- Manter;
- Melhorar continuamento
de um SGSI.
ABNT NBR-ISO/IEC 27001:2006:
- Modelo flexível:
- Aplicável a qualquer organização;
- Não faz distinção sobre o tipo, natureza ou tamanho da
organização;
- Requisitos são genéricos;
- Permite projetar um SGSI personalizado:
- Definição de necessidades próprias;
- Seleção de controles adequados;
- Proteção ao ativos da informação;
- Permite que a organização obtenha certificação de
conformidade com a norma.
ABNT NBR-ISO/IEC 27001:2006:
- Plain (Planejamento);
- Do (Fazer/executar);
- Check (Checar/Monitorar);
- Act (Agir).
ABNT NBR-ISO/IEC 27001:2006:
- Modelo PDCA (Plain-Do-Check-Act):
ABNT NBR-ISO/IEC 27001:2006:
- Fase de estabelecimento do SGSI:
Tópico:
Ataques e invasões:
- Escutas Telemáticas (sniffers), CF/1988 art. 5° + Lei
9.296/96.
Crimes ambientais:
- Ordenamento Urbano, Patrimônio Histórico, Artístico e
Cultural, Lei n° 9605/1998
Crimes Envolvendo Segurança e Computação:
Pornografia Infantil:
- Publicar ou fotografar, Lei n° 8069/1990 (Estatuto da Criança e
do Adolescente - ECA);
- Apresentar, produzir, vender, fornecer, divulgar ou publicar
fotografias ou imagens com pornografia, Lei n° 10.764/2003 e Lei Nº
11.829/2008.
Questões cíveis:
- Contratos feitos pela Internet;
- Danos morais e materiais.
Legislação Concernente ao Tratamento e Proteção da
Informação:
Constituição Federal de 1988
Art. 5º. Todos são iguais perante a lei (…)
X - são invioláveis a intimidade, a vida privada, a honra e a
imagem das pessoas (…)
XII - é inviolável o sigilo da correspondência e das
comunicações telegráficas, de dados e das comunicações
telefônicas (…).
.
Legislação Concernente ao Tratamento e Proteção da
Informação:
- Lei nº 8.159, de 8 de janeiro de 1991 (regulamentada pelo
Decreto 4.073/2002). Dispõe sobre a Política Nacional de Arquivos
Públicos e Privados e dá outras providências.
- Decreto nº 4.553, de 27 de dezembro de 2002. Dispõe sobre
a salvaguarda de dados, informações, documentos e materiais
sigilosos de interesse da segurança da sociedade e do Estado, no
âmbito da Administração Pública Federal, e dá outras
providências.
- Medida Provisória nr. 2.200, de 24 de agosto de 2.001. Institui
a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil,
transforma o Instituto Nacional de Tecnologia da Informação em
autarquia, e dá outras providências.
Legislação Concernente ao Tratamento e Proteção da
Informação:
- Decreto nº 3.996 de 31 de outubro de 2.001. Dispõe sobre a
prestação de serviços de certificação digital no âmbito da
Administração Pública Federal.
Legislação Concernente ao Tratamento e Proteção da
Informação:
Exercícios:
1) Como você definiria crime cibernético?