26/9/2004

Segurana da Informao
Aula 02

26/9/2004 Prof. Rossoni, Farias 1

Aula 02
Seguran
Segurana da Informa
Informao :

Cultura,
Cidadania,
Desenvolvimento pessoal e social,
Competitividade,
Influncia e poder,
Imprescind
Imprescindvel para a vida em sociedade.

26/9/2004 Prof. Rossoni, Farias 2

1
 26/9/2004

Aula 02
Prote
Proteo da Informa
Informao
necess
necessria em v
vrias esferas:
Pessoal
prote
proteo da privacidade, anonimato;
Legal
prote
proteo de registros civis em geral, direitos de propriedade e
responsabiliza
responsabilizao de atos
Pol
Poltico-
tico-administrativa
prote
proteo de informa
informaes estrat
estratgicas, transparncia da
administra
administrao;
o;
Corporativa
prote
proteo de direitos e patentes, informa
informaes comerciais, entre
outras.

26/9/2004 Prof. Rossoni, Farias 3

Aula 02
A Informa
Informao e a Internet

A Internet veio amplificar a importncia da informa

informao e
suas vulnerabilidades, e potencializar extraordinariamente as
amea
ameaas sua seguran
segurana.

Informa
Informao no ss mais abundante como est
est muito mais
dispon
disponvel. ub
ubqua e de m
mltiplas fontes, remotas ou locais,
pblicas ou annimas.

Os meios de acesso informa

informao so cada vez mais
baratos, variados e poderosos. O mesmo acontece com as
ferramentas disposi mal-intencionados.
disposio dos mal-

26/9/2004 Prof. Rossoni, Farias 4

2
 26/9/2004

Aula 02
Exemplo - Com
Comrcio Eletrnico

Ataques ao software do servidor incluem roubo de

informa
informaes e altera
alteraes em dados (contas, informa
informao
pessoal, senhas) e programas.

Ataques ao software do cliente incluem modifica

modificao de
programas, acesso ao cache do navegador, entre outros.

Ataques ao sistema operacional do servidor visam o acesso

no autorizado a arquivos, instala
instalao de v
vrus, entre outros.

Ataques transa
transao de pagamento podem ocorrer em
vrios n
nveis: TCP/IP, protocolos de conexo, e protocolo de
pagamento.

26/9/2004 Prof. Rossoni, Farias 5

Aula 02
Exemplo Computa
Computao M
Mvel

Novas amea
ameaas se configuram:

Endere
Endereos de rede perdem significado. Problemas de
autentica
autenticao so o novo desafio.

Cdigo m
mvel vulner
vulnervel a ataques de servidores
maliciosos.

Servidores recebem c
cdigos nem sempre confi
confiveis e esto
sujeitos a ataques tamb
tamb m.

26/9/2004 Prof. Rossoni, Farias 6

3
 26/9/2004

Aula 02
Origem dos ataques

A maioria dos ataques vm de dentro das organiza

organizaes e
so os mais caros e dif
difceis de conter. So, obviamente, os
menos divulgados.

Ataques de hackers, crackers e outros so os mais

conhecidos e divulgados. Tendem a causar danos mais
localizados.

26/9/2004 Prof. Rossoni, Farias 7

Aula 02
Defesa

Tem car
carter:

tcnico,
cnico, na forma de protocolos, t
tcnicas e pr
prticas de
programa
programao dedicados a prover alguns dos requisitos da
seguran
segurana da informa
informao;

administrativo,
administrativo, na forma de normas e procedimentos
sistem
sistemticos para atribui
atribuio de responsabilidades, distribui
distribuio
de informa
informaes sens
sensveis e controle de acesso, entre outros;

pol
poltico,
tico, na forma de regulamentos e leis para o
embasamento das medidas de seguran
segurana necess
necessrias.

26/9/2004 Prof. Rossoni, Farias 8

4
 26/9/2004

Aula 02
Conceito B
Bsico da Informa
Informao

Informa
Informao aquilo que sintetiza a natureza de tudo o que existe ou
ocorre no mundo f
fsico.

Seguran
Segurana e seu limite,
limite, um ditado popular diz que nenhuma
corrente mais forte que seu elo mais fraco! Quando voc implementa
seguran
segurana em um ambiente de informa
informaes, o que na realidade voc
est
est procurando fazer eliminar o m
mximo poss
possvel os pontos fracos ou
garantir o m
mximo de seguran
segurana poss
possvel para os mesmos.

Valor da informa
informao,o, o bem mais valioso da empresa, est
est
diretamente relacionado com as informa
informaes contidas em sua linha de
produ
produo e servi
servios. Prevalece a forma que so armazenadas e
registradas, assim como a forma de capt
capt-las.

26/9/2004 Prof. Rossoni, Farias 9

Aula 02
Seguran
Segurana e Seu Limite

Na gesto empresarial moderna, a informa

informao tratada como ativo da
empresa. A informa
informao pode estar impressa, manuscrita, gravada em
meios magn
magnticos, ou simplesmente, ser do conhecimento dos
funcion
funcionrios. O conhecimento adquirido, desenvolvido ou aperfei
aperfeioado,
deveria ser preservado quanto a sua integridade, disponibilidade,
disponibilidade, e
confidencialidade, evitando-
evitando-se fraudes, viola
violaes, acessos, uso e
divulga
divulgao indevida. Entenda-
Entenda-se como:
integridade o ato de preservar as informa
informaes de modifica
modificaes no
autorizadas, imprevistas ou intencionais.
disponibilidade,
disponibilidade, o ato de manter as informa
informaes acess
acessveis a quem
delas necessitam de forma tempestiva;
confidencialidade,
confidencialidade, o ato de manter a informa
informao dispon
disponvel somente a
quem for autorizado.

26/9/2004 Prof. Rossoni, Farias 10

5
 26/9/2004

Aula 02
Seguran
Segurana e Seu Limite

Essas informa
informaes ou ativos, tamb
tambm deveriam ser classificadas de
acordo com o eventual impacto negativo gerado decorrente de acesso,acesso,
divulga
divulgao ou conhecimento no autorizado. Poderiam, por exemplo, ser
classificadas em confidenciais, restritas, internas e p
pblicas. Cada
classifica
classificao citada, com as suas respectivas regras de divulga
divulgao e
utiliza
utilizao.

A divulga
divulgao ou conhecimento no autorizado desses ativos podem gerar
impactos dos mais variados, dentre os quais cita-
cita-se: perda financeira,
perda de neg
negcio, perda de produtividade, perda de mercado, perda de
oportunidade, perda de credibilidade, desgaste da imagem, etc.

26/9/2004 Prof. Rossoni, Farias 11

Aula 02
Seguran
Segurana e Seu Limite

As redes de computadores proporcionam, entre outros benef

benefcios,
processos mais r
rpidos, comunica
comunicaes dinmicas, produtividade
aumentada por funcion
funcionrios remotos e m
mveis, etc. Os funcion
funcionrios
remotos e m
mveis tem-
tem-se tornado pe
pea chave para que as empresas
continuem competitivas. Como exemplo, pode-
pode-se citar o vendedor que
possa acessar os dados corporativos remotamente e fechar o negnegcio
com seu cliente com rapidez, possuindo vantagem em rela
relao a outro
que precise enviar um memorando a centralizadora do estoque, por
exemplo, para confirmar se existe disponibilidade do produto negociado.
negociado.

Seguran
Segurana de Redes um ttpico bastante divulgado na m
mdia em geral.
Apesar da constante divulga
divulgao dos problemas e perigos referentes
Seguran
Segurana das Redes de Computadores, no so todas as empresas que
possuem estrutura adequada para enfrentar as responsabilidades e
problemas do assunto.
26/9/2004 Prof. Rossoni, Farias 12

6
 26/9/2004

Aula 02
Valor da Informa
Informao

Independente do setor da economia em que a empresa atue, as

informa
informaes esto relacionadas com seus processos de produ
produo e de
neg
negcios, pol
polticas estrat
estratgicas, de marketing, cadastros de clientes, etc.
No importa o meio f fsico em que as informa
informaes residam, elas so de
valor inestim
inestimvel no s s para a empresa que as gerou como tamb
tambm
para os seus concorrentes.

Ativos
Mo-
Processos de-
obra Geram Produtos
Bens
Informaes
Capital

26/9/2004 Prof. Rossoni, Farias 13

Aula 02
Valor da Informa
Informao

Os riscos so agravados em progresso geom

geomtrica medida que
informa
informaes essenciais ao gerenciamento dos neg
negcios so centralizados
e, principalmente, com o aumento do grau de centraliza
centralizao.

importante ressaltar que muitas empresas no sobrevivem mais que

que
poucos dias a um colapso do fluxo de informa
informaes, no importando o
meio de armazenagem das informa
informaes.
Por isso importante saber aonde sero mantidos seus dados, e a
capacidade que a empresa tem de ampliar seu processo de
armazenamento com medidas que garantam sua seguran segurana efetiva a um
custo aceit
aceitvel, visto ser imposs
impossvel obter-
obter-se seguran
segurana absoluta, j
j que
a partir de determinado n nvel os custos envolvidos com a seguran
segurana
tornam-
tornam-se cada vez mais onerosos, superando os benefbenefcios obtidos.

26/9/2004 Prof. Rossoni, Farias 14

7
 26/9/2004

Aula 02
Seguran
Segurana da informa
informao Acesso L
Lgico

Ao longo da hist
histria da humanidade sempre existiu, em maior ou menor
grau, algum tipo de preocupa
preocupao com a seguran
segurana da informa
informao,
mesmo que no houvesse uma forma pr prtica e f
fcil de separar o acesso
lgico do acesso ao suporte f
fsico das informa
informaes propriamente ditas.
Como conseq
conseqncia da informatiza
informatizao, a seguran
segurana de acesso l lgico
refere-
refere-se ao acesso que indiv
indivduos tm a aplica
aplica es residentes em
ambientes informatizados, no importando o tipo de aplica
aplicao ou o
tamanho do computador. (Essa seguran
seguran a invis
vel
invis vel aos usu
usu rios,
tendo eles somente conhecimento da mesma quando so barrados pelo pelo
controle de acesso).
O controle do acesso l
lgico est
est relacionado com as atividades de
controle e auditoria normalmente existentes dentro das maiores
organiza
organizaes.

26/9/2004 Prof. Rossoni, Farias 15

Aula 02
Seguran
Segurana da informa
informao Acesso F
Fsico

O acesso f
fsico pode-
pode-se entender como um controle tang
tangvel Vis
Visvel
vel

Exemplo:

Em determinada rea da empresa somente podem entrar pessoas que

trabalham na mesma ou cuja fun
funo a obriguem a ter contato com
outras que ali trabalhem, ou de pessoas de n
nvel hier
hierrquico superior,
relacionadas de forma mais direta com as atividades executadas nana rea
sob controle.

Acesso a m
mdias como disquete, CD-
CD-ROM em seus equipamentos.

Obter listagens que contenham informa

informaes importantes, como
cadastro dos clientes mais ativos da empresa, dentre outros.

26/9/2004 Prof. Rossoni, Farias 16

8
 26/9/2004

Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos

Proprietrio Custodiante

ATIVO

Usurio Controlador

Propriedade

O conceito de propriedade deriva do direito de posse direta ou delegada

delegada sobre
os ativos de informa
informaes, exercido em nome da empresa. Em princ
princpio, a
propriedade de um ativo pertence a quem dele faz uso em fun
funo de sua
necessidade funcional, normalmente quem faz uso da informa
informao o seu
criador, ou a pessoa que recebeu autoriza
autorizao do mesmo.

26/9/2004 Prof. Rossoni, Farias 17

Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos

Proprietrio Custodiante

ATIVO

Usurio Controlador

Cust
Custdia

O conceito de cust
custdia refere-
refere-se a pessoa ou organiza
organizao respons
responsvel pela
guarda de um ativo de propriedade de terceiros. O mesmo conceito pode ser
aplicado para informa
informaes, significando pessoa ou fun
funo, dentro da empresa,
respons
responsvel pela guarda de ativos de outras pessoas ou fun
funes. Geralmente a
rea de inform
informtica custodiante dos ativos de informa
informaes das reas usu
usurias.

26/9/2004 Prof. Rossoni, Farias 18

9
 26/9/2004

Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos

Proprietrio Custodiante

ATIVO

Usurio Controlador

Usu
Usurio

O conceito de usu
usurio refere-
refere-se a pessoa ou organiza
organizao respons
responsvel pelo uso
de um ativo de sua propriedade de terceiros. Faz utiliza
utilizao das informa
informaes em
benef
benefcio de suas fun
funes e atividades.

26/9/2004 Prof. Rossoni, Farias 19

Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos

Proprietrio Custodiante

ATIVO

Usurio Controlador

Controlador

O conceito de controlador est

est relacionado diretamente ao que controla o
acesso a um determinando ativo. A sua fun
funo garantir que o acesso seja feito
somente dentro dos limites estabelecidos.

26/9/2004 Prof. Rossoni, Farias 20

10
 26/9/2004

Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos

Agentes envolvidos na seguran

segurana
Rela
Relao com o Ativo Propriet
Proprietrio Custodiante Usu
Usurio Controlador

Posse de Direito Sim No No No

Posse de Fato Sim Sim No No

Guarda Sim Sim No No

Direito de Acesso Sim Sim Sim No

Controle de Uso Sim No No Sim

Dar Acesso Sim No No Sim

26/9/2004 Prof. Rossoni, Farias 21

Aula 02
Seguran
Segurana da informa
informao Controle de Acesso
O controle de acesso est relacionado diretamente ao acesso
concedido. A funo deste controle garantir que o acesso seja feito
somente dentro dos limites estabelecidos. Este controle exercido por
meio destes mecanismos:
Senhas (mtodo mais antigo usado para impedir acesso no autorizado).
Chaves de acesso ou identificaes (recebe uma chave nica, permite
que seja associada a cada recurso que o seu possuidor tenha o direito de acessar,
possibilitando assim a responsabilizao individual de cada usurio).
Lista de acesso (tabela com o tipo e nome do recurso).
Operaes (leitura, gravao, excluso, etc.).
Privilgios (relacionado com as funes exercidas).
Ferramentas de segurana (ferramental usado para controlar o acesso de
usurios ao acervos de informaes).
Categoria (mecanismo de classificar os usurios, propiciando a segregao dos
mesmos a partes do ambiente).
Nvel hierrquico (segrega usurios com categorias semelhantes).

26/9/2004 Prof. Rossoni, Farias 22

11
 26/9/2004

Concluses
Descobrir o melhor meio de armazenamento e
recuperao das informaes, prevalecendo a
mxima segurana em seus processos.

Entender como as informaes geradas pelos

processos internos e externos podem ajudar a
alavancar a competitividade da empresa.

Absoluto controle de acessos lgicos e fsicos.

26/9/2004 Prof. Rossoni, Farias 23

12