Segurana da Informao

Semestre letivo: 2016.2

Professor: Fabio Henrique Silva
Ementa: Introduo segurana da informao; Conceitos da
segurana; Ameaas a segurana; Anlise e gerenciamento de
risco; Mecanismos de segurana; Polticas de segurana e
Sistema de Gesto da Segurana da Informao

1
 Objetivo da disciplina

O objetivo dessa disciplina :

Conhecer os princpios da segurana da informao, atravs dos

conceitos relacionados anlise e gerenciamento de risco,
gesto da segurana da informao, polticas de segurana,
com base nas normas vigentes e nas principais tecnologias
existentes na rea.

Contedo Programtico
Unidade 1 - Princpios bsicos da segurana da
informao
1.1 Conceitos bsicos da segurana da informao
1.2 Propriedades da segurana da informao
1.3 Ciclo de vida da informao
1.4 Classificao dos tipos de ativos

2
 Contedo Programtico
Unidade 2 - Vulnerabilidades, Ameaas e Ataques
2.1 Definies
2.2 Anlise e gerenciamento de riscos
2.3 Tipos de ameaas
2.4 Exemplos de ameaas
2.5 Tipos de ataques

Contedo Programtico
Unidade 3 Mecanismos de Segurana
3.1 Segurana fsica
3.2 Segurana lgica
3.3 Tipos de criptografia (simtrica e assimtrica) e suas
caractersticas
3.4 Mecanismos de assinatura digital e funes de hashing
3.5 Certificados digitais: caractersticas e objetivos

3
 Contedo Programtico
Unidade 4 - Polticas de segurana e SGSI
4.1 Conceitos bsicos da poltica de segurana da informao
4.2 Objetivos e estrutura do SGSI
4.3 Objetivos das normas ABNT 27001 e 27002

Bibliografia
Livro-Texto:
ABNT NBR ISO/IEC 27001:2013 Tecnologia da informao Tcnicas de segurana Sistemas de gesto da
segurana da informao Requisitos. ABNT - Associao Brasileira de Normas Tcnicas, 2013.
ABNT NBR ISO/IEC 27002:2013 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para
controles de segurana da informao. ABNT - Associao Brasileira de Normas Tcnicas, 2013
STALLINGS, W. Criptografia e segurana de redes Princpios e prticas. 4. ed. So Paulo: Pearson: Addison Wesley,
2007.

Bibliografia Complementar:
KUROSE, J. F. e ROSS, K. W. Redes de computadores e a Internet - Uma abordagem top-down. 5 ed. So Paulo:
Pearson/Addison Wesley, 2010.
NAKAMURA, E. T., GEUS, P. L. Segurana de Redes em Ambientes Cooperativos. Rio de Janeiro: Novatec, 2007.
SMULA, Marcos. Gesto da Segurana da Informao: Uma Viso Executiva. So Paulo: ST, 2013.
LAUREANO, Marcos Aurlio Pchek. Segurana da Informao. Curitiba: Lt, 2012.
Machado,Felipe Nery Rodrigues. Segurana da Informao - Princpios e Controle de Ameaas - Srie Eixos. So
Paulo: rica, 2014.

4
 Referncias Adicionais
Apresentaes e materiais de Segurana da Informao, profs. Anderson Fernandes Pereira dos Santos,
Fernando Diniz Hammerli, Gustavo Neves Dias, Sergio dos Santos Cardoso
http://www.dsm.fordham.edu/~mathai/crypto.html#Cryptography
http://all.net/edu/curr/ip/Chap2-1.html
https://www.hyperelliptic.org/tanja/teaching/cryptoI13/cryptodict.pdf
http://book.itep.ru/depository/crypto/Cryptography_history.pdf
http://ethw.org/Cryptography#Modern_cryptography
Demais referncias encontram-se no rodap do respectivo slide

UNIDADE 1:
PRINCPIOS BSICOS
DA SEGURANA DA
INFORMAO

5
 1.1 Conceitos bsicos
da segurana da
informao

Qual a motivao?

http://www.cert.br, acessado em 25/07/2016

6
 CERT e notificaes de incidentes
O CERT.br o Grupo de Resposta a Incidentes de Segurana
para a Internet brasileira, mantido pelo NIC.br, do Comit Gestor
da Internet no Brasil
responsvel por tratar incidentes de segurana em computadores
que envolvam redes conectadas Internet brasileira

O CERT.br mantm estatsticas sobre notificaes de incidentes a

ele reportados
Estas notificaes so voluntrias e refletem os incidentes ocorridos
em redes que espontaneamente os notificaram ao CERT.br

http://www.cert.br/sobre/

2011
PS Network, da Sony, sofreu "invaso externa" que vazou dados
de usurios e est fora do ar h uma semana.

PC World / EUA
Publicada em 28 de abril de 2011 s 13h56

Aps um silncio que pareceu quase interminvel, a Sony se pronunciou

oficialmente ontem, 26/4, sobre o ataque e conseqente fechamento de sua rede
PlayStation Network (PSN). E as notcias no foram nada boas, j que a empresa
afirmou que foram expostos dados pessoais dos mais de 70 milhes de
usurios da PSN.

Na ltima semana, a fabricante fechou o servio aos usurios de seu console

PlayStation 3 aps detectar uma invaso externa em seus servidores. Para piorar a
situao, a companhia se nega a discutir exatamente o que est acontecendo e a
razo pela qual est demorando tanto para o servio voltar a operar. Vale lembrar
que a empresa disse originalmente que a PSN estaria de volta em um ou dois dias
a situao j dura uma semana e a nova previso cerca de mais uma semana a
partir de ontem.

http://pcworld.com.br/games/2011/04/27/tudo-que-voce-precisa-saber-sobre-o-ataque-a-rede-do-ps3/

7
 2013
Facebook alvo de ataque hacker, mas diz que dados no foram
comprometidos.

O Facebook anunciou ontem que foi alvo de uma srie de ataques realizados em
janeiro por um grupo no identificado de hackers. A rede social, no entanto, disse
que no encontrou provas de que dados de usurios tenham sido comprometidos.

O ataque ocorreu quando alguns funcionrios visitaram um site de desenvolvedores

de tecnologias mveis que estava comprometido.

O Facebook no estava sozinho nesse ataque. certo que outros foram atacados e
infiltrados recentemente tambm.

http://oglobo.globo.com/tecnologia/facebook-alvo-de-ataque-hacker-mas-diz-que-dados-nao-foram-comprometidos-7596408#ixzz2LFSRD3JD

2014
PSN e Xbox Live sofrem ataque ataque hacker e ficam
fora do ar durante o Natal

As plataformas de jogos on-line Playstation Network (PSN),

da Sony, e Xbox Live, da Microsoft, sofreram um ataque
hacker que as deixou fora do ar nessa quinta-feira (25).

O grupo hacker "Lizard Squad", que esteve por trs de outro

ataque PSN no comeo do ms, reivindicou os ataques
contra as duas empresas.
http://www1.folha.uol.com.br/tec/2014/12/1567357-psn-e-xbox-live-sofrem-ataque-hacker-e-ficam-fora-do-ar-durante-o-natal.shtml

8
 2016
Hackers criam carto mgico para saques ilimitados
Um carto de crdito que, ao realizar
saques em caixas automticos, retira o
dinheiro, mas mantm o balano da conta
intacto. Pode ser um sonho para qualquer
pessoa, mas se tornou um pesadelo para
o sistema bancrio.
Um grupo criminoso operando na Rssia,
apelidado como Metel, criou uma tcnica
para hackear computadores especficos
dentro das redes dos bancos que so
capazes de restaurar o saldo de contas
aps movimentaes financeiras.
http://oglobo.globo.com/economia/tecnologia/hackers-criam-cartao-magico-para-saques-ilimitados-18636461

2016
Como o governo teria grampeado terroristas no WhatsApp?
A Polcia Federal (PF) deflagrou a operao
antiterror "Hashtag" e prendeu 10 pessoas
supostamente ligadas ao Estado Islmico na
manh desta quinta-feira (21). Segundo o
ministro da Justia, Alexandre de Moraes,
as investigaes teriam envolvido a
interceptao de conversas em aplicativos
como Telegram e WhatsApp - apesar de o
WhatsApp ter sido bloqueado esta semana
por no ter condies de auxiliar as
autoridades na investigao de crimes.

http://g1.globo.com/tecnologia/blog/seguranca-digital/post/como-o-governo-teria-grampeado-terroristas-no-whatsapp.html

9
 Guerra Ciberntica
Cyberwarfare
Actions by a nation-state to penetrate another nation's
computers or networks for the purposes of causing damage
or disruption.
Richard A. Clarke, Cyber War (May 2010).

Aes de uma nao-estado para penetrar em redes ou

computadores de outras naes com o objetivo de causar
danos ou interrupes.

Alguns Ataques Cibernticos

EUA x Iraque (2003)

Sria x Israel (2007)
Estnia x Rssia (2007)
Gergia x Rssia (2008)
EUA x Coreia do Norte (2009)
Empresas x China (2010)
Outros

10
Qual a diferena entre Seguranca de Redes e
Segurana da Informao?

SEGURANA DA INFORMAO

Qual a diferena entre Seguranca de Redes e

Segurana da Informao?

SEGURANA DA INFORMAO

11
Qual a diferena entre Seguranca de Redes e
Segurana da Informao?

SEGURANA FSICA

SEGURANA DE REDES

SEGURANA EM RH

SEGURANA DA INFORMAO

Qual a diferena entre Seguranca de Redes e

Segurana da Informao?

Segurana da Informao
Viso mais ampla, como foco
maior na garantia da segurana SEGURANA FSICA
do negcio da empresa
SEGURANA DE REDES

Segurana em Redes
Implementao dos controles de SEGURANA EM RH
segurana para garantir o nvel
de segurana adequado para o
ambiente de rede SEGURANA DA INFORMAO

12
Qual a diferena entre Seguranca de Redes e
Segurana da Informao?

Segurana da Informao
Viso mais ampla, como foco
maior na garantia da segurana
do negcio da empresa
SEGURANA DE REDES

Segurana em Redes
Implementao dos controles de
segurana para garantir o nvel
de segurana adequado para o
ambiente de rede SEGURANA DA INFORMAO

1.2 Propriedades da
segurana da
informao

13
 Segurana da Informao
A segurana da informao tem Manuseio
como objetivo preservar:
Conf. Int.
CONFIDENCIALIDADE INFORMAO

INTEGRIDADE Disp.

DISPONIBILIDADE
Transporte

SEGURANA DA INFORMAO

CONFIDENCIALIDADE INTEGRIDADE DISPONIBILIDADE

Introduo

O sistema de gesto da segurana da informao

preserva a confidencialidade, integridade e
disponibilidade da informao por meio da aplicao de
um processo de gesto de riscos e fornece confiana
para as partes interessadas de que os riscos so
adequadamente gerenciados.

ABNT NBR ISO/IEC 27001:2013

14
 Definies e Termos

CONFIDENCIALIDADE:

Propriedade de que a informao no

esteja disponvel para pessoas, entidades
ou processos no autorizados.
Uso de criptografia e senhas so exemplos de
recursos que visam confidencialidade. Em geral so
recursos que escondem ou encobrem os usurios.

Definies e Termos

INTEGRIDADE:

Propriedade de proteger a exatido e a

completeza de ativos.
Recursos que permitem que se saiba se a
informao foi, ou no, alterada, como o Hash, so
necessrios para que se oferea essa garantia.

15
 Definies e Termos

DISPONIBILIDADE:

Propriedade de tornar acessvel e utilizvel

sob demanda, por fontes autorizadas.
Recursos como geradores de energia,
computadores de reserva so importantes para
esse objetivo.

Exerccio

Cite exemplos de ameaas Confidencialidade,

Integridade e Disponibilidade.

16
 Ameaas confidencialidade
Exemplos de problemas so:
Acesso no autorizado
Vulnerabilidades do login/senha (p.ex. partilha de
senhas)
Intercepo no autorizada da informao em trnsito
(p.ex. sniffer)
Gesto no controlada da informao

http://im.med.up.pt/seguranca/

Ameaas integridade
Exemplos de problemas so:
Erros no software
Mau funcionamento de equipamento
Erros operacionais (p.ex. na introduo de dados)
Vrus que corrompem a informao

http://im.med.up.pt/seguranca/

17
 Ameaas disponibilidade
Exemplos de problemas so:
Falhas nos equipamentos ou servios de rede (p.ex. ao nvel do
hardware/software, falhas de energia, erros/bugs)
Erros no manuseio do sistema
Causas naturais (incndios, inundaes)
Recursos insuficientes para o correto funcionamento do
software
Quando ocorrem ataques propositados para impedir o
funcionamento normal do sistema (p.ex. Denial-of-Service,
Spam)
http://im.med.up.pt/seguranca/

Pilares da Segurana da Informao

A literatura pode fazer referncia aos pilares (ou

categorias de servios, ou princpios bsicos) da
segurana da informao

Alm da trade CID, ainda existem: Autenticidade, No

repdio (Irretratabilidade), Confiabilidade,
Conformidade (Legalidade), Controle de Acesso

18
 Autenticidade

Autenticidade:

Propriedade de assegurar as veracidades do emissor e

do receptor de informaes trocadas.

Recursos como senhas, biometria, assinatura digital e certificao

digital so usados para esse fim.

No repdio

No repdio (Irretratabilidade):

Garantia de que o autor de uma informao no poder

negar falsamente a autoria de tal informao.

Autenticidade e Integridade juntas garantem o No-Repdio;

Condio necessria validade jurdica das informaes digitais.
Recursos como o uso de criptografia so usados para esse fim.

19
 Exemplo
Em uma compra pela Internet, podemos perceber a
necessidade de todos os requisitos citados...

O valor e a descrio do produto a ser

adquirido precisam estar disponveis no
dia e na hora que o cliente quiser efetuar
a compra.

Isso diz respeito /ao...

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

20
 O valor e a descrio do produto a ser
adquirido precisam estar disponveis no
dia e na hora que o cliente quiser efetuar
a compra.

Isso diz respeito /ao...

Disponibilidade!

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

O valor da transao no pode ser

alterado.

Isso diz respeito /ao...

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

21
 O valor da transao no pode ser
alterado.

Isso diz respeito /ao...

Integridade!

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

O cliente que est comprando deve ser

realmente quem diz ser.

Isso diz respeito /ao...

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

22
 O cliente que est comprando deve ser
realmente quem diz ser.

Isso diz respeito /ao...

Autenticidade!

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

O cliente tem como provar o pagamento e

o comerciante no tm como negar o
recebimento.

Isso diz respeito /ao...

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

23
 O cliente tem como provar o pagamento e
o comerciante no tm como negar o
recebimento.

Isso diz respeito /ao...

No repdio!

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

O conhecimento do contedo da
transao fica restrito aos envolvidos.

Isso diz respeito /ao...

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

24
 O conhecimento do contedo da
transao fica restrito aos envolvidos.

Isso diz respeito /ao...

Confidencialidade!

http://www.training.com.br/lpmaia/pub_seg_cripto.htm

Confiabilidade, Conformidade e
Controle de Acesso
Confiabilidade:
Garantir que um sistema vai se comportar segundo o esperado e projetado.

Conformidade (Legalidade):
Estar de acordo, seguindo e fazendo cumprir leis e regulamentos internos e
externos.

Controle de Acesso:
Limitar e controlar o acesso lgico/fsico aos ativos de uma organizao por
meio dos processos de identificao, autenticao e autorizao, com o
objetivo de proteger os recursos contra acessos no autorizados.

25
 Resumo: Definies e Termos
Confidencialidade:
Propriedade de que a informao no esteja disponvel para pessoas, entidades ou processos no autorizados
Integridade:
Propriedade de proteger a exatido e a completeza de ativos
Disponibilidade:
Propriedade de tornar acessvel e utilizvel sob demanda, por fontes autorizadas
Autenticidade:
Propriedade de assegurar as veracidades do emissor e do receptor de informaes trocadas
No repdio (Irretratabilidade):
No Repdio (Irretratabilidade): a garantia de que o autor de uma informao no poder negar falsamente a
autoria de tal informao
Conformidade (Legalidade):
Estar de acordo, seguindo e fazendo cumprir leis e regulamentos internos e externos
Confiabilidade:
Garantir que um sistema vai se comportar segundo o esperado e projetado
Controle de Acesso:
Limitar e controlar o acesso lgico/fsico aos ativos

1.3 Ciclo de vida da

informao

26
Ciclo de vida da informao

Criao Transporte

Manuseio Descarte

Ciclo de vida da informao

Criao Transporte

Manuseio Descarte

MEDIDAS DE PROTEO

27
Ciclo de vida da informao

Criao Transporte

Manuseio Descarte

MEDIDAS DE PROTEO

GARANTIR CID

1.4 Classificao dos

tipos de ativos

28
 Ativo

INFORMAO um ATIVO

Segurana da Informao protege a Informao de um grande

nmero de ameaas, de forma a garantir a continuidade do
negcio, minimizar os danos e maximizar o retorno do
investimento e as oportunidades de negcio.

Tipos de Ativos
Ativo qualquer coisa que tenha valor para a organizao

Exemplos de ativos:
Ativos de informao: Base de dados e arquivos, contratos e acordos, etc.
Ativos de software: Aplicativos, sistemas, etc.
Ativos fsicos: Equipamentos computacionais, de comunicao, etc.
Servios: Eletricidade, refrigerao, etc.
Pessoas e suas qualificaes, habilidades e experincias
Intangveis (em que no se pode tocar), tais como a reputao e a imagem
da organizao

29