Escolar Documentos
Profissional Documentos
Cultura Documentos
1
Objetivo da disciplina
Contedo Programtico
Unidade 1 - Princpios bsicos da segurana da
informao
1.1 Conceitos bsicos da segurana da informao
1.2 Propriedades da segurana da informao
1.3 Ciclo de vida da informao
1.4 Classificao dos tipos de ativos
2
Contedo Programtico
Unidade 2 - Vulnerabilidades, Ameaas e Ataques
2.1 Definies
2.2 Anlise e gerenciamento de riscos
2.3 Tipos de ameaas
2.4 Exemplos de ameaas
2.5 Tipos de ataques
Contedo Programtico
Unidade 3 Mecanismos de Segurana
3.1 Segurana fsica
3.2 Segurana lgica
3.3 Tipos de criptografia (simtrica e assimtrica) e suas
caractersticas
3.4 Mecanismos de assinatura digital e funes de hashing
3.5 Certificados digitais: caractersticas e objetivos
3
Contedo Programtico
Unidade 4 - Polticas de segurana e SGSI
4.1 Conceitos bsicos da poltica de segurana da informao
4.2 Objetivos e estrutura do SGSI
4.3 Objetivos das normas ABNT 27001 e 27002
Bibliografia
Livro-Texto:
ABNT NBR ISO/IEC 27001:2013 Tecnologia da informao Tcnicas de segurana Sistemas de gesto da
segurana da informao Requisitos. ABNT - Associao Brasileira de Normas Tcnicas, 2013.
ABNT NBR ISO/IEC 27002:2013 Tecnologia da informao Tcnicas de segurana Cdigo de prtica para
controles de segurana da informao. ABNT - Associao Brasileira de Normas Tcnicas, 2013
STALLINGS, W. Criptografia e segurana de redes Princpios e prticas. 4. ed. So Paulo: Pearson: Addison Wesley,
2007.
Bibliografia Complementar:
KUROSE, J. F. e ROSS, K. W. Redes de computadores e a Internet - Uma abordagem top-down. 5 ed. So Paulo:
Pearson/Addison Wesley, 2010.
NAKAMURA, E. T., GEUS, P. L. Segurana de Redes em Ambientes Cooperativos. Rio de Janeiro: Novatec, 2007.
SMULA, Marcos. Gesto da Segurana da Informao: Uma Viso Executiva. So Paulo: ST, 2013.
LAUREANO, Marcos Aurlio Pchek. Segurana da Informao. Curitiba: Lt, 2012.
Machado,Felipe Nery Rodrigues. Segurana da Informao - Princpios e Controle de Ameaas - Srie Eixos. So
Paulo: rica, 2014.
4
Referncias Adicionais
Apresentaes e materiais de Segurana da Informao, profs. Anderson Fernandes Pereira dos Santos,
Fernando Diniz Hammerli, Gustavo Neves Dias, Sergio dos Santos Cardoso
http://www.dsm.fordham.edu/~mathai/crypto.html#Cryptography
http://all.net/edu/curr/ip/Chap2-1.html
https://www.hyperelliptic.org/tanja/teaching/cryptoI13/cryptodict.pdf
http://book.itep.ru/depository/crypto/Cryptography_history.pdf
http://ethw.org/Cryptography#Modern_cryptography
Demais referncias encontram-se no rodap do respectivo slide
UNIDADE 1:
PRINCPIOS BSICOS
DA SEGURANA DA
INFORMAO
5
1.1 Conceitos bsicos
da segurana da
informao
Qual a motivao?
6
CERT e notificaes de incidentes
O CERT.br o Grupo de Resposta a Incidentes de Segurana
para a Internet brasileira, mantido pelo NIC.br, do Comit Gestor
da Internet no Brasil
responsvel por tratar incidentes de segurana em computadores
que envolvam redes conectadas Internet brasileira
http://www.cert.br/sobre/
2011
PS Network, da Sony, sofreu "invaso externa" que vazou dados
de usurios e est fora do ar h uma semana.
PC World / EUA
Publicada em 28 de abril de 2011 s 13h56
http://pcworld.com.br/games/2011/04/27/tudo-que-voce-precisa-saber-sobre-o-ataque-a-rede-do-ps3/
7
2013
Facebook alvo de ataque hacker, mas diz que dados no foram
comprometidos.
O Facebook anunciou ontem que foi alvo de uma srie de ataques realizados em
janeiro por um grupo no identificado de hackers. A rede social, no entanto, disse
que no encontrou provas de que dados de usurios tenham sido comprometidos.
O Facebook no estava sozinho nesse ataque. certo que outros foram atacados e
infiltrados recentemente tambm.
http://oglobo.globo.com/tecnologia/facebook-alvo-de-ataque-hacker-mas-diz-que-dados-nao-foram-comprometidos-7596408#ixzz2LFSRD3JD
2014
PSN e Xbox Live sofrem ataque ataque hacker e ficam
fora do ar durante o Natal
8
2016
Hackers criam carto mgico para saques ilimitados
Um carto de crdito que, ao realizar
saques em caixas automticos, retira o
dinheiro, mas mantm o balano da conta
intacto. Pode ser um sonho para qualquer
pessoa, mas se tornou um pesadelo para
o sistema bancrio.
Um grupo criminoso operando na Rssia,
apelidado como Metel, criou uma tcnica
para hackear computadores especficos
dentro das redes dos bancos que so
capazes de restaurar o saldo de contas
aps movimentaes financeiras.
http://oglobo.globo.com/economia/tecnologia/hackers-criam-cartao-magico-para-saques-ilimitados-18636461
2016
Como o governo teria grampeado terroristas no WhatsApp?
A Polcia Federal (PF) deflagrou a operao
antiterror "Hashtag" e prendeu 10 pessoas
supostamente ligadas ao Estado Islmico na
manh desta quinta-feira (21). Segundo o
ministro da Justia, Alexandre de Moraes,
as investigaes teriam envolvido a
interceptao de conversas em aplicativos
como Telegram e WhatsApp - apesar de o
WhatsApp ter sido bloqueado esta semana
por no ter condies de auxiliar as
autoridades na investigao de crimes.
http://g1.globo.com/tecnologia/blog/seguranca-digital/post/como-o-governo-teria-grampeado-terroristas-no-whatsapp.html
9
Guerra Ciberntica
Cyberwarfare
Actions by a nation-state to penetrate another nation's
computers or networks for the purposes of causing damage
or disruption.
Richard A. Clarke, Cyber War (May 2010).
10
Qual a diferena entre Seguranca de Redes e
Segurana da Informao?
SEGURANA DA INFORMAO
SEGURANA DA INFORMAO
11
Qual a diferena entre Seguranca de Redes e
Segurana da Informao?
SEGURANA FSICA
SEGURANA DE REDES
SEGURANA EM RH
SEGURANA DA INFORMAO
Segurana da Informao
Viso mais ampla, como foco
maior na garantia da segurana SEGURANA FSICA
do negcio da empresa
SEGURANA DE REDES
Segurana em Redes
Implementao dos controles de SEGURANA EM RH
segurana para garantir o nvel
de segurana adequado para o
ambiente de rede SEGURANA DA INFORMAO
12
Qual a diferena entre Seguranca de Redes e
Segurana da Informao?
Segurana da Informao
Viso mais ampla, como foco
maior na garantia da segurana
do negcio da empresa
SEGURANA DE REDES
Segurana em Redes
Implementao dos controles de
segurana para garantir o nvel
de segurana adequado para o
ambiente de rede SEGURANA DA INFORMAO
1.2 Propriedades da
segurana da
informao
13
Segurana da Informao
A segurana da informao tem Manuseio
como objetivo preservar:
Conf. Int.
CONFIDENCIALIDADE INFORMAO
INTEGRIDADE Disp.
DISPONIBILIDADE
Transporte
SEGURANA DA INFORMAO
Introduo
14
Definies e Termos
CONFIDENCIALIDADE:
Definies e Termos
INTEGRIDADE:
15
Definies e Termos
DISPONIBILIDADE:
Exerccio
16
Ameaas confidencialidade
Exemplos de problemas so:
Acesso no autorizado
Vulnerabilidades do login/senha (p.ex. partilha de
senhas)
Intercepo no autorizada da informao em trnsito
(p.ex. sniffer)
Gesto no controlada da informao
http://im.med.up.pt/seguranca/
Ameaas integridade
Exemplos de problemas so:
Erros no software
Mau funcionamento de equipamento
Erros operacionais (p.ex. na introduo de dados)
Vrus que corrompem a informao
http://im.med.up.pt/seguranca/
17
Ameaas disponibilidade
Exemplos de problemas so:
Falhas nos equipamentos ou servios de rede (p.ex. ao nvel do
hardware/software, falhas de energia, erros/bugs)
Erros no manuseio do sistema
Causas naturais (incndios, inundaes)
Recursos insuficientes para o correto funcionamento do
software
Quando ocorrem ataques propositados para impedir o
funcionamento normal do sistema (p.ex. Denial-of-Service,
Spam)
http://im.med.up.pt/seguranca/
18
Autenticidade
Autenticidade:
No repdio
No repdio (Irretratabilidade):
19
Exemplo
Em uma compra pela Internet, podemos perceber a
necessidade de todos os requisitos citados...
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
20
O valor e a descrio do produto a ser
adquirido precisam estar disponveis no
dia e na hora que o cliente quiser efetuar
a compra.
Disponibilidade!
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
21
O valor da transao no pode ser
alterado.
Integridade!
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
22
O cliente que est comprando deve ser
realmente quem diz ser.
Autenticidade!
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
23
O cliente tem como provar o pagamento e
o comerciante no tm como negar o
recebimento.
No repdio!
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
O conhecimento do contedo da
transao fica restrito aos envolvidos.
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
24
O conhecimento do contedo da
transao fica restrito aos envolvidos.
Confidencialidade!
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
Confiabilidade, Conformidade e
Controle de Acesso
Confiabilidade:
Garantir que um sistema vai se comportar segundo o esperado e projetado.
Conformidade (Legalidade):
Estar de acordo, seguindo e fazendo cumprir leis e regulamentos internos e
externos.
Controle de Acesso:
Limitar e controlar o acesso lgico/fsico aos ativos de uma organizao por
meio dos processos de identificao, autenticao e autorizao, com o
objetivo de proteger os recursos contra acessos no autorizados.
25
Resumo: Definies e Termos
Confidencialidade:
Propriedade de que a informao no esteja disponvel para pessoas, entidades ou processos no autorizados
Integridade:
Propriedade de proteger a exatido e a completeza de ativos
Disponibilidade:
Propriedade de tornar acessvel e utilizvel sob demanda, por fontes autorizadas
Autenticidade:
Propriedade de assegurar as veracidades do emissor e do receptor de informaes trocadas
No repdio (Irretratabilidade):
No Repdio (Irretratabilidade): a garantia de que o autor de uma informao no poder negar falsamente a
autoria de tal informao
Conformidade (Legalidade):
Estar de acordo, seguindo e fazendo cumprir leis e regulamentos internos e externos
Confiabilidade:
Garantir que um sistema vai se comportar segundo o esperado e projetado
Controle de Acesso:
Limitar e controlar o acesso lgico/fsico aos ativos
26
Ciclo de vida da informao
Criao Transporte
Manuseio Descarte
Criao Transporte
Manuseio Descarte
MEDIDAS DE PROTEO
27
Ciclo de vida da informao
Criao Transporte
Manuseio Descarte
MEDIDAS DE PROTEO
GARANTIR CID
28
Ativo
INFORMAO um ATIVO
Tipos de Ativos
Ativo qualquer coisa que tenha valor para a organizao
Exemplos de ativos:
Ativos de informao: Base de dados e arquivos, contratos e acordos, etc.
Ativos de software: Aplicativos, sistemas, etc.
Ativos fsicos: Equipamentos computacionais, de comunicao, etc.
Servios: Eletricidade, refrigerao, etc.
Pessoas e suas qualificaes, habilidades e experincias
Intangveis (em que no se pode tocar), tais como a reputao e a imagem
da organizao
29