Você está na página 1de 39

Segurança da Informação

Aula 1
Profa Adriane Loper
Engenheira da Computação
Mestre em Educação
O que é segurança ?
A segurança não é uma tecnologia;
A segurança são processos:
Com um projeto bem planejado;
Com testes exaustivos;
Avaliações de resultados;
A segurança é composta por:
Pessoas;
Máquinas;
Softwares;
Metodologia.
Como podemos definir segurança?
“Um processo contínuo de avaliação,
verificação, correção, ação, projeto,
automatização de um ou mais componentes, de
uma determinada estrutura cujo valor pode ser
mensurado”.
Bem precioso: Informação
Informação é muito mais do que um conjunto
de dados. Transformar estes dados em
informação é transformar algo com pouco
significado em um recurso de valor para
nossa vida pessoal ou profissional.
(FONTES, 2005.)
O que é segurança da informação?
A informação é um ativo que, como qualquer
outro ativo importante para os negócios, tem
um valor para a organização e
conseqüentemente precisa ser protegida. É a
proteção da informação de vários tipos de
ameaças para garantir a continuidade do
negócio, minimizar o risco e maximizar o retorno
sobre investimentos e oportunidades.
ABNT NBR ISO/IEC 17799:2005
Disciplina: Segurança da informação
É uma disciplina complexa e pode abranger várias
situações, tais como:
Erros,
Acesso indevido,
Furto,
Fraude,
Sabotagem e Causas Naturais
A Segurança da Informação pode ser
estudada visando-se:
Segurança em Redes: Criptografia,
Autenticação, Protocolos, Plataformas.
Segurança de Sistemas (Firewall, Vírus,
Cavalos de Tróia , Vermes....)
Segurança da informação
SEGURANÇA = CULTURA + TECNOLOGIA

Processos + Componentes Problemas Técnicos


Humanos (variáveis previsíveis)
(variáveis imprevisíveis)
(impedem uma total automação da
segurança)

Tecnologia

Pessoas Processos
Video

Segurança da Informação - Parte 01

Fonte: https://youtu.be/RFU-wPslHwI
Pilares da segurança da informação
Segurança da informação
Pilares da SI
Confidencialidade:
A informação somente pode ser acessada por
pessoas explicitamente autorizadas;
É a proteção de sistemas de informação para
impedir que pessoas não autorizadas tenham
acesso ao mesmo.
O aspecto mais importante deste item é garantir a
identificação e autenticação das partes envolvidas.
Propriedade que limita o acesso a informação tão
somente às entidades legítimas, ou seja, àquelas
autorizadas pelo proprietário da informação.
Baseada em criptografia.
Pilares da SI
Integridade:
A informação deve ser retornada em sua forma original
no momento em que foi armazenada;
É a proteção dos dados ou informações contra
modificações intencionais ou acidentais não-
autorizadas.
Propriedade que garante que a informação manipulada
mantenha todas as características originais
estabelecidas pelo proprietário da informação,
incluindo controle de mudanças e garantia do seu ciclo
de vida: nascimento, manutenção e destruição.
Baseada em criptografia.
Pilares da SI
Disponibilidade:
A informação ou sistema de computador deve estar
disponível no momento em que a mesma for
necessária;
Propriedade que garante que a informação esteja
sempre disponível para o uso legítimo,
ou seja, por aqueles usuários autorizados pelo
proprietário da informação.
Pilares da SI
Autenticidade :
Garante que a informação ou o usuário da mesma é
autêntico;
Atesta com exatidão a origem do dado ou informação;
Não repúdio
Não é possível negar (no sentido de dizer que não foi
feito) uma operação ou serviço que modificou ou criou
uma informação; Não é possível negar o envio ou
recepção de uma informação ou dado;
Legalidade
Garante a legalidade (jurídica) da informação;
Aderência de um sistema à legislação;
Pilares da SI
Privacidade
Foge do aspecto de confidencialidade, pois uma
informação pode ser considerada confidencial, mas
não privada.
Uma informação privada deve ser vista / lida
/alterada somente pelo seu dono.
Garante ainda, que a informação não será
disponibilizada para outras pessoas (neste é caso é
atribuído o caráter de confidencialidade a
informação);
É a capacidade de um usuário realizar ações em um
sistema sem que seja identificado.
Pilares da SI
Auditoria
Rastreabilidade dos diversos passos que um
negócio ou processo realizou ou que uma
informação foi submetida, identificando os
participantes, os locais e horários de cada etapa.
Auditoria em software significa uma parte da
aplicação, ou conjunto de funções do sistema, que
viabiliza uma auditoria;
Consiste no exame do histórico dos eventos dentro
de um sistema para determinar quando e onde
ocorreu uma violação de segurança.
Engenharia social
Definições
Apesar do nome, a Engenharia Social nada
tem a ver com ciências exatas ou sociologia.
Na verdade, trata-se de uma das mais
antigas técnicas de roubo de informações
importantes de pessoas descuidadas, através
de uma boa conversa (Virinfo,2002).
Consiste na habilidade de obter informações
ou acesso indevido a determinado ambiente
ou sistema, utilizando técnicas de persuasão
(Vargas,2002).
Engenharia social
1) O QUE É...
Convencer
Arte de Confundir
Conseguir informações
2) MÉTODOS...
Se passer por outra pessoa
Arte de Se fazer de amigo
Conversar com um desconhecido
e descobrir tudo sobre ele
Engenharia social
3) HABILIDADES…

Educado,
Ser
ágil.
O alvo,
Estudar
Um plano bem elaborado.
Contatos,
Ter
networking
Video

Engenharia Social

Fonte: http://youtu.be/My-SizcEJok
Intrusos
Intrusos
Atividade

Identifiquem no vídeo o que conseguimos


identificar com a nossa aula.
Video

Video para atividade

Fonte: http://youtu.be/ROOK2BBIwpA
Crimes virtuais - vilões
Conheça cinco tipos de vilões do crime virtual
Fonte:http://info.abril.com.br/noticias/seguranca/
conheca-os-cinco-viloes-do-crime-virtual-
11012012-27.shl
1. Jovens de scripts
Esses são, muitas vezes, adolescentes que passam a
madrugada experimentando com códigos e
programas de terceiros - mas não são especialistas.
Eles costumam ser motivados pela fama no mundo da
tecnologia, pelo direito de poder se gabar com os
amigos. O jovem do script, portanto, invade seu
computador como prova de que tem habilidade para
isso ou pelo simples prazer de fazer algo errado.
Os ataques são coisas incômodas, como, por exemplo,
invadir contas de famosos no Twitter, mas pode ser o
início de uma carreira criminosa.
2. Hackativistas
Os hackativistas são os que invadem a sua rede para
disseminar causas sociais, políticas, religiosas ou
ambientais. Eles são manifestantes que trocaram as
placas de papelão que carregavam nas ruas pela tela do
seu dispositivo.
Muitas vezes, não há ganhos financeiros, mas alguns
grupos conseguem movimentar grande quantia de
dinheiro com suas ações.
Os grupos praticam hackerativismo para divulgar suas
causas ou criar constrangimento para empresas e
personalidades (ou ações criminosas) que criticam. Eles
podem desde fechar sites de pornografia infantil até
atacar sites governamentais, como os dos Estados Unidos.
3. eMugger
Trata-se do maior grupo de hackers. Eles usam
malware, adware ou spam para conseguir ganho
financeiro imediato. São aqueles que usam programas
falsos de antivírus ou prometem mostrar fotos de
celebridades nuas, tudo para conseguir acesso ao seu
computador e suas senhas e dados de cartão de
crédito.
Eles podem também ganhar dinheiro fazendo
propagandas ilegais - os famosos spam. Geralmente
são custeados por uma empresa legítima que busca
novos clientes.
4. Ninja
Esses são profissionais do cibercrime. Por dinheiro,
realizam ataques e espionagens corporativas e
costumam trabalhar com equipamentos de última
geração.
No final de 2009 houve um ataque de Ameaças
Persistentes Avançadas (APT), apelidado de Operação
Aurora e direcionado a grandes empresas de
tecnologia dos EUA, incluindo Google e Adobe.
Acreditava-se que o ataque havia sido originado na
China - foi até especulado um possível envolvimento
do governo.
5. Soldados virtuais
Essa é uma atividade legal. Um governo pode escolher
fazer um ataque virtual a outro - invadir
computadores de outros países. O objetivo é o de
reduzir a capacidade militar do oponente.
O Pentágono, sede do Departamento de Defesa dos
Estados Unidos, reconheceu formalmente que o
espaço virtual é tão importante quanto às operações
militares convencionais.
Acredita-se que diversos países já desenvolveram
meios de usar a internet como uma arma para atacar
mercados financeiros, sistemas de informática do
governo e de serviços públicos.
Legislação

Fonte: http://i1.wp.com/blog.proab.com.br/wp-
content/uploads/2014/07/legisla%C3%A7%C3%A3o.jpg
Normas que regem segurança da informação
ABNT NBR ISO/IEC 31010:2012 - Gestão de riscos — Técnicas
para o processo de avaliação de riscos, fornece orientações
sobre a seleção e aplicação de técnicas sistemáticas para o
processo de avaliação do risco;
ABNT ISO GUIA 73:2009 Gestão de riscos - Vocabulário,
fornece os termos genéricos relativos à gestão do risco;
ABNT NBR ISO 31000:2009 Gestão de riscos - Princípios e
diretrizes, oferece os princípios e diretrizes genéricos para a
gestão do risco;
ABNT NBR ISO/IEC série 27000 de segurança da informação,
que trata dos mais diversos temas associados à segurança da
informação.
Norma da família ISO 27000
A Norma ISO 27000é um padrão internacional
sobre as boas práticas na gestão da Segurança da
Informação.
A define padrões de forma global para todos os
aspectos da segurança da informação. Na
definição de termos associados ao tema, estes são
divididos em 4 categorias: segurança da
informação, gerenciamento, riscos de segurança
de informação e documentação.
Legislação brasileira 2012
A Comissão de Ciência, Tecnologia, Inovação, Comunicação e
Informática (CCT) do Senado aprovou hoje (29/08) o projeto de
lei PL 35/2012 que deve regulamentar pela primeira vez os
crimes cibernéticos no país. O documento já recebeu o apelido
de “Lei Dieckmann”, em referência às fotos eróticas vazadas na
internet da atriz Carolina Dieckmann.
Vai passar a julgar crimes digitais como sendo puníveis com
algo entre três e 12 meses de prisão. O texto do projeto
especifica que “invadir computadores ou qualquer outro
dispositivo de informática de terceiros com o objetivo de
adulterar, destruir ou obter informações sem autorização”
poderá sem punido.
Leia mais em: http://www.tecmundo.com.br/projeto-de-
lei/29175-primeira-legislacao-para-internet-e-aprovada-no-
senado.htm#ixzz2ZzfbKakv