Escolar Documentos
Profissional Documentos
Cultura Documentos
Livro Seguranca - Da - Informacao - Completo PDF
Livro Seguranca - Da - Informacao - Completo PDF
Livro Seguranca - Da - Informacao - Completo PDF
Segurança da Informação
Disciplina na modalidade a distância
Palhoça
UnisulVirtual
2011
Créditos
Universidade do Sul de Santa Catarina – Campus UnisulVirtual – Educação Superior a Distância
Avenida dos Lagos, 41 – Cidade Universitária Pedra Branca | Palhoça – SC | 88137-900 | Fone/fax: (48) 3279-1242 e 3279-1271 | E-mail: cursovirtual@unisul.br | Site: www.unisul.br/unisulvirtual
Reitor Unisul Assistente e Auxiliar de Luana Borges da Silva Gerência de Desenho Jeferson Pandolfo
Ailton Nazareno Soares Coordenação Luana Tarsila Hellmann e Desenvolvimento de Karine Augusta Zanoni
Maria de Fátima Martins (Assistente) Luíza Koing Zumblick Materiais Didáticos Marcia Luz de Oliveira
Vice-Reitor Fabiana Lange Patricio Maria José Rossetti Márcia Loch (Gerente)
Tânia Regina Goularte Waltemann Marilene de Fátima Capeleto Assuntos Jurídicos
Sebastião Salésio Heerdt Ana Denise Goularte de Souza Bruno Lucion Roso
Patricia A. Pereira de Carvalho Desenho Educacional
Chefe de Gabinete da Paulo Lisboa Cordeiro Cristina Klipp de Oliveira (Coord. Grad./DAD) Marketing Estratégico
Coordenadores Graduação Silvana Souza da Cruz (Coord. Pós/Ext.)
Reitoria Adriano Sérgio da Cunha Paulo Mauricio Silveira Bubalo Rafael Bavaresco Bongiolo
Rosângela Mara Siegel Aline Cassol Daga
Willian Máximo Aloísio José Rodrigues Ana Cláudia Taú Portal e Comunicação
Ana Luísa Mülbert Simone Torres de Oliveira
Vanessa Pereira Santos Metzker Carmelita Schulze Catia Melissa Silveira Rodrigues
Pró-Reitora Acadêmica Ana Paula R. Pacheco Carolina Hoeller da Silva Boeing Andreia Drewes
Arthur Beck Neto Vanilda Liordina Heerdt
Miriam de Fátima Bora Rosa Eloísa Machado Seemann Luiz Felipe Buchmann Figueiredo
Bernardino José da Silva Gestão Documental Flavia Lumi Matuzawa Marcelo Barcelos
Pró-Reitor de Administração Catia Melissa S. Rodrigues Lamuniê Souza (Coord.) Gislaine Martins Rafael Pessi
Fabian Martins de Castro Charles Cesconetto Clair Maria Cardoso Isabel Zoldan da Veiga Rambo
Diva Marília Flemming Daniel Lucas de Medeiros Jaqueline de Souza Tartari Gerência de Produção
Pró-Reitor de Ensino Fabiano Ceretta Eduardo Rodrigues João Marcos de Souza Alves Arthur Emmanuel F. Silveira (Gerente)
José Carlos da Silva Junior Guilherme Henrique Koerich Francini Ferreira Dias
Mauri Luiz Heerdt Horácio Dutra Mello Josiane Leal
Leandro Romanó Bamberg
Letícia Laurindo de Bonfim Design Visual
Itamar Pedro Bevilaqua Marília Locks Fernandes
Campus Universitário de Jairo Afonso Henkes
Lygia Pereira Pedro Paulo Alves Teixeira (Coord.)
Tubarão Lis Airê Fogolari Adriana Ferreira dos Santos
Janaína Baeta Neves Gerência Administrativa e Luiz Henrique Milani Queriquelli
Diretora Jardel Mendes Vieira Financeira Alex Sandro Xavier
Milene Pacheco Kindermann Marina Melhado Gomes da Silva Alice Demaria Silva
Joel Irineu Lohn Renato André Luz (Gerente) Marina Cabeda Egger Moellwald
Jorge Alexandre N. Cardoso Ana Luise Wehrle Anne Cristyne Pereira
Campus Universitário da Melina de La Barrera Ayres Cristiano Neri Gonçalves Ribeiro
José Carlos N. Oliveira Anderson Zandré Prudêncio Michele Antunes Corrêa
Grande Florianópolis José Gabriel da Silva Daniel Contessa Lisboa Daiana Ferreira Cassanego
Nágila Hinckel Diogo Rafael da Silva
Diretor José Humberto D. Toledo Naiara Jeremias da Rocha Pâmella Rocha Flores da Silva
Hércules Nunes de Araújo Joseane Borges de Miranda Rafael Bourdot Back Edison Rodrigo Valim
Rafael Araújo Saldanha Frederico Trilha
Luciana Manfroi Thais Helena Bonetti Roberta de Fátima Martins
Campus Universitário Luiz G. Buchmann Figueiredo Valmir Venício Inácio Higor Ghisi Luciano
Roseli Aparecida Rocha Moterle Jordana Paula Schulka
UnisulVirtual Marciel Evangelista Catâneo Sabrina Bleicher
Maria Cristina S. Veit Gerência de Ensino, Pesquisa Marcelo Neri da Silva
Diretora Sabrina Paula Soares Scaranto Nelson Rosa
Maria da Graça Poyer e Extensão Viviane Bastos
Jucimara Roesler Mauro Faccioni Filho Oberdan Porto Leal Piantino
Moacir Heerdt (Gerente) Patrícia Fragnani de Morais
Moacir Fogaça Aracelli Araldi Acessibilidade
Nélio Herzmann Vanessa de Andrade Manoel (Coord.) Multimídia
Equipe UnisulVirtual Onei Tadeu Dutra Elaboração de Projeto e Letícia Regiane Da Silva Tobal
Reconhecimento de Curso Sérgio Giron (Coord.)
Patrícia Fontanella Mariella Gloria Rodrigues Dandara Lemos Reynaldo
Diretora Adjunta Rogério Santos da Costa Diane Dal Mago
Patrícia Alberton Vanderlei Brasil Avaliação da aprendizagem Cleber Magri
Rosa Beatriz M. Pinheiro Fernando Gustav Soares Lima
Tatiana Lee Marques Francielle Arruda Rampelotte Geovania Japiassu Martins (Coord.)
Secretaria Executiva e Cerimonial Gabriella Araújo Souza Esteves
Jackson Schuelter Wiggers (Coord.) Valnei Carlos Denardin Extensão Conferência (e-OLA)
Roberto Iunskovski Jaqueline Cardozo Polla Carla Fabiana Feltrin Raimundo (Coord.)
Marcelo Fraiberg Machado Maria Cristina Veit (Coord.) Thayanny Aparecida B.da Conceição
Tenille Catarina Rose Clér Beche Bruno Augusto Zunino
Rodrigo Nunes Lunardelli Pesquisa
Assessoria de Assuntos Sergio Sell Daniela E. M. Will (Coord. PUIP, PUIC, PIBIC) Gerência de Logística Produção Industrial
Internacionais Mauro Faccioni Filho(Coord. Nuvem) Jeferson Cassiano A. da Costa (Gerente) Marcelo Bittencourt (Coord.)
Murilo Matos Mendonça Coordenadores Pós-Graduação
Aloisio Rodrigues Pós-Graduação Logísitca de Materiais Gerência Serviço de Atenção
Assessoria de Relação com Poder Bernardino José da Silva Anelise Leal Vieira Cubas (Coord.) Carlos Eduardo D. da Silva (Coord.)
Público e Forças Armadas Abraao do Nascimento Germano Integral ao Acadêmico
Carmen Maria Cipriani Pandini Maria Isabel Aragon (Gerente)
Adenir Siqueira Viana Daniela Ernani Monteiro Will Biblioteca Bruna Maciel
Walter Félix Cardoso Junior Salete Cecília e Souza (Coord.) Fernando Sardão da Silva André Luiz Portes
Giovani de Paula Carolina Dias Damasceno
Karla Leonora Nunes Paula Sanhudo da Silva Fylippy Margino dos Santos
Assessoria DAD - Disciplinas a Renan Felipe Cascaes Cleide Inácio Goulart Seeman
Distância Leticia Cristina Barbosa Guilherme Lentz
Marlon Eliseu Pereira Francielle Fernandes
Patrícia da Silva Meneghel (Coord.) Luiz Otávio Botelho Lento Holdrin Milet Brandão
Carlos Alberto Areias Rogério Santos da Costa Gestão Docente e Discente Pablo Varela da Silveira
Enzo de Oliveira Moreira (Coord.) Rubens Amorim Jenniffer Camargo
Cláudia Berh V. da Silva Roberto Iunskovski Juliana Cardoso da Silva
Conceição Aparecida Kindermann Thiago Coelho Soares Yslann David Melo Cordeiro
Capacitação e Assessoria ao Jonatas Collaço de Souza
Luiz Fernando Meneghel Vera Regina N. Schuhmacher Docente Avaliações Presenciais Juliana Elen Tizian
Renata Souza de A. Subtil Simone Zigunovas (Capacitação) Graciele M. Lindenmayr (Coord.) Kamilla Rosa
Gerência Administração Alessandra de Oliveira (Assessoria)
Assessoria de Inovação e Acadêmica Ana Paula de Andrade Maurício dos Santos Augusto
Qualidade de EAD Adriana Silveira Angelica Cristina Gollo Maycon de Sousa Candido
Angelita Marçal Flores (Gerente) Alexandre Wagner da Rocha
Denia Falcão de Bittencourt (Coord) Fernanda Farias Cristilaine Medeiros Monique Napoli Ribeiro
Andrea Ouriques Balbinot Elaine Cristiane Surian Daiana Cristina Bortolotti Nidia de Jesus Moraes
Carmen Maria Cipriani Pandini Secretaria de Ensino a Distância Juliana Cardoso Esmeraldino Delano Pinheiro Gomes Orivaldo Carli da Silva Junior
Iris de Sousa Barros Samara Josten Flores (Secretária de Ensino) Maria Lina Moratelli Prado Edson Martins Rosa Junior Priscilla Geovana Pagani
Giane dos Passos (Secretária Acadêmica) Fabiana Pereira Fernando Steimbach Sabrina Mari Kawano Gonçalves
Assessoria de Tecnologia Adenir Soares Júnior Fernando Oliveira Santos Scheila Cristina Martins
Osmar de Oliveira Braz Júnior (Coord.) Tutoria e Suporte
Alessandro Alves da Silva Claudia Noemi Nascimento (Líder) Lisdeise Nunes Felipe Taize Muller
Felipe Jacson de Freitas Andréa Luci Mandira Marcelo Ramos Tatiane Crestani Trentin
Jefferson Amorin Oliveira Anderson da Silveira (Líder)
Cristina Mara Schauffert Ednéia Araujo Alberto (Líder) Marcio Ventura Vanessa Trindade
Phelipe Luiz Winter da Silva Djeime Sammer Bortolotti Osni Jose Seidler Junior
Priscila da Silva Maria Eugênia F. Celeghin (Líder)
Douglas Silveira Andreza Talles Cascais Thais Bortolotti
Rodrigo Battistotti Pimpão Evilym Melo Livramento
Tamara Bruna Ferreira da Silva Daniela Cassol Peres
Fabiano Silva Michels Débora Cristina Silveira Gerência de Marketing
Fabricio Botelho Espíndola Francine Cardoso da Silva Fabiano Ceretta (Gerente)
Coordenação Cursos Felipe Wronski Henrique Joice de Castro Peres Relacionamento com o Mercado
Coordenadores de UNA Gisele Terezinha Cardoso Ferreira Karla F. Wisniewski Desengrini
Indyanara Ramos Eliza Bianchini Dallanhol Locks
Diva Marília Flemming Maria Aparecida Teixeira
Marciel Evangelista Catâneo Janaina Conceição Mayara de Oliveira Bastos Relacionamento com Polos
Roberto Iunskovski Jorge Luiz Vilhar Malaquias Patrícia de Souza Amorim Presenciais
Juliana Broering Martins Schenon Souza Preto Alex Fabiano Wehrle (Coord.)
Luiz Otávio Botelho Lento
Segurança da Informação
Livro didático
Design instrucional
Ana Cláudia Taú
3ª edição
Palhoça
UnisulVirtual
2011
Copyright © UnisulVirtual 2011
Nenhuma parte desta publicação pode ser reproduzida por qualquer meio sem a prévia autorização desta instituição.
Design Instrucional
Ana Cláudia Taú
Assistente Acadêmico
Leandro Rocha (2ª ed. rev. e atual.)
Michele Antunes Corrêa (3ª edição)
ISBN
978-85-7817-308-1
Diagramação
Anne Cristyne Pereira
Revisão
Diane Del Mago (3ª Revisão)
005.8
L59 Lento, Luiz Otávio Botelho
Segurança da informação : livro didático / Luiz Otávio Botelho Lento ;
design instrucional Ana Cláudia Taú ; [assistente acadêmico Leandro Rocha,
Michele Antunes Corrêa]. – 3. ed. – Palhoça : UnisulVirtual, 2011.
234 p. : il. ; 28 cm.
Inclui bibliografia.
ISBN 978-85-7817-308-1
Apresentação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Palavras do professor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
Plano de estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Equipe UnisulVirtual.
7
Palavras do professor
Caro(a) estudante,
Bom estudo!
o livro didático;
o Sistema Tutorial.
Ementa
Conceitos básicos de segurança da informação. Riscos,
ameaças e vulnerabilidades. Criptografia, assinatura
digital e certificados digitais. Dispositivos de segurança
de redes. Controle de acesso e técnicas de ataque. Sistema
de Gerenciamento de Segurança da Informação (SGSI).
Contingências e continuidade de negócios. Auditoria de
segurança da informação. A atuação do profissional de
segurança.
Universidade do Sul de Santa Catarina
Objetivos
Conhecer os conceitos básicos de segurança da
informação.
Carga Horária
A carga horária total da disciplina é 60 horas-aula.
Conteúdo programático/objetivos
Veja, a seguir, as unidades que compõem o livro didático desta
disciplina e os seus respectivos objetivos. Esses se referem aos
resultados que você deverá alcançar ao final de uma etapa de
estudo. Os objetivos de cada unidade definem o conjunto de
conhecimentos que deverá possuir para o desenvolvimento de
habilidades e competências necessárias à sua formação.
Unidades de estudo: 5
12
Segurança da Informação
13
Universidade do Sul de Santa Catarina
Agenda de atividades/Cronograma
Atividades obrigatórias
14
1
unidade 1
Fundamentos de segurança da
informação
Objetivos de aprendizagem
Entender o que é segurança da informação.
Seções de estudo
Seção 1 Conceitos básicos
Bom estudo!
16
Segurança da Informação
A figura 1.2 apresenta uma visão macro das razões pelas quais
deve-se investir em segurança numa empresa:
Unidade 1 17
Universidade do Sul de Santa Catarina
18
Segurança da Informação
Unidade 1 19
Universidade do Sul de Santa Catarina
A figura 1.4 apresenta uma visão das ameaças que podem colocar
os processos do negócio em risco. Vale a pena ressaltar que essas
ameaças podem ser tanto externas quanto internas.
20
Segurança da Informação
Perímetro de segurança
Um perímetro de segurança é qualquer coisa que permita
implantar uma barreira, isto é, uma parede, um portal com
controle de entrada baseado em cartão, ou mesmo, um balcão de
Unidade 1 21
Universidade do Sul de Santa Catarina
Barreiras de segurança
As barreiras visam a reduzir os riscos, sendo que cada uma exerce
um conjunto de funções e deve ser dimensionada de forma adequada,
para proporcionar a mais perfeita interação e integração, como se
fosse uma única peça.
Atacante Sistema
Alvo
(Ameaças) (Negócio)
Crescimento do Impacto
Unidade 1 23
Universidade do Sul de Santa Catarina
Violações de segurança
Uma concepção popular de segurança de informação é que ela
tem como meta somente o sigilo (confidencialidade). Porém,
apesar de o sigilo ser um fator muito importante, ele não é
absoluto.
24
Segurança da Informação
Unidade 1 25
Universidade do Sul de Santa Catarina
26
Segurança da Informação
Formas de proteção
Segundo Ramos et al. (2007), quatro formas de proteção podem
ser citadas:
Unidade 1 27
Universidade do Sul de Santa Catarina
Política de segurança
Política de segurança consiste em estabelecer regras de segurança
de acesso físico e lógico às informações contidas em um Sistema
de Computação. Essas regras são estabelecidas de acordo com
as possíveis ameaças que o Sistema de Computação possa vir a
sofrer. Com a política implantada, tem-se condição de saber o
quanto a sua rede é segura, ou não, o quanto de funcionalidade a
sua rede oferece, o quanto é fácil operar a sua rede.
28
Segurança da Informação
Confiança
É uma das estratégias mais utilizadas (ex.: quando uma pessoa
passa o seu cartão de crédito em um posto de gasolina, ela está,
de certa forma, confiando os dados do cartão ao estabelecimento).
Privilégio mínimo
Inicialmente, deve-se conhecer o que é privilégio: trata-se de
qualquer função ou direito a que um usuário ou programa tenha
acesso. Essa estratégia se baseia na restrição das permissões de
acesso, permitindo o melhor controle dos privilégios (mais contas
com privilégios, maior é a possibilidade de ocorrer uma violação).
Os elementos de um sistema computacional devem ter apenas
os privilégios e direitos de acesso necessários à execução de suas
funções.
Unidade 1 29
Universidade do Sul de Santa Catarina
Defesa em profundidade
Essa estratégia faz uso de múltiplos mecanismos para aumentar
o índice de segurança. Dessa forma, caso um atacante passe por
um mecanismo, existe a possibilidade de ele parar no próximo
mecanismo. Essa estratégia se baseia no conceito de defesa
robusta ou diversidade de defesas. A diferença entre elas está no
fato de que a diversidade de defesas trabalha com mecanismos
heterogêneos.
Diversidade
A defesa em profundidade somente é eficaz, se os controles
aplicados forem diferentes. Não adianta, por exemplo, colocar seis
controles iguais para proteger um Banco de Dados.
30
Segurança da Informação
Participação universal
Busca a uniformidade na aplicação das medidas de segurança,
envolvendo não somente aspectos técnicos, mas também
treinamentos e conscientização de usuários. Uma rede linux, por
exemplo, deve possuir um padrão básico de configuração do seu
sistema operacional.
Unidade 1 31
Universidade do Sul de Santa Catarina
3.1 Ataques
32
Segurança da Informação
Anatomia de um ataque
Sequenciando um ataque
1. Qualquer ataque começa com o levantamento das
informações sobre o alvo (footprint). Pode iniciar com
um telefonema, usando a velha e funcional “engenharia
social”, de modo que o invasor colete informações de
forma ilícita.
Unidade 1 33
Universidade do Sul de Santa Catarina
O pen test pode ser externo (de fora para dentro da empresa) ou
interno (dentro da LAN).
34
Segurança da Informação
Hackers
São elementos que tentam quebrar a segurança de sistemas, sem
identificar-se, com o objetivo de ganhar o controle e realizar
um conjunto de tarefas não adequadas ao seu ambiente. Os
hackers possuem conhecimentos de programação e de sistemas
operacionais. Além disso, procuram manter-se atualizados
quanto às falhas de segurança dos sistemas, sempre procurando
a existência de outras. Desenvolvem suas próprias técnicas
de explorar as vulnerabilidades, normalmente compartilham
conhecimento e, na sua maioria, não causam danos.
Crackers
São elementos que executam ações com o objetivo de
tirar proveito de informações, ou causar danos a sistemas
computacionais. O cracker faz uso de técnicas para a invasão
de sistemas, roubo de dados e arquivos, números de cartão de
crédito, faz espionagem industrial e provoca destruição de dados.
Script Kiddies
São pessoas que não necessitam de muita habilidade, mas
tiveram a sorte de achar um sistema remoto que não aplicou
patch de correção a tempo. Isso prova a não capacitação dos
administradores de segurança das empresas. O seu perfil
e metodologia, também conhecidos como Defacers, estão
relacionados a um invasor que faz intrusão em sistemas
computacionais de forma fácil, vinculada a uma falha conhecida.
Unidade 1 35
Universidade do Sul de Santa Catarina
b. Escuta (Wiretapping)
A utilização do meio físico varia significativamente na facilidade,
ou não, de se estabelecer uma escuta. Cada vez mais, com
a utilização de novas tecnologias, a dificuldade de coletar
informações cresce, exigindo novos esforços e investimentos em
tecnologias para burlar a segurança dos sistemas.
c. Engenharia social
É a forma de ataque que consiste em obter informações
importantes, as quais possibilitem ataques utilizando a
comunicação oral ou escrita como sua principal arma. Este
ataque está diretamente ligado à capacidade do elemento em
coletar as informações de alvos pré-estabelecidos (padrões,
comportamento de pessoas, preferências sexuais, insatisfação com
36
Segurança da Informação
d. Mascaramento (Masquerading)
Este tipo de quebra de segurança ocorre quando uma pessoa usa
a identidade de outra para ter acesso a um computador, podendo
ser feito no próprio local ou de modo remoto. Uma das formas
mais utilizadas é a técnica da carona, em que o atacante espera na
entrada de uma área que deseja invadir, com alguns equipamentos
eletrônicos (microcomputadores). Quando um funcionário
autorizado aparece, ele finge que está entregando o equipamento
naquela área. O funcionário abre a porta de segurança e o atacante
penetra na área, sem chamar muita atenção.
Unidade 1 37
Universidade do Sul de Santa Catarina
g. Vírus
O vírus de computador pode ser definido como um fragmento de
código que se instala dentro de um programa, reproduzindo-se
e modificando-o. O vírus possui um código muito pequeno,
entre algumas centenas de bytes até alguns Kbytes, que se
autocopiam, parasitando outras entidades do computador, ou seja,
possui instruções para criar autonomamente cópias de si mesmo
atracadas em outros arquivos, à revelia do usuário.
38
Segurança da Informação
mostrar mensagens;
apagar arquivos;
Unidade 1 39
Universidade do Sul de Santa Catarina
h. Worms
É um programa independente. Ele se reproduz normalmente,
de máquina para máquina, via uma rede de computadores.
Semelhante ao vírus, ele também danifica, espalhando-se
rapidamente de um site para outro. Age de forma independente e
não modifica outros programas.
40
Segurança da Informação
j. Bombs
A bomba é um tipo de Cavalo de Troia usado para liberar
um vírus, worm ou algum outro tipo de ataque. Trata-se de
um programa independente ou um pedaço de código que foi
plantado por um programa ou desenvolvedor de sistemas. A
bomba trabalha, realizando uma ação não autorizada numa
determinada data, hora ou outras condições pré-programadas
pelo programador ou desenvolvedor de programas. Existem
normalmente dois tipos de bombas:
Unidade 1 41
Universidade do Sul de Santa Catarina
l. Cookies
São pequenos arquivos de texto inseridos no computador do
usuário. A finalidade principal dos cookies é identificar usuários
e, possivelmente, preparar páginas personalizadas para eles. Ao
acessar um site usando esse recurso, você pode ser convidado(a)
a preencher um formulário que fornece informações como seu
nome e interesses. Esses dados são gravados no cookie, assim,
da próxima vez que você for à mesma página, o servidor saberá
quem é você e poderá, por exemplo, enviar-lhe uma página de
abertura com o seu nome nela.
m. Salames
Esse é um tipo de ataque usando um Cavalo de Troia, cujo
alvo são os dados financeiros. Neste método, tiram-se pequenas
quantidades de valores, por exemplo, arredondando os centavos
nas contas de um banco, o que não será notado imediatamente.
42
Segurança da Informação
Criptografia
Unidade 1 43
Universidade do Sul de Santa Catarina
44
Segurança da Informação
Esteganografia
A esteganografia é o estudo e uso das técnicas para ocultar
a existência de uma mensagem dentro de outra. Em outras
palavras, esteganografia é o ramo particular da criptologia que
consiste em fazer com que uma mensagem seja camuflada,
mascarando sua presença.
Algoritmos simétricos
São algoritmos que têm como característica usar a mesma chave
para criptografar e decriptografar um texto.
Unidade 1 45
Universidade do Sul de Santa Catarina
Texto
46
Segurança da Informação
a. Algoritmo de Vernam
Nesse algoritmo, é realizada uma operação de soma entre cada
bit da chave com cada bit do texto claro, descartando o carry bit e
produzindo um texto cifrado, conforme indicado na figura 1.13, a
seguir:
Unidade 1 47
Universidade do Sul de Santa Catarina
b. Criptoanálise
A criptoanálise explora as características do algoritmo para deduzir
o texto claro ou a chave de entrada. No ataque de Força Bruta, o
atacante tenta todas as possíveis chaves sob um pedaço de texto
cifrado, até que algo inteligível é obtido na forma de texto claro.
Na média, metade de todas as possíveis chaves precisa ser testada
para se obter sucesso.
48
Segurança da Informação
b. Triple DES
É uma técnica utilizada com o algoritmo DES, o qual é aplicado
três vezes a cada texto claro, usando diferentes chaves de 56 bits.
As opções de operação do Triple DES são:
Unidade 1 49
Universidade do Sul de Santa Catarina
50
Segurança da Informação
Acontece um encadeamento.
Unidade 1 51
Universidade do Sul de Santa Catarina
i. RC5 e RC6
São algoritmos utilizados em qualquer computador com palavras
de 16, 32 ou 64 bits. Possuem uma estrutura compacta, bom
desempenho e são adequados para a utilização em software
52
Segurança da Informação
Semente randômica
Procedimentos matemáticos para geração de difíceis sequências de
números, pseudorandom number generator (PRNGs), às vezes não são
suficientes para a geração de boas chaves. existe a necessidade de se
ter uma semente (um número difícil para ser descoberto, que é gerado
inicialmente para passar pelo PRGN a fim de gerar a chave). Observe:
Unidade 1 53
Universidade do Sul de Santa Catarina
Distribuição de chaves
Distribuição manual
As chaves secretas são entregues aos seus usuários pessoalmente
(distribuição por papel, disquete ou outra mídia). A chave pode ser
particionada em pedaços, sendo que cada pedaço pode ser produzido de
forma diferente e entregue de forma diferente.
Distribuição automática
essa prática torna-se necessária em vista do crescimento das instituições e
da não utilização de uma mesma chave secreta várias vezes (facilita a sua
quebra).
existem algoritmos específicos, utilizados para trocar entre os dispositivos
de criptografias chaves de sessão geradas em tempo de execução.
existe também o conceito de Centros de Distribuição de Chaves (ex.: cofre
de cifras), que são responsáveis em armazenar e distribuir o par de chaves
para os seus usuários.
velocidade, e
54
Segurança da Informação
Garantia de confidencialidade
Observe a figura 1.18, a seguir.
X Y X
Garantia de autenticação
Na figura 1.19, Maria crifa com a chave privada.
Y = EKRa(X) X = DKUa(Y)
X Y X
-
Algoritmo Algoritmo de Texto
de Decriptografia claro
Criptografia (reverso do - Saída -
(ex.: RSA) alg.
de criptografia)
a. Diffie-Hellamn
Esse algoritmo foi, na prática, o primeiro algoritmo de chave
pública e ainda é bastante utilizado. Duas entidades podem
utilizá-lo para compartilharem uma chave secreta, fazendo uso
da sua chave para criptografar a chave secreta do algoritmo.
Unidade 1 57
Universidade do Sul de Santa Catarina
b. RSA
Foi desenvolvido por Rivest, Shamir e Adelman. Hoje é o
algoritmo que as pessoas mais associam ao conceito de chave
pública. Essa técnica literalmente produz chaves públicas que são
ligadas a chaves privadas. Logo, se um usuário possui a chave
pública de outro usuário, ele pode criptografar uma mensagem
nessa chave, que só poderá ser decriptografada com a privada. E
a operação inversa, isto é, um usuário criptografa uma mensagem
com a sua chave privada, e essa pode ser decriptografada com a
sua chave pública.
Algoritmo HASH
O algoritmo de hash é uma função determinística que tem como entrada
um texto arbitrário (message) e como saída um conjunto de bits de
tamanho fixo (message digest), conforme apresentado na figura abaixo.
A melhor forma de descrever esse algoritmo é por meio dos dois exemplos
de SHA1 (Secure Hash Algorithm).
58
Segurança da Informação
Mensagem 1:
Daniel vendeu 2 vídeos para Carlos.
12 65 f6 j8 76 54 34 e4 ad 23 er 65 ty 67 hj df nk 56 76 24
Mensagem 2:
Daniel vendeu 3 vídeos para Carlos.
sd vg hj 76 a5 3f ui hj ty 4e 55 78 uh 1w qw er mn 6y 99 7a
Unidade 1 59
Universidade do Sul de Santa Catarina
MD2
O MD2 foi criado por Ron Rivest. Produz resumos de 128 bits
(16 bytes) e 2128 possíveis valores de resumo. Ocorrem colisões, e
não vem sendo muito utilizado.
MD5
Esse algoritmo é uma evolução do MD2. Mais forte e mais
rápido que o MD2. É um resumo de 16 bytes. Até onde se
sabe, ainda não foi quebrado e ninguém encontrou colisões até o
presente momento.
SHA1/SHA2
Parece com o MD5. As partes internas são mais fortes que as do
MD5. Produz resumos de 20 bytes e é altamente recomendado
pela comunidade criptográfica.
60
Segurança da Informação
Síntese
Por fim, viu que a criptografia pode ser definida como uma
coleção de técnicas que transformam o dado em formas difíceis
de serem imitadas ou revertidas por alguém ou algo que não
possua o código secreto, e que o componente principal na eficácia
de um equipamento de criptografia é a chave criptográfica. Essa
Unidade 1 61
Universidade do Sul de Santa Catarina
Atividades de autoavaliação
Saiba mais
Se você desejar, aprofunde os conteúdos estudados nesta unidade
mediante consulta a seguinte referência:
62
2
unidade 2
Mecanismos e dispositivos de
segurança
Objetivos de aprendizagem
Conhecer os dispositivos de segurança.
Seções de estudo
Seção 1 Mecanismos de segurança
1.1 IPSec
O IP Security Protocol (IPSec) é um conjunto de protocolos de
propósito geral, com o objetivo de proteger as comunicações
TCP/IP. Logo, protege o tráfego entre máquinas, e não entre os
usuários de uma dada máquina.
64
Segurança da Informação
Unidade 2 65
Universidade do Sul de Santa Catarina
66
Segurança da Informação
Unidade 2 67
Universidade do Sul de Santa Catarina
a) AH – Autentication Header
O AH é um cabeçalho no pacote IP que contém o cryptographic
checksum. Este cabeçalho é simplesmente inserido no interior
do pacote entre o cabeçalho do pacote IP e os dados seguintes.
Nenhuma mudança é necessária no conteúdo do pacote: a
segurança está inteiramente residida no conteúdo do AH.
68
Segurança da Informação
ANTES
DEPOIS
Unidade 2 69
Universidade do Sul de Santa Catarina
70
Segurança da Informação
Unidade 2 71
Universidade do Sul de Santa Catarina
Funcionamento da VPN
De acordo com Smith (1997), uma VPN conecta os componentes
e recursos de uma rede sobre outra rede, utilizando-se de um
túnel via internet ou outra rede pública, de forma que os usuários
desse túnel façam uso dos recursos de segurança e serviços, como
se estivessem conectados a uma rede privada.
72
Segurança da Informação
e) gerenciamento da rede.
Unidade 2 73
Universidade do Sul de Santa Catarina
Tunelamento
74
Segurança da Informação
redução de custo;
Unidade 2 75
Universidade do Sul de Santa Catarina
Sede da Empresa
acesso da NAS
acesso
Dial-up
76
Segurança da Informação
Unidade 2 77
Universidade do Sul de Santa Catarina
78
Segurança da Informação
Unidade 2 79
Universidade do Sul de Santa Catarina
80
Segurança da Informação
Unidade 2 81
Universidade do Sul de Santa Catarina
1. Autoridade certificadora
São autoridades confiáveis para um segmento de negócio, que
têm como função ligar o par de chaves públicas para uma
identidade fornecida.
82
Segurança da Informação
emissão de certificados;
revogação de certificados;
renovação de certificados;
emissão da LRC; e
2. Repositório de certificados
A AC é responsável por associar as chaves públicas aos
usuários, com a finalidade de criptografar dados, que serão
É importante ressaltar
decriptografados pelo destinatário, por intermédio de sua chave que um certificado
privada. é garantido por uma
autoridade certificadora,
O usuário pode localizar os certificados de que necessita para a qual associa uma chave
realizar uma comunicação segura por meio de um local seguro, pública com cada usuário
chamado repositório de interfaces, que deve estar disponível identificado, devendo
estar disponível para ser
para atualização da LRC e de novos certificados. consultado.
3. Revogação de certificados
A autoridade certificadora assina um certificado, associando
um par de chaves públicas a uma identidade de usuário. Porém,
existem situações nas quais se torna necessária a quebra dessas
associações.
Unidade 2 83
Universidade do Sul de Santa Catarina
84
Segurança da Informação
5. Certificados
Os certificados de chave pública são usados para associar o nome
de uma entidade com sua correspondente chave pública. Ao
falarmos de certificados, é importante você conhecer um número
de certificados diferentes existentes, como:
certificados de atributos.
Unidade 2 85
Universidade do Sul de Santa Catarina
86
Segurança da Informação
Unidade 2 87
Universidade do Sul de Santa Catarina
6. Autoridade de registro
Apesar de a função de registro ser realizada diretamente pela AC,
algumas vezes é de bom costume que o registro seja realizado por
uma entidade, chamada de Autoridade de Registro. As funções
básicas da AR são:
88
Segurança da Informação
2.1 Firewalls
Devido às diversas necessidades de se garantir a segurança do
ambiente computacional, dispositivos de segurança foram criados
e, permanentemente, atualizados, entre eles o firewall.
Unidade 2 89
Universidade do Sul de Santa Catarina
previne ataques; e
90
Segurança da Informação
Unidade 2 91
Universidade do Sul de Santa Catarina
92
Segurança da Informação
endereço IP de origem;
endereço IP de destino;
tamanho do pacote.
Unidade 2 93
Universidade do Sul de Santa Catarina
a. Single-Box
Esta arquitetura tem como característica a utilização de um único
objeto para executar as funcionalidades de firewall. Tem como
vantagem a simplicidade e o barateamento de custo; e, como
desvantagem, a vulnerabilidade (é o único ponto de defesa).
Internet
proibido
proibido
rede interna
b. Screened host
Consiste numa arquitetura a qual oferece serviços provenientes
de uma máquina que está ligada somente à rede interna, fazendo
uso de um roteador separado. O roteador realiza a filtragem
de pacotes de forma que somente o bastion host seja a única
máquina da rede interna a qual pode abrir conexões na internet.
Qualquer sistema tentando acessar sistemas internos ou serviços
deve conectar-se ao bastion host. Este deve ser a máquina mais
segura do sistema, pois é o contato com a internet e o contato dos
usuários da rede interna.
94
Segurança da Informação
Internet
screening router
Bastion
Host
Firewall
rede interna
c. Screened subnet
Esta arquitetura adiciona uma camada extra à arquitetura screened
host, inserindo uma perimeter network (DMZ – rede colocada
entre a rede protegida e a rede interna) e isolando, assim, a rede
interna da internet.
Unidade 2 95
Universidade do Sul de Santa Catarina
d. Split-screened subnet
Nesse tipo de arquitetura, ainda existem os roteadores interno
e externo, mas passam a existir múltiplas redes entre eles. Essas
redes são conectadas entre si, via dual-home hosts. Alguns sites
usam essa arquitetura, normalmente, para prover defesa em
profundidade, protegendo o proxy com os roteadores.
96
Segurança da Informação
Unidade 2 97
Universidade do Sul de Santa Catarina
f. Firewalls internos
A utilização de firewalls não é exclusiva para proteger a rede
interna da internet. Pode-se, às vezes, necessitar proteger as
partes da rede interna de outras partes. Observe:
Internet
Servidor Intenet
wall
Firewall
Servidor Proxy
rede interna
Unidade 2 99
Universidade do Sul de Santa Catarina
Requisição do usuário:
http://www.teste.com.br/segura/firewall/proxy.html
Requisição do usuário:
http://www.teste.com.br/segura/firewall/proxy.html
GET http://www.teste.com.br/segura/firewall/proxy.html
GET / segura/firewall/proxy.html
Unidade 2 101
Universidade do Sul de Santa Catarina
2.4 IDS
O IDS pode ser definido como sistemas de software/hardware os
quais automatizam o processo de monitoramento de eventos que
ocorrem em sistemas computacionais, analisando-os com base em
assinaturas criadas a partir de problemas de segurança (intrusões).
102
Segurança da Informação
Unidade 2 103
Universidade do Sul de Santa Catarina
104
Segurança da Informação
Unidade 2 105
Universidade do Sul de Santa Catarina
106
Segurança da Informação
aprendizado automático; e
Unidade 2 107
Universidade do Sul de Santa Catarina
Alerta
108
Segurança da Informação
Síntese
Nesta unidade, foram apresentados alguns dos mecanismos
e dispositivos de segurança mais utilizados em um sistema
computacional. Você pôde observar que o IP Security Protocol
(IPSec) é um conjunto de protocolos de propósito geral, com
o objetivo de proteger as comunicações TCP/IP; e, ainda,
que se baseia em três pilares básicos: privacidade, integridade
e autenticidade. Viu que o IPSec possui dois modos de
funcionamento: o modo de transporte, em que somente parte
de dados é criptografada; e o modo de túnel, cuja autenticação e
criptografia são executadas em todo o pacote.
No que diz respeito aos firewalls, você pôde observar que esses
foram criados devido às diversas necessidades de se garantir a
segurança do ambiente computacional.
Unidade 2 109
Universidade do Sul de Santa Catarina
Atividades de autoavaliação
1) Quais os benefícios de se utilizar uma infraestrutura de chaves públicas
em uma empresa? Indique ao menos três.
110
Segurança da Informação
Saiba mais
Se você desejar, aprofunde os conteúdos estudados nesta unidade
a partir da consulta às seguintes referências:
Unidade 2 111
3
unidade 3
Sistemas de Gerência de
Segurança da Informação (SGSI)
Objetivos de aprendizagem
Estudar uma solução de segurança.
Seções de estudo
Seção 1 Aspectos básicos de um Sistema de Gerência de
Segurança da Informação
Você verá em seus estudos que essas ações podem ser divididas
em 3 grandes grupos: proteção técnica, que consiste na
utilização de mecanismos como firewall, antivírus, IDS,
entre outros; proteção humana e organizacional, que consiste
no estabelecimento de políticas, realização de treinamentos,
conscientização de equipes e outros; e proteção física, que
consiste no estabelecimento de perímetros de segurança físicos,
proteção de equipamentos e cabeamento, aspectos quanto à
climatização, entre outros.
Bom estudo!
114
Segurança da Informação
Unidade 3 115
Universidade do Sul de Santa Catarina
116
Segurança da Informação
Etapa 1:
Etapa 2:
Etapa 3:
Etapa 4:
Unidade 3 117
Universidade do Sul de Santa Catarina
118
Segurança da Informação
1. planejamento;
2. execução;
3. verificação;
Unidade 3 119
Universidade do Sul de Santa Catarina
Plan (Planejar)
120
Segurança da Informação
c) evitar os riscos; e
Do (Executar)
122
Segurança da Informação
Check (Verificação)
Unidade 3 123
Universidade do Sul de Santa Catarina
124
Segurança da Informação
Documento do SGSI
o escopo do SGSI;
Unidade 3 125
Universidade do Sul de Santa Catarina
Responsabilidade do gerenciamento
126
Segurança da Informação
Auditando o SGSI
Unidade 3 127
Universidade do Sul de Santa Catarina
128
Segurança da Informação
4. Recursos necessários
Unidade 3 129
Universidade do Sul de Santa Catarina
5. Metodologias
a) Entrevistas
130
Segurança da Informação
Síntese
Atividades de autoavaliação
Unidade 3 131
Universidade do Sul de Santa Catarina
Saiba mais
Se você desejar, aprofunde os conteúdos estudados nesta unidade,
por meio da consulta à seguinte referência:
132
4
unidade 4
Gestão de risco
Objetivos de aprendizagem
Conceituar o que é gerenciamento de risco.
Seções de estudo
Seção 1 Fundamentos de gestão de riscos
134
Segurança da Informação
Unidade 4 135
Universidade do Sul de Santa Catarina
136
Segurança da Informação
Unidade 4 137
Universidade do Sul de Santa Catarina
138
Segurança da Informação
Unidade 4 139
Universidade do Sul de Santa Catarina
140
Segurança da Informação
muito baixo – 1, 2
baixo – 3,4
médio – 5,6
alto – 7,8
Unidade 4 141
Universidade do Sul de Santa Catarina
Direto:
Indireto:
142
Segurança da Informação
Unidade 4 143
Universidade do Sul de Santa Catarina
Não existe a possibilidade de ocorrer Não ocorreu, mas é possível que ocorra.
Baixa a cada 2 anos ou com possibilidade Existe controle, o mesmo é eficaz, mas pode ser
(Remota, 2) inferior a 5%. burlado.
144
Segurança da Informação
2. Análise de riscos
Unidade 4 145
Universidade do Sul de Santa Catarina
146
Segurança da Informação
Ativo de suporte
Ativo Primário Gerência Setor Serviço TI e infraestrutura
Servidor
Processo de manutenção de TI Suporte Banco de Dados
sistemas
Rede Local
A – acidental;
I – intencional;
N – natural.
Unidade 4 147
Universidade do Sul de Santa Catarina
1. Fogo A, I, N
2. Água A, I, N
3. Poluição A, I, N
4. Acidente grave A, I, N
9. Flutuações de energia A, I
13. Inundação N
148
Segurança da Informação
Implantado
Nome Controle Val
S N
Um documento da política de segurança da
1. Documento da política de informação deve ser aprovado pela direção,
segurança da informação publicado e comunicado para todos os funcionários e
partes externas relevantes.
Vulnerabilidade Ameaça
-Fenômeno climático
-Fenômeno meteorológico
-Escuta não autorizada
1. Proteção física inadequada
(prédio, sala e CPD) -Furto de mídia ou documentos
-Furto de equipamentos
-Bomba/Terrorismo
-Falha no fornecimento de energia
Unidade 4 149
Universidade do Sul de Santa Catarina
a) Análise de impacto
Incidente
Ativo Histórico Vulnerabilidade Ameaça Control Prob
Infra/Sup
S N
Controle de Visão, cópia ou remoção Termos e condições
5 recrutamento de documentos 5 5
de contratação
inadequado arquivados
Reutilização e
Arquivos de dados, Perda de
5 alienação segura de 5 5
logs e outros em HDs confidencialidade equipamentos
150
Segurança da Informação
c) Determinação do risco
Perda de confidencialidade 5 9
3. Avaliação de riscos
4. Tratamento de riscos
Unidade 4 151
Universidade do Sul de Santa Catarina
152
Segurança da Informação
Redução do risco
Retenção do risco
Evitar o risco
Transferência do risco
5. Aceitação do risco
154
Segurança da Informação
Estudo de Caso
Introdução
Unidade 4 155
Universidade do Sul de Santa Catarina
Estabelecimento do contexto
156
Segurança da Informação
muito baixo – 1, 2
baixo – 3,4
médio – 5,6
Unidade 4 157
Universidade do Sul de Santa Catarina
158
Segurança da Informação
Unidade 4 159
Universidade do Sul de Santa Catarina
I - Análise da organização
160
Segurança da Informação
Unidade 4 161
Universidade do Sul de Santa Catarina
a) Processo A
Realiza a tarefa A
b) Processo B
Realiza a tarefa B
c) Processo C
Realiza a tarefa C
Análise de riscos
162
Segurança da Informação
Gerência Administrativa/
5. Documentos pessoais e requerimentos Documentação financeiro
Ameaças Típicas
A – acidental;
I – intencional;
N - natural.
Unidade 4 163
Universidade do Sul de Santa Catarina
1. Fogo A, I, N
2. Água A, I, N
3. Poluição A, I, N
4. Acidente grave A, I, N
9. Flutuações de energia A, I
13. Inundação N
164
Segurança da Informação
Implantado
Nome Controle Val
S N
Unidade 4 165
Universidade do Sul de Santa Catarina
166
Segurança da Informação
Pessoal
-Indisponibilidade de recursos
humanos -Gestão de capacidade
-Intimidação a colaborador -Desenvolvimento e
1. Pessoal ausente/
insuficiente -Perda de disponibilidade de implementação de planos
usuários autorizados de continuidade relativos à
-Degradação do tempo de segurança da informação
resposta
Unidade 4 167
Universidade do Sul de Santa Catarina
Hardware
-Defeito/degradação de
equipamentos de rede / servidores /
estações de trabalho -Instalação e proteção do
Degradação -Falha no serviço de comunicação equipamento
-Sobrecarga de tráfego -Manutenção dos equipamentos
-Degradação do tempo de resposta
-Degradação da disponibilidade
Software
168
Segurança da Informação
Comunicações
-Falha/degradação no serviço de
comunicação
2. Conexões do -Erros de transmissão -Segurança do cabeamento
cabeamento deficientes -Manutenção dos equipamentos
-Negação de serviço
-Perda de disponibilidade
Documentos/dados
Unidade 4 169
Universidade do Sul de Santa Catarina
Geral
-Furtos
-Bomba/Terrorismo
2. Controle inadequado de -Danos intencionais/ -Segurança de equipamentos fora das
visitantes vandalismos dependências da organização
-Morte de colaboradores
-Acesso a serviços locais
Estimativa do risco
Ativo C I D Impacto
1. Notas fiscais lançadas 3 5 5 4
2. Arquivos diversos, planilhas, correspondências, 5 5 5 5
memorandos, contratos etc.
3. Computadores 5 5 5 5
4. Documentos impressos arquivados; ex.: contratos, 4 4 5 4
correspondências etc.
5. Documentos pessoais e requerimentos 5 5 5 5
6. Processos registrados 2 5 4 4
7. Servidor de dados 4 4 4 4
9. Servidor de Arquivos 4 3 4 4
170
Segurança da Informação
Determinação da probabilidade
Registros (log) de
administrador e operador 3
Monitoramento do uso 3
do sistema
Segregação de funções 5
Eliminação de dados 5
Termos e condições de 5
contratação
Notas fiscais Colaborador insatisfeito
lançadas Segregação de funções 5
Furto de Informação Termos e condições de 5
5
contratação
Arquivos de dados, logs e Perda de Reutilização e alienação
5 5
outros em HDs confidencialidade segura de equipamentos
Aprendendo com os
Corrupção de dados incidentes de segurança 5 5
da informação
Controle de base de dados
inadequada Inventário dos ativos 3
Deleção de dados de 3
forma negligente Proprietário dos ativos 3
Procedimentos
para tratamento de 3
informação
Falta de controle de Cópia não controlada 3
documentos de documentos Segurança da
documentação dos 3
sistemas
Unidade 4 171
Universidade do Sul de Santa Catarina
Controle do 5
processamento interno
Falta de mecanismos de Manipulação de dados 5
monitoramento Conformidade com as
políticas e normas de 5
segurança da informação
Aprendendo com os
incidentes de segurança 5
Corrupção de dados da informação 4
Segurança da
Deleção de dados de documentação dos 3 3
forma negligente sistemas
Procedimentos
Falta de controle de para tratamento de 3
documentos Cópia não controlada informação
3
Danos intencionais/ de documentos
vandalismos Segurança da
documentação dos 3
sistemas
Validação dos dados de 5
entrada
Controle do 5
processamento interno
Falta de validação Corrupção de dados 5
Integridade de 5
mensagens
Validação de dados de 5
saída
172
Segurança da Informação
Unidade 4 173
Universidade do Sul de Santa Catarina
Determinação do risco
174
Segurança da Informação
Avaliação de risco
O quadro que se segue apresenta a ordem de prioridade que os
riscos de cada ativo deverão ser tratados.
Tratar
Ativo Risco por Prioridade
Sim Não
Corrupção de dados X
Eliminação de dados X
Furto de Informação X
Visão, cópia ou remoção de documentos arquivados X
Notas fiscais lançadas
Perda de confidencialidade X
Manipulação de dados X
Cópia não controlada de documentos X
Deleção de dados de forma negligente X
Visão, cópia ou remoção de documentos arquivados X
Manipulação de dados X
Eliminação de dados X
Arquivos diversos, planilhas,
correspondências, memorandos, Furto de Informação X
contratos, etc.
Corrupção de dados X
Deleção de dados de forma negligente X
Cópia não controlada de documentos X
Unidade 4 175
Universidade do Sul de Santa Catarina
Síntese
176
Segurança da Informação
Atividades de autoavaliação
Unidade 4 177
Universidade do Sul de Santa Catarina
Saiba mais
178
5
unidade 5
Política de segurança
Objetivos de aprendizagem
Entender o que é política de segurança.
Seções de estudo
Seção 1 Conceitos sobre política de segurança
Esta unidade visa apresentar a você o que vem a ser uma política
de segurança, a sua importância, como elaborá-la e implantá-la.
A aplicação da política de segurança é uma questão estratégica
para uma organização, pois ela possibilita o uso de controles
de forma adequada às suas necessidades. Serão apresentados
os conceitos de auditoria na informática, o seu planejamento
e execução em uma organização. Sendo assim, espera-se que,
ao fim desta unidade, você tenha entendido a importância
estratégica de se ter bem definida e implementada uma política
de segurança em uma organização.
180
Segurança da Informação
Unidade 5 181
Universidade do Sul de Santa Catarina
182
Segurança da Informação
equipe de desenvolvimento;
gerente de negócios;
gerente da rede/segurança;
pessoal jurídico.
Unidade 5 183
Universidade do Sul de Santa Catarina
Sendo assim, para que todos os itens acima citados possam ser
validados, alguns componentes desta “boa política” devem, por
exemplo, fazer parte do seu documento:
184
Segurança da Informação
Unidade 5 185
Universidade do Sul de Santa Catarina
186
Segurança da Informação
Unidade 5 187
Universidade do Sul de Santa Catarina
188
Segurança da Informação
Unidade 5 189
Universidade do Sul de Santa Catarina
190
Segurança da Informação
1. Segurança organizacional
Unidade 5 191
Universidade do Sul de Santa Catarina
192
Segurança da Informação
Unidade 5 193
Universidade do Sul de Santa Catarina
b) Classificação da informação
194
Segurança da Informação
3. Formas de segurança
a) Segurança de Pessoal
Unidade 5 195
Universidade do Sul de Santa Catarina
196
Segurança da Informação
b) Segurança física
Unidade 5 197
Universidade do Sul de Santa Catarina
198
Segurança da Informação
d) Controles gerais
Unidade 5 199
Universidade do Sul de Santa Catarina
200
Segurança da Informação
violação de confidencialidade.
Unidade 5 201
Universidade do Sul de Santa Catarina
202
Segurança da Informação
d) Manutenção
Unidade 5 203
Universidade do Sul de Santa Catarina
204
Segurança da Informação
e) Gerenciamento da Rede
Unidade 5 205
Universidade do Sul de Santa Catarina
5. Controle de acesso
206
Segurança da Informação
Unidade 5 207
Universidade do Sul de Santa Catarina
identidade do terminal;
208
Segurança da Informação
Unidade 5 209
Universidade do Sul de Santa Catarina
210
Segurança da Informação
Unidade 5 211
Universidade do Sul de Santa Catarina
2. Natureza da auditoria
212
Segurança da Informação
b) Forma de abordagem
Unidade 5 213
Universidade do Sul de Santa Catarina
Efetividade.
Controles ambientais;
Organizacionais;
214
Segurança da Informação
Sobre microcomputadores;
5. Execução e Relatório
216
Segurança da Informação
Unidade 5 217
Universidade do Sul de Santa Catarina
Síntese
Atividades de autoavaliação
218
Segurança da Informação
Unidade 5 219
Universidade do Sul de Santa Catarina
220
Segurança da Informação
Saiba mais
Unidade 5 221
Para concluir o estudo
Boa sorte,
226
Sobre o professor conteudista
Unidade 1
1) Levantamento das informações. Porque, via essas
informações, os atacantes irão buscar brechas de segurança,
com a finalidade de concretizar um ataque.
Unidade 2
1)
• Maior segurança nas transações eletrônicas.
• Interoperabilidade de aplicações dentro de uma empresa.
• Interoperabilidade entre empresas de forma segura.
2)
• Modo de transporte – somente parte dos dados é
criptografada (alguns bytes são adicionados ao tamanho do
pacote); assim, o cabeçalho IP não é modificado.
• Modo de túnel – a autenticação e criptografia são executadas
em todo o pacote.
• Modo combinado – faz uso do modo túnel e transporte.
Unidade 3
1) Um SGSI possui uma função estratégica para qualquer
organização. Ele possibilitará a manutenção constante e
efetiva da segurança da informação na organização.
Universidade do Sul de Santa Catarina
Unidade 4
1) Tem como objetivo atingir um equilíbrio apropriado entre o
reconhecimento de oportunidades e ganhos e a redução.
3)
a) A atividade a ser executada pelo sistema – leve em consideração quais
as funcionalidades que os processos executam.
b) A criticidade dos dados e do sistema – leve em consideração aspectos
como a disponibilidade dos dados para consulta e dos serviços que o
sistema oferece.
c) A sensibilidade dos dados e do sistema – a sensibilidade engloba o grau
de confidencialidade dos dados e os níveis de acesso ao sistema.
4)
a) Determinar a origem das vulnerabilidades – Nessa fase é realizada a
coleta das informações, podendo ser originária de várias.
230
Segurança da Informação
Unidade 5
1) A política de segurança tem uma importância estratégica para a
organização. A sua criação e implantação de forma adequada serve
como um “norte” para todos os componentes na organização, pois
estabelece um conjunto de normas de segurança a serem seguidas.
2)
• Normas para aquisição de tecnologia computacional – especifica
as características de segurança necessárias ou ideais, assessorando na
aquisição de dispositivos de hardware e software.
• Política de privacidade – define as expectativas em relação à
privacidade do tráfego de e-mails, arquivos logs e arquivos dos
usuários.
• Política de responsabilidade – define as responsabilidades dos
usuários, as operações dos funcionários e gerentes. Pode especificar a
forma de auditoria e normas para agir, no caso de incidentes de invasão
(o que fazer e quem chamar no caso de intrusos detectados).
• Política de acesso – define os direitos de acesso e privilégios para
proteger as informações de perdas ou revelações, especificando as
normas de uso para os usuários, para as operações de funcionários e
gerentes. Estabelece as normas para conexões externas, comunicações
de dados, dispositivos vivos da rede e a instalação de softwares em rede.
• Política de autenticação – estabelece a confiança do sistema via uma
efetiva política de senhas, normas de autenticação de usuários ou
dispositivos remotos e a utilização de dispositivos de autenticação.
• Parâmetros de disponibilidade – estabelece aos usuários qual a
disponibilidade de recursos. Inclui as horas de operação, períodos fora
do ar, informações sobre falhas no sistema etc.
• Política de manutenção – estabelece normas para o pessoal de
suporte (interno ou externo) no acesso e na execução das tarefas de
manutenção (corretiva ou preventiva) do sistema. Um dos itens a ser
abordado é a possibilidade de realizar, ou não, manutenção no sistema
231
Universidade do Sul de Santa Catarina
232
Biblioteca Virtual
Empréstimo de livros
www. unisul.br/emprestimos