Segurança da

Informação

Prof. MSc. Ricardo de Andrade

Segurança da Informação
IBTA
 Formação Acadêmica

FATEC Santo André : Tecnólogo em Eletrônica Automotiva

USP : Mestre em Ciências – Engenharia Elétrica
USP: Doutorando em Ciências – Engenharia Elétrica

Profissional

UFABC : Laboratório de Circuitos e Comunicação

IBTA : Professor de Ciências da Computação, Engenharia
da Computação e Análise e Desenvolvimento de Software
1
 Contato

E-mail: ricardo.andrade@ibta.edu.br
prof.andrade.ricardo@gmail.com

2
 Metodologia
- Aulas Expositivas
- Listas de Exercícios Teóricos e Práticos (AC)

3
Conteúdo Programático

1. Conceitos básicos
2. Normas e modelos de segurança, gerenciamento de riscos e
política de segurança.
3. Criptografia simétrica e assimétrica
4. Autenticação, certificados digitais e infraestrutura de chaves
públicas (ICP)
5. Tipos de ataques e firewalls
6. Ferramentas de análise, proteção e auditoria
7. Gestão de Segurança da Informação

4
Bibliografia
 STALLINGS, William. Cryptography and
network security: principles and practices. 4th
ed.. Upper Saddle River, N.J:
Pearson/Prentice, 2006.
 Stallings, W., “Network Security Essentials:
Applications and Standards”, PrenticeHall-
USA, 3rd edition, 2006.
 Konheim, A. G., “Computer Security and
Cryptography”, John Willey & Sons,
Professional, 2007. 5
Bibliografia
 Raval, V., & Fichadia, A., “Risks, Controls and
Security - Concepts and Applications”, John
Willey, Professional, 2007. • Nakamura. E. T.
e Geus, P. L.. Segurança de redes em
ambientes cooperativos. Editora Novatec,
2007.

6
Bibliografia Complementar
 TANENBAUM, Andrew S. Redes de
computadores. 4.ed. Rio de Janeiro:
Elsevier, 2003.
 Artigos Científicos (IEEE, ACM, SBC ,Web of
Science,entre outros);
 Normas de Segurança da Informação.
 Univesp (Canal Youtube)
 Fóruns de Tecnologias.
7
Critério de Avaliação
1) Provas
Avaliação Intermediária – 19/04/2018
Avaliação Semestral - 21/06/2018*

2) Atividades
AC : Avaliação Continuada = Listas , relatórios.

3) Média
M= [(0,30.AI) + (0,45.AS) + [(AC.0,25)*0,5]+ [(PI.0,25)*0,5]

8
Regras de Conduta
Os 10 Mandamentos
1) A aula começa às 08:30h, MAS teremos tolerância de 15 min
para chegada dos alunos e suas acomodações. Iniciarei a
chamada às 08:45 pontualmente, quem chegar antes,
recomendo aproveitar o tempo tirando dúvidas com o
professor, colegas, fazendo as tarefas e outras atividades que
assim desejarem.
2) No caso de atrasos, entre discretamente em sala, deixando os
cumprimentos para o intervalo. Isso mostra respeito aos
colegas que chegaram no horário.
3) Eu disponibilizo tempo durante a aula para vocês fazerem as
atividades, tirarem dúvidas, revisarem o assunto, etc. Então
9
aproveitem esse tempo para não atrasarem as atividades.
Regras de Conduta
4) A bibliografia básica contém livros que estão disponíveis na
Biblioteca. Aumente seu repertório e faça uso dos livros
indicados. Você verá que seu aproveitamento será muito
maior!

5) Por favor, não comer e beber nos laboratórios. Entendo que

muitos vem direto do trabalho e com fome, mas peço por
gentileza para comer no espaço fornecido pela Universidade.
Disponibilizo tempo das 08:30h às 08:45 que vocês podem
utilizar para isso mais o tempo que deixo fazendo as atividades
que vocês podem descer e comer algo.
10
Regras de Conduta
6) Em respeito ao ambiente, peço para não utilizarem boné dentro
da sala de aula ou laboratório.
7) O cronograma do semestre é seu amigo: use-o para planejar
suas faltas, suas atividades aos finais de semana e para
antecipar suas atividades. Não seja passado para trás pela sua
desatenção!
8) Trate a Universidade com respeito e carinho, pois é o nome
dela que estará no seu diploma, e portanto, o seu nome está
relacionado ao da universidade. Ao invés de críticas, procure
pensar em formas efetivas que podem ajudar a resolver a
questão.
11
Regras de Conduta
9) As atividades deverão ser entregues impressas, por e-mail ou
por Flash Drive (Pendrive, HD externo, etc.) de acordo com a
instrução de cada atividade. Portanto leiam atentamente a
forma de entrega de cada lista de exercício.

10) Fiquem atentos à chamada. Qualquer questão relacionada à

atestado ou declaração para justificar falta deve ser
encaminhado à coordenação, lembrando que somente atestado
médico justifica falta. Se não puder comparecer 75% do curso
peça para a coordenação te inserir em disciplinas à distância
(EAD). 12
Regras de Conduta

Sejam Bem Vindos!

13
 Plano de Ensino: Como
Estudar?
✓ Metodologia Ativa:

➢ Professor como Orientador.

➢ Utilizar fóruns, livros, vídeos em youtube, artigos, dissertações, teses.

➢ Fontes de Pesquisa :

➢ Google Scholar ( Acadêmico);

➢ IEEE;
➢ Web of Science;
14
 Conceitos Gerais

Política de cibersegurança das empresas 'esquece'

usuário, diz estudo - Espanha multa Facebook em €
1,2 milhão por violar proteção de dados - Brasileiro é
quem mais sofre fraudes na internet - Nos EUA, Uber
faz acordo para fim de investigação sobre privacidade
Notícias de Agosto e Setembro de 2017 (Fonte: Folha
de São Paulo)
 Segurança da Informação

“Segurança da informação é a proteção dos sistemas de informação

contra a negação de serviço a usuários autorizados, assim como
contra a intrusão, e a modificação não-autorizada de dados ou
informações, armazenados, em processamento ou em trânsito,
abrangendo a segurança dos recursos humanos, da documentação e do
material, das áreas e instalações das comunicações e computacional,
assim como as destinadas a prevenir, detectar, deter e documentar
eventuais ameaças a seu desenvolvimento”.

16
 Informação

 Informação pode existir de muitas formas:

 Impressa ou escrita em papel

 Armazenada eletronicamente

 Transmitida pelo correio ou meios eletrônicos

 Mostrada em filmes

 Falada em conversas

 Sempre deve ser protegida adequadamente

17
 Classificação das informações
 Pública – informação que pode vir a público sem maiores
consequências danosas ao funcionamento normal da empresa;
 Interna – o acesso a esse tipo de informação deve ser evitado,
embora as consequências do uso não autorizado não sejam por
demais sérias;
 Confidencial – informação restrita aos limites da empresa, cuja
divulgação ou perda pode levar a desequilíbrio operacional, e
eventualmente, perdas financeiras;
 Secreta – informação crítica para as atividades da empresa, cuja
integridade deve ser preservada a qualquer custo e cujo acesso
deve ser restrito a um número bastante reduzido de pessoas.
18
Ciclo de vida da informação

19
 Segurança da Informação
 Preservação de:

Confidencialidade

Integridade

Disponibilidade
20
 Sistema seguro
 Confidencialidade – A informação somente pode ser acessada por
pessoas explicitamente autorizadas; é a proteção de sistemas de
informação para impedir que pessoas não autorizadas tenham
acesso ao mesmo.
 Disponibilidade – A informação ou sistema de computador deve
estar disponível no momento em que a mesma for necessária;
 Integridade – A informação deve ser retornada em sua forma
original no momento em que foi armazenada.

21
 Segurança: Objetivos
expandidos
 Confidencialidade
 Garantia de que apenas pessoas autorizadas tenham acesso a
informação
 Integridade
 Manutenção do valor e do estado da informação; Proteção contra
alterações não autorizadas
 Disponibilidade
 Garantia que a informação estará disponível quando necessária

 Não repúdio
 Habilidade de provar que o remetente realmente enviou ou é autor de
uma informação
 Autenticação
 A prova da identidade para concessão da autorização
22
 Morais da segurança
 As portas dos fundos são tão boas quanto as portas da frente.
 Uma corrente é tão forte quanto o seu elo mais fraco.
 Um invasor não tenta transpor as barreiras encontradas, ele vai ao redor
delas buscando o ponto mais vulnerável.

23
 Ameaças
 Naturais – Ameaças decorrentes de fenômenos da natureza, como
incêndios naturais, enchentes, terremotos, tempestades, poluição, etc.
 Involuntárias – Ameaças inconscientes, quase sempre causadas pelo
desconhecimento. Podem ser causados por acidentes, erros, falta de
energia, etc.
 Voluntárias – Ameaças propositais causadas por agentes humanos como
hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus
de computador.

24
Ataques
Modificação
Interceptação

Personificação
Interrupção

25
Tipos de Ataques
 DoS - Negação de serviço
 Spam
 Phishing spam
 Ataques de força bruta
 Farejamento de pacotes (packet sniffing)
 Varreduras
 Ataques ao TCP/IP
 Malware
 outros

26
Malware (códigos maliciosos)
 Vírus
 Worms
 Bots
 Cavalos de Tróia
 Backdoors
 Keyloggers/Screenloggers
 Spywares
 Rootkits

27
 Novos desafios para
segurança
 Tecnologias sem fio
 Dispositivos móveis
 Redes de sensores
 Internet da coisas
 Redes sociais on-line
 Computação em nuvem

28
 O que podemos utilizar para
diminuir os riscos?
 Educação do usuário
 Antivírus
 Antispyware
 Filtro AntiSpam
 Backup dos Dados
 Criptografia
 Firewall
 Sistemas de Detecção de Intrusão
 Programação segura
 Política de segurança
 Gestão da segurança da informação 29
 Como a segurança pode ser
obtida?
 Implementando CONTROLES, para garantir que os objetivos de
segurança sejam alcançados
Políticas
Práticas
Procedimentos
Estruturas organizacionais
Funções de softwares/hardware 30
 SI: Técnica X Gestão
• A segurança que pode ser alcançada por meios técnicos é
limitada
• Deve ser apoiada por gestão e procedimentos
• Identificação dos controles a serem implantados requer planejamento
cuidadoso e detalhado
• Todos funcionários devem participar, no mínimo
– Talvez fornecedores, clientes, terceiros, etc.

• Consultoria pode ser necessária

• Controles são mais baratos e eficientes quando implantados em
fases iniciais

31
 Tendências da Segurança
 Era de ouro do hacking?
 Adoção rápida de novas técnicas e tecnologias, muitas delas não
testadas
 Utilizamos algumas dessas tecnologias para a proteção da
informação
 Grande número de vulnerabilidades
 Informações amplamente disponíveis para o aprendizado

32
 Tendências – Cenário
pessimista
 O expertise dos hackers está aumentando
 A sofisticação dos ataques e das ferramentas de ataque está
aumentando
 A efetividade das invasões está aumentando
 O número de invasões está aumentando
 O número de usuários da Internet está aumentando
 A complexidade dos protocolos, das aplicações e da rede está
aumentando
 A complexidade da própria Internet está aumentando
 Existem problemas de projeto na infraestrutura da informação
 O ciclo de desenvolvimento e testes de software está diminuindo
 Softwares com vulnerabilidades, algumas repetidas, continuam 33

sendo desenvolvidos
 Tendências – Cenário otimista
 Desenvolvimento de software com preocupação com a segurança

 Projetos de rede com preocupação com a segurança

 Segurança fazendo parte de qualquer aspecto da tecnologia, assim

como a qualidade faz parte de produtos e processos

34