Seguraça Informática

Martina Jennifer Zucule de Barros

Universidade Pedagógica de Maputo)

November 24, 2020

Programa da Disciplina

I Introducao a Segurança de Informacao

I Ameaças e Ataques
I Segurança Fı́sica, Lógica
I Introducao a Criptografia
I Cifras clássicas e cifras modernas
I Lista de Controle de Acesso (ACL)
I Gestão de Riscos
Motivação
Motivação
Motivação
Motivação

Antes do “boom da Internet” existiam:

I Redes privadas;
I Soluções proprietárias e recursos individualizados (acesso
controlado, mas custo elevado);
I Poucos computadores, isolados.
Pós-Internet:
I Partilha de recursos (economia de escala) e adopção de
padrões abertos de comunicação;
I Muitos computadores conectados.
O Problema da Segurança

I Dados que circulam na Internet passam por equipamentos de

terceiros sem grande controle dos donos desses dados;
I Dados armazenados em computadores contêm várias
informações potencialmente valiosas.
Porquê estudar Segurança de Informação?

I Você não poder ser um especialista de Information

Technology (IT) sem conhecer também a segurança de IT -
Analogia: os arquitectos de edifı́cios devem ter conhecimento
sobre segurança contra incêndio;
I Desenvolver sistemas de IT sem considerar a segurança levará
a sistemas de IT vulneráveis;
I “Security by design” é um requisito no design do sistema e é
um pré-requisito para a privacidade desde o desenho, que é
um requisito legal para o processamento de dados pessoais.
Segurança de Informação

O que é Segurança de Informação ou do inglês Information

Security (INFOSEC)?
“Information Security means protecting information and
information systems from unauthorized access, use, disclosure,
disruption, modification, or destruction in order to provide
integrity, confidentiality and availability” National Institute of
Standards and Telecommunications. (NIST SP 800-59)
Segurança de Informação significa a proteção da informação e dos
sistemas de informação contra o acesso não autorizado, uso,
divulgação, interrupção, modificação, ou destruição de modo a
garantir a confidencialidade, integridade e disponibilidade.
Segurança de Informação

A informação pode existir de muitas formas por exemplo:

I Impressa ou escrita;
I Armazenada;
I Transmitida pelo correio ou meios electrónicos;
I Mostrada em filmes;
I Falada em conversas.
Segurança de Informação

Normalmente os sistemas de informação englobam os seguintes

elementos:
I Hardware;
I Software;
I Dados;
I Pessoas;
I Processos ou combinação de todos.
Segurança de Informação

A definição de segurança de informação introduz três objectivos/

propriedades essências que estão no coração da segurança de in-
formação:
I Confidencialidade;
I Integridade;
I Disponibilidade.

Esses três conceitos formam o que é normalmente chamado de trı́ade

CIA (do acrônimo em inglês para confidentiality, integrity and avail-
ability).
Segurança de Informação
Trı́ade CIA ou Trı́ade CID
Segurança de Informação

I Confidencialidade: assegura que informações não estejam

disponı́veis nem sejam reveladas para indivı́duos não
autorizados;
I Integridade:prevenir-se contra a modificação ou destruição
imprópria de informação, incluindo a irretratabilidade e
autenticidade dela;
I Disponibilidade: assegura que os sistemas operem
prontamente e seus servio̧s não fiquem indisponı́veis.
Segurança de Informação

Para além da trı́ade CIA/CID alguns cientistas da área de

Information Security acreditam que para completar os objectivos
da segurança de informação existem mais dois conceitos adicionas
necessários:
I Autenticidade: a propriedade de ser genuı́no e capaz de ser
verificado e confiável; confiança na validação de uma
transmissão, em uma mensagem ou na origem de uma
mensagem;
I Responsabilização: a meta de segurança que gera o requisito
para que acções de uma entidade sejam atribuı́das
exclusivamente a ela.
Classificação da Informação

Por que é importante classificar a informação?

I É importante identificar os nı́ves de proteção que as
informações disponı́veis na organização requerem;
I É importante definir nı́veis de proteção e os controles a serem
implementados ao longo do ciclo de vida da informação.
Polı́tica de Classificação da Informação

É tida como o conjunto de normas, procedimentos e instruções ex-

istentes que tratam sobre como proteger as informações. A polı́tica
de classificação de informação considera ainda o grau de sigilo de
uma informação que é uma classificação (rótulo) atribuı́da a cada
tipo de informação com base no seu conteúdo e tendo em vista o
público que deverá ter acesso.
Polı́tica de Classificação da Informação

Exemplo de Rótulos:
1. Empresas
I Confidencial
I Privada
I Sigilosa
I Pública
2. Governo e Instituições Militares
I Ultra Secreta (Top secret)
I Secreta (secret)
I Confidencial (confidential)
I Sigilosa
I Não classificada (unclassified)
Como obter a Segurança de Informação

Pode-se implementar controles para garantir que os objectivos da

segurança de informação (trı́ade CIA) sejam alcançados.
Segurança Fı́sica

Ameaças:
I Falhas de equipamentos, Sistama Operativo (SO) e
aplicativos;
I Acesso fı́sico não autorizado;
I Perda de comunicação (dados e voz);
I Vandalismo, roubo;
I Causas naturais;
I Factores humanos (Neglicência, Despreparo, Desinformação).
Segurança Fı́sica

Algumas soluções:
I Mobile Recovery Center;
I Cofres anti-fogo;
I Sala-cofre;
I Aplicação para uma sala-cofre;
I Monitoria integrada da rede;
I Mecanismos de Autenticação;
Segurança Fı́sica
Mecanismos de Autenticação
Novos desafios para Segurança de Informação

I Dispositivos Móveis;
I Tecnologias sem fio;
I Internet of Things (IoT);
I Smart Cities (Cidades inteligentes);
I Social networks;
I Cloud computing (Computação em núvem);
I etc...