Escolar Documentos
Profissional Documentos
Cultura Documentos
Começaremos em breve!
Escolas Integradas – Educação Continuada
NORMAS E MELHORES
PRATICAS DE SEGURANCA
DA INFORMACAO
O que vamos estudar?
Fundamentos
Políticas de segurança
Análise de riscos e Vulnerabilidade
Normas de segurança
Ferramentas de segurança
DISCUSSÃO DO CASO N1
Fundamentos da segurança em TI:
• Confidencialidade
• Integridade
• Disponibilidade
• Autenticidade
Fundamentos da segurança em TI:
Alguns conceitos básicos precisam ser previamente conhecidos para que
os devidos controles sejam estabelecidos, implementados, analisados,
monitorados e aperfeiçoados.
São eles:
• Incidente de segurança
• Ativo
• Ameaça
• Vulnerabilidade
• Risco
• Ataque
• Impacto
Política de Segurança da Informação
Podemos descrever a Política de Segurança da Informação como um
agrupamento de regras gerais contemplando ações, técnicas, normas,
procedimentos e boas práticas com o objetivo de conduzir a segurança das
informações dentro das instituições.
-sejam levantadas quais foram as últimas falhas de segurança nos últimos anos
• Controles de entrada física: verificar se as áreas seguras oferecem controles para garantir
que apenas pessoas autorizadas tenham acesso.
● Seção 1:Escopo
– enuncia que esta norma é aplicável a todas as instituições.
● Seção 5: Liderança
– relacionada à etapa de planejamento (Plan) do cicloPDCA, define as responsabilidades da
direção, estabelecendo papéis e responsabilidades, e o conteúdo da política de Segurança da
Informação de alto nível.
● Seção 6:Planejamento
– aprofunda a etapa de planejamento (Plan) do ciclo PDCA e estabelece requisitos para a
avaliação de riscos e os treinamentos para combatê-los e a Declaração de Aplicabilidade, além de
defi ir os objetivos da Segurança da Informação.
● Seção 7: Apoio
– corresponde ainda à fase de planejamento (Plan) do ciclo PDCA e defi ne requisitos de
disponibilidade de recursos, competências, conscientização, comunicação e controle de
documentos e registros.
Normas ISO NBR/IEC 27001
● Seção 8:Operação
– está relacionada à etapa de execução (Do) do ciclo PDCA e especifica a implementação da
avaliação e tratamento de risco, assim como controles e outros processos necessários para atingir
os objetivos de Segurança da Informação.
PDCL (Plan, Do, Check e Learning) é uma variação do PDCA, utilizada para realimentar o sistema
com novas aprendizagens, de forma a se promover a melhoria contínua, a partir do que realmente foi
aprendido em cada PDCA realizado. De um modo geral, as ferramentas PDCA e PDCL acontecem
de forma muito mesclada, muito similar”,
O PDCL:
A efetiva “Melhoria” do processo está ligada ao “L”, que consiste em reunir os diversos setores e
todos os seus PDCAs realizados, a fim de refletir sobre as experiências adquiridas, e refletir sobre o
aprendizado extraído para analisar novas ações a serem tomadas. Além de realimentar o ciclo da
Gestão do Conhecimento, de forma a conservar o aprendizado, a internalizar as experiências
vivenciadas para que se possa preservar esse capital intelectual de uma forma estruturada e que
garanta à organização a reaplicação deste conhecimento em novas oportunidades ou necessidades,
independente de quem serão as pessoas que assumirão os diversos cargos da empresa.
Criptografia Os primeiros algoritmos de criptografia desenvolvidos
aplicavam uma função matemática, repetidamente, a um
dado para cifrá-lo (por exemplo, permutação das colunas
de um texto). Essa técnica não era muito robusta,
pois, a partir do momento em que se descobrisse como o
algoritmo criptográfico funcionava, era possível
decifrar todas as mensagens criptografadas.
Posteriormente, os algoritmos passam a incluir uma
chave criptográfica.
Essa chave é utilizada para cifrar e decifrar os dados.
Dessa forma, é necessário conhecer
a chave para poder decifrar o texto e não somente o
algoritmo utilizado.
Algoritmos de Criptografia
Simétricos
Um algoritmo de criptografia simétrico utiliza uma chave, chamada chave privada, para cifrar e
decifrar o texto claro. Desta forma, mesmo que o algoritmo de criptografia seja descoberto, sem o
conhecimento da chave privada, não é possível decifrar o texto.
O ataque a este tipo de algoritmo envolve testar todas as possibilidades de chaves de
criptografia. Este ataque
é conhecido como Ataque de Força Bruta. Assim, quanto menor o tamanho da chave, mais fácil é
implementar este ataque e ter sucesso. Uma chave de criptografia segura, em geral, possui 1024
bits de tamanho, ou mais, o que gera um universo de 2^1024 chaves diferentes.
Testar todas estas combinações de chaves, mesmo para um
computador, é impraticável (SCHNEIER, 1996).
Exemplos de implementações deste tipo de algoritmo: DES (Data Encryption Standard), AES e
IDEA.
Algoritmos de Criptografia
Assimétricos
Os algoritmos de criptografia simétricos são adequados para a proteção de dados
armazenados em computadores e dispositivos móveis. Entretanto, devido a
utilização de uma única chave de criptografia, são inadequados para prover a
comunicação entre pares na Internet devido a necessidade de se compartilhar a
chave privada. Para prover a comunicação, deve-se utilizar de criptografia
assimétrica.
A criptografia assimétrica define um modelo que utiliza um par de chaves
(chamadas de chave pública e chave privada) para cifrar e decifrar uma mensagem
(STALLINGS, 2015). A chave pública é utilizada para cifrar a mensagem, enquanto
a chave privada é utilizada para decifrá-la (SCHNEIER, 1996).
A chave pública recebe esse nome porque poderá ser divulgada sem risco de
comprometer a segurança dos dados cifrados. A chave privada deverá ser mantida
em segredo porque ela é utilizada para decifrar as mensagens cifradas com a
respectiva chave pública.
Exemplos: RSA e Diffie-Hellman.
Algoritmos de Criptografia
Assimétricos
Certificados Digitais
Um certificado digital é um documento digital que garante que uma chave pública
pertença a uma determinada entidade ou pessoa (STALLINGS, 2015).
Uma CA pode ser a própria entidade que irá utilizar os certificados digitais, por exemplo,
uma empresa que proverá certificados para identificar os funcionários desta, ou outra
dedicada exclusivamente a esta função (STALLINGS, 2015).
Um certificado digital pode também ser uma forma de autenticar operações perante o
governo, garantir identidade de um cidadão ou empresa perante sistemas bancários ou
burocráticos nacionais/regionais.
Assinatura Digital
1. O autor de uma mensagem aplica uma função hash na mensagem e assim obtém um código hash .
2. Na sequência, criptografa o código hash obtido com a sua chave privada e adiciona esse ao
documento e o envia.
3. Para validar a assinatura digital, o primeiro passo é decifrar o código hash, criptografado na etapa
anterior, com a chave pública do emissor (lembrando que um texto cifrado com uma chave é decifrado
com a outra), obtendo, assim, o código hash do documento.
4. Em seguida, calcula novamente o código hash da mensagem e o compara com o valor obtido.
5. A etapa final consiste em comparar o código hash calculado com o decifrado a partir da mensagem
recebida. Se os códigos forem iguais, a mensagem não foi alterada e sua autenticidade está garantida.
Caso contrário, a mensagem foi comprometida.
Validade Legal da
Assinatura Digital
As assinaturas digitais têm validade legal. Isso é garantido pela Medida
Provisória 2200 de 2001, que regulou a validade dos documentos
eletrônicos e a utilização de certificados digitais, que têm como objetivo
garantir a autenticidade e integridade aos documentos assinados
(CERT.BR, 2020). Logo, existe uma relação direta dos certificados
digitais com a assinatura digital.
Atividade N1:
A empresa pública IBH realiza serviços de assistência média hospitalar através de uma
rede de 40 hospitais e uma unidade principal em Brasília, em cada uma de suas unidades,
há um núcleo responsável pela gestão e implementação de TI em cada unidade.
Sendo assim, as unidades do IBH possuem sistemas diferentes e não muito bem
integrados. Além disso, cada hospital possui um diferente nível de segurança e
vulnerabilidade.
Atividade N1:
A comunicação de dados de intranet não é criptografada
Como não havia logs nem sistema de registros de acessos, não foi possível identificar
quem fez o acesso não autorizado.
Como seria possível resolver estas questões para aumentar a segurança de informações
nestes hospitais?
Sugestões:
- Realizar análise de vulnerabilidades e listar todas encontradas.
- Criar grupos de trabalho para resolver questões e comitê de política de segurança para
definir diretrizes genéricas para todas 40 unidades levando em conta as particularidades
de cada unidade caso haja.
Sugestões:
- Elencar mecanismos a serem adotados para controle de segurança de informação,
instalar logs e controle de acessos digitais.
- Troca de Hardware pode ser necessário para a questão de rede e Firewall físico
- Padronização de firewalls
- Servidor de Backup
OBRIGADO.