Escolar Documentos
Profissional Documentos
Cultura Documentos
1
Objetivo da disciplina
Conteúdo Programático
Unidade 1 - Princípios básicos da segurança da
informação
1.1 Conceitos básicos da segurança da informação
1.2 Propriedades da segurança da informação
1.3 Ciclo de vida da informação
1.4 Classificação dos tipos de ativos
2
Conteúdo Programático
Unidade 2 - Vulnerabilidades, Ameaças e Ataques
2.1 Definições
2.2 Análise e gerenciamento de riscos
2.3 Tipos de ameaças
2.4 Exemplos de ameaças
2.5 Tipos de ataques
Conteúdo Programático
Unidade 3 – Mecanismos de Segurança
3.1 Segurança física
3.2 Segurança lógica
3.3 Tipos de criptografia (simétrica e assimétrica) e suas
características
3.4 Mecanismos de assinatura digital e funções de hashing
3.5 Certificados digitais: características e objetivos
3
Conteúdo Programático
Unidade 4 - Políticas de segurança e SGSI
4.1 Conceitos básicos da política de segurança da informação
4.2 Objetivos e estrutura do SGSI
4.3 Objetivos das normas ABNT 27001 e 27002
Bibliografia
Livro-Texto:
• ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da
segurança da informação — Requisitos. ABNT - Associação Brasileira de Normas Técnicas, 2013.
• ABNT NBR ISO/IEC 27002:2013 – Tecnologia da informação — Técnicas de segurança — Código de prática para
controles de segurança da informação. ABNT - Associação Brasileira de Normas Técnicas, 2013
• STALLINGS, W. Criptografia e segurança de redes – Princípios e práticas. 4. ed. São Paulo: Pearson: Addison Wesley,
2007.
Bibliografia Complementar:
• KUROSE, J. F. e ROSS, K. W. Redes de computadores e a Internet - Uma abordagem top-down. 5 ed. São Paulo:
Pearson/Addison Wesley, 2010.
• NAKAMURA, E. T., GEUS, P. L. Segurança de Redes em Ambientes Cooperativos. Rio de Janeiro: Novatec, 2007.
• SÊMULA, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. São Paulo: ST, 2013.
• LAUREANO, Marcos Aurélio Pchek. Segurança da Informação. Curitiba: Lt, 2012.
• Machado,Felipe Nery Rodrigues. Segurança da Informação - Princípios e Controle de Ameaças - Série Eixos. São
Paulo: Érica, 2014.
4
Referências Adicionais
• Apresentações e materiais de “Segurança da Informação”, profs. Anderson Fernandes Pereira dos Santos,
Fernando Diniz Hammerli, Gustavo Neves Dias, Sergio dos Santos Cardoso
• http://www.dsm.fordham.edu/~mathai/crypto.html#Cryptography
• http://all.net/edu/curr/ip/Chap2-1.html
• https://www.hyperelliptic.org/tanja/teaching/cryptoI13/cryptodict.pdf
• http://book.itep.ru/depository/crypto/Cryptography_history.pdf
• http://ethw.org/Cryptography#Modern_cryptography
• SÊMOLA, M. Gestão da Segurança da Informação, Uma visão executiva. 7. ed. Rio de Janeiro: Elsevier, 2003.
• Demais referências encontram-se no rodapé do respectivo slide
UNIDADE 1:
PRINCÍPIOS BÁSICOS
DA SEGURANÇA DA
INFORMAÇÃO
5
1.1 Conceitos básicos
da segurança da
informação
Qual é a motivação?
6
CERT e notificações de incidentes
• O CERT.br é o Grupo de Resposta a Incidentes de Segurança
para a Internet brasileira, mantido pelo NIC.br, do Comitê Gestor
da Internet no Brasil
‒ É responsável por tratar incidentes de segurança em computadores
que envolvam redes conectadas à Internet brasileira
http://www.cert.br/sobre/
2014
PSN e Xbox Live sofrem ataque ataque hacker e ficam
fora do ar durante o Natal
7
2016
Hackers criam ‘cartão mágico’ para saques ilimitados
Um cartão de crédito que, ao realizar
saques em caixas automáticos, retira o
dinheiro, mas mantém o balanço da conta
intacto. Pode ser um sonho para qualquer
pessoa, mas se tornou um pesadelo para
o sistema bancário.
Um grupo criminoso operando na Rússia,
apelidado como Metel, criou uma técnica
para hackear computadores específicos
dentro das redes dos bancos que são
capazes de restaurar o saldo de contas
após movimentações financeiras.
http://oglobo.globo.com/economia/tecnologia/hackers-criam-cartao-magico-para-saques-ilimitados-18636461
2017
Onda de ciberataques atinge órgãos e empresas em ao menos 74 países
Uma onda de ciberataques aparentemente
coordenados atingiu nesta sexta (12) computadores
de empresas e órgãos governamentais em pelo
menos 74 países, incluindo o Brasil. Os hackers
usaram ferramentas da NSA, a agência de
segurança nacional americana, e brechas de
proteção identificadas pelo governo dos EUA e
vazadas.
O software malicioso foi apelidado de
"WannaCrypt0r" e de "WannaCry" ("quer
criptografar" e "quer chorar", respectivamente, em
tradução livre) e tinha versões em vários idiomas,
inclusive português. Informações preliminares da
imprensa espanhola indicam que os ciberataques
têm origem na China.
http://www1.folha.uol.com.br/mundo/2017/05/1883408-mega-ciberataque-derruba-sistemas-de-comunicacao-ao-redor-do-mundo.shtml
8
2017
Hackers criam vagas de emprego falsas e mais de 300 mil
pessoas correm risco Um golpe recente está divulgando páginas falsas
de vagas de emprego no Facebook, segundo
identificou o DFNDR Lab, laboratório de segurança
digital especializado no combate ao cibercrime.
Somente nos últimos trinta dias foram identificados
mais de 30 golpes.
Em um cenário com mais de 12 milhões de
pessoas desempregadas, os golpistas utilizam
essas armadilhas para levar o usuário a sites
maliciosos, além de o induzir a compartilhar o golpe
com amigos, fornecer seus dados pessoais e até
mesmo as credenciais de acesso ao Facebook. Até
o momento, mais de 300 mil pessoas curtiram ou
estão seguindo essas páginas falsas e
representam a parcela que correm risco de caírem
em algum dos golpes.
https://www.infomoney.com.br/minhas-financas/consumo/noticia/7115210/hackers-criam-vagas-emprego-falsas-mais-300-mil-pessoas-correm
2018
Novo ataque NetSpectre pode roubar segredos de CPU via conexões de rede
Os cientistas publicaram hoje um artigo detalhando um
novo ataque de CPU da classe Spectre que pode ser
realizado por meio de conexões de rede e não exige que
o invasor hospede o código em uma máquina específica.
Esse novo ataque - codinome NetSpectre - é uma grande
evolução para os ataques do Spectre, que até agora
exigiam que o atacante enganasse a vítima para baixar e
executar códigos maliciosos em sua máquina ou pelo
menos acessar um site que executa JavaScript malicioso
no navegador do usuário .
Mas com o NetSpectre, um invasor pode simplesmente
bombardear as portas de rede de um computador e obter
os mesmos resultados.
https://www.bleepingcomputer.com/news/security/new-netspectre-attack-can-steal-cpu-secrets-via-network-connections/
9
Guerra Cibernética
• Cyberwarfare
“Actions by a nation-state to penetrate another nation's
computers or networks for the purposes of causing damage
or disruption.”
Richard A. Clarke, Cyber War (May 2010).
10
Qual é a diferença entre Seguranca de Redes e
Segurança da Informação?
SEGURANÇA DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
11
Qual é a diferença entre Seguranca de Redes e
Segurança da Informação?
SEGURANÇA FÍSICA
SEGURANÇA DE REDES
SEGURANÇA EM RH
SEGURANÇA DA INFORMAÇÃO
• Segurança da Informação
– Visão mais ampla, como foco
maior na garantia da segurança SEGURANÇA FÍSICA
do negócio da empresa
SEGURANÇA DE REDES
• Segurança em Redes
– Implementação dos controles de SEGURANÇA EM RH
segurança para garantir o nível
de segurança adequado para o
ambiente de rede SEGURANÇA DA INFORMAÇÃO
12
Qual é a diferença entre Seguranca de Redes e
Segurança da Informação?
• Segurança da Informação
– Visão mais ampla, como foco
maior na garantia da segurança
do negócio da empresa
SEGURANÇA DE REDES
• Segurança em Redes
– Implementação dos controles de
segurança para garantir o nível
de segurança adequado para o
ambiente de rede SEGURANÇA DA INFORMAÇÃO
1.2 Propriedades da
segurança da
informação
13
Segurança da Informação
• A segurança da informação tem Manuseio
como objetivo preservar:
Conf. Int.
CONFIDENCIALIDADE INFORMAÇÂO
INTEGRIDADE Disp.
DISPONIBILIDADE
Transporte
SEGURANÇA DA INFORMAÇÃO
Introdução
14
Definições e Termos
CONFIDENCIALIDADE:
Definições e Termos
INTEGRIDADE:
15
Definições e Termos
DISPONIBILIDADE:
Exercício
16
Ameaças à confidencialidade
• Exemplos de problemas são:
Acesso não autorizado
Vulnerabilidades do login/senha (p.ex. partilha de
senhas)
Intercepção não autorizada da informação em trânsito
(p.ex. sniffer)
Gestão não controlada da informação
http://im.med.up.pt/seguranca/
Ameaças à integridade
• Exemplos de problemas são:
Erros no software
Mau funcionamento de equipamento
Erros operacionais (p.ex. na introdução de dados)
Vírus que corrompem a informação
http://im.med.up.pt/seguranca/
17
Ameaças à disponibilidade
• Exemplos de problemas são:
Falhas nos equipamentos ou serviços de rede (p.ex. ao nível do
hardware/software, falhas de energia, erros/bugs)
Erros no manuseio do sistema
Causas naturais (incêndios, inundações)
Recursos insuficientes para o correto funcionamento do
software
Quando ocorrem ataques propositados para impedir o
funcionamento normal do sistema (p.ex. Denial-of-Service,
Spam)
http://im.med.up.pt/seguranca/
18
Autenticidade
Autenticidade:
Não repúdio
19
Exemplo
• Em uma compra pela Internet, podemos perceber a
necessidade de todos os requisitos citados...
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
20
O valor e a descrição do produto a ser
adquirido precisam estar disponíveis no
dia e na hora que o cliente quiser efetuar
a compra.
Disponibilidade!
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
21
O valor da transação não pode ser
alterado.
Integridade!
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
22
O cliente que está comprando deve ser
realmente quem diz ser.
Autenticidade!
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
23
O cliente tem como provar o pagamento e
o comerciante não têm como negar o
recebimento.
Não repúdio!
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
O conhecimento do conteúdo da
transação fica restrito aos envolvidos.
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
24
O conhecimento do conteúdo da
transação fica restrito aos envolvidos.
Confidencialidade!
http://www.training.com.br/lpmaia/pub_seg_cripto.htm
Confiabilidade, Conformidade e
Controle de Acesso
Confiabilidade:
Garantir que um sistema vai se comportar segundo o esperado e projetado.
Conformidade (Legalidade):
Estar de acordo, seguindo e fazendo cumprir leis e regulamentos internos e
externos.
Controle de Acesso:
Limitar e controlar o acesso lógico/físico aos ativos de uma organização por
meio dos processos de identificação, autenticação e autorização, com o
objetivo de proteger os recursos contra acessos não autorizados.
25
Resumo: Definições e Termos
• Confidencialidade:
– Propriedade de que a informação não esteja disponível para pessoas, entidades ou processos não autorizados
• Integridade:
– Propriedade de proteger a exatidão e a completeza de ativos
• Disponibilidade:
– Propriedade de tornar acessível e utilizável sob demanda, por fontes autorizadas
• Autenticidade:
– Propriedade de assegurar as veracidades do emissor e do receptor de informações trocadas
• Não repúdio (Irretratabilidade):
– Não Repúdio (Irretratabilidade): é a garantia de que o autor de uma informação não poderá negar falsamente a
autoria de tal informação
• Conformidade (Legalidade):
– Estar de acordo, seguindo e fazendo cumprir leis e regulamentos internos e externos
• Confiabilidade:
– Garantir que um sistema vai se comportar segundo o esperado e projetado
• Controle de Acesso:
– Limitar e controlar o acesso lógico/físico aos ativos
26
Ciclo de vida da informação
• O ciclo de vida da informação é composto e
identificado pelos momentos vividos pela informação
que a colocam em risco
• São quatro os momentos do ciclo de vida que são
merecedores de atenção
27
Ciclo de vida da informação
• Transporte: Momento em que a informação é
transportada
‒Seja por e-mail, fax ou ainda ao falar ao telefone
• Descarte: Momento em que a informação é descartada
‒Seja ao jogar na lixeira um material impresso, descartar um
CD-ROM por apresentar defeito ou qualquer outra mídia
Manuseio Transporte
Armazenameto Descarte
28
Ciclo de vida da informação
Manuseio Transporte
Armazenameto Descarte
MEDIDAS DE PROTEÇÃO
Manuseio Transporte
Armazenameto Descarte
MEDIDAS DE PROTEÇÃO
GARANTIR CID
29
1.4 Classificação dos
tipos de ativos
Ativo
INFORMAÇÃO é um ATIVO
30
Tipos de Ativos
• Ativo é qualquer coisa que tenha valor para a organização
• Exemplos de ativos:
‒ Ativos de informação: Base de dados e arquivos, contratos e acordos, etc.
‒ Ativos de software: Aplicativos, sistemas, etc.
‒ Ativos físicos: Equipamentos computacionais, de comunicação, etc.
‒ Serviços: Eletricidade, refrigeração, etc.
‒ Pessoas e suas qualificações, habilidades e experiências
‒ Intangíveis (em que não se pode tocar), tais como a reputação e a imagem
da organização
31