CAPÍTULO 03 - CONTROLE DE ACESSO, CRIPTOGRAFIA E

CERTIFICAÇÃO DIGITAL

CONTROLE DE ACESSO
Recursos que limitam o acesso à informação por pessoas não autorizadas.
As limitações incluem adicionar barreiras de acesso ao ambiente/informações.

NÍVEIS
Hardware: equipamentos
Software: preservação das informações do sistema contra qualquer ataque que
possa causar danos aos dados (perda, roubo, alteração ou compartilhamento de dados)

BARREIRAS NECESSÁRIAS ÀS ORGANIZAÇÕES

- Autenticação: verificação do indivíduo para confirmar sua identidade
- Autorização: determinar as ações que o indivíduo pode executar

FERRAMENTAS
- Autenticação
- Tecnologia RFID: captura automática de dados para identificação a partir de um
microchip (presente em cartão ou pulseira)
- Captura automática de dados: emitem informações por meio de sinais de rádio, lidos
por equipamentos próprios para a tecnologia.
- Autenticação híbrida: combinação entre autenticação física (meio físico, smartphone,
token, etc) e lógica (senhas, PINs, etc.)
- O acesso é liberado aṕos pelo menos duas verificações de reconhecimento e
autenticação

TIPOS DE CONTROLE DE ACESSO

1. Lógico: programação lógica que valida o acesso à informação/ambiente

reconhecendo ou bloqueando o acesso.
2. Físico: base de proteção de qualquer investimento feito por uma organização
- O controle físico requer um controle lógico para validar o reconhecimento ou bloqueio
do acesso ao ambiente integrado.
FÍSICO
Perigos podem do ambiente/naturais como provocado por pessoas.
Todo e qualquer item essencial para a empresa deve ser isolado e protegido de ameaças,
seja de pessoas ou perigos ambientais/naturais

PERIGOS AMBIENTAIS
- Desligar equipamentos da energia após o uso
- Proteger equipamentos com capas e materiais específicos para abrigar de sol e
chuva
- Fazer manutenções regularmente nos aparelhos por especialistas
- Em caso de suspeita de dano ou problemas, informar ao setor especializado.
- Não improvisar peças ou consertos

ANÁLISE DE RISCO
Identifica vulnerabilidades e riscos ambientais e lógicos.
Importante que seja realizado por um profissional especializado/capacitado para tal
- É importante que o profissional não seja da organização para não contaminar o
processo devido a relações pessoais do sujeito com funcionários da empresa
A falta de segurança física pode acarretar:
- Perda de credibilidade na empresa
- Desvalorização da marca
- Imagem negativa junto a colaboradores e clientes

--------------------------------------------------------------------------------------------------------------------------
Exemplos de tópicos para análise de riscos:

- Climatização dos ambientes.

- Uso e definição dos equipamentos críticos.
- Política de descarte de produtos e materiais.
- Destino dos equipamentos sem conserto.
- Uso de material de segurança.
- Forma de armazenamento dos documentos.
- Controle de acesso aos equipamentos.
--------------------------------------------------------------------------------------------------------------------------
2. LÓGICO
1. Conjunto de medidas de segurança que considera a necessidade e os privilégios de
acesso do usuário para proteger os recursos informatizados
2. Um processo que envolve a requisiçao de acesso de informações de um usuário (ou
processo de rede) a um objeto (seja ele um arquivo ou outro recurso de rede (estação de
trabalho, impressora, etc)

Este usuário deve ser identificado e autenticado por meio de senhas ou outros tipos de
verificação
Combina hardware e software e procedimentos que permite o acesso do usuário aos
recursos

PRINCIPAIS FERRAMENTAS DE CONTROLE LÓGICO

1. Login: é o mais utilizado, mas também o de maior fragilidade

- O usuário deve ser orientado a adicionar senha segura e caso seja desligado deve ter
o seu usuário cancelado imediatamente
- A senha deve conter no mínimo 6 caracteres, além de não possuir nome de
animal, data de nascimento, cpf e outros registros do usuário
2. Biometria: autenticação realizada por medidas biológicas
- Medidas biológicas: características físicas do usuário como o formato da mão, olhos,
digitais, características do rosto, etc.
Compara as medidas biológicas fornecidas pelo usuário com os dados registrados no
banco de dados

TIPOS DE BIOMETRIA
- Digital: compara a impressão digital da pessoa com as impressões digitais
registradas no banco de dados
- Voz: alta taxa de falha no reconhecimento por ser sensível a ruídos do ambientes
ou problemas de saúde que afetam a voz do usuário
- Retina: mais confiáveis que leitores digitais

3. Criptografia: converte informações em dados inelegíveis.

DICAS PARA A SEGURANÇA DURANTE A IDENTIFICAÇÃO E REGISTRO DE ACESSO

- Obrigar o usuário a criar senhas com regras como: utilizar números, caracteres e letras
 - Trocar a senha por 6 meses
- Não utilizar uma única senha para todos os acessos
- Identificação única para cada usuário e importante adicionar qualquer outro meio que
intensifique a segurança de acesso
- Registrar os acessos em LOG registrando usuário, data e hora do acesso para facilitar
casos de auditoria

CÓDIGOS CRIPTOGRAFADOS, INTEGRIDADE E AUTENTICIDADE DAS

INFORMAÇÕES

A Criptografia, Certificação Digital e Assinatura Digital são mecanismos para garantir a

SEGURANÇA DE TRANSAÇÕES ELETRÔNICAS

1. CRIPTOGRAFIA
Converte uma mensagem/dados em uma informação cifrada que deverá ser decodificada
por um algoritmo de decodificação para ser interpretada e validada.
Visa garantir a PRIVACIDADE DO CONTEÚDO.

PRINCÍPIOS DA CRIPTOGRAFIA
- Confidencialidade: fundamental que apenas pessoas autorizadas tenham acesso ao
computador principal.
- Integridade: importante diferenciar cada perfil de usuário e definir permissões
diferenciadas.
- Disponibilidade: equipamentos devem ser monitorados e passar por manutenção
para evitar a inoperância dos sistemas

GRAU DE EFICIÊNCIA DA CRIPTOGRAFIA

Quanto mais difícil for a descriptografia da mensagem, mais eficiente é o método.
- Para decifrar a criptografia são necessários recursos e métodos (criptoanálise) que
muitas vezes não valem o investimento nesses métodos para descriptografar. Tornando a
criptografia um método bem eficaz.

TIPOS DE CRIPTOGRAFIA
1. Substituição: substitui letras das mensagens por letras do alfabeto
- É um tipo bem vulnerável de criptografia, portanto não é mais utilizado.
2. Transposição: possui um sistema de transposição trocando símbolos por outro e
depende de CHAVES CRIPTOGRÁFICAS
- As chaves criptográficas são uma sequência de caraceteres usadas para alterar os
dados de forma que fiquem emabralhados e o seu conteúdo ilegível.
- "Alguém" deve possuir uma chave para criptografia e "outro alguém" deve possuir a
chave certa para a descriptografia.

MÉTODOS DE CRIPTOGRAFIA

2.1 Simétrico (criptografia de chave privada)

- Utilizam apenas uma chave para criptografia e descriptografia
- Tamanho medido em bits: quanto maior, mais eficiente

2.2 Assimétrico (chave pública)

- Utiliza duas chaves: uma pública (para criptografia) e outra privada (para
descriptografia)
- A chave pública é distribuída para todos e a chave privada deve ser possuída
apenas pelo seu proprietário
- Apresenta um processamento de dados mais lento
- É indicada para transmissão de meios de comunicação

PROCESSO DE CRIPTOGRAFIA E DESCRIPTOGRAFIA SIMÉTRICA

A chave da criptografia é armazenada/associada junto com o aquivo criptografado que é

recebida pelo receptor para o algoritmo utilizá-la para decifrar o texto cifrado e obter o
original.
Criptografia: uma chave pública é gerada e a mensagem é criptografada por meio
dessa chave
- A chave pública é compartilhada com quem possui autorização para acessar esses
dados
- A chave privada fica desconhecida e de posse do proprietário dos dados e pode
ser armazenada de diferentes maneiras: arquivos de computador, tokens, smartcards, etc.
Descriptografia: serão utilizadas a chave pública e a chave privada para
descriptografar

2. CERTIFICAÇÃO DIGITAL
 Visa COMPROVAR A IDENTIDADE de uma pessoa ou um site evitando fraudes em
transações eletrônicas ou no acesso a documentos. Para isso a certificação possui:

- Certificado digital
- Assinatura digital

A certificação se dá por meio de um "selo de confiabilidade" (Certificado Digital) que é

concedido por uma Autoridade Certificadora a uma Pessoa Física ou Jurídica.

2.1 ASSINATURA DIGITAL

Visa FIRMAR ELETRONICAMENTE a AUTENTICIDADE DE UM DOCUMENTO

- Da mesma forma que uma assinatura em um papel, a assinatura digital concede

(eletronicamente) a autenticidade de um documento a uma pessoa ou entidade.
- A partir dela é possível eliminar todo o processo burocrático e custoso de coleta de
assinaturas, reconhecimento de firmas, despachos, etc que um documento físico exige.
- A legalidade da assinatura digital é garantida a partir de uma Medida Provisória (MP) que
confere a autenticidade do documento assinado ao respectivo signatário.
- Necessita de uma chave pública e uma chave privada
- Chave privada: é a chave do usuário que assina digitalmente
- Chave pública:
O usuário que assina digitalmente NÃO PODE negar a autoria das
transações feitas com a assinatura digital (NÃO REPÚDIO)
- Caso um criminoso tenha posse da chave privada de alguém, ele poderá realizar
transações sem o consentimento da pessoa e a pessoa será responsável financeiramente e
legalmente pela transação.

2.1 ASSINATURA DIGITAL

1. Uma mensagem a ser criptografada ----> algoritmo de Hash ---> a mensagem é
"resumida" em um código criptografado
2. A chave privada do usuário é aplicada sobre o resumo criptografado --> gera um
outro código criptografado
3. A mensagem chega no sistema ---> algoritmo de hash ---> teste de integridade.

VERIFICAÇÃO DO HASH
Compara-se a mensagem com a chave pública e se for igual, a autenticidade e
integridade da mensagem é confirmada.
 - O algoritmo de Hash é o que garante a integridade da mensagem criptografada
- O algoritmo compara a chave pública com a chave privada para verificar a integridade
da mensagem
- A chave privada é a assinatura digital
- A chave pública é a chave para verificar a autenticidade da mensagem

2.2 CERTIFICADO DIGITAL

É um arquivo eletrônico gravado em uma mídia digital
Existem vários tipos de certificados que variam de acordo com a validade e tipo de mídia
e é definido no ato da contratação do serviço
- A1, A2, A3, A4
- A validade máxima é de 5 anos e é definido pela certificadora. Após o vencimento o
certificado digital é automaticamente expirado.
- Os documentos assinados durante o período de validade permanecem válidos por
tempo indeterminado, mesmo queo certificado tenha a assinatura já expirada.