Escolar Documentos
Profissional Documentos
Cultura Documentos
ASSINATURA DIGITAL
Nesta aula você vai estudar o conceito de assinatura digital, os tipos de chaves
criptográficas e a cadeia hierárquica de confiança que viabiliza a emissão de
assinaturas digitais.
38 minutos
INTRODUÇÃO
As pessoas e as empresas passaram a utilizar a internet para trocar todo tipo de
informações, inclusive financeiras, mas o fato é que a rede mundial não oferece a
segurança necessária para que as operações virtuais sejam feitas com tranquilidade.
Neste capítulo, você vai estudar o conceito de assinatura digital, os tipos de chaves
criptográficas e a cadeia hierárquica de confiança que viabiliza a emissão de
assinaturas digitais.
Apesar de ser possível realizar a maioria dos processos por meio da internet, para
alguns, a identidade e sua validação ainda são procedimentos de extrema
importância, envolvendo processos como:
Assinatura de contratos;
Pagamento de faturas.
Apesar da facilidade oferecida para esses e muitos outros procedimentos, a
segurança tornou-se uma preocupação, já que a privacidade, o sigilo e a segurança
ficaram ameaçados principalmente por pessoas mal-intencionadas.
Em vista disso, para Baldam (2016), a assinatura digital configura uma forma de
conferir segurança, autenticidade e integridade para os documentos eletrônicos, e
com toda a fragilidade que foi herdada pela comunicação entre redes de
computadores, usuários e dispositivos, ela surgiu como uma maneira de provar a
veracidade das informações contidas nos documentos digitais e em substituição às
assinaturas convencionais que validam documentos em papel, sendo migradas para o
mundo digital.
Assim, podemos considerar que uma assinatura digital não é a mesma coisa que a
eletrônica e que existem diferenças a serem consideradas em relação aos dois
termos.
A criptografia utiliza algoritmos como seu principal recurso, sendo uma sequência
finita de regras ou de operações que permitem solucionar problemas.
Criptografia simétrica: utiliza-se uma chave única, pois a mesma chave é utilizada
tanto para criptografar quanto para descriptografar o mesmo pacote de dados,
estando de posse nas duas pontas para garantir o envio, a proteção e a leitura da
mensagem.
Para entender como o processo funciona, é importante conhecer alguns conceitos
básicos que envolvem esse procedimento. Devemos considerar que quando uma
mensagem está em seu formato original, trata-se de um texto claro, e uma vez que ela
passa pelo método de codificação, torna-se texto codificado (STALLINGS, 2015). O
processo é ilustrado na Figura 1:
Nesse caso, o emissor e o o receptor têm acesso ao mesmo código. O emissor utiliza a
chave para cifrar a mensagem, envia para o destinatário, que utiliza o mesmo código
para ler a mensagem, com respectivamente os algoritmos para criptografar e
descriptografar.
Vantagens Desvantagens
Seus problemas podem ser O custo para manter canais seguros para a
resolvidos com o uso de chave distribuição de chaves é mais alto, e
assimétrica, que utiliza duas geralmente somente órgãos públicos e
diferentes: uma para criptografar e instituições bancárias pagam por esse
outra para descriptografar. recurso.
Chave assimétrica: a utilização de um par de chaves diferentes entre si, mas que
mantêm um relacionamento matemático, o que permite que a mensagem
criptografada seja escrita e lida cada vez por uma chave do mesmo par, sendo uma
pública e outra privada (MARTINI, 2008). Podemos ver o processo ilustrado na Figura
2.
Nesse tipo de criptografia, apenas a parte que participa da transação tem a chave
privada, que é mantida em sigilo e, na verdade, é impossível derivá-la. A chave pública
pode ser usada por todas as outras partes, para que qualquer pessoa consiga
criptografar os dados. Por outro lado, as mensagens criptografadas com a chave
pública só podem ser descriptografadas com a privada, o que fornece segurança e
confiabilidade para as operações de comunicação.
Nessa videoaula, vamos falar sobre a cadeia de confiança aplicada aos protocolos SSL
e TLS, que utilizam certificados digitais para autenticar usuários em sites da web.
Dessa forma, poderemos compreender a importância de recursos como certificados e
assinaturas digitais em uma arquitetura tecnológica que trata de informações
sigilosas.
ESTUDO DE CASO
Nesse estudo de caso, vamos analisar a implementação de criptografia para assegurar
a privacidade de informações privadas, garantindo que uma organização mantenha
seus dados protegidos de diversos riscos externos à rede.
Você, como analista de segurança, sabe que nem sempre as informações estiveram
seguras na rede, por isso deve implementar a criptografia para codificar os dados que
precisam estar incompreensíveis e ininteligíveis para pessoas que não estão
participando de uma transação específica.
Apesar de serem diferentes, existe uma coerência matemática entre as duas chaves.
Além disso, a técnica utiliza um algoritmo mais complexo, tornando o processo mais
lento, porém, mais seguro.
Saiba mais
O artigo apresenta conceitos sobre a estrutura da ICP-Brasil, mostrando a
importância de cada um dos seus componentes, principais documentos e sua
funcionalidade na emissão de assinatura digital.
Aula 2
PROTOCOLO DE AUTENTICAÇÃO DE ACESSO
REMOTO
Nesta aula, vamos estudar como a autenticação pode ser realizada na rede,
reconhecendo os protocolos de autenticação, sua utilização e como é possível o
controle de usuários e identificação segura.
40 minutos
INTRODUÇÃO
A maioria das pessoas que utiliza tecnologias e equipamentos de rede já deve ter
presenciado uma situação em que é necessário acessar a rede corporativa por meio
de um computador que não esteja dentro desse perímetro, ainda mais no novo
modelo de trabalho: o home office. Mas como isso é possível? Isso é possível por meio
de uma conexão VPN (Virtual Private Network, ou Rede Privada Virtual). Basicamente,
o usuário utiliza um dispositivo compatível e capaz de estabelecer o acesso a uma
rede ou a um servidor específico por um canal de comunicação seguro. Isso é possível
graças ao uso dos protocolos de autenticação que garantem comunicação remota
segura.
Por isso, vamos estudar como a autenticação pode ser realizada na rede,
reconhecendo os protocolos de autenticação, sua utilização e como é possível o
controle de usuários e identificação segura.
Bons estudos!
Analisando a Figura 1, podemos dizer que é aqui que entra a autenticação. O acesso
às informações precisa ser cauteloso porque, embora a tecnologia forneça a
conveniência de acessar os dados, os ataques e as invasões ocorrem com mais
frequência.
A autenticação e o controle de acesso são dois dos aspectos mais relevantes para
preservar a segurança da informação. Podemos citar um exemplo real em outro
segmento de comunicação: em um contato telefônico, é necessário confirmar quem
está do outro lado da linha, e isso ocorre por meio da autenticação, considerando as
informações sobre a linha telefônica (é claro que uma pessoa pode se passar por
outra, o que também ocorre na internet e nos protocolos de autenticação). Os
protocolos de autenticação servem para identificar um usuário em uma rede, assim
como na linha telefônica que reconhece com quem nos comunicamos. Nos sistemas
de informação, alguns tipos de autenticação estão disponíveis. Além disso, o controle
de acesso também é um fator bastante importante para garantir que o usuário é
quem diz ser.
Existem diferentes métodos de autenticação, que podem ser atribuídos aos diversos
ambientes. Os principais são:
Acesso: assim, caso este responda de maneira correta, terá acesso à rede sem fio;
caso contrário, receberá uma mensagem informando a falha de conexão.
A autenticação vem sendo cada vez mais aprimorada por meio de diversas
ferramentas, métodos e protocolos que podem ser adaptados aos diversos
ambientes. Para compreender melhor, mais adiante conheceremos os protocolos de
autenticação que fazem uso dos métodos apresentados.
ESTUDO DE CASO
Atualmente, interligar redes de computadores é um dos requisitos mínimos no
transporte de informações, que garantem aos usuários acesso em qualquer tempo e
localização aos recursos hospedados em um perímetro seguro de rede. Sendo assim,
considere o seguinte cenário:
Para que seja possível criar e administrar os sites hospedados na rede, uma conexão
VPN será estabelecida. Para isso, o gerente de TI estabeleceu alguns requisitos
técnicos:
A segurança deve ser o fator mais importante, mesmo que isso possa causar
qualquer problema de desempenho resultado do método de criptografia utilizado.
Além disso, para reforçar a segurança o protocolo PPTP utiliza o PPP em conjunto
para garantir que sua funcionalidade e conectividade sejam realizadas com base no
transporte de informações de ponta a ponta de forma autenticada.
Saiba mais
O capítulo 19 desse livro apresenta conceitos importantes sobre conexão remota
e os protocolos de autenticação aplicados ao sistema operacional Windows. É
possível compreender como a segurança pode ser aplicada a ambientes remotos
como VPN na prática.
BATTISTI, J. Capítulo 19 - Segurança e serviços de rede: Serviço de Acesso
Remoto – Fundamentação Teórica. 2015. Disponível em: https://bit.ly/33UZzS5.
Acesso em: 6 out. 2021.
Aula 3
INTRODUÇÃO
Olá, estudante!
Por isso, nessa aula vamos explorar práticas que permitem gerenciar os dados
considerando diversos requisitos de conformidade, sem perder o controle do
ambiente de rede e ativos de TI.
Bons estudos!
Com empresas investindo cada vez mais em tecnologia, grande parte delas já
adotaram práticas para LGPD a fim de estabelecer regras para o tratamento e a
proteção de dados. A ética se trata da forma como os dados são utilizados de maneira
responsável e transparente, e o tratamento de dados deve ir além da privacidade,
dando ênfase para o ciclo de vida dos dados e aspectos que abordam a segurança. O
ciclo de vida (Figura 1) dos dados envolve sete etapas (Zeferino, 2020).
Na Figura 1 fica claro que o ciclo inicia na coleta de dados que pode ocorrer por meio
de diferentes fontes, depois os dados são processados e analisados para serem
utilizados de acordo com os princípios estabelecidos. A publicação ocorre para que os
dados estejam visíveis para um grupo específico ou publicamente, dependendo das
políticas aplicadas, e com isso armazenados durante o tempo estabelecido pelas
normas de segurança. Em alguns casos, os dados devem ser removidos dentro do
período estabelecido ou podem ser reutilizados, dada a política de privacidade
implementada.
Conclui-se que a ética no tratamento de dados é mais que uma boa prática, ela é
essencial para manter a reputação das organizações. Nesse ponto, não consideramos
somente o armazenamento de dados pessoais, mas também o mau uso de
informações derivadas de sistemas internos e fontes de terceiros.
Segundo Nascimento (2014), o processo de controle de acesso pode ser dividido nas
seguintes categorias quanto à centralização do controle:
Centralizado: é um tipo de controle de acesso em que o elemento-chave (que
pode ser o sistema ou mesmo o usuário autorizado a fazê-lo) toma as decisões
sobre o acesso aos recursos. A vantagem desse tipo de controle é que ele garante
maior padronização das informações de acesso, pois a definição dos recursos
geralmente é feita por meio de grupos de arquivos de configuração, ou seja, para
cada arquivo de configuração é permitido determinado acesso. Outra vantagem é
que evita a sobreposição de permissões de acesso, pois cada usuário pertence a
um grupo específico. A desvantagem é que possíveis falhas na leitura da definição
de acesso elaborada pelo elemento central impedirão qualquer acesso às
informações, mesmo que temporariamente.
O controle de acesso pode não ser a solução para que o administrador elimine
completamente os riscos de segurança e gerenciamento da rede, sistemas e
informações, mas minimiza consideravelmente incidentes e problemas que podem
comprometer a continuidade do negócio.
Por isso, geralmente os usuários têm esses direitos atribuídos com base em sua área
de atuação, setor ou função, sendo fracionados em grupos. Essa atribuição garante
que as informações sensíveis sejam sempre reservadas e protegidas de acessos não
autorizados. Nesse caso, todos os acessos concedidos têm uma identificação única
para cada usuário e compreendem uma permissão específica para tal usuário,
determinando a quais informações e serviços ele terá acesso. O processo inclui a
verificação de identidade e diretrizes que definem o direito de acesso atribuído à
conta, incluindo a concessão de acessos e serviços autorizados.
Esses acessos podem ser registrados, rastreados e revogados sempre que necessário.
Geralmente, essas ações são tomadas quando a função ou o status de um funcionário
é alterado dentro da organização. Para compreender a importância do gerenciamento
de identidade, podemos considerar alguns pontos (Paz, 2021) da Figura 4.
É importante frisar que, assim como qualquer recurso tecnológico utilizado em redes
de computadores, existem desvantagens na implementação do processo.
O gerenciamento de identidade atribui e implementa políticas de segurança da
informação, além de promover a classificação dos usuários de acordo com o
ambiente, o nível de segurança especificado, a complexidade do ambiente e os
números de usuários a serem gerenciados. Por serem os usuários os principais
recursos de uma organização, preservar e gerenciar a identidade de forma adequada
é muito relevante para o sucesso do negócio.
ESTUDO DE CASO
A LGPD regula as atividades de tratamento de dados pessoais e visa adaptar as
informações e os comportamentos na internet que se referem ao uso da tecnologia
para tratamento e compartilhamento de dados desde o Marco da Internet, até todas
as mudanças que ocorrem frequentemente no uso da tecnologia em diversos
segmentos do mercado. Sendo assim, analise o seguinte cenário.
Uma empresa com foco na venda de cosméticos possui uma equipe de vinte e cinco
pessoas, e somente três delas precisam ter acesso ao sistema ao sistema financeiro
para realizar transações e garantir o pagamento de comissões aos vendedores. Os
demais precisam apenas consultar suas próprias informações, sem ter visibilidade
sobre os perfis de outros funcionários. Você, como analista de TI, acredita que todos
os funcionários respeitam tais regras e decide que o gerenciamento de identidade não
é uma prioridade, por isso, todos têm acesso para alterar, excluir e movimentar
qualquer valor no sistema, e utilizam o mesmo usuário, mas estão avisados sobre
suas atribuições. Claro que isso não foi suficiente e você recebeu uma reclamação do
gerente de TI, informando que foi realizada uma movimentação do valor total de
comissão para uma conta externa, e que o dinheiro foi perdido sem ter possibilidade
de recuperação.
Gerenciamento de identidade;
Controle de acesso;
Como analista de TI, você deveria ter realizado o levantamento de papéis e funções de
cada funcionário, definindo o nível de acesso adequado para cada um deles: leitura,
gravação e execução.
Dessa forma, nem intencionalmente ou mesmo por descuido os usuários que não
precisam realizar movimentações dentro do sistema poderiam realizá-las. O sistema
estaria seguro e seria mantido o controle de ações realizadas pelos usuários, uma vez
que o gerenciamento de identidade estaria corretamente aplicado. Seria possível
identificar quem fez a movimentação, mas provavelmente com o controle de acessos
adequado o problema nem teria ocorrido.
As informações dos usuários também não estão seguras nesse cenário, uma vez que a
LGPD define que as informações pessoais devem estar protegidas e, nesse caso,
qualquer usuário pode facilmente ter acesso aos dados dos demais funcionários,
incluindo dados sobre comissões, que deveriam ser privados.
Revista Digital Security. 2018. GPDR: transformar e inovar começa por cada um de
nós. Disponível em: https://bit.ly/3qKaLdf. Acesso em: 25 out. 2021.
Aula 4
INTRODUÇÃO
Antes mesmo de a internet se tornar uma das ferramentas úteis no
compartilhamento de informações, já havia um consenso corporativo sobre o fato de
que a informação poderia maximizar o desenvolvimento de uma organização e trazer
sucesso para diversos segmentos do negócio, influenciando não somente nos
resultados econômicos, mas também no gerenciamento de informações.
POLÍTICAS DE PRIVACIDADE
Antes de qualquer coisa, é necessário compreender uma política de privacidade e de
que forma pode ser estruturada. Para isso, podemos considerar que um conjunto de
termos e normas é aplicado a um sistema para garantir que sua funcionalidade seja
direcionada em conformidade com as leis de proteção de dados. Um exemplo real é a
forma como as informações dos usuários são tratadas sempre que acessam um site,
sendo esses dados preservados para que os demais visitantes não possam coletá-los
ou acessá-los.
a LGPD (Lei Geral de Proteção de Dados) tem a seguinte estrutura (LGPD NA PRÁTICA,
2021):
Titular: qualquer pessoa que represente a posse das informações como objeto a
ser tratado em determinado meio de comunicação;
Consentimento: permite que o usuário esteja livre para decidir como suas
informações podem ser utilizadas, considerando determinada finalidade;
Por isso, na maioria das vezes, o contrato é disponibilizado para que o titular das
informações concorde ou não com os termos. De acordo com Rock Content (2016),
alguns dos tipos de políticas de privacidade são:
Informações para identificação pessoal: entre os dados de identificação dos
usuários não estão somente informações como nome, mas também todos
aqueles que constam em seus documentos de identificação, além de identificação
eletrônica como e-mail, IP do equipamento que revela sua localização e até
mesmo sua imagem. Para essas informações, a confiabilidade deve ser de alto
nível por parte de quem as trata, ainda mais pelo fato de que um vazamento pode
ter consequências graves como situações em que usuários se passam por outros.
ESTUDO DE CASO
Uma organização, independente do ramo em que atua, trata de informações privadas.
Sendo assim, cada cenário deve considerar a forma como elas precisam ser tratadas e
preservadas por meio da aplicação de regras e de políticas que preservem os usuários
e seus dados pessoais de qualquer fraude ou exposição.
Sendo assim, imagine que uma empresa atua no ramo de consultoria e comercializa
um software hospitalar, contendo diversos consultores responsáveis por exportar as
informações dos pacientes para o sistema desenvolvido dentro da própria companhia.
Endereços;
Plano de saúde;
Data de nascimento;
Documentos de identificação;
E-mail, telefones.
Saiba mais
O conteúdo apresenta de forma completa como a política de privacidade é
abordada pela LGPD, desde sua definição, envolvendo todas as etapas desde a
coleta de dados, até a fase que descreve as revisões à política.
LGPD BRASIL. Política de privacidade. Disponível em: https://bit.ly/3HcmEih.
Acesso em: 9 out. 2021.
REFERÊNCIAS
4 minutos
Aula 1
BALDAM, R. Gerenciamento de conteúdo empresarial. Rio de Janeiro: Elsevier, 2016.
Aula 2
ISEL – DEETC – REDES DE COMUNICAÇÃO. Protocolos de acesso remoto - PPP PAP,
CHAP. 2017. Disponível em: https://bit.ly/33u1YDL. Acesso em: 6 out. 2021.
Aula 3
BRASIL. Artigo 19°: Todo ser humano tem direito à liberdade de expressão e opinião.
2018. Disponível em: https://bit.ly/3Aihe2o. Acesso em: 7 out. 2021.
SILVEIRA, P. Você sabe quando não deve aplicar a lei geral de proteção de dados –
LGPD? 2020. Disponível em: https://bit.ly/3FM0dPh. Acesso em: 7 out. 2021.
ZEFERINO, D. Ciclo de vida dos dados: qual a relação com a LGPD. 25 jun. 2020.
Disponível em: https://bit.ly/33CiFwH. Acesso em: 7 out. 2021.
Aula 4
BIONI, B. R. Proteção de dados pessoais: a função e os limites do consentimento. 2.
ed. Rio de Janeiro: Forense, 2019. 328 p.
CENDÃO, F. Política de privacidade: O que é e porque é tão importante para seu site.
19 jun. 2017. Disponível em: https://bit.ly/3G8PcI9. Acesso em: 9 out. 2021.