Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Segurança Da Informação 02

    Enviado por

    Roberta Regueira
    5 visualizações23 páginas

    Título original

    Segurança da Informação 02

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    5 visualizações23 páginas

    Segurança Da Informação 02

    Enviado por

    Roberta Regueira

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 23

    Segurança da Informação

    Prof. Victor Sotero

    Aula 02 – Modelo de Referência de Segurança


    Modelo de Referência de
    Segurança

    Prof. Victor Sotero


    Agentes ameaçadores

    Vulnerabilidades
    Exploram

    Que possibilitam Incidente de Segurança

    Que afetam Negócio

    Que impactam Cliente e produto

    Prof. Victor Sotero


    Modelo de Referência de Segurança
    • Modelo criado pra criar uma estrutura de TI confiável;
    • Faz uso da implementação de Políticas de Segurança;
    • Esse modelo é composto pelos seguintes elementos:
    • Equipamentos de rede;
    • Sistema de autenticação(biometria, assinatura digital e certificação
    digital);
    • Sistemas de segurança(criptografia, firewall, detectores de
    intrusão);
    • Informações e mensagens trocadas no sistema de cunho
    reservado.

    Prof. Victor Sotero


    Implementação de Serviços de Segurança
    • Integridade
    • Autenticidade
    • Confidencialidade
    • Não repúdio
    • Disponibilidade
    • Controle de acesso
    • Auditoria

    Prof. Victor Sotero


    Integridade

    Prof. Victor Sotero


    Cópias de segurança

    Código de correção de
    Somas de verificação dados
    (Checksums)

    Integridade

    Prof. Victor Sotero


    Integridade
    • Garantia que a informação permaneça íntegra(sem
    alteração);
    • Deve possibilitar uma proteção da informação, de modo que
    ela não seja intencionalmente (ou acidentalmente) alterada;
    • A integridade é fundamental e crítca nos seguintes sistemas:
    • Sistema de controle de tráfego aéreo;
    • Sistemas financeiros;
    • Comércio eletrônico
    • Sistemas de infraestrutura básica(energia,gás e água)

    Prof. Victor Sotero


    Ameaças a Integridade
    • Pode ser afetada por hackers, usuários não autorizados,
    programas maliciosos (trojans e vírus) ou qualquer tipo de
    ação que implique na alteração dos dados;

    • Controles de segurança que combatem essas ameaças:


    Rotation of Duties (troca de equipes);
    Nedd to Know (o que os usuários precisam saber);
    Separation of Duties(divisão de responsabilidades).

    Prof. Victor Sotero


    Controle de Segurança da Integridade
    • Rotation of Duties: troca constante de pessoas com cargos
    chave pode ser uma ótima ferramenta contra fraude;
    • Need to Know: conceito oriundo da área militar. O usuário
    deve ter acesso apenas aos dados ou programas que ele
    necessita;
    • Separation of Duties: consiste em garantir que do início ao
    final de um processo do sistema duas ou mais pessoas
    tenham o controle ou a responsabilidade dele.

    Prof. Victor Sotero


    Funções de Hashing
    • Tecnica de verificação e garantia da integridade do dado;
    • Resultado de uma função matemática;

    • Entendendo a lógica:
    1. A mensagem é processada na origem
    2. É gerado um hashing que vai ser enviado junto a mensagem
    3. O destinatário recebe a mensagem (com o hashing) e refaz o
    cálculo para fazer a comparação
    4. Se houver alteração no valor o dado foi alterado

    Prof. Victor Sotero


    Características de Hashing
    • A entrada da função de hashing pode ser de qualquer
    tamanho para cálculo;

    • O digest(resultado) sempre tem um tamanho fixo;

    • Devem ser fáceis de computar;

    • O hash é unidirecional (sem possibilidade de reverter);

    Prof. Victor Sotero


    Confidencialidade

    Prof. Victor Sotero


    Confidencialidade
    • Diz respeito ao direito de acesso;
    • Medidas de segurança devem garantir que a informação
    esteja disponível apenas a quem tem permissão de acesso;
    • Garante a privacidade dos dados;
    • Aspectos importantes: identificação, autenticação e
    autorização;
    • Ex.: Gabarito da prova que foi vazado;
    Lista de aprovados para um concurso que tenha vazado.

    Prof. Victor Sotero


    Ameaças a Confidencialidade
    • Hackers podem tentar descobrir a senha de pessoas que
    tenham acesso/autorização a algum recurso;

    • Após isso pode tornar público uma informação confidencial;

    • Os hakers também podem abrir portas de acesso(backdoor)


    que permitam usuários não autorizados acessarem o sistema
    e seus dados.

    Prof. Victor Sotero


    Confidencialidade
    • Identificação: método cujo o qual permite que um usuário se
    identifique perante um programa, sistema ou recurso de TI. Essa
    identificação é pré-requisito para o processo de autenticação;

    • Autentificação: após fornecer a identidade ao sistema, o usuário


    precisa dizer sua senha(frase secreta, PIN, etc);

    • Autorização: Ocorre após a autenticação. Após ter sido verificada


    as etapas anteriores, o sistema deverá buscar as permissões do
    usuário de acordo com os príncipios de need to know.

    Prof. Victor Sotero


    Disponibilidade

    Prof. Victor Sotero


    Disponibilidade
    • Medidas devem garantir que as informações estejam
    disponíveis sempre quando necessário.

    • Ex.: extrato bancário.


    Declaração de rendimentos para IRPF

    Prof. Victor Sotero


    Ameaças a Disponibilidade
    • Ataques de negação de serviços(DoS): derrubam servidores
    deixando os serviços indisponíveis. A forma mais comum de
    fazer isso é “bombardear” os servidores com uma
    quantidade de conexões acima do que o sistema suporta;

    • Perdas resultantes de desastres naturais


    Importante
    o sistema/rede devem ter capacidade para prover um nível
    aceitável de performance.

    Prof. Victor Sotero


    Não Repúdio

    Prof. Victor Sotero


    Não Repúdio
    • Consiste em técnicas e métodos que permitem que o
    remetente de uma mensagem não possa negar, no futuro, o
    envio dela;

    • É bastante utilizado em sistema de internet banking, onde o


    mesmo provê mecanismos para que o usuário não negue a
    autoria de uma determinada operação.

    Prof. Victor Sotero


    Auditoria
    • Criação de logs que correspondem a todas ações no
    ambiente de redes;

    • Consiste na capacidade de verificação nas atividades do


    sistema, identificando o que foi feito e por quem foi feito;

    • A auditoria deve ser realizada não somente com usuários


    não autorizados, mas também com usuários autorizados

    Prof. Victor Sotero


    • Continua...

    Prof. Victor Sotero

    Você também pode gostar