YOUTUBE - @fazquestao

INSTA - @fazquestao.diretoaoponto

INFORMÁTICA – PBSI
PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO (PBSI)
PILARES DA SEGURANÇA DA INFORMAÇÃO:
• Disponibilidade - garantir que os serviços e recursos que forem necessários para
uma tarefa, principalmente relacionados ao próprio processo de segurança,
estejam sempre disponíveis.
• Integridade - garante a não-alteração de uma informação, tanto no
armazenamento, quanto durante a troca dessas informações por algum meio.
• Confidencialidade /sigilo - garantia que há sigilo sobre a informação, de forma
que o processo deve garantir que um dado não seja acessado por pessoas não-
autorizadas. Para tal efeito utiliza-se a criptografia.
• Autenticidade - possível confirmar se uma mensagem é de autoria de quem diz
ser.
Não repúdio/irretratabilidade – preceitua que não há como negar a
autoria de determinado arquivo.

Cuidado! A ISO 27000 menciona outros termos relacionados à

segurança, como autorização e autenticação.

Autorização e autenticação são dois conceitos importantes no campo da segurança da

informação, e embora estejam relacionados, possuem significados distintos. Além disso, a
autenticidade também é um conceito relacionado, porém com uma abordagem diferente.
A autorização refere-se ao processo de conceder permissões ou direitos a um
indivíduo ou entidade para acessar recursos ou executar determinadas ações. É o mecanismo
pelo qual se determina o que um usuário específico pode ou não pode fazer em um sistema
ou aplicativo. A autorização geralmente é baseada em níveis de acesso, papéis ou permissões
atribuídas a um usuário. Por exemplo, em um sistema de arquivos, a autorização pode
determinar quais usuários têm permissão para ler, gravar ou excluir arquivos.
A autenticação, por outro lado, refere-se ao processo de verificar a identidade de um
usuário ou entidade. É o processo de validação de que uma pessoa ou sistema é realmente
quem afirma ser. A autenticação normalmente envolve o uso de credenciais, como um nome
de usuário e senha, para verificar a identidade de um usuário. No entanto, também podem
ser usados outros fatores de autenticação, como biometria (impressão digital,
reconhecimento facial) ou tokens de autenticação.

MECANISMOS DE SEGURANÇA
CRIPTOGRAFIA
Fusão das palavras gregas "kryptós" e "gráphein", que significam "oculto" e "escrever".
Visa codificar uma informação de forma que somente o emissor e o receptor possam acessá-
la.
#FAZQUESTÃO
1
YOUTUBE - @fazquestao
INSTA - @fazquestao.diretoaoponto
O processo de comunicação por chaves criptográficas envolve o uso de algoritmos
criptográficos para proteger a confidencialidade e a integridade dos dados durante a
transmissão. As chaves criptográficas desempenham um papel fundamental nesse processo.
Existem dois tipos principais de chaves criptográficas: chave simétrica e chave
assimétrica (ou de chave pública). Cada uma tem suas características e aplicações
específicas.
1. Chave Simétrica: Também conhecida como criptografia de chave secreta, envolve o
uso da mesma chave para criptografar e descriptografar os dados. A chave simétrica é
compartilhada entre o remetente e o destinatário, e ambos a utilizam para criptografar e
descriptografar as informações. A principal vantagem da criptografia simétrica é a sua
velocidade e eficiência em relação ao processamento de dados. No entanto, a desvantagem é
a necessidade de compartilhar a chave de forma segura entre as partes envolvidas.
2. Chave Assimétrica: Também conhecida como criptografia de chave pública, envolve
o uso de duas chaves matematicamente relacionadas: uma chave pública e uma chave
privada. A chave assimétrica é usada nas seguintes situações:
• Enviar mensagens secretas ou sigilosas:
Para enviar uma mensagem sigilosa usando criptografia de chave pública, o
remetente deve obter a chave pública do destinatário. O remetente usa a chave
pública do destinatário para criptografar a mensagem antes de enviá-la. Somente
o destinatário, que possui a chave privada correspondente à chave pública usada
para criptografar a mensagem, pode descriptografá-la e ler seu conteúdo original.

• Garantir a autenticidade da mensagem:

A chave assimétrica também pode ser usada para garantir a autenticidade da
mensagem. Nesse caso, o remetente pode usar sua chave privada para assinar
digitalmente a mensagem. A assinatura digital é gerada aplicando-se um algoritmo
de assinatura à mensagem utilizando a chave privada do remetente. O destinatário
pode verificar a autenticidade da mensagem usando a chave pública
correspondente à chave privada do remetente. Se a verificação da assinatura
digital for bem-sucedida, o destinatário pode ter confiança de que a mensagem não
foi alterada e foi realmente enviada pelo remetente.

A chave pública pode ser compartilhada livremente com outras pessoas, enquanto a
chave privada deve ser mantida em sigilo pelo proprietário. A criptografia assimétrica é mais
segura em termos de compartilhamento de chaves, pois não é necessário trocar a chave
privada. No entanto, é computacionalmente mais intensiva e, portanto, mais lenta do que a
criptografia simétrica.

Em relação ao uso de ambas as chaves, é comum utilizar um processo híbrido. A

criptografia assimétrica é usada para resolver o problema da distribuição segura de chaves
simétricas. Nesse processo, a chave simétrica é gerada aleatoriamente para uma sessão de
comunicação específica. Em seguida, a chave simétrica é criptografada usando a chave
pública do destinatário e enviada junto com a mensagem criptografada. O destinatário usa
sua chave privada para descriptografar a chave simétrica e, em seguida, usa essa chave para
descriptografar a mensagem. Esse processo híbrido combina a eficiência da criptografia
simétrica com a segurança da criptografia assimétrica.

#FAZQUESTÃO
2
YOUTUBE - @fazquestao
INSTA - @fazquestao.diretoaoponto
Chave Simétrica → emissor e receptor fazem uso da MESMA chave, ou
seja, uma única chave é utilizada para codificar e decodificar os dados. Exemplo
de algoritmos: AES, DES.
Chave Assimétrica → também chamada de chave pública. Utiliza DUAS
chaves distintas, uma pública e outra privada. Exemplos de algoritmos: RSA, DAS
e ECC.

FUNÇÃO HASH
Uma função hash é um algoritmo matemático que recebe uma entrada de dados
(como um arquivo, uma mensagem ou qualquer conjunto de dados) e produz uma saída de
comprimento fixo, chamada de "hash" ou "valor de hash". Essa saída é essencialmente uma
representação única e compacta dos dados de entrada.

As funções hash têm várias propriedades importantes:

1. Compressão: Uma função hash converte dados de entrada de qualquer tamanho em
um valor de hash de comprimento fixo. Isso permite que grandes quantidades de dados
sejam representadas por um valor compacto.
2. Unicidade: Cada conjunto de dados produz um valor de hash exclusivo. Mesmo uma
pequena alteração nos dados de entrada resulta em um valor de hash completamente
diferente. Isso garante que mesmo pequenas modificações nos dados originais produzam um
hash drasticamente diferente.
3. Irreversibilidade: O processo de geração do valor de hash é irreversível, o que
significa que não é possível obter os dados originais a partir do valor de hash. Portanto, as
funções hash são usadas para garantir a integridade dos dados, mas não para recuperar os
dados originais.

As funções hash têm várias aplicações em segurança da informação, como:

- Verificação de integridade: Os valores de hash são usados para verificar se os dados
foram alterados ou corrompidos. Comparando o valor de hash original com o valor de hash
recalculado dos dados, é possível detectar se ocorreram modificações.
- Armazenamento seguro de senhas: Em vez de armazenar as senhas diretamente,
os sistemas geralmente armazenam apenas os valores de hash das senhas. Isso impede que
as senhas sejam recuperadas por um invasor, já que o valor de hash não pode ser revertido
para obter a senha original.
- Identificação única de dados: Os valores de hash são usados como identificadores
únicos para dados. Eles podem ser usados para indexar e pesquisar informações
rapidamente, sem precisar comparar os dados em si.
- Verificação de autenticidade: Em sistemas de criptografia de chave pública, as
funções hash são usadas para gerar resumos (hashes) das mensagens que são assinadas
digitalmente. O receptor pode usar a chave pública do remetente para verificar a
autenticidade da mensagem comparando o valor de hash gerado com o valor de hash
recebido.

INFRAESTRUTURA DE CHAVE PÚBLICA

#FAZQUESTÃO
3
YOUTUBE - @fazquestao
INSTA - @fazquestao.diretoaoponto
No Brasil, a infraestrutura de chaves públicas é regulamentada pela Infraestrutura de
Chaves Públicas Brasileira (ICP-Brasil). A ICP-Brasil é uma hierarquia de certificação digital
que estabelece normas, padrões e procedimentos para garantir a segurança e autenticidade
dos documentos eletrônicos no país.
A infraestrutura de chaves públicas no Brasil é amplamente utilizada em diversas
áreas, como comércio eletrônico, assinatura digital de documentos, transações bancárias,
declarações fiscais eletrônicas, entre outros. Ela tem o objetivo de garantir a segurança,
autenticidade e integridade das transações e comunicações eletrônicas, proporcionando
confiança nas trocas de informações realizadas no ambiente digital.

A infraestrutura de chaves públicas no Brasil funciona da seguinte maneira:

Autoridade Certificadora Raiz da ICP-Brasil – AC-Raiz: é a primeira autoridade da
cadeia de certificação. Executa as Políticas de Certificados e as normas técnicas e
operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. Portanto, compete à AC-Raiz
emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras
de nível imediatamente subsequente ao seu.
A AC-Raiz também está encarregada de emitir a Lista de Certificados Revogados – LCR
e de fiscalizar e auditar as Autoridades Certificadoras – ACs, Autoridades de Registro – ARs
e demais prestadores de serviço habilitados na ICP-Brasil. Além disso, verifica se as ACs estão
atuando em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê
Gestor da ICP-Brasil.
Autoridade Certificadora – AC: é uma entidade, pública ou privada, subordinada à
hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar
certificados digitais. Tem a responsabilidade de verificar se o titular do certificado possui a
chave privada que corresponde à chave pública que faz parte do certificado. Cria e assina
digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a
declaração da identidade do titular, que possui um par único de chaves (pública/privada).
Cabe também à AC emitir Listas de Certificados Revogados – LCR e manter registros de
suas operações sempre obedecendo às práticas definidas na Declaração de Práticas de
Certificação – DPC. Além de estabelecer e fazer cumprir, pelas Autoridades de Registro – ARs
a ela vinculadas, as políticas de segurança necessárias para garantir a autenticidade da
identificação realizada.
Autoridade de Registro – AR: é responsável pela interface entre o usuário e a
Autoridade Certificadora – AC. Vinculada a uma AC, tem por objetivo o recebimento, a
validação, o encaminhamento de solicitações de emissão ou revogação de certificados
digitais e identificação, de forma presencial, de seus solicitantes. É responsabilidade da AR
manter registros de suas operações. Pode estar fisicamente localizada em uma AC ou ser uma
entidade de registro remota.
Autoridade Certificadora do Tempo – ACT é uma entidade na qual os usuários de
serviços de Carimbo do Tempo confiam para emissão deles. A ACT tem a responsabilidade
geral pelo fornecimento do Carimbo do Tempo, conjunto de atributos fornecidos pela parte
confiável do tempo que, associado a uma assinatura digital, confere provar a sua existência
em determinado período.
Na prática, um documento é produzido e seu conteúdo é criptografado. Em seguida, ele
recebe os atributos ano, mês, dia, hora, minuto e segundo, atestado na forma da assinatura
realizada com certificado digital servindo assim para comprovar sua autenticidade. A ACT
atesta não apenas a questão temporal de uma transação, mas também seu conteúdo.

#FAZQUESTÃO
4
YOUTUBE - @fazquestao
INSTA - @fazquestao.diretoaoponto
Prestador de Serviço de Suporte – PSS: desempenha atividade descrita nas Políticas
de Certificado - PC e na Declaração de Práticas de Certificação - DPC da AC a que estiver
vinculado, diretamente ou por intermédio da AR, ou nas Políticas de Carimbo do Tempo -
PCT e na Declaração de Práticas de Carimbo do Tempo - DPCT da ACT a que estiver vinculado,
ou ainda nas atividades de PSBio, classificando-se, conforme o tipo de atividade prestada, em
três categorias: disponibilização de infraestrutura física e lógica; disponibilização de
recursos humanos especializados; ou disponibilização de infraestrutura física e lógica e de
recursos humanos especializados.
Prestador de Serviço Biométrico – PSBio: é uma entidade com capacidade técnica
para realizar a identificação biométrica, tornando um registro/requerente único em um ou
mais bancos/sistemas de dados biométricos para toda ICP-Brasil, a verificação biométrica
do requerente de um certificado digital e a comparação de uma biometria, que possua
característica perene e unívoca, de acordo com os padrões internacionais de uso.
Retirado de: https://www.gov.br/iti/pt-br/assuntos/icp-brasil/entes-da-icp-brasil

É importante ressaltar que os certificados digitais emitidos pela ICP-Brasil

têm validade jurídica e são reconhecidos legalmente no Brasil, seguindo as
regulamentações estabelecidas pela legislação brasileira, como a Medida
Provisória 2.200-2/2001, que instituiu a ICP-Brasil.

CERTIFICADO DIGITAL
Um certificado digital é um arquivo eletrônico que contém informações sobre a
identidade de uma entidade, como uma pessoa física, uma pessoa jurídica, um dispositivo ou
uma organização. Ele é emitido por uma Autoridade Certificadora (AC) e possui a função de
garantir a autenticidade, a integridade e a confidencialidade das informações transmitidas
eletronicamente. Fornece um par de chaves (assimétricas) para a entidade.

As principais características e atributos de um certificado digital incluem:

1. Identificação: O certificado digital contém informações sobre a identidade do
titular, como nome, CPF/CNPJ, endereço, e-mail, entre outros dados relevantes. Essas
informações são verificadas pela AC durante o processo de emissão do certificado.
2. Chave Pública: O certificado digital contém a chave pública do titular, que é usada
para criptografar informações e garantir a confidencialidade dos dados transmitidos. A
chave pública está associada a uma chave privada correspondente, que é mantida em sigilo
pelo titular.
3. Período de Validade: O certificado digital possui uma data de início e uma data de
expiração, que determinam o período em que ele é considerado válido. Após a data de
expiração, o certificado precisa ser renovado ou substituído.
4. Número de Série: Cada certificado digital possui um número de série exclusivo, que
é utilizado para identificá-lo de forma única. Esse número de série é registrado na AC e pode
ser consultado para verificar a autenticidade do certificado.
5. Assinatura Digital: O certificado digital é assinado digitalmente pela AC que o
emitiu, garantindo a sua autenticidade e integridade. A assinatura digital é uma operação
criptográfica que comprova que o certificado foi emitido pela AC correta e não foi modificado.

#FAZQUESTÃO
5
YOUTUBE - @fazquestao
INSTA - @fazquestao.diretoaoponto
6. Uso e Finalidade: O certificado digital possui informações sobre os usos e as
finalidades para as quais ele é válido. Isso inclui informações sobre os recursos, os sistemas
ou as aplicações para os quais o certificado pode ser utilizado.

ASSINATURA DIGITAL
A assinatura digital é um mecanismo criptográfico que utiliza técnicas de criptografia
assimétrica para garantir a autenticidade, integridade e não repúdio de uma mensagem
ou documento eletrônico. Ela permite que o destinatário possa verificar se a mensagem foi
realmente enviada pelo remetente alegado e se ela não foi modificada durante a transmissão.

PROCESSO DE CRIAÇÃO DE UMA ASSINATURA DIGITAL:

a) o signatário gera um resumo criptográfico de um documento eletrônico (utilizando
uma função hash);
b) o signatário cifra o resumo criptográfico com sua chave privada, associada a uma
chave pública constante do seu certificado digital, gerando a assinatura digital;
c) o documento eletrônico e a assinatura digital ficam associados para futura validação.

PROCESSO DE VERIFICAÇÃO DE UMA ASSINATURA DIGITAL:

a) o documento eletrônico e a assinatura digital associada são disponibilizados para o
verificador, juntamente com o certificado digital do signatário.
b) o verificador calcula novamente o resumo criptográfico do documento eletrônico;
c) o verificador decifra a assinatura digital com a chave pública do signatário, contida
no certificado digital, obtendo o resumo criptográfico gerado e cifrado pelo signatário no
momento da assinatura;
d) o verificador compara os resumos criptográficos obtidos nos passos b) e c). Se forem
iguais, significa que o documento eletrônico está íntegro e que é possível identificar o
signatário por meio do certificado digital. Caso contrário, a assinatura digital é inválida.

#FAZQUESTÃO
6
YOUTUBE - @fazquestao
INSTA - @fazquestao.diretoaoponto

A assinatura digital garante os seguintes aspectos:

1. Autenticidade: A assinatura digital fornece uma prova de que o remetente é quem
ele alega ser, pois apenas o remetente possui a chave privada correspondente à chave pública
utilizada na verificação da assinatura.
2. Integridade: A assinatura digital protege o documento ou mensagem contra
alterações não autorizadas. Se houver qualquer modificação no conteúdo, a verificação da
assinatura falhará, indicando que a mensagem foi adulterada.
3. Não repúdio: A assinatura digital impede que o remetente negue posteriormente
ter assinado a mensagem. Como a assinatura é única e exclusiva do remetente, ele não pode
alegar que não foi o autor da mensagem.

AUTENTICAÇÃO EM DOIS FATORES

Oferece identificação aos usuários através da combinação de dois componentes
diferentes. Esses componentes podem ser algo que o usuário sabe, algo que o usuário possui
ou algo que é inseparável do usuário.
Os fatores de identificação podem ser:
• algo que o usuário possui, como um pendrive, um cartão bancário, uma chave, ...,
• algo que o usuário sabe, um nome de usuário, uma senha, ...
• algo que faz parte do usuário, como a digital, padrões da íris, ....

CONCEITOS E TERMOS DA ÁREA DE SEGURANÇA

1. Ativo: Um ativo é qualquer elemento de valor para uma organização que precisa ser
protegido. Isso pode incluir informações, infraestrutura tecnológica, equipamentos,
instalações físicas e até mesmo pessoas.
2. Ameaça: Uma ameaça é qualquer evento, pessoa ou coisa que possa causar danos ou
comprometer a segurança de um ativo. Isso pode incluir ataques cibernéticos, desastres
naturais, falhas de segurança, erros humanos, entre outros.
3. Vulnerabilidade: Uma vulnerabilidade é uma fraqueza ou falha em um ativo,
sistema ou processo que pode ser explorada por uma ameaça. Essas vulnerabilidades podem
permitir acesso não autorizado, perda de dados, interrupção de serviços, entre outros
problemas de segurança.
4. Risco: O risco é a possibilidade de uma ameaça explorar uma vulnerabilidade e
causar danos a um ativo. Ele é a combinação da probabilidade de ocorrência de uma ameaça
com o impacto que ela pode ter.

Esses conceitos são fundamentais para a avaliação de riscos e para o desenvolvimento

de medidas de segurança adequadas. Ao identificar e compreender os ativos, ameaças, riscos
e vulnerabilidades em um ambiente, é possível implementar controles e estratégias para
mitigar os riscos e proteger os ativos de uma organização contra possíveis ameaças.

POLÍTICAS DE SEGURANÇA

#FAZQUESTÃO
7
YOUTUBE - @fazquestao
INSTA - @fazquestao.diretoaoponto
A política de "mesa limpa" e "tela limpa" são conceitos relacionados à segurança da
informação e boas práticas no ambiente de trabalho.
1. Política de "mesa limpa": Refere-se a uma prática em que os funcionários são
orientados a manter suas mesas de trabalho organizadas e livres de documentos,
informações sensíveis ou outros itens que possam representar riscos de segurança. O
objetivo é minimizar o acesso não autorizado a informações confidenciais e proteger a
privacidade dos dados. Isso inclui o hábito de não deixar documentos confidenciais expostos
ou desprotegidos quando o funcionário estiver ausente de sua mesa.
2. Política de "tela limpa": Refere-se à prática de manter as telas de computador
limpas de informações sensíveis ou confidenciais quando o usuário estiver ausente de sua
estação de trabalho. Isso envolve a adoção de medidas como bloquear a tela do computador
ou utilizar protetores de privacidade para evitar que pessoas não autorizadas visualizem ou
acessem dados confidenciais. O objetivo é proteger a confidencialidade das informações e
prevenir possíveis violações de segurança.

Essas políticas são importantes para garantir a segurança da informação, evitar

vazamentos de dados e proteger a privacidade das informações sensíveis. Ao implementar a
política de "mesa limpa" e "tela limpa", as organizações podem minimizar os riscos de acesso
não autorizado, roubo de informações ou espionagem no ambiente de trabalho.

MECANISMOS FÍSICOS E LÓGICOS

Em segurança da informação, existem dois tipos principais de mecanismos de
proteção: mecanismos físicos e mecanismos lógicos. A diferença entre eles está na
abordagem utilizada para garantir a segurança dos sistemas e das informações.

1. Mecanismos físicos: Os mecanismos físicos envolvem medidas de segurança

implementadas no nível físico, ou seja, na infraestrutura física dos sistemas e na proteção
física dos ativos de informação. Alguns exemplos de mecanismos físicos incluem:
➢ Controles de acesso físico: Portas com chaves, fechaduras eletrônicas, catracas,
cercas, câmeras de segurança, etc.
➢ Proteção física de equipamentos: Gabinetes de segurança, cofres, travas de
segurança, etc.
Esses mecanismos são projetados para prevenir o acesso físico não autorizado,
proteger os ativos de informação contra danos físicos e garantir a disponibilidade e
integridade dos sistemas.

2. Mecanismos lógicos: Os mecanismos lógicos referem-se a medidas de segurança

implementadas no nível lógico, ou seja, nas camadas de software, redes e políticas de
segurança. Eles são projetados para proteger os sistemas e as informações por meio de
controles lógicos e restrições de acesso. Alguns exemplos de mecanismos lógicos incluem:
➢ Autenticação de usuários: Senhas, autenticação de dois fatores, autenticação
biométrica, etc.
➢ Controle de acesso lógico: Permissões de usuário, grupos de acesso, políticas
de acesso, etc.

#FAZQUESTÃO
8
YOUTUBE - @fazquestao
INSTA - @fazquestao.diretoaoponto
➢ Criptografia: Criptografia de dados, comunicações seguras, certificados digitais,
etc.
➢ Firewalls: Proteção contra ataques de rede, filtragem de pacotes, controle de
tráfego, etc.
➢ Detecção de intrusão: Monitoramento de atividades suspeitas, alertas de
segurança, análise de logs, etc.

Esses mecanismos lógicos visam proteger as informações contra acesso não

autorizado, garantir a confidencialidade, integridade e disponibilidade dos dados, e detectar
e responder a possíveis ameaças e ataques.

#FAZQUESTÃO
9