Escolar Documentos
Profissional Documentos
Cultura Documentos
Introduo Segurana
Motivao
Segurana no algo bin rio! "o e#iste rede e conse$uentemente informao totalmente segura! %ode&se falar em'
Mais segurana Menos segurana
Motivao
"ot)cias de (*+, -efesa dos ./A $uer regras 0ara evitar conflitos virtuais 1ac2er $ue clonava cart3es de crdito di4 $ue 0riso o levou 0ara o 5lado bom6 It lia detm $uatro e invade de4 casas em o0erao contra hac2ers do Anon7mous .&mails e#0irados do 1otmail 0odem facilitar roubo de contas do 8aceboo2 "a China9 hac2ers viram 0rofissionais "ot)cia falsa sobre ata$ue Casa :ranca afeta bolsa Ciberata$ue9 a arma l;gica da Coreia do "orte
C Out/2008
A 0ublicao do Divro Daranja 0elo -e0artamento de -efesa "orte Americano na dcada de B* 0ermitiu a sistemati4ao da disci0lina!
-efiniu n)veis de segurana!
<
+*
++
+(
Motivacional 1990
& %resena Institucional & %rinci0ais ata$ues' 0ichao9 negao de servio
8inanceiro 2000
& Comrcio .letrQnico & %rinci0ais ata$ues' roubo dados financeiros
+,
+@
F $ue a InformaoR
6A informao um ativo $ue9 como $ual$uer outro ativo im0ortante 0ara neg;cios9 tem um valor 0ara a organi4ao e9 conse$uentemente9 necessita ser ade$uadamente 0rotegidaS L":G ISFPI.C +BBAAM
+C
+=
F Talor da Informao
K determinada 0elo valor $ue o usu rio da a ela! .n$uanto um usu rio 0ode considerar um dado 0ouco interessante9 outros 0odem dar um valor maior ao mesmo! A rea de neg;cio no 0ode e#istir sem informao! %ara NI9 a informao considerada um fator de 0roduo!
+B
Ativo da Informao
K $ual$uer com0onente 0ara $ual a organi4ao atribui valor e est associado a alguma informao!
Informao em 0a0el
SoftUare
1ardUare
%lanilhas
%essoas
+<
Ativo da Informao
A organi4ao deve determinar $uais ativos causam maior im0acto em caso de 0erda! A informao um 0atrimQnio!
+A
Telhos jarg3es
6F segredo a alma do neg;cioSV
"ovas tendWncias
Mundo ?lobali4ado9 /bi$Xidade9 Acesso a Informao!
(*
Ni0os de Informao
Pblica informao $ue 0ode vir a 0blico sem maiores conse$uWncias danosas ao funcionamento normal da em0resaV Interna o acesso a esse ti0o de informao deve ser evitado9 embora as conse$uWncias do uso no autori4ado no sejam 0or demais sriasV
(+
Ni0os de Informao
!onfidencial informao restrita aos limites da em0resa9 cuja divulgao ou 0erda 0ode levar a dese$uil)brio o0eracional9 e eventualmente9 0erdas financeirasV "ecreta informao cr)tica 0ara as atividades da em0resa9 cuja integridade deve ser 0reservada a $ual$uer custo e cujo acesso deve ser restrito a um nmero bastante redu4ido de 0essoas!
Sugesto de Deitura' Dei de Acesso a informao htt0'PPUUU!acessoainformacao!gov!brPacessoainformacaogovPacesso& informacao&brasilPinde#!as0
%rof Alessandro Cruvinel Machado de Arajo
&
((
8ormatos da Informao
Im0ressa ou escrita em 0a0el
Mostrada em Tideo
Arma4enada .letronicamente
%rof Alessandro Cruvinel Machado de Arajo (,
8ormatos da Informao
Terbal
.stados da Informao
Criada Nransmitida %rocessada
/sada
Arma4enada
Corrom0ida
%erdida
-estru)da
(C
A#ioma de Segurana
6/ma corrente no mais forte $ue o seu elo mais fracoS
(B
Segurana da Informao
A segurana da informao est relacionada com 0roteo de um conjunto de dados9 no sentido de 0reservar o valor $ue 0ossuem 0ara um indiv)duo ou uma organi4ao! A Segurana da Informao constitu)da9 basicamente9 0or um conjunto de controles9 incluindo'
%ol)tica %rocessos .struturas organi4acionais "ormas e 0rocedimentos de segurana! 8un3es de softUare e hardUare
Fbjetiva a 0roteo das informa3es dos clientes e da em0resa9 nos seus as0ectos de confidencialidade9 integridade e dis0onibilidade!
%rof Alessandro Cruvinel Machado de Arajo (<
%ol)tica de Segurana
Nrata&se de um conjunto de diretri4es LnormasM $ue definem formalmente as regras e os direitos dos usu rios9 visando 0roteo ade$uada dos ativos da informao!
(A
Ativos L:ensM
-ados "mero de Cart3es de Crdito %lanos de Mar2eting C;digos 8onte Servios Comunicao Informa3es de Heb sites Dogins G1 Acesso a Nransao Internet Controladores 8inanceira de -om)nio Correio .letrQnico .G%
%rof Alessandro Cruvinel Machado de Arajo ,*
Conceitos : sicos
Ameaa
.vento ou atitude indesej vel $ue 0otencialmente remove9 desabilita9 danifica ou destr;i um recursoV
Tulnerabilidade
Caracter)stica de fra$ue4a de um bemV Caracter)sticas de modificao e de ca0tao de $ue 0odem ser alvos os bens9 ativos9 ou recursos intang)veis de inform tica9 res0ectivamente9 softUare9 ou 0rogramas de bancos de dados9 ou informa3es9 ou ainda a imagem cor0orativa!
,+
Conceitos : sicos
Gisco
A 0robabilidade da ocorrWncia de uma ameaa em 0articular A 0robabilidade $ue uma ameaa e#0lore uma determinada vulnerabilidade de um recurso
,(
Gisco
bai#o9 devido ao 0ercentual de assaltos versus o universo de agWncias alto9 se com0arando as tentativas frustradas versus as bem sucedidas
,,
,@
Conceitos 8undamentais
%rinc)0ios da Segurana
!onfidencialidade
,B
Confidencialidade
%ro0riedade de manter a informao a salvo de acesso e divulgao no autori4adosV %roteger as informa3es contra acesso de $ual$uer 0essoa no devidamente autori4ada 0elo dono da informao9 ou seja9 as informa3es e 0rocessos so liberados a0enas a 0essoas autori4adas!
,<
Integridade
%ro0riedade de manter a informao acurada9 com0leta e atuali4ada! %rinc)0io de segurana da informao atravs do $ual garantida a autenticidade da informao! F usu rio $ue ar$uiva dados es0era $ue o contedo de seus ar$uivos no seja alterado 0or erros de sistema no su0orte f)sico ou l;gico!
,A
-is0onibilidade
%ro0riedade de manter a informao dis0on)vel 0ara os usu rios9 $uando estes dela necessitarem! Gelao ou 0ercentagem de tem0o9 em $ue uma unidade do e$ui0amento de 0rocessamento est funcionando corretamente!
@*
Atividade
Geali4e uma 0es$uisa sobre os mecanismos dis0on)veis 0ara a manuteno da dis0onibilidade da informao!
@+
Controles de Segurana
Controles escolhidos 0ara 0roteger os ativos da informao9 $ue sero utili4ados 0ara atender 0ol)tica9 no S?SI
@(
@,
Segurana da Informao
@@
-e0endWncia dos sistemas de informao torna as organi4a3es mais vulner veis s ameaas!
Controle de acesso cada ve4 mais dif)cil!
@C
Consultoria es0eciali4ada 0ode ser necess ria! Controles so mais baratos e eficientes $uando im0lantados em fases iniciais!
%rof Alessandro Cruvinel Machado de Arajo @=
%rinc)0ios Au#iliares
Controle de Acesso
Identificao
Sigilo
Autenticao
Autori4ao
Auditoria
@B
Controle de Acesso
Su0orta os 0rinc)0ios da CIA! So mecanismos $ue limitam o acesso a recursos9 baseando&se na identidade do usu rio9 gru0o $ue integra e funo $ue assume! .m segurana9 su0ortado 0ela tr)ade AAA Ldefinida na G8C ,+(BM Mtodos
$*! LDiscretionary Access Control) & determinada 0elo 0ro0riet rio! '*! LMandatory Access Control M & determinada 0elo sistema! +,*! LGole&:ased Access ControlM & uma abordagem 0ara restringir o acesso a usu rios autori4ados baseada em 0a0eis!
%rof Alessandro Cruvinel Machado de Arajo @<
Controle de Acesso
CA Y AAA
*utentica&-o & estabelecer ou confirmar algum Lou algoM como autWnticoV *utori.a&-o & mecanismo res0ons vel 0or garantir $ue a0enas usu rios autori4ados consumam os recursos 0rotegidos de um sistema com0utacionalV *uditoria & um e#ame cuidadoso e sistem tico das atividades reali4adas!
@A
C*
Auditoria LAccountabilit7M
K a ca0acidade $ue um sistema tem de determinar as a3es e com0ortamentos de um nico indiv)duo no sistema9 e de identificar este indiv)duo! Nrilha de auditoria9 tentativas de acesso9 0roblemas e erros de m $uina9 e outros eventos monitorados ou controlados!
C+
Autenticao
%ro0riedade de confirmar a identidade de uma 0essoa ou entidade! Meio 0elo $ual a identidade de um usu rio confirmada9 e garante $ue ele realmente $uem di4 ser
C(
Autori4ao
So os direitos ou 0ermiss3es9 concedidos a um indiv)duo ou 0rocesso9 $ue 0ermite acesso a um dado recurso! A0;s a identificao e autenticao de um usu rio terem sido estabelecidas9 os n)veis de autori4ao iro determinar a e#tenso dos direitos $ue este usu rio 0ode ter em um dado sistema!
C,
Sigilo
Nrata&se do n)vel de confidencialidade e garantia de 0rivacidade de um usu rio no sistemaV .#!' ?arante a 0rivacidade dos dados de um usu rio em relao ao o0erador do sistema!
Identificao
Meio 0elo $ual o usu rio a0resenta sua identidade! Mais fre$uentemente utili4ado 0ara controle de acesso9 necess rio 0ara estabelecer Autenticao e Autori4ao!
%rof Alessandro Cruvinel Machado de Arajo C@
CC
C=
CB
C<
CA
-esafios da Segurana
Identificar e Nratar os %roblemasV
F \ue %rotegerR Como %rotegerR
=*
Tandalismo I"N.G"F
LAdulterao de -adosP%rogramasM
=+
F $ue %roteger R
4odos os *tivos de Informa&-o
Ar$uivos digitais9 0rogramas digitais9 0rogramas9 documentos9 e$ui0amentos9 instala3es9 0essoas9 etc!
=(
Como %roteger R
?arantindo'
!onfidencialidade
Conhecida 0or $uem est autori4ado
Inte#ridade
Divre de altera3es indevidas
$is%onilidade
Acess)vel $uando necess ria
=,
=@
An lise de Gisco
Atividade $ue visa analisar um ambiente na busca de Tulnerabilidades! Fbjetivos'
Identificar os 0rocessos cr)ticosV Identificar os ativos cr)ticosV Identificar as ameaas 0otenciaisV Identificar as vulnerabilidades 0resentesV Sugerir a3es corretivas e 0reventivasV
%rodu4'
-iagn;stico da seguranaV Gecomenda3es 0ara a 0roteo dos ativosV
%rof Alessandro Cruvinel Machado de Arajo =C
Contedo'
Com0rometimento da alta direo e funcion riosV Gegras gerais de condutaV %reveno contra ameaasV Atribui3es e res0onsabilidadesV
==
=B
Auditoria de Sistemas
.#ame das o0era3es9 0rocessos e sistemas com intuito de verificar conformidade com os 0adr3es definidos!
=<
.stas entidades interagem das formas mais variadas e im0revis)veis! A Segurana falhar se focar a0enas em 0arte do 0roblema! Necnologia no nem o 0roblema inteiro9 nem a soluo inteira!
%rof Alessandro Cruvinel Machado de Arajo B*
"ormas de Segurana
B+
-om)nios de Conhecimento
6Nhe International Information S7stems Certification Consortium9 Inc! ^LISCM_`S
htt0'PPUUU!isc(!org
Securit7
A LISCM( define +* dom)nios de conhecimento LC:EM9 0ara sua certificao introdut;ria CISS%
Certified Information S7stems Securit7 %rofessional Common :od7 of EnoUledge
B(
B,
8ilmes
aogos de ?uerra LHar?amesM
+A<,9 v rios
A Senha LSUordfishM
(**+9 aohn Nravolta
Atividades da Aula
+! 8aa a leitura e reali4e um resumo da Dei de Acesso a informao Lhtt0'PPUUU!acessoainformacao!gov!brPacessoainformacaogovPacesso&informacao&brasilPinde#!as0 M (! Geali4e uma 0es$uisa sobre os mecanismos dis0on)veis 0ara a manuteno da dis0onibilidade da informao! ,! Segurana da Informao im0ortante 0ara a em0resa na $ual vocW trabalhaR austifi$ue a sua res0osta! @! Ao longo dessa semana 0rocure Le traga 0ara a 0r;#ima aulaM re0ortagens $ue tenham a segurana da informao como tema central e $ue envolvam as0ectos como es0ionagem9 fraudes e ata$ues! C! %es$uise sobre os diferentes ti0os de ameaa digital!
BC
Atividade :imestral
+! -esenvolver material de conscienti4ao LcartilhaM sobre um dos diferentes ti0os de ameaas digitaisV
F material de conscienti4ao de cunho informativo e voltado 0ara usu rios finais
Atividade :imestral
,! Sugesto de temas'
Ta4amento de Informa3es Ldata loss 0reventionMV Segurana em Gedes SociaisV Segurana de SenhasV MalUares em geralV .ngenharia Social!
BB
Atividade Semestral
+! -esenvolva algum ti0o de mecanismo de segurana da informao!
-eve ser im0lementado em aATA -eve ser feito em gru0o de @ 0essoas Talera uma das , notas da disci0lina Ideias'
Mecanismo de controle de acesso genrico %ro#7 8ireUall Segurana 0ara dis0ositivos m;veis Ldica de leitura htt0'PPUUU!0rofissionaisti!com!brP(*+(P*<Pseguranca&da&informacao&em&
dis0ositivos&moveisPM
%roteo 0ara acesso via Internet de a0lica3es H.: Comunicao LtelefoniaM segura! .tc!
%rof Alessandro Cruvinel Machado de Arajo B<