Segurança de Sistemas

“Introdução e Conceitos”

Prof.: Cesar Andrade

goersch@sefaz.am.gov.br
 Por que estudar segurança?

● No início dos sistemas computacionais não

havia preocupação com segurança.
● Nem se quer existia ferramentas de
segurança!
● Quem nasceu primeiro: o vírus ou o
antivírus?
● “A ameaça fez nascer a necessidade”
 Noções de Segurança

● A segurança de Sistemas de Informação (SI)

envolve um conflito das organizações contra
oponentes humanos
● O oponente deve ser respeitado por ser
capaz de imaginar tudo o que o defensor
pode imaginar
 Mitos e Verdades

● Falta de conscientização
– As pessoas não estão cientes da verdadeira
importância da informação
– Algumas empresas dependem da informação
mais que outras, porém todas precisam da
informação
– Perda ou indisponibilidade da informação
acarreta em prejuízos financeiros, de mercado
ou da imagem institucional
 Mitos e Verdades

● Acreditar que não é preciso controlar a

informação
– Muitas pessoas acreditam que somente pelo
fato da informação estar em ambiente
computacional, ela está protegida.
– A proteção da informação armazenada depende
do controle de acesso aplicado a essa
informação.
 Mitos e Verdades

● Todos os usuários são honestos

– A honestidade dos usuários não é relevante, a
questão segurança deve ser tratada com
profissionalismo.
 Mitos e Verdades

● A empresa vai gastar dinheiro com

segurança
– Não existe milagre que proteja a informação
sem gastar dinheiro, tempo, esforço e paciência.
– Os gastos devem ser avaliados conforme o
tamanho do negócio.
 Mitos e Verdades

● O pessoal da informática resolve tudo

– Eles resolvem na verdade “quase” tudo
– Existem situações que os profissionais de
informática não poderão resolver
– A perda de um arquivo sem cópia de segurança
 Mitos e Verdades

● Nunca vai acontecer um desastre com a

nossa organização
– Pergunta errada: Qual a probabilidade de
acontecer um desastre?

– Pergunta correta: E se acontecer?

 Mitos e Verdades

● É só comprar um firewall!
– Firewall é somente um produto com uma
funcionalidade

– Segurança da informação abrange além de

produtos, políticas e estratégias.
 Mitos e Verdades

● Segurança é para grande empresas

– Proteger informação é uma obrigação de todas
as organizações

– A diferença é o volume dos recursos envolvidos

 Princípios de Segurança

● Princípio da mais fácil penetração

● Princípio da vida útil

● Princípio da efetividade
 Propriedades de Segurança

● Confidencialidade
● Integridade
● Disponibilidade
● Autenticidade
 Propriedades de Segurança

● Confidencialidade

– A informação deve ser protegida contra o acesso

ou compreensão de uma entidade não
autorizada
 Propriedades de Segurança

● Integridade

– A informação não deve ser alterada ou destruída

de maneira não autorizada
 Propriedades de Segurança

● Disponibilidade

– O acesso a informação por parte de um

processo autorizado deve ser sempre possível
 Propriedades de Segurança

● Autenticidade

– A identidade do remetente e do destinatário

devem ser garantidas em uma comunicação de
dados
 Considerações Finais

● A segurança é um processo contínuo e

dinâmico
● O processo de implantação é complexo
● O processo de implantação deve envolver
todos os escalões da organização e deve ser
de total aceitação da alta administração.
 Considerações Finais

“90% dos gerentes de tecnologia da informação

usam apenas antivírus para a proteção da rede”
 Exercício

● Em qual das propriedades de segurança

houve uma falha nas situações abaixo:

– Um usuário teve sua conta de banco invadida

após informar seus dados bancários para um
invasor que simulou ser o Banco do Brasil.
 Exercício
– O usuário teve sua senha da rede roubada após
seu colega de trabalho ter usado um sniffer para
capturar os pacotes que trafegavam com a
senha.
– Um usuário ao tentar acessar o site da Receita
Federal para conferir a situação de seu CPF
descobriu que o site foi hackeado e não está
mais no ar.