introduÇÃo À seguranÇa da informaÇÃo introduÇÃo À seguranÇa da informaÇÃo prof. dr....
TRANSCRIPT
![Page 1: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/1.jpg)
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Prof. Dr. Daniel Caetano
2020 - 1
PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO – PARTE II
![Page 2: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/2.jpg)
Objetivos
• Compreender o conceito de autenticidade e não repúdio
• Conhecer os diferentes tipos e mecanismos de autenticação
• Conceituar segurança lógica e física
• Compreender o ciclo de vida da informação
![Page 3: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/3.jpg)
Material de Estudo
Material Acesso ao Material
Notas de Aula e Apresentação
http://www.caetano.eng.br/ (Segurança da Informação – Aula 2)
Material Didático Gestão de Segurança da Informação, Cap 1.
Leitura Adicional http://www4.planalto.gov.br/cgd/assuntos/publicacoes/2511466.pdf (TCU - Cap. 2)
![Page 4: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/4.jpg)
Antes de Mais nada...
Professor Informações de Contato
Daniel Caetano [email protected]
• Não deixe de consultar o material da 1ª Aula!
• Otimize seus estudos – Toda semana acessar o SAVA!
– Se preparar para conteúdo da semana seguinte!
• Exercícios Semanais – Exercícios propostos a cada aula: SAVA
• Será controlada a presença – Chamada ocorrerá sempre às 20:30 / 22:25
• Contato
![Page 5: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/5.jpg)
RETOMANDO:
INFORMAÇÕES E SUA SEGURANÇA
![Page 6: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/6.jpg)
Hierarquia DIKW • Ciência da Informação
– Pirâmide do conhecimento
![Page 7: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/7.jpg)
Importância da Informação
• Informações são um ativo da empresa
– Devem ser protegidas!
• Garantir continuidade dos negócios
• Maximizar o retorno de investimentos/oportunidades
• Minimizar transtornos.
• Informação em constante risco
– Em especial porque muitas são “sensíveis”
• Proteção dos negócios
• Lei Geral de Proteção de Dados
![Page 8: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/8.jpg)
Princípios Fundamentais
• Equação fundamental da segurança
• Objetivo: garantir
– Confidencialidade
– Integridade
– Disponibilidade.
𝑃𝑟𝑎𝑡𝑖𝑐𝑖𝑑𝑎𝑑𝑒 =1
𝑆𝑒𝑔𝑢𝑟𝑎𝑛ç𝑎
![Page 9: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/9.jpg)
AUTENTICIDADE E NÃO-REPÚDIO
![Page 10: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/10.jpg)
Problemas de Autenticidade
• Ex.: alguém sacar seu dinheiro em seu nome
• Alguns outros problemas possíveis
– Alguém enviar mensagem em seu nome
– Alguém acessar um sistema em seu nome
– Alguém visualizar documentos que só você deveria
– Alguém interceptar mensagem destinadas a você
– ...
• Como evitar?
![Page 11: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/11.jpg)
Garantia de Autenticidade
• Autenticidade: sem adulterações
– De usuário/pessoa
– Do documento/autor.
• Autenticidade garantida por dois mecanismos
– Autenticação: Partes são quem dizem ser
– Assinatura Digital: Mensagem inalterada (inclui autoria)
![Page 12: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/12.jpg)
Garantia de Autenticidade
• Requisitos da autenticidade:
– Autenticação da origem
– Autenticação do destino
– Integridade da informação.
• Consequência: não-repúdio
– Garantir a responsabilização dos envolvidos
![Page 13: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/13.jpg)
Garantia da Autenticidade
• Segurança: lógica + física
– Conteúdo + Meio Portante
• Controle de Acesso
![Page 14: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/14.jpg)
CONTROLE DE ACESSO
![Page 15: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/15.jpg)
Controle de Acesso
• Segurança pressupõe controle de acesso
– Físico: portões, muros etc.
– Lógico: login, registros (logging etc.).
• Envolve – Recurso: o que será protegido
– Usuário: quem pode acessá-lo / modificá-lo
Tudo é proibido a menos que
expressamente permitido
![Page 16: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/16.jpg)
Controle de Acesso
• Dois pontos fundamentais de interesse
– Proteger informações e transações de usuários não autorizados
– Monitoramento do acesso a recursos críticos para a empresa.
• Permitir a responsabilização dos usuários
• Permitir a auditoria
– Identificar a falha e como ela foi explorada.
![Page 17: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/17.jpg)
Controle de Acesso: Procedimento
• Logon/Login: dois processos básicos
– Identificação: qual é o usuário e suas permissões
– Autenticação: comprovar a identidade
• Identificação: por meio de informação única
– Número de identificação, nome de usuário...
• Autenticação: informação ou item de posse exclusiva do usuário
– Senha, medição biométrica, chave criptográfica...
![Page 18: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/18.jpg)
Controle de Acesso: Procedimento
• Logon/Login: dois processos básicos
– Identificação: qual é o usuário e suas permissões
– Autenticação: comprovar a identidade
• Resumindo
– Identificação + Algo que usuário sabe ou tem
![Page 19: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/19.jpg)
Dificuldades Associadas
• Logon: muito importante
– Restringir as operações aos usuários permitidos
– Registrar ações executadas
• Processo precisa ser resistente à “invasão”:
– Cartões: podem ser perdidos
– Userids: podem ser fornecidos facilmente
– Senhas: anotações, senhas fracas, força bruta...
– Biometria: falsos negativos, custo...
• Limitar o número de tentativas
![Page 20: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/20.jpg)
Sistemas de Registro (Logging)
• Finalidade: auditoria
• Logs devem registrar
– Tudo que um usuário fez
– Quem fez qualquer coisa.
• Demanda ações da administração do sistema
– Cadastro / Comunicação de Senhas
• Cada usuário é único no sistema (incluindo adms)
– Controle de alterações nas permissões
– Gerenciamento de Logs
– Auditorias Frequentes.
![Page 21: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/21.jpg)
Assinaturas Digitais
• Objetivo: garantir integridade e não-repúdio
• Requisitos
– Receptor: verificar identidade do autor
– Autor: não repudiar o conteúdo
– Receptor/Intermediário: não alterar/forjar conteúdo.
• Meio comum: Criptografia de Chave Pública
– Chave Privada: só o autor da mensagem possui
– Chave Pública: disponível publicamente em local confiável
![Page 22: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/22.jpg)
Assinaturas Digitais
• Mecanismo
– Autor prepara mensagem
– Autor envia a mensagem
– Receptor testa a mensagem/autor
Mensagem Hash Criptografar com
Chave Privada Gera
Mensagem Hash Criptografado
Mensagem Hash Gerado
Decifra com a Chave Pública
Gera
Hash Criptografado
Hash Criptografado
Hash Decifrado
![Page 23: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/23.jpg)
SEGURANÇA FÍSICA X LÓGICA
![Page 24: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/24.jpg)
Aspectos Lógicos x Físicos
• Dado em Si x Meio Portante
– Texto em uma folha de papel
– Bytes em um SSD.
• Integridade
– Lógica: conteúdo e autoria preservados
– Física: integridade do meio portante
![Page 25: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/25.jpg)
Aspectos Lógicos x Físicos
Não existe segurança lógica
sem segurança física
![Page 26: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/26.jpg)
Aspectos Lógicos x Físicos
• Elementos da Segurança lógica:
– Identificação/Autenticação
– Registro em Logs
– Controle de Permissões de Acesso.
• Elementos da Segurança Física?
– Aspectos físicos do controle de acesso
– Quais?
![Page 27: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/27.jpg)
Aspectos Lógicos x Físicos
• Elementos da Segurança Física
– Segurança puramente física
• Portão com cadeado, porta com chave
• Ainda assim, existe uma espécie de autenticação!
– Suporte aos mecanismos lógicos
• Identificação/autenticação falhou: barrar invasor
– Portas, muros, grades
• Invasor entrou: detectá-lo / identificá-lo
– Sensores, câmeras, alarmes
![Page 28: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/28.jpg)
Segurança Lógica x Física
• Papel chave no controle de acesso físico
– Nada é seguro se houver acesso físico
– Há muitos anos... (FBI)
• 72% dos ataques originam-se em funcionários
• 20% por autorizados pela empresa
• 8% por agentes externos (pessoas sem permissões)
– Hoje (Kaspersky/Redteam)
• 50%+ ainda são originados em funcionários
• 71% dos vazamentos acidentais
• 68% dos vazamentos por ignorar a política
• 61% dos casos de vazamento maliciosos
![Page 29: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/29.jpg)
Segurança Lógica x Física
• Controle de Acesso Físico Automatizado
– Software: controle de acesso e apoio à auditoria
– Características desejáveis
• Proteção contra ataques forçados
• Atualização do sistema
• Registro de acessos detalhado
• Autenticação por senha (smartcard + senha)
• Bloqueio de múltiplos acessos
• Controle centralizado de acesso
• Monitoração e relatórios de incidentes
• Proteção de equipamentos e sistema backup.
![Page 30: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/30.jpg)
Segurança Física
• Retomando
– Segurança Física sem Lógica: Ok (Cadeado)
– Segurança Lógica sem Física: Não Ok (Muro?)
• Pular muro
• Investimentos em segurança Física
– Grades, muros e portas
– Guardas, crachás, sistemas de portas duplas
• É só controle de acesso?
– Proteção contra agentes naturais e criminosos
– Dificultar espionagem.
![Page 31: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/31.jpg)
CICLO DE VIDA DA INFORMAÇÃO
![Page 32: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/32.jpg)
Informação: do Berço ao Túmulo
• A informação é eterna?
– Não!
• Em algum momento ela é criada...
– E depois de ser usada...
– Pode ser que seja destruída.
• O que mais pode ocorrer?
– Ciclo de Vida da Informação
![Page 33: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/33.jpg)
Ciclo de Vida da Informação
• Sintetizando em 4 etapas
Manuseio Armazenamento Transporte Descarte
![Page 34: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/34.jpg)
Ciclo de Vida da Informação
![Page 35: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/35.jpg)
Ciclo de Vida da Informação
Criar, importar ou modificar dados
Detectar dados
Classificar e Rotular Dados
Proteger os dados com base em Política
de Segurança
Enviar, compartilhar e mover dados
Monitorar Dados
Reter, expirar e deletar dados
![Page 36: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/36.jpg)
CONCLUSÕES
![Page 37: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/37.jpg)
Resumo e Próximos Passos • Autenticidade e Não-Repúdio
• Controle de Acesso
• Segurança Lógica x Física
• Ciclo de Vida da Informação
• O que é gestão de risco?
• Qual é o processo?
• Análise de Risco
![Page 38: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO introduÇÃo À seguranÇa da informaÇÃo prof. dr. daniel caetano 2020 - 1 princÍpios de seguranÇa da informaÇÃo – parte ii](https://reader034.vdocuments.site/reader034/viewer/2022042313/5edc0a9aad6a402d66668980/html5/thumbnails/38.jpg)
PERGUNTAS?