segurança da informaçãoluizhoffmann.com.br/docs/seguranca/aulas/aula_1.pdf · •“segurança...
TRANSCRIPT
![Page 1: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/1.jpg)
• “Segurança da informação é a proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação não-autorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento”.
Segurança da Informação
![Page 2: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/2.jpg)
Motivação
• Segurança não é algo binário • Não existe rede totalmente segura • Pode-se falar em:
–Mais segurança –Menos segurança
• Portanto: gerenciamento de SI deve ser constante
![Page 3: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/3.jpg)
Informação
• Informação pode existir de muitas formas: – Impressa ou escrita em papel – Armazenada eletronicamente – Transmitida pelo correio ou meios eletrônicos – Mostrada em filmes – Falada em conversas
• Sempre deve ser protegida adequadamente
![Page 4: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/4.jpg)
Informação
15
![Page 5: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/5.jpg)
Classificação das informações
• Pública – informação que pode vir a público sem maiores consequências danosas ao funcionamento normal da empresa;
• Interna – o acesso a esse tipo de informação deve ser evitado, embora as consequências do uso não autorizado não sejam por demais sérias;
• Confidencial – informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras;
• Secreta – informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas.
![Page 6: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/6.jpg)
Ciclo de vida da informação
![Page 7: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/7.jpg)
Segurança da Informação
• Preservação de:
Confidencialidade
Integridade
Disponibilidade
![Page 8: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/8.jpg)
Segurança da Informação
disponibilidade
dados e
serviços
![Page 9: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/9.jpg)
Sistema seguro
• Confidencialidade – A informação somente pode ser acessada por pessoas explicitamente autorizadas; é a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo.
• Disponibilidade – A informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária;
• Integridade – A informação deve ser retornada em sua forma original no momento em que foi armazenada.
![Page 10: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/10.jpg)
Componentes da SI
Segurança da Informação
Gestão de SI
Segurança de computadores e dados
Política
Segurança de rede
![Page 11: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/11.jpg)
Como a SI pode ser obtida? • Implementando CONTROLES, para garantir que os
objetivos de segurança sejam alcançados
Políticas Práticas
Procedimentos
Estruturas organizacionais Funções de softwares/hardware
![Page 12: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/12.jpg)
Segurança da Informação
![Page 13: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/13.jpg)
Por que SI é necessária?
• As informações são constantemente colocadas à prova por diversos tipos de ameaças – Fraudes eletrônicas, sabotagem, vandalismo, etc.
• Dependência nos sistemas de informação torna as organizações mais vulneráveis às ameaças – Controle de acesso é cada vez mais difícil
• Sistemas de informação não foram projetados para serem seguros – Codificação segura (evita buffer overflow, SQL Injection,
PHP Injection, etc)
![Page 14: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/14.jpg)
SI: Técnica X Gestão
• A segurança que pode ser alcançada por meios técnicos é limitada
• Deve ser apoiada por gestão e procedimentos • Identificação dos controles a serem implantados requer
planejamento cuidadoso e detalhado • Todos funcionários devem participar, no mínimo
– Talvez fornecedores, clientes, terceiros, etc.
• Consultoria pode ser necessária • Controles são mais baratos e eficientes quando
implantados em fases iniciais
![Page 15: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/15.jpg)
26
SI: Objetivos expandidos
• Confidencialidade – Garantia de que apenas pessoas autorizadas tenham acesso a
informação • Integridade
– Manutenção do valor e do estado da informação; Proteção contra alterações não autorizadas
• Disponibilidade – Garantia que a informação estará disponível quando necessária
• Não repúdio – Habilidade de provar que o remetente realmente enviou ou é autor
de uma informação • Autenticação
– A prova da identidade para concessão da autorização
![Page 16: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/16.jpg)
Segurança Física
![Page 17: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/17.jpg)
28
Segurança: Principais Ameaças
• Falhas em equipamentos, SO e aplicativos • Acesso físico não autorizado (infraestrutura
predial) • Perda de comunicação voz e dados • Vandalismo, roubo, furto • Fatores naturais
– Incêndio, Inundação, Furacões, Desabamentos – Explosões, Raios, Terremotos
• Fatores humanos envolvidos – Negligência – Despreparo – Desinformação
![Page 18: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/18.jpg)
Segurança Física
Algumas Proteções & Soluções
![Page 19: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/19.jpg)
30
Mobile Recovery Center
Fonte: www.recovery.sungard.com
Î Capacidade de 50 a 150 usuários
Î Comunicação: � Satélite, Local
Wireless, DSL, T3, Fibra ótica, Microondas, Ethernet, Token Ring
Î Climatização Î À prova de barulho Î Gerador Î Disponibilidade 24 x 7 Î Atendimento em 24h
![Page 20: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/20.jpg)
31
Cofres anti-fogo
Poucas mídias Grande volume de mídias Servidores
![Page 21: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/21.jpg)
32
Sala-cofre
Piso elevado
Porta dupla
Painel de controle
Paredes modulares
Blindagem para cabos
Revestimento anti-fogo
![Page 22: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/22.jpg)
33
Aplicação para uma Sala-cofre
Sala-cofre no Centro de Operações da Infraero
![Page 23: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/23.jpg)
34
Monitoração Integrada na LAN
Transmissão Vídeo
Servidor Web
Câmeras
Controlador
Console remota
Console local
Internet
Fonte: www.sitway.com/sin/english/product/product06.htm
![Page 24: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/24.jpg)
Segurança Física
Mecanismos de Autenticação
![Page 25: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/25.jpg)
36
Dispositivos de Autenticação • O grau de segurança empregado depende do valor da
informação que protege
• Tokens Æ o que você tem • Passwords Æ o que você sabe • Smart Cards Æ o que você sabe + o que você tem • Autenticação biométrica Æ baseada em características do
usuário - você é a senha!
![Page 26: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/26.jpg)
Biometria • Impressão digital • Retina/Íris do olho • Características faciais • Reconhecimento de voz • Geometria e veias das mãos • Padrão de escrita • Poros da pele • Análise de DNA • Formato da orelha • Composição química do odor corporal • Emissões térmicas • Geometria dos dedos • Identificação da unha • Maneira de andar
![Page 27: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/27.jpg)
Ataques & Incidentes
Tipos, Motivos, Efeitos
![Page 28: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/28.jpg)
Morais da segurança
• As portas dos fundos são tão boas quanto as portas da frente. • Uma corrente é tão forte quanto o seu elo mais fraco. • Um invasor não tenta transpor as barreiras encontradas, ele
vai ao redor delas buscando o ponto mais vulnerável.
![Page 29: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/29.jpg)
Ataques
Interceptação Modificação
Interrupção Personificação
![Page 30: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/30.jpg)
Ataques clássicos
![Page 31: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/31.jpg)
Tipos de Ataques
z DoS - Negação de serviço z Spam z Phishing spam z Ataques de força bruta z Farejamento de pacotes (packet sniffing) z Varreduras z Ataques ao TCP/IP z Malware z outros
![Page 32: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/32.jpg)
Malware (códigos maliciosos)
• Vírus • Worms • Bots • Cavalos de Tróia • Backdoors • Keyloggers/Screenloggers • Spywares • Rootkits
![Page 33: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/33.jpg)
Redes sem fio
z IEEE 802.11 z Bluetooth z 3G, 4G z Wimax z Dispositivos móveis z Redes de sensores z Internet da coisas
![Page 34: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/34.jpg)
O que podemos utilizar para
diminuir os riscos? z Educação do usuário final. z Antivírus. z Antispyware. z Filtro AntiSpam. z Backup dos Dados z Criptografia. z Firewall. z Sistemas de Detecção de Intrusão z Política de segurança z Gestão de segurança da informação.
![Page 35: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/35.jpg)
Tendências da Segurança
• Era de ouro do hacking? • Adoção rápida de novas técnicas e tecnologias, muitas
delas não testadas • Utilizamos algumas dessas tecnologias para a proteção da
informação • Grande número de vulnerabilidades • Informações amplamente disponíveis para o aprendizado
![Page 36: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/36.jpg)
Tendências – Cenário pessimista
• O expertise dos hackers está aumentando • A sofisticação dos ataques e das ferramentas de ataque está
aumentando • A efetividade das invasões está aumentando • O número de invasões está aumentando • O número de usuários da Internet está aumentando • A complexidade dos protocolos, das aplicações e da rede está
aumentando • A complexidade da própria Internet está aumentando • Existem problemas de projeto na infraestrutura da informação • O ciclo de desenvolvimento e testes de software está diminuindo • Softwares com vulnerabilidades, algumas repetidas, continuam sendo
desenvolvidos
![Page 37: Segurança da Informaçãoluizhoffmann.com.br/docs/Seguranca/Aulas/Aula_1.pdf · •“Segurança da informação é a proteção dos sistemas de informação contra a negação de](https://reader036.vdocuments.site/reader036/viewer/2022070820/5f1d622b85f44d3e734aad8f/html5/thumbnails/37.jpg)
Tendências – Cenário otimista
• Desenvolvimento de software com preocupação com a segurança
• Projetos de rede com preocupação com a segurança
• Segurança fazendo parte de qualquer aspecto da tecnologia, assim como a qualidade faz parte de produtos e processos