1. Programa 1. Segurança da Informação a. Conceitos e Princípios de Segurança da Informação b. A Segurança e o Ciclo de Vida da Informação c. Classificação

Segurança e Auditoria de SistemasSegurança da Informação - Parte

III

1

Prof. Msc. Vitor Mesaque Alves de Lima

2

Programa

1. Segurança da Informaçãoa. Conceitos e Princípios de Segurança da Informaçãob. A Segurança e o Ciclo de Vida da Informaçãoc. Classificação e Controle dos Ativos de Informaçãod. Aspectos Humanos da Segurança da Informaçãoe. Segurança do Ambiente Físico e Lógicof. Controle de Acessog. A Organização da Segurançah. A Segurança no Contexto da Governança de TI2. Segurança no Desenvolvimento de Softwarea. Modelos de Especificação da Segurançab. Especificação da Segurança Desejadac. Segurança do Ambiente de Desenvolvimentod. Garantia da Segurança da Aplicação3. Auditoria em Sistemas de Informaçãoa. Fundamentos em Auditoria de Sistemas de Informaçãob. Metodologia de Auditoria de Sistemas de Informaçãoc. Ferramentas de Auditoria de Sistemas de Informaçãod. Técnicas de Auditoria de Sistemas de Informaçãoe. Auditoria na Aquisição, Desenvolvimento, Documentação e Manutenção de Sistemas de Informaçãof. Auditoria no Processo ou Metodologia de Desenvolvimento de Sistema de Informaçãog. Auditoria de Sistemas de Informação em Produção4. Política de Segurançaa. Os Planos de Segurança

3

Características de Segurança Importância da Segurança da Informação O que é um Sistema de Informação? Dados e Informação

Ativo Ciclo de vida da informação Classificação e Controle dos Ativos da Informação Monitoramento contínuo Incidente de Segurança Problemas de Segurança Definições de Segurança Métricas de Segurança Política de segurança Aspectos Humanos da Segurança da Informação

◦ O profissional de segurança

◦ A Engenharia Social

Aula passada...

4

Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005

A Norma foi influenciada pelo padrão inglês BS7799 (British Standard).

A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês.

A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos.

Final da aula passada...

5

Compilação de recomendações para melhores práticas de segurança, que podem ser aplicadas por empresas de qualquer porte ou setor.

O grande objetivo da norma é o de garantir a continuidade dos negócios por meio da implantação de controles, reduzindo muito as possibilidades de perda das informações.

ISO/IEC 17799

6

A ISO 17799 define como barreiras de segurança quaisquer medidas preventivas que impeçam os ataques aos ativos da informação

Dois tipos de medidas◦Físicas – muros, cercas e trancas◦Lógicas – senhas, firewalls, certificados

digitais, assinatura digital, criptografia, etc.

Segurança da InformaçãoSegurança do Ambiente

Barreiras de Segurança

7

Segurança da Informação

Segurança do Ambiente Físico

8

Para garantir a segurança física dos ativos da informação é preciso combinar medidas de:

◦ Prevenção;

◦ Detecção;

◦ e Reação aos possíveis incidentes de segurança.

Segurança da InformaçãoSegurança do Ambiente Físico

Tipos de Medidas

9

Importante definir o perímetro de segurança do ambiente físico:◦ Contorno ou linha imaginária que delimita uma área ou

região

O perímetro ajuda a estabelecer melhor os investimentos e definir os tipos de barreiras mais adequados

Exemplos de perímetro: salas, prédios, geradores, cofres, etc.


Perímetro de Segurança

10

É importante elaborar um projeto de áreas de segurança dentro de um perímetro seguro de ameaças de:◦ poeira, fumaça, vibração, vazamento de água,

explosão ou desastres naturais

Áreas que contenham equipamentos exigem medidas contra acesso não autorizado, dano ou furto◦ Exemplo: treinamento específico para os prestadores

de serviços de limpeza e manutenção


Segurança em escritórios, salas e instalações de processamento de dados

11

Os equipamentos precisam ser protegidos contra:◦ Falha de energia◦ Problemas na alimentação elétrica◦ Defeitos de Hardware

Medidas:◦ Alimentação com múltiplas fontes◦ Uso de nobreaks e geradores◦ Manutenção periódicas nos equipamentos


Segurança de equipamentos

12

Implantar mecanismos para proteção dos documentos em papel:

◦ Tratamento das cópias (acidez do papel, técnicas de restauração de livros);

◦ Armazenamento ( umidade do ambiente);

◦ Transmissão;

◦ Descartes seguros;


Segurança em documentos de papel e eletrônicos

13

Controles para proteção dos papéis:

◦ Uso de rótulos para identificar documentos;

◦ Política de armazenamento em local adequado;

◦ Procedimentos especiais para impressão, cópia e transmissão;

◦ Recepção e envio de correspondências sigilosas.



14

Controles para proteção dos documentos eletrônicos:

◦ Aparato tecnológico que os torne visíveis aos seus usuários;

◦ Integridade das informações

◦ Arquivamento dos documentos



15

Mídias devem ser guardados, quando não estiverem sendo utilizados, em gavetas adequadas, com fechaduras, especialmente fora do horário normal de trabalho

Grande preocupação com a Segurança de backups

Política específica para:◦ Armazenamento, controle de acesso, transporte, cópia e

descarte


Segurança de Mídias de Computador

16

Recomendações para cabeamento elétrico e telecomunicações:

◦ Sempre que possível utilizar linhas subterrâneas

◦ Proteção do cabeamento de redes contra interceptação não autorizada

◦ Separação dos cabos elétricos dos cabos de comunicação

◦ Uso de conduítes


Segurança no Cabeamento

17


Segurança do Ambiente Lógico

18

A segurança das redes deve abranger problemas de autenticação de usuários e interfaces de segurança entre o ambiente interno e externo

Mecanismos de proteção ◦ Criptografia

◦ Antivírus

◦ Gateways

◦ Firewalls

◦ Assinatura e Certificado Digital

◦ ...

Estes mecanismos são usados para:◦ Manter confidencialidade, integridade

◦ controlar o tráfego que entra e sai das redes,

◦ estabelecer rotas obrigatórias e dividir grandes redes em domínios lógicos separados

Segurança da InformaçãoSegurança do Ambiente Lógico

19


Implementando Defesas de Segurança

20

Existem muitas soluções de segurança, dentre elas:◦ Maior treinamento aos usuários, ◦ Uso de tecnologias, ◦ Escrita de software sem bugs.

Defesa em profundidade é a teoria de segurança mais comum – múltiplas camadas de segurança é melhor do que menos camadas.

Segurança da InformaçãoImplementando Defesas de Segurança

21

Política de segurança descreve o que está sendo protegido

◦ Ex: Os usuários não devem compartilhar suas senhas

Sem uma política, é impossível que os usuários e os administradores saibam:

◦ o que é permissível, o que é obrigatório e o que não é permitido

Deve ser um documento atualizado permanentemente e divulgada para as pessoas envolvidas


Política de Segurança

22

Avaliação de vulnerabilidade procura saber se a política de segurança foi implementada corretamente

A principal atividade das avaliações de vulnerabilidades é um teste de penetração

As varreduras de vulnerabilidades normalmente são feitas em ocasiões em que o uso do computador é relativamente baixo

Quando apropriado, são feitas em sistemas de teste


Avaliação de Vulnerabilidades

23

Senhas curtas ou fáceis de descobrir

Programas não-autorizados nos diretórios do sistema

Processos de longa duração não previstos

Proteções de diretórios impróprias nos diretórios do usuário e do sistema

Proteções impróprias nos arquivos de dados do sistema, como arquivo de senhas, drivers de dispositivos

Aspectos verificados na Varredura de um sistema



24

Um sistema altamente secreto só pode ser acessado de dentro de um prédio também considerado altamente secreto

Porém, é impossível trancar uma máquina em uma sala secreta e desativar todo o acesso remoto

As varreduras de portas determinam os detalhes da aplicação escutando as portas e tentando determinar se possui alguma vulnerabilidade



Aspectos verificados na Varredura de um sistema

25

As ferramentas de varredura de porta podem ser utilizadas por um cracker, em vez de alguém tentando melhorar a segurança

◦ As mesmas ferramentas podem ser usadas para o bem ou para o mal

Alguns defendem a segurança da obscuridade, onde nenhuma ferramenta deveria ser criada, pois as ferramentas são usadas para encontrar brechas na segurança.

Ferramentas de varredura de porta



26

Proteger sistemas está ligada a detecção de intrusão

A detecção de intrusão se esforça para detectar intrusões tentadas ou realizadas


Detecção de Intrusão

27

Pote de mel-Utilizado para desviar a atividade de um intruso

Um recurso falso, uma isca para o atacante

Para o invasor, o recuso parece ser real e permite ao sistema monitorar e receber informações sobre o ataque

Honeypot

28

Esforços de detecção de intrusão para detectar intrusões tentadas ou bem sucedidas

◦ Detecção baseada em assinatura busca padrões de comportamento problemáticos - Ataques conhecidos. Ex: busca de pacotes /etc/passwd/

◦ Detecção de anomalia busca diferenças do comportamento normal, visa detectar ataques previamente desconhecidos

Problema: Falsos positivos e falsos negativos- Saber se a atividade invasora não está incluída nas atividades normais


Detecção de Intrusão

29

A proteção contra vírus é um aspecto importante para a segurança do sistema, pois os vírus podem danificá-lo

Os programas antivirus pesquisam todos os programas em um sistema em busca de um padrão específico de instruções conhecidas por compor o vírus

Quando encontram o padrão conhecido, removem as instruções, desinfectando o sistema


Proteção contra vírus

30

Auditoria, contabilidade e logging de todas as atividades da rede ou específicas do sistema

A contabilidade pode ser usada para encontrar mudanças de desempenho que revelem problemas de segurança, onde são detectadas anomalias


Auditoria, contabilidade e logging

31

Pode ser geral ou específico

Todas as execuções de chamadas de sistema podem ser registradas para análise de comportamento do programa

Normalmente os eventos suspeitos são registrados em log

As falhas de autenticação e autorização podem dizer muito sobre tentativas de invasão

Logging


Auditoria, contabilidade e logging

32

Autenticação

Autenticação A autenticação é o processo de verificação

da identidade de um usuário, isto é, garantir que um usuário é de fato quem diz ser.

Autenticação SYK – Something You Know (“algo que

você sabe”): estas técnicas de autenticação são baseadas em informações conhecidas pelo usuário, como seu nome de login e sua senha.

Autenticação SYH – Something You Have (“algo que você

tem”): são técnicas que se baseiam na posse de alguma informação mais complexa, como um certificado digital ou uma chave criptográfica, ou algum dispositivo material, como um smartcard, um cartão magnético, um código de barras, etc.

Autenticação SYA – Something You Are (“algo que você

é”): se baseiam em características intrinsecamente associadas ao usuário, como seus dados biométricos: impressão digital, padrão da íris, timbre de voz, etc.

37

Firewall

Firewall

Conceito◦ Uma firewall (em português: parede de fogo) é um dispositivo de uma

rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede.

Pode ser usado para ajudar a impedir que sua rede ou seu computador seja acessado sem autorização.

É possível evitar que os usuários acessem serviços ou sistemas indevidos, permitindo auditoria.

Firewall Um firewall pode ser um computador, um

roteador, um servidor, um appliance ou a combinação destes que determine qual informação ou serviços podem ser acessados de fora e a quem é permitido usar a informação e os serviços de fora.

Firewall

Características do Firewall Todo tráfego entre a rede interna e a

externa (entrada e saída) deve passar pelo Firewall

Somente o tráfego autorizado passará pelo Firewall, todo o resto será bloqueado

O Firewall em si deve ser seguro e impenetrável

Controles do Firewall Controle de Serviço: determina quais serviços Internet

(tipos) estarão disponíveis para acesso

Controle de Sentido: determina o sentido de fluxo no qual serviços podem ser iniciados

Controle de Usuário: controla o acesso baseado em qual usuário está requerendo (tipicamente os internos, ou externo via VPN)

Controle de Comportamento: controla como cada serviço pode ser usado (ex: anti-spam)

Limitações de um Firewall O Firewall não protege contra ameaças

internas

O Firewall não protege contra transferência de arquivos infectados por vírus, pois seria impraticável analisar o conteúdo de tudo que trafega

Tipos de Firewall Filtragem de pacotes Firewalls de aplicação Firewalls baseados no estado

Filtragem de Pacotes

Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem.

Filtragem de Pacotes IP de origem: É o endereço de IP que o pacote lista como seu emissor.

IP de destino: É o endereço de IP para onde o pacote está sendo mandado.

ID de protocolo IP: Um cabeçalho IP pode ser seguido por vários cabeçalhos de protocolos. Cada um desses protocolos tem seu próprio ID de protocolo IP. Os exemplos mais conhecidos são TCP (ID 6) e UDP (ID 17).

Numero de portas TCP ou UDP : O numero da porta indica que tipo de serviço o pacote é destinado.

Flag de fragmentação: Pacotes podem ser quebrados em pacotes menores.

Ajuste de opções do IP: Funções opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opções são apenas usadas para diagnóstico, de forma que o firewall possa descartar pacotes com opções de IP determinadas.

Firewalls de Aplicação

Com a utilização deste tipo de firewall, podemos usufruir da filtragem na base em informação de nível de aplicação (por exemplo, com base em URLS dentro de um servidor, possibilita o estabelecimento de zonas com diferentes tipos de acesso);

Possibilita o modo de acordo com a informação e não simplesmente com base em regras de acesso estáticas;

Firewall baseado em estado Firewall de Pacotes + Firewall de Aplicação

Possibilita o funcionamento ao nível da aplicação de uma forma dinâmica

Inclui funcionalidades de encriptação e encapsulamento e balanceamento de carga

A manutenção e configuração requerem operações menos complexas

Alto custo

49

IDS – Intrusion Detection Systems

IDS – Intrusion Detection Systems Conceito Tipos:

◦ IDS localizados em hosts (H-IDS)◦ IDS localizados na rede (N-IDS)◦ IDS Híbridos

IDS – Intrusion Detection Systems

IDS baseados em Host Conceito

◦ refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados.

Mais empregados nos casos em que a segurança está focada em informações contidas em um servidor e os usuários não precisam ser monitorados;

Aplicado em redes onde a velocidade de transmissão é muito alta como em redes “Gigabit Ethernet”;

Usados também quando não se confia na segurança corporativa da rede em que o servidor está instalado.

Verificações dos IDS baseados em Host Acesso a arquivos Integridade de arquivos Varredura de portas Modificação e privilégios de usuários Processos do sistema Execução de programas Uso de CPU Conexões

Vantagens do IDS baseado em Host Ataques que ocorrem fisicamente num servidor podem

ser detectados.

Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes.

Independem da topologia da rede

Geram poucos “falsos positivos”, que são alarmes falsos de ataques.

Não necessita de hardware adicional.

Desvantagens do IDS baseado em Host São de difícil monitoramento, já que em cada estação deve ser

instalado e configurado um IDS;

Podem ser desativados por DoS;

Recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho;

O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação monitorada;

Fica difícil de configurar e gerenciar em todos os hosts de uma rede.

Desvantagens do IDS baseado em Host

Necessita de espaço de armazenamento adicional para os registros do sistema.

É dependente do SO. HIDS para Linux é diferente de um HIDS Windows.

Não têm bom desempenho em sistemas operacionais que geram poucas informações de auditoria.

Apresenta diminuição do desempenho do host monitorado.

Componentes dos IDS baseados em Rede

Os sensores que cuidam dos segmentos de redes, fazem a captura, formatação de dados e análise de tráfego.

Gerenciador: fazem com que os sensores sejam administrados de modo integrado, com a definição dos tipos de resposta para cada tipo de comportamento suspeito detectado.

A comunicação entre sensores e gerenciador é criptografada.

Vantagens do IDS baseado em rede

Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande

Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede

Difíceis de serem percebidos por atacantes e com grande segurança contra ataques

Pode detectar tentativas de ataques (ataques que não tiveram resultados).

Fica mais difícil um invasor apagar seu rastro.

Desvantagens do IDS baseado em rede

Podem falhar em reconhecer um ataque em um momento de trafego intenso;

Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam;

Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões;

Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.

Exemplos de IDS baseados em hosts

Tripwire

Swatch

Portsentry

OSSEC-HIDS

Exemplos de IDS baseados em rede

Snort

RealSecure

NFR

Exemplo de ambiente híbrido

OSSEC-HIDS + Snort

63

Backup

Backup Falhas técnicas: falha no disco rígido (HD),

falha de energia, sobrecarga na rede de computadores que pode gerar falhas de comunicação e de software;

Falhas ambientais: descargas elétricas provindas de raios, enchentes, incêndios;

Falhas humanas: detém 84% das perdas de dados e são devidas à exclusão ou modificação de dados acidental ou mal-intencionada, vírus, roubo de equipamentos e sabotagem.

Tipos de Backup Backup normal Backup diferencial Backup incremental

Backup Normal Um backup normal copia todos os arquivos

selecionados e os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo é desmarcado). Com backups normais, você só precisa da cópia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal é executado quando você cria um conjunto de backup pela primeira vez.

Backup Normal VANTAGENS: Os arquivos são mais fáceis de

localizar porque estão na mídia de backup atual. Requer apenas uma mídia ou um conjunto de mídia para a recuperação dos arquivos.

DESVANTAGENS: É demorado. Se os arquivos forem alterados com pouca freqüência, os backups serão quase idênticos.

Backup Diferencial Um backup diferencial copia arquivos

criados ou alterados desde o último backup normal ou incremental. Não marca os arquivos como arquivos que passaram por backup (o atributo de arquivo não é desmarcado). Se você estiver executando uma combinação dos backups normal e diferencial, a restauração de arquivos e pastas exigirá o último backup normal e o último backup diferencial.

Backup Diferencial VANTAGENS: A recuperação exige a mídia

apenas dos últimos backups normal e diferencial. Fornece backups mais rápidos do que um backup normal.

DESVANTAGENS: A restauração completa do sistema pode levar mais tempo do que se for usado o backup normal. Se ocorrerem muitas alterações nos dados, os backups podem levar mais tempo do que backups do tipo incremental.

Backup Incremental Um backup incremental copia somente os

arquivos criados ou alterados desde o último backup normal ou incremental. e os marca como arquivos que passaram por backup (o atributo de arquivo é desmarcado). Se você utilizar uma combinação dos backups normal e incremental, precisará do último conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.

Backup Incremental VANTAGENS: Requer a menor quantidade de

armazenamento de dados. Fornece os backups mais rápidos.

DESVANTAGENS: A restauração completa do sistema pode levar mais tempo do que se for usado o backup normal ou diferencial.

Periodicidade de Backup Frequência de Modificações X Importância

da Informação Backup Diário Backup Semanal Backup Mensal Backup Anual

73

Criptografia

Criptografia

Criptografia Conceito Histórico Tipos

◦ Criptografia Simétrica;◦ Criptografia Assimétrica

Conceituação kryptos (oculto, secreto), graphos (escrever).

Texto aberto: mensagem ou informação a ocultar

Texto cifrado: informação codificada;

Cifrador: mecanismo responsável por cifrar/decifrar as informações

Chaves: elementos necessários para poder cifrar ou decifrar as informações

Espaço de chaves: O número de chaves possíveis para um algoritmo de cifragem

Conceituação Algoritmo computacionalmente seguro

◦ Custo de quebrar excede o valor da informação

◦ O tempo para quebrar excede a vida útil da informação

Meios de criptoanálise◦ Força bruta

◦ Mensagem conhecida

◦ Mensagem escolhida (conhecida e apropriada)

◦ Análise matemática e estatística

◦ Engenharia social

Conceitos para bom algoritmo de criptografia◦ Confusão: transformações na cifra de forma irregular e complexa

◦ Difusão: pequena mudança na mensagem, grande na cifra

Histórico Cifrador de César mensagem aberta: Reunir todos os generais para o ataque mensagem cifrada com k = 1: Sfvojs upept pt hfofsbjt qbsb

p bubrvf mensagem cifrada com k = 2: Tgwpkt vqfqu qu igpgtcku

rctc q cvcswg mensagem cifrada com k = 3: Uhxqlu wrgrv rv jhqhudlv

sdud r dwdtxh

Curiosidade Criptografia AES (Advanced Encryption

Standard) Chaves de 128 bits, ou seja, espaço de

chaves com 2128 possibilidades 340.282.366.920.938.463.463.374.607.431.

768.211.456 chaves diferentes

Tipos de Cifras Cifras de Transposição Cifras de Substituição:

◦ Cifra de substituição simples ou monoalfabética ;◦ Cifra de substituição polialfabética;◦ Cifra de substituição de polígramos ;◦ Cifra de substituição por deslocamento.

Criptografia Simétrica Algoritmo

◦ É o próprio processo de substituição ou transposição.◦ Consiste nos passos a serem tomados para realizar a

encriptação. Chave

◦ Define o alfabeto cifrado exato que será utilizado numa codificação em particular.

O algoritmo utilizado em um processo de encriptação pode ser divulgado sem problemas. A chave, porém, deve ser uma informação confidencial do remetente e do destinatário.

Desvantagens do Uso de Chaves Simétricas

Se uma pessoa quer se comunicar com outra com segurança, ela deve passar primeiramente a chave utilizada para cifrar a mensagem.

Grandes grupos de usuários necessitam de um volume grande de chaves, cujo gerenciamento é complexo

Criptografia Assimétrica Postulada pela primeira vez em meados de

1975 por Withfield Diffie e Martin Hellman

Algoritmos de chave pública e privada

Baseada em princípios de manipulação matemática.

Os algoritmos são computacionalmente pesados e lentos.

Criptografia Assimétrica

Criptografia Assimétrica RSA Ron Rivest / Adi Shamir / Leonard

Adleman◦ Criado em 1977.◦ É o algoritmo de chave pública mais utilizado.◦ Utiliza números primos.◦ A premissa por trás do RSA é que é fácil

multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número.

Criptografia Assimétrica◦ Cerca de 95% dos sites de comércio eletrônico

utilizam chaves RSA de 512 bits.

◦ O desenvolvimento dos algoritmos de criptografia assimétrica possibilitou o aparecimento de aplicações que trafegam dados internet de forma segura, notadamente do e-commerce.

88

Certificado Digital e Assinatura Digital

Certificado Digital Assim como o RG ou o CPF identificam uma

pessoa, um certificado digital contém dados que funcionam como um certificado físico, contendo informações referentes a:◦ pessoa ou entidade a quem foi emitido o

certificado digital e respectivo endereço;◦ sua chave pública e respectiva validade;◦ número de série; e◦ nome da empresa que emitiu seu certificado

(chamada de Autoridade Certificadora, ou AC) com respectiva assinatura digital.

Certificado Digital Qualquer modificação realizada em um certificado digital

o torna inválido e por isso é impossível falsificá-lo.

O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora – AC) garante a veracidade das informações nele contidas.

Fazendo uma analogia, a AC faz o papel dos órgãos públicos como a Secretaria de Segurança Pública quando emite um RG, ou seja, ela garante quem você é, dando-lhe legitimidade através de sua assinatura digital.

Assinatura Digital Um documento pode ser considerado

genuíno quando não sofreu alterações. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais.

No mundo virtual, este item pode ser assegurado através do uso de assinaturas digitais.

Assinatura Digital A assinatura digital visa garantir que um

determinado documento não seja alterado após assinado.

Etapas:◦ O autor, através de um software próprio, realiza

uma operação e faz um tipo de resumo dos dados do documento que quer enviar, também chamado de “função hash”.

◦ O Autor usa a chave privada de seu certificado digital para encriptar este resumo.

Assinatura Digital

Complexidade de Senhas A função primordial da senha?

◦ Autenticidade

Métodos de quebra de senha:◦ Dedução inteligente◦ Ataques de dicionário◦ Automatização ou Força Bruta

Sugestões para a criação de senhas seguras

Não utilize palavras existentes em dicionários nacionais ou estrangeiros;

Não escreva suas senhas em papéis, muito menos salve na máquina documentos digitais, como o Word ou o bloco de notas;

Não utilize informações pessoais fáceis de serem obtidas, tais como: nome ou sobrenome do usuário, nome da esposa, filhos ou animais de estimação, matrícula na empresa, números de telefone, data de nascimento, cidades de origem, etc.;

Não utilize senhas constituídas somente por números ou somente por letras;

Utilize senhas com, pelo menos, seis caracteres; Misture caracteres em caixa baixa e alta (minúsculas e maiúsculas);

Sugestões para a criação de senhas seguras Crie senhas que contenham letras, números e caracteres especiais

(*,#,$,%...); Inclua na senha, pelo menos, um caractere especial ou símbolo; Utilize um método próprio para lembrar das senhas que dispense

registrar a mesma em qualquer local; Não empregue senhas com números ou letras repetidos em

sequência; Não forneça sua senha para ninguém; Altere as senhas, pelo menos, a cada 3 meses; Utilize senhas que possam ser digitadas rapidamente, sem que seja

preciso olhar para o teclado; Para facilita a memorização da senha é possível criar uma frase

secreta e extrair delas as iniciais de cada letra. Por exemplo da frase “É melhor 1 pássaro na mão do que 2 voando” se extrai “Em1pnmdq2v”.

Medidas Consideradas Efetivas

Stat

eful

l fire

wal

ls

Acces

s co

ntro

ls

Encr

yptio

n

Applic

atio

n la

yer fi

rewal

ls

Networ

k-ba

sed

antiv

irus

Networ

k ID

S/IP

S

RBL-ba

sed

SPAM

filte

ring

Wire

less

enc

rypt

ion/

pro

tect

ion

Host-b

ased

ant

iviru

s

Chang

e co

ntro

l/con

figur

atio

n m

anag

emen

t sys

tem

s

Right

s m

anag

emen

t

Networ

k ac

cess

cont

rol (

NAC)

Host-b

ased

pol

icy-

enfo

rcem

ent

Host-b

ased

IDS/

IPS

Host-b

ased

SPA

M

Softw

are

deve

lopm

ent t

ools

(& p

roce

sses

)

Data

track

ing

Applic

atio

n m

onito

ring

& tren

ding

One-ti

me

pass

words

Data

loss

pre

vent

ion

(DLP

) too

ls

Autom

ated

inte

grity

cont

rols

Biom

etric

s0%

10%20%30%40%50%60%70%80%90%

100%

2010

Fonte: 2010 CyberSecurity Watch Survey – Resultados da Pesquisa

99


A organização da Segurança

100

Para organizar a segurança é preciso criar um departamento (Comitê Corporativo de Segurança da Informação)

É preciso ter uma visão clara das etapas da organização;◦ E formalizar os processos

Segurança da InformaçãoA Organização da Segurança

-

101

Etapas da Organização da Segurança:

◦ Comitê Corporativo de Segurança;

◦ Mapeamento da Segurança

◦ Estratégia da Segurança

◦ Planejamento de Segurança

◦ Implementação de Segurança

◦ Administração de Segurança

◦ Segurança na cadeia produtiva


-

102

Orienta as ações corporativas de segurança e mede os resultados;

Alinha o plano considerando valores, buscando o melhor retorno dos investimentos;

Coordena os agentes de segurança;

Garante o sucesso da Implantação de Segurança;

Promove a consolidação do Modelo de Gestão Corporativo de Segurança.


Comitê Corporativo de Segurança

103

Identificar os diversos processos de negócio, perímetros e infra-estruturas;

Inventariar os ativos físicos, tecnológicos e humanos. Considerar as variáveis que interferem nos riscos da empresa.

Identificar o cenário atual: ameaças, vulnerabilidades e impactos

Mapear as necessidades em relação ao manuseio, armazenamento, transporte e descarte de informações

Organizar as demandas de segurança do negócio.


Mapeamento da Segurança

104

Definir um plano de ação consistindo de particularidades do negócio junto aos executivos:

◦ Estratégica◦ Tática◦ Operacional

Definir também riscos:◦ Físicos, tecnológicos e humanos


Estratégia de Segurança

105

Organizar os comitês e oficializar suas responsabilidades;

Iniciar ações preliminares de capacitação dos executivos e técnicos;

Elaborar uma Política de Segurança detalhando: processos de negócio, perímetro e infra-estrutura, diretrizes, normas e procedimentos;

Realizar ações corretivas emergenciais em função do risco iminente.


Planejamento de Segurança

106

Divulgar a Política de Segurança

Capacitar, conscientizando os usuários no manuseio, armazenamento, transporte e descarte da informação

Implementar mecanismos de controles físicos, tecnológicos e humanos que irão permitir a eliminação das vulnerabilidades


Implementação de Segurança

107

Monitorar os controles implementados, medindo sua eficiência

Projetar o Retorno sobre os investimentos

Garantir a adequação e a conformidade do negócio com as normas

Manter plano estratégicos para contingência e recuperação de desastres, objetivando garantir a disponibilidade


Administração de Segurança

108

Equalizar as medidas de segurança junto aos parceiros:◦ Fornecedores◦ Clientes◦ Governo

Objetivo: Nivelar o fator de risco sem que uma das partes exponha informações compartilhadas e represente ameaça.


Segurança na Cadeia Produtiva

Documents

1. Programa 1. Segurança da Informação a. Conceitos e Princípios de Segurança da Informação b. A Segurança e o Ciclo de Vida da Informação c. Classificação