autarquia educacional do vale do são francisco – aevsf
DESCRIPTION
Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação. SEGURANÇA E AUDITORIA DE SISTEMAS “ Segurança de Informações ” Controles de Segurança Cynara Carvalho [email protected]. - PowerPoint PPT PresentationTRANSCRIPT
1
Autarquia Educacional do Vale do São Francisco – AEVSF
Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE
Curso de Ciências da Computação
SEGURANÇA E AUDITORIA DE SISTEMAS
“Segurança de Informações”
Controles de Segurança
Cynara Carvalho
2
Segurança de Informações
• Controles de Segurança
• Uma vez identificados os impactos e ameaças e calculados os riscos, são desenvolvidas estratégias para controlar o ambiente vulnerável:• Para cada risco tentar implementar as seguintes linhas de ação:
• Eliminar o risco.• Reduzir o risco a um nível aceitável.• Limitar o dano, reduzindo o impacto.• Compensar o dano, por meio de seguros.
• Controle em camadas – estratégia eficiente, pois distribui a segurança em níveis, se um falhar ainda existem outros para proteger o recurso. (APLICATIVOS, SERVIÇOS, S.O. E HW.)
3
Segurança de Informações
• Definindo Serviços de Segurança
• Serviços de segurança são medidas preventivas escolhidas para combater ameaças identificadas.• Modelo para redes, porém aplicados a sistemas computacionais em geral.• Categorias de serviços:
• Autenticação – verifica a identidade de quem está solicitando o acesso ao recurso.• Controle de acesso – proteção contra uso não autorizado de recursos.• Confidencialidade dos dados – proteção contra leitura não autorizada• Integridade dos dados – proteção contra ameaças à validade e consistência dos dados.• Disponibilidade – garantia que os recursos estarão disponíveis.• Não repúdio – em comunicações, tenta evitar que remetente ou destinatário neguem que enviaram ou receberam dados
4
Segurança de Informações
• Serviços de Segurança
• Serviços de segurança são uma classe especial de medidas preventivas relacionadas com o ambiente lógico. No geral existem outras medidas importantes como:
• Segurança Física.• Segurança dos recursos computacionais• Segurança administrativa• Segurança de meios magnéticos• Controles de desenvolvimentos de aplicativos.
5
Segurança de Informações
• Definindo Mecanismos de Segurança
• Mecanismo de segurança é o meio utilizado para atender um serviço de segurança. Por exemplo, a criptografia é um mecanismo que garante a confidencialidade dos dados.
• Principais mecanismos de segurança:• Sistemas criptográficos - utilizam criptografia ou algoritmos criptográficos para proporcionar confidencialidade às informações. • Mesmo que outros métodos falhem (controle de acesso, senhas, etc...) os dados permanecem invioláveis ao invasor.
SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA
SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA
SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA
XYSKOKQE03393 * ** 7 &5 ¨%#¨&¨6 6¨% %¨& *Hn BNe r4123478 *7542## &Um (O p_=)(*& ¨%$ #@!
ALGORTIMO
6
Segurança de Informações
• Criptografia
• Algoritmos formam uma seqüência de operações para transformar texto em claro em texto cifrado.
• Mais conhecidos: DES (Data Encryption Standard – IBM 1970), Triple DES, IDEA, RSA família RC, família MD.
• A concepção do sistema criptográfico é de que apenas as pessoas que conhecem a chave secreta são capazes de decifrar um texto criptografado.
• A criptografia atende a mais de um mecanismo de segurança, pois além de ocultar a informação (confidencialidade), mantém o conteúdo inalterado (integridade) desde a cifragem até a decifragem.
7
Segurança de Informações
• Criptografia
• Produtos populares que usam a criptografia:
• PGP (Pretty Good Privacy) – software de proteção muito comum. Usa os algoritmos IDEA e RSA.
• SSL (Secure Socket Layer) – desenvolvido pela Netscape, oferece autenticação, verificação de integridade, compressão e criptografia. Chaves de até 128 bits.
• SET (Security Electronics Transations) – Desenvolvido pelas principais administradoras de Cartão de Crédito, para proteger transações eletrônicas.
8
Segurança de Informações
• Outros mecanismos de segurança
• Assinatura Digital – conjunto de mecanismos que podem prover serviços de não repúdio, de autenticação de origem ou de integridade. Um procedimento para a assinatura e outro para verificação da mesma.
• Mecanismos de controles de acesso – o proprietário decide quem e como poderá ser acessado o recurso. Podem ser listas de direitos de acesso, perfis, etc...
• Mecanismos de integridade de dados – proteção contra modificação de dados.
9
Segurança de Informações
• Outros mecanismos de segurança
• Mecanismos de disponibilidade – dispositivos como unidades de backup e recuperação de dados, equipamentos de controle de temperatura, no-breaks e equipamentos redundantes que garantam a disponibilidade dos sistemas.
• Trocas de autenticações – atendem ao serviço de autenticação da entidade que solicita o recurso.
• Enchimento de tráfego – usado em conjunto com sistemas criptográficos para prover confidencialidade no fluxo de dados, impedindo análise de tráfego.
• Controles de roteamento – prevenção do tráfego de dados críticos em canais de comunicação inseguros.
10
Segurança de Informações
• Ataques
• Passivos – não interferem no conteúdo do recurso atacado.• Ativos – Afetam e prejudicam o conteúdo do recurso atacado.
• Hackers X Crackers• Funcionários e Ex-funcionários• Consultores Externos
11
Segurança de Informações
• Implantando Gerência de Segurança
• Dependendo do tamanho e do grau de vulnerabilidade da organização, a responsabilidade de segurança de informações deve ser desempenhada por pessoa ou grupo especialmente dedicado a esta finalidade.• Gerente de Segurança – auxiliar no desenvolvimento da política de segurança e cuidar da divulgação e aplicação correta da mesma. Deve ter linha direta com a direção.• Princípios básicos:
• Prevenir o acesso não autorizado.• Impedir que aqueles que conseguirem acesso danifiquem ou adulterem qualquer coisa.• Uma vez ocorrido o ataque, identificar suas causas, recuperar sistemas e dados e modificar os controles para evitar novas ocorrências.
12
Segurança de Informações
• Implantando Gerência de Segurança
• As funções de uma gerência de segurança podem ser subdividas em 04 gerências:
• Gerência de segurança de sistemas – engloba todos
os aspectos de segurança de sistemas
• Gerência dos serviços de segurança – serviços de
segurança específicos ( confidencialidade e integridade)
• Gerência dos mecanismos de segurança –
administração individual dos mecanismos de segurança
• Gerência de auditoria de segurança – revisão e
verificação de registros de segurança
13
Segurança de Informações
Grupos de pessoas com responsabilidades em SI:
Proprietários do sistema Gerente do sistema Usuário
14
O que fazer em casos de violação da Política de Segurança
Nem sempre é fácil de detectar; Minimizar a possibilidade de ocorrência de violação; Ao detectar:
- determinar sua razão;( negligência,erro ou acidente)- Investigar as circunstâncias da violação ( como e porque ocorreu)
A política de segurança de especificar passos a serem seguidos para cada tipo de violação;
Medidas corretivas; Punição dos infratores; Assegurar que o infrator tenha conhecimento da
política.
15
Segurança de Informações
• Implementando e Auditando Políticas de Segurança
• A lista de verificações serve para a realização de um conjunto de tarefas na implementação da política de segurança. • Para a auditoria essa lista é traduzida em procedimentos de auditoria .• Lista de verificações – Pag 82/83 do Livro texto