Download - Gerenciamento dos arquivos eletrônicos: dispositivos de segurança

Gerenciamento dos arquivos eletrônicos: dispositivos de

segurança

Prof. Carlos Eduardo PinheiroProf. Carlos Eduardo Pinheiro27/04/2327/04/23 22

Importância da Segurança Importância da Segurança da Informaçãoda Informação

Quanto vale informação para uma Quanto vale informação para uma empresa?empresa?

Sem Informação uma empresa Sem Informação uma empresa pode sobreviver quanto tempo?pode sobreviver quanto tempo?

O que exatamente precisa de ser O que exatamente precisa de ser protegido? protegido?


Fonte de Problemas ou AtaquesFonte de Problemas ou Ataques EstudanteEstudante – Alterar ou enviar e-mail em – Alterar ou enviar e-mail em

nome de outrosnome de outros HackerHacker - Examinar a segurança do Sistema; - Examinar a segurança do Sistema;

Roubar informaçãoRoubar informação EmpresárioEmpresário - Descobrir o plano de marketing - Descobrir o plano de marketing

estratégico do competidorestratégico do competidor Ex-empregadoEx-empregado - Vingar-se por ter sido - Vingar-se por ter sido

despedidodespedido ContadorContador - Desviar dinheiro de uma empresa - Desviar dinheiro de uma empresa CorretorCorretor - Negar uma solicitação feita a um - Negar uma solicitação feita a um

cliente por e-mailcliente por e-mail TerroristaTerrorista - Roubar segredos de guerra - Roubar segredos de guerra


Definição de SegurançaDefinição de Segurança

Um mecanismo de Segurança da Um mecanismo de Segurança da Informação providencia meios Informação providencia meios

para reduzir as para reduzir as vulnerabilidades existentes em vulnerabilidades existentes em

um Sistema de Informação.um Sistema de Informação.Segurança envolve tecnologia, Segurança envolve tecnologia,

processos e pessoasprocessos e pessoas


Ameaças na SegurançaAmeaças na Segurança

F DFonte de

InformaçãoDestino daInformação

Fluxo Normal

F D

Interrupção

F D

InterceptaçãoI

F D

ModificaçãoM

F D

FabricaçãoF


Ameaças InternasAmeaças Internas

Roubo de Informações; Roubo de Informações; Alteração de informações; Alteração de informações; Danos físicos; Danos físicos; Alteração de configurações da Alteração de configurações da

rede;rede;


Como prevenir e evitar Ameaças Como prevenir e evitar Ameaças Internas?Internas?

Restringir ao máximo o acesso dos usuários às Restringir ao máximo o acesso dos usuários às informações vitais da organização; informações vitais da organização;

Restringir o acesso físico às áreas críticas; Restringir o acesso físico às áreas críticas; Definir e divulgar normas e políticas de acesso Definir e divulgar normas e políticas de acesso

físico e lógico; físico e lógico; Implementar soluções de criptografia para Implementar soluções de criptografia para

informações críticas; informações críticas; Implementar soluções de auditoria para Implementar soluções de auditoria para

informações críticas; informações críticas; Controlar o acesso de prestadores de serviços Controlar o acesso de prestadores de serviços

as áreas críticas e as informações. as áreas críticas e as informações.


Tipos de SegurançaTipos de Segurança

Segurança FísicaSegurança Física Segurança LógicaSegurança Lógica


Segurança FísicaSegurança Física

Providenciar Providenciar mecanismos mecanismos

para restringir o para restringir o acesso às acesso às

áreas críticas áreas críticas da organizaçãoda organização

Como isto pode Como isto pode ser feito?ser feito?


Segurança LógicaSegurança Lógica

Fornecer mecanismos para garantir:Fornecer mecanismos para garantir: Confidencialidade;Confidencialidade; Integridade;Integridade; Disponibilidade;Disponibilidade; Não Repudiação ou Irrefutabilidade;Não Repudiação ou Irrefutabilidade; AutenticidadeAutenticidade

Mecanismos tradicionais garantem Mecanismos tradicionais garantem a Segurança Lógica?a Segurança Lógica?


Confidencialidade

Significa proteger informações contra sua revelação para

alguém não autorizado - interna ou externamente.



Consiste em proteger a informação contra leitura e/ou cópia por alguém que não tenha sido explicitamente autorizado pelo proprietário daquela informação. A informação deve ser protegida qualquer que seja a mídia que a contenha, como por exemplo, mídia impressa ou mídia digital.

Confidencialidade

Deve-se cuidar não apenas da proteção da informação como um todo, mas também de partes da informação que podem ser utilizadas para interferir sobre o todo. No caso da rede, isto significa que os dados, enquanto em trânsito, não serão vistos, alterados, ou extraídos da rede por pessoas não autorizadas ou capturados por dispositivos ilícitos.



Integridade

Consiste em proteger a informação contra modificação sem a

permissão explícita do proprietário daquela

informação.



A modificação inclui ações como escrita, alteração de conteúdo, alteração de status, remoção e criação de informações.

Integridade

Deve-se considerar a proteção da informação nas suas mais variadas formas, como por exemplo, armazenada em discos ou fitas de backup. Integridade significa garantir que se o dado está lá, então não foi corrompido, encontra-se íntegro. Isto significa que aos dados originais nada foi acrescentado, retirado ou modificado.



Disponibilidade

Consiste na proteção dos serviços prestados pelo

sistema de forma que eles não sejam

degradados ou se tornem indisponíveis sem

autorização.



Tem que assegurar ao usuário o acesso aos dados sempre que deles precisar. Isto pode ser chamado também de continuidade dos serviços.

Disponibilidade

Uma forma de manter a disponibilidade de um sistema é implantar estruturas de no-breaks, espelhamento de disco e de servidores.

Ao acessar um site, se ele aparecer, então está disponível! Caso não apareça, ou não for possível acessá-lo, então o princípio da disponibilidade foi afetado.



Autenticidade

Identificação correta de um

usuário ou computador.



O serviço de autenticação em um sistema deve assegurar ao receptor que a mensagem é realmente procedente da origem informada em seu conteúdo.

Autenticidade

A verificação de autenticidade é necessária após todo processo de identificação, seja de um usuário para um sistema, de um sistema para o usuário ou de um sistema para outro sistema. Ela é a medida de proteção de um serviço/informação contra a personificação por intrusos.



Termo muito usado na área de segurança da informação.

Não-Repúdio é a garantia de que um agente não consiga negar um ato ou documento de sua autoria. Essa garantia é condição necessária para a validade jurídica de documentos e transações digitais. Só se pode garantir o não-repúdio quando houver:

Não-Repúdio



Quando for possível determinar quem mandou a mensagem e quando for possível garantir que a mensagem não for alterada, então estaremos também garantindo o Não-Repúdio.

AutenticidadeAutenticidade EE IntegridadeIntegridade

Não-Repúdio



Como pode se prevenir?Como pode se prevenir?

Mudando a Cultura!!!Mudando a Cultura!!! PalestrasPalestras SemináriosSeminários Exemplos práticosExemplos práticos SimulaçõesSimulações Estudo de CasosEstudo de Casos


Classificação da InformaçãoClassificação da Informação

A Informação deve ser A Informação deve ser disponível para:disponível para:

1.1. TodosTodos2.2. Um grupoUm grupo3.3. Um indivíduoUm indivíduo


Ciclo de Vida de SegurançaCiclo de Vida de SegurançaO que precisa ser protegido?

Como proteger?

Simulação de um ataque

Qual é probabilidade de um ataque?

Qual prejuízo, se ataque sucedido?

Qual é nível da proteção?


SENHA!?(O QUE É ISTO?)SENHA!?(O QUE É ISTO?)Porque me deram uma senha tão Porque me deram uma senha tão difícil.difícil.


A importância da senhaA importância da senha

Escolha da Senha X Segurança da Rede.Escolha da Senha X Segurança da Rede.O acesso à senha de um usuário não dá O acesso à senha de um usuário não dá acesso apenas aos seus dados particulares, acesso apenas aos seus dados particulares, mas a todos os recursos que ele utiliza, como mas a todos os recursos que ele utiliza, como documentos de seu setor, dados dos sistemas documentos de seu setor, dados dos sistemas administrativos, entre outros.administrativos, entre outros.Programas que “quebram”senhas.Programas que “quebram”senhas.


Normas para a escolha de uma Normas para a escolha de uma senhasenha

Não use seu login nem invertido, com letras Não use seu login nem invertido, com letras maiúsculas, duplicado, etc. maiúsculas, duplicado, etc. Não use qualquer um de seus nomes ou Não use qualquer um de seus nomes ou sobrenomes; sobrenomes; Não use qualquer informação a seu respeito Não use qualquer informação a seu respeito (apelido, placa de automóvel, numero de (apelido, placa de automóvel, numero de telefone, marca de seu automóvel, nome de telefone, marca de seu automóvel, nome de pessoas de sua família, datas de nascimento, pessoas de sua família, datas de nascimento, endereço, cep, cgc,cpf etc.); endereço, cep, cgc,cpf etc.);



Não use senhas óbvias (se você é Não use senhas óbvias (se você é flamengista, não use mengao, nem romario);flamengista, não use mengao, nem romario);Não use palavras que constem do dicionário Não use palavras que constem do dicionário (gaveta, américa, celular); (gaveta, américa, celular); Use senhas que misturem caracteres Use senhas que misturem caracteres maiúsculos e minúsculos e números; maiúsculos e minúsculos e números; Use senhas fáceis de lembrar;Use senhas fáceis de lembrar;Use senhas com no máximo 3 caracteres Use senhas com no máximo 3 caracteres repetidos;repetidos;



Nunca escreva sua senha;Nunca escreva sua senha;Troque sua senha pelo menos uma Troque sua senha pelo menos uma vez por mês;vez por mês;Nunca fale sua senha, nem Nunca fale sua senha, nem empreste sua conta para ninguém. empreste sua conta para ninguém.

Qualquer coisa feita com sua senha é de sua Qualquer coisa feita com sua senha é de sua inteira responsabilidade. Não corra riscos.inteira responsabilidade. Não corra riscos.


Senhas que não devem ser Senhas que não devem ser usadasusadas

•EEEBBBCCC (3 caracteres repetidos)EEEBBBCCC (3 caracteres repetidos)•4610133 (número de telefone)4610133 (número de telefone)•carleto (nome de pessoa)carleto (nome de pessoa)•PEDROSILVA (Nome em maiúscula)PEDROSILVA (Nome em maiúscula)•215423 (só números)215423 (só números)•opmac (Campos ao contrário)opmac (Campos ao contrário)•LGF-4589 (Placa de carro)LGF-4589 (Placa de carro)•Leonardo Di Caprio (Nome de artista)Leonardo Di Caprio (Nome de artista)•clipes (contém no dicionário)clipes (contém no dicionário)•#$cr^98Y/kl1 (difícil de digitar e de lembrar)#$cr^98Y/kl1 (difícil de digitar e de lembrar)


Vamos identificar as

vulnerabilidades presentes neste

ambiente ?


Adversários e sua motivaçãoAdversários e sua motivação


Por quê Criptografia?Por quê Criptografia?

Ataques contra senhas;Ataques contra senhas; Farejadores de pacotes;Farejadores de pacotes; Ataques que desviam SO;Ataques que desviam SO; Ataques de recuperação de dados;Ataques de recuperação de dados; Ataques de reconstrução de Ataques de reconstrução de

memória;memória; etcetc

Fundamentos de Fundamentos de CriptografiaCriptografia


O que é criptografia?O que é criptografia?

Estudo da Escrita(Estudo da Escrita(grafiagrafia) Secreta() Secreta(ccriptoripto) ) Esconder a informação de todos Esconder a informação de todos excetoexceto ... ... Verificar a Verificar a exatidãoexatidão de uma informação de uma informação Base tecnológica para a resolução de Base tecnológica para a resolução de

problemas de segurança em comunicações problemas de segurança em comunicações e em computaçãoe em computação


Criptografia na HistóriaCriptografia na História Egípcios antigos cifravEgípcios antigos cifravamam

alguns de seus hieróglifosalguns de seus hieróglifos O barro de O barro de PhaistosPhaistos (1600 a.c) (1600 a.c)

ainda não decifradoainda não decifrado Cifrador de Júlio César, Cifrador de Júlio César,

aproximadamente 60 acaproximadamente 60 ac Tratado sobre criptografia por Tratado sobre criptografia por Trithemius entre 1500 e 1600


Roda CriptográficaRoda Criptográfica

Thomas Jefferson e James Monroe Thomas Jefferson e James Monroe cifravam as suas cartas para manter em cifravam as suas cartas para manter em sigilo as suas discussões políticas (1785)sigilo as suas discussões políticas (1785)

Roda Criptográfica

http://www.murky.org/cryptography/classical/jefferson.shtml


Sistemas CriptográficosSistemas Criptográficos

Também chamados de Criptossistemas são Também chamados de Criptossistemas são sistemas que dispõe de algoritmos e sistemas que dispõe de algoritmos e funções de criptografia para assegurar:funções de criptografia para assegurar:Confidencialidade;Confidencialidade;Integridade;Integridade;Não Repudiação ou Irrefutabilidade;Não Repudiação ou Irrefutabilidade;AutenticidadeAutenticidade


EsteganografiaEsteganografia

Marcação de caracteresMarcação de caracteres Tinta InvisívelTinta Invisível Pequenos furos no papelPequenos furos no papel Moderna EsteganografiaModerna Esteganografia

Uso de bits não significativosUso de bits não significativos Área não usadaÁrea não usada


Mecanismos tradicionais Mecanismos tradicionais para Segurança Lógicapara Segurança Lógica

Senha;Senha; Firewall;Firewall; Proxy;Proxy; Auditoria;Auditoria; Outros;Outros;

Será que estes mecanismos fornecem a Será que estes mecanismos fornecem a segurança necessária?segurança necessária?


FirewallFirewall

Uma das ferramentas de Uma das ferramentas de segurança mais difundida segurança mais difundida que permite a auditoria, que permite a auditoria, proteção, controle do proteção, controle do tráfego interno e externo tráfego interno e externo de uma rede.de uma rede.


AuditoriaAuditoria

É uma ferramenta que registra TODOS os É uma ferramenta que registra TODOS os acessos aos diversos recursos da rede. acessos aos diversos recursos da rede. Exemplos:Exemplos: Tentativa de acessar, excluir, alterar uma Tentativa de acessar, excluir, alterar uma

pasta(com ou sem acesso);pasta(com ou sem acesso); Páginas visitadas;Páginas visitadas;

Porquê utilizar Auditoria?Porquê utilizar Auditoria?


Incidente de SegurançaIncidente de Segurança

Quando ocorre um problema Quando ocorre um problema relacionado com a segurança, relacionado com a segurança, podemos dizer que ocorreu um podemos dizer que ocorreu um Incidente de SegurançaIncidente de Segurança..


Incidente de SegurançaIncidente de SegurançaO que fazer, quando ocorre?O que fazer, quando ocorre?

Através de relatório, email, telefone Através de relatório, email, telefone avisar o responsável de segurança para avisar o responsável de segurança para ele investigar: origem, prejuízo, ele investigar: origem, prejuízo, consequências entre outros fatores.consequências entre outros fatores.

O responsável de segurança deverá O responsável de segurança deverá tomar medidas cabíveis.tomar medidas cabíveis.


O uso consciente da Internet e seus O uso consciente da Internet e seus serviçosserviços


Os cuidados necessáriosOs cuidados necessários

•Não abra os arquivos anexados com os emails que você Não abra os arquivos anexados com os emails que você não conhece ou não está esperando, caso haja dúvidas, não conhece ou não está esperando, caso haja dúvidas, entre em contato com o suporte.entre em contato com o suporte.•Caso receber algum email pedindo o envio do mesmo Caso receber algum email pedindo o envio do mesmo para outras pessoas, com assuntos variadas como para outras pessoas, com assuntos variadas como ataque de vírus, corrente de email e etc., ataque de vírus, corrente de email e etc., NUNCANUNCA faça faça isto. Caso haja dúvidas quanto ao um vírus específico, isto. Caso haja dúvidas quanto ao um vírus específico, entre em contato com o suporte.entre em contato com o suporte.•Ao transferir qualquer arquivo via internet, não Ao transferir qualquer arquivo via internet, não esqueça de passar o antivírus neste arquivo, antes de esqueça de passar o antivírus neste arquivo, antes de utilizá-lo.utilizá-lo.•Ao término de consultas, transferência de fundos, etc, Ao término de consultas, transferência de fundos, etc, não esqueça de encerrar a sessão e fechar o browser.não esqueça de encerrar a sessão e fechar o browser.


O que faço quando Alguma O que faço quando Alguma coisa não funciona?!?!coisa não funciona?!?!


ExerciciosExercicios

1.1. Descreva os principais fatos comentados hoje.Descreva os principais fatos comentados hoje.2.2. DDescreva a tendência de riscos na área de segurança, escreva a tendência de riscos na área de segurança,

baseados nos dados apresentados.baseados nos dados apresentados.3.3. Na sua opinião os riscos e ameaças aumentarão neste Na sua opinião os riscos e ameaças aumentarão neste

ano?ano?4.4. Compare os conceitos de confiCompare os conceitos de confidencialidadedencialidade e e

disponibilidade.disponibilidade.5.5. Quais são as principais ameaças?Quais são as principais ameaças?6.6. Quais são as medidas de segurança mais adotadas?Quais são as medidas de segurança mais adotadas?7.7. VVocê adota algum procedimento de segurança quando ocê adota algum procedimento de segurança quando

acessa Internet? Qual?acessa Internet? Qual?8.8. Das oportunidades citadas na aula de hoje, quais na sua Das oportunidades citadas na aula de hoje, quais na sua

empresa ocorreu?empresa ocorreu?9.9. NNa sua empresa tem algum profissional dedicado para a sua empresa tem algum profissional dedicado para

segurança da Informação?segurança da Informação?

Download - Gerenciamento dos arquivos eletrônicos: dispositivos de segurança

Top Related