Gerenciamento dos arquivos eletrnicos: dispositivos de segurana.

Download Gerenciamento dos arquivos eletrnicos: dispositivos de segurana.

Post on 07-Apr-2016

219 views

Category:

Documents

4 download

TRANSCRIPT

  • Gerenciamento dos arquivos eletrnicos: dispositivos de segurana

    Prof. Carlos Eduardo Pinheiro

    **Importncia da Segurana da InformaoQuanto vale informao para uma empresa?Sem Informao uma empresa pode sobreviver quanto tempo?O que exatamente precisa de ser protegido?

    Prof. Carlos Eduardo Pinheiro

    **Fonte de Problemas ou Ataques

    Estudante Alterar ou enviar e-mail em nome de outrosHacker - Examinar a segurana do Sistema; Roubar informaoEmpresrio - Descobrir o plano de marketing estratgico do competidorEx-empregado - Vingar-se por ter sido despedidoContador - Desviar dinheiro de uma empresaCorretor - Negar uma solicitao feita a um cliente por e-mailTerrorista - Roubar segredos de guerra

    Prof. Carlos Eduardo Pinheiro

    **Definio de SeguranaUm mecanismo de Segurana da Informao providencia meios para reduzir as vulnerabilidades existentes em um Sistema de Informao.Segurana envolve tecnologia, processos e pessoas

    Prof. Carlos Eduardo Pinheiro

    **Ameaas na SeguranaFDFonte deInformaoDestino daInformaoFluxo NormalFDInterrupoFDInterceptaoIFDModificaoMFDFabricaoF

    Prof. Carlos Eduardo Pinheiro

    **Ameaas InternasRoubo de Informaes; Alterao de informaes; Danos fsicos; Alterao de configuraes da rede;

    Prof. Carlos Eduardo Pinheiro

    **Como prevenir e evitar Ameaas Internas?Restringir ao mximo o acesso dos usurios s informaes vitais da organizao; Restringir o acesso fsico s reas crticas; Definir e divulgar normas e polticas de acesso fsico e lgico; Implementar solues de criptografia para informaes crticas; Implementar solues de auditoria para informaes crticas; Controlar o acesso de prestadores de servios as reas crticas e as informaes.

    Prof. Carlos Eduardo Pinheiro

    **Tipos de SeguranaSegurana FsicaSegurana Lgica

    Prof. Carlos Eduardo Pinheiro

    **Segurana FsicaProvidenciar mecanismos para restringir o acesso s reas crticas da organizao

    Como isto pode ser feito?

    Prof. Carlos Eduardo Pinheiro

    **Segurana LgicaFornecer mecanismos para garantir:Confidencialidade;Integridade;Disponibilidade;No Repudiao ou Irrefutabilidade;Autenticidade

    Mecanismos tradicionais garantem a Segurana Lgica?

    Prof. Carlos Eduardo Pinheiro

    **ConfidencialidadeSignifica proteger informaes contra sua revelao para algum no autorizado - interna ou externamente. Segurana Lgica

    Prof. Carlos Eduardo Pinheiro

    **Consiste em proteger a informao contra leitura e/ou cpia por algum que no tenha sido explicitamente autorizado pelo proprietrio daquela informao. A informao deve ser protegida qualquer que seja a mdia que a contenha, como por exemplo, mdia impressa ou mdia digital.ConfidencialidadeDeve-se cuidar no apenas da proteo da informao como um todo, mas tambm de partes da informao que podem ser utilizadas para interferir sobre o todo. No caso da rede, isto significa que os dados, enquanto em trnsito, no sero vistos, alterados, ou extrados da rede por pessoas no autorizadas ou capturados por dispositivos ilcitos.Segurana Lgica

    Prof. Carlos Eduardo Pinheiro

    **IntegridadeConsiste em proteger a informao contra modificao sem a permisso explcita do proprietrio daquela informao.Segurana Lgica

    Prof. Carlos Eduardo Pinheiro

    **A modificao inclui aes como escrita, alterao de contedo, alterao de status, remoo e criao de informaes. IntegridadeDeve-se considerar a proteo da informao nas suas mais variadas formas, como por exemplo, armazenada em discos ou fitas de backup. Integridade significa garantir que se o dado est l, ento no foi corrompido, encontra-se ntegro. Isto significa que aos dados originais nada foi acrescentado, retirado ou modificado.Segurana Lgica

    Prof. Carlos Eduardo Pinheiro

    **DisponibilidadeConsiste na proteo dos servios prestados pelo sistema de forma que eles no sejam degradados ou se tornem indisponveis sem autorizao.Segurana Lgica

    Prof. Carlos Eduardo Pinheiro

    **Tem que assegurar ao usurio o acesso aos dados sempre que deles precisar. Isto pode ser chamado tambm de continuidade dos servios.DisponibilidadeUma forma de manter a disponibilidade de um sistema implantar estruturas de no-breaks, espelhamento de disco e de servidores.Ao acessar um site, se ele aparecer, ento est disponvel! Caso no aparea, ou no for possvel acess-lo, ento o princpio da disponibilidade foi afetado.Segurana Lgica

    Prof. Carlos Eduardo Pinheiro

    **AutenticidadeSegurana Lgica

    Prof. Carlos Eduardo Pinheiro

    **O servio de autenticao em um sistema deve assegurar ao receptor que a mensagem realmente procedente da origem informada em seu contedo. AutenticidadeA verificao de autenticidade necessria aps todo processo de identificao, seja de um usurio para um sistema, de um sistema para o usurio ou de um sistema para outro sistema. Ela a medida de proteo de um servio/informao contra a personificao por intrusos.Segurana Lgica

    Prof. Carlos Eduardo Pinheiro

    **Termo muito usado na rea de segurana da informao.No-Repdio a garantia de que um agente no consiga negar um ato ou documento de sua autoria. Essa garantia condio necessria para a validade jurdica de documentos e transaes digitais. S se pode garantir o no-repdio quando houver: No-Repdio Segurana Lgica

    Prof. Carlos Eduardo Pinheiro

    **Quando for possvel determinar quem mandou a mensagem e quando for possvel garantir que a mensagem no for alterada, ento estaremos tambm garantindo o No-Repdio.AutenticidadeEIntegridadeNo-Repdio Segurana Lgica

    Prof. Carlos Eduardo Pinheiro

    **Como pode se prevenir?Mudando a Cultura!!!PalestrasSeminriosExemplos prticosSimulaesEstudo de Casos

    Prof. Carlos Eduardo Pinheiro

    **Classificao da InformaoA Informao deve ser disponvel para:TodosUm grupoUm indivduo

    Prof. Carlos Eduardo Pinheiro

    **Ciclo de Vida de SeguranaO que precisa ser protegido?Como proteger?Simulao de um ataqueQual probabilidade de um ataque?Qual prejuzo, se ataque sucedido?Qual nvel da proteo?

    Prof. Carlos Eduardo Pinheiro

    **SENHA!?(O QUE ISTO?)Porque me deram uma senha to difcil.

    Prof. Carlos Eduardo Pinheiro

    **A importncia da senhaEscolha da Senha X Segurana da Rede.O acesso senha de um usurio no d acesso apenas aos seus dados particulares, mas a todos os recursos que ele utiliza, como documentos de seu setor, dados dos sistemas administrativos, entre outros.Programas que quebramsenhas.

    Prof. Carlos Eduardo Pinheiro

    **Normas para a escolha de uma senhaNo use seu login nem invertido, com letras maisculas, duplicado, etc. No use qualquer um de seus nomes ou sobrenomes; No use qualquer informao a seu respeito (apelido, placa de automvel, numero de telefone, marca de seu automvel, nome de pessoas de sua famlia, datas de nascimento, endereo, cep, cgc,cpf etc.);

    Prof. Carlos Eduardo Pinheiro

    **Normas para a escolha de uma senhaNo use senhas bvias (se voc flamengista, no use mengao, nem romario);No use palavras que constem do dicionrio (gaveta, amrica, celular); Use senhas que misturem caracteres maisculos e minsculos e nmeros; Use senhas fceis de lembrar;Use senhas com no mximo 3 caracteres repetidos;

    Prof. Carlos Eduardo Pinheiro

    **Normas para a escolha de uma senhaNunca escreva sua senha;Troque sua senha pelo menos uma vez por ms;Nunca fale sua senha, nem empreste sua conta para ningum.

    Qualquer coisa feita com sua senha de sua inteira responsabilidade. No corra riscos.

    Prof. Carlos Eduardo Pinheiro

    **Senhas que no devem ser usadas

    EEEBBBCCC (3 caracteres repetidos)4610133 (nmero de telefone)carleto (nome de pessoa)PEDROSILVA (Nome em maiscula)215423 (s nmeros)opmac (Campos ao contrrio)LGF-4589 (Placa de carro)Leonardo Di Caprio (Nome de artista)clipes (contm no dicionrio)#$cr^98Y/kl1 (difcil de digitar e de lembrar)

    Prof. Carlos Eduardo Pinheiro

    **

    Prof. Carlos Eduardo Pinheiro

    **Adversrios e sua motivao

    Prof. Carlos Eduardo Pinheiro

    **Por qu Criptografia?Ataques contra senhas;Farejadores de pacotes;Ataques que desviam SO;Ataques de recuperao de dados;Ataques de reconstruo de memria;etc

  • Fundamentos de Criptografia

    Prof. Carlos Eduardo Pinheiro

    **O que criptografia?Estudo da Escrita(grafia) Secreta(cripto) Esconder a informao de todos exceto ...Verificar a exatido de uma informaoBase tecnolgica para a resoluo de problemas de segurana em comunicaes e em computao

    Prof. Carlos Eduardo Pinheiro

    **Criptografia na HistriaEgpcios antigos cifravam alguns de seus hierglifosO barro de Phaistos (1600 a.c) ainda no decifradoCifrador de Jlio Csar, aproximadamente 60 acTratado sobre criptografia por Trithemius entre 1500 e 1600

    Prof. Carlos Eduardo Pinheiro

    **Roda CriptogrficaThomas Jefferson e James Monroe cifravam as suas cartas para manter em sigilo as suas discusses polticas (1785)Roda Criptogrfica

    Prof. Carlos Eduardo Pinheiro

    **Sistemas CriptogrficosTambm chamados de Criptossistemas so sistemas que dispe de algoritmos e funes de criptografia para assegurar:Confidencialidade;Integridade;No Repudiao ou Irrefutabilidade;Autenticidade

    Prof. Carlos Eduardo Pinheiro

    **EsteganografiaMarcao de caracteresTinta InvisvelPequenos furos no papelModerna EsteganografiaUso de bits no significativosrea no usada

    Prof. Carlos Eduardo Pinheiro

    **Mecanismos tradicionais para Segurana LgicaSenha;Firewall;Proxy;Auditoria;Outros;Ser que estes mecanismos fornecem a segurana necessria?

    Prof. Carlos Eduardo Pinheiro

    **FirewallUma das ferramentas de segurana mais difundida que permite a auditoria, proteo, controle do trfego interno e externo de uma rede.

    Prof. Carlos Eduardo Pinheiro

    **Auditoria uma ferramenta que registra TODOS os acessos aos diversos recursos da rede. Exemplos:Tentativa de acessar, excluir, alterar uma pasta(com ou sem acesso);Pginas visitadas;Porqu utilizar Auditoria?

    Prof. Carlos Eduardo Pinheiro

    **Incidente de SeguranaQuando ocorre um problema relacionado com a segurana, podemos dizer que ocorreu um Incidente de Segurana.

    Prof. Carlos Eduardo Pinheiro

    **Incidente de SeguranaO que fazer, quando ocorre?Atravs de relatrio, email, telefone avisar o responsvel de segurana para ele investigar: origem, prejuzo, consequncias entre outros fatores.O responsvel de segurana dever tomar medidas cabveis.

    Prof. Carlos Eduardo Pinheiro

    **O uso consciente da Internet e seus servios

    Prof. Carlos Eduardo Pinheiro

    **Os cuidados necessriosNo abra os arquivos anexados com os emails que voc no conhece ou no est esperando, caso haja dvidas, entre em contato com o suporte.Caso receber algum email pedindo o envio do mesmo para outras pessoas, com assuntos variadas como ataque de vrus, corrente de email e etc., NUNCA faa isto. Caso haja dvidas quanto ao um vrus especfico, entre em contato com o suporte.Ao transferir qualquer arquivo via internet, no esquea de passar o antivrus neste arquivo, antes de utiliz-lo.Ao trmino de consultas, transferncia de fundos, etc, no esquea de encerrar a sesso e fechar o browser.

    Prof. Carlos Eduardo Pinheiro

    **

    Prof. Carlos Eduardo Pinheiro

    **

    Prof. Carlos Eduardo Pinheiro

    **

    Prof. Carlos Eduardo Pinheiro

    **

    Prof. Carlos Eduardo Pinheiro

    **

    Prof. Carlos Eduardo Pinheiro

    **

    Prof. Carlos Eduardo Pinheiro

    **

    Prof. Carlos Eduardo Pinheiro

    **O que fao quando Alguma coisa no funciona?!?!

    Prof. Carlos Eduardo Pinheiro

    **Exercicios

    Descreva os principais fatos comentados hoje.Descreva a tendncia de riscos na rea de segurana, baseados nos dados apresentados.Na sua opinio os riscos e ameaas aumentaro neste ano?Compare os conceitos de confidencialidade e disponibilidade.Quais so as principais ameaas?Quais so as medidas de segurana mais adotadas?Voc adota algum procedimento de segurana quando acessa Internet? Qual?Das oportunidades citadas na aula de hoje, quais na sua empresa ocorreu?Na sua empresa tem algum profissional dedicado para segurana da Informao?

    ********************