segurança da informação - informática.pdf

7/25/2019 Segurana da Informao - Informtica.pdf

1/12

26/9/2004

1

26/9/2004 Prof. Rossoni, Farias 1

SeguranSegurana da Informaa da Informaoo

Aula 02Aula 02


SeguranSegurana da Informaa da Informaoo ::

Cultura,Cultura,

Cidadania,Cidadania,

Desenvolvimento pessoal e social,Desenvolvimento pessoal e social,

Competitividade,Competitividade, Influncia e poder,Influncia e poder,

ImprescindImprescindvel para a vida em sociedade.vel para a vida em sociedade.

Aula 02Aula 02


2/12

26/9/2004

2


ProteProteo da Informao da Informaoo

necessnecessria em vria em vrias esferas:rias esferas:

PessoalPessoal

proteproteo da privacidade, anonimato;o da privacidade, anonimato;

LegalLegal

proteproteo de registros civis em geral, direitos de propriedade eo de registros civis em geral, direitos de propriedade eresponsabilizaresponsabilizao de atoso de atos

PolPolticotico--administrativaadministrativa

proteproteo de informao de informaes estrates estratgicas, transparncia dagicas, transparncia da

administraadministraoo;; CorporativaCorporativa

proteproteo de direitos e patentes, informao de direitos e patentes, informaes comerciais, entrees comerciais, entreoutras.outras.

Aula 02Aula 02


A InformaA Informao e a Interneto e a Internet

A Internet veio amplificar a importncia da informaA Internet veio amplificar a importncia da informao eo esuas vulnerabilidades, e potencializar extraordinariamente assuas vulnerabilidades, e potencializar extraordinariamente asameaameaasas sua seguransua segurana.a.

InformaInformao no so no s mais abundante como estmais abundante como est muito maismuito mais

dispondisponvel.vel. ububqua e de mqua e de mltiplas fontes, remotas ou locais,ltiplas fontes, remotas ou locais,ppblicas ou annimas.blicas ou annimas.

Os meios de acessoOs meios de acesso informainformao so cada vez maiso so cada vez maisbaratos, variados e poderosos. O mesmo acontece com asbaratos, variados e poderosos. O mesmo acontece com asferramentasferramentas disposidisposio dos malo dos mal--intencionados.intencionados.

Aula 02Aula 02


3/12

26/9/2004

3


ExemploExemplo -- ComComrcio Eletrnicorcio Eletrnico

Ataques ao software do servidor incluem roubo deAtaques ao software do servidor incluem roubo deinformainformaes e alteraes e alteraes em dados (contas, informaes em dados (contas, informaoopessoal, senhas) e programas.pessoal, senhas) e programas.

Ataques ao software do cliente incluem modificaAtaques ao software do cliente incluem modificao deo deprogramas, acesso ao cache do navegador, entre outros.programas, acesso ao cache do navegador, entre outros.

Ataques ao sistema operacional do servidor visam o acessoAtaques ao sistema operacional do servidor visam o acessono autorizado a arquivos, instalano autorizado a arquivos, instalao de vo de vrus, entre outros.rus, entre outros.

AtaquesAtaques transatransao de pagamento podem ocorrer emo de pagamento podem ocorrer emvvrios nrios nveis: TCP/IP, protocolos de conexo, e protocolo deveis: TCP/IP, protocolos de conexo, e protocolo depagamento.pagamento.

Aula 02Aula 02


ExemploExemplo ComputaComputao Mo Mvelvel

Novas ameaNovas ameaas se configuram:as se configuram:

EndereEndereos de rede perdem significado. Problemas deos de rede perdem significado. Problemas deautenticaautenticao so o novo desafio.o so o novo desafio.

CCdigo mdigo mvelvel vulnervulnervel a ataques de servidoresvel a ataques de servidoresmaliciosos.maliciosos.

Servidores recebem cServidores recebem cdigos nem sempre confidigos nem sempre confiveis e estoveis e estosujeitos a ataques tambsujeitos a ataques tambm.m.

Aula 02Aula 02


4/12

26/9/2004

4


Origem dos ataquesOrigem dos ataques

A maioria dos ataques vm de dentro das organizaA maioria dos ataques vm de dentro das organizaes ees eso os mais caros e difso os mais caros e difceis de conter. So, obviamente, osceis de conter. So, obviamente, osmenos divulgados.menos divulgados.

Ataques de hackers, crackers e outros so os maisAtaques de hackers, crackers e outros so os maisconhecidos e divulgados. Tendem a causar danos maisconhecidos e divulgados. Tendem a causar danos maislocalizados.localizados.

Aula 02Aula 02


DefesaDefesa

Tem carTem carter:ter:

ttcnicocnico, na forma de protocolos, t, na forma de protocolos, tcnicas e prcnicas e prticas deticas deprogramaprogramao dedicados a prover alguns dos requisitos dao dedicados a prover alguns dos requisitos daseguransegurana da informaa da informao;o;

administrativoadministrativo, na forma de normas e procedimentos, na forma de normas e procedimentossistemsistemticos para atribuiticos para atribuio de responsabilidades, distribuio de responsabilidades, distribuioode informade informaes senses sensveis e controle de acesso, entre outros;veis e controle de acesso, entre outros;

polpolticotico, na forma de regulamentos e leis para o, na forma de regulamentos e leis para oembasamento das medidas de seguranembasamento das medidas de segurana necessa necessrias.rias.

Aula 02Aula 02


5/12

26/9/2004

5


Conceito BConceito Bsico da Informasico da Informaoo

InformaInformaoo aquilo que sintetiza a natureza de tudo o que existe ouaquilo que sintetiza a natureza de tudo o que existe ouocorre no mundo focorre no mundo fsico.sico.

SeguranSegurana e seu limitea e seu limite, um ditado popular diz que nenhuma, um ditado popular diz que nenhumacorrentecorrente mais forte que seu elo mais fraco! Quando voc implementamais forte que seu elo mais fraco! Quando voc implementaseguransegurana em um ambiente de informaa em um ambiente de informaes, o que na realidade voces, o que na realidade vocestest procurando fazerprocurando fazer eliminar o meliminar o mximo possximo possvel os pontos fracos ouvel os pontos fracos ougarantir o mgarantir o mximo de seguranximo de segurana possa possvel para os mesmos.vel para os mesmos.

Valor da informaValor da informaoo, o bem mais valioso da empresa, est, o bem mais valioso da empresa, est

diretamente relacionado com as informadiretamente relacionado com as informaes contidas em sua linha dees contidas em sua linha deproduproduo e servio e servios. Prevalece a forma que so armazenadas eos. Prevalece a forma que so armazenadas eregistradas, assim como a forma de captregistradas, assim como a forma de capt--las.las.

Aula 02Aula 02


SeguranSegurana e Seu Limitea e Seu Limite

Na gesto empresarial moderna, a informaNa gesto empresarial moderna, a informaoo tratada como ativo datratada como ativo daempresa. A informaempresa. A informao pode estar impressa, manuscrita, gravada emo pode estar impressa, manuscrita, gravada emmeios magnmeios magnticos, ou simplesmente, ser do conhecimento dosticos, ou simplesmente, ser do conhecimento dosfuncionfuncionrios. O conhecimento adquirido, desenvolvido ou aperfeirios. O conhecimento adquirido, desenvolvido ou aperfeioado,oado,deveria ser preservado quanto a sua integridade, disponibilidadedeveria ser preservado quanto a sua integridade, disponibilidade, e, econfidencialidade, evitandoconfidencialidade, evitando--se fraudes, violase fraudes, violaes, acessos, uso ees, acessos, uso edivulgadivulgao indevida. Entendao indevida. Entenda--se como:se como:

integridadeintegridade o ato de preservar as informao ato de preservar as informaes de modificaes de modificaes noes noautorizadas, imprevistas ou intencionais.autorizadas, imprevistas ou intencionais.

disponibilidadedisponibilidade, o ato de manter as informa, o ato de manter as informaes acesses acessveis a quemveis a quemdelas necessitam de forma tempestiva;delas necessitam de forma tempestiva;

confidencialidadeconfidencialidade, o ato de manter a informa, o ato de manter a informao dispono disponvel somente avel somente aquem for autorizado.quem for autorizado.

Aula 02Aula 02


6/12

26/9/2004

6



Essas informaEssas informaes ou ativos, tambes ou ativos, tambm deveriam ser classificadas dem deveriam ser classificadas deacordo com o eventual impacto negativo gerado decorrente de acesacordo com o eventual impacto negativo gerado decorrente de aces so,so,divulgadivulgao ou conhecimento no autorizado. Poderiam, por exemplo, sero ou conhecimento no autorizado. Poderiam, por exemplo, serclassificadas em confidenciais, restritas, internas e pclassificadas em confidenciais, restritas, internas e pblicas. Cadablicas. Cadaclassificaclassificao citada, com as suas respectivas regras de divulgao citada, com as suas respectivas regras de divulgao eo eutilizautilizao.o.

A divulgaA divulgao ou conhecimento no autorizado desses ativos podem geraro ou conhecimento no autorizado desses ativos podem gerarimpactos dos mais variados, dentre os quais citaimpactos dos mais variados, dentre os quais cita--se: perda financeira,se: perda financeira,perda de negperda de negcio, perda de produtividade, perda de mercado, perda decio, perda de produtividade, perda de mercado, perda de

oportunidade, perda de credibilidade, desgaste da imagem, etc.oportunidade, perda de credibilidade, desgaste da imagem, etc.

Aula 02Aula 02



As redes de computadores proporcionam, entre outros benefAs redes de computadores proporcionam, entre outros benefcios,cios,processos mais rprocessos mais rpidos, comunicapidos, comunicaes dinmicas, produtividadees dinmicas, produtividadeaumentada por funcionaumentada por funcionrios remotos e mrios remotos e mveis, etc. Os funcionveis, etc. Os funcionriosriosremotos e mremotos e mveis temveis tem--se tornado pese tornado pea chave para que as empresasa chave para que as empresascontinuem competitivas. Como exemplo, podecontinuem competitivas. Como exemplo, pode--se citar o vendedor quese citar o vendedor quepossa acessar os dados corporativos remotamente e fechar o negpossa acessar os dados corporativos remotamente e fechar o negciociocom seu cliente com rapidez, possuindo vantagem em relacom seu cliente com rapidez, possuindo vantagem em relao a outroo a outroque precise enviar um memorando a centralizadora do estoque, porque precise enviar um memorando a centralizadora do estoque, porexemplo, para confirmar se existe disponibilidade do produto negexemplo, para confirmar se existe disponibilidade do produto negociado.ociado.

SeguranSegurana de Redesa de Redes um tum tpico bastante divulgado na mpico bastante divulgado na mdia em geral.dia em geral.Apesar da constante divulgaApesar da constante divulgao dos problemas e perigos referenteso dos problemas e perigos referentes SeguranSegurana das Redes de Computadores, no so todas as empresas quea das Redes de Computadores, no so todas as empresas quepossuem estrutura adequada para enfrentar as responsabilidades epossuem estrutura adequada para enfrentar as responsabilidades eproblemas do assunto.problemas do assunto.

Aula 02Aula 02


7/12

26/9/2004

7


Valor da InformaValor da Informaoo

Independente do setor da economia em que a empresa atue, asIndependente do setor da economia em que a empresa atue, asinformainformaes esto relacionadas com seus processos de produes esto relacionadas com seus processos de produo e deo e denegnegcios, polcios, polticas estratticas estratgicas, de marketing, cadastros de clientes, etc.gicas, de marketing, cadastros de clientes, etc.No importa o meio fNo importa o meio fsico em que as informasico em que as informaes residam, elas so dees residam, elas so devalor inestimvalor inestimvel no svel no s para a empresa que as gerou como tambpara a empresa que as gerou como tambmmpara os seus concorrentes.para os seus concorrentes.

Aula 02Aula 02

Capital

Processos

Mo-de-

obra Geram

Ativos

Produtos

Bens Informaes


Valor da InformaValor da Informaoo

Os riscos so agravados em progresso geomOs riscos so agravados em progresso geomtricatrica medida quemedida queinformainformaes essenciais ao gerenciamento dos neges essenciais ao gerenciamento dos negcios so centralizadoscios so centralizadose, principalmente, com o aumento do grau de centralizae, principalmente, com o aumento do grau de centralizao.o.

importante ressaltar que muitas empresas no sobrevivem mais quimportante ressaltar que muitas empresas no sobrevivem mais queepoucos dias a um colapso do fluxo de informapoucos dias a um colapso do fluxo de informaes, no importando oes, no importando o

meio de armazenagem das informameio de armazenagem das informaes.es.Por issoPor isso importante saber aonde sero mantidos seus dados, e aimportante saber aonde sero mantidos seus dados, e acapacidade que a empresa tem de ampliar seu processo decapacidade que a empresa tem de ampliar seu processo dearmazenamento com medidas que garantam sua seguranarmazenamento com medidas que garantam sua segurana efetiva a uma efetiva a umcusto aceitcusto aceitvel, visto ser impossvel, visto ser impossvel obtervel obter--se seguranse segurana absoluta, ja absoluta, j quequea partir de determinado na partir de determinado nvel os custos envolvidos com a seguranvel os custos envolvidos com a seguranaatornamtornam--se cada vez mais onerosos, superando os benefse cada vez mais onerosos, superando os benefcios obtidos.cios obtidos.

Aula 02Aula 02


8/12

26/9/2004

8


SeguranSegurana da informaa da informaooAcesso LAcesso Lgicogico

Ao longo da histAo longo da histria da humanidade sempre existiu, em maior ou menorria da humanidade sempre existiu, em maior ou menorgrau, algum tipo de preocupagrau, algum tipo de preocupao com a segurano com a segurana da informaa da informao,o,mesmo que no houvesse uma forma prmesmo que no houvesse uma forma prtica e ftica e fcil de separar o acessocil de separar o acessollgico do acesso ao suporte fgico do acesso ao suporte fsico das informasico das informaes propriamente ditas.es propriamente ditas.

Como conseqComo conseqncia da informatizancia da informatizao, a segurano, a segurana de acesso la de acesso lgicogicorefererefere--se ao acesso que indivse ao acesso que indivduos tm a aplicaduos tm a aplicaes residentes emes residentes emambientes informatizados, no importando o tipo de aplicaambientes informatizados, no importando o tipo de aplicao ou oo ou otamanho do computador. (Essa segurantamanho do computador. (Essa seguranaa invisinvisvelvelaos usuaos usurios,rios,tendo eles somente conhecimento da mesma quando so barrados peltendo eles somente conhecimento da mesma quando so barrados peloo

controle de acesso).controle de acesso).O controle do acesso lO controle do acesso lgico estgico est relacionado com as atividades derelacionado com as atividades decontrole e auditoria normalmente existentes dentro das maiorescontrole e auditoria normalmente existentes dentro das maioresorganizaorganizaes.es.

Aula 02Aula 02


SeguranSegurana da informaa da informaooAcesso FAcesso Fsicosico

O acesso fO acesso fsico podesico pode--se entender como um controle tangse entender como um controle tangvelvelVisVisvelvel

Exemplo:Exemplo:

Em determinadaEm determinada rea da empresa somente podem entrar pessoas querea da empresa somente podem entrar pessoas quetrabalham na mesma ou cuja funtrabalham na mesma ou cuja funo a obriguem a ter contato como a obriguem a ter contato comoutras que ali trabalhem, ou de pessoas de noutras que ali trabalhem, ou de pessoas de nvel hiervel hierrquico superior,rquico superior,relacionadas de forma mais direta com as atividades executadas nrelacionadas de forma mais direta com as atividades executadas naa reareasob controle.sob controle.

Acesso a mAcesso a mdias como disquete, CDdias como disquete, CD--ROM em seus equipamentos.ROM em seus equipamentos.

Obter listagens que contenham informaObter listagens que contenham informaes importantes, comoes importantes, comocadastro dos clientes mais ativos da empresa, dentre outros.cadastro dos clientes mais ativos da empresa, dentre outros.

Aula 02Aula 02


9/12

26/9/2004

9


SeguranSegurana da informaa da informaooAgentes EnvolvidosAgentes Envolvidos

Aula 02Aula 02

Proprietrio Cus todiante

Usur io Co nt ro lad or

ATIVO

PropriedadePropriedade

O conceito de propriedade deriva do direito de posse direta ou dO conceito de propriedade deriva do direito de posse direta ou delegada sobreelegada sobreos ativos de informaos ativos de informaes, exercido em nome da empresa. Em princes, exercido em nome da empresa. Em princpio, apio, apropriedade de um ativo pertence a quem dele faz uso em funpropriedade de um ativo pertence a quem dele faz uso em funo de suao de suanecessidade funcional, normalmente quem faz uso da informanecessidade funcional, normalmente quem faz uso da informaoo o seuo seucriador, ou a pessoa que recebeu autorizacriador, ou a pessoa que recebeu autorizao do mesmo.o do mesmo.



Aula 02Aula 02



ATIVO

CustCustdiadia

O conceito de custO conceito de custdia referedia refere--se a pessoa ou organizase a pessoa ou organizao responso responsvel pelavel pelaguarda de um ativo de propriedade de terceiros. O mesmo conceitoguarda de um ativo de propriedade de terceiros. O mesmo conceito pode serpode seraplicado para informaaplicado para informaes, significando pessoa ou funes, significando pessoa ou funo, dentro da empresa,o, dentro da empresa,responsresponsvel pela guarda de ativos de outras pessoas ou funvel pela guarda de ativos de outras pessoas ou funes. Geralmente aes. Geralmente area de informrea de informticatica custodiante dos ativos de informacustodiante dos ativos de informaes dases das reas usureas usurias.rias.


10/12

26/9/2004

10



Aula 02Aula 02



ATIVO

UsuUsuriorio

O conceito de usuO conceito de usurio refererio refere--se a pessoa ou organizase a pessoa ou organizao responso responsvel pelo usovel pelo usode um ativo de sua propriedade de terceiros. Faz utilizade um ativo de sua propriedade de terceiros. Faz utilizao das informao das informaes emes embenefbenefcio de suas funcio de suas funes e atividades.es e atividades.



Aula 02Aula 02



ATIVO

ControladorControlador

O conceito de controlador estO conceito de controlador est relacionado diretamente ao que controla orelacionado diretamente ao que controla oacesso a um determinando ativo. A sua funacesso a um determinando ativo. A sua funoo garantir que o acesso seja feitogarantir que o acesso seja feitosomente dentro dos limites estabelecidos.somente dentro dos limites estabelecidos.


11/12

26/9/2004

11



Aula 02Aula 02

SimSim

SimSim

NoNo

NoNo

NoNo

NoNo

ControladorControlador

NoNo

NoNo

SimSim

NoNo

NoNo

NoNo

UsuUsuriorio

NoNo

NoNo

SimSim

SimSim

SimSim

NoNo

CustodianteCustodiante

SimSimDar AcessoDar Acesso

SimSimControle de UsoControle de Uso

SimSimDireito de AcessoDireito de Acesso

SimSimGuardaGuarda

SimSimPosse de FatoPosse de Fato

SimSimPosse de DireitoPosse de Direito

ProprietProprietriorioRelaRelao com o Ativoo com o Ativo

Agentes envolvidos na seguranAgentes envolvidos na seguranaa


SeguranSegurana da informaa da informaoo Controle de AcessoControle de Acesso

Aula 02Aula 02

O controle de acesso est relacionado diretamente ao acessoconcedido. A funo deste controle garantir que o acesso seja feitosomente dentro dos limites estabelecidos. Este controle exercido pormeio destes mecanismos:

Senhas (mtodo mais antigo usado para impedir acesso no autorizado). Chaves de acesso ou identificaes (recebe uma chave nica, permiteque seja associada a cada recurso que o seu possuidor tenha o direito de acessar,possibilitando assim a responsabilizao individual de cada usurio).

Lista de acesso (tabela com o tipo e nome do recurso). Operaes (leitura, gravao, excluso, etc.). Privilgios (relacionado com as funes exercidas). Ferramentas de segurana (ferramental usado para controlar o acesso deusurios ao acervos de informaes).

Categoria (mecanismo de classificar os usurios, propiciando a segregao dosmesmos a partes do ambiente).

Nvel hierrquico (segrega usurios com categorias semelhantes).


12/12

26/9/2004

12


ConclusesConcluses Descobrir o melhor meio de armazenamento eDescobrir o melhor meio de armazenamento e

recuperarecuperao das informao das informaes, prevalecendo aes, prevalecendo ammxima seguranxima segurana em seus processos.a em seus processos.

Entender como as informaEntender como as informaes geradas peloses geradas pelosprocessos internos e externos podem ajudar aprocessos internos e externos podem ajudar a

alavancar a competitividade da empresa.alavancar a competitividade da empresa.

Absoluto controle de acessos lAbsoluto controle de acessos lgicos e fgicos e fsicos.sicos.

segurança da informação - informática.pdf

Documents