• Nenhum resultado encontrado

TÓPICOS ESPECIAIS EM SEGURANÇA DA INFORMAÇÃO

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2022

Share "TÓPICOS ESPECIAIS EM SEGURANÇA DA INFORMAÇÃO"

Copied!
9
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 9 páginas )

Texto

(1)

TÓPICOS ESPECIAIS EM SEGURANÇA DA INFORMAÇÃO

VERSÃO 2.8.1

PROF. MARCO ANDRÉ LOPES MENDES PROF. MEHRAN MISAGHI

(2)

AULA 1 – PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

OBJETIVOS DA AULA

Identificar as classes da informação;

Conhecer o ciclo de vida da segurança da informação;

Compreender a origem dos problemas ou ataques;

Conhecer os mecanismos de segurança;

Identificar as medidas de segurança que podem ser aplicadas.

CONTEÚDO DA AULA

Acompanhe os assuntos desta aula, se preferir, após o seu término, assinale o conteúdo já estudado. Nesta aula, veremos:

Classificação da Informação;

Ciclo de vida da segurança;

Origem dos problemas ou ataques;

Mecanismos de segurança;

Medidas de segurança.

(3)

Classificação da Informação

Nem toda informação é crucial ou essencial a ponto de merecer cuidados especiais. Por outro lado, algumas informações podem ser tão vitais que o custo de sua integridade, qualquer que seja, ainda será menor que o custo de não dispor dela adequadamente. Em (Wadlow, 2000; Abreu, 2001; Boran, 1996) é apresentada, a necessidade de classificação da informação em níveis de prioridade, respeitando a necessidade de cada organização assim como a importância da classe de informação para a manutenção das atividades da organização. As classes de informação são:

1. pública: informação que pode vir a público sem maiores conseqüências danosas ao funcionamento normal da organização, e cuja integridade não é vital;

2. interna: o acesso a esse tipo de informação deve ser evitado, embora as conseqüências do uso não autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja vital;

3. confidencial: informação restrita aos limites da organização, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras, ou de confiabilidade perante o cliente externo, além de permitir vantagem expressiva ao concorrente;

4. secreta: informação crítica para as atividades da organização, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas. A manipulação desse tipo de informação é vital para a companhia.

Ciclo de vida da segurança

Devemos definir o que precisa ser protegido? Esta pergunta é extremamente importante e auxilia no processo de elaboração da política de segurança, e implementação dos mecanismos de segurança. Não se pode proteger a organização

(4)

para esta finalidade entre outros fatores. A figura abaixo ilustra o clico de vida da segurança

Após de ser definido e direcionado o que será protegido, deve-se pensar em metodologias, mecanismos e ferramentas que podem fornecer a segurança e definir qual é o nível da proteção que se pretende implementar. Certamente, conforme o nível escolhido, o custo, tempo e a ferramenta serão diferentes.

Sempre que se pensa em proteger algo, deve se pensar e calcular a probabilidade da realização de um ataque e também mensurar os prejuízos, caso o ataque seja bem-sucedido.

Para testar o mecanismo proposto, nada melhor do que a simulação de ataque ao seu sistema. No caso em que o ataque tenha sucesso, deve-se voltar para o início do ciclo de segurança.

As etapas do ciclo serão repetidas até que não haja mais ataques bem- sucedidos ou tais ataques não resultem em ameaças que sejam riscos imediatos.

O que precisa ser protegido?

Como proteger?

Simulação de um ataque

Qual é probabilidade de um ataque?

Qual prejuízo, se ataque sucedido?

Qual é nível da proteção?

Figura 1 - Ciclo de vida da segurança

(5)

Origem dos problemas ou ataques

Normalmente quando nos deparamos com um problema, não nos preocupamos de onde tal problema pode ter sido originado. A origem de um problema ou ataque nos auxilia na prevenção de que tal ataque venha a ocorrer novamente. Como principais origens de problemas e ataques, podemos citar:

(Stallings, 2003 e 2006)

1. estudante: alterar ou enviar e-mail em nome de outros;

2. hacker: examinar a segurança do sistema; roubar informação;

3. empresário: descobrir o plano de marketing estratégico do competidor;

4. ex-empregado: vingar-se por ter sido despedido;

5. contador: desviar dinheiro de uma organização;

6. corretor: negar uma solicitação feita a um cliente por e-mail;

7. terrorista: roubar segredos de guerra;

8. outros.

Mecanismos de segurança

Um mecanismo de segurança da informação fornece meios para reduzir as vulnerabilidades existentes em um Sistema de Informação. A segurança fornece a possibilidade e a liberdade necessária para a criação de novas oportunidades de negócios. Não pode se esquecer que a segurança envolve tecnologia, processos e pessoas. É evidente que os negócios estão cada vez mais dependentes das tecnologias e estas precisam estar de tal forma a proporcionar confidencialidade, integridade e disponibilidade – que conforme (NBR 17999, 2003; Krause e Tipton, 1999; Albuquerque e Ribeiro, 2002), são os princípios básicos para garantir a segurança das informações (Laureano, 2004):

1. confidencialidade: a informação somente pode ser acessada por pessoas explicitamente autorizadas; É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo. O aspecto mais importante deste item é garantir a identificação e autenticação das

(6)

2. integridade: a informação deve ser retornada em sua forma original no momento em que foi armazenada; É a proteção dos dados ou informações contra modificações intencionais ou acidentais não-autorizadas;

3. disponibilidade: a informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária.

O item integridade não pode ser confundido com confiabilidade do conteúdo (seu significado) da informação. Uma informação pode ser imprecisa, mas deve permanecer integra (não sofrer alterações por pessoas não autorizadas).

A segurança visa também aumentar a produtividade dos usuários através de um ambiente mais organizado, proporcionando maior controle sobre os recursos de informática, viabilizando até o uso de aplicações de missão crítica (Laurenao, 2004).

Outros autores (Dias, 2000; Wadlow, 2000; Shirey, 2000; Krause e Tipton, 1999; Albuquerque e Ribeiro, 2002; Sêmola, 2003; Sandhu e Samarati, 1994) defendem que para uma informação ser considera segura, o sistema que a administra ainda deve respeitar:

1. autenticidade: garante que a informação ou o usuário da mesma é autêntico;

atesta com exatidão, a origem do dado ou informação;

2. não-repúdio: não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação; não é possível negar o envio ou recepção de uma informação ou dado;

3. legalidade: garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação; característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes;

4. privacidade: foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. uma informação privada deve ser vista, lida e alterada somente pelo seu dono. Garante ainda, que a informação não será disponibilizada para outras pessoas (neste é caso é atribuído o caráter de confidencialidade a informação). É a capacidade de um usuário realizar ações em um sistema sem que seja identificado;

(7)

5. auditoria: rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Auditoria em software significa uma parte da aplicação, ou conjunto de funções do sistema, que viabiliza uma auditoria.

Consiste no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança.

Medidas de segurança

Para garantir a segurança da informação deve-se aplicar práticas, procedimentos e mecanismos de proteção para os ativos e as informações (SÊMOLA: 2003). As medidas a serem adotadas podem ser de três tipos:

preventivas: visam evitar que incidentes antes que ocorram na organização;

detectivas: visam identificar o que pode causar uma ameaça, a fim de evitar que sejam exploradas as vulnerabilidades;

corretivas: visam uma estratégia de continuidade das operações caso ocorra algum incidente de segurança.

(8)

1. Existem vários mecanismos e formas de proteção em um ambiente computacional. Relacione três mecanismos de segurança que sejam relacionados com processos, três mecanismos de segurança relacionados a tecnologias e três mecanismos relacionados as pessoas.

2. Em sua opinião, qual das origens de ataque merece mais atenção? Justifique a sua resposta através de exemplos.

3. Existem três tipos de medidas de segurança. Explique a diferença entre as medidas de segurança através do emprego de um exemplo para cada tipo.

SÍNTESE

Nesta aula vimos:

Classificação da Informação;

Ciclo de vida da segurança;

Origem dos problemas ou ataques;

Mecanismos de segurança;

Medidas de segurança.

(9)

REFERÊNCIAS

1) ABREU, Dimitri. Melhores Práticas para Classificar as Informações. Módulo e- Security Magazine. São Paulo, agosto 2001. Disponível em http://www.modulo.com.br

2) BORAN, Sean. IT Security Cookbook, 1996. Disponível em http://www.boran.com/security/.

3) KATZAM JR, Harry. Segurança de em Computação. Editora LTC. Rio de Janeiro, 1977.

4) MISAGHI, Mehran. Princípios de Segurança da Informação. Palestra, Comdex, São Paulo, 2002.

5) NAKAMURA, EMÍLIO TISSATO e GEUS, PAULO LÍCIO DE. Segurança de redes em ambientes cooperativos. São Paulo: Berkeley Brasil, 2002.

6) STALLINGS, William. Cryptography and Network Security: Principles and Practice, 3th ed., Prentice Hall, 2003

7) WADLOW, Thomas. Segurança de Redes. Editora Campus. Rio de Janeiro, 2000.

8) KRAUSE, Micki e TIPTON, Harold F. Handbook of Information Security Management. Auerbach Publications, 1999.

9) ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurança no Desenvolvimento de Software – Como desenvolver sistemas seguros e avaliar a segurança de aplicações desenvolvidas com base na ISO 15.408. Editora Campus. Rio de Janeiro, 2002.

10) SÊMOLA, Marcos. Gestão da Segurança da Informação – Uma visão Executiva. Editora Campus. Rio de Janeiro, 2003.

11) SANDHU, Ravi S. e SAMARATI, Pierangela. Authentication, Acess Control, and Intrusion Detection. IEEE Communications, 1994.

Referências

Descarregar agora ( PDF - 9 páginas - 152.35 KB )

Documentos relacionados

Carla é morta em tiroteio

Maria de Freitas Guimarães 03 dor- mitórios, sala, copa, cozinha, banheiro, área de serviço, terraço com banheiro e garagem R$847,50..

URI:

Linhas simples e duplas concorrem em Mário de Sá-Car- neiro: conjugadas com reticências (Sá-Carneiro é dos mais reticentes; com Ângelo de Lima, tem um uso particular do

INSTITUTO DE QUÍMICA

24 - Último dia para as Coordenadorias de Programas protocolizarem na DAC o pedido de emissão da carta de aceitação para alunos estrangeiros, regulares e especiais

Programador ESP-LX Modular Guia de instalação, programação e funcionamento PN

Para definir o tempo de rega para outra válvula, pressione ‘+’ ou ‘–’ sob ‘Válv.’, até que o número da válvula que pretende apareça no visor.. Para definir o tempo

INFORMAÇÃO DE SEGURANÇA

- Toxicidade para órgãos-alvo específicos (STOT), a exposição repetida: Com base nos dados disponíveis, os critérios de classificação não são preenchidos, não

Planejamento de Rede de Distribuição de Energia Elétrica com Restrições Geográficas

Através dos possíveis caminhos fornecidos pela triangulação de Delaunay e considerando as restrições geográficas do local onde se deseja implantar a nova rede, com

EDUCAÇÃO A DISTÂNCIA E EDUCAÇÃO ESPECIAL NO ENSINO SUPERIOR: DUAS MODALIDADES, UM CAMINHO CAMPO GRANDE, 10 DE MAIO DE 2011.

concentrou-se a atenção em duas situações: a interpretação em Libras durante as teleaulas para atendimento aos alunos surdos e a produção de materiais para os acadêmicos

Segurança de Sistemas de Informação

 Procura-se descobrir o texto original ou uma cifra (algoritmo ou chave) partindo do conhecimento do texto criptografado e do texto original..  Ataques com texto original