CONCEITOS BSICOS

INE 5680 - Prof. Joo Bosco M. Sobral

O Ambiente Cooperativo.
Fatores que justificam segurana.
Conceitos Bsicos.
O que segurana computacional.
Requisitos de Segurana.
O que Poltica de Segurana

O Conceito de Dado

Dado = Uma cadeia (string) de smbolos,
mas considerando-se algum significado.

Dados = vrias cadeias de smbolos
concatenados, considerando-se um
significado, que a semntica dos
dados.

Conceito de Informao


Os dados, inseridas num
determinado contexto,
proporcionam alguma informao
relevante a ser considerada.

O Ambiente Cooperativo e a
Diversidade de Conexes

O Ambiente Cooperativo

Matrizes,
Filiais,
Clientes,
Fornecedores,
Parceiros Comerciais,
Usurios Mveis

No Ambiente Cooperativo

Integrao dos mais diversos sistemas de
diferentes organizaes.

Partes envolvidas cooperam entre si, na
busca de rapidez e eficincia nos processos e
realizaes dos negcios.

No Ambiente Cooperativo

Diferentes tipos de usurios
Desafios a serem enfrentados no ambiente
cooperativo
Complexidade que envolve a segurana
desses ambientes
Modelo de segurana

Num Ambiente Cooperativo
Complexo

Existem vulnerabilidades, ameaas, ataques,
riscos, e impactos.

A complexidade da infraestrutura de rede
atinge nveis considerveis.

No Ambiente Cooperativo


Toda informao tem valor e precisa
ser protegida.

preciso a segurana das informaes que
fazem parte dessa rede.

Fatores que justificam
Segurana

Fragilidade da tecnologia existente.

Novas tecnologias trazem novas
vulnerabilidades.

Novas formas de ataques so criadas.

Entender a natureza dos ataques
fundamental.



Fatores que justificam
Segurana

Aumento da conectividade resulta em novas
possibilidades de ataques.

Existncia de ataques direcionados e
oportunsticos.

Aumento dos crimes digitais.

Fatores que justificam
Segurana
A falta de uma classificao das informaes
quanto ao seu valor e a sua confiabilidade,
para a definio de uma estratgia de
segurana.

Controle de acesso mal definido.

A Internet um ambiente hostil, e portanto,
no confivel.

Fatores que justificam
Segurana


A interao entre diferentes ambientes resulta
na multiplicao dos pontos vulnerveis.

Fazer a defesa (segurana) mais complexa
do que o ataque.




A Abrangncia da Segurana
Segurana x Funcionalidades


Segurana inversamente proporcional as
funcionalidades (servios, aplicativos, o
aumento da complexidade das conexes, ...)

Aspectos da Segurana
Segurana x Produtividade

A administrao da segurana deve ser
dimensionada, sem que a produtividade dos
usurios seja afetada.

Geralmente, a segurana antagnica
produtividade dos usurios.

Objetivo Final

A tentativa de estabelecer uma rede totalmente
segura no conveniente.

As organizaes devem definir o nvel de
segurana, de acordo com suas necessidades,
j assumindo riscos.

Construir um sistema altamente confivel, que
seja capaz de dificultar ataques mais casuais.
Problemas de Segurana da
Informao

Garantir que pessoas mal intencionadas no
leiam ou, pior ainda, modifiquem mensagens
enviadas a outros destinatrios.

Pessoas que tentam ter acesso a servios
remotos, os quais elas no esto autorizadas.
Problemas de Segurana da
Informao

Distino entre uma mensagem supostamente
verdadeira e uma mensagem falsa.

Mensagens legtimas podem ser capturadas e
reproduzidas.

Pessoas que negam ter enviado determinadas
mensagens.
Segurana Computacional

Segurana da Informao,

Segurana de Sistemas,

Segurana de Aplicaes,

Segurana de Redes.
O QUE SEGURANA
DA INFORMAO
Requisitos para Segurana da
Informao

Disponibilidade
Confidencialidade
Integridade
Privacidade
Autenticidade
Controle de Acesso
No-Repdio da Informao
Aspectos no computacionais da
Segurana da Informao

Normativos
Conceitos, Diretrizes, Regulamentos, Padres
Planos de Contingncia
Estatsticas
Legislao

25
Disponibilidade

A informao deve ser entregue no momento
que ela precisar.

A informao estar disponvel para
acesso no momento desejado.
Confidencialidade


A informao transmitida so acessveis
somente a partes autorizadas.
Privacidade

As informaes pessoais podem ser
fornecidas, mas somente com a autorizao
do proprietrio da informao ou medida
judicial.

Informaes mdicas ou financeira.
Integridade

Garante a proteo da informao contra
modificaes no autorizadas.
escrever,
mudar,
mudar status,
apagar,
Criar
Atrasar
responder mensagens.

Autenticidade

Validar a identidade de um usurio, ou um
dispositivo em um sistema.

Assegura que a identidade e a informao no
so falsas.
Controle de Acesso


Procedimentos operacionais para detectar e
prevenir acessos no autorizados e permitir
acessos autorizados num sistema.

No-Repdio


Nem o transmissor nem o receptor da
informao, podem negar o envio/recepo da
informao.

O que Segurana da
Informao

Define restries aos recursos da informao.

Segurana da Informao a gesto de tais
restries.

Para gerir restries, polticas de segurana
precisam ser definidas.



Contribuio da Segurana da
Informao

Garantir a continuidade do negcio

Minimizar o risco ao negcio

Maximizar o retorno sobre os
investimentos.
O que uma Poltica de
Segurana

Poltica de Segurana um conjunto de
diretrizes e diretivas que definem formalmente
as regras e os direitos dos funcionrios e
prestadores de servios, visando proteo
adequada dos ativos da informao.

Essa poltica est baseada em diretrizes de
segurana e diretivas de privacidade.
Diretrizes de Segurana

Proteger as informaes
Assegurar Recursos
Garantir Continuidade
Cumprir Normas
Atender s Leis
Selecionar Mecanismos
Comunicar Descumprimento
Diretivas de Privacidade

As informaes so coletadas de forma legal e
sob o
conhecimento do usurio;

As informaes so enviadas empresa de forma
segura com mtodos de criptografia e certificao
digital.

As informaes enviadas empresa sero
armazenadas de forma ntegra, sem alterao de
qualquer parte.
Diretrizes de Privacidade
As informaes so armazenadas de forma
segura e criptografada restringindo o acesso
somente s pessoas autorizadas;

As informaes sero utilizadas apenas para as
finalidades aprovadas pela Organizao;

As informaes dos clientes nunca sero
fornecidas a terceiros, exceto por determinao
legal ou judicial.
Gesto de Segurana da
Informao
Da normatizao ABNT NBR, ISO/IEC
27002:2005

Mediante tal embasamento e
considerando o disposto em seu
Planejamento Estratgico, uma empresa
pode resolver implantar um Sistema de
Gesto de Segurana da Informao
(SGSI), cuja estrutura e diretrizes so
expressas num documento.
Ciclo de Segurana
O processo de segurana da informao pode
ser visto, conforme o ciclo:

Anlise de Segurana
Atualizao de regras de segurana
Implementao e divulgao das regras
Administrao de segurana
Auditorias
O que Segurana de
Sistemas


Segurana de Sistemas Operacionais

Segurana de Bancos de Dados



O que Segurana de
Aplicao

Mecanismos de segurana inerentes
linguagem de programao usada.

Segurana nos Navegadores, Aplicaes na
Web, Clientes de Email e aplicativos em geral.
O que Segurana de Rede

Segurana provida nos elementos de rede
(roteadores, switches, pontos de acesso em
redes sem fio, ...).

Segurana provida nos segmentos de rede.

Segurana nos protocolos de comunicao.
CONCEITOS
Vulnerabilidade, Ameaa, Ataque, Intruso
Conceito de Intruso
Anlise da Vulnerabilidade (descobrir o melhor
caminho para chegar at a invaso).

Preparao das Ferramentas (constri ou escolhe as
ferramentas para a invaso).

Ameaa ou Tentativa de Ataque (quando o invasor
pula o muro).

Ataque (concretiza o arrombamento).

Invaso ou Penetrao (quando obtm sucesso).
Vulnerabilidades

Pontos Fracos por onde se pode atacar.


Uma falha de segurana em um sistema de
software ou de hardware que pode ser
explorada para permitir a efetivao de uma
intruso.
Ameaas

Pulando o Muro
Uma ao ou evento que pode prejudicar a
segurana.
a tentativa de ataque a um sistema de
informao, explorando suas vulnerabilidades,
no sentido de causar dano
confidencialidade, integridade ou
disponibilidade.
Conceito de Ataque
Arrombamento

O ato de tentar desviar dos controles de
segurana de um sistema.

Qualquer ao que comprometa a segurana
da informao de propriedade de uma
organizao.
Ataque Ativo x Passivo

Pode ser ativo, tendo por resultado a alterao
dos dados.

Pode ser passivo, tendo por resultado a
obteno da informao: escuta oculta de
transmisses, anlise de trfego.
Ataque Externo x Ataque
Interno


Pode ser externo, quando originado de fora da
rede protegida.

Pode ser interno, quando originado de dentro
da rede protegida de uma instituio.
Ataque: Sucesso x Insucesso

O fato de um ataque estar acontecendo, no
significa necessariamente que ele ter
sucesso.

O nvel de sucesso depende da
vulnerabilidade do sistema ou da eficincia
das contramedidas de segurana existentes
Conceito de Intruso (Invaso)

Acesso bem sucedido, porm no autorizado,
em um sistema de informao.

Sucesso no ataque.

Obteno da Informao.

Risco


Risco a probabilidade da ocorrncia de uma
ameaa particular.

Anlise de Risco Identificao e avaliao
do riscos que os recursos da informao esto
sujeitos.

Risco

Gerenciamento de Riscos - Inclui a anlise de
risco, a anlise de custo-benefcio, a avaliao
de segurana das protees e a reviso total
da segurana.

Risco Residual: Riscos ainda existentes
depois de terem sido aplicadas medidas de
segurana.
Impacto
a representao (normalmente em forma de
avaliao) do grau de dano percebido
associado aos bens de uma empresa.

Grau de Dano = Severidade (qualitativo)

A consequncia para uma organizao da
perda de confidencialidade, disponibilidade e
(ou) integridade de uma informao.