Sistema de Análise de Riscos Interoperabilidade de eHardware Gestão do Conhecimento e Software em Segurança da Informação Fernando Nery Fernando Nery [email protected] [email protected] Documento Restrito Documento Restrito 1 1 RN 1160 RN #### Uso oficial de certificados digitais SPB / Banco Central Susep / Apólices de Seguro CFM / Prontuário Eletrônico Imprensa Nacional – DOU IOESP – Diário Oficial Receita Federal – e-cpf, e-cnpj Secretaria de Fazenda de PE ... Documento Restrito 2 RN #### ICP é parte da Segurança Início da Internet Comercial Discussão sobre tamanho da chave criptográfica Problemas: Invasões DDOS Sites falsos Ataque aos equipamentos dos clientes Confidencialidade, Integridade, Disponibilidade Proteção da chave privada, proteção contra ataques Compliance com Código Civil, Resoluções do Banco Central, Basiléia, Sarbanes e Oxley, Cobit, Coso, ISO 17799 TI, Segurança, Compliance, Gerência de Riscos, Auditoria, Jurídico Proteção das chaves privadas Documento Restrito 3 RN #### Histório de Interoperabilidade Confiança em identidades Passaporte, Carteira de Identidade, Crachá empresarial, Carteira do Clube, Cartão Fidelidade Cartões de crédito e telefonia celular Protocolos IPX, SNA, NetBUI, IP! Interfaces Windows, GDK, HTTP! Consolidação do mercado Verisign, RSA, Entrust, Baltimore, Microsoft, Freepki, ... Aplicações e insumos Certificação cruzadas e Clearing houses de certificados digitais Algumas vezes a interoperabilidade não é conveniente (grupos fechados ou restrição de acesso) Documento Restrito 4 RN #### Interoperabilidade exige Definição do nível de segurança Auditoria e certificação dos atores Definição de níveis de serviço e requisitos técnicos mínimos Normas técnicas (ABNT) Interoperabilidade técnica e jurídica Gerenciamento de certificados expirados e revogados Acompanhamento das auditorias das ACs participantes Documento Restrito 5 RN #### Interoperabilidade Interoperabilidade de AC Raiz Interoperabilidade Funcional Facilidade de uso Portabilidade Benefício para o usuário vs uso compulsório Ambiente de Certificados Digitais X509 Cartões inteligentes Chips de Celular Time stamp Token CD, Disquete Cross-certification Relação de confiança entre ACs - Acordos Seguros, Responsabilidade Civil Notarização Consular Documento Restrito 6 RN #### Exemplo Razoavelmente Simples de Interoperabilidade ICE CAR – The European Telematics Applications Programme Internetworking Public Key Certification Infrastructure for Commerce, Administration and Research “Interoperabilidade é um dos maiores obstáculos para prover segurança” Interoperabilidade entre emails (x509, pkcs) Aspectos considerados ACs s/mime, Plug-in de icp em emails LDAP (v2, v3) Cliente s/mime Cliente Outlook Express, Outlook, Netscape Messenger ?Cartões Inteligentes, ?tokens, ?SSL, ?outros serviços de diretório, ?outros algoritmos de criptografia Documento Restrito 7 RN #### Novas tecnologias Wireless Celulares PDA Web services VoIP IPv6 TV Digital Linux Documento Restrito 8 RN #### Conclusões Segmento ainda não tem maturidade técnica Não existe massa crítica de aplicações Os resultados alcançados foram mais lentos que o esperado Deve haver consolidação no setor Neste momento a discussão “filosófica” é prejudicial à aplicação, estaremos perdendo dinheiro com isso Importante que haja busca de padrões de interoperabilidade pelos principais players (governo, bancos, e-commerce, OAB, Universidades, ...) Deve-se considerar níveis de segurança Deve-se focar no usuário e na aplicação e não na tecnologia Documento Restrito 9 RN ####
Download
