ENGENHARIA CIVIL
COMPUTAÇÃO APLICADA
Aula 3
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
1
Agenda
Segurança da informação
Sistemas de comunicação de dados: Redes de
Computadores (Material auxiliar)
18/02/2013 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
2
“Informação é um ativo que, como qualquer outro
ativo importante para os negócios, tem valor para a
organização e consequentemente necessita ser
adequadamente protegida.”
NBR ISO/IEC 27002:2005
• É determinado pelo valor que o usuário dá a ela.
• Enquanto um usuário pode considerar um dado pouco
interessante, outros podem dar um valor maior ao mesmo.
• A área de negócio não pode existir sem informação
• Em TI, a informação é considerada um fator de produção
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
• É qualquer componente para qual a organização
atribui valor e está associado a alguma informação
• Uma organização deve determinar quais ativos podem afetar a entrega de
um produto ou serviço pela ausência ou deterioração, ou causar dano a
organização através da perda de confidencialidade, integridade ou
disponibilidade.
• Deve-se definir qual é o valor de um ativo no caso de um incidente.
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Impressa ou escrita em papel
Mostrada em vídeo
Verbal
Transmitida por correio eletrônico
“A forma em que a informação
se apresenta, vai definir as
medidas necessárias a sua
proteção”
Armazenada eletronicamente
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Internas – informações que você não
gostaria que a concorrência soubesse ou
que impacte a área de negócio.
De parceiros – informações que
necessitam ser compartilhadas com
outros parceiros comerciais.
De clientes e fornecedores – informações que eles não
gostariam que você divulgasse.
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
A informação pode ser:
• Criada
• Transmitida
• Processada
• Usada
• Armazenada
• Corrompida
• Perdida
• Destruída
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Segurança da Informação – é a proteção da informação contra
diversos tipos de ameaças para garantir a continuidade dos
negócios, minimizar os danos aos negócios e maximizar o
retorno dos investimentos e as oportunidades de negócio.
“ISO/IEC 27002:2005”
A Segurança da informação é constituída por um
conjunto de controles, políticas, processos, estrutura
organizacionais e normas.
Tem como objetivo a proteção da informação nos
aspectos de confidencialidade, integridade e
disponibilidade.
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Confidencialidade
• Assegurar que a informação é acessível
somente as pessoas autorizadas
Integridade
• Proteger a exatidão e a completeza da
informação e dos métodos de processamento
Disponibilidade
• Assegurar que os usuários autorizados tenham
acesso a informação e ativos associados,
quando necessário
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Confidencialidade
É o grau no qual o acesso à informação é restrito para determinados grupos de pessoas
autorizados a ter este acesso. Confidencialidade também inclui medidas de proteção a
privacidade.
Exemplos de medidas de confidencialidade
• Acesso a informação garantido somente onde necessário
• Empregados tomam medidas para garantir que a informação não é encontrada por aqueles que
dela não necessitam.
• Gestão de acesso lógico garante que pessoas ou processos não autorizados não tenham acesso a
sistemas automatizados, bases de dados ou programas.
• Uma separação é criada entre o sistema de desenvolvimento da organização, os processos da
organização e os usuários. Um desenvolvedor, por exemplo, não pode alterar salários.
• Nos processos onde dados são utilizados, medidas são tomadas para garantir a privacidade das
pessoas e terceiros.
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Integridade
É o grau em que a informação á atualizada sem erros. As características da integridade são
ela ser correta e completa.
Exemplos de medidas de integridade
• Mudança autorizadas de dados. Por exemplo: Alteração de um preço conforme definido pela
administração.
• As ações dos usuários são registradas e portanto pode-se determinar quem alterou
determinada informação.
• Uso de criptografia para impedir acesso a informação e assegurar sua proteção.
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Disponibilidade
É o grau no qual a informação está disponível para o usuário e para o sistema de informação
que está em operação no momento em que a organização a requer.
Características de disponibilidade
• Pontualidade: o sistema de informação está disponível quando necessário
• Continuidade: a organização pode continuar trabalhando no caso de falha.
• Robustez: existe capacidade suficiente, o que permite que toda organização trabalhe no sistema
Exemplos de medidas de disponibilidade:
• Gestão e armazenamento de dados – Ex: armazenados em rede, ao invés do HD
• Procedimentos de backup - armazenado em locais físicos diferentes
• Procedimento de emergência - garantia de que as atividades voltem a operar mais rápido
possível.
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
A internet tem nos proporcionado diversas facilidades
Fazer amizades
Compras
Ler notícias
Diversão
Transações bancárias
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Riscos relacionados ao uso da internet:
Conteúdo impróprio e ofensivo
Boatos (Hoax)
Invasão de privacidade
Phishing
Golpes de comércio eletrônico
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Pharming
Ataques relacionados a internet:
•
•
•
•
•
•
•
Exploração de vulnerabilidades
Varredura de redes (scan)
Falsificação de email (email-spoofing)
Interceptação de tráfego (sniffing)
Força bruta (brute force)
Desfiguração de páginas (Defacement)
Negação de serviço (Denial of service)
Prevenção:
• Quanto menor a quantidade de computadores vulneráveis e infectados, menos
eficazes serão os ataques de negação de serviço.
• Quanto mais consciente dos mecanismos de segurança você estiver, menores são
as chances de sucesso do atacante.
• Quanto melhores forem as suas senhas, menores são as chances de sucesso de
ataques de força bruta
• Quanto mais os usuários usarem criptografia para proteger os dados no
computador ou internet, menores são as chances de tráfego de texto claro ser
interceptados.
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Como se proteger?
Ferramentas antimalware
Política de segurança
Contas e senhas
Firewall
Registro de eventos (Logs)
Criptografia
Cópias de segurança (backup)
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Política de segurança
É a política que governa toda a abordagem
da organização quanto ao gerenciamento de
segurança da informação, deve cobrir todas
as áreas de segurança, ser apropriada, estar
disponível a todos os clientes, usuários e
equipe de TI e atender às necessidades do
negócio.
Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais,
como tamanho mínimo e máximo, regra de formação e periodicidade de troca.
Política de backup: define as regras sobre a realização de cópias de segurança, como tipo
de mídia utilizada, período de retenção e frequência de execução.
Política de privacidade: define como são tratadas as informações pessoais, sejam elas de
clientes, usuários ou funcionários.
Política de confidencialidade: define como são tratadas as informações institucionais, ou
seja, se elas podem ser repassadas a terceiros.
Política de uso aceitável (PUA): define as regras de uso dos recursos computacionais, os
direitos e as responsabilidades de quem os utiliza e as situações que são consideradas
abusivas.
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Contas e senhas
Identificação única de um usuário em um computador ou serviços
3 mecanismos básicos de autenticação:
• Aquilo que você é. (impressão digital, voz, íris, etc)
• Aquilo que você possui. (token gerador de senhas)
• Aquilo que você sabe. (perguntas de segurança)
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Contas e senhas
Cuidados a serem tomados ao usar suas contas e senhas:
• Certifique-se de não estar sendo observado ao digitar as suas senhas.
• Não forneça a sua senha para outra pessoa, em hipótese alguma.
• Certifique-se de fechar a sua sessão ao acessar sites que requeiram o uso de
senhas. (logout).
• Elabore boas senhas
• Altere as suas senhas sempre que julgar necessário
• Não use a mesma senha para todos os serviços que acessa.
• Ao usar perguntas de segurança para facilitar a recuperação de senhas, evite
escolher questões cujas respostas possam ser facilmente adivinhadas.
• Certifique-se de utilizar serviços criptografados quando o acesso a um site
envolver o fornecimento de senha.
• Procure manter sua privacidade, reduzindo a quantidade de informação que
possam ser coletados sobre você
• Seja cuidadoso ao usar a sua senha em computadores potencialmente
infectados ou comprometidos
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Contas e senhas
“Uma senha boa, bem elaborada, é aquela que é difícil de ser descoberta (forte) e
fácil de ser lembrada.”
Elaboração de senhas:
•
•
•
•
•
•
Números aleatórios (135428907854)
Grande quantidade de caracteres (quanto mais longa for a senha mais difícil será descobri-la)
Diferentes tipos de caracteres (quanto mais “bagunçada” for a senha mais difícil será descobri-la)
Selecione caracteres de uma frase
Utilize uma frase longa (frase que faça sentido e seja fácil de memorizar)
Faça substituição de caracteres (semelhança - w ou vv – fonética - ca ou k)
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Criptografia
Tipos de criptografia:
•
•
•
•
Criptografia de chave simétrica : utiliza uma mesma chave para codificar e descodificar.
Criptografia de chaves assimétricas: utiliza duas chaves distintas, uma pública e uma privada.
Assinatura digital: usa chave privada e chave pública, porém a codificação é feita no hash.
Certificado digital: registro eletrônico composto por um conjunto de dados que destingue um
entidade e associa a ela uma chave pública. Pode ser emitido por empresas, serviços,
equipamentos.
Por meio do uso da criptografia você pode:
•
Proteger os dados sigilosos armazenados no computador
•
Criar uma partição específica, onde as informações que forem gravadas serão
automaticamente criptografadas
•
Proteger comunicações realizadas na internet
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Firewall
“Utilizado para proteger o computador
contra acessos não autorizados vindos
da internet”
O firewall é capaz de:
•
Registrar as tentativas de acesso aos
serviços habilitados no seu computador
•
Bloquear o envio para terceiros de
informações coletadas por invasores
•
Bloquear tentativas de invasão e
exploração de vulnerabilidades
•
Analisar continuamente o conteúdo das
conexões
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Ferramentas antimalware
São aquelas que procuram detectar, anular e remover os códigos maliciosos de um
computador.
EX: Antivírus, antispyware, antirootkit, antitrojan, etc.
Diferenças entre si:
•
•
•
•
Método de detecção: assinatura (procura de padrões), heurística (características que
um código possui), comportamento ( quando executado).
Forma de obtenção: gratuitos, experimentais, pagos.
Execução: podem ser instalados em computador ou executados sob demanda
Funcionalidades apresentadas: além das funções básicas (detectar, anular e remover
códigos maliciosos) podem apresentar outras funções integradas, como firewall pessoal,
backup e recovery, etc.
Cuidados a serem tomados:
• Tenha um antimalware instalado em seu computador
• Configure o antimalware para verificar toda e qualquer extensão de arquivo
• Configure o antimalware para verificar automaticamente arquivos em e-mails ou da internet
• Mantenha o antimalware sempre atualizado.
• Evite executar mais de um antimalware ao mesmo tempo
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Registro de eventos (Logs)
Logs é o registro de atividades gerado por programas e serviços de um computador.
A partir da análise de logs você é capaz de:
•
•
•
•
Detectar o uso indevido do seu computador,
como um usuário tentando acessar arquivos
de outro usuário, ou alterar arquivos de
sistema.
Detectar um ataque, como força bruta ou a
exploração de alguma vulnerabilidade
Rastrear as ações executados por um
usuário no seu computador, como
programas utilizados, comandos executados
e tempo de uso do sistema.
Detectar programas de hardware ou no
programas e serviços instalados
Logs são essenciais para notificação de incidentes, pois permitem que diversas informações
importantes sejam detectadas. Ex: data e horário de uma atividade, endereço IP, portas
envolvidas e protocolos de rede.
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
Cópias de segurança (backup)
Backups são extremamente importantes, pois permitem:
•
•
•
Proteção dos dados: você pode preservar seus dados para que sejam recuperados em
situações como falha de disco rígido, atualização mal sucedida, exclusão ou substituição
acidental de arquivos.
Recuperação de versões: você pode recuperar uma versão antiga de um arquivo alterado
Arquivamento: você pode copiar ou mover dados que deseja ou que precisa guardar.
Cuidados a serem tomados com seus backups:
•
•
•
•
•
Mantenha seus backups atualizados, de acordo com a frequência de alteração dos
dados;
Mantenha seus backups em locais seguros, bem condicionados e com acesso restrito;
Configure para que seus backups sejam realizados automaticamente e certifique-se de
que eles estejam realmente sendo feitos;
Faça backup antes de efetuar grandes alterações no sistema;
Armazene dados sensíveis em formato criptografado;
02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
BIBLIOGRAFIA BÁSICA
1
2
3
Bibliografia
MANZANO, José Augusto N. G. Estudo Dirigido de Algorítmos. São Paulo:
Érica, 1999.
PEIXOTO, Mário César Pintaudi. Engenharia social e segurança da
informação na gestão corporativa . Rio de Janeiro: Brasport, 2006.
COMER, Douglas E. Interligação em rede com TCP/IP: projeto,
implementação e detalhes internos. Tradução de Ana Maria Netto GUZ. 3. ed.
Rio de Janeiro: Campus, 1999. v. 2.
BIBLIOGRAFIA COMPLEMENTAR
CANTU, Marco. Dominando o Delphi 5 "a Bíblia". São Paulo: Makron Books,
1
2000.
TANENBAUM, Andrew S. Redes de computadores. Rio de Janeiro : Campus,
2
1994.
MACHADO, Francis Berenger. Arquitetura de sistemas operacionais. Rio de
3
Janeiro : Livros Técnicos e Científicos, 2002. 3. ed.
LOURENÇO, Antonio Carlos de. Circuitos digitais. São Paulo : Érica, 2005
4
5
NORTON, P., Introdução à Informática, 5ª edição, São Paulo, Printice Hall, 2004.
1997
15/08/2013 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com
28