Autarquia Educacional do Vale do São Francisco – AEVSF
Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE
Curso de Ciências da Computação
SEGURANÇA E AUDITORIA DE SISTEMAS
“Segurança
de Informações”
Controles de Segurança
Cynara Carvalho
[email protected]
1
Segurança de Informações
• Controles de Segurança
• Uma vez identificados os impactos e ameaças e calculados os
riscos, são desenvolvidas estratégias para controlar o ambiente
vulnerável:
• Para cada risco tentar implementar as seguintes linhas de ação:
• Eliminar o risco.
• Reduzir o risco a um nível aceitável.
• Limitar o dano, reduzindo o impacto.
• Compensar o dano, por meio de seguros.
• Controle em camadas – estratégia eficiente, pois distribui a
segurança em níveis, se um falhar ainda existem outros para
proteger o recurso. (APLICATIVOS, SERVIÇOS, S.O. E HW.)
2
Segurança de Informações
• Definindo Serviços de Segurança
• Serviços de segurança são medidas preventivas escolhidas para
combater ameaças identificadas.
• Modelo para redes, porém aplicados a sistemas computacionais
em geral.
• Categorias de serviços:
• Autenticação – verifica a identidade de quem está solicitando
o acesso ao recurso.
• Controle de acesso – proteção contra uso não autorizado de
recursos.
• Confidencialidade dos dados – proteção contra leitura não
autorizada
• Integridade dos dados – proteção contra ameaças à validade
e consistência dos dados.
• Disponibilidade – garantia que os recursos estarão
disponíveis.
• Não repúdio – em comunicações, tenta evitar que remetente
ou destinatário neguem que enviaram ou receberam dados
3
Segurança de Informações
• Serviços de Segurança
• Serviços de segurança são uma classe especial de medidas
preventivas relacionadas com o ambiente lógico. No geral existem
outras medidas importantes como:
•
•
•
•
•
Segurança Física.
Segurança dos recursos computacionais
Segurança administrativa
Segurança de meios magnéticos
Controles de desenvolvimentos de aplicativos.
4
Segurança de Informações
• Definindo Mecanismos de Segurança
• Mecanismo de segurança é o meio utilizado para atender um
serviço de segurança. Por exemplo, a criptografia é um mecanismo
que garante a confidencialidade dos dados.
• Principais mecanismos de segurança:
• Sistemas criptográficos - utilizam criptografia ou
algoritmos criptográficos para proporcionar confidencialidade às
informações.
• Mesmo que outros métodos falhem (controle de acesso,
senhas, etc...) os dados permanecem invioláveis ao invasor.
SEGURANÇA SEGURANÇA
SEGURANÇA SEGURANÇA
SEGURANÇA SEGURANÇA
SEGURANÇA SEGURANÇA
SEGURANÇA SEGURANÇA
SEGURANÇA SEGURANÇA
ALGORTIMO
XYSKOKQE03393 * ** 7 &5
¨%#¨&¨6 6¨% %¨& *Hn BNe
r4123478 *7542## &Um (O
p_=)(*& ¨%$ #@!
5
Segurança de Informações
• Criptografia
• Algoritmos formam uma seqüência de operações para transformar
texto em claro em texto cifrado.
• Mais conhecidos: DES (Data Encryption Standard – IBM 1970),
Triple DES, IDEA, RSA família RC, família MD.
• A concepção do sistema criptográfico é de que apenas as pessoas
que conhecem a chave secreta são capazes de decifrar um texto
criptografado.
• A criptografia atende a mais de um mecanismo de segurança, pois
além de ocultar a informação (confidencialidade), mantém o
conteúdo inalterado (integridade) desde a cifragem até a
decifragem.
6
Segurança de Informações
• Criptografia
• Produtos populares que usam a criptografia:
• PGP (Pretty Good Privacy) – software de proteção muito
comum. Usa os algoritmos IDEA e RSA.
• SSL (Secure Socket Layer) – desenvolvido pela Netscape,
oferece autenticação, verificação de integridade, compressão e
criptografia. Chaves de até 128 bits.
• SET (Security Electronics Transations) – Desenvolvido pelas
principais administradoras de Cartão de Crédito, para proteger
transações eletrônicas.
7
Segurança de Informações
• Outros mecanismos de segurança
• Assinatura Digital – conjunto de mecanismos que podem prover
serviços de não repúdio, de autenticação de origem ou de
integridade. Um procedimento para a assinatura e outro para
verificação da mesma.
• Mecanismos de controles de acesso – o proprietário decide quem
e como poderá ser acessado o recurso. Podem ser listas de direitos
de acesso, perfis, etc...
• Mecanismos de integridade de dados – proteção contra
modificação de dados.
8
Segurança de Informações
• Outros mecanismos de segurança
• Mecanismos de disponibilidade – dispositivos como unidades de
backup e recuperação de dados, equipamentos de controle de
temperatura, no-breaks e equipamentos redundantes que garantam
a disponibilidade dos sistemas.
• Trocas de autenticações – atendem ao serviço de autenticação da
entidade que solicita o recurso.
• Enchimento de tráfego – usado em conjunto com sistemas
criptográficos para prover confidencialidade no fluxo de dados,
impedindo análise de tráfego.
• Controles de roteamento – prevenção do tráfego de dados críticos
em canais de comunicação inseguros.
9
Segurança de Informações
• Ataques
• Passivos – não interferem no conteúdo do recurso atacado.
• Ativos – Afetam e prejudicam o conteúdo do recurso atacado.
• Hackers X Crackers
• Funcionários e Ex-funcionários
• Consultores Externos
10
Segurança de Informações
• Implantando Gerência de Segurança
• Dependendo do tamanho e do grau de vulnerabilidade da
organização, a responsabilidade de segurança de informações deve
ser desempenhada por pessoa ou grupo especialmente dedicado a
esta finalidade.
• Gerente de Segurança – auxiliar no desenvolvimento da política de
segurança e cuidar da divulgação e aplicação correta da mesma.
Deve ter linha direta com a direção.
• Princípios básicos:
• Prevenir o acesso não autorizado.
• Impedir que aqueles que conseguirem acesso danifiquem ou
adulterem qualquer coisa.
• Uma vez ocorrido o ataque, identificar suas causas, recuperar
sistemas e dados e modificar os controles para evitar novas
ocorrências.
11
Segurança de Informações
• Implantando Gerência de Segurança
• As funções de uma gerência de segurança podem ser subdividas
em 04 gerências:
• Gerência de segurança de sistemas – engloba todos os
aspectos de segurança de sistemas
• Gerência dos serviços de segurança – serviços de segurança
específicos ( confidencialidade e integridade)
• Gerência dos mecanismos de segurança – administração
individual dos mecanismos de segurança
• Gerência de auditoria de segurança – revisão e verificação de
registros de segurança
12
Segurança de Informações

Grupos de pessoas com
responsabilidades em SI:



Proprietários do sistema
Gerente do sistema
Usuário
13
O que fazer em casos de violação da Política de
Segurança







Nem sempre é fácil de detectar;
Minimizar a possibilidade de ocorrência de violação;
Ao detectar:
- determinar sua razão;( negligência,erro ou acidente)
- Investigar as circunstâncias da violação ( como e porque
ocorreu)
A política de segurança de especificar passos a serem seguidos
para cada tipo de violação;
Medidas corretivas;
Punição dos infratores;
Assegurar que o infrator tenha conhecimento da política.
14
Segurança de Informações
• Implementando e Auditando Políticas de Segurança
• A lista de verificações serve para a realização de um conjunto de
tarefas na implementação da política de segurança.
• Para a auditoria essa lista é traduzida em procedimentos de
auditoria .
• Lista de verificações – Pag 82/83 do Livro texto
15