10/02/2017. Auditoria e Segurança em. Informação e Redes Segurança. Classificação das Informações. Classificação das Informações

Transcrição

1 Auditoria e Segurança da Informação e Redes Segurança Segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção. [Aurélio] Professora: Janaide Nogueira 1 2 Classificação das Informações Classificação das Informações Pública informação que pode vir a público sem maiores consequências danosas ao funcionamento normal da empresa, e cuja integridade não é vital; Interna o acesso a esse tipo de informação deve ser evitado, embora as consequências do uso não autorizado não sejam por demais sérias; Sua integridade é importante, mesmo que não seja vital. 3 4 Classificação das Informações Classificação das Informações Confidencial informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras, ou de confiabilidade perante o cliente externo, além de permitir vantagem expressiva ao concorrente; Secreta informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas; A manipulação desse tipo de informação é vital para a companhia

2 Ciclo de vida da Informação Ciclo de vida da Informação Manuseio Momento em que a informação é criada e manipulada: - Seja ao folhear um maço de papéis; - Ao digitar informações recém-geradas em uma aplicação Internet; - Ao utilizar sua senha de acesso para autenticação, por exemplo. 7 8 Ciclo de vida das informações Ciclo de vida das informações Armazenamento Momento em que a informação é armazenada, seja em: Transporte Momento em que a informação é transportada, seja ao: - Um banco de dados compartilhado; - Em uma anotação de papel posteriormente postada em um arquivo de ferro; - Em uma mídia depositada na gaveta da mesa de trabalho, por exemplo. - Encaminhar informações por correio eletrônico; - - Ao postar um documento via aparelho de fax; - Ao falar ao telefone uma informação confidencial, por exemplo Ciclo de vida das informações Descarte Momento em que a informação é descartada, seja ao: Segurança de Dados em Computação - Depositar na lixeira da empresa um material impresso; - Ao eliminar um arquivo eletrônico em seu computador de mesa; - Ao descartar um CDROM usado que apresentou falha na leitura. Introdução; Objetivo da Segurança de Dados; O ambiente computacional;

3 Introdução Continuando... Segurança é um termo que transmite conforto e tranquilidade a quem desfruta de seu estado; Entender e implementar este estado em um ambiente empresarial exige conhecimento e práticas especializadas que somente são possíveis com o emprego e uso de um código de práticas de segurança. Atualmente, um dos maiores problemas para as organizações é definir um processo de controle das suas informações, de forma que esse controle atinja um nível adequado de gestão dos riscos que essa organização esta exposta Objetivo da Segurança de Dados Proteção dos sistemas de informação contra a negação de serviços a usuário autorizados; Proteção contra a intrusão, e a modificação desautorizada de dados ou informação, armazenados em processamento ou em trânsito; Objetivo da Segurança de Dados Proteção da segurança dos recursos humanos; Proteção da documentação e do material; Proteção das áreas e instalações das comunicações e computacional, assim como as destinadas a prever, detectar, deter e documentar eventuais ameaças a seu desenvolvimento Onde pode haver tentativa de ataque? Onde pode haver tentativa de ataque? Uma pessoa ou uma empresa manipula uma grande quantidade de informações; Uma informação possui três estados possíveis: armazenamento, processamento e transmissão; Em quaisquer destes estados é possível haver uma tentativa de ataque ou intrusão às informações; Como prevenir? - Uso de técnicas de segurança existentes para proteção dos dados;

4 Objetivos da Segurança Agir no armazenamento no processamento e na transmissão das informações. Necessidade da Segurança Reduzir os risco: A segurança da informação possui três objetivos principais: - A confidencialidade; - A integridade; - A disponibilidade. - Fraudes; - Acessos indevidos; - Uso indevido; - Sabotagem; - Roubo e erros Medidas para garantir segurança Princípios Proteger: - O quê? - De quem? - A que custos? - Com que riscos? A segurança da informação deve seguir três princípios básicos: Confidencialidade; Integridade; Disponibilidade. Essa questão remete a outra, o que precisa ser protegido, contra quem e como? Confidencialidade É a garantia do resguardo das informações dadas pessoalmente em confiança e a proteção contra a sua revelação não autorizada; Uso de mecanismos de proteção como criptografia. Integridade Dados não podem ser criados, alterados, ou removidos sem autorização; É a garantia de que a informação não foi alterada durante a sua transmissão; Tipos de integridade: - Receptor Assinatura digital; - Dados Algoritmos de hash; Criptografia é a arte e ciência de guardar e transmitir dados confidenciais

5 Algoritmo hash Disponibilidade Função que recebe uma quantidade arbitrária de dados e os comprime retornando um número fixo de bits. Necessidade de um serviço estar disponível para os usuários sempre que eles necessitarem das informações Garantindo a Confidencialidade Identificação Algumas técnicas ajudam a garantir a confidencialidade; A primeira age principalmente quando a informação está em armazenamento, no que diz respeito ao acesso a esta; Para evitar que pessoas não autorizadas consigam ver ou manipular esses dados de alguma forma, é implementado o serviço de autenticidade, que é dividido em: identificação, autenticação e autorização. É como o usuário se identifica ao sistema computacional a ser protegido; É o primeiro passo para prover a autenticidade; Na prática pode ser um nome de usuário, um identificador de login, um número de conta, um endereço de , um número de CPF, etc; Em resumo, algo que identifique quem é o usuário que está tentando acessar o sistema Autenticação Apenas identificar o usuário não é suficiente. É necessário ter certeza de que é ele mesmo que está tentando acessar o sistema e não outra pessoa se passando por ele, como um invasor, por exemplo; Para isso é necessário que ele apresente algo que garanta a sua identidade; Para o processo de autenticação ser efetuado, podemos lançar mão de três mecanismos: - O que o usuário sabe; - O que o usuário tem; - O que o usuário é. Autenticação - baseada em três métodos distintos: Identificação positiva (O que você sabe) Na qual o requerente demonstra conhecimento de alguma informação utilizada no processo de autenticação, por exemplo uma senha

6 Autenticação - baseada em três métodos distintos: Identificação proprietária (O que você tem) Na qual o requerente demonstrar possuir algo a ser utilizado no processo de autenticação, como um cartão magnético. Autenticação - baseada em três métodos distintos: Identificação Biométrica (O que você é) Na qual o requerente exibe alguma característica própria, tal como a sua impressão digital Cuidado com as senhas Cuidados devem existir com as senhas A forma mais comum de autenticação, normalmente usando uma senha, ou outra coisa que o usuário conheça, como uma palavra-chave; É fato que este método é eficaz, mas não tão eficiente quando usado sozinho, principalmente pelo fato de os usuários serem muito descuidados com suas senhas, inclusive no momento da sua criação. Uma senha pode facilmente ser perdida se anotada displicentemente em um pedaço de papel; Alguns usuários ainda tem o feio costume de compartilhar suas senhas com outras pessoas Descobrindo as senhas Podem ser facilmente descobertas através da observação; Ataque de força bruta, que é o procedimento de tentar uma enorme quantidade de senhas possíveis, seja manualmente ou com o auxílio de softwares; Engenharia social, que é a técnica usada para conseguir informações ou privilégios de pessoas descuidadas; Sniffers, que são programas de monitoramento de rede que farejam todo o tráfego da rede e podem capturar senhas muitas vezes desprotegidas, ou não criptografadas; Spywares, programas espiões ou sites falsos; Entre outros. Ataque de força bruta Em um ataque de força bruta, nem sempre se demora muito para descobrir uma senha, pois em muitos casos a senha é de fácil dedução, por exemplo: - Palavras comuns (chocolate, teste, senha, password); - Nomes próprios; - Números óbvios como data de nascimento (um dos mais clássicos); - Número de telefone, placa do carro, banda preferida, nome do cachorro, seqüências numéricas (12345, ), seqüências das teclas do teclado (qwerty, asdfgh, 1q2w3e4r), entre tantas outras!

7 Política para criação de senhas seguras Existem políticas para a criação de senhas que são aconselháveis para torná-la mais segura; Se não for possível usar todas, deve-se usar pelo menos algumas na tentativa de minimizar os riscos; Vejamos nos slides a seguir algumas delas. Usar senhas de pelo menos oito caracteres Misturar letras maiúsculas e minúsculas. Usar caracteres especiais (!@#$% &*()- +=[]{}?/>< ). Misturar letras e números. Trocar a senha a cada 30 dias. Não usar palavras de qualquer idioma. Não usar dados pessoais. Podem-se usar as iniciais de cada palavra de uma frase, por exemplo, na frase: A vida é bela e a girafa é amarela!, a senha pode ser Avebeagea! ou Av3b3@g#@! Outro métodos - Biometria Este método é o mais seguro e pessoal de todos, pois baseia-se em alguma característica física única e intransferível do usuário e portanto, só ele a possui. Biometria A técnica usada neste tipo de autenticação é a Biometria, onde bio =vida e metria = medida, ou seja, medida da vida. Sistema baseado no que o usuário tem, o procedimento de autenticação se dá pelo prévio cadastro de uma característica física do usuário em um banco de dados Sistema com senha Outras formas de autenticação Ao tentar acessar a informação, o usuário informa a sua senha; Esta será comparada à senha cadastrada em um banco de dados; Caso sejam iguais o acesso é autorizado, caso contrário o acesso é negado. Tokens; Cartões magnéticos inteligentes; Sistemas biométricos; Etc

8 Token Tokens É um objeto que o usuário possui, que o diferencia das outras pessoas e o habilita a acessar algum objeto; As chaves que abrem a porta da sua residência ou seu cartão com tarja magnética para utilizar o caixa eletrônico do banco são exemplos de tokens; Desvantagem: - A desvantagem das tokens em relação às senhas é que essas, por serem objetos, podem ser perdidas, roubadas ou reproduzidas com maior facilidade. O cartão magnético é uma token especial, pois guarda outras informações, como, por exemplo, a sua conta bancária Cartões magnéticos inteligentes Os cartões inteligentes são tokens que contêm microprocessadores e capacidade de memória suficiente para armazenar dados, a fim de dificultar sua utilização por outras pessoas que não seus proprietários legítimos. Sistema Biométrico Sistema baseado no que o usuário é, sua característica física também é cadastrada em um banco de dados, para posteriormente ser comparada, autorizando ou não o acesso; O que vai diferenciar é o tipo de comparação; No caso das senhas, elas devem ser exatamente iguais; Nas características biométricas, espera-se encontrar um número mínimo de características idênticas para a autenticação; Quanto mais características idênticas forem exigidas no momento da comparação, maior o nível de segurança do sistema biométrico Técnicas de reconhecimento biométrico Assinatura. Impressão digital. Geometria das mãos. Reconhecimento de voz. Reconhecimento de face. Reconhecimento de íris. Reconhecimento de retina