Políticas de Segurança

Documentos relacionados
Direito digital e código penal. Prof. Nataniel Vieira

Crimes Digitais.

O tratamento penal dos crimes digitais no Brasil

Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi

TECNOLOGIA DA INFORMAÇÃO

Cyber Security Novas Tecnologias com Novos Riscos Visões Preventiva e Legal

A consciência digital, independente da idade, é o caminho mais seguro para o bom uso da internet, sujeita às mesmas regras de ética, educação e

DIREITO DA SOCIEDADE DA INFORMAÇÃO

VISÃO GERAL SOBRE A. LEI Nº /2012 ( Lei Carolina Dieckmann )

INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO. Prof. Dejair Priebe Ferreira da Silva

Noções de Direito e Legislação em Informática

UNIVERSIDADE DO VALE DO ITAJAÍ UNIVALI CENTRO DE CIÊNCIAS JURÍDICAS E SOCIAIS CURSO DE DIREITO UNIDADE KOBRASOL

POLÍTICA DE SEGURANÇA CIBERTNÉTICA, SEGURANÇA DE INFORMAÇÃO E CONTINUIDADE.

Simulado Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

Segurança Informática em Redes e Sistemas

Segurança da Informação Aula 2: Propriedades da Informação. Prof. Dr. Eng. Fred Sauer

Rabobank Segurança Cibernética

Uma Introdução à Análise de Vulnerabilidades e Pentest. Bernardo Bensusan Elise Cieza

Segurança e Controle em Sistemas de Informação. Profa. Ellen Francine ICMC-USP

INSTITUTO DE SERVIÇOS EDUCACIONAIS VALE DO PARANAPANEMA LTDA CNPJ: / FACULDADES INTEGRADAS DE TAGUAÍ

PROVA DISCURSIVA P 4

Desenvolvimento de Aplicações Distribuídas

Política de Segurança de Informações

Aula 8 Segurança em Redes Sem-fio

1. Introdução PUBLIC - 1

Por que todo mundo fala sobre o Marco Civil da Internet e o que sua empresa tem a ver com isso?

Segurança da informação

POLÍTICA DE UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DE INFORMÁTICA E SEGURANÇA DA INFORMAÇÃO

Segurança da Informação

Segurança - Conceitos Básicos. Conceitos Básicos. Segurança. Mundo Virtual X Mundo Real 18/08/11. Segurança em Redes de Computadores

SSC120 - Sistemas de Informação Segurança em Sistemas de Informação

POLÍTICA DE SEGURANÇA CIBERNÉTICA E DA SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA CIBERNÉTICA E DA SEGURANÇA DA INFORMAÇÃO

Também conhecidos como programas. Conjunto de instruções organizadas que o processador irá executar. É o software que torna o computador útil.

3/9/2011. Segurança da Informação. Segurança da Informação. O que é Segurança e seguro? Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas

Introdução em Segurança de Redes

Introdução a Segurança da Informação

NOÇÕES DE INFORMÁTICA. Segurança da Informação Certificação Digital Parte 1

CSI463 Segurança e Auditoria de Sistemas

(...) SEÇÃO III DOS CRIMES CONTRA A INVIOLABILIDADE DO SISTEMA INFORMÁTICO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PATRIMONO GESTÃO DE RECURSOS LTDA.

Especialista fala sobre riscos cibernéticos, principais coberturas e como se prevenir contra ataques

Segurança da Informação

Petter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional

Manual de Direito Digital

Daniel Moreno. Novatec

TÓPICOS ESPECIAIS II

Bot. Programa malicioso. Dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Fundamentos de Segurança da Internet. Cristine Hoepers, D.Sc. Klaus Steding-Jessen, D.Sc. 30/03/2016

Segurança Corporativa utilizando Sistema de Detecção de Intrusão (IDS)

Segurança conceitos básicos. Sistemas Distribuídos

Segurança da Informação Aula 8 Certificação Digital

Inicialmente as redes passaram a ser utilizadas principalmente para o compartilhamento de periféricos, principalmente discos rígidos.

Questões de Concursos Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

Segurança de Redes. Aula 01 Introdução. Prof. João Henrique Kleinschmidt

CÓDIGO DE ÉTICA E CONDUTA SOKA - G Suite for Education

TERMOS DE USO SITE

CRIMES VIRTUAIS. Conceito Exemplos

SEGURANÇA DE SISTEMAS E REDES. TÁSSIO JOSÉ GONÇALVES GOMES

Guia de dupla autenticação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. Versa Gestora de Recursos Ltda.

LISTA DE EXERCÍCIOS. Amplia a abrangência de controle da alta administração. Permite monitorar as atividades com mais eficiência

AULA 10 CRIPTOGRAFIA E SEGURANÇA DE DADOS CERTIFICADOS DIGITAIS ESTRUTURA DE UMA ICP 26/03/2016 PROF. FABIANO TAGUCHI

NOÇÕES DE INFORMÁTICA. Segurança da Informação Certificação Digital Parte 2

PSI Política de Segurança da Informação

Ciclo de vida da Informação

Segurança e Auditoria de Sistemas. Prof. Alessandra Bussador

Criptografia Simétrica e Assimétrica, Hash, e Assinatura Digital

Legislação Aplicada a Informática. Alberto Felipe Friedrichs Barros

Segurança e Auditoria de Sistemas. Tarcio Carvalho

Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini /

Transcrição:

Disciplina de Segurança e Auditoria de Sistemas Políticas de Segurança Professor: Jiyan Yari

Segurança da Informação Para (UCHÔA, 2005) a segurança da Informação é alicerçada principalmente em três elementos em um ambiente computacional: - Confiança (ou Disponibilidade); - Integridade; - Confidencialidade. 2

Segurança da Informação Confiança (ou Disponibilidade): - pode-se confiar na disponibilidade dos serviços? - os dados armazenados estarão disponíveis quando forem necessários? - os procedimentos de backups garantem que as informações armazenadas possam ser restaurados em caso de problemas? 3

Segurança da Informação Integridade: - os dados recuperados são confiáveis (danos)? - como garantir que as informações não foram alteradas na origem ou na sua transmissão? - como garantir que o dados acessados são iguais aos que foram armazenados (alteração)? 4

Segurança da Informação Confidencialidade: - como certificar que os dados só podem ser acessados por quem de direito? - como garantir a privacidade dos usuários e dos dados? - como impedir a interceptação e espionagem de informações? 5

Segurança da Informação Outros itens: Autenticação: - capacidade de garantir que um usuário é quem alega ser. Exemplo: Login no sistema 6

Segurança da Informação Outros itens: Não-repúdio: - trata-se da capacidade do sistema de provar que um usuário executou uma determinada ação. Exemplo: Assinatura digital e ou certificação digital 7

Segurança da Informação Outros itens: Legalidade: - garantir que o ambiente esteja em concordância com a legislação. Exemplo: Pirataria de software 8

Segurança da Informação Outros itens: Privacidade: - capacidade do sistema de manter o anonimato de um usuário, impossibilitando o relacionamento entre o usuário e suas ações e ou garantir que o usuário não tenha suas ações e ou dados monitorados sem prévia autorização e ou sem prévio conhecimento ou dele ou da empresa. Exemplo: Sistema de voto de urna eletrônica? 9

Segurança da Informação Outros itens: Auditoria: - capacidade do sistema de auditar tudo que for realizado pelos usuários, com o objetivo de detectar fraudes ou tentativas de ataque. Exemplo: Sistema de logs. 10

Ameças à Segurança Neste contexto as ameaças à segurança da informação são relacionadas diretamente à perda de qualquer uma de suas 3 características principais, que são: - Perda de confiabilidade: Exemplo: queda de um servidor ou de uma aplicação crítica de negócio - Perda de disponibilidade: Exemplo: um compartilhamento aberto - Perda de confidencialidade: Exemplo: vazamento de senha de um usuário ou administrador de sistema 11

Políticas de Segurança Uma Política de Segurança incorpora os resultados de uma análise de risco em um plano que providencia procedimentos para gerenciar um ambiente com putacional. Em particular, ela fornece ao administrador do sistema linhas operacionais para o ambiente, tais como regras para o gerenciamento de contas de usuários, procedimentos de instalação de sistemas. (MANN; MITCHELL, 2000) 12

Políticas de Segurança Uma política de segurança é um conjunto de leis, regras e práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos. Um dado sistema é considerado seguro em relação a uma política de segurança, caso garanta o cumprimento das leis, regras e práticas definidas nessa política. (SOARES; LEMOS; COLCHER, 1995) 13

Políticas de Segurança Uma política de segurança é um conjunto de leis, regras e práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos. Um dado sistema é considerado seguro em relação a uma política de segurança, caso garanta o cumprimento das leis, regras e práticas definidas nessa política. (SOARES; LEMOS; COLCHER, 1995) 14

Políticas de Segurança No contexto apresentado, portanto, é a política de segurança que deixa evidente as informações que devem ter o seu acesso restrito e as que podem ser liberadas (confidencialidade). 15

Políticas de Segurança Também é quem define quais os itens que necessitam ser preservados (integridade), bem como as pessoas que terão acesso a recursos específicos. 16

Políticas de Segurança Também é quem define quais os itens que necessitam ser preservados (integridade), bem como as pessoas que terão acesso a recursos específicos. 17

Políticas de Segurança As políticas de segurança devem ter implementação realista e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques. 18

Políticas de Segurança De acordo com o RFC 2196 (http://tools.ietf.org/html/rfc2196) - The Site Security Handbook, uma política de segurança consiste em um conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização. 19

Políticas de Uso Política de Uso trata-se de documento jurídico responsável por definir os direitos, deveres e obrigações dos usuários em um ambiente computacional, doutrinando assim, por parte do usuário, o controle de acessos. 20

Políticas de Uso Política de Uso trata-se de documento jurídico responsável por definir os direitos, deveres e obrigações dos usuários em um ambiente computacional, doutrinando assim, por parte do usuário, o controle de acessos. 21

Políticas de Uso Política de Uso deve ser um documento elaborado junto ao setor jurídico da empresa, para garantir os direitos, deveres e obrigações dos usuários, devendo ser assinado por todos na empresa, inclusive os de alto escalão, quer estejam envolvidos com o ambiente computacional ou não. 22

Políticas de Uso Para a montagem desta política, deve-se levar em conta: - riscos associados à falta de segurança; - benefícios; - custos de implementação dos mecanismos. 23

Mecanismos de Segurança O suporte para as recomendações de segurança pode ser encontrado em: - Controles físicos: barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta. Alguns mecanismos de segurança que apoiam os controles físicos: Portas, trancas, paredes, blindagem, guardas e etc. 24

Mecanismos de Segurança - Controles lógicos: barreiras que impedem ou limitam o acesso à informação, que de outro modo ficaria exposta a alteração não autorizada por elemento mal intencionado. 25

Mecanismos de Segurança Mecanismos de segurança que apoiam os controles lógicos: - criptografia; - assinatura digital; - garantia de integridade (hash); - controle de acesso (autenticação); - certificação (validade); - honeypot; - protocolos seguros; - IDS; - IPS. 26

Crimes Virtuais Para entender o quê são crimes virtuais é imprescindível distinguir os conceitos de: - crime por computador; - crime de computador. 27

Crimes de computador São os crimes tradicionais cometidos por meios computacionais, ou seja, utilizando como ferramenta o computador. São crimes que encontram-se tipificados na Lei. Exemplos: Enviar e-mail com ameaça de agressão, pena de 1 a 6 meses de detenção ou multa (Art. 147). SPAM, detenção de 3 meses a 1 ano ou multa (Art. 146). São tipificados crimes como: invasão de privacidade, envio de vírus de computador, pedofilia ou montagem de sites com receitas de bombas ou similares, entre outros. 28

Crimes de computador Crimes que só existem no ambiente computacional, não existindo equivalente no ambiente não tecnológico ou não tipificados na Lei. Exemplo: Dafacement DDoS 29

Projeto de Lei de Crimes Cibernéticos Teve como relator o Senador Eduardo Azeredo, transformado em um projeto de lei em 2005, porém que se iniciou há dez anos, em 1996. A discussão polêmica da definição dos crimes de informática como: - difusão de vírus; - acesso não autorizado; - phishing; - ataques a redes de computadores; - acessar conteúdo protegido por direitos autorais, como vídeos, músicas e seriados; - clonagem de cartões e celulares; - difusão de vírus; 30 - roubo de senhas, entre outros.

Convenção de Budapeste Existe um esforço mundial atualmente que pretende unir os países do mundo em prol da solução de crimes digitais, conhecido como Convenção de Budapeste. Foi celebrada e firmada em 23 de novembro de 2001 na cidade de Budapeste, Hungria, chefiada pela Convenção do Conselho Europeu sobre o Cybercrime, sem a participação do Brasil. Entrou em vigor no dia 1 de julho de 2004, depois que cinco países o ratificaram, sendo três, integrantes do Conselho Europeu, composto por 46 membros Os Estados Unidos são o único país de fora do Conselho 31 Europeu que o ratificou, em 29 de setembro de 2006.

Lei Carolina Dieckman Lei Brasileira 12.737/2012, sancionada em 3 de dezembro de 2012, tipificando os chamados delitos ou crimes informáticos. Críticas: dispositivos são amplos, confusos e podem gerar dupla interpretação, ou mesmo interpretação subjetiva. Essas interpretações podem ser utilizados para enquadramento criminal de condutas triviais ou mesmo para a defesa e respaldo de infratores cibernéticos, o que tornaria a lei injusta e ineficaz. 32

Lei Carolina Dieckman Os delitos previstos na Lei Carolina Dieckmann são: 1) Art. 154-A - Invasão de dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita. Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa. 33

Lei Carolina Dieckman 2) Art. 266 - Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública - Pena - detenção, de um a três anos, e multa. 3) Art. 298 - Falsificação de documento particular/cartão - Pena - reclusão, de um a cinco anos, e multa. A "Lei Carolina Dieckmann" entrou em vigor no dia 02 de abril de 2013. 34

Lei Carolina Dieckman Lei na íntegra: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm 35

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback