26/9/2004

Segurana da Informao
Aula 02

26/9/2004

Prof. Rossoni, Farias

Aula 02
Seguran
Segurana da Informa
Informao :
Cultura,
Cidadania,
Desenvolvimento pessoal e social,
Competitividade,
Influncia e poder,
Imprescind
Imprescindvel para a vida em sociedade.

26/9/2004

Prof. Rossoni, Farias

26/9/2004

Aula 02
Prote
Proteo da Informa
Informao
necess
necessria em v
vrias esferas:
Pessoal
prote
proteo da privacidade, anonimato;
Legal
prote
proteo de registros civis em geral, direitos de propriedade e
responsabiliza
responsabilizao de atos
Pol
Polticotico-administrativa
prote
proteo de informa
informaes estrat
estratgicas, transparncia da
administra
administrao;
o;
Corporativa
prote
proteo de direitos e patentes, informa
informaes comerciais, entre
outras.
26/9/2004

Prof. Rossoni, Farias

Aula 02
A Informa
Informao e a Internet
A Internet veio amplificar a importncia da informa
informao e
suas vulnerabilidades, e potencializar extraordinariamente as
amea
ameaas sua seguran
segurana.
Informa
Informao no s
s mais abundante como est
est muito mais
dispon
disponvel. ub
ubqua e de m
mltiplas fontes, remotas ou locais,
pblicas ou annimas.
Os meios de acesso informa
informao so cada vez mais
baratos, variados e poderosos. O mesmo acontece com as
ferramentas disposi
disposio dos malmal-intencionados.

26/9/2004

Prof. Rossoni, Farias

26/9/2004

Aula 02
Exemplo - Com
Comrcio Eletrnico
Ataques ao software do servidor incluem roubo de
informa
informaes e altera
alteraes em dados (contas, informa
informao
pessoal, senhas) e programas.
Ataques ao software do cliente incluem modifica
modificao de
programas, acesso ao cache do navegador, entre outros.
Ataques ao sistema operacional do servidor visam o acesso
no autorizado a arquivos, instala
instalao de v
vrus, entre outros.
Ataques transa
transao de pagamento podem ocorrer em
vrios n
nveis: TCP/IP, protocolos de conexo, e protocolo de
pagamento.

26/9/2004

Prof. Rossoni, Farias

Aula 02
Exemplo Computa
Computao M
Mvel
Novas amea
ameaas se configuram:
Endere
Endereos de rede perdem significado. Problemas de
autentica
autenticao so o novo desafio.
Cdigo m
mvel vulner
vulnervel a ataques de servidores
maliciosos.
Servidores recebem c
cdigos nem sempre confi
confiveis e esto
sujeitos a ataques tamb

m.
tamb

26/9/2004

Prof. Rossoni, Farias

26/9/2004

Aula 02
Origem dos ataques
A maioria dos ataques vm de dentro das organiza
organizaes e
so os mais caros e dif
difceis de conter. So, obviamente, os
menos divulgados.
Ataques de hackers, crackers e outros so os mais
conhecidos e divulgados. Tendem a causar danos mais
localizados.

26/9/2004

Prof. Rossoni, Farias

Aula 02
Defesa
Tem car
carter:
tcnico,
cnico, na forma de protocolos, t
tcnicas e pr
prticas de
programa
programao dedicados a prover alguns dos requisitos da
seguran
segurana da informa
informao;
administrativo,
administrativo, na forma de normas e procedimentos
sistem
sistemticos para atribui
atribuio de responsabilidades, distribui
distribuio
de informa
informaes sens
sensveis e controle de acesso, entre outros;
pol
poltico,
tico, na forma de regulamentos e leis para o
embasamento das medidas de seguran
segurana necess
necessrias.

26/9/2004

Prof. Rossoni, Farias

26/9/2004

Aula 02
Conceito B
Bsico da Informa
Informao
Informa
Informao aquilo que sintetiza a natureza de tudo o que existe ou
ocorre no mundo f
fsico.
Seguran
Segurana e seu limite,
limite, um ditado popular diz que nenhuma
corrente mais forte que seu elo mais fraco! Quando voc implementa
seguran
segurana em um ambiente de informa
informaes, o que na realidade voc
est
est procurando fazer eliminar o m
mximo poss
possvel os pontos fracos ou
garantir o m
mximo de seguran
segurana poss
possvel para os mesmos.
Valor da informa
informao,
o, o bem mais valioso da empresa, est
est
diretamente relacionado com as informa
informaes contidas em sua linha de
produ
produo e servi
servios. Prevalece a forma que so armazenadas e
registradas, assim como a forma de capt
capt-las.

26/9/2004

Prof. Rossoni, Farias

Aula 02
Seguran
Segurana e Seu Limite
Na gesto empresarial moderna, a informa
informao tratada como ativo da
empresa. A informa
informao pode estar impressa, manuscrita, gravada em
meios magn
magnticos, ou simplesmente, ser do conhecimento dos
funcion
funcionrios. O conhecimento adquirido, desenvolvido ou aperfei
aperfeioado,
deveria ser preservado quanto a sua integridade, disponibilidade,
disponibilidade, e
confidencialidade, evitandoevitando-se fraudes, viola
violaes, acessos, uso e
divulga
divulgao indevida. EntendaEntenda-se como:
integridade o ato de preservar as informa
informaes de modifica
modificaes no
autorizadas, imprevistas ou intencionais.
disponibilidade,
disponibilidade, o ato de manter as informa
informaes acess
acessveis a quem
delas necessitam de forma tempestiva;
confidencialidade,
confidencialidade, o ato de manter a informa
informao dispon
disponvel somente a
quem for autorizado.
26/9/2004

Prof. Rossoni, Farias

10

26/9/2004

Aula 02
Seguran
Segurana e Seu Limite
Essas informa
informaes ou ativos, tamb
tambm deveriam ser classificadas de
acordo com o eventual impacto negativo gerado decorrente de acesso,
acesso,
divulga
divulgao ou conhecimento no autorizado. Poderiam, por exemplo, ser
classificadas em confidenciais, restritas, internas e p
pblicas. Cada
classifica
classificao citada, com as suas respectivas regras de divulga
divulgao e
utiliza
utilizao.
A divulga
divulgao ou conhecimento no autorizado desses ativos podem gerar
impactos dos mais variados, dentre os quais citacita-se: perda financeira,
perda de neg
negcio, perda de produtividade, perda de mercado, perda de
oportunidade, perda de credibilidade, desgaste da imagem, etc.

26/9/2004

Prof. Rossoni, Farias

11

Aula 02
Seguran
Segurana e Seu Limite
As redes de computadores proporcionam, entre outros benef
benefcios,
processos mais r
rpidos, comunica
comunicaes dinmicas, produtividade
aumentada por funcion
funcionrios remotos e m
mveis, etc. Os funcion
funcionrios
remotos e m
mveis temtem-se tornado pe
pea chave para que as empresas
continuem competitivas. Como exemplo, podepode-se citar o vendedor que
possa acessar os dados corporativos remotamente e fechar o neg
negcio
com seu cliente com rapidez, possuindo vantagem em rela
relao a outro
que precise enviar um memorando a centralizadora do estoque, por
exemplo, para confirmar se existe disponibilidade do produto negociado.
negociado.
Seguran
Segurana de Redes um t
tpico bastante divulgado na m
mdia em geral.
Apesar da constante divulga
divulgao dos problemas e perigos referentes
Seguran
Segurana das Redes de Computadores, no so todas as empresas que
possuem estrutura adequada para enfrentar as responsabilidades e
problemas do assunto.
26/9/2004

Prof. Rossoni, Farias

12

26/9/2004

Aula 02
Valor da Informa
Informao
Independente do setor da economia em que a empresa atue, as
informa
informaes esto relacionadas com seus processos de produ
produo e de
neg
negcios, pol
polticas estrat
estratgicas, de marketing, cadastros de clientes, etc.
No importa o meio f
fsico em que as informa
informaes residam, elas so de
valor inestim
inestimvel no s
s para a empresa que as gerou como tamb
tambm
para os seus concorrentes.

Processos

Modeobra

Ativos
Geram

Produtos
Bens
Informaes

Capital

26/9/2004

Prof. Rossoni, Farias

13

Aula 02
Valor da Informa
Informao
Os riscos so agravados em progresso geom
geomtrica medida que
informa
informaes essenciais ao gerenciamento dos neg
negcios so centralizados
e, principalmente, com o aumento do grau de centraliza
centralizao.
importante ressaltar que muitas empresas no sobrevivem mais que
que
poucos dias a um colapso do fluxo de informa
informaes, no importando o
meio de armazenagem das informa
informaes.
Por isso importante saber aonde sero mantidos seus dados, e a
capacidade que a empresa tem de ampliar seu processo de
armazenamento com medidas que garantam sua seguran
segurana efetiva a um
custo aceit
aceitvel, visto ser imposs
impossvel obterobter-se seguran
segurana absoluta, j
j que
a partir de determinado n
nvel os custos envolvidos com a seguran
segurana
tornambenefcios obtidos.
tornam-se cada vez mais onerosos, superando os benef

26/9/2004

Prof. Rossoni, Farias

14

26/9/2004

Aula 02
Seguran
Segurana da informa
informao Acesso L
Lgico
Ao longo da hist
histria da humanidade sempre existiu, em maior ou menor
grau, algum tipo de preocupa
preocupao com a seguran
segurana da informa
informao,
mesmo que no houvesse uma forma pr
prtica e f
fcil de separar o acesso
lgico do acesso ao suporte f
fsico das informa
informaes propriamente ditas.
Como conseq
conseqncia da informatiza
informatizao, a seguran
segurana de acesso l
lgico
referese
ao
acesso
que
indiv

duos
tm
a
aplica

es
residentes
em
refere
indiv
aplica
ambientes informatizados, no importando o tipo de aplica

o
ou
o
aplica
tamanho do computador. (Essa seguran

invis

vel

aos
usu

rios,
seguran
invis vel
usu
tendo eles somente conhecimento da mesma quando so barrados pelo
pelo
controle de acesso).
O controle do acesso l
lgico est
est relacionado com as atividades de
controle e auditoria normalmente existentes dentro das maiores
organiza
organizaes.
26/9/2004

Prof. Rossoni, Farias

15

Aula 02
Seguran
Segurana da informa
informao Acesso F
Fsico
O acesso f
fsico podepode-se entender como um controle tang
tangvel Vis
Visvel
vel
Exemplo:
Em determinada rea da empresa somente podem entrar pessoas que
trabalham na mesma ou cuja fun
funo a obriguem a ter contato com
outras que ali trabalhem, ou de pessoas de n
nvel hier
hierrquico superior,
relacionadas de forma mais direta com as atividades executadas na
na rea
sob controle.
Acesso a m
mdias como disquete, CDCD-ROM em seus equipamentos.
Obter listagens que contenham informa
informaes importantes, como
cadastro dos clientes mais ativos da empresa, dentre outros.
26/9/2004

Prof. Rossoni, Farias

16

26/9/2004

Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos
Proprietrio

Custodiante

ATIVO

Usurio

Controlador

Propriedade
O conceito de propriedade deriva do direito de posse direta ou delegada
delegada sobre
os ativos de informa
informaes, exercido em nome da empresa. Em princ
princpio, a
propriedade de um ativo pertence a quem dele faz uso em fun
funo de sua
necessidade funcional, normalmente quem faz uso da informa
informao o seu
criador, ou a pessoa que recebeu autoriza
autorizao do mesmo.
26/9/2004

Prof. Rossoni, Farias

17

Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos
Proprietrio

Custodiante

ATIVO

Usurio

Controlador

Cust
Custdia
O conceito de cust
custdia refererefere-se a pessoa ou organiza
organizao respons
responsvel pela
guarda de um ativo de propriedade de terceiros. O mesmo conceito pode ser
aplicado para informa
informaes, significando pessoa ou fun
funo, dentro da empresa,
respons
responsvel pela guarda de ativos de outras pessoas ou fun
funes. Geralmente a
rea de inform
informtica custodiante dos ativos de informa
informaes das reas usu
usurias.
26/9/2004

Prof. Rossoni, Farias

18

26/9/2004

Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos
Proprietrio

Custodiante

ATIVO

Usurio

Controlador

Usu
Usurio
O conceito de usu
usurio refererefere-se a pessoa ou organiza
organizao respons
responsvel pelo uso
de um ativo de sua propriedade de terceiros. Faz utiliza
utilizao das informa
informaes em
benef
benefcio de suas fun
funes e atividades.

26/9/2004

Prof. Rossoni, Farias

19

Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos
Proprietrio

Custodiante

ATIVO

Usurio

Controlador

Controlador
O conceito de controlador est
est relacionado diretamente ao que controla o
acesso a um determinando ativo. A sua fun
funo garantir que o acesso seja feito
somente dentro dos limites estabelecidos.

26/9/2004

Prof. Rossoni, Farias

20

10

26/9/2004

Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos
Agentes envolvidos na seguran
segurana
Rela
Relao com o Ativo

Propriet
Proprietrio

Custodiante

Usu
Usurio

Controlador

Posse de Direito

Sim

No

No

No

Posse de Fato

Sim

Sim

No

No

Guarda

Sim

Sim

No

No

Direito de Acesso

Sim

Sim

Sim

No

Controle de Uso

Sim

No

No

Sim

Dar Acesso

Sim

No

No

Sim

26/9/2004

Prof. Rossoni, Farias

21

Aula 02
Seguran
Segurana da informa
informao Controle de Acesso
O controle de acesso est relacionado diretamente ao acesso
concedido. A funo deste controle garantir que o acesso seja feito
somente dentro dos limites estabelecidos. Este controle exercido por
meio destes mecanismos:
Senhas (mtodo mais antigo usado para impedir acesso no autorizado).
Chaves de acesso ou identificaes (recebe uma chave nica, permite
que seja associada a cada recurso que o seu possuidor tenha o direito de acessar,
possibilitando assim a responsabilizao individual de cada usurio).

Lista de acesso (tabela com o tipo e nome do recurso).

Operaes (leitura, gravao, excluso, etc.).
Privilgios (relacionado com as funes exercidas).
Ferramentas de segurana (ferramental usado para controlar o acesso de

usurios ao acervos de informaes).

Categoria

(mecanismo de classificar os usurios, propiciando a segregao dos

mesmos a partes do ambiente).

Nvel hierrquico
26/9/2004

(segrega usurios com categorias semelhantes).

Prof. Rossoni, Farias

22

11

26/9/2004

Concluses
Descobrir o melhor meio de armazenamento e
recuperao das informaes, prevalecendo a
mxima segurana em seus processos.
Entender como as informaes geradas pelos
processos internos e externos podem ajudar a
alavancar a competitividade da empresa.
Absoluto controle de acessos lgicos e fsicos.
26/9/2004

Prof. Rossoni, Farias

23

12