Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Segurana da Informao
Aula 02
26/9/2004
Aula 02
Seguran
Segurana da Informa
Informao :
Cultura,
Cidadania,
Desenvolvimento pessoal e social,
Competitividade,
Influncia e poder,
Imprescind
Imprescindvel para a vida em sociedade.
26/9/2004
26/9/2004
Aula 02
Prote
Proteo da Informa
Informao
necess
necessria em v
vrias esferas:
Pessoal
prote
proteo da privacidade, anonimato;
Legal
prote
proteo de registros civis em geral, direitos de propriedade e
responsabiliza
responsabilizao de atos
Pol
Polticotico-administrativa
prote
proteo de informa
informaes estrat
estratgicas, transparncia da
administra
administrao;
o;
Corporativa
prote
proteo de direitos e patentes, informa
informaes comerciais, entre
outras.
26/9/2004
Aula 02
A Informa
Informao e a Internet
A Internet veio amplificar a importncia da informa
informao e
suas vulnerabilidades, e potencializar extraordinariamente as
amea
ameaas sua seguran
segurana.
Informa
Informao no s
s mais abundante como est
est muito mais
dispon
disponvel. ub
ubqua e de m
mltiplas fontes, remotas ou locais,
pblicas ou annimas.
Os meios de acesso informa
informao so cada vez mais
baratos, variados e poderosos. O mesmo acontece com as
ferramentas disposi
disposio dos malmal-intencionados.
26/9/2004
26/9/2004
Aula 02
Exemplo - Com
Comrcio Eletrnico
Ataques ao software do servidor incluem roubo de
informa
informaes e altera
alteraes em dados (contas, informa
informao
pessoal, senhas) e programas.
Ataques ao software do cliente incluem modifica
modificao de
programas, acesso ao cache do navegador, entre outros.
Ataques ao sistema operacional do servidor visam o acesso
no autorizado a arquivos, instala
instalao de v
vrus, entre outros.
Ataques transa
transao de pagamento podem ocorrer em
vrios n
nveis: TCP/IP, protocolos de conexo, e protocolo de
pagamento.
26/9/2004
Aula 02
Exemplo Computa
Computao M
Mvel
Novas amea
ameaas se configuram:
Endere
Endereos de rede perdem significado. Problemas de
autentica
autenticao so o novo desafio.
Cdigo m
mvel vulner
vulnervel a ataques de servidores
maliciosos.
Servidores recebem c
cdigos nem sempre confi
confiveis e esto
sujeitos a ataques tamb
m.
tamb
26/9/2004
26/9/2004
Aula 02
Origem dos ataques
A maioria dos ataques vm de dentro das organiza
organizaes e
so os mais caros e dif
difceis de conter. So, obviamente, os
menos divulgados.
Ataques de hackers, crackers e outros so os mais
conhecidos e divulgados. Tendem a causar danos mais
localizados.
26/9/2004
Aula 02
Defesa
Tem car
carter:
tcnico,
cnico, na forma de protocolos, t
tcnicas e pr
prticas de
programa
programao dedicados a prover alguns dos requisitos da
seguran
segurana da informa
informao;
administrativo,
administrativo, na forma de normas e procedimentos
sistem
sistemticos para atribui
atribuio de responsabilidades, distribui
distribuio
de informa
informaes sens
sensveis e controle de acesso, entre outros;
pol
poltico,
tico, na forma de regulamentos e leis para o
embasamento das medidas de seguran
segurana necess
necessrias.
26/9/2004
26/9/2004
Aula 02
Conceito B
Bsico da Informa
Informao
Informa
Informao aquilo que sintetiza a natureza de tudo o que existe ou
ocorre no mundo f
fsico.
Seguran
Segurana e seu limite,
limite, um ditado popular diz que nenhuma
corrente mais forte que seu elo mais fraco! Quando voc implementa
seguran
segurana em um ambiente de informa
informaes, o que na realidade voc
est
est procurando fazer eliminar o m
mximo poss
possvel os pontos fracos ou
garantir o m
mximo de seguran
segurana poss
possvel para os mesmos.
Valor da informa
informao,
o, o bem mais valioso da empresa, est
est
diretamente relacionado com as informa
informaes contidas em sua linha de
produ
produo e servi
servios. Prevalece a forma que so armazenadas e
registradas, assim como a forma de capt
capt-las.
26/9/2004
Aula 02
Seguran
Segurana e Seu Limite
Na gesto empresarial moderna, a informa
informao tratada como ativo da
empresa. A informa
informao pode estar impressa, manuscrita, gravada em
meios magn
magnticos, ou simplesmente, ser do conhecimento dos
funcion
funcionrios. O conhecimento adquirido, desenvolvido ou aperfei
aperfeioado,
deveria ser preservado quanto a sua integridade, disponibilidade,
disponibilidade, e
confidencialidade, evitandoevitando-se fraudes, viola
violaes, acessos, uso e
divulga
divulgao indevida. EntendaEntenda-se como:
integridade o ato de preservar as informa
informaes de modifica
modificaes no
autorizadas, imprevistas ou intencionais.
disponibilidade,
disponibilidade, o ato de manter as informa
informaes acess
acessveis a quem
delas necessitam de forma tempestiva;
confidencialidade,
confidencialidade, o ato de manter a informa
informao dispon
disponvel somente a
quem for autorizado.
26/9/2004
10
26/9/2004
Aula 02
Seguran
Segurana e Seu Limite
Essas informa
informaes ou ativos, tamb
tambm deveriam ser classificadas de
acordo com o eventual impacto negativo gerado decorrente de acesso,
acesso,
divulga
divulgao ou conhecimento no autorizado. Poderiam, por exemplo, ser
classificadas em confidenciais, restritas, internas e p
pblicas. Cada
classifica
classificao citada, com as suas respectivas regras de divulga
divulgao e
utiliza
utilizao.
A divulga
divulgao ou conhecimento no autorizado desses ativos podem gerar
impactos dos mais variados, dentre os quais citacita-se: perda financeira,
perda de neg
negcio, perda de produtividade, perda de mercado, perda de
oportunidade, perda de credibilidade, desgaste da imagem, etc.
26/9/2004
11
Aula 02
Seguran
Segurana e Seu Limite
As redes de computadores proporcionam, entre outros benef
benefcios,
processos mais r
rpidos, comunica
comunicaes dinmicas, produtividade
aumentada por funcion
funcionrios remotos e m
mveis, etc. Os funcion
funcionrios
remotos e m
mveis temtem-se tornado pe
pea chave para que as empresas
continuem competitivas. Como exemplo, podepode-se citar o vendedor que
possa acessar os dados corporativos remotamente e fechar o neg
negcio
com seu cliente com rapidez, possuindo vantagem em rela
relao a outro
que precise enviar um memorando a centralizadora do estoque, por
exemplo, para confirmar se existe disponibilidade do produto negociado.
negociado.
Seguran
Segurana de Redes um t
tpico bastante divulgado na m
mdia em geral.
Apesar da constante divulga
divulgao dos problemas e perigos referentes
Seguran
Segurana das Redes de Computadores, no so todas as empresas que
possuem estrutura adequada para enfrentar as responsabilidades e
problemas do assunto.
26/9/2004
12
26/9/2004
Aula 02
Valor da Informa
Informao
Independente do setor da economia em que a empresa atue, as
informa
informaes esto relacionadas com seus processos de produ
produo e de
neg
negcios, pol
polticas estrat
estratgicas, de marketing, cadastros de clientes, etc.
No importa o meio f
fsico em que as informa
informaes residam, elas so de
valor inestim
inestimvel no s
s para a empresa que as gerou como tamb
tambm
para os seus concorrentes.
Processos
Modeobra
Ativos
Geram
Produtos
Bens
Informaes
Capital
26/9/2004
13
Aula 02
Valor da Informa
Informao
Os riscos so agravados em progresso geom
geomtrica medida que
informa
informaes essenciais ao gerenciamento dos neg
negcios so centralizados
e, principalmente, com o aumento do grau de centraliza
centralizao.
importante ressaltar que muitas empresas no sobrevivem mais que
que
poucos dias a um colapso do fluxo de informa
informaes, no importando o
meio de armazenagem das informa
informaes.
Por isso importante saber aonde sero mantidos seus dados, e a
capacidade que a empresa tem de ampliar seu processo de
armazenamento com medidas que garantam sua seguran
segurana efetiva a um
custo aceit
aceitvel, visto ser imposs
impossvel obterobter-se seguran
segurana absoluta, j
j que
a partir de determinado n
nvel os custos envolvidos com a seguran
segurana
tornambenefcios obtidos.
tornam-se cada vez mais onerosos, superando os benef
26/9/2004
14
26/9/2004
Aula 02
Seguran
Segurana da informa
informao Acesso L
Lgico
Ao longo da hist
histria da humanidade sempre existiu, em maior ou menor
grau, algum tipo de preocupa
preocupao com a seguran
segurana da informa
informao,
mesmo que no houvesse uma forma pr
prtica e f
fcil de separar o acesso
lgico do acesso ao suporte f
fsico das informa
informaes propriamente ditas.
Como conseq
conseqncia da informatiza
informatizao, a seguran
segurana de acesso l
lgico
referese
ao
acesso
que
indiv
duos
tm
a
aplica
es
residentes
em
refere
indiv
aplica
ambientes informatizados, no importando o tipo de aplica
o
ou
o
aplica
tamanho do computador. (Essa seguran
invis
vel
aos
usu
rios,
seguran
invis vel
usu
tendo eles somente conhecimento da mesma quando so barrados pelo
pelo
controle de acesso).
O controle do acesso l
lgico est
est relacionado com as atividades de
controle e auditoria normalmente existentes dentro das maiores
organiza
organizaes.
26/9/2004
15
Aula 02
Seguran
Segurana da informa
informao Acesso F
Fsico
O acesso f
fsico podepode-se entender como um controle tang
tangvel Vis
Visvel
vel
Exemplo:
Em determinada rea da empresa somente podem entrar pessoas que
trabalham na mesma ou cuja fun
funo a obriguem a ter contato com
outras que ali trabalhem, ou de pessoas de n
nvel hier
hierrquico superior,
relacionadas de forma mais direta com as atividades executadas na
na rea
sob controle.
Acesso a m
mdias como disquete, CDCD-ROM em seus equipamentos.
Obter listagens que contenham informa
informaes importantes, como
cadastro dos clientes mais ativos da empresa, dentre outros.
26/9/2004
16
26/9/2004
Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos
Proprietrio
Custodiante
ATIVO
Usurio
Controlador
Propriedade
O conceito de propriedade deriva do direito de posse direta ou delegada
delegada sobre
os ativos de informa
informaes, exercido em nome da empresa. Em princ
princpio, a
propriedade de um ativo pertence a quem dele faz uso em fun
funo de sua
necessidade funcional, normalmente quem faz uso da informa
informao o seu
criador, ou a pessoa que recebeu autoriza
autorizao do mesmo.
26/9/2004
17
Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos
Proprietrio
Custodiante
ATIVO
Usurio
Controlador
Cust
Custdia
O conceito de cust
custdia refererefere-se a pessoa ou organiza
organizao respons
responsvel pela
guarda de um ativo de propriedade de terceiros. O mesmo conceito pode ser
aplicado para informa
informaes, significando pessoa ou fun
funo, dentro da empresa,
respons
responsvel pela guarda de ativos de outras pessoas ou fun
funes. Geralmente a
rea de inform
informtica custodiante dos ativos de informa
informaes das reas usu
usurias.
26/9/2004
18
26/9/2004
Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos
Proprietrio
Custodiante
ATIVO
Usurio
Controlador
Usu
Usurio
O conceito de usu
usurio refererefere-se a pessoa ou organiza
organizao respons
responsvel pelo uso
de um ativo de sua propriedade de terceiros. Faz utiliza
utilizao das informa
informaes em
benef
benefcio de suas fun
funes e atividades.
26/9/2004
19
Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos
Proprietrio
Custodiante
ATIVO
Usurio
Controlador
Controlador
O conceito de controlador est
est relacionado diretamente ao que controla o
acesso a um determinando ativo. A sua fun
funo garantir que o acesso seja feito
somente dentro dos limites estabelecidos.
26/9/2004
20
10
26/9/2004
Aula 02
Seguran
Segurana da informa
informao Agentes Envolvidos
Agentes envolvidos na seguran
segurana
Rela
Relao com o Ativo
Propriet
Proprietrio
Custodiante
Usu
Usurio
Controlador
Posse de Direito
Sim
No
No
No
Posse de Fato
Sim
Sim
No
No
Guarda
Sim
Sim
No
No
Direito de Acesso
Sim
Sim
Sim
No
Controle de Uso
Sim
No
No
Sim
Dar Acesso
Sim
No
No
Sim
26/9/2004
21
Aula 02
Seguran
Segurana da informa
informao Controle de Acesso
O controle de acesso est relacionado diretamente ao acesso
concedido. A funo deste controle garantir que o acesso seja feito
somente dentro dos limites estabelecidos. Este controle exercido por
meio destes mecanismos:
Senhas (mtodo mais antigo usado para impedir acesso no autorizado).
Chaves de acesso ou identificaes (recebe uma chave nica, permite
que seja associada a cada recurso que o seu possuidor tenha o direito de acessar,
possibilitando assim a responsabilizao individual de cada usurio).
Categoria
Nvel hierrquico
26/9/2004
22
11
26/9/2004
Concluses
Descobrir o melhor meio de armazenamento e
recuperao das informaes, prevalecendo a
mxima segurana em seus processos.
Entender como as informaes geradas pelos
processos internos e externos podem ajudar a
alavancar a competitividade da empresa.
Absoluto controle de acessos lgicos e fsicos.
26/9/2004
23
12