1 / 15

Autarquia Educacional do Vale do São Francisco – AEVSF

Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação. SEGURANÇA E AUDITORIA DE SISTEMAS “ Segurança de Informações ” Controles de Segurança Cynara Carvalho cynaracarvalho@yahoo.com.br.

kaye-wright
Download Presentation

Autarquia Educacional do Vale do São Francisco – AEVSF

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação SEGURANÇA E AUDITORIA DE SISTEMAS “Segurança de Informações” Controles de Segurança Cynara Carvalho cynaracarvalho@yahoo.com.br

  2. Segurança de Informações • Controles de Segurança • Uma vez identificados os impactos e ameaças e calculados os riscos, são desenvolvidas estratégias para controlar o ambiente vulnerável: • Para cada risco tentar implementar as seguintes linhas de ação: • Eliminar o risco. • Reduzir o risco a um nível aceitável. • Limitar o dano, reduzindo o impacto. • Compensar o dano, por meio de seguros. • Controle em camadas – estratégia eficiente, pois distribui a segurança em níveis, se um falhar ainda existem outros para proteger o recurso. (APLICATIVOS, SERVIÇOS, S.O. E HW.)

  3. Segurança de Informações • Definindo Serviços de Segurança • Serviços de segurança são medidas preventivas escolhidas para combater ameaças identificadas. • Modelo para redes, porém aplicados a sistemas computacionais em geral. • Categorias de serviços: • Autenticação – verifica a identidade de quem está solicitando o acesso ao recurso. • Controle de acesso – proteção contra uso não autorizado de recursos. • Confidencialidade dos dados – proteção contra leitura não autorizada • Integridade dos dados – proteção contra ameaças à validade e consistência dos dados. • Disponibilidade – garantia que os recursos estarão disponíveis. • Não repúdio – em comunicações, tenta evitar que remetente ou destinatário neguem que enviaram ou receberam dados

  4. Segurança de Informações • Serviços de Segurança • Serviços de segurança são uma classe especial de medidas preventivas relacionadas com o ambiente lógico. No geral existem outras medidas importantes como: • Segurança Física. • Segurança dos recursos computacionais • Segurança administrativa • Segurança de meios magnéticos • Controles de desenvolvimentos de aplicativos.

  5. Segurança de Informações • Definindo Mecanismos de Segurança • Mecanismo de segurança é o meio utilizado para atender um serviço de segurança. Por exemplo, a criptografia é um mecanismo que garante a confidencialidade dos dados. • Principais mecanismos de segurança: • Sistemas criptográficos - utilizam criptografia ou algoritmos criptográficos para proporcionar confidencialidade às informações. • Mesmo que outros métodos falhem (controle de acesso, senhas, etc...) os dados permanecem invioláveis ao invasor. SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA XYSKOKQE03393 * ** 7 &5 ¨%#¨&¨6 6¨% %¨& *Hn BNe r4123478 *7542## &Um (O p_=)(*& ¨%$ #@! ALGORTIMO

  6. Segurança de Informações • Criptografia • Algoritmos formam uma seqüência de operações para transformar texto em claro em texto cifrado. • Mais conhecidos: DES (Data Encryption Standard – IBM 1970), Triple DES, IDEA, RSA família RC, família MD. • A concepção do sistema criptográfico é de que apenas as pessoas que conhecem a chave secreta são capazes de decifrar um texto criptografado. • A criptografia atende a mais de um mecanismo de segurança, pois além de ocultar a informação (confidencialidade), mantém o conteúdo inalterado (integridade) desde a cifragem até a decifragem.

  7. Segurança de Informações • Criptografia • Produtos populares que usam a criptografia: • PGP (Pretty Good Privacy) – software de proteção muito comum. Usa os algoritmos IDEA e RSA. • SSL (Secure Socket Layer) – desenvolvido pela Netscape, oferece autenticação, verificação de integridade, compressão e criptografia. Chaves de até 128 bits. • SET (Security Electronics Transations) – Desenvolvido pelas principais administradoras de Cartão de Crédito, para proteger transações eletrônicas.

  8. Segurança de Informações • Outros mecanismos de segurança • Assinatura Digital – conjunto de mecanismos que podem prover serviços de não repúdio, de autenticação de origem ou de integridade. Um procedimento para a assinatura e outro para verificação da mesma. • Mecanismos de controles de acesso – o proprietário decide quem e como poderá ser acessado o recurso. Podem ser listas de direitos de acesso, perfis, etc... • Mecanismos de integridade de dados – proteção contra modificação de dados.

  9. Segurança de Informações • Outros mecanismos de segurança • Mecanismos de disponibilidade – dispositivos como unidades de backup e recuperação de dados, equipamentos de controle de temperatura, no-breaks e equipamentos redundantes que garantam a disponibilidade dos sistemas. • Trocas de autenticações – atendem ao serviço de autenticação da entidade que solicita o recurso. • Enchimento de tráfego – usado em conjunto com sistemas criptográficos para prover confidencialidade no fluxo de dados, impedindo análise de tráfego. • Controles de roteamento – prevenção do tráfego de dados críticos em canais de comunicação inseguros.

  10. Segurança de Informações • Ataques • Passivos – não interferem no conteúdo do recurso atacado. • Ativos – Afetam e prejudicam o conteúdo do recurso atacado. • Hackers X Crackers • Funcionários e Ex-funcionários • Consultores Externos

  11. Segurança de Informações • Implantando Gerência de Segurança • Dependendo do tamanho e do grau de vulnerabilidade da organização, a responsabilidade de segurança de informações deve ser desempenhada por pessoa ou grupo especialmente dedicado a esta finalidade. • Gerente de Segurança – auxiliar no desenvolvimento da política de segurança e cuidar da divulgação e aplicação correta da mesma. Deve ter linha direta com a direção. • Princípios básicos: • Prevenir o acesso não autorizado. • Impedir que aqueles que conseguirem acesso danifiquem ou adulterem qualquer coisa. • Uma vez ocorrido o ataque, identificar suas causas, recuperar sistemas e dados e modificar os controles para evitar novas ocorrências.

  12. Segurança de Informações • Implantando Gerência de Segurança • As funções de uma gerência de segurança podem ser subdividas em 04 gerências: • Gerência de segurança de sistemas – engloba todos os aspectos de segurança de sistemas • Gerência dos serviços de segurança – serviços de segurança específicos ( confidencialidade e integridade) • Gerência dos mecanismos de segurança – administração individual dos mecanismos de segurança • Gerência de auditoria de segurança – revisão e verificação de registros de segurança

  13. Segurança de Informações • Grupos de pessoas com responsabilidades em SI: • Proprietários do sistema • Gerente do sistema • Usuário

  14. O que fazer em casos de violação da Política de Segurança • Nem sempre é fácil de detectar; • Minimizar a possibilidade de ocorrência de violação; • Ao detectar: - determinar sua razão;( negligência,erro ou acidente) - Investigar as circunstâncias da violação ( como e porque ocorreu) • A política de segurança de especificar passos a serem seguidos para cada tipo de violação; • Medidas corretivas; • Punição dos infratores; • Assegurar que o infrator tenha conhecimento da política.

  15. Segurança de Informações • Implementando e Auditando Políticas de Segurança • A lista de verificações serve para a realização de um conjunto de tarefas na implementação da política de segurança. • Para a auditoria essa lista é traduzida em procedimentos de auditoria . • Lista de verificações – Pag 82/83 do Livro texto

More Related