150 likes | 224 Views
Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação. SEGURANÇA E AUDITORIA DE SISTEMAS “ Segurança de Informações ” Controles de Segurança Cynara Carvalho cynaracarvalho@yahoo.com.br.
E N D
Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação SEGURANÇA E AUDITORIA DE SISTEMAS “Segurança de Informações” Controles de Segurança Cynara Carvalho cynaracarvalho@yahoo.com.br
Segurança de Informações • Controles de Segurança • Uma vez identificados os impactos e ameaças e calculados os riscos, são desenvolvidas estratégias para controlar o ambiente vulnerável: • Para cada risco tentar implementar as seguintes linhas de ação: • Eliminar o risco. • Reduzir o risco a um nível aceitável. • Limitar o dano, reduzindo o impacto. • Compensar o dano, por meio de seguros. • Controle em camadas – estratégia eficiente, pois distribui a segurança em níveis, se um falhar ainda existem outros para proteger o recurso. (APLICATIVOS, SERVIÇOS, S.O. E HW.)
Segurança de Informações • Definindo Serviços de Segurança • Serviços de segurança são medidas preventivas escolhidas para combater ameaças identificadas. • Modelo para redes, porém aplicados a sistemas computacionais em geral. • Categorias de serviços: • Autenticação – verifica a identidade de quem está solicitando o acesso ao recurso. • Controle de acesso – proteção contra uso não autorizado de recursos. • Confidencialidade dos dados – proteção contra leitura não autorizada • Integridade dos dados – proteção contra ameaças à validade e consistência dos dados. • Disponibilidade – garantia que os recursos estarão disponíveis. • Não repúdio – em comunicações, tenta evitar que remetente ou destinatário neguem que enviaram ou receberam dados
Segurança de Informações • Serviços de Segurança • Serviços de segurança são uma classe especial de medidas preventivas relacionadas com o ambiente lógico. No geral existem outras medidas importantes como: • Segurança Física. • Segurança dos recursos computacionais • Segurança administrativa • Segurança de meios magnéticos • Controles de desenvolvimentos de aplicativos.
Segurança de Informações • Definindo Mecanismos de Segurança • Mecanismo de segurança é o meio utilizado para atender um serviço de segurança. Por exemplo, a criptografia é um mecanismo que garante a confidencialidade dos dados. • Principais mecanismos de segurança: • Sistemas criptográficos - utilizam criptografia ou algoritmos criptográficos para proporcionar confidencialidade às informações. • Mesmo que outros métodos falhem (controle de acesso, senhas, etc...) os dados permanecem invioláveis ao invasor. SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA SEGURANÇA XYSKOKQE03393 * ** 7 &5 ¨%#¨&¨6 6¨% %¨& *Hn BNe r4123478 *7542## &Um (O p_=)(*& ¨%$ #@! ALGORTIMO
Segurança de Informações • Criptografia • Algoritmos formam uma seqüência de operações para transformar texto em claro em texto cifrado. • Mais conhecidos: DES (Data Encryption Standard – IBM 1970), Triple DES, IDEA, RSA família RC, família MD. • A concepção do sistema criptográfico é de que apenas as pessoas que conhecem a chave secreta são capazes de decifrar um texto criptografado. • A criptografia atende a mais de um mecanismo de segurança, pois além de ocultar a informação (confidencialidade), mantém o conteúdo inalterado (integridade) desde a cifragem até a decifragem.
Segurança de Informações • Criptografia • Produtos populares que usam a criptografia: • PGP (Pretty Good Privacy) – software de proteção muito comum. Usa os algoritmos IDEA e RSA. • SSL (Secure Socket Layer) – desenvolvido pela Netscape, oferece autenticação, verificação de integridade, compressão e criptografia. Chaves de até 128 bits. • SET (Security Electronics Transations) – Desenvolvido pelas principais administradoras de Cartão de Crédito, para proteger transações eletrônicas.
Segurança de Informações • Outros mecanismos de segurança • Assinatura Digital – conjunto de mecanismos que podem prover serviços de não repúdio, de autenticação de origem ou de integridade. Um procedimento para a assinatura e outro para verificação da mesma. • Mecanismos de controles de acesso – o proprietário decide quem e como poderá ser acessado o recurso. Podem ser listas de direitos de acesso, perfis, etc... • Mecanismos de integridade de dados – proteção contra modificação de dados.
Segurança de Informações • Outros mecanismos de segurança • Mecanismos de disponibilidade – dispositivos como unidades de backup e recuperação de dados, equipamentos de controle de temperatura, no-breaks e equipamentos redundantes que garantam a disponibilidade dos sistemas. • Trocas de autenticações – atendem ao serviço de autenticação da entidade que solicita o recurso. • Enchimento de tráfego – usado em conjunto com sistemas criptográficos para prover confidencialidade no fluxo de dados, impedindo análise de tráfego. • Controles de roteamento – prevenção do tráfego de dados críticos em canais de comunicação inseguros.
Segurança de Informações • Ataques • Passivos – não interferem no conteúdo do recurso atacado. • Ativos – Afetam e prejudicam o conteúdo do recurso atacado. • Hackers X Crackers • Funcionários e Ex-funcionários • Consultores Externos
Segurança de Informações • Implantando Gerência de Segurança • Dependendo do tamanho e do grau de vulnerabilidade da organização, a responsabilidade de segurança de informações deve ser desempenhada por pessoa ou grupo especialmente dedicado a esta finalidade. • Gerente de Segurança – auxiliar no desenvolvimento da política de segurança e cuidar da divulgação e aplicação correta da mesma. Deve ter linha direta com a direção. • Princípios básicos: • Prevenir o acesso não autorizado. • Impedir que aqueles que conseguirem acesso danifiquem ou adulterem qualquer coisa. • Uma vez ocorrido o ataque, identificar suas causas, recuperar sistemas e dados e modificar os controles para evitar novas ocorrências.
Segurança de Informações • Implantando Gerência de Segurança • As funções de uma gerência de segurança podem ser subdividas em 04 gerências: • Gerência de segurança de sistemas – engloba todos os aspectos de segurança de sistemas • Gerência dos serviços de segurança – serviços de segurança específicos ( confidencialidade e integridade) • Gerência dos mecanismos de segurança – administração individual dos mecanismos de segurança • Gerência de auditoria de segurança – revisão e verificação de registros de segurança
Segurança de Informações • Grupos de pessoas com responsabilidades em SI: • Proprietários do sistema • Gerente do sistema • Usuário
O que fazer em casos de violação da Política de Segurança • Nem sempre é fácil de detectar; • Minimizar a possibilidade de ocorrência de violação; • Ao detectar: - determinar sua razão;( negligência,erro ou acidente) - Investigar as circunstâncias da violação ( como e porque ocorreu) • A política de segurança de especificar passos a serem seguidos para cada tipo de violação; • Medidas corretivas; • Punição dos infratores; • Assegurar que o infrator tenha conhecimento da política.
Segurança de Informações • Implementando e Auditando Políticas de Segurança • A lista de verificações serve para a realização de um conjunto de tarefas na implementação da política de segurança. • Para a auditoria essa lista é traduzida em procedimentos de auditoria . • Lista de verificações – Pag 82/83 do Livro texto