1 / 9

Fernando Nery fnery@modulo.br

Sistema de Análise de Riscos e Gestão do Conhecimento em Segurança da Informação. Fernando Nery fnery@modulo.com.br. Uso oficial de certificados digitais. SPB / Banco Central Susep / Apólices de Seguro CFM / Prontuário Eletrônico Imprensa Nacional – DOU IOESP – Diário Oficial

nishi
Download Presentation

Fernando Nery fnery@modulo.br

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sistema de Análise de Riscos e Gestão do Conhecimento em Segurança da Informação Fernando Nery fnery@modulo.com.br

  2. Uso oficial de certificados digitais • SPB / Banco Central • Susep / Apólices de Seguro • CFM / Prontuário Eletrônico • Imprensa Nacional – DOU • IOESP – Diário Oficial • Receita Federal – e-cpf, e-cnpj • Secretaria de Fazenda de PE • ...

  3. ICP é parte da Segurança • Início da Internet Comercial • Discussão sobre tamanho da chave criptográfica • Problemas: • Invasões • DDOS • Sites falsos • Ataque aos equipamentos dos clientes • Confidencialidade, Integridade, Disponibilidade • Proteção da chave privada, proteção contra ataques • Compliance com Código Civil, Resoluções do Banco Central, Basiléia, Sarbanes e Oxley, Cobit, Coso, ISO 17799 • TI, Segurança, Compliance, Gerência de Riscos, Auditoria, Jurídico • Proteção das chaves privadas

  4. Histório de Interoperabilidade • Confiança em identidades • Passaporte, Carteira de Identidade, Crachá empresarial, Carteira do Clube, Cartão Fidelidade • Cartões de crédito e telefonia celular • Protocolos • IPX, SNA, NetBUI, IP! • Interfaces • Windows, GDK, HTTP! • Consolidação do mercado • Verisign, RSA, Entrust, Baltimore, Microsoft, Freepki, ... • Aplicações e insumos • Certificação cruzadas e Clearing houses de certificados digitais • Algumas vezes a interoperabilidade não é conveniente (grupos fechados ou restrição de acesso)

  5. Interoperabilidade exige • Definição do nível de segurança • Auditoria e certificação dos atores • Definição de níveis de serviço e requisitos técnicos mínimos • Normas técnicas (ABNT) • Interoperabilidade técnica e jurídica • Gerenciamento de certificados expirados e revogados • Acompanhamento das auditorias das ACs participantes

  6. Interoperabilidade • Interoperabilidade de AC Raiz • Interoperabilidade Funcional • Facilidade de uso • Portabilidade • Benefício para o usuário vs uso compulsório • Ambiente de Certificados Digitais • X509 • Cartões inteligentes • Chips de Celular • Time stamp • Token • CD, Disquete • Cross-certification • Relação de confiança entre ACs - Acordos • Seguros, Responsabilidade Civil • Notarização Consular

  7. Exemplo Razoavelmente Simples de Interoperabilidade • ICE CAR – The European Telematics Applications Programme • Internetworking Public Key Certification Infrastructure for Commerce, Administration and Research • “Interoperabilidade é um dos maiores obstáculos para prover segurança” • Interoperabilidade entre emails (x509, pkcs) • Aspectos considerados • ACs • s/mime, Plug-in de icp em emails • LDAP (v2, v3) • Cliente s/mime • Cliente Outlook Express, Outlook, Netscape Messenger • ?Cartões Inteligentes, ?tokens, ?SSL, ?outros serviços de diretório, ?outros algoritmos de criptografia

  8. Novas tecnologias • Wireless • Celulares • PDA • Web services • VoIP • IPv6 • TV Digital • Linux

  9. Conclusões • Segmento ainda não tem maturidade técnica • Não existe massa crítica de aplicações • Os resultados alcançados foram mais lentos que o esperado • Deve haver consolidação no setor • Neste momento a discussão “filosófica” é prejudicial à aplicação, estaremos perdendo dinheiro com isso • Importante que haja busca de padrões de interoperabilidade pelos principais players (governo, bancos, e-commerce, OAB, Universidades, ...) • Deve-se considerar níveis de segurança • Deve-se focar no usuário e na aplicação e não na tecnologia

More Related