Your SlideShare is downloading. ×
Segurança de informação1
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Segurança de informação1

114

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
114
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Segurança de Informação 24/08/2013 Mecanismo de controlo as meaças Na segurança da informação existem alguns mecanismos para preservar as informações de formar a garantir a sua disponibilidade confidencialidade, integridade e autenticidade. Estes mecanismos são designados de mecanismo de controlo as meaças: 1. Controle de acesso: este mecanismo permite controlar quais as pessoas autorizadas a entrar em determinado local e regista do dia e hora de acesso controlando e decidindo as permissões que cada utilizador tem um sistema de controlo de acesso é constituído por diferentes equipamentos periféricos de controlo comando, interligado a uma única unidade controle que permite em diferente vários acessos 2. Detecção de Intrusos: o sistema de tenção de intrusos alerta os administradores para entrada de possíveis introduzo no sistema tenta reconhecer um comportamento ou acção através intrusos, através da análise das informações disponíveis num sistema de computação ou redes 3. Criptografia: A criptografia é a arte de codificação que permite a transformação reversível da informação de forma a torna-la inteligível a terceiros. Está utilizar determinado algoritmo na chave secreta para a partir de conjunto de dados não criptografado produzido uma sequência de dados criptografados 4. Assinatura Digital: este mecanismo é um conjunto de dados criptografado associado a um documento que garante a sua integridade e autensidade. A utilização da assinatura digital prova que uma mensagem de um determinado emissor porque é um processo que apenas o asignatura pode realizar, num entanto receptor deve poder confirmar assinatura feita pelo emissor a mensagem não pode ser alterada, se ñ a assinatura ñ corresponderá mais ao documento. Validade de uma assinatura digital verifica-se esta a se basear a certificadas emitidas por entidades certificada credenciada 5. Protecção de dados armazenados: nestes mecanismos são utilizados antivírus que são softwares capaz de detectar e remover arquivo arquivos ou programas nocivos. A preocupação de os dados armazenados faz com que se desenvolvam alguns métodos para controlar acesso por pessoas externas como a criptografia ou assinatura digital
  • 2. Segurança de Informação 6. Recuperação de desastres: (as catástrofes naturais indução, terremotos, etc.) Designam-se de desastres e são acontecimentos que pode causar grandes prejuízos porem com baixa probidade de ocorrência. No entanto leva nos a necessidade de implementar plano de imergência, para garantir a preservação dos documento e a própria integridade física dos colaborares de uma organização 07/09/2013 Modelo para segurança de informação: Norma ISO/IEC 27000 Objectivo da gestão de segurança de informação é manter a qualidade das informações. E a qualidade dessas informações depende da confidencialidade, integridade e disponibilidade das mesmas. Esse princípio foi desenvolvido por de modo a tornar o padrão global de segurança de informação: conjunto ISO/IEC 27000 Na serie ISO/IEC 27000 Constitui um padrão de certificação de sistema de gestão promovido pela Internacional Standard Organisation (ISO), onde neste caso aplica-se implementação de sistema de gestão da informação (SGSI), através de estabelecimento de uma política de segurança, de controlo adequados e da gestão de risco Está norma serve de apoio de as organizações dequalquer sector público ou privado para entender os fundamento, principio e conceitos que permitem uma melhor gestão dos seus activos de informação A família de normasISO/IEC 27000 inclui padrões que definem os requisitos para um SGSI e para certificação desses sistemas e prestam apoio direito e organização detalhada para o processos e requisitos dos ciclos PDCA: P-PLAN(Plano) D-Do (fazer) C-Check(Verificar) A-Act(Acção)
  • 3. Segurança de Informação ISO 27000 contém termos e definições por utilizados ao longo da série 27000. Aplicação de qualquer padrão necessita de um vocabulário claramente definida para evitar diferentes interpretações de conceitos técnico e de gestão:  Controle de acesso: meios para a segurar que a cesso a activos está autorizado com base e restringidos com no trabalho em segurança  Responsabilidade: de uma entidade pelas suas acções e decisões  Activos: qualquer coisa que tenha valor para organização(informação, Software, o próprio PC, serviços, e as pessoas)  Atacar: tentar destruir, alterar, expor e inutilizar roubar ou obter acesso não autorizado ou fazer o uso não autorizado de um activo  Autenticação: prestação de garantia de uma característica reclamada por uma entidade é correcta  Autenticidade: propriedade que nos diz que uma entidade é aquilo que realmente a firma que uma entidade ser  Disponibilidade: propriedade de ser acessível e utilizável por uma entidade autorizada  Confidencialidade: propriedade que garante que a informação não esta disponível ou revelada ao indivíduos não autorizada, entidade ou processos  Controlar:meio de gestão de risco incluindo as políticas de procedimentos, directrizes, praticas ou estruturas organizacionais que podem ser de natureza administrativa técnica, de gestão ou de natureza legal  Acção Correctiva: acção para é eliminar a causa de uma não conformidade detectada ou outra acção situações indesejável  Directriz: recomendação do que é esperado que seja feito a fim de alcançar um objectivo  Segurança da informação: preservação da confidencialidade, integridade e disponibilidade das informações;  Sistema de Gestão de Informação: parte do sistema gestão global, com base numa abordagem de risco de negóciopara estabelecer, implementar, operar, monitorizar, rever, manter e melhor ar a segurança da informação  Risco de Segurança de Informação: potencial que uma a meaça explore uma vulnerabilidade de um activo ou grupos de activo e assim causar danos a organização  Integridade: propriedade de proteger a exactidão de activo  Sistema Gestão: âmbito das políticas procedimentos, directrizes e recursos associados para alcançar os objectivos de uma organização  Politica: Intenção e direcção geral como formalmente expressão pela gestão;  Processos: conjunto de actividades inter-relacionadas ou interactivas que transformam-se em produtos  Risco: combinação da probalidade de um em ventos e das suas consequências  Evento: ocorrência de um determinado conjunto de circunstâncias  Análise de risco: uso sistemático de informação para identificar fontes estimar a ocorrência de um risco
  • 4. Segurança de Informação  Gestão de Risco: actividade coordenada para dirigir e controlar uma organização em relação a um determinado risco  Ameaça: causa potencial de um incidente indesejado, o que pode resultar em danos para um sistema ou resultar em danos para um sistema ou entidade  Vulnerabilidade: fraqueza de um activo ou controlo que pode ser explorado por a meaças Principais Benefícios do objectivonorma ISO/IEC27000 Beneficio:  Estabelecimento de uma metodologia clara da gestão de segurança  Reduzir o risco de perda, roubo ou alteração da informação  O acesso a informação é feito através das medidas de segurança  Confiança e regras claras para todos envolvidos de uma organização  Aumento de segurança relativamente a gestão de processos  Conformidade com a legislação vigente sobre informação vigente sobre informação pessoal, propriedade intelectual e outras,  Os riscos e os seus controlos são continuamente verificados  Garantia de qualidade e confidencialidade comercial ________________________________________________________________ 14/09/2013 Sistema de Gestão de segurança de Informação: Um Sistema de Gestão de Segurança da Informação (SGSI) fornecer um modelo para o estabelecimento, implementação operacionalização, monitorização, revisão, manutenção e melhoria da protecção de activos de informação com vista a alcançar os objectivos propósito por uma organização com base numa correcta de uma avaliação e gestão dos riscos inerentes a uma organização. A implementação bem sucessedida por um sistema de gestão de informação depende da analise dos requisitos para a protecção dos activos da informação, assim como dos controlos adequados para garantir essa protecção
  • 5. Segurança de Informação Principio de Fundamentais para uma boa implementação de umSistema de Gestão de Segurança da Informação  A consensciencia das necessidades de segurança da informação  Atribuição de responsabilidade pela segurança de informação;  Incorporar o comprimisso da gestão e os interesses de todas as partes interessados  Reforçar os valores das sociedades;  Avaliar os riscos que determinam os controlos adequados para atingir níveis aceitáveis de riscos  Prevenção activa e detenção de incidentes de segurança da informação  Reavaliação contínua da segurança da informação; Em termos da segurança da Informação, um sistema de gestão permite que a organização:  Satisfaça os requisitos de segurança de clientes e outros interessados,  Melhores os seus planos actividades,  Cumpra os seus objectivos de segurança da informação  Faça uma gestão dos seus activos de informação de uma forma organizada o que facilita a melhoria a contínua ________________________________________________________________ 21/09/2013 Norma 27001 ISO /IEC 27001 Esta norma foi publicada pelo ISO/IEC em Outubro de 2005.Foi elaborada para especificar os requisitos para o estabelecimento, implementação, operacionalização, monitorização, revisão, manutenção e melhoria de SGSI, dentro do contesto de risco de negocio de uma organização. A certificação não é um requisito obrigatório da norma ISO/IEC27001, é uma decisão da organização. Num entanto, 18 mesesapoios a sua publicação mais de duas mil organizações 50 países foram certificadas o crescimento nessa área tem vindo aumentar
  • 6. Segurança de Informação Objectivo da Norma ISO/IEC Esta norma foi estabelecida com âmbito em conjunto ISO/IEC 17799 e pretende a segurar a selecção de controlo de segurança adequado e proporcional. A implementação da norma 27001 faz com que o seu foco nas necessidade de negocio e considerar a segurança da informação como parte integrante dos objectivo de negocio para realizar a gestão dos riscos A norma ISO/IEC 27001 é universal para todos tipos de organização e especifica os requisitos para implementação consoantes as necessidades de uma organização A certificação em conformidade com a norma 27001 normalmente envolve um conceito de auditoria:  Revisão linear da documentação chave bem como da política da organização, declaração de aplicabilidade e plano de tratamento de risco.  Realização de uma auditoria em profundidade envolvendo o controlo de SGSI declarado na declaração na aplicabilidade e plano de tratamento de risco, bem como a documentação de suporte 05/10/2013 A renovação do certificado envolve algumas revisões periódicas confirmando que SGSI continua a trabalhar como área desejado 1. Sistema A norma ISO/IEC 27001 envolve alguns componentes: Estabelecer o SGSI:  Implementar e operar o SGSI  Monitorizar e Analisar criticamente o SGSI  Manter e melhorar o SGSI  Requisitos de Documentação  Controle de Documentação  Controle de Registos 2. Responsabilidade da Direcção:  Comprometimento da Direcção  Gestão de Recursos  Provisão de Recursos  Treino Consciencialização e competência 3. Auditória Internas que determinam se um SGSI:  Atende aos requisitos da norma  Atende aos requisitos de segurança identificados
  • 7. Segurança de Informação  É executado conforme esperado Todo o procedimento de uma auditória é documentado e os auditores não podem auditar o seu próprio trabalho, conferindo objectividade e imparcialidade 4. Analise Critica de SGSI pela direcção: Entrada:  Resultado das auditória e análise criticas, situações das acções preventivas e correctiva,vulnerabilidade não completada a adequadamente nas análises anteriores, resultado recomendações e mudanças Saídas: Oportunidade de incluir melhoria e mudanças modificação do SGSI das necessidades dos recursos 5.Melhoria de SGSI: Melhoria contínua através do uso da política estabelecida, resultado das auditórias, análise dos eventos monitorizados e acções correctivas  Eliminação das não conformidades através das acções correctivas e preventivas PCAN: na verificação do sistema de segurança da informação  PCAN(Planear): Estabelecimento de política, processo e procedimentos relevante para administraçãode risco e para a melhoria da segurança da informação  DO(Fazer, implementar e operar): implementar e operacionalização das políticas de controle processo e procedimento do sistema  CHECK (Verificar/monitorar/Rever): expensão da performance dos processos em comparação com as políticas e objectivos de SGSI Este resultados devem ser reportado para gestão para análise  ACT (Agir/Manter/Optimizar): Tomada de acção correctiva e preventiva, baseado em auditória interna resultado SGSI e de mais informações provenientes da gestão ou de mais fontes relevante O resultado PCAN: é correcta gestão do SGSI tendo como base espectavas e necessidades de uma organização. Event Viewer, Logs File: da informação toda de como fazer um expensão
  • 8. Segurança de Informação 12/10/2013 Família da Norma ISO/IEC27000 Dentro da serie 27000 ainda podemos referir as normas 27002(Código de praticas), 27003(Guia de Implementação), 27004(Métricas e medição), 27005(Directriz de gestão de risco) 27006(Directriz de serviços de recuperação desastraste). A norma ISO 27002 a partir de Julho de 2007 é o novo nome da norma ISO 17799. Está norma é um guia de boas praticas que descreve os objectivos de controlo e os controlos recomendados para a segurança da informação. Norma ISO 27001.Contém alguns a nexos, que resume alguns deste controlo. A norma ISO 27003 aborda alguma directriz para a implementação de SGSI e contem informações sobre como usar o modelo PDCA os requisitos das suas deferentes fases, ou seja ira fornecer uma bordagem de processo orientada para o sucesso da implementação de um SGSI de acorda com a norma ISO/IEC27001 A norma ISO/IEC 27004 especifica métrica e técnica de medição aplicáveis para determinar a eficácia de SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a segurança da informação essas métricas são usas principalmente para medir os componentes da fase Check do ciclo PDCA A norma ISO/27005 estabelece directrizes para a gestão de risco em segurança da informação, fornecendo indicações para implementação, monitorização e melhoria contínua do sistema de controlo. A norma 27005 é aplicada a todos tipos de organização que se destinam a gerir os riscos que possa comprimente a segurança de informação A norma ISO 27006 especifica os requisitos e fornece orientações para o organismo que prestem o serviço de auditória e certificação de um SGSI 26/10/2013 Sistema Lancesar:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z W X Y Z A B C D E F G H I J K L M N O P Q R S T U V Xtx fx viciado Tpt bt reyrwyzk
  • 9. Segurança de Informação . Amanha irei visitar o senhor presidente WHAIW DNAD RDODN KNICJN LN Criptografia: a criptografia é uma ciência que tem importância fundamental para a segurança da informação, a servir de base para de versas tecnologia e protocolo tais como a infrastetura de chaves publicas, ip de segurança e o Wired Equivalent Privacy(WEP). Suas propriedades que são o sigilo, interinidades, Autenticação e não repudio, garante o armazenamento, as comunicações e as transacções seguras, essencial no mundo actual. Acriptografia tem a função e importância cada vez mais fundamentais para a segurança das informações. A cifragem (Crípton) é o processo de disfarçar a mensagem original ou seja o texto claro, de tal modo que sua substância é escondida em uma mensagem com texto cifrado(Ciphertext),em quanto a de cifragem (decrepito) é o processo de transformar o texto cifrado de volta de texto claro em original. O processo de cifragem e decifragem são realizados via uso de algoritmos com funções matemáticas que transformam os textos claros, que podem ser lidos em textos cifrados, que são inteligíveis. A criptografia possibilita que propriedade importantes para a protecção da informação sejam alcançadas, dentre elas: Integridade, Aticidade, não repudio e sigilo Chave publica :outras as pessoas terem acesso Chave Priva: Para desencriptar a mensagem A criptografia de chave Privada ou Simétrica: como a data cription standard, (3des,idea,rc6 e outros), é responsável pelo sigilo das informações, por meio da utilização de uma chave secreta para a codificação e decodificação dos dados Samuel Palmira Mensagem Cifrado Mensagem Cifrada Rede Pública Mensagem Cifrada Decifrador Mensagem
  • 10. Segurança de Informação 16/11/13 Cifra de Vigenere É um método de encriptação que usa uma série de deferente cifra de césar baseadas em letra deuma senha Numa cifra de césar, cada letra do alfabeto e deslocada da sua posição um número fixo de lugares; por ex: Se tiver uma deslocação de 3 lugares a letra A torna-se D, letra B torna-se E. A cifra de Vigenere consiste na sequência de varias cifras de césar com deferentes valores de deslocamento Característica 1- A cifra de vigenere pertence a classe de substituição com palavras-chaves 2- O tipo da substituição a classe Polialfabetica monogramica porque faz uso de vários alfabetos cifrates, aplicados indivualmente aos caracteres da messagem clara. 3- O método faz uso de chaves que podem ser palavras ou chaves D=Decriptação E=Encriptação K=Chave P=Texto Puro Na Forma de Utilização Números temos que por 1º abecedários A BC D E F G H I J K L M N O P Q R S T U V W X Y Z 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Para Fazer encriptação P=K+E Para fazer Decriptação K-D
  • 11. Segurança de Informação Palavra YRX V O U A ESCOLA 2 1420 0 4 18 2 14 11 0 Encriptação da Palavra Chave Angola MOD 26 S e soma sere 28 tem que se fazer 28-26=2 P=3+0=3=D P=3+13=16=Q P=3+6=9=J P=3+14=17=R P=3+11=14=O P=3+0=3=D Tabela de Vigenere JOAO NETO A N G O L A AN 0 13 6 14 11 0
  • 12. Segurança de Informação Pra fazer decriptação utilizamos as chaves, encontramos a posição. Buscarmos a sua intercessão em função de número e a sua letra. A=0=J=J N=13=O=B G=6=A=G O=14=O=C L=11=N=Y A=0=E=E A=0=T=T N=13=O=B MOD_26 Se a soma der 28 tem que se fazer 28-26=2 Método de Encriptação: P=3+21=24=Y P=3+14=17=R P=3+20=23=X P=3+0=3 P=3+4=7 P=3+18=21 P=3+2=5 P=3+14=17 P=3+11=14 P=3+0=3
  • 13. Segurança de Informação Método Decriptação: P=24-3=21 P=17-3=14 P=23-3=20 P=3-3=0 P=7-3=4 P=21-3=18 P=5-3=2 P=17-3=14 P=14-3=11 P=3-3=0 Quando se utiliza a chave V O U A E S C O L A A N G O L A A N G O Para esta encriptação a palavra que foi encriptada foi a palavra angola que é a nossa palavra-chave é “ANGOLA” fez se encriptação na palavra ANGOLA JOAO SEBASTIAO DQJR ODDQJROD ANGO - LAAN -GOLAA 0 13 6 14 11

×