Introdução segurança de informação
Upcoming SlideShare
Loading in...5
×
 

Introdução segurança de informação

on

  • 442 views

Aula introductoria a conceitos basicos de segurança de informação

Aula introductoria a conceitos basicos de segurança de informação

Statistics

Views

Total Views
442
Views on SlideShare
439
Embed Views
3

Actions

Likes
0
Downloads
11
Comments
0

1 Embed 3

http://www.nabenik.com 3

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Introdução segurança de informação Presentation Transcript

  • 1. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Introduc˜o a seguranca em sistemas de ¸a ¸ informac˜o ¸a V´ ıctor Orozco, Dr. Ana Trindade Winck Centro de Tecnologia Universidade Federal de Santa Maria 15 de Janeiro de 2013
  • 2. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Objetivos da aula • Apresentar uma vis˜o geral da grande ´rea de seguranca da a a ¸ informac˜o ¸a • Identificar princ´ ıpios b´sicos de seguranca a ¸ • Discutir um modelo gen´rico de seguranca de informac˜o e ¸ ¸a
  • 3. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Roteiro Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias
  • 4. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Seguranca ¸
  • 5. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Seguranca ¸ • A seguranca ´ um dos mais antigos problemas que governos, ¸ e organizac˜es comerciais e quase todas as pessoas tem de ¸o enfrentar • Pode-se definir a seguranca como a percepc˜o de estar ¸ ¸a protegido contra riscos, perigos ou perdas.
  • 6. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Seguranca ¸ • Em um sentido amplio a seguranca significa proteger os ¸ nossos ativos • Proteger os nossos sistemas contra atacantes • Proteger o nosso pr´dio contra desastres naturais e • Proteger a nossa carteira de roubos na boate
  • 7. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Seguranca ¸ • Dependendo do contexto assim tem que ser as medidas de seguranca ¸ • Ativos f´ ısicos: Computadores, carros • Ativos l´gicos: Arquivos de dados, c´digo fonte de aplicativos o o • Ativos humanos: Seres humanos a base de qualquer negocio
  • 8. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Seguranca em SI ¸ • Seguranca SI = Proteger sistemas de informac˜o e a ¸ ¸a informac˜o mesma de acesso n˜o autorizado, uso, divulgac˜o, ¸a a ¸a interrupc˜o, modificac˜o ou destruic˜o ¸a ¸a ¸a
  • 9. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Seguranca em SI ¸ • Conceito que se torna cada vez mais presente em muitos aspectos da nossa sociedade • Embora a tecnologia nos permite ser mais produtivos, ela tamb´m carrega consigo uma s´rie de quest˜es de seguranca e e o ¸ • A introduc˜o de sistemas de informac˜o na industria tem ¸a ¸a aumentado o problema de seguranca ainda mais ¸ • Se a informac˜o sobre os sistemas utilizados pelos nossos ¸a empregadores ou nossos bancos fica exposta a um atacante, as consequˆncias podem ser devastadoras e
  • 10. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Assegurando Informac˜o ¸a “O unico sistema realmente seguro ´ aquele que est´ desligado, ´ e a dentro dum bloco de concreto com guardas armados, e mesmo assim eu tenho minhas d´vidas”[Andress 2011]. u
  • 11. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Assegurando Informac˜o ¸a • Quanto mais aumentamos o n´ de seguranca, geralmente ıvel ¸ diminui o n´ de produtividade ıvel • Devemos tamb´m considerar como o n´ de seguranca e ıvel ¸ refere-se o valor do item que est´ sendo assegurado a • Podemos construir uma instalac˜o militar cercada por c˜es ¸a a assassinos . . . mas n˜o faz sentido se o ativo a proteger for a a lista de compras do mercado.
  • 12. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Assegurando Informac˜o ¸a • Definir um n´ aceit´vel de seguranca ´ um processo ıvel a ¸ e subjectivo • T´cnica generalizada: Definir uma lista dos ativos onde somos e vulner´veis (sempre vai ter alguma coisa a mais) a • Alguns regulamentos tentam definir o que proteger, ou pelo menos alguns dos passos que uma organizac˜o deve tomar ¸a para ser “seguro”.
  • 13. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Assegurando Informac˜o ¸a • Como pode-se definir esse listado? • Listando nossos ativos e verificando se eles apresentam caracter´ ısticas seguras de acordo a algum modelo estandardizado
  • 14. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID
  • 15. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID - Confidencialidade Nossa capacidade de proteger nossos dados daqueles que n˜o est˜o a a autorizados a ver eles.
  • 16. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID - Confidencialidade • Password do nosso computador • Registo banc´rio a • ?
  • 17. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID - Integridade A capacidade de impedir os nossos dados sejam alteradas numa forma n˜o autorizada ou indesej´vel. a a
  • 18. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID - Integridade • Sistema de arquivos Windows que separa e protege o acesso aos arquivos de um usu´rio para outro a • ?
  • 19. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID - Disponibilidade A capacidade de acessar aos dados quando precisamos deles.
  • 20. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID - Disponibilidade • Sobrecarga mal intencionada nos servidores do nosso banco • ?
  • 21. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo Parkeriano -2002-
  • 22. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo Parkeriano • Propriedade - A disponibilidade f´ ısica donde a informac˜o tem ¸a sido guardada • Autenticidade - A atribuic˜o adequada quanto ao propriet´rio ¸a a ou criador dos dados em quest˜o a • Utilidade - Qu˜o util s˜o os dados e suas caracter´ a ´ a ısticas para n´s o
  • 23. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Ataques • Os sistemas de informac˜o podem enfrentar ataques desde ¸a uma grande variedade de abordagens e ˆngulos a • Os ataques podem ser classificados de acordo com o tipo de ataque que ele representa, o risco que o ataque representa, e os controles podemos usar para mitigar eles • Cada ataque pode afetar um ou mais princ´ ıpios CID
  • 24. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Ataques
  • 25. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Ataques - Intercepc˜o ¸a • Permitem que usu´rios n˜o autorizados acessem os nossos a a dados, aplicac˜es, ou ambientes, e s˜o principalmente um ¸o a ataque contra a confidencialidade (chaves de acesso). • Exemplos: Visualizac˜o ou copia de arquivos n˜o autorizados, ¸a a espionagem em conversas, ler e-mail • Corretamente executados, ataques de interceptac˜o podem ¸a ser muito dif´ ıceis de detectar.
  • 26. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Ataques - Interrupc˜o ¸a • Atacam ativos visando tornar eles inutiliz´veis ou indispon´ a ıveis para uso, de forma tempor´ria ou permanente. a • Exemplos: Ataques de denegac˜o de servico (disponibilidade), ¸a ¸ sobrecarga aos bancos de dados (disponibilidades+integridade), • Modificac˜o ¸a • Fabricac˜o ¸a
  • 27. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Ataques - Modificac˜o ¸a • S˜o todos aqueles que mexem na informac˜o. a ¸a • Exemplos: Acesso n˜o autorizado a arquivos (integridade), a acesso a arquivos de configurac˜o de servicos ¸a ¸ (integridade+disponibilidade)
  • 28. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Ataques - Fabricac˜o ¸a • Gerac˜o de dados, processos, comunicac˜es ou outras ¸a ¸o atividades similares com um sistema de • Exemplo: Criac˜o de informac˜es falsas no banco de dados ¸a ¸o (integridade ou integridade+disponibilidade) • S˜o considerados maioritariamente como ataques na a integridade, mas dependendo da quantidade dos dados podem ser tamb´m ataques de disponibilidade e
  • 29. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Referencias I Andress, J. (2011). The basics of information security understanding the fundamentals of InfoSec in theory and practice. Syngress, Waltham, MA.