Aula 2 - Segurança e Auditoria de Sistemas - Historico e Ciclo de Vida Da Informação - 1o Sem 2014

Análise e Desenvolvimento de Sistemas

4º semestre

Aula nº 02

Prof. Paulo Rangel

[email protected]

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas

Conteúdo Previsto:

Histórico, conceitos e princípios de Segurança da

Informação

Governança da Internet e o seu papel na Segurança da

Informação

ICANN

CGI - Comitê Gestor da Internet (Brasil)

Filmes sobre segurança

A segurança e o ciclo de vida da Informação.

Segurança da Informação – Histórico

~ 35000 AC – Homo Sapiens

~ 32000 AC – Registro de desenhos nas cavernas

~ 3500 AC – Escrita cuneiforme - Sumérios

~ 2700 AC – Surgimento dos hieróglifos egípcios

~ 2100 AC - Antikythera – calculadora astronômica – Grécia

~ 1200 AC – Guerra de Tróia

~ 490 AC – Maratona – 42 km levando uma informação

~ 23 AC – Correio Romano – Transporte oficial de informações

325 – Imperador Constantino – A Bíblia Cristã

641 – Biblioteca da Alexandria é destruída pelos árabes


1455 – Impressão da Bíblia de Gutenberg

1497 – Os “segredos” da “Última Ceia” de Da Vinci

1559 – Santa Inquisição Index Librorum Prohibitorum

1642 – Calculadora Mecânica de Pascal

1823 – Pedra de Roseta - Escrita hieroglífica egípcia é decifrada

1844 – Primeira transmissão de mensagens por telégrafo

1863 – Uso do cilindro criptográfico na Guerra da secessão - EUA

1876 – Alexander Graham Bell inventa o telefone

1917 – Máquina de criptografia de Hebern – introdução do teclado

1923 – Inventada a primeira versão da máquina de codificação Enigma


1939 / 1945 – Durante a 2ª Guerra Mundial, os ingleses realizam esforços

para decifração de códigos em Bletchley Park, reunindo cerca de 12.000

pesquisadores em código e cifra. Esse estudo criptográfico criou base para a

sua aplicação na ciência da computação moderna.


1939 / 1945 – Durante a 2ª Guerra Mundial a marinha alemã utilizava nas

comunicações com seus submarinos o sistema ENIGMA, que foi decifrado

com a captura de um desses equipamentos pela marinha Inglesa.


1946 – O ENIAC, criado pelo exército americano, é o primeiro

computador eletrônico


1958 – Fundada a ARPA (Advanced Research Projects Agency) em resposta ao

projeto Sputinik


1964 – IBM lança o Mainframe S/360, primeiro computador multitarefa

comercial tornando-se um sucesso de vendas


1969 – Criação da ARPANET, com a finalidade de interligar centros de

computação militares e acadêmicos


1980 - Início da onda de popularização dos computadores pessoais.






1983 – É Lançado o Windows 1.0

1984 – Criada a ISSA – Information Systems Security Association, primeira

associação para profissionais de Segurança de Sistemas.

1986 - Computer Fraud and Abuse Act é a primeira lei que tipifica crimes

de computador.

1986 - Brain é o primeiro vírus de computador agindo no setor de boot

1988 – Worm do estudante Robert Morris derruba 10% dos computadores

da Internet, foi condenado a 400 horas de serviço comunitário e uma

multa de $ 10.000.

1989 - Surgimento dos primeiros softwares comerciais de antivírus


1991 – Linux é proposto por Linus Torvalds

1991 – Desenvolvido o PGP (Pretty Good Privacy )por Phil Zimmermann

1995 – O Windows 95 é lançado e transforma o mercado de PC’s –

promessas de um sistema seguro

1995 – Publicada a primeira versão da BS 7799

1995 – Primeiro teste com as urnas eletrônicas. Liderança do Brasil nesta

área.

1995 – A web passa a ser usada comercialmente

1997 - Receita Federal começa a receber declarações de Imposto de Renda

pela Internet, em 97 foram recebidas 470.000 declarações pela web


1999 - Vírus de macro Melissa se propaga por e-mails causando prejuízos

estimados em US$ 80 milhões

2000 - Loveletter – 45 milhões de computadores infectados em 24 horas,

parando serviços de e-mail mundo afora.

2000 – Lançada a ISO/IEC 17799 baseada na BS 7799

2001 - ICP-Brasil é instituída através de medida provisória e transforma o

Brasil no primeiro país do mundo a ter legislação específica. (Infraestrutura

de Chaves Publicas)

2001 – Surge os vírus CODE RED e NIMDA explorando as “Blackdoor”


2001 - 11/9 - Transforma o conceito de Segurança da Informação:

Crise econômica global e retração de investimentos

Terrorismo e criminalidade

Continuidade de negócios

Segurança incorporada ao dia-a-dia


2002 –Aprovada nos EUA a lei Sarbanes-Oxley

2002 – Decreto 4.553 (Classificação das Informações) Dispõe sobre a

salvaguarda de dados, informações, documentos e materiais sigilosos de

interesse da segurança da sociedade e do Estado

2003 – SQL Slammer o virus mais rápido Explosão das fraudes no Brasil e no mundo

2004 – Sasser e Blaster atacam

2006 – Trojan Storm e suas variações Peacomm , Nuwar, etc. se utilizando

de email`s de catástrofes, assuntos polêmicos, mensagens de amor e vídeos,

o cibercrime prolifera e dá lucro.


A criatividade dos criminosos e a ingenuidade das pessoas propicia

um campo fértil para o roubo de senhas:

Segurança da Informação

Conteúdo Previsto

Governança da Internet e o seu papel na


ICANN

CGI - Comitê Gestor da Internet (Brasil)

Filmes sobre segurança

Governança da Internet no Mundo


Estrutura do ICANN (Fonte: <http://www.icann.org/en/structure/>.)

http://www.icann.org/en/structure/



A Internet Corporation for Assigned Names and Numbers (ICANN – Corporação para Atribuição de Nomes e Números na Internet) é uma corporação internacional sem fins lucrativos, responsável pela alocação do espaço de endereços de Protocolos da Internet (IP), pela atribuição de identificadores de protocolos, pela administração do sistema de domínios de primeiro nível, tanto genéricos, quanto com códigos de países, e também pelas funções de gerenciamento do sistema de servidores-raiz. Originalmente, esses serviços foram desempenhados segundo um contrato do governo dos EUA com a Internet Assigned Numbers Authority (IANA – Autoridade para Atribuição de Números na Internet) e outras entidades. Agora a ICANN desempenha a função da IANA.

Governança da Internet no Brasil

Estrutura do CGI (Fonte: <http://www.cgi.org>.)




Governança da Internet é desempenhada pelo Comitê Gestor da Internet no Brasil (CGI.br) criado em maio de 1995 por meio da Portaria Interministerial nº 147 de 31/05/1995, alterada pelo Decreto Presidencial nº 4.829 de 03/09/2003, com a responsabilidade de coordenar e integrar os serviços de Internet no País.

Possui um modelo multistakeholder formado por membros indicados pelo governo federal e por eleitos dos setores empresarial, terceiro setor e comunidade acadêmica, totalizando 21 membros, sendo nove representantes do governo, 11 da sociedade civil e um membro de notório saber em assuntos de Internet.


Núcleo de Informação e Coordenação do Ponto BR é o braço executivo do CGI responsável pelos pontos que seguem:

Registro de domínios “.br”

Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.

Centro de Estudos e Pesquisas em Tecnologia de Redes e Operações.

Centro de Estudos sobre as Tecnologias da Informação e da Comunicação.

Escritório brasileiro do W3C (World Wide Web Consortium).

Governança da Internet e o seu papel

na Segurança da Informação

Filmes do CGI (Comitê Gestor da Internet)

Navegar é Preciso

Spam

Invasores

Defesas


A dependência da Informação

O que é Segurança da Informação?

O Risco

Porque a Segurança da Informação é necessária?

Variáveis que influenciam os Riscos

Facilitadores para o aumento dos riscos e ameaças

O Ciclo de Vida da Informação


A dependência da Informação

Relacionamento eletrônico entre as organizações


O que é segurança da informação

Segurança da Informação visa garantir as três propriedades

fundamentais da informação conforme definido a seguir:

Confidencialidade - Garantir que a informação será acessada

apenas pelas pessoas autorizadas.

Integridade - Garantir a exatidão e completeza da informação e

dos métodos de processamento.

Disponibilidade - Garantir que os usuários autorizados tenham

acesso à informação e aos ativos correspondentes sempre que

necessário.



Assim, podemos definir Segurança da Informação como uma

área do conhecimento dedicada à proteção de ativos da

informação contra acessos não autorizados, alterações indevidas

ou sua indisponibilidade. De forma mais ampla, podemos

também considerá-la como a prática de gestão de riscos

incidentes que impliquem no comprometimento dos três

principais conceitos da segurança: confidencialidade,

integridade e disponibilidade da informação.



Aos conceitos de segurança citados, podemos acrescentar

também:

Autenticação - processo de identificação e reconhecimento

formal da identidade dos elementos que entram em

comunicação ou fazem parte de uma transação eletrônica que

permite o acesso à informação e seus ativos por meio de

controles de identificação desses elementos.

Legalidade - característica das informações que possuem valor

legal dentro de um processo de comunicação, onde todos os

ativos estão de acordo com as cláusulas contratuais pactuadas ou

a legislação, política institucional, nacional ou internacional

vigentes.



Segurança da informação não é uma tecnologia que se pode

comprar e tornar o computador seguro. Segurança é uma

direção que se deve viajar, porem sem nunca chegar ao destino.

Segurança da informação é um processo. Pode-se aplicar

seguidamente e a empresa e dessa maneira melhorar a

segurança. Se não iniciar ou interromper o processo, a

segurança será cada vez pior.


Porque a segurança da informação é necessária?

Essencial em razão das perdas que a organização pode ter, que

nem sempre são tangíveis:

Produtos que deixam de ser fabricados

Produtos que deixam de ser vendidos e entregues

Credibilidade da organização

Capacidade de honrar compromissos

Preservar informações sigilosas que lhe foram confiadas por

parceiros


Variáveis que influenciam os riscos

Variáveis internas:

Humanas

Tecnológicas

Físicas

Variáveis externas:

Macro econômicas

Mercadológicas

Naturais



Aspectos Positivos:

Crescimento do uso das informações digitalizadas

Aumento da conectividade das empresas

Crescimento das relações eletrônicas entre as empresas

Crescimento do compartilhamento da informação

Acesso a conexões Internet em banda larga

Redução dos preços dos computadores

Crescimento do valor da informação para as organizações



Aspectos Negativos:

Baixo nível de identificação na Internet

Compartilhamento de técnicas de ataque e defesa

Variedade de ferramentas de ataque e defesa, fáceis de serem

obtidas e utilizadas

Legislação e mecanismos legais deficientes sobre a

responsabilização no ambiente virtual

Ataque vindos do exterior são muito mais difíceis de terem

seus autores identificados e responsabilizados


Ciclo de Vida da Informação

O ciclo de vida é caracterizado pelos momentos vividos pela

Informação que a colocam em risco e que podem alterar as suas

propriedades de Confidencialidade, Integridade e

Disponibilidade. Esses momentos podem ser divididos da

seguinte forma :

Manuseio - Momento em que a informação é criada e

manipulada;

Armazenamento - Quando a informação é armazenada;

Transporte - Quando a informação é transportada, seja por

correio eletrônico ou através de uma rede para ser consultada

em uma estação;

Descarte - Quando a informação é descartada.


Ciclo de Vida da Informação

Em todas as fases o cuidado com a segurança deve estar

presente. Por exemplo, nada vale termos precauções durante os

momentos de manuseio, armazenamento e transporte e sermos

descuidados no momento do seu descarte.


Referencia Bibliográfica:

LYRA, M. R. Segurança e auditoria em sistema de

informação. 1ª Edição. Rio de Janeiro: Ciência Moderna, 2009.

CERT.BR, Cartilha de Segurança para a Internet, versão

4.0 – CGI Comitê Gestor da Internet no Brasil, 2012.


Bibliografia Recomendada:

MITNICK K.D.; SIMON,W. A Arte de Enganar - Ataques de

Hackers : Controlando o Fator Humano na Segurança da

Informação. São Paulo: Pearson Education, 2003.

SEMOLA, M. Gestão da Segurança da Informação - Uma

visão executiva. Rio de Janeiro: Editora Campus, 2003.

Segurança de Dados

DÚVIDAS

Documents

Aula 2 - Segurança e Auditoria de Sistemas - Historico e Ciclo de Vida Da Informação - 1o Sem 2014