Análise e Desenvolvimento de Sistemas
4º semestre
Aula nº 02
Prof. Paulo Rangel
Segurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
Conteúdo Previsto:
Histórico, conceitos e princípios de Segurança da
Informação
Governança da Internet e o seu papel na Segurança da
Informação
ICANN
CGI - Comitê Gestor da Internet (Brasil)
Filmes sobre segurança
A segurança e o ciclo de vida da Informação.
Segurança da Informação – Histórico
~ 35000 AC – Homo Sapiens
~ 32000 AC – Registro de desenhos nas cavernas
~ 3500 AC – Escrita cuneiforme - Sumérios
~ 2700 AC – Surgimento dos hieróglifos egípcios
~ 2100 AC - Antikythera – calculadora astronômica – Grécia
~ 1200 AC – Guerra de Tróia
~ 490 AC – Maratona – 42 km levando uma informação
~ 23 AC – Correio Romano – Transporte oficial de informações
325 – Imperador Constantino – A Bíblia Cristã
641 – Biblioteca da Alexandria é destruída pelos árabes
Segurança da Informação – Histórico
1455 – Impressão da Bíblia de Gutenberg
1497 – Os “segredos” da “Última Ceia” de Da Vinci
1559 – Santa Inquisição Index Librorum Prohibitorum
1642 – Calculadora Mecânica de Pascal
1823 – Pedra de Roseta - Escrita hieroglífica egípcia é decifrada
1844 – Primeira transmissão de mensagens por telégrafo
1863 – Uso do cilindro criptográfico na Guerra da secessão - EUA
1876 – Alexander Graham Bell inventa o telefone
1917 – Máquina de criptografia de Hebern – introdução do teclado
1923 – Inventada a primeira versão da máquina de codificação Enigma
Segurança da Informação – Histórico
1939 / 1945 – Durante a 2ª Guerra Mundial, os ingleses realizam esforços
para decifração de códigos em Bletchley Park, reunindo cerca de 12.000
pesquisadores em código e cifra. Esse estudo criptográfico criou base para a
sua aplicação na ciência da computação moderna.
Segurança da Informação – Histórico
1939 / 1945 – Durante a 2ª Guerra Mundial a marinha alemã utilizava nas
comunicações com seus submarinos o sistema ENIGMA, que foi decifrado
com a captura de um desses equipamentos pela marinha Inglesa.
Segurança da Informação – Histórico
1946 – O ENIAC, criado pelo exército americano, é o primeiro
computador eletrônico
Segurança da Informação – Histórico
1958 – Fundada a ARPA (Advanced Research Projects Agency) em resposta ao
projeto Sputinik
Segurança da Informação – Histórico
1964 – IBM lança o Mainframe S/360, primeiro computador multitarefa
comercial tornando-se um sucesso de vendas
Segurança da Informação – Histórico
1969 – Criação da ARPANET, com a finalidade de interligar centros de
computação militares e acadêmicos
Segurança da Informação – Histórico
1980 - Início da onda de popularização dos computadores pessoais.
Segurança da Informação – Histórico
1980 - Início da onda de popularização dos computadores pessoais.
Segurança da Informação – Histórico
1980 - Início da onda de popularização dos computadores pessoais.
Segurança da Informação – Histórico
1983 – É Lançado o Windows 1.0
1984 – Criada a ISSA – Information Systems Security Association, primeira
associação para profissionais de Segurança de Sistemas.
1986 - Computer Fraud and Abuse Act é a primeira lei que tipifica crimes
de computador.
1986 - Brain é o primeiro vírus de computador agindo no setor de boot
1988 – Worm do estudante Robert Morris derruba 10% dos computadores
da Internet, foi condenado a 400 horas de serviço comunitário e uma
multa de $ 10.000.
1989 - Surgimento dos primeiros softwares comerciais de antivírus
Segurança da Informação – Histórico
1991 – Linux é proposto por Linus Torvalds
1991 – Desenvolvido o PGP (Pretty Good Privacy )por Phil Zimmermann
1995 – O Windows 95 é lançado e transforma o mercado de PC’s –
promessas de um sistema seguro
1995 – Publicada a primeira versão da BS 7799
1995 – Primeiro teste com as urnas eletrônicas. Liderança do Brasil nesta
área.
1995 – A web passa a ser usada comercialmente
1997 - Receita Federal começa a receber declarações de Imposto de Renda
pela Internet, em 97 foram recebidas 470.000 declarações pela web
Segurança da Informação – Histórico
1999 - Vírus de macro Melissa se propaga por e-mails causando prejuízos
estimados em US$ 80 milhões
2000 - Loveletter – 45 milhões de computadores infectados em 24 horas,
parando serviços de e-mail mundo afora.
2000 – Lançada a ISO/IEC 17799 baseada na BS 7799
2001 - ICP-Brasil é instituída através de medida provisória e transforma o
Brasil no primeiro país do mundo a ter legislação específica. (Infraestrutura
de Chaves Publicas)
2001 – Surge os vírus CODE RED e NIMDA explorando as “Blackdoor”
Segurança da Informação – Histórico
2001 - 11/9 - Transforma o conceito de Segurança da Informação:
Crise econômica global e retração de investimentos
Terrorismo e criminalidade
Continuidade de negócios
Segurança incorporada ao dia-a-dia
Segurança da Informação – Histórico
2002 –Aprovada nos EUA a lei Sarbanes-Oxley
2002 – Decreto 4.553 (Classificação das Informações) Dispõe sobre a
salvaguarda de dados, informações, documentos e materiais sigilosos de
interesse da segurança da sociedade e do Estado
2003 – SQL Slammer o virus mais rápido Explosão das fraudes no Brasil e no mundo
2004 – Sasser e Blaster atacam
2006 – Trojan Storm e suas variações Peacomm , Nuwar, etc. se utilizando
de email`s de catástrofes, assuntos polêmicos, mensagens de amor e vídeos,
o cibercrime prolifera e dá lucro.
Segurança da Informação – Histórico
A criatividade dos criminosos e a ingenuidade das pessoas propicia
um campo fértil para o roubo de senhas:
Segurança da Informação
Conteúdo Previsto
Governança da Internet e o seu papel na
Segurança da Informação
ICANN
CGI - Comitê Gestor da Internet (Brasil)
Filmes sobre segurança
Governança da Internet no Mundo
Governança da Internet no Mundo
Estrutura do ICANN (Fonte: <http://www.icann.org/en/structure/>.)
Governança da Internet no Mundo
A Internet Corporation for Assigned Names and Numbers (ICANN – Corporação para Atribuição de Nomes e Números na Internet) é uma corporação internacional sem fins lucrativos, responsável pela alocação do espaço de endereços de Protocolos da Internet (IP), pela atribuição de identificadores de protocolos, pela administração do sistema de domínios de primeiro nível, tanto genéricos, quanto com códigos de países, e também pelas funções de gerenciamento do sistema de servidores-raiz. Originalmente, esses serviços foram desempenhados segundo um contrato do governo dos EUA com a Internet Assigned Numbers Authority (IANA – Autoridade para Atribuição de Números na Internet) e outras entidades. Agora a ICANN desempenha a função da IANA.
Governança da Internet no Brasil
Estrutura do CGI (Fonte: <http://www.cgi.org>.)
Governança da Internet no Brasil
Governança da Internet é desempenhada pelo Comitê Gestor da Internet no Brasil (CGI.br) criado em maio de 1995 por meio da Portaria Interministerial nº 147 de 31/05/1995, alterada pelo Decreto Presidencial nº 4.829 de 03/09/2003, com a responsabilidade de coordenar e integrar os serviços de Internet no País.
Possui um modelo multistakeholder formado por membros indicados pelo governo federal e por eleitos dos setores empresarial, terceiro setor e comunidade acadêmica, totalizando 21 membros, sendo nove representantes do governo, 11 da sociedade civil e um membro de notório saber em assuntos de Internet.
Governança da Internet no Brasil
Núcleo de Informação e Coordenação do Ponto BR é o braço executivo do CGI responsável pelos pontos que seguem:
Registro de domínios “.br”
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.
Centro de Estudos e Pesquisas em Tecnologia de Redes e Operações.
Centro de Estudos sobre as Tecnologias da Informação e da Comunicação.
Escritório brasileiro do W3C (World Wide Web Consortium).
Governança da Internet e o seu papel
na Segurança da Informação
Filmes do CGI (Comitê Gestor da Internet)
Navegar é Preciso
Spam
Invasores
Defesas
Segurança da Informação
A dependência da Informação
O que é Segurança da Informação?
O Risco
Porque a Segurança da Informação é necessária?
Variáveis que influenciam os Riscos
Facilitadores para o aumento dos riscos e ameaças
O Ciclo de Vida da Informação
Segurança da Informação
A dependência da Informação
Relacionamento eletrônico entre as organizações
Segurança da Informação
O que é segurança da informação
Segurança da Informação visa garantir as três propriedades
fundamentais da informação conforme definido a seguir:
Confidencialidade - Garantir que a informação será acessada
apenas pelas pessoas autorizadas.
Integridade - Garantir a exatidão e completeza da informação e
dos métodos de processamento.
Disponibilidade - Garantir que os usuários autorizados tenham
acesso à informação e aos ativos correspondentes sempre que
necessário.
Segurança da Informação
O que é segurança da informação
Assim, podemos definir Segurança da Informação como uma
área do conhecimento dedicada à proteção de ativos da
informação contra acessos não autorizados, alterações indevidas
ou sua indisponibilidade. De forma mais ampla, podemos
também considerá-la como a prática de gestão de riscos
incidentes que impliquem no comprometimento dos três
principais conceitos da segurança: confidencialidade,
integridade e disponibilidade da informação.
Segurança da Informação
O que é segurança da informação
Aos conceitos de segurança citados, podemos acrescentar
também:
Autenticação - processo de identificação e reconhecimento
formal da identidade dos elementos que entram em
comunicação ou fazem parte de uma transação eletrônica que
permite o acesso à informação e seus ativos por meio de
controles de identificação desses elementos.
Legalidade - característica das informações que possuem valor
legal dentro de um processo de comunicação, onde todos os
ativos estão de acordo com as cláusulas contratuais pactuadas ou
a legislação, política institucional, nacional ou internacional
vigentes.
Segurança da Informação
O que é segurança da informação
Segurança da informação não é uma tecnologia que se pode
comprar e tornar o computador seguro. Segurança é uma
direção que se deve viajar, porem sem nunca chegar ao destino.
Segurança da informação é um processo. Pode-se aplicar
seguidamente e a empresa e dessa maneira melhorar a
segurança. Se não iniciar ou interromper o processo, a
segurança será cada vez pior.
Segurança da Informação
Porque a segurança da informação é necessária?
Essencial em razão das perdas que a organização pode ter, que
nem sempre são tangíveis:
Produtos que deixam de ser fabricados
Produtos que deixam de ser vendidos e entregues
Credibilidade da organização
Capacidade de honrar compromissos
Preservar informações sigilosas que lhe foram confiadas por
parceiros
Segurança da Informação
Variáveis que influenciam os riscos
Variáveis internas:
Humanas
Tecnológicas
Físicas
Variáveis externas:
Macro econômicas
Mercadológicas
Naturais
Segurança da Informação
Facilitadores para o aumento dos riscos e ameaças
Aspectos Positivos:
Crescimento do uso das informações digitalizadas
Aumento da conectividade das empresas
Crescimento das relações eletrônicas entre as empresas
Crescimento do compartilhamento da informação
Acesso a conexões Internet em banda larga
Redução dos preços dos computadores
Crescimento do valor da informação para as organizações
Segurança da Informação
Facilitadores para o aumento dos riscos e ameaças
Aspectos Negativos:
Baixo nível de identificação na Internet
Compartilhamento de técnicas de ataque e defesa
Variedade de ferramentas de ataque e defesa, fáceis de serem
obtidas e utilizadas
Legislação e mecanismos legais deficientes sobre a
responsabilização no ambiente virtual
Ataque vindos do exterior são muito mais difíceis de terem
seus autores identificados e responsabilizados
Segurança da Informação
Ciclo de Vida da Informação
O ciclo de vida é caracterizado pelos momentos vividos pela
Informação que a colocam em risco e que podem alterar as suas
propriedades de Confidencialidade, Integridade e
Disponibilidade. Esses momentos podem ser divididos da
seguinte forma :
Manuseio - Momento em que a informação é criada e
manipulada;
Armazenamento - Quando a informação é armazenada;
Transporte - Quando a informação é transportada, seja por
correio eletrônico ou através de uma rede para ser consultada
em uma estação;
Descarte - Quando a informação é descartada.
Segurança da Informação
Ciclo de Vida da Informação
Em todas as fases o cuidado com a segurança deve estar
presente. Por exemplo, nada vale termos precauções durante os
momentos de manuseio, armazenamento e transporte e sermos
descuidados no momento do seu descarte.
Segurança da Informação
Referencia Bibliográfica:
LYRA, M. R. Segurança e auditoria em sistema de
informação. 1ª Edição. Rio de Janeiro: Ciência Moderna, 2009.
CERT.BR, Cartilha de Segurança para a Internet, versão
4.0 – CGI Comitê Gestor da Internet no Brasil, 2012.
Segurança da Informação
Bibliografia Recomendada:
MITNICK K.D.; SIMON,W. A Arte de Enganar - Ataques de
Hackers : Controlando o Fator Humano na Segurança da
Informação. São Paulo: Pearson Education, 2003.
SEMOLA, M. Gestão da Segurança da Informação - Uma
visão executiva. Rio de Janeiro: Editora Campus, 2003.
Segurança de Dados
DÚVIDAS