Please enable JavaScript.

Coggle requires JavaScript to display documents.

SEGURANÇA EM SISTEMAS DE INFORMAÇÃO, objetivo: Será realizada uma imersão…

- - - - A segurança da informação, antes de tudo, é uma questão estratégica
        
        "Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento”
- - - - Destruição de informações ou recursos
      - Modificação ou deturpação da informação
      - Roubo
      - Remoção ou perda de informação
      - Revelação de informações confidenciais ou não
      - Paralisação dos serviços de rede
    - - Os Insiders, são funcionários, ex-funcionários ou colaboradores, que atuam ou atuaram dentro de uma empresa ou fora dela e obtiveram acesso a informações internas.
- - - - Curiosidade e interesse em adquirir maior conhecimento sobre os sistemas
      - Chantagem de algum tipo
      - Espionagem industrial
      - Venda de informações confidenciais
      - Ferir a imagem de um governo ou uma determinada empresa ou serviço
    - - Violação da privacidade e confidencialidade das informações: entidades não autorizadas
      - Violação de autenticidade: invasores se passando por uma entidade autêntica
      - Fluxo normal das mensagens ao destino pode ser interrompido
- - - - Pilares da segurança da informação
        
        Identificação
        
        Autenticação
        
        Autorização
        
        Auditoria
      - Tipos de controle de acesso
        
        Controle de Acesso centralizado
        
        Utiliza uma entidade central, um sistema ou usuário, para tomar as decisões sobre acesso aos recursos
        
        Garante padronização do acesso às informações
        
        Impede superposição de direitos
        
        Qualquer falha no sistema central impede o acesso às informações
        
        Controle de Acesso descentralizado
        
        Utiliza as entidades mais próximas dos recursos para gerenciar melhor os problemas sob sua supervisão
        
        Uma falha no sistema de controle de acesso não interfere no acesso aos demais sistemas, desde que não haja dependência entre eles
        
        A perda da padronização do acesso às informações, e a possibilidade de superposição de direitos causam furos de segurança
        
        Controle de Acesso mandatório (MAC)
        
        Usado em sistemas de múltiplos níveis com dados altamente sensíveis
        
        Administradores do sistema definem os níveis de privilégio dos usuários e a política de acesso
        
        Há a construção de um sistema manipulador de múltiplos níveis de classificação entre sujeitos, nível de privilégios, e objetos, nível de sensibilidade da informação
        
        Controle de Acesso discricionário (DAC)
        
        O proprietário do recurso decide quem tem permissão de acesso em determinado recurso e qual privilégio ele tem
        
        Todo objeto nesse sistema deve ter um proprietário e os que estão sem são considerado não protegidos
        
        Os indivíduos podem pertencer a um ou mais grupos, podendo adquirir permissões cumulativas
      - Processo de Autenticação
        
        Algo que o usuário é: Impressão digital, padrão de retina, reconhecimento de assinatura
        
        Algo que o usuário tem: Cartões de identificação, smart cards, tokens USB.
        
        3. Algo que o usuário conhece: Senhas fixas, one-time passwords, sistemas de desafioresposta.
        
        Onde o usuário está: Localização GPS.
      - Processo de Autorização e Auditoria
        
        O processo de autorização determina se um usuário irá ter autorização ou não para acessar algo
        
        O processo de auditoria é um exame cuidadoso e sistemático das atividades desenvolvidas no sistema
        
        Objetivo é averiguar a qualidade no tratamento das informações, integridade, confidencialidade e disponibilidade dos dados
    - - O firewall controla a transferência de dados entre o computador e a internet
      - Diferença entre firewall e antivirus
        
        Enquanto o firewall controla o acesso ao PC ou à rede durante o fluxo de dados, o antivírus combate pragas e arquivos infectados que podem vir em arquivos ou programas baixados pelo usuário
    - - Caso da Cardsystem Solution
      - Criptografia
        
        Considerada como a ciência e a arte de escrever mensagens em forma cifrada ou em código
        
        Criptografia de chave simétrica (secreta ou única)
        
        Utiliza uma única chave para codificar e decodificar informações
        
        AES, Blowfish, RC4,
        3DES e IDEA
        
        Chave simétrica é usada para a codificação da informação
        
        Criptografia de chave assimétrica (pública)
        
        RSA, DSA, ECC e Diffie-Hellman
        
        Utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo por seu dono. Quando uma informação é codificada com uma das chaves, somente o outro chave par pode decodificá-la
        
        Chaves assimétricas é utilizada para o compartilhamento da chave secreta
        
        Função Hash
        
        Quando aplicado sobre uma informação, gera um resultado único, irreversível e de tamanho fixo, chamado Hash
        
        Pode utilizá-lo para verificar a integridade de um arquivo armazenado em seu computador ou backups; ou de um arquivo obtido da Internet e gerar assinaturas digitais
        
        SHA-1, SHA-256 e MD5
        
        Proteger os dados sigilosos armazenados em seu computador ou sistemas
        
        Proteger seus backups contra acesso indevido, principalmente aqueles enviados para áreas de armazenamento externo de mídias
        
        Proteger as comunicações realizadas pela Internet, como os e-mails enviados/recebidos e as transações bancárias e comerciais realizadas
    - - O Certificado Digital é um documento eletrônico assinado digitalmente e cumpre a função de associar uma pessoa ou entidade a uma chave pública
        
        Ele fará um usuário confiar na integridade e privacidade das informações que ali estão sendo passadas
      - O método de autenticação dos algoritmos de criptografia de chave pública operando em conjunto com uma função resumo(hash), é chamada de assinatura digital
- - - - Diretrizes
        
        O documento da política deve ter declarações relativas a
        
        Uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação;
        
        Uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio
        
        Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco
        
        Breve explanação das políticas, princípios, normas e requisitos de conformidade de
        segurança da informação específicos para a organização
        
        Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação
        
        Referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir