SlideShare uma empresa Scribd logo
1 de 27
Baixar para ler offline
Semana Cultural
Introdução a Segurança da
Informação e mecanismos de
proteção
“Informação é um ativo que, como qualquer outro
ativo importante para os negócios, tem valor para a
organização e consequentemente necessita ser
adequadamente protegida.”
NBR ISO/IEC 27002:2005
• É determinado pelo valor que o usuário dá a ela.
• Enquanto um usuário pode considerar um dado pouco
interessante, outros podem dar um valor maior ao mesmo.
• A área de negócio não pode existir sem informação
• Em TI, a informação é considerada um fator de produção
• É qualquer componente para qual a organização atribui
valor e está associado a alguma informação
• Uma organização deve determinar quais ativos podem afetar a entrega de
um produto ou serviço pela ausência ou deterioração, ou causar dano a
organização através da perda de confidencialidade, integridade ou
disponibilidade.
• Deve-se definir qual é o valor de um ativo no caso de um incidente.
Impressa ou escrita em papel
Mostrada em vídeo Armazenada eletronicamenteTransmitida por correio eletrônico
Verbal
“A forma em que a
informação se apresenta, vai
definir as medidas
necessárias a sua proteção”
Internas – informações que você não
gostaria que a concorrência soubesse
ou que impacte a área de negócio.
De clientes e fornecedores – informações que
eles não gostariam que você divulgasse.
De parceiros – informações que
necessitam ser compartilhadas com
outros parceiros comerciais.
A informação pode ser:
• Criada
• Transmitida
• Processada
• Usada
• Armazenada
• Corrompida
• Perdida
• Destruída
Segurança da Informação – é a proteção da informação
contra diversos tipos de ameaças para garantir a
continuidade dos negócios, minimizar os danos aos
negócios e maximizar o retorno dos investimentos e as
oportunidades de negócio. “ISO/IEC 27002:2005”
A Segurança da informação é constituída por um
conjunto de controles, políticas, processos,
estrutura organizacionais e normas.
Tem como objetivo a proteção da informação nos
aspectos de confidencialidade, integridade e
disponibilidade.
• Assegurar que a informação é acessível
somente as pessoas autorizadasConfidencialidade
• Proteger a exatidão e a completeza da
informação e dos métodos de
processamento
Integridade
• Assegurar que os usuários autorizados
tenham acesso a informação e ativos
associados, quando necessário
Disponibilidade
Confidencialidade
É o grau no qual o acesso à informação é restrito para determinados grupos de
pessoas autorizados a ter este acesso. Confidencialidade também inclui medidas de
proteção a privacidade.
Exemplos de medidas de confidencialidade
• Acesso a informação garantido somente onde necessário
• Empregados tomam medidas para garantir que a informação não é encontrada por
aqueles que dela não necessitam.
• Gestão de acesso lógico garante que pessoas ou processos não autorizados não
tenham acesso a sistemas automatizados, bases de dados ou programas.
• Uma separação é criada entre o sistema de desenvolvimento da organização, os
processos da organização e os usuários. Um desenvolvedor, por exemplo, não pode
alterar salários.
• Nos processos onde dados são utilizados, medidas são tomadas para garantir a
privacidade das pessoas e terceiros.
Integridade
É o grau em que a informação á atualizada sem erros. As características da
integridade são ela ser correta e completa.
Exemplos de medidas de integridade
• Mudança autorizadas de dados. Por exemplo: Alteração de um preço conforme
definido pela administração.
• As ações dos usuários são registradas e portanto pode-se determinar quem alterou
determinada informação.
• Uso de criptografia para impedir acesso a informação e assegurar sua proteção.
Disponibilidade
É o grau no qual a informação está disponível para o usuário e para o sistema de
informação que está em operação no momento em que a organização a requer.
Características de disponibilidade
• Pontualidade: o sistema de informação está disponível quando necessário
• Continuidade: a organização pode continuar trabalhando no caso de falha.
• Robustez: existe capacidade suficiente, o que permite que toda organização trabalhe
no sistema
Exemplos de medidas de disponibilidade:
• Gestão e armazenamento de dados – Ex: armazenados em rede, ao invés do HD
• Procedimentos de backup - armazenado em locais físicos diferentes
• Procedimento de emergência - garantia de que as atividades voltem a operar mais
rápido possível.
A internet tem nos proporcionado diversas facilidades
Fazer amizades Ler notícias
Diversão
Compras Transações bancárias
Riscos relacionados ao uso da internet:
Conteúdo impróprio e ofensivo
Boatos (Hoax)
Phishing PharmingInvasão de privacidade
Golpes de comércio eletrônico
Ataques relacionados a internet:
• Exploração de vulnerabilidades
• Varredura de redes (scan)
• Falsificação de email (email-spoofing)
• Interceptação de tráfego (sniffing)
• Força bruta (brute force)
• Desfiguração de páginas (Defacement)
• Negação de serviço (Denial of service)
Prevenção:
• Quanto menor a quantidade de computadores vulneráveis e infectados, menos
eficazes serão os ataques de negação de serviço.
• Quanto mais consciente dos mecanismos de segurança você estiver, menores são
as chances de sucesso do atacante.
• Quanto melhores forem as suas senhas, menores são as chances de sucesso de
ataques de força bruta
• Quanto mais os usuários usarem criptografia para proteger os dados no
computador ou internet, menores são as chances de tráfego de texto claro ser
interceptados.
Como se proteger?
Política de segurança
Contas e senhas
Criptografia
Cópias de segurança (backup) Registro de eventos (Logs)
Ferramentas antimalware
Firewall
Política de segurança
É a política que governa toda a abordagem
da organização quanto ao gerenciamento de
segurança da informação, deve cobrir todas
as áreas de segurança, ser apropriada, estar
disponível a todos os clientes, usuários e
equipe de TI e atender às necessidades do
negócio.
Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais,
como tamanho mínimo e máximo, regra de formação e periodicidade de troca.
Política de backup: define as regras sobre a realização de cópias de segurança, como tipo
de mídia utilizada, período de retenção e frequência de execução.
Política de privacidade: define como são tratadas as informações pessoais, sejam elas de
clientes, usuários ou funcionários.
Política de confidencialidade: define como são tratadas as informações institucionais, ou
seja, se elas podem ser repassadas a terceiros.
Política de uso aceitável (PUA): define as regras de uso dos recursos computacionais, os
direitos e as responsabilidades de quem os utiliza e as situações que são consideradas
abusivas.
Contas e senhas
3 mecanismos básicos de autenticação:
• Aquilo que você é. (impressão digital, voz, íris, etc)
• Aquilo que você possui. (token gerador de senhas)
• Aquilo que você sabe. (perguntas de segurança)
Identificação única de um usuário em um computador ou serviços
Contas e senhas
Cuidados a serem tomados ao usar suas contas e senhas:
• Certifique-se de não estar sendo observado ao digitar as suas senhas.
• Não forneça a sua senha para outra pessoa, em hipótese alguma.
• Certifique-se de fechar a sua sessão ao acessar sites que requeiram o uso de
senhas. (logout).
• Elabore boas senhas
• Altere as suas senhas sempre que julgar necessário
• Não use a mesma senha para todos os serviços que acessa.
• Ao usar perguntas de segurança para facilitar a recuperação de senhas, evite
escolher questões cujas respostas possam ser facilmente adivinhadas.
• Certifique-se de utilizar serviços criptografados quando o acesso a um site
envolver o fornecimento de senha.
• Procure manter sua privacidade, reduzindo a quantidade de informação que
possam ser coletados sobre você
• Seja cuidadoso ao usar a sua senha em computadores potencialmente
infectados ou comprometidos
Contas e senhas
Elaboração de senhas:
• Números aleatórios (135428907854)
• Grande quantidade de caracteres (quanto mais longa for a senha mais difícil será descobri-la)
• Diferentes tipos de caracteres (quanto mais “bagunçada” for a senha mais difícil será descobri-la)
• Selecione caracteres de uma frase
• Utilize uma frase longa (frase que faça sentido e seja fácil de memorizar)
• Faça substituição de caracteres (semelhança - w ou vv – fonética - ca ou k)
“Uma senha boa, bem elaborada, é aquela que é difícil de ser descoberta (forte) e
fácil de ser lembrada.”
Criptografia
Por meio do uso da criptografia você pode:
• Proteger os dados sigilosos armazenados no computador
• Criar uma partição específica, onde as informações que forem gravadas serão
automaticamente criptografadas
• Proteger comunicações realizadas na internet
Tipos de criptografia:
• Criptografia de chave simétrica : utiliza uma mesma chave para codificar e descodificar.
• Criptografia de chaves assimétricas: utiliza duas chaves distintas, uma pública e uma privada.
• Assinatura digital: usa chave privada e chave pública, porém a codificação é feita no hash.
• Certificado digital: registro eletrônico composto por um conjunto de dados que destingue um
entidade e associa a ela uma chave pública. Pode ser emitido por empresas, serviços,
equipamentos.
Firewall
“Utilizado para proteger o computador
contra acessos não autorizados vindos
da internet”
O firewall é capaz de:
• Registrar as tentativas de acesso aos
serviços habilitados no seu computador
• Bloquear o envio para terceiros de
informações coletadas por invasores
• Bloquear tentativas de invasão e
exploração de vulnerabilidades
• Analisar continuamente o conteúdo das
conexões
Ferramentas antimalware
São aquelas que procuram detectar, anular e remover os códigos maliciosos de um
computador.
EX: Antivírus, antispyware, antirootkit, antitrojan, etc.
Diferenças entre si:
• Método de detecção: assinatura (procura de padrões), heurística (características que
um código possui), comportamento ( quando executado).
• Forma de obtenção: gratuitos, experimentais, pagos.
• Execução: podem ser instalados em computador ou executados sob demanda
• Funcionalidades apresentadas: além das funções básicas (detectar, anular e remover
códigos maliciosos) podem apresentar outras funções integradas, como firewall pessoal,
backup e recovery, etc.
Cuidados a serem tomados:
• Tenha um antimalware instalado em seu computador
• Configure o antimalware para verificar toda e qualquer extensão de arquivo
• Configure o antimalware para verificar automaticamente arquivos em e-mails ou da internet
• Mantenha o antimalware sempre atualizado.
• Evite executar mais de um antimalware ao mesmo tempo
Registro de eventos (Logs)
Logs é o registro de atividades gerado por programas e serviços de um computador.
A partir da análise de logs você é capaz de:
• Detectar o uso indevido do seu computador,
como um usuário tentando acessar arquivos
de outro usuário, ou alterar arquivos de
sistema.
• Detectar um ataque, como força bruta ou a
exploração de alguma vulnerabilidade
• Rastrear as ações executados por um
usuário no seu computador, como
programas utilizados, comandos executados
e tempo de uso do sistema.
• Detectar programas de hardware ou no
programas e serviços instalados
Logs são essenciais para notificação de incidentes, pois permitem que diversas informações
importantes sejam detectadas. Ex: data e horário de uma atividade, endereço IP, portas
envolvidas e protocolos de rede.
Cópias de segurança (backup)
Backups são extremamente importantes, pois permitem:
• Proteção dos dados: você pode preservar seus dados para que sejam recuperados em
situações como falha de disco rígido, atualização mal sucedida, exclusão ou substituição
acidental de arquivos.
• Recuperação de versões: você pode recuperar uma versão antiga de um arquivo alterado
• Arquivamento: você pode copiar ou mover dados que deseja ou que precisa guardar.
Cuidados a serem tomados com seus backups:
• Mantenha seus backups atualizados, de acordo com a frequência de alteração dos
dados;
• Mantenha seus backups em locais seguros, bem condicionados e com acesso restrito;
• Configure para que seus backups sejam realizados automaticamente e certifique-se de
que eles estejam realmente sendo feitos;
• Faça backup antes de efetuar grandes alterações no sistema;
• Armazene dados sensíveis em formato criptografado;
Introdução a Segurança da Informação e mecanismos de Proteção

Mais conteúdo relacionado

Mais procurados

A Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOA Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOSandu Postolachi
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Estrutura de Dados - Aula 02 - Estrutura de Dados e TAD
Estrutura de Dados - Aula 02 - Estrutura de Dados e TADEstrutura de Dados - Aula 02 - Estrutura de Dados e TAD
Estrutura de Dados - Aula 02 - Estrutura de Dados e TADLeinylson Fontinele
 
Gestão Da Informação
Gestão Da InformaçãoGestão Da Informação
Gestão Da InformaçãoFelipe Goulart
 
Aplicativos Informatizados - Profª Alessandra
Aplicativos Informatizados - Profª AlessandraAplicativos Informatizados - Profª Alessandra
Aplicativos Informatizados - Profª AlessandraAlessandra França
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosLuis Borges Gouveia
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Introducao Base Dados Ii
Introducao Base Dados IiIntroducao Base Dados Ii
Introducao Base Dados Iiguest3118b2
 
Segurança em Banco de Dados
Segurança em Banco de DadosSegurança em Banco de Dados
Segurança em Banco de DadosIorgama Porcely
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAMaraLuizaGonalvesFre
 
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerCriando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerEdenilton Michael
 
MC - Aula 05 - Memória e Dispositivos de Armazenamento
MC - Aula 05 - Memória e Dispositivos de ArmazenamentoMC - Aula 05 - Memória e Dispositivos de Armazenamento
MC - Aula 05 - Memória e Dispositivos de ArmazenamentoFelipe J. R. Vieira
 

Mais procurados (20)

A Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOA Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SO
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
Estrutura de Dados - Aula 02 - Estrutura de Dados e TAD
Estrutura de Dados - Aula 02 - Estrutura de Dados e TADEstrutura de Dados - Aula 02 - Estrutura de Dados e TAD
Estrutura de Dados - Aula 02 - Estrutura de Dados e TAD
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Aula 1
Aula 1Aula 1
Aula 1
 
Gestão Da Informação
Gestão Da InformaçãoGestão Da Informação
Gestão Da Informação
 
Aplicativos Informatizados - Profª Alessandra
Aplicativos Informatizados - Profª AlessandraAplicativos Informatizados - Profª Alessandra
Aplicativos Informatizados - Profª Alessandra
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafios
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Introducao Base Dados Ii
Introducao Base Dados IiIntroducao Base Dados Ii
Introducao Base Dados Ii
 
Segurança em Banco de Dados
Segurança em Banco de DadosSegurança em Banco de Dados
Segurança em Banco de Dados
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
 
CD_B2_A.pptx
CD_B2_A.pptxCD_B2_A.pptx
CD_B2_A.pptx
 
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet TracerCriando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
Criando rede WLAN e SERVIDOR DNS E HTTP no Packet Tracer
 
MC - Aula 05 - Memória e Dispositivos de Armazenamento
MC - Aula 05 - Memória e Dispositivos de ArmazenamentoMC - Aula 05 - Memória e Dispositivos de Armazenamento
MC - Aula 05 - Memória e Dispositivos de Armazenamento
 

Destaque

Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05 Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05 sucesuminas
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosVaine Luiz Barreira, MBA
 
(Transformar 16) aspectos financeiros 2.1
(Transformar 16) aspectos financeiros 2.1(Transformar 16) aspectos financeiros 2.1
(Transformar 16) aspectos financeiros 2.1Ink_conteudos
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Segurança da informação: Proteja seu Escritório de Contabilidade
Segurança da informação: Proteja seu Escritório de ContabilidadeSegurança da informação: Proteja seu Escritório de Contabilidade
Segurança da informação: Proteja seu Escritório de ContabilidadeNibo
 
SLIDES serviço social- metodologia para melhoria da gestão em organização do ...
SLIDES serviço social- metodologia para melhoria da gestão em organização do ...SLIDES serviço social- metodologia para melhoria da gestão em organização do ...
SLIDES serviço social- metodologia para melhoria da gestão em organização do ...Rosane Domingues
 
COMUNICAÇÃO SEGURA USANDO A CRIPTOGRAFIA PARA PROTEGER INFORMAÇÕES SENSÍVEIS
COMUNICAÇÃO SEGURA USANDO A CRIPTOGRAFIA PARA PROTEGER INFORMAÇÕES SENSÍVEISCOMUNICAÇÃO SEGURA USANDO A CRIPTOGRAFIA PARA PROTEGER INFORMAÇÕES SENSÍVEIS
COMUNICAÇÃO SEGURA USANDO A CRIPTOGRAFIA PARA PROTEGER INFORMAÇÕES SENSÍVEISkozmisk
 

Destaque (10)

Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05 Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
Segurança da Informação e Estrutura de Redes - Café Empresarial 15/05
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL Security
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscos
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB Santos
 
(Transformar 16) aspectos financeiros 2.1
(Transformar 16) aspectos financeiros 2.1(Transformar 16) aspectos financeiros 2.1
(Transformar 16) aspectos financeiros 2.1
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Segurança da informação: Proteja seu Escritório de Contabilidade
Segurança da informação: Proteja seu Escritório de ContabilidadeSegurança da informação: Proteja seu Escritório de Contabilidade
Segurança da informação: Proteja seu Escritório de Contabilidade
 
SLIDES serviço social- metodologia para melhoria da gestão em organização do ...
SLIDES serviço social- metodologia para melhoria da gestão em organização do ...SLIDES serviço social- metodologia para melhoria da gestão em organização do ...
SLIDES serviço social- metodologia para melhoria da gestão em organização do ...
 
Aula inaugural strong
Aula inaugural strongAula inaugural strong
Aula inaugural strong
 
COMUNICAÇÃO SEGURA USANDO A CRIPTOGRAFIA PARA PROTEGER INFORMAÇÕES SENSÍVEIS
COMUNICAÇÃO SEGURA USANDO A CRIPTOGRAFIA PARA PROTEGER INFORMAÇÕES SENSÍVEISCOMUNICAÇÃO SEGURA USANDO A CRIPTOGRAFIA PARA PROTEGER INFORMAÇÕES SENSÍVEIS
COMUNICAÇÃO SEGURA USANDO A CRIPTOGRAFIA PARA PROTEGER INFORMAÇÕES SENSÍVEIS
 

Semelhante a Introdução a Segurança da Informação e mecanismos de Proteção

Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informaçãoneemiaslopes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAdilmar Dantas
 
T.A.R Aula 3 (1ª Unidade)
T.A.R Aula 3 (1ª Unidade)T.A.R Aula 3 (1ª Unidade)
T.A.R Aula 3 (1ª Unidade)Cleiton Cunha
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação2015s
 
Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula   seguranca da informacao - politica de segurança da informaçãoNota de aula   seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informaçãofelipetsi
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Diego BBahia
 
Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024paulohunter8636
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASAdriano Teixeira de Souza
 
Segurança da Informação - Políticas de Segurança
Segurança da Informação - Políticas de SegurançaSegurança da Informação - Políticas de Segurança
Segurança da Informação - Políticas de SegurançaNatanael Simões
 
Aula01 introdução à segurança
Aula01   introdução à segurançaAula01   introdução à segurança
Aula01 introdução à segurançaCarlos Veiga
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosCIJUN
 

Semelhante a Introdução a Segurança da Informação e mecanismos de Proteção (20)

Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
SDI Aula 1
SDI Aula 1SDI Aula 1
SDI Aula 1
 
T.A.R Aula 3 (1ª Unidade)
T.A.R Aula 3 (1ª Unidade)T.A.R Aula 3 (1ª Unidade)
T.A.R Aula 3 (1ª Unidade)
 
Crea seguranca
Crea segurancaCrea seguranca
Crea seguranca
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula   seguranca da informacao - politica de segurança da informaçãoNota de aula   seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informação
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAASSistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
Sistemas Distribuídos - Aspectos de Segurança em Sistemas Distribuídos e JAAS
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Segurança da Informação - Políticas de Segurança
Segurança da Informação - Políticas de SegurançaSegurança da Informação - Políticas de Segurança
Segurança da Informação - Políticas de Segurança
 
Aula01 introdução à segurança
Aula01   introdução à segurançaAula01   introdução à segurança
Aula01 introdução à segurança
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dados
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
 

Mais de Neemias Lopes

Novas tecnologias -profissões do futuro
Novas tecnologias -profissões do futuroNovas tecnologias -profissões do futuro
Novas tecnologias -profissões do futuroNeemias Lopes
 
Project Management Essentials Certified - PMEC
Project Management Essentials Certified - PMECProject Management Essentials Certified - PMEC
Project Management Essentials Certified - PMECNeemias Lopes
 
Microsoft Technology Associate: Security Fundamentals
Microsoft Technology Associate: Security FundamentalsMicrosoft Technology Associate: Security Fundamentals
Microsoft Technology Associate: Security FundamentalsNeemias Lopes
 
Microsoft Certified Professional
Microsoft Certified ProfessionalMicrosoft Certified Professional
Microsoft Certified ProfessionalNeemias Lopes
 
ITIL Foundation Certificate in IT Service Management
ITIL Foundation Certificate in IT Service ManagementITIL Foundation Certificate in IT Service Management
ITIL Foundation Certificate in IT Service ManagementNeemias Lopes
 
Information security foundation based on isoiec 27001
Information security foundation based on isoiec 27001Information security foundation based on isoiec 27001
Information security foundation based on isoiec 27001Neemias Lopes
 

Mais de Neemias Lopes (6)

Novas tecnologias -profissões do futuro
Novas tecnologias -profissões do futuroNovas tecnologias -profissões do futuro
Novas tecnologias -profissões do futuro
 
Project Management Essentials Certified - PMEC
Project Management Essentials Certified - PMECProject Management Essentials Certified - PMEC
Project Management Essentials Certified - PMEC
 
Microsoft Technology Associate: Security Fundamentals
Microsoft Technology Associate: Security FundamentalsMicrosoft Technology Associate: Security Fundamentals
Microsoft Technology Associate: Security Fundamentals
 
Microsoft Certified Professional
Microsoft Certified ProfessionalMicrosoft Certified Professional
Microsoft Certified Professional
 
ITIL Foundation Certificate in IT Service Management
ITIL Foundation Certificate in IT Service ManagementITIL Foundation Certificate in IT Service Management
ITIL Foundation Certificate in IT Service Management
 
Information security foundation based on isoiec 27001
Information security foundation based on isoiec 27001Information security foundation based on isoiec 27001
Information security foundation based on isoiec 27001
 

Último

Apresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdfApresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdfCarlos Gomes
 
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Dirceu Resende
 
Certificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdfCertificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdfLarissa Souza
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAMarcio Venturelli
 
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)Alessandro Almeida
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfRodolpho Concurde
 

Último (6)

Apresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdfApresentação Comercial VITAL DATA 2024.pdf
Apresentação Comercial VITAL DATA 2024.pdf
 
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
 
Certificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdfCertificado - Data Analytics - CoderHouse.pdf
Certificado - Data Analytics - CoderHouse.pdf
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
 
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
 

Introdução a Segurança da Informação e mecanismos de Proteção

  • 1. Semana Cultural Introdução a Segurança da Informação e mecanismos de proteção
  • 2. “Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e consequentemente necessita ser adequadamente protegida.” NBR ISO/IEC 27002:2005 • É determinado pelo valor que o usuário dá a ela. • Enquanto um usuário pode considerar um dado pouco interessante, outros podem dar um valor maior ao mesmo. • A área de negócio não pode existir sem informação • Em TI, a informação é considerada um fator de produção
  • 3. • É qualquer componente para qual a organização atribui valor e está associado a alguma informação • Uma organização deve determinar quais ativos podem afetar a entrega de um produto ou serviço pela ausência ou deterioração, ou causar dano a organização através da perda de confidencialidade, integridade ou disponibilidade. • Deve-se definir qual é o valor de um ativo no caso de um incidente.
  • 4. Impressa ou escrita em papel Mostrada em vídeo Armazenada eletronicamenteTransmitida por correio eletrônico Verbal “A forma em que a informação se apresenta, vai definir as medidas necessárias a sua proteção”
  • 5. Internas – informações que você não gostaria que a concorrência soubesse ou que impacte a área de negócio. De clientes e fornecedores – informações que eles não gostariam que você divulgasse. De parceiros – informações que necessitam ser compartilhadas com outros parceiros comerciais.
  • 6. A informação pode ser: • Criada • Transmitida • Processada • Usada • Armazenada • Corrompida • Perdida • Destruída
  • 7. Segurança da Informação – é a proteção da informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio. “ISO/IEC 27002:2005” A Segurança da informação é constituída por um conjunto de controles, políticas, processos, estrutura organizacionais e normas. Tem como objetivo a proteção da informação nos aspectos de confidencialidade, integridade e disponibilidade.
  • 8. • Assegurar que a informação é acessível somente as pessoas autorizadasConfidencialidade • Proteger a exatidão e a completeza da informação e dos métodos de processamento Integridade • Assegurar que os usuários autorizados tenham acesso a informação e ativos associados, quando necessário Disponibilidade
  • 9. Confidencialidade É o grau no qual o acesso à informação é restrito para determinados grupos de pessoas autorizados a ter este acesso. Confidencialidade também inclui medidas de proteção a privacidade. Exemplos de medidas de confidencialidade • Acesso a informação garantido somente onde necessário • Empregados tomam medidas para garantir que a informação não é encontrada por aqueles que dela não necessitam. • Gestão de acesso lógico garante que pessoas ou processos não autorizados não tenham acesso a sistemas automatizados, bases de dados ou programas. • Uma separação é criada entre o sistema de desenvolvimento da organização, os processos da organização e os usuários. Um desenvolvedor, por exemplo, não pode alterar salários. • Nos processos onde dados são utilizados, medidas são tomadas para garantir a privacidade das pessoas e terceiros.
  • 10. Integridade É o grau em que a informação á atualizada sem erros. As características da integridade são ela ser correta e completa. Exemplos de medidas de integridade • Mudança autorizadas de dados. Por exemplo: Alteração de um preço conforme definido pela administração. • As ações dos usuários são registradas e portanto pode-se determinar quem alterou determinada informação. • Uso de criptografia para impedir acesso a informação e assegurar sua proteção.
  • 11. Disponibilidade É o grau no qual a informação está disponível para o usuário e para o sistema de informação que está em operação no momento em que a organização a requer. Características de disponibilidade • Pontualidade: o sistema de informação está disponível quando necessário • Continuidade: a organização pode continuar trabalhando no caso de falha. • Robustez: existe capacidade suficiente, o que permite que toda organização trabalhe no sistema Exemplos de medidas de disponibilidade: • Gestão e armazenamento de dados – Ex: armazenados em rede, ao invés do HD • Procedimentos de backup - armazenado em locais físicos diferentes • Procedimento de emergência - garantia de que as atividades voltem a operar mais rápido possível.
  • 12.
  • 13. A internet tem nos proporcionado diversas facilidades Fazer amizades Ler notícias Diversão Compras Transações bancárias
  • 14. Riscos relacionados ao uso da internet: Conteúdo impróprio e ofensivo Boatos (Hoax) Phishing PharmingInvasão de privacidade Golpes de comércio eletrônico
  • 15. Ataques relacionados a internet: • Exploração de vulnerabilidades • Varredura de redes (scan) • Falsificação de email (email-spoofing) • Interceptação de tráfego (sniffing) • Força bruta (brute force) • Desfiguração de páginas (Defacement) • Negação de serviço (Denial of service) Prevenção: • Quanto menor a quantidade de computadores vulneráveis e infectados, menos eficazes serão os ataques de negação de serviço. • Quanto mais consciente dos mecanismos de segurança você estiver, menores são as chances de sucesso do atacante. • Quanto melhores forem as suas senhas, menores são as chances de sucesso de ataques de força bruta • Quanto mais os usuários usarem criptografia para proteger os dados no computador ou internet, menores são as chances de tráfego de texto claro ser interceptados.
  • 16.
  • 17. Como se proteger? Política de segurança Contas e senhas Criptografia Cópias de segurança (backup) Registro de eventos (Logs) Ferramentas antimalware Firewall
  • 18. Política de segurança É a política que governa toda a abordagem da organização quanto ao gerenciamento de segurança da informação, deve cobrir todas as áreas de segurança, ser apropriada, estar disponível a todos os clientes, usuários e equipe de TI e atender às necessidades do negócio. Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca. Política de backup: define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução. Política de privacidade: define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários. Política de confidencialidade: define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros. Política de uso aceitável (PUA): define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas.
  • 19. Contas e senhas 3 mecanismos básicos de autenticação: • Aquilo que você é. (impressão digital, voz, íris, etc) • Aquilo que você possui. (token gerador de senhas) • Aquilo que você sabe. (perguntas de segurança) Identificação única de um usuário em um computador ou serviços
  • 20. Contas e senhas Cuidados a serem tomados ao usar suas contas e senhas: • Certifique-se de não estar sendo observado ao digitar as suas senhas. • Não forneça a sua senha para outra pessoa, em hipótese alguma. • Certifique-se de fechar a sua sessão ao acessar sites que requeiram o uso de senhas. (logout). • Elabore boas senhas • Altere as suas senhas sempre que julgar necessário • Não use a mesma senha para todos os serviços que acessa. • Ao usar perguntas de segurança para facilitar a recuperação de senhas, evite escolher questões cujas respostas possam ser facilmente adivinhadas. • Certifique-se de utilizar serviços criptografados quando o acesso a um site envolver o fornecimento de senha. • Procure manter sua privacidade, reduzindo a quantidade de informação que possam ser coletados sobre você • Seja cuidadoso ao usar a sua senha em computadores potencialmente infectados ou comprometidos
  • 21. Contas e senhas Elaboração de senhas: • Números aleatórios (135428907854) • Grande quantidade de caracteres (quanto mais longa for a senha mais difícil será descobri-la) • Diferentes tipos de caracteres (quanto mais “bagunçada” for a senha mais difícil será descobri-la) • Selecione caracteres de uma frase • Utilize uma frase longa (frase que faça sentido e seja fácil de memorizar) • Faça substituição de caracteres (semelhança - w ou vv – fonética - ca ou k) “Uma senha boa, bem elaborada, é aquela que é difícil de ser descoberta (forte) e fácil de ser lembrada.”
  • 22. Criptografia Por meio do uso da criptografia você pode: • Proteger os dados sigilosos armazenados no computador • Criar uma partição específica, onde as informações que forem gravadas serão automaticamente criptografadas • Proteger comunicações realizadas na internet Tipos de criptografia: • Criptografia de chave simétrica : utiliza uma mesma chave para codificar e descodificar. • Criptografia de chaves assimétricas: utiliza duas chaves distintas, uma pública e uma privada. • Assinatura digital: usa chave privada e chave pública, porém a codificação é feita no hash. • Certificado digital: registro eletrônico composto por um conjunto de dados que destingue um entidade e associa a ela uma chave pública. Pode ser emitido por empresas, serviços, equipamentos.
  • 23. Firewall “Utilizado para proteger o computador contra acessos não autorizados vindos da internet” O firewall é capaz de: • Registrar as tentativas de acesso aos serviços habilitados no seu computador • Bloquear o envio para terceiros de informações coletadas por invasores • Bloquear tentativas de invasão e exploração de vulnerabilidades • Analisar continuamente o conteúdo das conexões
  • 24. Ferramentas antimalware São aquelas que procuram detectar, anular e remover os códigos maliciosos de um computador. EX: Antivírus, antispyware, antirootkit, antitrojan, etc. Diferenças entre si: • Método de detecção: assinatura (procura de padrões), heurística (características que um código possui), comportamento ( quando executado). • Forma de obtenção: gratuitos, experimentais, pagos. • Execução: podem ser instalados em computador ou executados sob demanda • Funcionalidades apresentadas: além das funções básicas (detectar, anular e remover códigos maliciosos) podem apresentar outras funções integradas, como firewall pessoal, backup e recovery, etc. Cuidados a serem tomados: • Tenha um antimalware instalado em seu computador • Configure o antimalware para verificar toda e qualquer extensão de arquivo • Configure o antimalware para verificar automaticamente arquivos em e-mails ou da internet • Mantenha o antimalware sempre atualizado. • Evite executar mais de um antimalware ao mesmo tempo
  • 25. Registro de eventos (Logs) Logs é o registro de atividades gerado por programas e serviços de um computador. A partir da análise de logs você é capaz de: • Detectar o uso indevido do seu computador, como um usuário tentando acessar arquivos de outro usuário, ou alterar arquivos de sistema. • Detectar um ataque, como força bruta ou a exploração de alguma vulnerabilidade • Rastrear as ações executados por um usuário no seu computador, como programas utilizados, comandos executados e tempo de uso do sistema. • Detectar programas de hardware ou no programas e serviços instalados Logs são essenciais para notificação de incidentes, pois permitem que diversas informações importantes sejam detectadas. Ex: data e horário de uma atividade, endereço IP, portas envolvidas e protocolos de rede.
  • 26. Cópias de segurança (backup) Backups são extremamente importantes, pois permitem: • Proteção dos dados: você pode preservar seus dados para que sejam recuperados em situações como falha de disco rígido, atualização mal sucedida, exclusão ou substituição acidental de arquivos. • Recuperação de versões: você pode recuperar uma versão antiga de um arquivo alterado • Arquivamento: você pode copiar ou mover dados que deseja ou que precisa guardar. Cuidados a serem tomados com seus backups: • Mantenha seus backups atualizados, de acordo com a frequência de alteração dos dados; • Mantenha seus backups em locais seguros, bem condicionados e com acesso restrito; • Configure para que seus backups sejam realizados automaticamente e certifique-se de que eles estejam realmente sendo feitos; • Faça backup antes de efetuar grandes alterações no sistema; • Armazene dados sensíveis em formato criptografado;