Segurança da Informação - Introdução

[Música] Olá pessoal a gente vai iniciar o curso de segurança de informação né nesta primeira semana e a primeira vídeo aula será uma introdução sobre os aspectos relacionados à segurança da informação os mais diversos ambos né ponto de vista de software de hardware de ambiente de computação tá então para vocês terem uma ideia do nosso roteiro né é o primeiro passo é trazer alguns conceitos fundamentais acerca da segurança da informação né seguido da importância da informação Nesse contexto né o que que vem ser a segurança da informação e como que a informação é discutida em

que sentido isso pode ser viabilizado com justiça de segurança tá que vencer a segurança da informação os principais pilares da segurança da informação então algumas alguns Pilares que nós vamos discutir tá embora não não devemos ficar re só as Pilares que há muitos outros inclusive para serem discutidos na disciplina tá com outro ponto importante fundamental quando a gente fala de segurança da informação é tratado às vulnerabilidades e ameaças relacionadas à segurança de um ambiente computacional Então a gente vai discutir algumas coisas relacionadas por exemplo ataques tipos de vírus malwares né são softwares maliciosos enfim para

finalizar os tipos de ataques mais comuns envolvendo a segurança da informação em ambiente local em ambiente remoto na última semana a gente deve tratar um pouco sobre as questões de segurança no universo de computação e nuvem e também no universo de internet das coisas tá bom e também os incidentes mais frequentes de segurança que nós abordamos né e conseguimos visualizar no contexto atual né então tem uma um chama certinho né é o centro de resposta incidentes ataque e segurança aqui no Brasil né então eu vou trazer alguns números relacionados aos incidentes mais comuns de segurança

da informação no ambiente computacional bom os conceitos fundamentais né que vem ser qual a importância da informação né na segurança tá bom a informação ela é a marca diversas atributos no cotidiano do ser humano né então através da informação a gente de cidadania a gente adquirir cultura desenvolvimento profissional desenvolvimento pessoal e social tá não é à toa que é com a questão da segurança ela precisa ser dobrada né então nós vamos informação para fazer Praticamente tudo hoje né então a gente usa informação para ter acesso uma conta bancária online para fazer pagamentos para passear para

se divertir para comprar passagem aérea né para fazer diversos movimentações financeiras tá então a informação ela é importantíssima e ela precisa um ponto de vista de integridade do ponto de vista de autenticidade e confiabilidade que são Pilares que nós vamos estudar nessa disciplina tá então com ela também a gente aprende a ser competitivo né quem tem informação tem poder né então a informação é relevantíssima tá bom reforçando né A informação sinaliza é muito poder dependendo do tipo de informação que você possui ou você pode ter muito poder bom proteger a informação é fundamental em várias

Vertentes né na primeira delas a organizacional né então do ponto de vista de comércio do ponto de vista de patentes de direito né então Há muitas informações são se protegidas informações trocadas entre organizações entre bancos entre países entre países e pessoas né entre governos e pessoas entre pessoas Ah então um aplicativo que usa de altura na mente para trocar mensagens seus familiares né as informações trocadas e trafegadas em uma rede né das proporções da internet ela precisa ser protegida tá então nós vamos discutir um pouco sobre um aspecto de proteção da informação né que envolve

a criptografia né que é uma técnica preponderante para proteção das informações em diversos anos tá também é um aspecto legal tá que tem relação com direito de propriedade né e responsabilidade por atos praticados tá Então dependendo do que você faz com informação você pode ser responsabilidade responsabilizado né inclusive criminalmente né civilmente por conta de adulterar uma informação ou ter acesso a uma informação que você não deveria ter tido Então e o aspecto também pessoal tá como que eu garanto né que as informações trocadas podem ser analisadas ou as informações as minhas informações ser usadas sem

me identificar tá é alguns aspectos que isso é importante tá e como é que eu garanto por privacidade né das informações trocadas numa rede das proporções de internet né que é uma rede de computadores é muito grande muito vasto né então Esse aspecto de privacidade é muito importante né E existe uma relação muito grande né com a uma lei recentemente aprovada aqui no Brasil que a lei geral de proteção de dados né que preconiza Inclusive a questão da privacidade Como que o usuário como é que as empresas precisam garantir privacidade dos dados trocados desses usuários

nos seus ambientes computacionais tá e uma outra esfera né para finalizar esfera política e administrativa tá que envolve nos ensina informação a transparência né sobre os métodos utilizados para armazenar informação do usuário para propagar essa informação é para protegê-la né incluindo informações estratégicas né tanto de uma organização né de uma empresa independente do seu porte quanto informações dos países tá Então veja que esses aspectos né organizacional legal pessoal e político administrativo são importantíssimo quando inclusive né você sendo responsável pela definição da política de informação de uma organização de uma empresa é tenha que ter todo

esse essa visão né levar em consideração todos esses aspectos tá a proteção da informação não está relacionado só a proteger os dados mas em como eles são protegidos de maneira geral bom é muito complexo lidar com informação no contexto atual né porque ela envolve quantidade né Há muita informação né armazenada em diversos ambientes computacionais sejam eles restritos né se joelhos abertos há muita disponibilidade de acesso a dados a múltiplas fontes geradoras de dados né Então você é de posse o seu celular gera dados de forma muito contínua né e uma pergunta que nós devemos fazer

é para onde esses dados estão indo né quem os manipula de que forma como eles são guardados como eles são utilizados para gerar produtos que você em algum momento deve consumir tá tem Esse aspecto inclusive tá é há outro aspecto também que o acesso à informação hoje ela é democratizado né então a Ampla coletividade nós podemos escolher provedores de serviços provedores de conteúdo provedores de meios físicos né tão provedores de fibra ótica de provedores permitem acesso à rede sem fio né Há diversos dispositivos tá a dispositivos que geram e armazenam dados que custam da ordem

de r$ 10 por exemplo aqui no mercado brasileiro né que consegue por exemplo adquirir um endereço e o endereço IP se conectar à internet tá ou armazenados adversas tecnologias envolvidas no aspecto do tráfego e da do armazenamento da informação né e diversos meios né então é uma forma de trocar informação via aérea né através de rede sem fio rede celulares ou por meio de Campos né cabos especialmente atualmente o cabeamento de fibra ótica né para transferência de dados em alta velocidade Então veja que a complexidade da informação né e de modo geral também da segurança

informação tem relação com tudo isso tô te relação com a quantidade quanto à disponibilidade com o meio né de acesso ao mesmo tempo né que a internet potencializa o acesso à informação né ela também é potencializa vulnerabilidade tá então quanto mais acesso você tem informação mais dados você deixa disponível e mais inseguro você tende a ficar tá então nós costumam dizer que quem é da área de segurança se você quer deseja 100% segurança não esteja conectado tá então é praticamente impossível adquirir segurança 100% e um e-mail vasto gigante disponível né com vários problemas que é

uma rede das proporções na internet porque nós fazemos né quem trabalha com segurança tenta Minimizar e mitigar os problemas né garantindo segurança em nível adequados para as habilidades Bom Há muitas ferramentas né da mesma forma que a internet potencializa o acesso né democratiza o acesso à informação ela também democrativa democratiza o acesso à ferramentas de potenciais atacantes né e de pessoas mal intencionadas que desejam roubar informações né com diversas finalidades tá então muitas ferramentas que podem ser utilizadas para seminário ataques a grande site são grandes produtores de conteúdos a própria rede de Comunicação tá bom

o que que venceu a segurança de informação então todo esse contexto tá bom a segunda informação ela é um termo utilizado com um objetivo de assegurar que uma organização alcance suas metas né desenvolvendo sistemas considerando os riscos da tecnologia de informação tá pra própria organização em primeiro lugar e também para o usuários e parceiros que fazem parte dessa organização tá então é muito comum hoje a softwares né e aplicações disponíveis na web né que que conversam né que se conectam com o parceiro né então quando você compra um livro um site né de venda de

livros né um sistema de comércio eletrônico modo geral há diversos parceiros e um em particular é aquele parceiro que que desenvolve um módulo desse sistema que é responsável por fazer o pagamento né que intermediar o seu pagamento via o cartão a operadora do cartão de crédito junto com a o sistema do seu banco né então há diversos parceiros e há uma preocupação em particular não só no desenvolvimento da solução mas em como intercambiarra dados com o parceiro né esse parceiro que desenvolve esse módulo para fazer pagamento online ele é confiável ele ele desenvolve a solução

considerando boas práticas de segurança de informação isso é um aspecto relevante a segurança da informação ela deve auxiliar para que informações sigilosas sejam acessadas somente por pessoas autorizadas né então só pessoas autorizadas podem acessar as informações tá então isso é muito importante né é que se que a gente leva em consideração né o acesso à informação deve ser feito só para quem por quem tem autorização para tal finalidade a segurança de informação ela também permite construir políticas e métodos que são empregados na troca de dados confidenciais tá então a gente vai abordar ao longo da

disciplina né aspectos relacionados autenticação autorização confidencialidade né um termo também é bastante utilizado e retratabilidade ou não repúdio tá a gente deve ver isso em breve a segurança também é responsável por se preocupar com o uso dos sistemas que colocam em rico em riscos requisitos de segurança então a segurança da informação ela envolve todo um ecossistema né que é de modo geral né e primeiramente é marcado por políticas de segurança tá então é as políticas de segurança elas definem por exemplo se a organização vai usar filtro de pacotes você não vai usar Web proxy se

vai usar vários baseado em aplicação se vai utilizar algum sistema de detecção de inclusão se vai usar Honda hipótese enfim tá então a política La Barca diversas nuances inclusive uma delas que é a questão do usuário né quem é o usuário né Quais as peças relacionadas do usuário o que que ele pode fazer por que que ele não pode fazer em determinadas circunstâncias bom a gente falou da segurança falou da informação né para toda a questão da informação e da segurança das informações né discutimos a dificuldade de lidar com informação e consequentemente com a segurança

em função da disponibilidade da variabilidade dos dados dos meses de acesso Tá mas alguns Pilares que precisam ser levados em consideração quando nós falamos de segurança tá basicamente envolve três fundamentos tá o primeiro deles é a disponibilidade tá então a informação não precisa estar disponível tá e há alguns ataques no âmbito da informação né que podem levar a indisponibilidade de sistemas tá Então nesse momento que você assiste essa vídeo aula houve um determinado ataque ou uma um grande grupo de comércio eletrônico no Brasil né que deixou os sistemas indisponíveis por um período né nesse momento

basicamente dois tá então é o tipo de ataque que pode deixar indisponível esses sistemas né que faz com que os usuários não consigam fazer alguma compra ou aqueles que compraram não conseguem saber se vão receber o produto e quando tá então é um pilar muito importante como garantir a disponibilidade do sistemas e Isso inclui hardware inclui software Onde estão localizados esses esses hardwares né esses servidores ou centros de dados que armazena as informações usuários dos produtos e dos parceiros tá um outro Pilar também relevante é integridade tá é integridade tanto dos dados né quanto o

quanto é aquele dado confiava é ele a ponto dele não ter sido modificado tá então nós é um usuário faz a transferência de um ponto a para um ponto b com um arquivo de determinado tamanho né na origem e o usuário B deseja receber esse arquivo né de forma íntima com o mesmo tamanho como garantir que esse arquivo não foi adulterado de modo que ele aumentou de tamanho ou diminuiu de tamanho por exemplo Então como garantir que ele não foi modificado e por fim a confidencialidade que está relacionado aos dados informações do sistema tá então

a confidencialidade ela é importante para a proteção dos dados né contra acesso não autorizado tá então esses são basicamente os três pilares né fundamentais tá e a toda tudo que nós vamos aprender ao longo da disciplina vai nos remeter a esses Pilares né quando a gente vai falando de criptografia os tipos de fotografia e por aí vai tá bom a confiança realidade ela trata do sigilo da informação tá então muitos dados né precisam ser mantidos em segredo tá em especial aqueles privados Então tem alguma informação que é um desejo que seja exposta né para um

terceiro É para um outro usuário ou para uma organização tá por exemplo os dados de um prontuário médico então o quanto quantos hospitais né os plano de saúde por exemplo estão preparados para garantir que os exames médicos que nós fazemos né não sejam vazados pela internet por exemplo tá então como garantir o sigilo daquele exame que eu faço que detectou por exemplo alguma comorbidade né alguma doença né E aquela aquela informação só deve ser do médico e do paciente e mais ninguém então quem é responsável pelo sistema de informação né e pela segurança de informação

das dos sistemas né do plano de saúde por exemplo tem que se responsabilizar por isso né Precisa adotar medidas que garantem o sigilo da informação tá um outro aspecto é a por exemplo um exemplo aqui no caso da confidencialidade né que eu acabei de mostrar que é a questão dos dados do paciente o Pilar da integridade né é preconiza que os dados não podem ser alterados sem autorização tá então se eu sou responsável por um determinado conjunto de dados né E só eu tenho autorização para acessá-lo mas ninguém pode fazer tá por exemplo um dado

Considerando o fluxo de informação que nós temos na internet né ele pode ser alterado no transporte ou na comunicação de um ponto a outro ele pode ser alterado no armazenamento né então quem registra esse esse dado né tem que garantir que ele não vai ser acessado por alguém que não tem autorização para tal e também no processamento tá Então veja que a segurança ela pode ser ela pode ser levada em consideração e precisa se levar em consideração nesses três anos né no transporte que envolve uma rede de computadores né mas é na mente que envolve

de modo geral grandes base de dados e também no processamento que envolve Muita complicação muito processamento né para extrair informação relevante né para se utilizar das finalidades e por fim o Pilar da integridade né E que preconiza que o sistemas né devem se comportar conforme seus requisitos né então se o sistema foi desenvolvido Para uma determinada finalidade ele não pode aos ser executado é dar uma saída diferente daqui os requisitos que foram preconizados tá então o sistema às vezes não não eles precisam ser Livres é estar livres de manipulações né de usuários que não tem

atualização para tal tá um exemplo é um sistema de processamento de folha de pagamento e o sistema bancário tá Então imagina o sistema de folha de pagamento acertou totalmente sabotado né alguma informação se alterada de moda modificar o salários dos funcionários né um sistema de folha de pagamento é um sistema de processamento de conta de telefone por exemplo então isso aqui é muito importante pessoal tá aí precisa ser olhado com muita bom a disponibilidade preconiza que qualquer serviço prestado deve estar disponível de forma apropriada protege contra tentativas de lição de dados né pagamento de dados

impede o uso do sistema né contra-ataques que a gente chama de negativa de serviço ou deu S né o dnai of service Então esse tipo de ataque ele sobrecarrega o serviço disponíveis em servidores né e na rede impede impede o uso dos mesmos pelos usuários tá outro aspecto relevante pessoal é sobre as vulnerabilidades né são fraquezas inerentes aos elementos do sistema tá pode ser pontos fracos que podem ser explorados né E eles têm relação com o projeto do sistema deficiente implementação deficiente e gerenciamento não realizado insuficiente tanto que hardware tá alguns exemplos tem relação com

a questão de proteção mal feita de equipamentos né bibliotecas com brechas de segurança de comunicação passível de ser interceptado grampeado né ou monitorado né monitorado Então é bom lembrar que tudo que está conectado é vulnerável vulnerável né que nós fazemos é tentar Minimizar essas vulnerabilidades tá algumas palavras importantes que vocês devem ter em mente né uma delas é ameaça né algo que pode atingir o funcionamento ou disponibilidade de operação integridade das Comunicações né os ataques são técnicas específicas para explorar a vulnerabilidades e as contra medidas que digamos a vacina ou remédio contra os ataques tá

os incidentes um evento que adverso né confirmado sobre suspeita que tem relação com segurança da informação tá então leva a perda ou Abalo dos pilares da segurança informação que a gente estudou até agora tá eu convido vocês a olharem esses gráficos né eles podem ser obtidos também no site certo.br retrata alguns incidentes de segurança tá por ano tá E também os principais que por exemplo Floor de suorms escaneamento de portas enfim tá essas referências utilizadas para essa aula e a gente se vê na vídeo aula número 2 da primeira semana [Música] [Música]