1. O documento discute a segurança da informação no contexto da computação em nuvem e da internet, identificando as ameaças à privacidade e integridade dos dados pessoais online.
2. É destacada a necessidade de políticas de segurança para garantir a confidencialidade, integridade e disponibilidade dos dados, avaliando a segurança de aplicações web.
3. Princípios como aprender com erros, usar defesa em profundidade e corrigir problemas de forma segura são apresentados para orientar a proteção de informações.
2. 1. Introdução à Segurança de Sistemas.
2. Ameaças, Riscos, Vulnerabilidades, Falha e Desastres.
3. Mecanismos e Tecnologias de Segurança.
4. Criptografia.
5. Conceitos de Segurança em Redes.
6. Segurança nos Protocolos de Redes.
7. Política de Segurança.
8. Firewalls.
9. Criação de Aplicações Seguras.
3. Novo parâmetro
Cloud Computing
Com o crescimento da Internet
Migração para o ambiente Web
Modelo antigo de aplicações
Típicas de ambientes Desktop
4. • Exemplos de servidores e aplicações em nuvem:
•
•
•
• Usados cada vez mais amplamente, permitem ao usuário uma
maior facilidade de acesso e modificação de seus arquivos,
permitindo seu acesso dos mais variados dispositivos
conectados à Internet;
• Compartilhamento (ou não) de informações;
5. Vantagens
• Despreocupação do usuário quanto aos recursos computacionais necessários às
aplicações;
Desvantagens
• Vulnerabilidade de informações em casos de falhas na segurança;
6. • A computação em nuvem fornece muitas facilidades ao usuário.
• Em contrapartida, caso ocorram falhas nos sistemas e
servidores que controlam essas informações, várias implicações
ocorrem.
• Casos verídicos de vazamento de informações:
• Agosto de 2010 – vazamento dos dados de 12 milhões de inscritos no
ENEM
•
•
7. • Paginas Web com formulários para preenchimento de
informações pessoais:
• Inscrições online para vestibulares, eventos, cursos;
• Páginas de boletins informativos;
• Cadastro em sites de relacionamento;
• Lojas online:
• Compra e venda de produtos;
• Dados bancários;
• Transações bancárias;
• Redes sociais:
• Dados inseridos no cadastro;
• Nem todas são confiáveis!
8. INTERNET
↓
Quantidade imensa de informações e dados pessoais
↓
Ambiente propício a roubo de informações
↓
Usuários maliciosos usam diversas técnicas para roubar essas
informações
↓
Possibilidade iminente de lesar as vítimas
9. DADOS CONFIDENCIAIS
↓
Necessidade da segurança de informações
↓
Avaliar a segurança de aplicações Web
↓
Ferramentas desenvolvidas para essa finalidade
↓
Garantir a Segurança dos dados
10. 1
• Inicialmente, a segurança da informação era feita
através de meios físicos e administrativos.
2
• Com o início dos sistemas computacionais, ainda não
havia a preocupação imediata, pois havia pouca ou
nenhuma interconectividade.
3
• Hoje, praticamente todos os computadores e
dispositivos são interconectados: servidores,
computadores, celulares, tablets, etc.
11. • Relativo ao ambiente em que é utilizado;
• Seguro pra uma empresa pode não ser pra outra;
• Necessidade de uma Política de Segurança:
“Conjunto de leis, regras e práticas que regulam como
uma organização gerencia, protege e distribui suas
informações e recursos. Um dado sistema é considerado
seguro em relação a uma política de segurança, caso
garanta o cumprimento das leis, regras e práticas
definidas nessa política.”
Lemos e Colcher (1995)
14. • Confidencialidade:
• Os dados podem ser acessados apenas por usuários permitidos;
• Integridade:
• Os dados podem apenas ser modificados ou deletados por pessoas
autorizadas e de formas legais;
• Disponibilidade:
• Garantia que o sistema e os dados estarão disponíveis para usuários
autorizados, quando eles precisarem.
15. • Aprender com os erros;
• Minimizar a área de ataque;
• Utilizar a defesa em profundidade;
• Utilizar o menor privilégio;
• Empregar padrões seguros;
• Assumir que sistemas externos são inseguros;
• Falhar de modo seguro;
• Lembrar-se que recursos de segurança é diferente de recursos
seguros;
• Nunca basear a segurança apenas na obscuridade;
• Corrigir os problemas de segurança corretamente.
(HOWARD; LEBLANC, 2001)