Table Of ContentKLS
K
L
S
S
E
G
U
R
A
N
Ç
A
D
A
I
N
F
O
R
M
A
Segurança da
Ç
Ã
O
E
D
informação e
E
R
E
D
E
S de redes
Segurança da informação
e de redes
Emílio Tissato Nakamura
© 2016 por Editora e Distribuidora Educacional S.A.
Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida ou transmitida de qualquer
modo ou por qualquer outro meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo
de sistema de armazenamento e transmissão de informação, sem prévia autorização, por escrito, da Editora e
Distribuidora Educacional S.A.
Presidente
Rodrigo Galindo
Vice-Presidente Acadêmico de Graduação
Mário Ghio Júnior
Conselho Acadêmico
Dieter S. S. Paiva
Camila Cardoso Rotella
Emanuel Santana
Alberto S. Santana
Lidiane Cristina Vivaldini Olo
Cristiane Lisandra Danna
Danielly Nunes Andrade Noé
Ana Lucia Jankovic Barduchi
Grasiele Aparecida Lourenço
Paulo Heraldo Costa do Valle
Thatiane Cristina dos Santos de Carvalho Ribeiro
Revisor Técnico
Ruy Flávio de Oliveira
Editoração
Emanuel Santana
Lidiane Cristina Vivaldini Olo
Cristiane Lisandra Danna
André Augusto de Andrade Ramos
Erick Silva Griep
Adilson Braga Fontes
Diogo Ribeiro Garcia
eGTB Editora
Dados Internacionais de Catalogação na Publicação (CIP)
Nakamura, Emílio Tissato
N163s Segurança da informação e de redes / Emílio Tissato
Nakamura. – Londrina: Editora e Distribuidora Educacional
S.A., 2016.
224 p.
ISBN 978-85-8482-594-3
1. Sistema de informação – Medidas de segurança.
I. Título.
CDD 658.472
2016
Editora e Distribuidora Educacional S.A.
Avenida Paris, 675 – Parque Residencial João Piza
CEP: 86041-100 — Londrina — PR
e-mail: [email protected]
Homepage: http://www.kroton.com.br/
Sumário
Unidade 1 | Fundamentos de segurança da informação 7
Seção 1.1 - Parâmetros de informação e segurança da informação 9
Seção 1.2 - Amplitude de proteção de informação 19
Seção 1.3 - Mecanismos de defesa 31
Seção 1.4 - Mapeamento de risco 43
Unidade 2 | Segurança de redes de computadores 59
Seção 2.1 - Identificação de vulnerabilidade em redes de computadores 63
Seção 2.2 - Ameaças à rede 77
Seção 2.3 - Ferramentas de segurança I 91
Seção 2.4 - Ferramentas de segurança II 103
Unidade 3 | Criptografia 117
Seção 3.1 - Evolução em segurança da informação: criptografia 119
Seção 3.2 - Técnica de criptografia 129
Seção 3.3 - Soluções de chave pública 141
Seção 3.4 - Aplicações de criptografia 153
Unidade 4 | Processos e políticas de segurança 169
Seção 4.1 - Identificação de fatores de risco 171
Seção 4.2 - Definição de políticas de segurança da informação 183
Seção 4.3 - Normas de segurança 195
Seção 4.4 - Tendências e futuro em segurança da informação 207
Palavras do autor
Olá!
Seja bem-vindo ao fascinante mundo da segurança da informação e de redes!
Este é um universo em constante evolução, em que qualquer nova tecnologia,
novo produto ou novo serviço traz consigo as implicações de segurança, que, por
sua vez, refletem diretamente nas empresas e na vida de todos. Nesta disciplina,
você irá conhecer e compreender os princípios de segurança da informação e de
redes de computadores que envolvem o entendimento de todas as nuances para
que você possa avaliar, definir, implementar e manter a melhor proteção para o
seu ambiente corporativo.
O universo da segurança da informação é repleto de casos reais que muitas
vezes viram notícia. São ataques cibernéticos contra empresas, governos e países,
com as mais variadas motivações, que vão desde uma simples diversão até o uso
de ferramentas de ataque como arma de guerra. Nos últimos tempos, há ainda a
forte atuação do crime organizado, visando a lucros financeiros com a exploração
de vulnerabilidades em sistemas e o uso de códigos maliciosos direcionados,
aumentando assim os desafios dos profissionais de segurança da informação. No
autoestudo, você irá entender diferentes casos reais, refletir sobre eles e analisá-
los, fazendo ligações com os importantes conceitos básicos de segurança da
informação. Esse passo é imprescindível para a sua formação.
Nesta disciplina, o foco está nos fundamentos de segurança da informação,
na segurança de redes de computadores, na criptografia e nos processos e na
política de segurança, que formam as quatro unidades de ensino da disciplina.
O início de tudo está nos fundamentos, com as discussões sobre o que você
deve proteger e as principais razões para tal, que você irá conhecer na Unidade
1. A segurança de redes é preciso ser entendida, principalmente, por vivermos
em um mundo totalmente conectado, e iremos discutir esse assunto na Unidade
2. Como a criptografia é um dos principais controles de segurança, há vários
algoritmos para diferentes necessidades de proteção, o que será visto na Unidade
3. Para completar a disciplina, na Unidade 4, você terá uma visão sobre a parte da
segurança da informação que complementa a parte técnica, que é formada por
processos, normas e políticas. As tendências da área também serão discutidas,
reforçando o caráter evolutivo da segurança da informação.
Vamos então mergulhar juntos no oceano da segurança da informação, que
possui ligação com praticamente tudo o que você faz: usando seu smartphone,
acessando o Internet Banking, fazendo compras on-line ou fazendo pagamentos
com seu cartão de crédito. Você, como usuário, consumidor e cidadão, deve exigir
segurança de produtos e serviços. E, nesta disciplina, terá a visão do profissional
das empresas que proveem a segurança de seus produtos e serviços.
Bons estudos!
Unidade 1
Fundamentos de segurança da
informação
Convite ao estudo
Olá,
Nós iremos, a partir de agora, entrar no fascinante mundo da segurança
da informação e de redes. No mundo atual, em que tudo gira em torno da
informação, entender o que está relacionado à sua segurança e aos principais
métodos e tecnologias de proteção é fundamental para o sucesso de qualquer
empresa, de qualquer natureza. O avanço dos ataques cibernéticos, que vitimam
indivíduos, empresas e países, é motivado por uma série de fatores que tornam
ainda mais desafiador o trabalho do profissional de segurança da informação.
O fato de vermos muitas notícias sobre incidentes de segurança em
diferentes níveis comprova que os crackers vêm obtendo sucesso nos ataques.
Esses incidentes vão desde pichações em websites, até ataques direcionados
contra usinas nucleares (caso do Stuxnet), passando por ataques de negação
de serviço e fraudes com cartões de créditos. Cada tipo de ataque envolve uma
propriedade fundamental da informação que precisamos proteger, e é por ela
que começaremos os nossos estudos. O objetivo que temos para esta primeira
unidade de ensino da disciplina é consolidarmos conceitos importantes para
o entendimento da segurança da informação, antes de nos aventurarmos em
segurança de redes de computadores, criptografia e processos e política de
segurança. Esta unidade de ensino envolve quatro seções que focam em:
• Propriedades de segurança da informação: o que devemos garantir é
confidencialidade, integridade e disponibilidade da informação. São
essas propriedades que devemos proteger. Outras noções importantes
estão envolvidas com conceitos de risco – vulnerabilidade, ameaça,
U1
exploit (código utilizado para explorar vulnerabilidades, como será
discutido na Seção 1.1).
• Elementos a serem protegidos: um incidente de segurança pode
ocorrer em qualquer ponto incluído no fluxo da informação. É preciso
entender esses elementos ou ativos envolvidos no fluxo da informação
para que possamos aplicar as proteções em cada um deles, sejam
pessoas, softwares, hardwares ou elementos físicos.
• Mecanismos de defesa: podemos proteger ativos de qualquer tipo
implementando os controles de segurança, que podem ser físicos,
tecnológicos ou processos.
• Mapeamento de riscos: um fundamento essencial da segurança da
informação é o risco. É entendendo os riscos que podemos aplicar as
contramedidas. Mais do que isso, é com o mapeamento de riscos que
podemos justificar os investimentos em segurança da informação.
A empresa em que você trabalha passa por grandes avanços após receber
um aporte financeiro de investidores estrangeiros. Um novo produto está sendo
desenvolvido e uma campanha completa de marketing está sendo criada,
com o uso de diferentes canais de comunicação. Além disso, a estratégia de
precificação do novo produto está considerando um ganho inicial substancial
de fatia do mercado. Todo esse trabalho de desenvolvimento abrange equipes
diferentes que utilizam sistemas tecnológicos disponibilizados pela equipe de
tecnologia da informação – TI. Você faz parte dessa equipe de TI e percebe que
toda a movimentação pode ser em vão se houver vazamento sobre o novo
produto e sobre a estratégia de vendas. Você começa então a fundamentar
seus argumentos para que a empresa tome as providências necessárias para se
proteger e garantir o sucesso dessa nova fase no mercado.
Qual a relação entre riscos e segurança? E qual a diferença entre uma
vulnerabilidade e uma ameaça? Segurança da informação é prevenir a empresa
contra ataques, é detectar um ataque em andamento ou é recuperar a empresa
após um incidente de segurança?
Convido todos a desvendarmos esse mundo incrível que é a segurança da
informação a partir de agora.
8 Fundamentos de segurança da informação
