You are on page 1of 82

INF712

Gerncia de Segurana da
Informao
Misso, requisitos e servios de segurana
Prof. Ricardo Dahab
Instituto de Computaca o-UNICAMP
14 de dezembro de 2002

INF712Gerencia de Seguranca da Informaca o p.1/32

Fonte principal

Relatrio Especial do NIST 800-33 de dezembro de 2001

INF712Gerencia de Seguranca da Informaca o p.2/32

A misso da T.S.I.
Misso primordial da Tecnologia de Segurana da
Informao:
Auxiliar uma organizao a alcanar os seus objetivos e
metas, implementando sistemas que levem em conta os
riscos da utilizao da Tecnologia da Informao para a
organizao, seus parceiros e clientes.

INF712Gerencia de Seguranca da Informaca o p.3/32

Sobre a misso
A misso no leva em conta riscos de segunda ordem
como impactos no nvel de emprego, produtividade, etc.

INF712Gerencia de Seguranca da Informaca o p.4/32

Sobre a misso
A misso no leva em conta riscos de segunda ordem
como impactos no nvel de emprego, produtividade, etc.
A preocupao com o mau uso do sistema, acidental
ou no, que coloque em risco requisitos de segurana.
Essa rea conhecida por system security.

INF712Gerencia de Seguranca da Informaca o p.4/32

Sobre a misso
A misso no leva em conta riscos de segunda ordem
como impactos no nvel de emprego, produtividade, etc.
A preocupao com o mau uso do sistema, acidental
ou no, que coloque em risco requisitos de segurana.
Essa rea conhecida por system security.
H uma rea correlata, system safety, que enfoca o
funcionamento confivel de sistemas na eventualidade
de mal funcionamento por falhas involuntrias.

INF712Gerencia de Seguranca da Informaca o p.4/32

Sobre a misso
A misso no leva em conta riscos de segunda ordem
como impactos no nvel de emprego, produtividade, etc.
A preocupao com o mau uso do sistema, acidental
ou no, que coloque em risco requisitos de segurana.
Essa rea conhecida por system security.
H uma rea correlata, system safety, que enfoca o
funcionamento confivel de sistemas na eventualidade
de mal funcionamento por falhas involuntrias.
Essas duas reas vm se aproximando, compartilhando
tecnologias e conferncias, sob o nome de system
dependability.

INF712Gerencia de Seguranca da Informaca o p.4/32

Sobre a misso
A misso no leva em conta riscos de segunda ordem
como impactos no nvel de emprego, produtividade, etc.
A preocupao com o mau uso do sistema, acidental
ou no, que coloque em risco requisitos de segurana.
Essa rea conhecida por system security.
H uma rea correlata, system safety, que enfoca o
funcionamento confivel de sistemas na eventualidade
de mal funcionamento por falhas involuntrias.
Essas duas reas vm se aproximando, compartilhando
tecnologias e conferncias, sob o nome de system
dependability.
Neste curso estamos mais interessados em system
security.
INF712Gerencia de Seguranca da Informaca o p.4/32

Requisitos da S.I.
Requisitos bsicos da Segurana da Informao:
Disponibilidade (de dados e do sistema)

INF712Gerencia de Seguranca da Informaca o p.5/32

Requisitos da S.I.
Requisitos bsicos da Segurana da Informao:
Disponibilidade (de dados e do sistema)
Integridade (de dados e do sistema)

INF712Gerencia de Seguranca da Informaca o p.5/32

Requisitos da S.I.
Requisitos bsicos da Segurana da Informao:
Disponibilidade (de dados e do sistema)
Integridade (de dados e do sistema)
Confidencialidade (de dados e informaes do sistema)

INF712Gerencia de Seguranca da Informaca o p.5/32

Requisitos da S.I.
Requisitos bsicos da Segurana da Informao:
Disponibilidade (de dados e do sistema)
Integridade (de dados e do sistema)
Confidencialidade (de dados e informaes do sistema)
Responsabilizao (de indivduos)

INF712Gerencia de Seguranca da Informaca o p.5/32

Requisitos da S.I.
Requisitos bsicos da Segurana da Informao:
Disponibilidade (de dados e do sistema)
Integridade (de dados e do sistema)
Confidencialidade (de dados e informaes do sistema)
Responsabilizao (de indivduos)
Alm desses, h um meta-requisito, a assegurao de que os
demais requisitos tenham sido satisfeitos.

INF712Gerencia de Seguranca da Informaca o p.5/32

Confidencialidade
Confidencialidade equivale a sigilo das informaes.

INF712Gerencia de Seguranca da Informaca o p.6/32

Confidencialidade
Confidencialidade equivale a sigilo das informaes.
Alguns (mas no necessariamente todos) dados devem
ser mantidos em segredo. Mais formalmente, dados
privados e confidenciais no devem ser divulgados para
pessoas no autorizadas.

INF712Gerencia de Seguranca da Informaca o p.6/32

Confidencialidade
Confidencialidade equivale a sigilo das informaes.
Alguns (mas no necessariamente todos) dados devem
ser mantidos em segredo. Mais formalmente, dados
privados e confidenciais no devem ser divulgados para
pessoas no autorizadas.
Exemplo: dados estratgicos, dados protegidos
legalmente (dados de identificao do registro de um
paciente), dados de controle de sistemas de proteo
(passwords, chaves criptogrficas, etc).

INF712Gerencia de Seguranca da Informaca o p.6/32

Integridade de dados
Confiana de que dados no tenham sido alterados de
forma no autorizada e imperceptvel.

INF712Gerencia de Seguranca da Informaca o p.7/32

Integridade de dados
Confiana de que dados no tenham sido alterados de
forma no autorizada e imperceptvel.
Alterao pode ocorrer em dados armazenados, em
transporte ou processamento.

INF712Gerencia de Seguranca da Informaca o p.7/32

Integridade de dados
Confiana de que dados no tenham sido alterados de
forma no autorizada e imperceptvel.
Alterao pode ocorrer em dados armazenados, em
transporte ou processamento.
(Provavelmente) todos os dados devem ser ntegros

INF712Gerencia de Seguranca da Informaca o p.7/32

Integridade do sistema
Confiana de que o sistema se porte conforme o
esperado e livre de manipulaes no autorizadas.

INF712Gerencia de Seguranca da Informaca o p.8/32

Integridade do sistema
Confiana de que o sistema se porte conforme o
esperado e livre de manipulaes no autorizadas.
Consequentemente, o sistema deve estar livre de
manipulaes no autorizadas, como insero de virus,
sabotagem, etc.

INF712Gerencia de Seguranca da Informaca o p.8/32

Integridade do sistema
Confiana de que o sistema se porte conforme o
esperado e livre de manipulaes no autorizadas.
Consequentemente, o sistema deve estar livre de
manipulaes no autorizadas, como insero de virus,
sabotagem, etc.
Todos os sistemas devem ser ntegros.

INF712Gerencia de Seguranca da Informaca o p.8/32

Disponibilidade
O servio prestado pelo sistema deve estar disponvel,
em tempo apropriado, para usurios autorizados.

INF712Gerencia de Seguranca da Informaca o p.9/32

Disponibilidade
O servio prestado pelo sistema deve estar disponvel,
em tempo apropriado, para usurios autorizados.
Disponibilidade protege contra tentativas acidentais ou
intencionais de apagar dados, ou de impedir o uso
correto do sistema pela sobrecarga intencional maliciosa
(denial of service)).

INF712Gerencia de Seguranca da Informaca o p.9/32

Disponibilidade
O servio prestado pelo sistema deve estar disponvel,
em tempo apropriado, para usurios autorizados.
Disponibilidade protege contra tentativas acidentais ou
intencionais de apagar dados, ou de impedir o uso
correto do sistema pela sobrecarga intencional maliciosa
(denial of service)).
Todos os dados e sistemas devem estar disponveis.

INF712Gerencia de Seguranca da Informaca o p.9/32

Responsabilizao
Garantia adequada de imputabilidade.

INF712Gerencia de Seguranca da Informaca o p.10/32

Responsabilizao
Garantia adequada de imputabilidade.
Supe a existncia de meios para identificao da
autoria de aes no sistema, danosas ou no,
autorizadas e/ou no-autorizadas.

INF712Gerencia de Seguranca da Informaca o p.10/32

Responsabilizao
Garantia adequada de imputabilidade.
Supe a existncia de meios para identificao da
autoria de aes no sistema, danosas ou no,
autorizadas e/ou no-autorizadas.
Meios traduzem-se em polticas e tcnicas para
rastreamento, auditoria, recuperao de acidentes,
desencorajamento, deteco e preveno de intruses e
conteno de danos.

INF712Gerencia de Seguranca da Informaca o p.10/32

Responsabilizao
Garantia adequada de imputabilidade.
Supe a existncia de meios para identificao da
autoria de aes no sistema, danosas ou no,
autorizadas e/ou no-autorizadas.
Meios traduzem-se em polticas e tcnicas para
rastreamento, auditoria, recuperao de acidentes,
desencorajamento, deteco e preveno de intruses e
conteno de danos.
Nem sempre parte dos requisitos de segurana de um
sistema.

INF712Gerencia de Seguranca da Informaca o p.10/32

Assegurao
Confiana no funcionamento correto do sistema de
segurana e proteo adequada contra erros e ataques.

INF712Gerencia de Seguranca da Informaca o p.11/32

Assegurao
Confiana no funcionamento correto do sistema de
segurana e proteo adequada contra erros e ataques.
Obtida com aderncia a normas, monitoramento e testes
contnuos.

INF712Gerencia de Seguranca da Informaca o p.11/32

Assegurao
Confiana no funcionamento correto do sistema de
segurana e proteo adequada contra erros e ataques.
Obtida com aderncia a normas, monitoramento e testes
contnuos.
essencial manuteno dos demais requisitos

INF712Gerencia de Seguranca da Informaca o p.11/32

Ordenao dos requisitos


Normalmente a ordem de importncia :
Disponibilidade
Integridade
Confidencialidade
Responsabilizao

INF712Gerencia de Seguranca da Informaca o p.12/32

Dependncias entre requisitos


Integridade Confidencialidade

INF712Gerencia de Seguranca da Informaca o p.13/32

Dependncias entre requisitos


Integridade Confidencialidade
Confidencialidade Integridade

INF712Gerencia de Seguranca da Informaca o p.13/32

Dependncias entre requisitos


Integridade Confidencialidade
Confidencialidade Integridade
{Confidencialidade, Integridade} Disponibilidade

INF712Gerencia de Seguranca da Informaca o p.13/32

Dependncias entre requisitos


Integridade Confidencialidade
Confidencialidade Integridade
{Confidencialidade, Integridade} Disponibilidade
{Confidencialidade, Integridade} Responsabilizao

INF712Gerencia de Seguranca da Informaca o p.13/32

Dependncias entre requisitos


Integridade Confidencialidade
Confidencialidade Integridade
{Confidencialidade, Integridade} Disponibilidade
{Confidencialidade, Integridade} Responsabilizao
A Assegurao e os outros requisitos so
interdependentes.

INF712Gerencia de Seguranca da Informaca o p.13/32

Servios de segurana
Servios de segurana so as sub-tarefas de um sistema
responsveis pelo provimento total ou parcial de um ou mais
requisitos de segurana.
Dividem-se em servios de
preveno,

INF712Gerencia de Seguranca da Informaca o p.14/32

Servios de segurana
Servios de segurana so as sub-tarefas de um sistema
responsveis pelo provimento total ou parcial de um ou mais
requisitos de segurana.
Dividem-se em servios de
preveno,
deteco,

INF712Gerencia de Seguranca da Informaca o p.14/32

Servios de segurana
Servios de segurana so as sub-tarefas de um sistema
responsveis pelo provimento total ou parcial de um ou mais
requisitos de segurana.
Dividem-se em servios de
preveno,
deteco,
recuperao e

INF712Gerencia de Seguranca da Informaca o p.14/32

Servios de segurana
Servios de segurana so as sub-tarefas de um sistema
responsveis pelo provimento total ou parcial de um ou mais
requisitos de segurana.
Dividem-se em servios de
preveno,
deteco,
recuperao e
suporte

INF712Gerencia de Seguranca da Informaca o p.14/32

Servios de preveno
So os que devem prevenir ataques, ou quebras de
segurana.
Proteo das comunicaes: em sistemas distribudos
deve-se garantir a integridade e confidencialidade de
dados em trnsito. Neste caso, este servio previne que
dados confidenciais sejam observados enquanto em
trnsito (prov confidencialidade) e previne que os dados
sejam capturados, alterados e depois enviados para o
destino original (prov integridade e disponibilidade).

INF712Gerencia de Seguranca da Informaca o p.15/32

Servios de preveno
Autenticao: garantia de que uma identidade esteja
correta. Usurios e processos devem se identificar
perante o sistema para poderem utilizar seus servios.
Esta identificao complexa pois de alguma forma os
usurios ou processos devem provar ao sistema que so
realmente quem dizem que so. Um modo usual
atravs de senhas. H outros mtodos, a serem
discutidos mais adiante no curso.

INF712Gerencia de Seguranca da Informaca o p.16/32

Servios de preveno
Autorizao e controle de acesso: definio dos
atividades permitidas para uma pessoa/processo.
Mesmo quando propriamente autenticada, deve-se
limitar o conjunto de aes, atividades, acesso, enfim,
servios, que diferentes pessoas/processos podem
utilizar. Ana pode ter sido corretamente autenticada pelo
sistema, mas mesmo assim ela no deve ter acesso aos
arquivos privados de Bela.

INF712Gerencia de Seguranca da Informaca o p.17/32

Servios de preveno
Autorizao e controle de acesso: definio dos
atividades permitidas para uma pessoa/processo.
Mesmo quando propriamente autenticada, deve-se
limitar o conjunto de aes, atividades, acesso, enfim,
servios, que diferentes pessoas/processos podem
utilizar. Ana pode ter sido corretamente autenticada pelo
sistema, mas mesmo assim ela no deve ter acesso aos
arquivos privados de Bela.
No-repudiao: a correta responsabilizao de um ato,
depende da impossibilidade de sua repudiao

INF712Gerencia de Seguranca da Informaca o p.17/32

Servios de deteco
Nenhuma medida ou conjunto de medidas de preveno pode
ser (ou ) 100% garantida. Portanto deve ser possvel
verificar quando o sistema est comprometido.
Registro de eventos (log): um registro ntegro de eventos
relevantes do sistema, que permite depois do fato
(auditoria), a verificao de uma quebra de segurana ou
a responsabilizao por atividades executadas.

INF712Gerencia de Seguranca da Informaca o p.18/32

Servios de deteco
Deteco de intruso: deteco (no momento do fato) de
uma quebra de segurana. So mecanismos que
permitem criar uma suspeita de quebra de segurana,
que normalmente vai ser verificada usando os registros
de eventos, prova de integridade, etc.

INF712Gerencia de Seguranca da Informaca o p.19/32

Servios de deteco
Deteco de intruso: deteco (no momento do fato) de
uma quebra de segurana. So mecanismos que
permitem criar uma suspeita de quebra de segurana,
que normalmente vai ser verificada usando os registros
de eventos, prova de integridade, etc.
Prova de integridade: deve ser possvel verificar se a
integridade do sistema foi ou no comprometida. Prova
de integridade inclui verificar se o resumo digital
(assunto a ser coberto numa prxima aula) dos
programas e dos dados esto corretos.

INF712Gerencia de Seguranca da Informaca o p.19/32

Servios de recuperao
Uma vez que foi detectada uma quebra de segurana,
medidas para corrigir o problema devem ser postas em
prtica.
Recuperao de um estado seguro: se foi detectada
uma quebra de segurana e o sistema foi comprometido,
deve ser possvel restaur-lo para um estado anterior
no comprometido.

INF712Gerencia de Seguranca da Informaca o p.20/32

Servios de recuperao
Uma vez que foi detectada uma quebra de segurana,
medidas para corrigir o problema devem ser postas em
prtica.
Recuperao de um estado seguro: se foi detectada
uma quebra de segurana e o sistema foi comprometido,
deve ser possvel restaur-lo para um estado anterior
no comprometido.
Limitao de acesso (a intrusos): se um intruso foi
detectado, deve ser possvel limitar o acesso ao sistema
(para o intruso mas provavelmente para todos - ate que
se saiba quem o intruso!)

INF712Gerencia de Seguranca da Informaca o p.20/32

Servios de suporte
Servios genricos que normalmente do suporte s outras
atividades do sistema de segurana:
Identificao e nomeao: deve ser possvel identificar
usurios, processos, recursos.

INF712Gerencia de Seguranca da Informaca o p.21/32

Servios de suporte
Servios genricos que normalmente do suporte s outras
atividades do sistema de segurana:
Identificao e nomeao: deve ser possvel identificar
usurios, processos, recursos.
Gerenciamento de chaves criptogrficas: se chaves
criptogrficas so usadas, seu gerenciamento deve ser
seguro. Por exemplo, senhas devem ser guardadas de
uma forma segura pois ganhar acesso a uma senha
significa ser autenticado para usar o sistema.

INF712Gerencia de Seguranca da Informaca o p.21/32

Servios de integridade
Preveno: impedir que pessoas no autorizadas
modifiquem dados.
1. autenticao do usurio (usa servios de identificao e
gerenciamento de chaves criptogrficas);
2. autorizao e controle de acesso;
3. proteo de comunicaes (entre usurio e sistemas e
entre componentes do sistema);
4. acesso ao dado.

INF712Gerencia de Seguranca da Informaca o p.22/32

Servios de integridade
Recuperao:
1. deteco de intruso;
2. verificao de integridade;
3. limitao de acesso;
4. recuperao a um estado seguro.

INF712Gerencia de Seguranca da Informaca o p.23/32

Servios de disponibilidade
Disponibilidade (de dados) a forma mxima de
integridade.
Os mesmos servios esto em ao.

INF712Gerencia de Seguranca da Informaca o p.24/32

Servios de confidencialidade
Preveno:
1. autenticao do usurio (identificao e gerenciamento
de chaves);
2. autorizao e controle de acesso;
3. proteo das comunicaes.
Recuperao: no existe recuperao para quebra de
confidencialidade!!

INF712Gerencia de Seguranca da Informaca o p.25/32

Servios de responsabilizao

Preveno: no-repudiao e controle de acesso.

Recuperao: auditoria (log de eventos).

INF712Gerencia de Seguranca da Informaca o p.26/32

Risco
Alguns termos/definies importantes:
Vulnerabilidade: uma fraqueza nos procedimentos, ou
projeto, ou protocolos, ou controles do sistema de
segurana que podem ser explorados (intencionalmente)
ou disparados (acidentalmente).

INF712Gerencia de Seguranca da Informaca o p.27/32

Risco
Alguns termos/definies importantes:
Vulnerabilidade: uma fraqueza nos procedimentos, ou
projeto, ou protocolos, ou controles do sistema de
segurana que podem ser explorados (intencionalmente)
ou disparados (acidentalmente).
Ameaa: ou a inteno de explorar uma vulnerabilidade
ou as situaes onde uma vulnerabilidade pode ser
acidentalmente disparada.

INF712Gerencia de Seguranca da Informaca o p.27/32

Risco
Alguns termos/definies importantes:
Vulnerabilidade: uma fraqueza nos procedimentos, ou
projeto, ou protocolos, ou controles do sistema de
segurana que podem ser explorados (intencionalmente)
ou disparados (acidentalmente).
Ameaa: ou a inteno de explorar uma vulnerabilidade
ou as situaes onde uma vulnerabilidade pode ser
acidentalmente disparada.
Risco: o impacto nos negcios/misso na eventualidade
de que uma ameaa explore ou crie uma vulnerabilidade.

INF712Gerencia de Seguranca da Informaca o p.27/32

Ameaas
Ameaas no so s pessoas maliciosas mas tambm
situaes acidentais.
Mesmo quando so pessoas, a ameaa pode no ser
maliciosa, mas apenas intencional: um funcionrio que
explora uma vulnerabilidade para fazer o servio.
acidentes

INF712Gerencia de Seguranca da Informaca o p.28/32

Ameaas
Ameaas no so s pessoas maliciosas mas tambm
situaes acidentais.
Mesmo quando so pessoas, a ameaa pode no ser
maliciosa, mas apenas intencional: um funcionrio que
explora uma vulnerabilidade para fazer o servio.
acidentes
pessoas bem intencionadas (de dentro da organizao)

INF712Gerencia de Seguranca da Informaca o p.28/32

Ameaas
Ameaas no so s pessoas maliciosas mas tambm
situaes acidentais.
Mesmo quando so pessoas, a ameaa pode no ser
maliciosa, mas apenas intencional: um funcionrio que
explora uma vulnerabilidade para fazer o servio.
acidentes
pessoas bem intencionadas (de dentro da organizao)
pessoas mal intencionadas

INF712Gerencia de Seguranca da Informaca o p.28/32

Ameaas
Ameaas no so s pessoas maliciosas mas tambm
situaes acidentais.
Mesmo quando so pessoas, a ameaa pode no ser
maliciosa, mas apenas intencional: um funcionrio que
explora uma vulnerabilidade para fazer o servio.
acidentes
pessoas bem intencionadas (de dentro da organizao)
pessoas mal intencionadas
externas (hackers, terroristas, espies, etc)

INF712Gerencia de Seguranca da Informaca o p.28/32

Ameaas
Ameaas no so s pessoas maliciosas mas tambm
situaes acidentais.
Mesmo quando so pessoas, a ameaa pode no ser
maliciosa, mas apenas intencional: um funcionrio que
explora uma vulnerabilidade para fazer o servio.
acidentes
pessoas bem intencionadas (de dentro da organizao)
pessoas mal intencionadas
externas (hackers, terroristas, espies, etc)
internas (empregados!)

INF712Gerencia de Seguranca da Informaca o p.28/32

Ameaas confidencialidade
Ameaas a confidencialidade so normalmente intencionais.
Ameaas comuns:
hackers;

INF712Gerencia de Seguranca da Informaca o p.29/32

Ameaas confidencialidade
Ameaas a confidencialidade so normalmente intencionais.
Ameaas comuns:
hackers;
um usurio se passando por outro (personificao);

INF712Gerencia de Seguranca da Informaca o p.29/32

Ameaas confidencialidade
Ameaas a confidencialidade so normalmente intencionais.
Ameaas comuns:
hackers;
um usurio se passando por outro (personificao);
controle de acesso errado, mal implementado;

INF712Gerencia de Seguranca da Informaca o p.29/32

Ameaas confidencialidade
Ameaas a confidencialidade so normalmente intencionais.
Ameaas comuns:
hackers;
um usurio se passando por outro (personificao);
controle de acesso errado, mal implementado;
canais de comunicao no protegidos (LANs);

INF712Gerencia de Seguranca da Informaca o p.29/32

Ameaas confidencialidade
Ameaas a confidencialidade so normalmente intencionais.
Ameaas comuns:
hackers;
um usurio se passando por outro (personificao);
controle de acesso errado, mal implementado;
canais de comunicao no protegidos (LANs);
praticas de convenincia (download de arquivos secretos
para trabalhar no laptop);

INF712Gerencia de Seguranca da Informaca o p.29/32

Ameaas confidencialidade
Ameaas a confidencialidade so normalmente intencionais.
Ameaas comuns:
hackers;
um usurio se passando por outro (personificao);
controle de acesso errado, mal implementado;
canais de comunicao no protegidos (LANs);
praticas de convenincia (download de arquivos secretos
para trabalhar no laptop);
cavalos de tria - programas que alm de fazerem algo
til, fazem algo escondido.

INF712Gerencia de Seguranca da Informaca o p.29/32

Ameaas integr. e disponib.


As mais comuns so:
acidentes de software/hardware/infraestrutura (incndio,
falta de luz, etc);

INF712Gerencia de Seguranca da Informaca o p.30/32

Ameaas integr. e disponib.


As mais comuns so:
acidentes de software/hardware/infraestrutura (incndio,
falta de luz, etc);
hackers;

INF712Gerencia de Seguranca da Informaca o p.30/32

Ameaas integr. e disponib.


As mais comuns so:
acidentes de software/hardware/infraestrutura (incndio,
falta de luz, etc);
hackers;
controle de acesso errado ou mal implementado (+
funcionrio mal intencionado);

INF712Gerencia de Seguranca da Informaca o p.30/32

Ameaas integr. e disponib.


As mais comuns so:
acidentes de software/hardware/infraestrutura (incndio,
falta de luz, etc);
hackers;
controle de acesso errado ou mal implementado (+
funcionrio mal intencionado);
cavalos de tria;

INF712Gerencia de Seguranca da Informaca o p.30/32

Ameaas integr. e disponib.


As mais comuns so:
acidentes de software/hardware/infraestrutura (incndio,
falta de luz, etc);
hackers;
controle de acesso errado ou mal implementado (+
funcionrio mal intencionado);
cavalos de tria;
vrus.

INF712Gerencia de Seguranca da Informaca o p.30/32

Aspectos externos
Segurana no apenas garantida por sistemas tcnicos,
intrnsecos ao hardware ou software, mas tambm por
sistemas no tcnicos, sistemas fsicos, procedimentos,
estrutura organizacional, legislao, etc.
Exemplos:
a forma mais fcil de quebrar a disponibilidade de um
sistema desligar a maquina onde ele opera. Se quase
qualquer pessoa pode chegar perto do computador, no
h mecanismo tcnico que proteja a disponibilidade do
sistema. Segurana fsica necessria.

INF712Gerencia de Seguranca da Informaca o p.31/32

Aspectos externos
Segurana no apenas garantida por sistemas tcnicos,
intrnsecos ao hardware ou software, mas tambm por
sistemas no tcnicos, sistemas fsicos, procedimentos,
estrutura organizacional, legislao, etc.
Exemplos:
a forma mais fcil de quebrar a disponibilidade de um
sistema desligar a maquina onde ele opera. Se quase
qualquer pessoa pode chegar perto do computador, no
h mecanismo tcnico que proteja a disponibilidade do
sistema. Segurana fsica necessria.
no adianta criar um registro de eventos (log) se
ningum os analisa. preciso criar procedimentos, e
funes para o gerenciamento de segurana.
INF712Gerencia de Seguranca da Informaca o p.31/32

Aspectos externos
no adianta detectar que o sistema foi comprometido se
no se tem autorizao para recuperar um estado no
comprometido (pois significa perda de trabalho - tudo
que foi feito desde o estado seguro!). preciso uma
estrutura organizacional que d poder apropriado ao
setor de segurana.

INF712Gerencia de Seguranca da Informaca o p.32/32

Aspectos externos
no adianta detectar que o sistema foi comprometido se
no se tem autorizao para recuperar um estado no
comprometido (pois significa perda de trabalho - tudo
que foi feito desde o estado seguro!). preciso uma
estrutura organizacional que d poder apropriado ao
setor de segurana.
no adianta poder provar que uma pessoa X causou
uma quebra de segurana se X no puder ser punido de
alguma forma! preciso criar legislao, normas, etc
que punam uma tentativa de quebra do sistema.

INF712Gerencia de Seguranca da Informaca o p.32/32

Aspectos externos
no adianta detectar que o sistema foi comprometido se
no se tem autorizao para recuperar um estado no
comprometido (pois significa perda de trabalho - tudo
que foi feito desde o estado seguro!). preciso uma
estrutura organizacional que d poder apropriado ao
setor de segurana.
no adianta poder provar que uma pessoa X causou
uma quebra de segurana se X no puder ser punido de
alguma forma! preciso criar legislao, normas, etc
que punam uma tentativa de quebra do sistema.
Sistemas no intrnsecos de segurana sero discutidos
numa aula posterior.

INF712Gerencia de Seguranca da Informaca o p.32/32