Ameaças à segurança
Uma ameaça é qualquer ataque efetuado com o objetivo de comprometer a segurança do fluxo de informação entre duas entidades.
Os ataques podem ser classificados em seis categorias:
Modificação --> A modificação consiste na alteração dos dados de uma mensagem em trânsito.
Repetição --> A repetição acontece quando uma operação já realizada é repetida, sem autorização, de modo a obter o mesmo resultado.
Interceção --> A interceção ocorre quando se verifica o acesso não autorizado a uma mensagem, que, não tem a possibilidade de alterar.
Disfarce --> O disfarce consiste em apresentar uma identidade falsa perante um determinado interlocutor.
Repúdio --> O repúdio consiste na negação de participação numa determinada comunicação ou operação quando de facto se fez parte dela.
Negação de serviço --> A negação de serviço consiste na realização de um conjunto de ações com o objetivo de dificultar o bom funcionamento de um sistema.
Aspetos/Garantias de Segurança
As características que a informação deve possuir para garantir a nossa segurança podem ser classificadas em:
Autenticação:
Consiste em assegurar que só as pessoas autorizadas têm acesso aos recursos.
Confidencialidade:
Consiste em assegurar que só as pessoas autorizadas têm acesso aos recursos partilhados.
Integridade:
Consiste na protecção da informação contra um ataque de modificação.
Autorização:
Assegura a proteção contra acções não autorizadas, garantindo, por exemplo, que apenas um número restrito de participantes pode desempenhar um determinado papel numa operação.
Não-repudiação:
Consiste em permitir garantir que uma transição não pode ser negada.
Disponibilidade:
Consiste em permitir manter o bom funcionamento do sistema de informação.
Registo:
Consiste em permitir o arquivamento de determinadas operações.
Mecanismos de Segurança
Criptografia é dados em informações sem sentido, para que pessoas não possam ter acesso às informações que foram encriptadas.
A encriptação é um processo que codifica os dados através de uma chave secreta, conhecida apenas pelas entidades envolvidas.
O processo de modificação da mensagem denomina-se Encriptação e transforma-a num Criptograma.
O processo de recuperação da mensagem original denomina-se por decrepitação.
Assinatura Digital
A assinatura digital permite garantir a autenticação do emissor e a integridade do conteúdo da mensagem.
Para fazer uma assinatura é só gerar o resumo de mensagem a enviar, cifrar o resumo com a chave privada do emissor
Para fazer uma assinatura é só gerar o resumo de mensagem a enviar, cifrar o resumo com a chave privada do emissor
Mecanismos de Certificação
Certificação Digital:
A Certificação Digital pode ser vista como um conjunto de técnicas, processos e normas estabelecidas que elevam a segurança às comunicações e transações eletrónicas, proporcionando a autenticidade e integridade das informações que transmitam de forma eletrónica.
Distribuição do certificado:
A distribuição de certificados pode ser realizada de algumas formas.
No caso de grupos pequenos de utilizadores, o certificado pode ser trocado através de pens ou e-mail contendo a chave pública de cada dono, conhecida como distribuição manual das chaves públicas.
Necessidades de Segurança:
Acesso não autorizado - Acontece quando um utilizador descobre a informação de autenticação de um outro utilizador e utiliza-a para aceder aos recursos desse utilizador;
Ataques por imitação - Consiste em fazer com que um certo utilizador ou sistema se comporte como um outro.
Disrupção de serviços - É uma forma de ataque que tem como objetivo a interrupção e/ou perturbação de um serviço por causa dos danos causados nos sistemas.
Questões Pontuação 1 a 5
Política de Segurança
Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa.
O principal objetivo de uma política de segurança é possibilitar o gerenciamento da segurança numa organização, estabelecendo regras e padrões para a proteção da informação.
Uma boa política de segurança:
Deve ser implementável através de procedimentos de administração, publicação das regras de uso aceitáveis, ou outros métodos apropriados.
Deve definir claramente as áreas de responsabilidade para os utilizadores, administradores e gerentes.
A Certificação Digital pode ser vista como um conjunto de técnicas, processos e normas estabelecidas que elevam a segurança às comunicações e transações eletrónicas, proporcionando a autenticidade e integridade das informações que transmitam de forma eletrónica.
Distribuição do certificado:
A distribuição de certificados pode ser realizada de algumas formas.
No caso de grupos pequenos de utilizadores, o certificado pode ser trocado através de pens ou e-mail contendo a chave pública de cada dono, conhecida como distribuição manual das chaves públicas.
Necessidades de Segurança:
Acesso não autorizado - Acontece quando um utilizador descobre a informação de autenticação de um outro utilizador e utiliza-a para aceder aos recursos desse utilizador;
Ataques por imitação - Consiste em fazer com que um certo utilizador ou sistema se comporte como um outro.
Disrupção de serviços - É uma forma de ataque que tem como objetivo a interrupção e/ou perturbação de um serviço por causa dos danos causados nos sistemas.
Questões Pontuação 1 a 5
Acesso físico de público ao interior do edifício?
A firewall está sempre ativada?
Tem muitos ataques de hackers?
Tem antivírus?
Os funcionários têm acesso aos recursos da empresa?
Onde guardam os recursos/documentos mais importantes?
Estranhos têm acesso aos recursos da empresa?
A firewall está sempre ativada?
Tem muitos ataques de hackers?
Tem antivírus?
Os funcionários têm acesso aos recursos da empresa?
Onde guardam os recursos/documentos mais importantes?
Estranhos têm acesso aos recursos da empresa?
Política de Segurança
Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa.
O principal objetivo de uma política de segurança é possibilitar o gerenciamento da segurança numa organização, estabelecendo regras e padrões para a proteção da informação.
Uma boa política de segurança:
Deve ser implementável através de procedimentos de administração, publicação das regras de uso aceitáveis, ou outros métodos apropriados.
Deve definir claramente as áreas de responsabilidade para os utilizadores, administradores e gerentes.
