AD De Segurança Da Informação

Questão 1

Explique o que seriam as estratégias de segurança privilégio mínimo e defesa em profundidade. Realize uma pesquisa na internet, em jornais, livros, revistas, periódicos, etc., sobre as estratégias de segurança privilégio mínimo e defesa em profundidade para exemplificar a sua explicação. (2,5 pontos)

RESPOSTA:

Estratégia do Privilégio Mínimo: princípio de segurança onde são concedidos e administrados os mínimos privilégios possíveis no acesso pelos objetos da organização aos elementos necessários para a realização do trabalho. Quer seja o acesso de usuários finais de uma aplicação ou banco de dados, quer seja na integração entre sistemas e bancos de dados, o nível máximo de privilégio de acesso, como o de administrador do equipamento/sistema/ambiente, por exemplo, não deve ser de uso comum e indiscriminado, cada objeto que precisa de acesso aos recursos deve ter privilégios na justa medida para as ações/operações que precisa realizar, nem mais, nem menos.

O mesmo princípio se aplica aos desenvolvedores de sistemas, que devem realizar suas atividades sob uma conta com os mínimos privilégios possível no seu ambiente de trabalho, garantindo inclusive que o sistema ou qualquer codificação desenvolvida não exigirão elevados níveis de privilégio para serem implantados.

Exemplificando a aplicação desta estratégia, a lista abaixo contém algumas restrições de privilégios recomendáveis:

• Nem todos usuários precisam acessar todos os serviços de Internet existentes;

• Nem todos usuários precisam modificar qualquer arquivo salvo na rede de trabalho;

• Nem todos usuários precisam saber a senha de administrador (root) de sua máquina de trabalho;

• Nem todos administradores precisa saber a senha de root de todos os equipamentos e sistemas;

• Nem todo sistema precisa acessar todos os arquivos de outro sistema, mesmo que estes operam de forma integrada.

Vale observar que esta estratégia tem aplicação generalizada, abrangendo pessoas, processos e tecnologias, resultando em maior controle sobre os acessos, aumentando o índice de segurança.

Estratégia de Defesa em Profundidade: dirigida a prevenção de incidentes e redução das respectivas consequências, esta estratégia consiste em impor múltiplos, redundantes e independentes métodos/mecanismos de proteção, para o acesso aos ativos de informação. A intenção será desencorajar e dificultar a tentativa de invasão, dado que múltiplas barreiras reduzem as chances de violação.

Abaixo segue a lista com o link dos sites pesquisados:

Questão 2

Em uma Empresa ocorreu o seguinte diálogo entre João e seu Gerente de TI:

JOÃO: - Vamos colocar criptografia assimétrica aqui na empresa; vai melhorar a vida de todos.

GERENTE DE TI: - Nós já utilizamos a criptografia simétrica e não precisamos de mudanças.

JOÃO: - A criptografia assimétrica faz várias coisas que a simétrica não faz. Seremos mais seguros com ela.

GERENTE DE TI: - Ok, João. Então me mostre as vantagens e o que posso fazer com a criptografia assimétrica.

Por meio deste pequeno diálogo, é possível perceber que João recebeu de seu Gerente de TI a incumbência de explicar as vantagens da criptografia assimétrica em relação à simétrica. Desta forma, suponha que você seja o JOÃO nesta situação. Responda, portanto, a questão levantada pelo Gerente de TI. (2,5 pontos)

RESPOSTA:

A simétrica, para criptografar e decriptografar utiliza a mesma chave, então todos que terão acesso aos dados ou mensagens criptografadas (destinatários e emitentes de mensagens, por exemplo) terão sido informados da chave secreta empregada. Isto dificulta muito o gerenciamento da confidencialidade, da proteção dessa chave de criptografia, um risco que se agrava com o crescimento da organização.

Embora aplique algoritmos mais complexos e mais pesados para processar, portanto com desempenho inferior à simétrica, atribui-se maior segurança à assimétrica porque a chave para criptografar é diferente da utilizada para decriptografar. Dessas duas chaves relacionadas matematicamente, uma é privada (de conhecimento apenas pelo usuário) e a outra é pública, distribuída a todos que necessitam acesso a dados criptografados; esta característica evita o alto risco de quebra da confidencialidade de chave inerente a distribuição, tal como ocorre na simétrica.

Questão 3

De acordo como o que foi abordado na disciplina de Segurança da Informação, na posição de gerência de TI, cite alguns aspectos que podem ser

...