Segurança da informação e Gestão de documentos eletrônicos Prof. Ricardo Dahab IC-UNICAMP
Segurança da Informação ●
Precisamos de motivação? –
●
Não, mas também não queremos pânico, que é igualmente improdutivo.
Uso de S.I. deve ser criterioso e consciente de que há um processo por trás. –
De nada adianta termos trancas nas portas se não nos habituamos a fechálas. ➢ ➢
De nada adianta termos muitas trancas. De nada adianta trancarmos o que não tem valor.
Requisitos básicos da S.I. ● ● ● ● ●
Autenticação Integridade Sigilo Nãorepúdio Disponibilidade
Documentos eletrônicos Queremos que imite docs em papel: ● Legíveis ● Rasuras ou modificações evidentes ● Evidência de original ● Controle de acesso ● Longa vida se tivermos cuidado ● Fáceis de auditar
Entretanto... Documentos eletrônicos ● não têm substrato físico ● codificados e, portanto, não legíveis ● facilmente copiáveis (são bytes!) ● facilmente alteráveis ● não têm história (data de criação, autor, ...) Mas são flexíveis, compactos, práticos, duráveis e ... chiques.
Três pilares da segurança de D.E. ●
Confiança no documento em si
●
Controle de acesso
●
Arquivamento e preservação
Três pilares da segurança de D.E. Confiança no documento em si –
O documento que eu vejo (e porventura assino) é o mesmo documento que está/será armazenado no meu sistema?
–
Que é o autor deste documento? Quando foi criado? Quando foi modificado pela última vez?
Três pilares da segurança de D.E. Controle de acesso –
Como protejo meu documento contra acesso indevido (leitura e ou modificação)?
–
Como protejo partes do meu documento contra acesso indevido?
–
Como disponibilizo meu documento mantendo sua integridade e autenticidade?
Três pilares da segurança de D.E. Arquivamento e preservação –
Como devo armazenar meus documentos de forma a manter seus requisitos de confiabilidade e acesso íntegros?
–
Como devo armazenar meus documentos de forma a ser possível ter acesso a eles no futuro?
As ferramentas básicas ●
A Criptografia moderna é a área que mais tem fornecido técnicas para resolver problemas de segurança de sistemas. –
●
Soluções completas de segurança usam subsistemas criptográficos de sofisticação variada.
Na área de documentos digitais, também a Esteganografia tem encontrado aplicação crescente.
Criptografia ●
Software –
–
Assinaturas digitais e ciframento são a base para provimento de autenticação, nãorepúdio e sigilo. Sobre essa base, constróemse mecanismos para agregar carimbos de tempo (timestamps), imprescindíveis para a legitimidade dos documentos digitais.
Criptografia ●
Hardware –
– – –
Smartcards hardware mais barato para armazenamento e execução seguras de programas. Tokens são mais poderosos. Para tarefas críticas, os HSMs (HighSecurity Module) são os dispositivos mais indicados. TCPs (Trusted Computing Platforms) vêm aí!
Segurança é um processo ... e não um conjunto de ferramentas tecnológicas somente. ➢
➢
Portanto, temos que falar em práticas, normas, legislação, planos de contigência, etc. Duas das tarefas mais difíceis, não só tecnicamente, são a padronização da descrição dos documentos e o arquivamento de longo prazo.
Uma iniciativa federal no horizonte Buscando aproximar – –
experiências bem sucedidas de gestão de documentos eletrônicos, e tecnologias e práticas de segurança,
o governo federal está iniciando a especificação de um sistema que contempla os documentos da área “meio” das atividades dos ministérios.
OBRIGADO!