Sistema de Análise de Riscos
This presentation is the property of its rightful owner.
Sponsored Links
1 / 9

Fernando Nery [email protected] PowerPoint PPT Presentation


  • 54 Views
  • Uploaded on
  • Presentation posted in: General

Sistema de Análise de Riscos e Gestão do Conhecimento em Segurança da Informação. Fernando Nery [email protected] Uso oficial de certificados digitais. SPB / Banco Central Susep / Apólices de Seguro CFM / Prontuário Eletrônico Imprensa Nacional – DOU IOESP – Diário Oficial

Download Presentation

Fernando Nery [email protected]

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Fernando nery fnery modulo br

Sistema de Análise de Riscos

e Gestão do Conhecimento

em Segurança da Informação

Fernando Nery

[email protected]


Uso oficial de certificados digitais

Uso oficial de certificados digitais

  • SPB / Banco Central

  • Susep / Apólices de Seguro

  • CFM / Prontuário Eletrônico

  • Imprensa Nacional – DOU

  • IOESP – Diário Oficial

  • Receita Federal – e-cpf, e-cnpj

  • Secretaria de Fazenda de PE

  • ...


Icp parte da seguran a

ICP é parte da Segurança

  • Início da Internet Comercial

    • Discussão sobre tamanho da chave criptográfica

    • Problemas:

      • Invasões

      • DDOS

      • Sites falsos

      • Ataque aos equipamentos dos clientes

  • Confidencialidade, Integridade, Disponibilidade

  • Proteção da chave privada, proteção contra ataques

  • Compliance com Código Civil, Resoluções do Banco Central, Basiléia, Sarbanes e Oxley, Cobit, Coso, ISO 17799

  • TI, Segurança, Compliance, Gerência de Riscos, Auditoria, Jurídico

  • Proteção das chaves privadas


Hist rio de interoperabilidade

Histório de Interoperabilidade

  • Confiança em identidades

    • Passaporte, Carteira de Identidade, Crachá empresarial, Carteira do Clube, Cartão Fidelidade

  • Cartões de crédito e telefonia celular

  • Protocolos

    • IPX, SNA, NetBUI, IP!

  • Interfaces

    • Windows, GDK, HTTP!

  • Consolidação do mercado

    • Verisign, RSA, Entrust, Baltimore, Microsoft, Freepki, ...

    • Aplicações e insumos

  • Certificação cruzadas e Clearing houses de certificados digitais

  • Algumas vezes a interoperabilidade não é conveniente (grupos fechados ou restrição de acesso)


Interoperabilidade exige

Interoperabilidade exige

  • Definição do nível de segurança

  • Auditoria e certificação dos atores

  • Definição de níveis de serviço e requisitos técnicos mínimos

  • Normas técnicas (ABNT)

  • Interoperabilidade técnica e jurídica

  • Gerenciamento de certificados expirados e revogados

  • Acompanhamento das auditorias das ACs participantes


Interoperabilidade

Interoperabilidade

  • Interoperabilidade de AC Raiz

  • Interoperabilidade Funcional

    • Facilidade de uso

    • Portabilidade

    • Benefício para o usuário vs uso compulsório

  • Ambiente de Certificados Digitais

    • X509

    • Cartões inteligentes

    • Chips de Celular

    • Time stamp

    • Token

    • CD, Disquete

  • Cross-certification

    • Relação de confiança entre ACs - Acordos

  • Seguros, Responsabilidade Civil

  • Notarização Consular


Exemplo razoavelmente simples de interoperabilidade

Exemplo Razoavelmente Simples de Interoperabilidade

  • ICE CAR – The European Telematics Applications Programme

    • Internetworking Public Key Certification Infrastructure for Commerce, Administration and Research

  • “Interoperabilidade é um dos maiores obstáculos para prover segurança”

  • Interoperabilidade entre emails (x509, pkcs)

  • Aspectos considerados

    • ACs

    • s/mime, Plug-in de icp em emails

    • LDAP (v2, v3)

    • Cliente s/mime

    • Cliente Outlook Express, Outlook, Netscape Messenger

    • ?Cartões Inteligentes, ?tokens, ?SSL, ?outros serviços de diretório, ?outros algoritmos de criptografia


Novas tecnologias

Novas tecnologias

  • Wireless

  • Celulares

  • PDA

  • Web services

  • VoIP

  • IPv6

  • TV Digital

  • Linux


Conclus es

Conclusões

  • Segmento ainda não tem maturidade técnica

  • Não existe massa crítica de aplicações

  • Os resultados alcançados foram mais lentos que o esperado

  • Deve haver consolidação no setor

  • Neste momento a discussão “filosófica” é prejudicial à aplicação, estaremos perdendo dinheiro com isso

  • Importante que haja busca de padrões de interoperabilidade pelos principais players (governo, bancos, e-commerce, OAB, Universidades, ...)

  • Deve-se considerar níveis de segurança

  • Deve-se focar no usuário e na aplicação e não na tecnologia


  • Login