slide1
Download
Skip this Video
Download Presentation
Fernando Nery [email protected]

Loading in 2 Seconds...

play fullscreen
1 / 9

Fernando Nery [email protected] - PowerPoint PPT Presentation


  • 77 Views
  • Uploaded on

Sistema de Análise de Riscos e Gestão do Conhecimento em Segurança da Informação. Fernando Nery [email protected] Uso oficial de certificados digitais. SPB / Banco Central Susep / Apólices de Seguro CFM / Prontuário Eletrônico Imprensa Nacional – DOU IOESP – Diário Oficial

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Fernando Nery [email protected]' - nishi


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1
Sistema de Análise de Riscos

e Gestão do Conhecimento

em Segurança da Informação

Fernando Nery

[email protected]

uso oficial de certificados digitais
Uso oficial de certificados digitais
  • SPB / Banco Central
  • Susep / Apólices de Seguro
  • CFM / Prontuário Eletrônico
  • Imprensa Nacional – DOU
  • IOESP – Diário Oficial
  • Receita Federal – e-cpf, e-cnpj
  • Secretaria de Fazenda de PE
  • ...
icp parte da seguran a
ICP é parte da Segurança
  • Início da Internet Comercial
    • Discussão sobre tamanho da chave criptográfica
    • Problemas:
      • Invasões
      • DDOS
      • Sites falsos
      • Ataque aos equipamentos dos clientes
  • Confidencialidade, Integridade, Disponibilidade
  • Proteção da chave privada, proteção contra ataques
  • Compliance com Código Civil, Resoluções do Banco Central, Basiléia, Sarbanes e Oxley, Cobit, Coso, ISO 17799
  • TI, Segurança, Compliance, Gerência de Riscos, Auditoria, Jurídico
  • Proteção das chaves privadas
hist rio de interoperabilidade
Histório de Interoperabilidade
  • Confiança em identidades
    • Passaporte, Carteira de Identidade, Crachá empresarial, Carteira do Clube, Cartão Fidelidade
  • Cartões de crédito e telefonia celular
  • Protocolos
    • IPX, SNA, NetBUI, IP!
  • Interfaces
    • Windows, GDK, HTTP!
  • Consolidação do mercado
    • Verisign, RSA, Entrust, Baltimore, Microsoft, Freepki, ...
    • Aplicações e insumos
  • Certificação cruzadas e Clearing houses de certificados digitais
  • Algumas vezes a interoperabilidade não é conveniente (grupos fechados ou restrição de acesso)
interoperabilidade exige
Interoperabilidade exige
  • Definição do nível de segurança
  • Auditoria e certificação dos atores
  • Definição de níveis de serviço e requisitos técnicos mínimos
  • Normas técnicas (ABNT)
  • Interoperabilidade técnica e jurídica
  • Gerenciamento de certificados expirados e revogados
  • Acompanhamento das auditorias das ACs participantes
interoperabilidade
Interoperabilidade
  • Interoperabilidade de AC Raiz
  • Interoperabilidade Funcional
    • Facilidade de uso
    • Portabilidade
    • Benefício para o usuário vs uso compulsório
  • Ambiente de Certificados Digitais
    • X509
    • Cartões inteligentes
    • Chips de Celular
    • Time stamp
    • Token
    • CD, Disquete
  • Cross-certification
    • Relação de confiança entre ACs - Acordos
  • Seguros, Responsabilidade Civil
  • Notarização Consular
exemplo razoavelmente simples de interoperabilidade
Exemplo Razoavelmente Simples de Interoperabilidade
  • ICE CAR – The European Telematics Applications Programme
    • Internetworking Public Key Certification Infrastructure for Commerce, Administration and Research
  • “Interoperabilidade é um dos maiores obstáculos para prover segurança”
  • Interoperabilidade entre emails (x509, pkcs)
  • Aspectos considerados
    • ACs
    • s/mime, Plug-in de icp em emails
    • LDAP (v2, v3)
    • Cliente s/mime
    • Cliente Outlook Express, Outlook, Netscape Messenger
    • ?Cartões Inteligentes, ?tokens, ?SSL, ?outros serviços de diretório, ?outros algoritmos de criptografia
novas tecnologias
Novas tecnologias
  • Wireless
  • Celulares
  • PDA
  • Web services
  • VoIP
  • IPv6
  • TV Digital
  • Linux
conclus es
Conclusões
  • Segmento ainda não tem maturidade técnica
  • Não existe massa crítica de aplicações
  • Os resultados alcançados foram mais lentos que o esperado
  • Deve haver consolidação no setor
  • Neste momento a discussão “filosófica” é prejudicial à aplicação, estaremos perdendo dinheiro com isso
  • Importante que haja busca de padrões de interoperabilidade pelos principais players (governo, bancos, e-commerce, OAB, Universidades, ...)
  • Deve-se considerar níveis de segurança
  • Deve-se focar no usuário e na aplicação e não na tecnologia
ad