1 / 72

Segurança Física e Lógica de Redes

Segurança Física e Lógica de Redes. Fernando Cerutti, Dr. Mail: facerutti@gmail.com Twitter : facerutti Skype: facerutti. Ementa. Conceito de: ameaças , vulnerabilidades , risco , impacto , contingência

shae
Télécharger la présentation

Segurança Física e Lógica de Redes

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Segurança Física e Lógica de Redes Fernando Cerutti, Dr. Mail: facerutti@gmail.com Twitter: facerutti Skype: facerutti

  2. Ementa • Conceito de: • ameaças, • vulnerabilidades, • risco, • impacto, • contingência • e processos de negóciosdentro da óptica da Segurança da Informação. • Conceito das propriedades da informação. • Conceito do ciclo de vida da informação. • Análise das principaisameaças e vulnerabilidades a queestãosujeitas as redes. IES - SEGURANÇA LÓGICA E FISICA

  3. Ementa (cont) • Definição das barreirasmetodológicas de segurança e determinação do uso de tecnologias e equipamentosassociados a cadaumadestasbarreiras. • Exposição da Norma ABNT NBR ISO/IEC 17799, • seuscontrolesessenciais • e práticas de segurança da informação. • Ameaçasfísicas a umarede. • Redundância • Firewall. • Plano de Contingência. Documentação IES - SEGURANÇA LÓGICA E FISICA

  4. Sofismas 1 Se você FALHA no planejamento, você está planejando a FALHA. IES - SEGURANÇA LÓGICA E FISICA

  5. IES - SEGURANÇA LÓGICA E FISICA

  6. Documentação Documentação: Clara, Concisa, com instruções detalhadas, de forma que se possa entender e repetir o certo e evitar os erros passados IES - SEGURANÇA LÓGICA E FISICA

  7. DOCUMENTAÇÃO! IES - SEGURANÇA LÓGICA E FISICA

  8. Definições No escopo deste documento, os termos e acrônimos possuem o significado descrito nesta seção. Quando omissos, os termos e acrônimos devem ser entendidos conforme as normas pertinentes e, em último caso, segundo as melhores práticas mundiais em programas/projetos semelhantes • PORTFÓLIO: • É um (oumais) conjunto de programas e/ouprojetosagrupadosparagerenciamentoeficaz, com o objetivoatingirosobjetivos do planejamentoestratégico do negócio. OsProgramas e projetos do portfolio podemnãoserinterdependentesoudiretamenterelacionados. • PROGRAMA: • É um (oumais) conjunto de projetosagrupados, compondo com estesprojetos o (os) portfolio(s) definidospeloplanejamentoestratégico da organização. IES - SEGURANÇA LÓGICA E FISICA

  9. IES - SEGURANÇA LÓGICA E FISICA

  10. Ex. Programa e projetos IES - SEGURANÇA LÓGICA E FISICA

  11. Mais definições • INTERESSADOS (Stakeholders): • São pessoas com interesses e influênciasespecíficasnaorganização, projeto, serviço. Osinteressadospodemestarinteressadosemações, metas, recursosouresultados. Podemserclientes, parceiros, colaboradores, acionistas, proprietários, gerentes, diretoresouqualquer outro ocupante de um cargo no organograma das organizaçõesenvolvidas. • PADRÃO: • Um padrãoédefinido, pelaOrganizaçãoInternacional Da Estandardização (ISO) e da ComissãoEletrotécnicaInternacional (IEC) (ISO/IEC Guide2: Estandardização e atividadesrelacionadas - vocabulário, dados gerais), como “Um documento, estabelecidoporconsenso e aprovadopor um organismoreconhecido, quefornece, parausocomum e repetido, regras, diretrizesoucaracterísticasparaatividadesouseusresultados, visandoatingir a excelencia da ordememcontextosdeterminados. • A American National Standards Institute (ANSI) acrescentaque um padrão define as características de um produto, processoouserviço, taiscomodimensões, aspectos de segurança e requisitos de desempenho.” No contextodessedocumento, as definiçõesserãoutilizadasemconjunto. • NORMATIZAÇÃO: • A normatizaçãoédefinidapelo ANSI como “O uso de produtoscomuns, processos, procedimentos e políticasparafacilitar a realização dos objetivos do negócio”. IES - SEGURANÇA LÓGICA E FISICA

  12. Rethinking 70-20-10 Aprendizadoocorre com experiência no Trabalho 70% Aprendizado com outros 20% 10% Aprendizado com CursosFormais Source: Robert Eichinger & Michael Lombardo, CCL.

  13. Dois grandes Domínios do Portfólio SEGURANÇA IES - SEGURANÇA LÓGICA E FISICA

  14. Fisíca • Controlesfísicos: • sãobarreirasquelimitam o contatoouacessodireto a informaçãoou a infraestrutura (quegarante a existência da informação) que a suporta. • Existemmecanismos de segurançaqueapóiamoscontrolesfísicos – DEVEM Seguir a Política • Portas / trancas / paredes / blindagem / guardas/Sinalização, Crachá de Circulação, Zoneamento, Áreasrestritas, Graus de severidade IES - SEGURANÇA LÓGICA E FISICA

  15. Lógicos • Controleslógicos: sãobarreirasqueimpedemoulimitam o acesso a informação, queestáemambientecontrolado, e quesemtaiscontroles, modoficariaexposta a alteraçãonãoautorizadaporelemento mal intencionado. • Mecanismosde cifraçãoouencriptação • Assinatura digital– Garante a Origem • Mecanismosde garantia da integridade da informação: • Mecanismosde controle de acesso: Palavras-chave, sistemas biométricos, firewalls, cartõesinteligentes. • Mecanismos de certificação: Atesta a validade de um documento. • Integridade: Medidaemque um serviço/informaçãoégenuíno, istoé, estáprotegido contra a personificaçãoporintrusos. • Protocolosseguros: Uso de protocolosquegarantem um grau de segurança IES - SEGURANÇA LÓGICA E FISICA

  16. Recursos Influentes Figura 1-Abordagem correta para Segurança da Informação. IES - SEGURANÇA LÓGICA E FISICA

  17. Pessoas • Pessoas: O elemento mais importante na gestão da segurança, pois em essência são elas que executam e suportam os processos de uma organização. Esse elemento da abordagem trata os assuntos relacionados com as pessoas, seus papéis e responsabilidades na organização, indo desde a capacitação dos profis­sionais responsáveis pela segurança até o treinamento dos colaboradores, passando pela criação de uma cultura e conscientização da organização, além de seus parceiros (fornecedores, clientes, terceirizados). IES - SEGURANÇA LÓGICA E FISICA

  18. relacionamentos entre os componentes de segurança da informação. (Adaptado de Roberto Amaral,2003) IES - SEGURANÇA LÓGICA E FISICA

  19. Tríade Clássica A Segurança da Informação tem como propósito proteger as informações registradas, sem importar onde estejam situadas: impressas em papel, nos discos rígidos dos computadores ou até mesmo na memória das pessoas que as conhecem. Os princípios básicos da segurança da informação, classicamente foram 3: Integridade; Confidencialidade; Disponibilidade. IES - SEGURANÇA LÓGICA E FISICA

  20. Integridade • A Integridadepermitegarantirque a informaçãonãotenhasidoalterada de forma nãoautorizada e, portanto, éíntegra.O receptor deveráter a segurança de que a informaçãorecebida, lidaouenviadaéexatamente a mesmaquefoicolocadaàsuadisposiçãopeloemissorparaumadeterminadafinalidade. Estaríntegraquerdizerestaremseuestado original. IES - SEGURANÇA LÓGICA E FISICA

  21. CONFIDENCIALIDADE • O princípioda Confidencialidade da informação tem comoobjetivogarantirqueapenas a pessoacorretatenhaacesso a informação. • Perdade confidencialidadesignificaperda de segredo. • Se umainformação for confidencial, elaserásecreta e deveráserguardada com segurança, e nãodivulgadaparapessoasnãoautorizadas. • Para que um informaçãopossaserutilizada, eladeveestardisponível. IES - SEGURANÇA LÓGICA E FISICA

  22. Disponibilidade • A Disponibilidadeé o terceiroprincípiobásico de Segurança de Informação. • Refere-se àdisponibilidade da informação e de toda a estruturafísica e tecnológicaquepermite o acesso, o trânsito e o armazenamento. • Assim, o ambientetecnológico e ossuportes da informaçãodeverãoestarfuncionandocorretamenteparaque a informaçãoarmazenadaneles e queporelestransitapossaserutilizadapelousuário. IES - SEGURANÇA LÓGICA E FISICA

  23. ATIVOS E CICLO DE VIDA • Toda e qualquerinformação, queseja um elementoessencialparaosnegócios de umaorganizaçãodeveserpreservadapeloperíodonecessário, de acordo com suaimportância (CICLO DE VIDA). • A informaçãoé um bemcomoqualquer outro e porissodevesertratadacomo um Ativo. (ASSET) • Ativossãoelementosquesustentam a operação do negócioe estessempretrarãoconsigoVulnerabilidadeque, porsuavez, submetemosativos a Ameaças. IES - SEGURANÇA LÓGICA E FISICA

  24. 5 princípios da segurança Tríade +2 IES - SEGURANÇA LÓGICA E FISICA

  25. 6 princípios da segurança Privacidade Redes Sociais, e-comerce IES - SEGURANÇA LÓGICA E FISICA

  26. Privacidade IES - SEGURANÇA LÓGICA E FISICA

  27. Confidencialidade - propriedadequelimita o acesso a informaçãotãosomenteàsentidadeslegítimas, ouseja, àquelasautorizadaspeloproprietário da informação. • Integridade - propriedadequegaranteque a informaçãomanipuladamantenhatodas as característicasoriginaisestabelecidaspeloproprietário da informação, incluindocontrole de mudanças e garantia do seuciclo de vida (nascimento,manutenção e destruição). IES - SEGURANÇA LÓGICA E FISICA

  28. Disponibilidade - propriedadequegaranteque a informaçãoestejasempredisponívelpara o usolegítimo, ouseja, poraquelesusuáriosautorizadospeloproprietário da informação. • Autenticidade - propriedadequegaranteque a informaçãoéproveniente da fonteanunciada e quenãofoialvo de mutaçõesaolongo de um processo. • Irretratabilidade ou não repúdio - propriedadequegarante a impossibilidade de negar a autoriaemrelação a umatransaçãoanteriormentefeita IES - SEGURANÇA LÓGICA E FISICA

  29. Uso ilícito IES - SEGURANÇA LÓGICA E FISICA

  30. LEI NÚMERO 0: SEGURANÇA 1 Satisfação SATISFAÇÃO DO USUÁRIO 0 SEGURANÇA IES - SEGURANÇA LÓGICA E FISICA

  31. NBR ISO/IEC 27001:2013 e da ABNT NBR ISO/IEC 27002:2013

  32. Organização da Segurança da Informação Direciona Um conjunto estruturado de Gerência Monitora Controla

  33. 2-Identificação dos Riscos 3-Avaliação dos Riscos 1. Captação de Recursos Descreve os Recursos e Taxa de Sensibilidade aos Riscos (Dono do Negócio) Identifica e classifica as Ameaças, Vulnerabilidades e Riscos (Depto de Segurança da Informação) Decisão de Aceitar, Evitar, Transferir ou Mitigar o Risco (DeptoSeg & Dono do Negócio) 8-Auditoria 4-Documentos Efetuar auditorias regularmente (Depto de Seg) Decisões sobre riscos de Documentosincluindo Exceções e Planos de Mitigação 7-Monitoramento Acompanhamento contínuo das alterações no sistema, as quais possam afetar o Perfil dos Riscos (DeptoSeg) 5-Mitigação dos Riscos Implementação do Plano de Mitigação Com Controles Especificados (DeptoSeg ou terceiros) 6-Validação Teste dos Controles para Assegurar que a exposição ATUAL dos riscosalcancem os níveis de risco Considerados no plano. (DeptoSeg) Segurança da Informação –Processos de Gerência de Riscos

  34. Componentes PSI IES - SEGURANÇA LÓGICA E FISICA

  35. Ataques IES - SEGURANÇA LÓGICA E FISICA

  36. Analogia da Cebola IES - SEGURANÇA LÓGICA E FISICA

  37. Política (presidencia e conselho diretivo) Estratégia, Tática IES - SEGURANÇA LÓGICA E FISICA

  38. ISO/IEC 27002:20008 • De acordo com a norma, existem 11(onze) seções de controle de segurançada informação, osquaissãodispostosabaixo com seusrespectivosobjetivos: • Política de segurança da informação Disporumaorientação e apoio da direçãopara a segurança da informação. A políticadeveterumaabrangênciaampla, publicada e comunicada a todososservidores e partesexternas. A políticadeveseranalisadacriticamenteemintervalosplanejadosouquandonecessário. IES - SEGURANÇA LÓGICA E FISICA

  39. Controle SI • Organização da segurança da informação Gerenciara segurança da informaçãodentro da organização. Estabelecimento de umaestrutura de gestãoparaplanejar e controlar a implementação da segurança da informaçãonaorganização. • Gestão de ativos Alcançare manter a proteçãoadequada dos ativos da organização. Orientaçãosobrerealização de inventário dos ativosinformacionais, recomendações de classificação da informaçãoconsideradacríticarotulando-a. IES - SEGURANÇA LÓGICA E FISICA

  40. Controle SI • Segurançaemrecursoshumanos Garantira segurança da informaçãoemtrêsmomentosdiferentes da “vida” profissional do servidornaorganização, queéantes da contratação, durante a contratação e no encerramentooumudançade contratação. • Segurançafísica e do ambiente Preveniro acessofísiconãoautorizado, danose interferência com as instalações e informações da organização. • Gerenciamento das operações e comunicações Garantira operaçãosegura e corretados recursos de processamento da informação. Diretrizespara a proteçãode dados a informaçõesdurante o processo de comunicação. IES - SEGURANÇA LÓGICA E FISICA

  41. Controle SI Controle de acesso Controlaro acessoàinformação e asseguraracesso de usuárioautorizado e preveniracessonãoautorizado a sistemas de informação. Aquisição, desenvolvimento e manutenção de sistemas de informação Garantirquesegurançaé parte integrante de sistemas de informação. Diretrizesparao uso de controles de segurançaemtodas as etapas do ciclo de vida dos sistemas. Gestão de incidentes de segurança da informação Assegurarquefragilidadese eventos de segurança da informaçãoassociados com sistemas de informaçãosejamcomunicados, permitindo a tomada de açãocorretivaem tempo hábil. Abrangecontrolesquecuidam da organizaçãocasoelasofra um incidentede segurançaqueestáprevistoounão. IES - SEGURANÇA LÓGICA E FISICA

  42. Controle SI • Gestão de continuidade de negocio Recomendaçãoparaque a organização se prepare paraneutralizar as interrupçõesàsatividadesorganizacionais e protejaosprocessoscríticosnaocorrência de umafalhaoudesastresignificativo. • Conformidade:Evitarviolação de qualquer lei criminal ou civil, estatutos, regulamentaçõesouobrigaçõescontratuais e de quaisquerrequisitos de segurançada informação. Buscaverificar a conformidade legal e técnica da organizaçãoe de evidencias das auditoriasfeitasparagarantiadestasconformidades. IES - SEGURANÇA LÓGICA E FISICA

  43. PontosCríticospara o Sucesso de uma PSI • Vigilância significaquetodososmembros da organizaçãodevementender a im- • portância da segurançapara a mesma, fazendo com queatuemcomoguardiõesparamonitoraremossistemas e a rede; • b) Atitude significaa postura e a condutaquantoàsegurança. Sematitudenecessária, • a segurançapropostanãoteránenhum valor, paraisso, éessencialqueosfuncionários da or- • ganizaçãotenhamcompreensão e cumplicidadequandoàPolíticadefinida; • c) Estratégia dizrespeito a sercriativoquantoàsdefinições da política e do plano de • defesa contra intrusões; IES - SEGURANÇA LÓGICA E FISICA

  44. Controle SI • D) Tecnologia a soluçãotecnológicadeveseradaptativa e flexível, a fim de suprir as necessidadesestratégicas da organização. IES - SEGURANÇA LÓGICA E FISICA

  45. IES - SEGURANÇA LÓGICA E FISICA

  46. $$ e segurança • O investimento e avanço em segurança reagem de maneira semelhante às curvas geradas por PG • (progressão geométrica) e PA (progressão aritmética), respectivamente, como se fosse necessário • aumento geométrico dos investimentos financeiros e esforços para se conseguir um aumento aritmético • no nível de segurança. Ao atingirmos o nível desejado de segurança a curva de investimento tem seu • ponto de inflexão e a de segurança passa a ser estável por um período e passará a decair. É importante • notar que o investimento em segurança diminuirá a partir deste ponto, mas jamais poderá ser eliminado • por completo, pois o custo de manutenção deverá ser mantido para que o nível de segurança alcançado • seja mantido e que o processo de gestão (PDCA) seja preservado. IES - SEGURANÇA LÓGICA E FISICA

  47. O investimento em segurança deve ser proporcional ao valor do bem que se pretende proteger. Axioma IES - SEGURANÇA LÓGICA E FISICA

  48. …Eunãoseiexatamentequandoissoaconteceu, mas laptops e PCs tornaram-se dispositivos de computaçãolegados,substituídosportelefonescelulares, tablets, CFTV, carros, drones, satélites, comunicação M2M . Apenasquandoeupenseiqueestávamosconseguindomanusearmuitomelhora segurançadoWindows, Mac e outros sistemas Unix, ocorreuumaexplosão de novosdispositivosqueconectam-senasnossasredese quesimplesmentenãotêmosmesmoscontrolesde segurançaquedependemde nós. http://www.sans.org/security-resources/policies/

  49. Internet das Coisas (IOT) • IP v6 • 2128endereçospossíveis = (ou 340 seguido de 36 zeros)=bilhões de quatrilhões por habitante • RFID • Sensores • Scanners • Nanotecnologia • Gerência absoluta?

More Related