1 / 57

Segurança Física e Lógica de Redes

Segurança Física e Lógica de Redes. Fernando Cerutti, Dr. Mail: facerutti@gmail.com Twitter : facerutti Skype: facerutti. Ementa. Conceito de: ameaças , vulnerabilidades , risco , impacto , contingência

pegeen
Download Presentation

Segurança Física e Lógica de Redes

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Segurança Física e Lógica de Redes Fernando Cerutti, Dr. Mail: facerutti@gmail.com Twitter: facerutti Skype: facerutti

  2. Ementa • Conceito de: • ameaças, • vulnerabilidades, • risco, • impacto, • contingência • e processos de negóciosdentro da óptica da Segurança da Informação. • Conceito das propriedades da informação. • Conceito do ciclo de vida da informação. • Análise das principaisameaças e vulnerabilidades a queestãosujeitas as redes. IES - SEGURANÇA LÓGICA E FISICA

  3. Ementa (cont) • Definição das barreirasmetodológicas de segurança e determinação do uso de tecnologias e equipamentosassociados a cadaumadestasbarreiras. • Exposição da Norma ABNT NBR ISO/IEC 17799, • seuscontrolesessenciais • e práticas de segurança da informação. • Ameaçasfísicas a umarede. • Redundância • Firewall. • Plano de Contingência. Documentação IES - SEGURANÇA LÓGICA E FISICA

  4. Sofismas 1 Se você FALHA no planejamento, você está planejando a FALHA. IES - SEGURANÇA LÓGICA E FISICA

  5. IES - SEGURANÇA LÓGICA E FISICA

  6. Documentação Documentação: Clara, Concisa, com instruções detalhadas, de forma que se possa entender e repetir o certo e evitar os erros passados IES - SEGURANÇA LÓGICA E FISICA

  7. DOCUMENTAÇÃO! IES - SEGURANÇA LÓGICA E FISICA

  8. Definições No escopo deste documento, os termos e acrônimos possuem o significado descrito nesta seção. Quando omissos, os termos e acrônimos devem ser entendidos conforme as normas pertinentes e, em último caso, segundo as melhores práticas mundiais em programas/projetos semelhantes • PORTFÓLIO: • É um (oumais) conjunto de programas e/ouprojetosagrupadosparagerenciamentoeficaz, com o objetivoatingirosobjetivos do planejamentoestratégico do negócio. OsProgramas e projetos do portfolio podemnãoserinterdependentesoudiretamenterelacionados. • PROGRAMA: • É um (oumais) conjunto de projetosagrupados, compondo com estesprojetos o (os) portfolio(s) definidospeloplanejamentoestratégico da organização. IES - SEGURANÇA LÓGICA E FISICA

  9. IES - SEGURANÇA LÓGICA E FISICA

  10. Ex. Programa e projetos IES - SEGURANÇA LÓGICA E FISICA

  11. Mais definições • INTERESSADOS (Stakeholders): • São pessoas com interesses e influênciasespecíficasnaorganização, projeto, serviço. Osinteressadospodemestarinteressadosemações, metas, recursosouresultados. Podemserclientes, parceiros, colaboradores, acionistas, proprietários, gerentes, diretoresouqualquer outro ocupante de um cargo no organograma das organizaçõesenvolvidas. • PADRÃO: • Um padrãoédefinido, pelaOrganizaçãoInternacional Da Estandardização (ISO) e da ComissãoEletrotécnicaInternacional (IEC) (ISO/IEC Guide2: Estandardização e atividadesrelacionadas - vocabulário, dados gerais), como “Um documento, estabelecidoporconsenso e aprovadopor um organismoreconhecido, quefornece, parausocomum e repetido, regras, diretrizesoucaracterísticasparaatividadesouseusresultados, visandoatingir a excelencia da ordememcontextosdeterminados. • A American National Standards Institute (ANSI) acrescentaque um padrão define as características de um produto, processoouserviço, taiscomodimensões, aspectos de segurança e requisitos de desempenho.” No contextodessedocumento, as definiçõesserãoutilizadasemconjunto. • NORMATIZAÇÃO: • A normatizaçãoédefinidapelo ANSI como “O uso de produtoscomuns, processos, procedimentos e políticasparafacilitar a realização dos objetivos do negócio”. IES - SEGURANÇA LÓGICA E FISICA

  12. Rethinking 70-20-10 Aprendizadoocorre com experiência no Trabalho 70% Aprendizado com outros 20% 10% Aprendizado com CursosFormais Source: Robert Eichinger & Michael Lombardo, CCL.

  13. Dois grandes Domínios do Portfólio SEGURANÇA IES - SEGURANÇA LÓGICA E FISICA

  14. Fisíca • Controlesfísicos: • sãobarreirasquelimitam o contatoouacessodireto a informaçãoou a infraestrutura (quegarante a existência da informação) que a suporta. • Existemmecanismos de segurançaqueapóiamoscontrolesfísicos – DEVEM Seguir a Política • Portas / trancas / paredes / blindagem / guardas/Sinalização, Crachá de Circulação, Zoneamento, Áreasrestritas, Graus de severidade IES - SEGURANÇA LÓGICA E FISICA

  15. Lógicos • Controleslógicos: sãobarreirasqueimpedemoulimitam o acesso a informação, queestáemambientecontrolado, e quesemtaiscontroles, modoficariaexposta a alteraçãonãoautorizadaporelemento mal intencionado. • Mecanismosde cifraçãoouencriptação • Assinatura digital– Garante a Origem • Mecanismosde garantia da integridade da informação: • Mecanismosde controle de acesso: Palavras-chave, sistemas biométricos, firewalls, cartõesinteligentes. • Mecanismos de certificação: Atesta a validade de um documento. • Integridade: Medidaemque um serviço/informaçãoégenuíno, istoé, estáprotegido contra a personificaçãoporintrusos. • Protocolosseguros: Uso de protocolosquegarantem um grau de segurança IES - SEGURANÇA LÓGICA E FISICA

  16. Recursos Influentes Figura 1-Abordagem correta para Segurança da Informação. IES - SEGURANÇA LÓGICA E FISICA

  17. Pessoas • Pessoas: O elemento mais importante na gestão da segurança, pois em essência são elas que executam e suportam os processos de uma organização. Esse elemento da abordagem trata os assuntos relacionados com as pessoas, seus papéis e responsabilidades na organização, indo desde a capacitação dos profis­sionais responsáveis pela segurança até o treinamento dos colaboradores, passando pela criação de uma cultura e conscientização da organização, além de seus parceiros (fornecedores, clientes, terceirizados). IES - SEGURANÇA LÓGICA E FISICA

  18. relacionamentos entre os componentes de segurança da informação. (Adaptado de Roberto Amaral,2003) IES - SEGURANÇA LÓGICA E FISICA

  19. Tríade Clássica A Segurança da Informação tem como propósito proteger as informações registradas, sem importar onde estejam situadas: impressas em papel, nos discos rígidos dos computadores ou até mesmo na memória das pessoas que as conhecem. Os princípios básicos da segurança da informação, classicamente foram 3: Integridade; Confidencialidade; Disponibilidade. IES - SEGURANÇA LÓGICA E FISICA

  20. Integridade • A Integridadepermitegarantirque a informaçãonãotenhasidoalterada de forma nãoautorizada e, portanto, éíntegra.O receptor deveráter a segurança de que a informaçãorecebida, lidaouenviadaéexatamente a mesmaquefoicolocadaàsuadisposiçãopeloemissorparaumadeterminadafinalidade. Estaríntegraquerdizerestaremseuestado original. IES - SEGURANÇA LÓGICA E FISICA

  21. CONFIDENCIALIDADE • O princípioda Confidencialidade da informação tem comoobjetivogarantirqueapenas a pessoacorretatenhaacesso a informação. • Perdade confidencialidadesignificaperda de segredo. • Se umainformação for confidencial, elaserásecreta e deveráserguardada com segurança, e nãodivulgadaparapessoasnãoautorizadas. • Para que um informaçãopossaserutilizada, eladeveestardisponível. IES - SEGURANÇA LÓGICA E FISICA

  22. Disponibilidade • A Disponibilidadeé o terceiroprincípiobásico de Segurança de Informação. • Refere-se àdisponibilidade da informação e de toda a estruturafísica e tecnológicaquepermite o acesso, o trânsito e o armazenamento. • Assim, o ambientetecnológico e ossuportes da informaçãodeverãoestarfuncionandocorretamenteparaque a informaçãoarmazenadaneles e queporelestransitapossaserutilizadapelousuário. IES - SEGURANÇA LÓGICA E FISICA

  23. ATIVOS E CICLO DE VIDA • Toda e qualquerinformação, queseja um elementoessencialparaosnegócios de umaorganizaçãodeveserpreservadapeloperíodonecessário, de acordo com suaimportância (CICLO DE VIDA). • A informaçãoé um bemcomoqualquer outro e porissodevesertratadacomo um Ativo. (ASSET) • Ativossãoelementosquesustentam a operação do negócioe estessempretrarãoconsigoVulnerabilidadeque, porsuavez, submetemosativos a Ameaças. IES - SEGURANÇA LÓGICA E FISICA

  24. 5 princípios da segurança IES - SEGURANÇA LÓGICA E FISICA

  25. 6 princípios da segurança Privacidade Redes Sociais, e-comerce IES - SEGURANÇA LÓGICA E FISICA

  26. Privacidade IES - SEGURANÇA LÓGICA E FISICA

  27. Confidencialidade - propriedadequelimita o acesso a informaçãotãosomenteàsentidadeslegítimas, ouseja, àquelasautorizadaspeloproprietário da informação. • Integridade - propriedadequegaranteque a informaçãomanipuladamantenhatodas as característicasoriginaisestabelecidaspeloproprietário da informação, incluindocontrole de mudanças e garantia do seuciclo de vida (nascimento,manutenção e destruição). IES - SEGURANÇA LÓGICA E FISICA

  28. Disponibilidade - propriedadequegaranteque a informaçãoestejasempredisponívelpara o usolegítimo, ouseja, poraquelesusuáriosautorizadospeloproprietário da informação. • Autenticidade - propriedadequegaranteque a informaçãoéproveniente da fonteanunciada e quenãofoialvo de mutaçõesaolongo de um processo. • Irretratabilidade ou não repúdio - propriedadequegarante a impossibilidade de negar a autoriaemrelação a umatransaçãoanteriormentefeita IES - SEGURANÇA LÓGICA E FISICA

  29. LEI NÚMERO 0: SEGURANÇA 1 Satisfação SATISFAÇÃO DO USUÁRIO 0 SEGURANÇA IES - SEGURANÇA LÓGICA E FISICA

  30. NBR ISO/IEC 27001:2013 e da ABNT NBR ISO/IEC 27002:2013

  31. Organização da Segurança da Informação Direciona Um conjunto estruturado de Gerência Monitora Controla

  32. 2-Identificação dos Riscos 3-Avaliação dos Riscos 1. Captação de Recursos Descreve os Recursos e Taxa de Sensibilidade aos Riscos (Dono do Negócio) Identifica e classifica as Ameaças, Vulnerabilidades e Riscos (Depto de Segurança da Informação) Decisão de Aceitar, Evitar, Transferir ou Mitigar o Risco (DeptoSeg & Dono do Negócio) 8-Auditoria 4-Documentos Efetuar auditorias regularmente (Depto de Seg) Decisões sobre riscos de Documentosincluindo Exceções e Planos de Mitigação 7-Monitoramento Acompanhamento contínuo das alterações no sistema, as quais possam afetar o Perfil dos Riscos (DeptoSeg) 5-Mitigação dos Riscos Implementação do Plano de Mitigação Com Controles Especificados (DeptoSeg ou terceiros) 6-Validação Teste dos Controles para Assegurar que a exposição ATUAL dos riscosalcancem os níveis de risco Considerados no plano. (DeptoSeg) Segurança da Informação –Processos de Gerência de Riscos

  33. …Eunãoseiexatamentequandoissoaconteceu, mas laptops e PCs tornaram-se dispositivos de computaçãolegados,substituídosportelefonescelulares, tablets, CFTV, carros, drones, satélites, comunicação M2M . Apenasquandoeupenseiqueestávamosconseguindomanusearmuitomelhora segurançadoWindows, Mac e outros sistemas Unix, ocorreuumaexplosão de novosdispositivosqueconectam-senasnossasredese quesimplesmentenãotêmosmesmoscontrolesde segurançaquedependemde nós. http://www.sans.org/security-resources/policies/

  34. Internet das Coisas (IOT) • IP v6 • 2128endereçospossíveis = (ou 340 seguido de 36 zeros)=bilhões de quatrilhões por habitante • RFID • Sensores • Scanners • Nanotecnologia • Gerência absoluta?

  35. IOTs Machine-to-machine (M2M) communication

  36. Humanos e entidadesquepossuemconhecimento:

  37. Conceito de segurança 1 • “Diz-se que um sistema é seguro se ele foi alterado pelo proprietário com a intenção de se reduzir a frequência ou a severidade dos eventos adversos" HandbookofInformationand Communication Security- Peter Stavroulakis,MarkStamp (Eds.) - 2010 IES - SEGURANÇA LÓGICA E FISICA

  38. Basicamente, a ISO 27001 estabeleceosrequisitospara a forma como umaorganizaçãopodeimplementarosprocessos/mecanismos/técnicas/dispositivosde segurança da normaISO 17799:2005. "Esta Norma foipreparadaparafornecer um modeloparaa criação, implantação, operação, monitoramento, revisão, manutenção e melhoriade um Sistema de Gestão de Segurança da Informação (SGSI). “ • Manutenção • Melhoria • Monitoramento Implantação • Revisão • Operação • Criação

  39. De acordo com a norma, um SGSI édefinidocomo: “Um sistema de gestãoincluiestruturaorganizacional, políticas, planejamentoatividades, responsabilidades, práticas, procedimentos, processos e recursos. " Emoutraspalavras, o SGSI abrangetodo o seuprograma de segurança da informação, incluindoa suarelação com outraspartesda corporação.

  40. Se a norma 27001 ISO nãofornecesseum textocompletopara um programa de segurança da informaçãoadequado, váriasfunçõesorganizacionais, incluindoumalista de documentosadequados, dificilmenteessasfuncionalidadespoderiamserimplantadas a contento. A ISO 27001 utilizaumaabordagembaseadaemprocessos, copiando o modelodefinidopelaprimeiravezpeloOrganizaçãopara a Cooperação e DesenvolvimentoEconômico (OCDE). O Modelofoidefinidoemquatroações: Planejar, Fazer, Revisar, Agir ( Plan-Do-Check-Act (PDCA)

  41. Planejar, Fazer, Revisar, Agir ( Plan-Do-Check-Act (PDCA) Information Security Management System (ISMS)

  42. Conceito das propriedades da informação. Conceito do ciclo de vida da informação.

  43. ISO - 1 7 7 9 9 • ISO 17799 • áreas chave que se deve enfocar ao usar o Sistema de • Gestão da Segurança da Informação (SGSI) ISO 17799 • Política de Segurança • Você tem uma documentada para demonstrar o apoio e o comprometimento da administração ao processo do Sistema de Gestão da Segurança da Informação?

More Related