791 likes | 1.16k Views
Segurança Física e Lógica de Redes. Fernando Cerutti, Dr. Mail: facerutti@gmail.com Twitter : facerutti Skype: facerutti. Ementa. Conceito de: ameaças , vulnerabilidades , risco , impacto , contingência
E N D
Segurança Física e Lógica de Redes Fernando Cerutti, Dr. Mail: facerutti@gmail.com Twitter: facerutti Skype: facerutti
Ementa • Conceito de: • ameaças, • vulnerabilidades, • risco, • impacto, • contingência • e processos de negóciosdentro da óptica da Segurança da Informação. • Conceito das propriedades da informação. • Conceito do ciclo de vida da informação. • Análise das principaisameaças e vulnerabilidades a queestãosujeitas as redes. IES - SEGURANÇA LÓGICA E FISICA
Ementa (cont) • Definição das barreirasmetodológicas de segurança e determinação do uso de tecnologias e equipamentosassociados a cadaumadestasbarreiras. • Exposição da Norma ABNT NBR ISO/IEC 17799, • seuscontrolesessenciais • e práticas de segurança da informação. • Ameaçasfísicas a umarede. • Redundância • Firewall. • Plano de Contingência. Documentação IES - SEGURANÇA LÓGICA E FISICA
Sofismas 1 Se você FALHA no planejamento, você está planejando a FALHA. IES - SEGURANÇA LÓGICA E FISICA
Documentação Documentação: Clara, Concisa, com instruções detalhadas, de forma que se possa entender e repetir o certo e evitar os erros passados IES - SEGURANÇA LÓGICA E FISICA
DOCUMENTAÇÃO! IES - SEGURANÇA LÓGICA E FISICA
Definições No escopo deste documento, os termos e acrônimos possuem o significado descrito nesta seção. Quando omissos, os termos e acrônimos devem ser entendidos conforme as normas pertinentes e, em último caso, segundo as melhores práticas mundiais em programas/projetos semelhantes • PORTFÓLIO: • É um (oumais) conjunto de programas e/ouprojetosagrupadosparagerenciamentoeficaz, com o objetivoatingirosobjetivos do planejamentoestratégico do negócio. OsProgramas e projetos do portfolio podemnãoserinterdependentesoudiretamenterelacionados. • PROGRAMA: • É um (oumais) conjunto de projetosagrupados, compondo com estesprojetos o (os) portfolio(s) definidospeloplanejamentoestratégico da organização. IES - SEGURANÇA LÓGICA E FISICA
Ex. Programa e projetos IES - SEGURANÇA LÓGICA E FISICA
Mais definições • INTERESSADOS (Stakeholders): • São pessoas com interesses e influênciasespecíficasnaorganização, projeto, serviço. Osinteressadospodemestarinteressadosemações, metas, recursosouresultados. Podemserclientes, parceiros, colaboradores, acionistas, proprietários, gerentes, diretoresouqualquer outro ocupante de um cargo no organograma das organizaçõesenvolvidas. • PADRÃO: • Um padrãoédefinido, pelaOrganizaçãoInternacional Da Estandardização (ISO) e da ComissãoEletrotécnicaInternacional (IEC) (ISO/IEC Guide2: Estandardização e atividadesrelacionadas - vocabulário, dados gerais), como “Um documento, estabelecidoporconsenso e aprovadopor um organismoreconhecido, quefornece, parausocomum e repetido, regras, diretrizesoucaracterísticasparaatividadesouseusresultados, visandoatingir a excelencia da ordememcontextosdeterminados. • A American National Standards Institute (ANSI) acrescentaque um padrão define as características de um produto, processoouserviço, taiscomodimensões, aspectos de segurança e requisitos de desempenho.” No contextodessedocumento, as definiçõesserãoutilizadasemconjunto. • NORMATIZAÇÃO: • A normatizaçãoédefinidapelo ANSI como “O uso de produtoscomuns, processos, procedimentos e políticasparafacilitar a realização dos objetivos do negócio”. IES - SEGURANÇA LÓGICA E FISICA
Rethinking 70-20-10 Aprendizadoocorre com experiência no Trabalho 70% Aprendizado com outros 20% 10% Aprendizado com CursosFormais Source: Robert Eichinger & Michael Lombardo, CCL.
Dois grandes Domínios do Portfólio SEGURANÇA IES - SEGURANÇA LÓGICA E FISICA
Fisíca • Controlesfísicos: • sãobarreirasquelimitam o contatoouacessodireto a informaçãoou a infraestrutura (quegarante a existência da informação) que a suporta. • Existemmecanismos de segurançaqueapóiamoscontrolesfísicos – DEVEM Seguir a Política • Portas / trancas / paredes / blindagem / guardas/Sinalização, Crachá de Circulação, Zoneamento, Áreasrestritas, Graus de severidade IES - SEGURANÇA LÓGICA E FISICA
Lógicos • Controleslógicos: sãobarreirasqueimpedemoulimitam o acesso a informação, queestáemambientecontrolado, e quesemtaiscontroles, modoficariaexposta a alteraçãonãoautorizadaporelemento mal intencionado. • Mecanismosde cifraçãoouencriptação • Assinatura digital– Garante a Origem • Mecanismosde garantia da integridade da informação: • Mecanismosde controle de acesso: Palavras-chave, sistemas biométricos, firewalls, cartõesinteligentes. • Mecanismos de certificação: Atesta a validade de um documento. • Integridade: Medidaemque um serviço/informaçãoégenuíno, istoé, estáprotegido contra a personificaçãoporintrusos. • Protocolosseguros: Uso de protocolosquegarantem um grau de segurança IES - SEGURANÇA LÓGICA E FISICA
Recursos Influentes Figura 1-Abordagem correta para Segurança da Informação. IES - SEGURANÇA LÓGICA E FISICA
Pessoas • Pessoas: O elemento mais importante na gestão da segurança, pois em essência são elas que executam e suportam os processos de uma organização. Esse elemento da abordagem trata os assuntos relacionados com as pessoas, seus papéis e responsabilidades na organização, indo desde a capacitação dos profissionais responsáveis pela segurança até o treinamento dos colaboradores, passando pela criação de uma cultura e conscientização da organização, além de seus parceiros (fornecedores, clientes, terceirizados). IES - SEGURANÇA LÓGICA E FISICA
relacionamentos entre os componentes de segurança da informação. (Adaptado de Roberto Amaral,2003) IES - SEGURANÇA LÓGICA E FISICA
Tríade Clássica A Segurança da Informação tem como propósito proteger as informações registradas, sem importar onde estejam situadas: impressas em papel, nos discos rígidos dos computadores ou até mesmo na memória das pessoas que as conhecem. Os princípios básicos da segurança da informação, classicamente foram 3: Integridade; Confidencialidade; Disponibilidade. IES - SEGURANÇA LÓGICA E FISICA
Integridade • A Integridadepermitegarantirque a informaçãonãotenhasidoalterada de forma nãoautorizada e, portanto, éíntegra.O receptor deveráter a segurança de que a informaçãorecebida, lidaouenviadaéexatamente a mesmaquefoicolocadaàsuadisposiçãopeloemissorparaumadeterminadafinalidade. Estaríntegraquerdizerestaremseuestado original. IES - SEGURANÇA LÓGICA E FISICA
CONFIDENCIALIDADE • O princípioda Confidencialidade da informação tem comoobjetivogarantirqueapenas a pessoacorretatenhaacesso a informação. • Perdade confidencialidadesignificaperda de segredo. • Se umainformação for confidencial, elaserásecreta e deveráserguardada com segurança, e nãodivulgadaparapessoasnãoautorizadas. • Para que um informaçãopossaserutilizada, eladeveestardisponível. IES - SEGURANÇA LÓGICA E FISICA
Disponibilidade • A Disponibilidadeé o terceiroprincípiobásico de Segurança de Informação. • Refere-se àdisponibilidade da informação e de toda a estruturafísica e tecnológicaquepermite o acesso, o trânsito e o armazenamento. • Assim, o ambientetecnológico e ossuportes da informaçãodeverãoestarfuncionandocorretamenteparaque a informaçãoarmazenadaneles e queporelestransitapossaserutilizadapelousuário. IES - SEGURANÇA LÓGICA E FISICA
ATIVOS E CICLO DE VIDA • Toda e qualquerinformação, queseja um elementoessencialparaosnegócios de umaorganizaçãodeveserpreservadapeloperíodonecessário, de acordo com suaimportância (CICLO DE VIDA). • A informaçãoé um bemcomoqualquer outro e porissodevesertratadacomo um Ativo. (ASSET) • Ativossãoelementosquesustentam a operação do negócioe estessempretrarãoconsigoVulnerabilidadeque, porsuavez, submetemosativos a Ameaças. IES - SEGURANÇA LÓGICA E FISICA
5 princípios da segurança Tríade +2 IES - SEGURANÇA LÓGICA E FISICA
6 princípios da segurança Privacidade Redes Sociais, e-comerce IES - SEGURANÇA LÓGICA E FISICA
Privacidade IES - SEGURANÇA LÓGICA E FISICA
Confidencialidade - propriedadequelimita o acesso a informaçãotãosomenteàsentidadeslegítimas, ouseja, àquelasautorizadaspeloproprietário da informação. • Integridade - propriedadequegaranteque a informaçãomanipuladamantenhatodas as característicasoriginaisestabelecidaspeloproprietário da informação, incluindocontrole de mudanças e garantia do seuciclo de vida (nascimento,manutenção e destruição). IES - SEGURANÇA LÓGICA E FISICA
Disponibilidade - propriedadequegaranteque a informaçãoestejasempredisponívelpara o usolegítimo, ouseja, poraquelesusuáriosautorizadospeloproprietário da informação. • Autenticidade - propriedadequegaranteque a informaçãoéproveniente da fonteanunciada e quenãofoialvo de mutaçõesaolongo de um processo. • Irretratabilidade ou não repúdio - propriedadequegarante a impossibilidade de negar a autoriaemrelação a umatransaçãoanteriormentefeita IES - SEGURANÇA LÓGICA E FISICA
Uso ilícito IES - SEGURANÇA LÓGICA E FISICA
LEI NÚMERO 0: SEGURANÇA 1 Satisfação SATISFAÇÃO DO USUÁRIO 0 SEGURANÇA IES - SEGURANÇA LÓGICA E FISICA
Organização da Segurança da Informação Direciona Um conjunto estruturado de Gerência Monitora Controla
2-Identificação dos Riscos 3-Avaliação dos Riscos 1. Captação de Recursos Descreve os Recursos e Taxa de Sensibilidade aos Riscos (Dono do Negócio) Identifica e classifica as Ameaças, Vulnerabilidades e Riscos (Depto de Segurança da Informação) Decisão de Aceitar, Evitar, Transferir ou Mitigar o Risco (DeptoSeg & Dono do Negócio) 8-Auditoria 4-Documentos Efetuar auditorias regularmente (Depto de Seg) Decisões sobre riscos de Documentosincluindo Exceções e Planos de Mitigação 7-Monitoramento Acompanhamento contínuo das alterações no sistema, as quais possam afetar o Perfil dos Riscos (DeptoSeg) 5-Mitigação dos Riscos Implementação do Plano de Mitigação Com Controles Especificados (DeptoSeg ou terceiros) 6-Validação Teste dos Controles para Assegurar que a exposição ATUAL dos riscosalcancem os níveis de risco Considerados no plano. (DeptoSeg) Segurança da Informação –Processos de Gerência de Riscos
Componentes PSI IES - SEGURANÇA LÓGICA E FISICA
Ataques IES - SEGURANÇA LÓGICA E FISICA
Analogia da Cebola IES - SEGURANÇA LÓGICA E FISICA
Política (presidencia e conselho diretivo) Estratégia, Tática IES - SEGURANÇA LÓGICA E FISICA
ISO/IEC 27002:20008 • De acordo com a norma, existem 11(onze) seções de controle de segurançada informação, osquaissãodispostosabaixo com seusrespectivosobjetivos: • Política de segurança da informação Disporumaorientação e apoio da direçãopara a segurança da informação. A políticadeveterumaabrangênciaampla, publicada e comunicada a todososservidores e partesexternas. A políticadeveseranalisadacriticamenteemintervalosplanejadosouquandonecessário. IES - SEGURANÇA LÓGICA E FISICA
Controle SI • Organização da segurança da informação Gerenciara segurança da informaçãodentro da organização. Estabelecimento de umaestrutura de gestãoparaplanejar e controlar a implementação da segurança da informaçãonaorganização. • Gestão de ativos Alcançare manter a proteçãoadequada dos ativos da organização. Orientaçãosobrerealização de inventário dos ativosinformacionais, recomendações de classificação da informaçãoconsideradacríticarotulando-a. IES - SEGURANÇA LÓGICA E FISICA
Controle SI • Segurançaemrecursoshumanos Garantira segurança da informaçãoemtrêsmomentosdiferentes da “vida” profissional do servidornaorganização, queéantes da contratação, durante a contratação e no encerramentooumudançade contratação. • Segurançafísica e do ambiente Preveniro acessofísiconãoautorizado, danose interferência com as instalações e informações da organização. • Gerenciamento das operações e comunicações Garantira operaçãosegura e corretados recursos de processamento da informação. Diretrizespara a proteçãode dados a informaçõesdurante o processo de comunicação. IES - SEGURANÇA LÓGICA E FISICA
Controle SI Controle de acesso Controlaro acessoàinformação e asseguraracesso de usuárioautorizado e preveniracessonãoautorizado a sistemas de informação. Aquisição, desenvolvimento e manutenção de sistemas de informação Garantirquesegurançaé parte integrante de sistemas de informação. Diretrizesparao uso de controles de segurançaemtodas as etapas do ciclo de vida dos sistemas. Gestão de incidentes de segurança da informação Assegurarquefragilidadese eventos de segurança da informaçãoassociados com sistemas de informaçãosejamcomunicados, permitindo a tomada de açãocorretivaem tempo hábil. Abrangecontrolesquecuidam da organizaçãocasoelasofra um incidentede segurançaqueestáprevistoounão. IES - SEGURANÇA LÓGICA E FISICA
Controle SI • Gestão de continuidade de negocio Recomendaçãoparaque a organização se prepare paraneutralizar as interrupçõesàsatividadesorganizacionais e protejaosprocessoscríticosnaocorrência de umafalhaoudesastresignificativo. • Conformidade:Evitarviolação de qualquer lei criminal ou civil, estatutos, regulamentaçõesouobrigaçõescontratuais e de quaisquerrequisitos de segurançada informação. Buscaverificar a conformidade legal e técnica da organizaçãoe de evidencias das auditoriasfeitasparagarantiadestasconformidades. IES - SEGURANÇA LÓGICA E FISICA
PontosCríticospara o Sucesso de uma PSI • Vigilância significaquetodososmembros da organizaçãodevementender a im- • portância da segurançapara a mesma, fazendo com queatuemcomoguardiõesparamonitoraremossistemas e a rede; • b) Atitude significaa postura e a condutaquantoàsegurança. Sematitudenecessária, • a segurançapropostanãoteránenhum valor, paraisso, éessencialqueosfuncionários da or- • ganizaçãotenhamcompreensão e cumplicidadequandoàPolíticadefinida; • c) Estratégia dizrespeito a sercriativoquantoàsdefinições da política e do plano de • defesa contra intrusões; IES - SEGURANÇA LÓGICA E FISICA
Controle SI • D) Tecnologia a soluçãotecnológicadeveseradaptativa e flexível, a fim de suprir as necessidadesestratégicas da organização. IES - SEGURANÇA LÓGICA E FISICA
$$ e segurança • O investimento e avanço em segurança reagem de maneira semelhante às curvas geradas por PG • (progressão geométrica) e PA (progressão aritmética), respectivamente, como se fosse necessário • aumento geométrico dos investimentos financeiros e esforços para se conseguir um aumento aritmético • no nível de segurança. Ao atingirmos o nível desejado de segurança a curva de investimento tem seu • ponto de inflexão e a de segurança passa a ser estável por um período e passará a decair. É importante • notar que o investimento em segurança diminuirá a partir deste ponto, mas jamais poderá ser eliminado • por completo, pois o custo de manutenção deverá ser mantido para que o nível de segurança alcançado • seja mantido e que o processo de gestão (PDCA) seja preservado. IES - SEGURANÇA LÓGICA E FISICA
O investimento em segurança deve ser proporcional ao valor do bem que se pretende proteger. Axioma IES - SEGURANÇA LÓGICA E FISICA
…Eunãoseiexatamentequandoissoaconteceu, mas laptops e PCs tornaram-se dispositivos de computaçãolegados,substituídosportelefonescelulares, tablets, CFTV, carros, drones, satélites, comunicação M2M . Apenasquandoeupenseiqueestávamosconseguindomanusearmuitomelhora segurançadoWindows, Mac e outros sistemas Unix, ocorreuumaexplosão de novosdispositivosqueconectam-senasnossasredese quesimplesmentenãotêmosmesmoscontrolesde segurançaquedependemde nós. http://www.sans.org/security-resources/policies/
Internet das Coisas (IOT) • IP v6 • 2128endereçospossíveis = (ou 340 seguido de 36 zeros)=bilhões de quatrilhões por habitante • RFID • Sensores • Scanners • Nanotecnologia • Gerência absoluta?