segurança física e lógica de redes

Segurança Física e Lógica de Redes

Fernando Cerutti, Dr.

Mail: [email protected]: faceruttiSkype: facerutti

mailto:[email protected]

IES - SEGURANÇA LÓGICA E FISICA 2

Ementa

• Conceito de:– ameaças, – vulnerabilidades, – risco, – impacto, – contingência – e processos de negócios dentro da óptica da Segurança da

Informação.• Conceito das propriedades da informação.• Conceito do ciclo de vida da informação. • Análise das principais ameaças e vulnerabilidades a que estão

sujeitas as redes.


Ementa (cont)

• Definição das barreiras metodológicas de segurança e determinação do uso de tecnologias e equipamentos associados a cada uma destas barreiras.

• Exposição da Norma ABNT NBR ISO/IEC 17799,– seus controles essenciais– e práticas de segurança da informação.

• Ameaças físicas a uma rede. • Redundância • Firewall. • Plano de Contingência.

Documentação


Sofismas 1

Se você FALHA no planejamento,

você está planejando a FALHA.


DocumentaçãoDocumentação:

Clara, Concisa, com instruções detalhadas, de

forma que se possa entender e repetir o certo e evitar os erros passados


DOCUMENTAÇÃO!


Definições

– PORTFÓLIO: • É um (ou mais) conjunto de programas e/ou projetos agrupados para

gerenciamento eficaz, com o objetivo atingir os objetivos do planejamento estratégico do negócio. Os Programas e projetos do portfolio podem não ser interdependentes ou diretamente relacionados.

– PROGRAMA:• É um (ou mais) conjunto de projetos agrupados, compondo com estes

projetos o (os) portfolio(s) definidos pelo planejamento estratégico da organização.

No escopo deste documento, os termos e acrônimos possuem o significado descrito nesta seção. Quando omissos, os termos e acrônimos devem ser entendidos conforme as normas pertinentes e, em último caso, segundo as melhores práticas mundiais em programas/projetos semelhantes


Ex. Programa e projetos


Mais definições– INTERESSADOS (Stakeholders):

• São pessoas com interesses e influências específicas na organização, projeto, serviço. Os interessados podem estar interessados em ações, metas, recursos ou resultados. Podem ser clientes, parceiros, colaboradores, acionistas, proprietários, gerentes, diretores ou qualquer outro ocupante de um cargo no organograma das organizações envolvidas.

– PADRÃO:• Um padrão é definido, pela Organização Internacional Da Estandardização (ISO) e da

Comissão Eletrotécnica Internacional (IEC) (ISO/IEC Guide2: Estandardização e atividades relacionadas - vocabulário, dados gerais), como “Um documento, estabelecido por consenso e aprovado por um organismo reconhecido, que fornece, para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados, visando atingir a excelencia da ordem em contextos determinados.

• A American National Standards Institute (ANSI) acrescenta que um padrão define as características de um produto, processo ou serviço, tais como dimensões, aspectos de segurança e requisitos de desempenho.”

No contexto desse documento, as definições serão utilizadas em conjunto.

– NORMATIZAÇÃO:• A normatização é definida pelo ANSI como “O uso de produtos comuns, processos,

procedimentos e políticas para facilitar a realização dos objetivos do negócio”.

Rethinking 70-20-10

70%

10%

20%

Aprendizado ocorre com experiência no Trabalho

Aprendizado com outros

Aprendizado com Cursos FormaisSource: Robert Eichinger & Michael Lombardo, CCL.


SEGURANÇA

Segurança

Física Lógica

Dois grandes Domínios do Portfólio


Fisíca

• Controles físicos: • são barreiras que limitam o contato ou acesso

direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta.

• Existem mecanismos de segurança que apóiam os controles físicos – DEVEM Seguir a Política

• Portas / trancas / paredes / blindagem / guardas /Sinalização, Crachá de Circulação, Zoneamento, Áreas restritas, Graus de severidade


Lógicos• Controles lógicos: são barreiras que impedem ou limitam o acesso a

informação, que está em ambiente controlado, e que sem tais controles, modo ficaria exposta a alteração não autorizada por elemento mal intencionado.

• Mecanismos de cifração ou encriptação• Assinatura digital – Garante a Origem• Mecanismos de garantia da integridade da informação: • Mecanismos de controle de acesso: Palavras-chave, sistemas biométricos,

firewalls, cartões inteligentes.• Mecanismos de certificação: Atesta a validade de um documento.• Integridade: Medida em que um serviço/informação é genuíno, isto é, está

protegido contra a personificação por intrusos.• Protocolos seguros: Uso de protocolos que garantem um grau de segurança

http://pt.wikipedia.org/w/index.php?title=Sistema_biom%C3%A9trico&action=edit&redlink=1

http://pt.wikipedia.org/wiki/Firewall


Recursos Influentes

Figura 1-Abordagem correta para Segurança da Informação.


Pessoas

• Pessoas: O elemento mais importante na gestão da segurança, pois em essência são elas que executam e suportam os processos de uma organização. Esse elemento da abordagem trata os assuntos relacionados com as pessoas, seus papéis e responsabilidades na organização, indo desde a capacitação dos profis sionais responsáveis pela segurança até o treinamento dos colaboradores, passando pela criação de uma cultura e conscientização da organização, além de seus parceiros (fornecedores, clientes, terceirizados).


relacionamentos entre os componentes de segurança da informação. (Adaptado de Roberto Amaral,2003)


Tríade Clássica

A Segurança da Informação tem como propósito proteger as informações registradas, sem importar onde estejam situadas:

impressas em papel, nos discos rígidos dos computadores ou até mesmo na memória das pessoas que as conhecem.

Os princípios básicos da segurança da informação, classicamente foram 3: Integridade;Confidencialidade;Disponibilidade.


Integridade

• A Integridade permite garantir que a informação não tenha sido alterada de forma não autorizada e, portanto, é íntegra.O receptor deverá ter a segurança de que a informação recebida, lida ou enviada é exatamente a mesma que foi colocada à sua disposição pelo emissor para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado original.


CONFIDENCIALIDADE

• O princípio da Confidencialidade da informação tem como objetivo garantir que apenas a pessoa correta tenha acesso a informação.

• Perda de confidencialidade significa perda de segredo. • Se uma informação for confidencial, ela será secreta e

deverá ser guardada com segurança, e não divulgada para pessoas não autorizadas.

• Para que um informação possa ser utilizada, ela deve estar disponível.


Disponibilidade

• A Disponibilidade é o terceiro princípio básico de Segurança de Informação.

• Refere-se à disponibilidade da informação e de toda a estrutura física e tecnológica que permite o acesso, o trânsito e o armazenamento.

• Assim, o ambiente tecnológico e os suportes da informação deverão estar funcionando corretamente para que a informação armazenada neles e que por eles transita possa ser utilizada pelo usuário.


ATIVOS E CICLO DE VIDA

• Toda e qualquer informação, que seja um elemento essencial para os negócios de uma organização deve ser preservada pelo período necessário, de acordo com sua importância (CICLO DE VIDA).

• A informação é um bem como qualquer outro e por isso deve ser tratada como um Ativo. (ASSET)

• Ativos são elementos que sustentam a operação do negócio e estes sempre trarão consigo Vulnerabilidade que, por sua vez, submetem os ativos a Ameaças.


5 princípios da segurança

SegurançaISO/IEC

17799:2005

ConfidencialidadeDisponibilidade

IntegridadeIrretratabilidade ou não repúdio

Autenticidade

http://pt.wikipedia.org/wiki/ISO/IEC

http://pt.wikipedia.org/wiki/17799:2005

http://pt.wikipedia.org/wiki/Confidencialidade

http://pt.wikipedia.org/wiki/Disponibilidade

http://pt.wikipedia.org/wiki/Integridade

http://pt.wikipedia.org/w/index.php?title=Irretratabilidade_ou_n%C3%A3o_rep%C3%BAdio&action=edit&redlink=1


http://pt.wikipedia.org/wiki/Autenticidade


6 princípios da segurança

SegurançaISO/IEC

17799:2005

ConfidencialidadeDisponibilidade

IntegridadeIrretratabilidade ou não repúdio

Autenticidade

Privacidade

Redes Sociais, e-comerce

http://pt.wikipedia.org/wiki/ISO/IEC

http://pt.wikipedia.org/wiki/17799:2005








Privac

idade


• Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.

• Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).




• Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.

• Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo.

• Irretratabilidade ou não repúdio - propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita





SEGURANÇA

SATI

SFAÇ

ÃO D

O U

SUÁR

IO

0

LEI NÚMERO 0:

SEGURANÇA1

Satisfação

NBR ISO/IEC 27001:2013 e da ABNT NBR ISO/IEC 27002:2013

Organização da Segurança da Informação

Um conjunto estruturado de Gerência

Direciona

Monitora

Controla

COMITÊ EXECUTIVOPresidido pelo CIO

Comitê de AuditoriasCoord: Gerente de

Auditorias

Comite de SegurançaCoord: Chief Security

Officer (CSO)

Gerente de Segurança da Informação

Administração da Segurança

Políticas e Aderências (Normas, Leis,

Padrões)

Gerência de Risco e Contingência

Operações de Segurança

Comitês Locais de Informação LSC

1 por local

Donos dos Ativos de Informação

(IAOs)

Gerentes de Segurança do Site

(SSMs)

VigilantesGerência de

suprimentos (energia, água, outros)

Comite de RiscosCoord: Gerente de

Riscos

1. Captação de Recursos2-Identificação dos

Riscos 3-Avaliação dos

Riscos

4-Documentos

5-Mitigação dos Riscos

6-Validação

7-Monitoramento

8-Auditoria

Descreve os Recursos e Taxa de Sensibilidade aos Riscos

(Dono do Negócio)

Identifica e classifica as Ameaças, Vulnerabilidades e Riscos(Depto de Segurança da

Informação)

Decisão de Aceitar, Evitar, Transferir

ou Mitigar o Risco(Depto Seg &

Dono do Negócio)

Decisões sobre riscos de Documentosincluindo Exceções e Planos de Mitigação

Implementação do Plano de MitigaçãoCom Controles Especificados

(Depto Seg ou terceiros)

Teste dos Controles para Assegurar que a exposição ATUAL dos riscosalcancem os níveis de risco Considerados no plano. (Depto Seg)

Acompanhamento contínuo das alterações no sistema,

as quais possam afetar o Perfil dos Riscos (Depto Seg)

Efetuar auditorias regularmente(Depto de Seg)

Segurança da Informação –Processos de Gerência de Riscos

http://www.sans.org/security-resources/policies/

…Eu não sei exatamente quando isso aconteceu, mas laptops e PCs tornaram-se dispositivos de computação legados,substituídos por telefones celulares, tablets, CFTV, carros, drones, satélites, comunicação M2M .

Apenas quando eu pensei que estávamos conseguindo manusearmuito melhor a segurança do Windows, Mac e outros sistemas Unix, ocorreu uma explosão de novos dispositivos que conectam-senas nossas redes e que simplesmente não têm os mesmos controles de segurança que dependem de nós.

Internet das Coisas (IOT)

• IP v6– 2128 endereços possíveis = (ou 340 seguido de 36

zeros)=bilhões de quatrilhões por habitante• RFID• Sensores• Scanners• Nanotecnologia• Gerência absoluta?

IOTs Machine-to-machine(M2M) communication

DataScience

Inovação

Estatística

TecnologiasDe

Informação

Estratégia de Negóci

os

Humanos e entidades que possuem conhecimento:

Humanos e entidades

Recebe informacao

Reconhece

Identifica

AnalisaInterpretaSintetizaDecide

Planeja

Implementa

Monitora

adapta


Conceito de segurança 1

• “Diz-se que um sistema é seguro se ele foi alterado pelo proprietário com a intenção de se reduzir a frequência ou a severidade dos eventos adversos"

Handbook of Information and Communication Security- Peter Stavroulakis,Mark Stamp (Eds.) - 2010

Basicamente, a ISO 27001 estabelece os requisitos para a forma como uma organização pode implementar os processos/mecanismos/técnicas/dispositivos de segurança da norma ISO 17799:2005.

"Esta Norma foi preparada para fornecer um modelo para a criação, implantação, operação, monitoramento, revisão, manutenção e melhoria de um

Sistema de Gestão de Segurança da Informação (SGSI). “

Implantação

Revisão

Monitoramento

Melhoria

CriaçãoOperação

Manutenção

De acordo com a norma, um SGSI é definido como: “Um sistema de gestão inclui estrutura organizacional, políticas, planejamento atividades, responsabilidades, práticas, procedimentos, processos e recursos. "

Em outras palavras, o SGSI abrange todo o seu programa de segurança da informação, incluindo a sua relação com outras partes da corporação.

Se a norma 27001 ISO não fornecesse um texto completo para um programa de segurança da informação adequado, várias funções organizacionais, incluindo uma lista de documentos adequados, dificilmente essas funcionalidades poderiam ser implantadas a contento.

A ISO 27001 utiliza uma abordagem baseada em processos, copiando o modelo definido pela primeira vez pelo Organização para a Cooperação e Desenvolvimento Econômico (OCDE).O Modelo foi definido em quatro ações: Planejar, Fazer, Revisar, Agir ( Plan-Do-Check-Act (PDCA)

Planejar, Fazer, Revisar, Agir ( Plan-Do-Check-Act (PDCA)

Information Security Management System (ISMS)

Conceito do ciclo de vida da informação.

Conceito das propriedades da informação.

ISO 17799 áreas chave que se deve enfocar ao usar o Sistema deGestão da Segurança da Informação (SGSI) ISO 17799 Política de Segurança Você tem uma documentada para demonstrar o apoio e o comprometimento da administração ao processo do Sistema de Gestão da Segurança da Informação?

I S O - 1 7 7 9 9

segurança física e lógica de redes

Documents