segurança física e lógica de redes
DESCRIPTION
Segurança Física e Lógica de Redes. Fernando Cerutti, Dr. Mail: [email protected] Twitter : facerutti Skype: facerutti. Ementa. Conceito de: ameaças , vulnerabilidades , risco , impacto , contingência - PowerPoint PPT PresentationTRANSCRIPT
Segurança Física e Lógica de Redes
Fernando Cerutti, Dr.
Mail: [email protected]: faceruttiSkype: facerutti
IES - SEGURANÇA LÓGICA E FISICA 2
Ementa
• Conceito de:– ameaças, – vulnerabilidades, – risco, – impacto, – contingência – e processos de negócios dentro da óptica da Segurança da
Informação.• Conceito das propriedades da informação.• Conceito do ciclo de vida da informação. • Análise das principais ameaças e vulnerabilidades a que estão
sujeitas as redes.
IES - SEGURANÇA LÓGICA E FISICA 3
Ementa (cont)
• Definição das barreiras metodológicas de segurança e determinação do uso de tecnologias e equipamentos associados a cada uma destas barreiras.
• Exposição da Norma ABNT NBR ISO/IEC 17799,– seus controles essenciais– e práticas de segurança da informação.
• Ameaças físicas a uma rede. • Redundância • Firewall. • Plano de Contingência.
Documentação
IES - SEGURANÇA LÓGICA E FISICA 4
Sofismas 1
Se você FALHA no planejamento,
você está planejando a FALHA.
IES - SEGURANÇA LÓGICA E FISICA 5
IES - SEGURANÇA LÓGICA E FISICA 6
DocumentaçãoDocumentação:
Clara, Concisa, com instruções detalhadas, de
forma que se possa entender e repetir o certo e evitar os erros passados
IES - SEGURANÇA LÓGICA E FISICA 7
DOCUMENTAÇÃO!
IES - SEGURANÇA LÓGICA E FISICA 8
Definições
– PORTFÓLIO: • É um (ou mais) conjunto de programas e/ou projetos agrupados para
gerenciamento eficaz, com o objetivo atingir os objetivos do planejamento estratégico do negócio. Os Programas e projetos do portfolio podem não ser interdependentes ou diretamente relacionados.
– PROGRAMA:• É um (ou mais) conjunto de projetos agrupados, compondo com estes
projetos o (os) portfolio(s) definidos pelo planejamento estratégico da organização.
No escopo deste documento, os termos e acrônimos possuem o significado descrito nesta seção. Quando omissos, os termos e acrônimos devem ser entendidos conforme as normas pertinentes e, em último caso, segundo as melhores práticas mundiais em programas/projetos semelhantes
IES - SEGURANÇA LÓGICA E FISICA 9
IES - SEGURANÇA LÓGICA E FISICA 10
Ex. Programa e projetos
IES - SEGURANÇA LÓGICA E FISICA 11
Mais definições– INTERESSADOS (Stakeholders):
• São pessoas com interesses e influências específicas na organização, projeto, serviço. Os interessados podem estar interessados em ações, metas, recursos ou resultados. Podem ser clientes, parceiros, colaboradores, acionistas, proprietários, gerentes, diretores ou qualquer outro ocupante de um cargo no organograma das organizações envolvidas.
– PADRÃO:• Um padrão é definido, pela Organização Internacional Da Estandardização (ISO) e da
Comissão Eletrotécnica Internacional (IEC) (ISO/IEC Guide2: Estandardização e atividades relacionadas - vocabulário, dados gerais), como “Um documento, estabelecido por consenso e aprovado por um organismo reconhecido, que fornece, para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados, visando atingir a excelencia da ordem em contextos determinados.
• A American National Standards Institute (ANSI) acrescenta que um padrão define as características de um produto, processo ou serviço, tais como dimensões, aspectos de segurança e requisitos de desempenho.”
No contexto desse documento, as definições serão utilizadas em conjunto.
– NORMATIZAÇÃO:• A normatização é definida pelo ANSI como “O uso de produtos comuns, processos,
procedimentos e políticas para facilitar a realização dos objetivos do negócio”.
Rethinking 70-20-10
70%
10%
20%
Aprendizado ocorre com experiência no Trabalho
Aprendizado com outros
Aprendizado com Cursos FormaisSource: Robert Eichinger & Michael Lombardo, CCL.
IES - SEGURANÇA LÓGICA E FISICA 13
SEGURANÇA
Segurança
Física Lógica
Dois grandes Domínios do Portfólio
IES - SEGURANÇA LÓGICA E FISICA 14
Fisíca
• Controles físicos: • são barreiras que limitam o contato ou acesso
direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta.
• Existem mecanismos de segurança que apóiam os controles físicos – DEVEM Seguir a Política
• Portas / trancas / paredes / blindagem / guardas /Sinalização, Crachá de Circulação, Zoneamento, Áreas restritas, Graus de severidade
IES - SEGURANÇA LÓGICA E FISICA 15
Lógicos• Controles lógicos: são barreiras que impedem ou limitam o acesso a
informação, que está em ambiente controlado, e que sem tais controles, modo ficaria exposta a alteração não autorizada por elemento mal intencionado.
• Mecanismos de cifração ou encriptação• Assinatura digital – Garante a Origem• Mecanismos de garantia da integridade da informação: • Mecanismos de controle de acesso: Palavras-chave, sistemas biométricos,
firewalls, cartões inteligentes.• Mecanismos de certificação: Atesta a validade de um documento.• Integridade: Medida em que um serviço/informação é genuíno, isto é, está
protegido contra a personificação por intrusos.• Protocolos seguros: Uso de protocolos que garantem um grau de segurança
IES - SEGURANÇA LÓGICA E FISICA 16
Recursos Influentes
Figura 1-Abordagem correta para Segurança da Informação.
IES - SEGURANÇA LÓGICA E FISICA 17
Pessoas
• Pessoas: O elemento mais importante na gestão da segurança, pois em essência são elas que executam e suportam os processos de uma organização. Esse elemento da abordagem trata os assuntos relacionados com as pessoas, seus papéis e responsabilidades na organização, indo desde a capacitação dos profis sionais responsáveis pela segurança até o treinamento dos colaboradores, passando pela criação de uma cultura e conscientização da organização, além de seus parceiros (fornecedores, clientes, terceirizados).
IES - SEGURANÇA LÓGICA E FISICA 18
relacionamentos entre os componentes de segurança da informação. (Adaptado de Roberto Amaral,2003)
IES - SEGURANÇA LÓGICA E FISICA 19
Tríade Clássica
A Segurança da Informação tem como propósito proteger as informações registradas, sem importar onde estejam situadas:
impressas em papel, nos discos rígidos dos computadores ou até mesmo na memória das pessoas que as conhecem.
Os princípios básicos da segurança da informação, classicamente foram 3: Integridade;Confidencialidade;Disponibilidade.
IES - SEGURANÇA LÓGICA E FISICA 20
Integridade
• A Integridade permite garantir que a informação não tenha sido alterada de forma não autorizada e, portanto, é íntegra.O receptor deverá ter a segurança de que a informação recebida, lida ou enviada é exatamente a mesma que foi colocada à sua disposição pelo emissor para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado original.
IES - SEGURANÇA LÓGICA E FISICA 21
CONFIDENCIALIDADE
• O princípio da Confidencialidade da informação tem como objetivo garantir que apenas a pessoa correta tenha acesso a informação.
• Perda de confidencialidade significa perda de segredo. • Se uma informação for confidencial, ela será secreta e
deverá ser guardada com segurança, e não divulgada para pessoas não autorizadas.
• Para que um informação possa ser utilizada, ela deve estar disponível.
IES - SEGURANÇA LÓGICA E FISICA 22
Disponibilidade
• A Disponibilidade é o terceiro princípio básico de Segurança de Informação.
• Refere-se à disponibilidade da informação e de toda a estrutura física e tecnológica que permite o acesso, o trânsito e o armazenamento.
• Assim, o ambiente tecnológico e os suportes da informação deverão estar funcionando corretamente para que a informação armazenada neles e que por eles transita possa ser utilizada pelo usuário.
IES - SEGURANÇA LÓGICA E FISICA 23
ATIVOS E CICLO DE VIDA
• Toda e qualquer informação, que seja um elemento essencial para os negócios de uma organização deve ser preservada pelo período necessário, de acordo com sua importância (CICLO DE VIDA).
• A informação é um bem como qualquer outro e por isso deve ser tratada como um Ativo. (ASSET)
• Ativos são elementos que sustentam a operação do negócio e estes sempre trarão consigo Vulnerabilidade que, por sua vez, submetem os ativos a Ameaças.
IES - SEGURANÇA LÓGICA E FISICA 24
5 princípios da segurança
SegurançaISO/IEC
17799:2005
ConfidencialidadeDisponibilidade
IntegridadeIrretratabilidade ou não repúdio
Autenticidade
IES - SEGURANÇA LÓGICA E FISICA 25
6 princípios da segurança
SegurançaISO/IEC
17799:2005
ConfidencialidadeDisponibilidade
IntegridadeIrretratabilidade ou não repúdio
Autenticidade
Privacidade
Redes Sociais, e-comerce
IES - SEGURANÇA LÓGICA E FISICA 26
Privac
idade
IES - SEGURANÇA LÓGICA E FISICA 27
• Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
• Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
IES - SEGURANÇA LÓGICA E FISICA 28
• Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
• Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo.
• Irretratabilidade ou não repúdio - propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita
IES - SEGURANÇA LÓGICA E FISICA 29
SEGURANÇA
SATI
SFAÇ
ÃO D
O U
SUÁR
IO
0
LEI NÚMERO 0:
SEGURANÇA1
Satisfação
NBR ISO/IEC 27001:2013 e da ABNT NBR ISO/IEC 27002:2013
Organização da Segurança da Informação
Um conjunto estruturado de Gerência
Direciona
Monitora
Controla
COMITÊ EXECUTIVOPresidido pelo CIO
Comitê de AuditoriasCoord: Gerente de
Auditorias
Comite de SegurançaCoord: Chief Security
Officer (CSO)
Gerente de Segurança da Informação
Administração da Segurança
Políticas e Aderências (Normas, Leis,
Padrões)
Gerência de Risco e Contingência
Operações de Segurança
Comitês Locais de Informação LSC
1 por local
Donos dos Ativos de Informação
(IAOs)
Gerentes de Segurança do Site
(SSMs)
VigilantesGerência de
suprimentos (energia, água, outros)
Comite de RiscosCoord: Gerente de
Riscos
1. Captação de Recursos2-Identificação dos
Riscos 3-Avaliação dos
Riscos
4-Documentos
5-Mitigação dos Riscos
6-Validação
7-Monitoramento
8-Auditoria
Descreve os Recursos e Taxa de Sensibilidade aos Riscos
(Dono do Negócio)
Identifica e classifica as Ameaças, Vulnerabilidades e Riscos(Depto de Segurança da
Informação)
Decisão de Aceitar, Evitar, Transferir
ou Mitigar o Risco(Depto Seg &
Dono do Negócio)
Decisões sobre riscos de Documentosincluindo Exceções e Planos de Mitigação
Implementação do Plano de MitigaçãoCom Controles Especificados
(Depto Seg ou terceiros)
Teste dos Controles para Assegurar que a exposição ATUAL dos riscosalcancem os níveis de risco Considerados no plano. (Depto Seg)
Acompanhamento contínuo das alterações no sistema,
as quais possam afetar o Perfil dos Riscos (Depto Seg)
Efetuar auditorias regularmente(Depto de Seg)
Segurança da Informação –Processos de Gerência de Riscos
http://www.sans.org/security-resources/policies/
…Eu não sei exatamente quando isso aconteceu, mas laptops e PCs tornaram-se dispositivos de computação legados,substituídos por telefones celulares, tablets, CFTV, carros, drones, satélites, comunicação M2M .
Apenas quando eu pensei que estávamos conseguindo manusearmuito melhor a segurança do Windows, Mac e outros sistemas Unix, ocorreu uma explosão de novos dispositivos que conectam-senas nossas redes e que simplesmente não têm os mesmos controles de segurança que dependem de nós.
Internet das Coisas (IOT)
• IP v6– 2128 endereços possíveis = (ou 340 seguido de 36
zeros)=bilhões de quatrilhões por habitante• RFID• Sensores• Scanners• Nanotecnologia• Gerência absoluta?
IOTs Machine-to-machine(M2M) communication
DataScience
Inovação
Estatística
TecnologiasDe
Informação
Estratégia de Negóci
os
Humanos e entidades que possuem conhecimento:
Humanos e entidades
Recebe informacao
Reconhece
Identifica
AnalisaInterpretaSintetizaDecide
Planeja
Implementa
Monitora
adapta
IES - SEGURANÇA LÓGICA E FISICA 40
Conceito de segurança 1
• “Diz-se que um sistema é seguro se ele foi alterado pelo proprietário com a intenção de se reduzir a frequência ou a severidade dos eventos adversos"
Handbook of Information and Communication Security- Peter Stavroulakis,Mark Stamp (Eds.) - 2010
Basicamente, a ISO 27001 estabelece os requisitos para a forma como uma organização pode implementar os processos/mecanismos/técnicas/dispositivos de segurança da norma ISO 17799:2005.
"Esta Norma foi preparada para fornecer um modelo para a criação, implantação, operação, monitoramento, revisão, manutenção e melhoria de um
Sistema de Gestão de Segurança da Informação (SGSI). “
Implantação
Revisão
Monitoramento
Melhoria
CriaçãoOperação
Manutenção
De acordo com a norma, um SGSI é definido como: “Um sistema de gestão inclui estrutura organizacional, políticas, planejamento atividades, responsabilidades, práticas, procedimentos, processos e recursos. "
Em outras palavras, o SGSI abrange todo o seu programa de segurança da informação, incluindo a sua relação com outras partes da corporação.
Se a norma 27001 ISO não fornecesse um texto completo para um programa de segurança da informação adequado, várias funções organizacionais, incluindo uma lista de documentos adequados, dificilmente essas funcionalidades poderiam ser implantadas a contento.
A ISO 27001 utiliza uma abordagem baseada em processos, copiando o modelo definido pela primeira vez pelo Organização para a Cooperação e Desenvolvimento Econômico (OCDE).O Modelo foi definido em quatro ações: Planejar, Fazer, Revisar, Agir ( Plan-Do-Check-Act (PDCA)
Planejar, Fazer, Revisar, Agir ( Plan-Do-Check-Act (PDCA)
Information Security Management System (ISMS)
Conceito do ciclo de vida da informação.
Conceito das propriedades da informação.
ISO 17799 áreas chave que se deve enfocar ao usar o Sistema deGestão da Segurança da Informação (SGSI) ISO 17799 Política de Segurança Você tem uma documentada para demonstrar o apoio e o comprometimento da administração ao processo do Sistema de Gestão da Segurança da Informação?
I S O - 1 7 7 9 9