Embed Size (px)
Escola NavalMestrado em
Segurança da Informação eDireito no Ciberespaço
Segurança da informação nas organizaçõesProcessos de comunicação
Fernando Correia
Capitão-de-fragata EN-AEL
DEZ 2015
Fernando Correia (Ph.D Eng. Informática) 1/24
Objetivos
Compreender os diferentes tipos de comunicações.
Compreender o impacto da Internet nos processos decomunicação inter-pessoais e nos modelos de negócio.
Compreender as diferenças nas estratégias de emprego deaplicações VoIP e SIP.
Compreender os problemas de segurança que os equipamentosmóveis provocaram nos sistemas de comunicações.
Fernando Correia (Ph.D Eng. Informática) 2/24
O telefone e as comunicações
O telefone como equipamento de comunicação, precede o PCcomo meio de comunicação de massas.
Os telefones tornaram-se cada vez como um dispositivo comum,estando disponível tanto no trabalho com em casa.
Até meados dos anos 80, as comunicações pessoais e de trabalhoestavam assentes em três ferramentas:O telefone: para comunicações inter-pessoais em tempo real.
Máquinas de atendimento automático: critico para guardarmensagens quando o destinatário não está presente.
Fax: transmissão de dados em tempo real sobre linhasanalógicas.
Fernando Correia (Ph.D Eng. Informática) 3/24
O telefone e as comunicações
No anos 80 os telefones evoluíram,tornaram-se digitais e a oferta deserviços de comunicações aumentou.Nos anos 90 com o desenvolvimento daInternet, a conectividade entre pessoas esistemas aumentou exponencialmente.
As organizações ligaram-se à WorldWide Web (WWW) e começaram a usaresta nova ferramenta na sua área denegócio.Atualmente com portáteis, smartphonese tablets, a comunicação é feita emqualquer lugar, quase em tempo real.
Fernando Correia (Ph.D Eng. Informática) 4/24
A evolução das comunicações
Antes da fibra ótica, a ligação entre centrais telefónicas era feita através defios de cobre e os dados eram transportados em transmissões analógicas.
utilizam sinais eléctricos gerados de forma continua.
são susceptíveis a interferências e ruído, e com tal, introdução de erros.
são lentas, onde o ritmo de transmissão máximo é de 56Kb/s.
têm uma largura de banda limitada ao espectro de frequências que oouvido humano pode detectar.
Fernando Correia (Ph.D Eng. Informática) 5/24
Riscos, Ameaças e Vulnerabilidades
Actualmente, qualquer sistema de comunicações que tenha umcomputador a fazer a gestão do serviço, está vulnerável aataques.
Os ataques têm normalmente a intenção de alcançar o acessonão autorizado ao sistema de controlo.
Este tipo de ataque permite ao atacante usar o sistema pararealizar de forma anónima ataques a outros sistemas.
Com a massificação dos telefones, os sistemas de gestão decomunicações privados não tiveram em consideração as questõesde segurança, deixando abertas algumas portas que permitem ocontrolo do sistema.
Fernando Correia (Ph.D Eng. Informática) 6/24
Segurança do sistema de telefones
Definir e usar um conjunto de politicas desegurança.
Usar segurança física.
Desactivar o acesso remoto através de canais demanutenção do sistema.
Manter actualizado o sistema operativo.
Definir classe de serviço de utilizador para oscolaboradores.
Não permitir o acesso de linhas de comunicação exteriores apartir das caixas de correio de voz.Manter ativo o sistema de registo de chamadas.Realizar auditorias períodicas.
Fernando Correia (Ph.D Eng. Informática) 7/24
VoIP e SIP
O VoIP é uma tecnologia de comunicações de voz que usa asredes de dados com requisitos de tempo real.O VoIP utiliza o protocolo SIP para estabelecer as chamadas devoz e unificar as comunicações do utilizador.
O SIP dispõe das seguintes funcionalidades:1 Presença e disponibilidade.2 Mensagens instantâneas.3 Conferencia áudio.4 Vídeo conferência.5 Colaboração.
Fernando Correia (Ph.D Eng. Informática) 8/24
Riscos, Ameaças e Vulnerabilidades
Os protocolos VoIP e SIP não são seguros.
A segurança destes serviços está dependente do nível desegurança que a infraestrutura de rede dispõe.
Um fator de segurança a considerar é a segmentação da rede, emredes virtuais (VLAN), onde são criadas infraestruturas virtuaisseparadas para voz e dados.
Este processo de segmentação reduz o risco de intrusão na redede voz da organização.
Fernando Correia (Ph.D Eng. Informática) 9/24
Riscos, Ameaças e Vulnerabilidades
Segurança:
Extremo-a-extremo
Segurança física
Segurança dainfraestrutura de rede
Segurança nas operaçõese processos deadministração
Fernando Correia (Ph.D Eng. Informática) 10/24
Como as pessoas comunicam
Pessoas Voz MSG MAIL Disp. CHAT A/V Colab.Adolescente L H M H H L LE.Universit. L H H H H L LPai (Gen.Y) M H H H H L LPai (BabyBo-omer)
H L M L L L L
VendedorMarketing
H M H H H H H
Gestor H M H M M H HAdministrador H L H L L H H
L=baixa utilização; M=utilização média; H=utilização elevada
Fernando Correia (Ph.D Eng. Informática) 11/24
Comunicações multimodais
As pessoas usam diferentes métodos de comunicação. Uns preferemfalar, outros enviar mensagens. Os métodos de comunicação devemestar adaptados às suas necessidades funcionais. Devem serconsiderados diversos fatores:
Que tipo de dispositivos extremo-a-extremo são usados?O acesso a informação em tempo real é critico para ocolaborador?O acesso em tempo real é essencial?São necessário requisitos especiais para melhor a produtividade?
Fernando Correia (Ph.D Eng. Informática) 12/24
Mobilidade
As comunicações foram adaptadas àevolução da tecnologia.
As comunicações de voz e dadosdeixaram de ser fixas. Os dispositivosterminais ganharam capacidade deprocessamento e mobilidade.
Os paradigmas de comunicaçãomudaram.
As organizações adotaram o conceito Bring Your Own Device (BYOD).
O colaborar pode estar disponível para a organização em qualquerlugar, em qualquer altura.
E quanto à segurança?
Fernando Correia (Ph.D Eng. Informática) 13/24
Mobilidade
A mobilidade de um colaborador está relacionada com os serviçosmóveis que dispõe:
Voz: o serviço de voz global é disponibilizado pela redede satélites IRIDIUM. Ao nível quase global existeo serviço de roaming disponível com a tecnologiaGSM.
Voz/Dados: serviço disponível sobre a rede GSM com atecnologia Genaral Packet radio System(GPRS) e High Speed Packet Access (HSPA).
Dados IP: ligação a qualquer rede de dados.Dados IP móvel: ligação a uma rede estrangeira mantendo o
mesmo endereço IP.
Fernando Correia (Ph.D Eng. Informática) 14/24
Riscos, Ameaças e Vulnerabilidades
Mobilidade dos dispositivos: podemmover de lugar para lugar.
Capacidade de ligação a qualquerrede.
Podem ser perdidos ou roubados.
A segurança dos dispositivos móveisrequer alterações de hardware e demecanismos protocolares.
Fernando Correia (Ph.D Eng. Informática) 15/24
Riscos, Ameaças e Vulnerabilidades
Riscos, Ameaças, Vulnerabilidades MitigaçãoAPs não confiáveis VPN para acesso à redeRedes externas não confiáveis. VPN para acesso à redeDados sensíveis em dispositivos móveis Mandatorio a cifra de dados sensíveisPerda ou roubo do dispositivo Necessário software que apague os dados
depois de tentativas falhadas de login ouroubo.
Sistema de segurança fraco no disposi-tivo
Necessário política de acesso aos dados(utilização de código de acesso) e soft-ware antivírus e antimalware. Formaçãosobre normas de segurança para utiliza-ção do dispositivo.
Partilha de dados pessoais e da organiza-ção no mesmo dispositivo
Políticas fortes sobre uso aceitável e se-paração de dados.
Spoofing e roubo de sessões Políticas e formação sobre as melhorespráticas quando ligado a redes não con-fiáveis.
Fernando Correia (Ph.D Eng. Informática) 16/24
Bring your own device (BYOD)
O conceito BYODultrapassa o que épolíticas de segurança.
BYOD significa trazerpara a organizaçãodispositivos que osserviços de segurançanão controlam.
O desafio do conceito BYOD é balancear a utilidade e segurançadestes dispositivos na rede da organização.
Cada organização deve determinar o melhor controlo adesenvolver para permitir uma acesso seguro sem tornar o
processo de ligação à rede demasiado complexo.
Fernando Correia (Ph.D Eng. Informática) 17/24
Ataques maliciosos - o que proteger?
Um ativo é qualquer item que tem valor. Embora todos os itens daorganização tenham valor, um ativo é um item de valor excecional. Oativos considerados são:
Infraestrutura de rede e serviços TI - hardware, software eserviços.Propriedade intelectual - informação sensível, tal como,patentes, código fonte, formulas, etc.Informação financeira e de finanças - contas bancárias, dadosde cartões de crédito, transações financeiras.Disponibilidade e produtividade de serviços - capacidade dosserviços informáticos e do software de suporte à produtividade daorganização.Reputação - tendências cooperativos e imagem de marca.
Fernando Correia (Ph.D Eng. Informática) 18/24
Infraestrutura de rede e serviços TI
Fernando Correia (Ph.D Eng. Informática) 19/24
Propriedade intelectual
A Propriedade Intelectual é um ativoda organização.
Pode ser uma processo negocial único oudados específicos de um negocio.
A perda de propriedade intelectual podeconduzir a perda de vantagemcompetitiva.
A questão central da perspetiva desegurança das TI é de proteger contraroubo a Propriedade Intelectual eprevenir a sua divulgação para aconcorrência e para o púbico em geral.
Fernando Correia (Ph.D Eng. Informática) 20/24
Finanças e dados financeiros
Os ativos Financeiros são dos ativosmais importantes de uma organização.
Os ativos financeiros podem ser:contas bancáriascontas de aquisiçõescartões de crédito corporativosou outras fontes directas de créditoou dinheiro
Os ativos podem também ser dados que permitem o acessodireto a bens financeiros tangíveis.A perda de ativos financeiros devido a ataques maliciosos é o piorcenário que uma organização pode enfrentar. Não apenasrepresenta uma perda física de bens, como uma perda de imageme reputação a longo prazo.
Fernando Correia (Ph.D Eng. Informática) 21/24
Disponibilidade de serviços e produtividade
O serviços críticos devem estar disponíveis parauso na organização.
O Downtime é o tempo de indisponibilidade deum serviço devido a falhas no sistema oumanutenção.
O Downtime pode ser planeado ou não.
Uma ação de manutenção é um eventointencional planeado - causa um impactomínimo à produtividade da organização.
O Downtime não planeado pode ser resultado deuma falha técnica, de um erro humano, ou deum ataque ao sistema - interno ou externo.
Uma paragem do serviço devido a ataque épouco comum, mas tem vindo a aumentar.
Fernando Correia (Ph.D Eng. Informática) 22/24
Reputação
As organizações padecem de falhas de segurança e ataquesmaliciosos.Estas falhas expõe qualquer ativo, perante a opiniões negativaspor parte do público em geral.As falhas prejudicam a imagem da organização, mesmo que oproblema tenha sido resolvido eficientemente, o que fica é aperceção de fragilidade.Como consequência, uma baixa dos lucros da organização.
Fernando Correia (Ph.D Eng. Informática) 23/24
Dúvidas ?
Fernando Correia (Ph.D Eng. Informática) 24/24
