@let@token @let@token Mestrado em Segurança da …rcorreia/seginforg/11-processos_comunicacao.pdf@let@token @let@token Mestrado em Segurança da Informação e Direito no Ciberespaço

Escola NavalMestrado em

Segurança da Informação eDireito no Ciberespaço

Segurança da informação nas organizaçõesProcessos de comunicação

Fernando Correia

Capitão-de-fragata EN-AEL

DEZ 2015

Fernando Correia (Ph.D Eng. Informática) 1/24

Objetivos

Compreender os diferentes tipos de comunicações.

Compreender o impacto da Internet nos processos decomunicação inter-pessoais e nos modelos de negócio.

Compreender as diferenças nas estratégias de emprego deaplicações VoIP e SIP.

Compreender os problemas de segurança que os equipamentosmóveis provocaram nos sistemas de comunicações.


O telefone e as comunicações

O telefone como equipamento de comunicação, precede o PCcomo meio de comunicação de massas.

Os telefones tornaram-se cada vez como um dispositivo comum,estando disponível tanto no trabalho com em casa.

Até meados dos anos 80, as comunicações pessoais e de trabalhoestavam assentes em três ferramentas:O telefone: para comunicações inter-pessoais em tempo real.

Máquinas de atendimento automático: critico para guardarmensagens quando o destinatário não está presente.

Fax: transmissão de dados em tempo real sobre linhasanalógicas.


O telefone e as comunicações

No anos 80 os telefones evoluíram,tornaram-se digitais e a oferta deserviços de comunicações aumentou.Nos anos 90 com o desenvolvimento daInternet, a conectividade entre pessoas esistemas aumentou exponencialmente.

As organizações ligaram-se à WorldWide Web (WWW) e começaram a usaresta nova ferramenta na sua área denegócio.Atualmente com portáteis, smartphonese tablets, a comunicação é feita emqualquer lugar, quase em tempo real.


A evolução das comunicações

Antes da fibra ótica, a ligação entre centrais telefónicas era feita através defios de cobre e os dados eram transportados em transmissões analógicas.

utilizam sinais eléctricos gerados de forma continua.

são susceptíveis a interferências e ruído, e com tal, introdução de erros.

são lentas, onde o ritmo de transmissão máximo é de 56Kb/s.

têm uma largura de banda limitada ao espectro de frequências que oouvido humano pode detectar.


Riscos, Ameaças e Vulnerabilidades

Actualmente, qualquer sistema de comunicações que tenha umcomputador a fazer a gestão do serviço, está vulnerável aataques.

Os ataques têm normalmente a intenção de alcançar o acessonão autorizado ao sistema de controlo.

Este tipo de ataque permite ao atacante usar o sistema pararealizar de forma anónima ataques a outros sistemas.

Com a massificação dos telefones, os sistemas de gestão decomunicações privados não tiveram em consideração as questõesde segurança, deixando abertas algumas portas que permitem ocontrolo do sistema.


Segurança do sistema de telefones

Definir e usar um conjunto de politicas desegurança.

Usar segurança física.

Desactivar o acesso remoto através de canais demanutenção do sistema.

Manter actualizado o sistema operativo.

Definir classe de serviço de utilizador para oscolaboradores.

Não permitir o acesso de linhas de comunicação exteriores apartir das caixas de correio de voz.Manter ativo o sistema de registo de chamadas.Realizar auditorias períodicas.


VoIP e SIP

O VoIP é uma tecnologia de comunicações de voz que usa asredes de dados com requisitos de tempo real.O VoIP utiliza o protocolo SIP para estabelecer as chamadas devoz e unificar as comunicações do utilizador.

O SIP dispõe das seguintes funcionalidades:1 Presença e disponibilidade.2 Mensagens instantâneas.3 Conferencia áudio.4 Vídeo conferência.5 Colaboração.



Os protocolos VoIP e SIP não são seguros.

A segurança destes serviços está dependente do nível desegurança que a infraestrutura de rede dispõe.

Um fator de segurança a considerar é a segmentação da rede, emredes virtuais (VLAN), onde são criadas infraestruturas virtuaisseparadas para voz e dados.

Este processo de segmentação reduz o risco de intrusão na redede voz da organização.



Segurança:

Extremo-a-extremo

Segurança física

Segurança dainfraestrutura de rede

Segurança nas operaçõese processos deadministração


Como as pessoas comunicam

Pessoas Voz MSG MAIL Disp. CHAT A/V Colab.Adolescente L H M H H L LE.Universit. L H H H H L LPai (Gen.Y) M H H H H L LPai (BabyBo-omer)

H L M L L L L

VendedorMarketing

H M H H H H H

Gestor H M H M M H HAdministrador H L H L L H H

L=baixa utilização; M=utilização média; H=utilização elevada


Comunicações multimodais

As pessoas usam diferentes métodos de comunicação. Uns preferemfalar, outros enviar mensagens. Os métodos de comunicação devemestar adaptados às suas necessidades funcionais. Devem serconsiderados diversos fatores:

Que tipo de dispositivos extremo-a-extremo são usados?O acesso a informação em tempo real é critico para ocolaborador?O acesso em tempo real é essencial?São necessário requisitos especiais para melhor a produtividade?


Mobilidade

As comunicações foram adaptadas àevolução da tecnologia.

As comunicações de voz e dadosdeixaram de ser fixas. Os dispositivosterminais ganharam capacidade deprocessamento e mobilidade.

Os paradigmas de comunicaçãomudaram.

As organizações adotaram o conceito Bring Your Own Device (BYOD).

O colaborar pode estar disponível para a organização em qualquerlugar, em qualquer altura.

E quanto à segurança?


Mobilidade

A mobilidade de um colaborador está relacionada com os serviçosmóveis que dispõe:

Voz: o serviço de voz global é disponibilizado pela redede satélites IRIDIUM. Ao nível quase global existeo serviço de roaming disponível com a tecnologiaGSM.

Voz/Dados: serviço disponível sobre a rede GSM com atecnologia Genaral Packet radio System(GPRS) e High Speed Packet Access (HSPA).

Dados IP: ligação a qualquer rede de dados.Dados IP móvel: ligação a uma rede estrangeira mantendo o

mesmo endereço IP.



Mobilidade dos dispositivos: podemmover de lugar para lugar.

Capacidade de ligação a qualquerrede.

Podem ser perdidos ou roubados.

A segurança dos dispositivos móveisrequer alterações de hardware e demecanismos protocolares.



Riscos, Ameaças, Vulnerabilidades MitigaçãoAPs não confiáveis VPN para acesso à redeRedes externas não confiáveis. VPN para acesso à redeDados sensíveis em dispositivos móveis Mandatorio a cifra de dados sensíveisPerda ou roubo do dispositivo Necessário software que apague os dados

depois de tentativas falhadas de login ouroubo.

Sistema de segurança fraco no disposi-tivo

Necessário política de acesso aos dados(utilização de código de acesso) e soft-ware antivírus e antimalware. Formaçãosobre normas de segurança para utiliza-ção do dispositivo.

Partilha de dados pessoais e da organiza-ção no mesmo dispositivo

Políticas fortes sobre uso aceitável e se-paração de dados.

Spoofing e roubo de sessões Políticas e formação sobre as melhorespráticas quando ligado a redes não con-fiáveis.


Bring your own device (BYOD)

O conceito BYODultrapassa o que épolíticas de segurança.

BYOD significa trazerpara a organizaçãodispositivos que osserviços de segurançanão controlam.

O desafio do conceito BYOD é balancear a utilidade e segurançadestes dispositivos na rede da organização.

Cada organização deve determinar o melhor controlo adesenvolver para permitir uma acesso seguro sem tornar o

processo de ligação à rede demasiado complexo.


Ataques maliciosos - o que proteger?

Um ativo é qualquer item que tem valor. Embora todos os itens daorganização tenham valor, um ativo é um item de valor excecional. Oativos considerados são:

Infraestrutura de rede e serviços TI - hardware, software eserviços.Propriedade intelectual - informação sensível, tal como,patentes, código fonte, formulas, etc.Informação financeira e de finanças - contas bancárias, dadosde cartões de crédito, transações financeiras.Disponibilidade e produtividade de serviços - capacidade dosserviços informáticos e do software de suporte à produtividade daorganização.Reputação - tendências cooperativos e imagem de marca.


Infraestrutura de rede e serviços TI


Propriedade intelectual

A Propriedade Intelectual é um ativoda organização.

Pode ser uma processo negocial único oudados específicos de um negocio.

A perda de propriedade intelectual podeconduzir a perda de vantagemcompetitiva.

A questão central da perspetiva desegurança das TI é de proteger contraroubo a Propriedade Intelectual eprevenir a sua divulgação para aconcorrência e para o púbico em geral.


Finanças e dados financeiros

Os ativos Financeiros são dos ativosmais importantes de uma organização.

Os ativos financeiros podem ser:contas bancáriascontas de aquisiçõescartões de crédito corporativosou outras fontes directas de créditoou dinheiro

Os ativos podem também ser dados que permitem o acessodireto a bens financeiros tangíveis.A perda de ativos financeiros devido a ataques maliciosos é o piorcenário que uma organização pode enfrentar. Não apenasrepresenta uma perda física de bens, como uma perda de imageme reputação a longo prazo.


Disponibilidade de serviços e produtividade

O serviços críticos devem estar disponíveis parauso na organização.

O Downtime é o tempo de indisponibilidade deum serviço devido a falhas no sistema oumanutenção.

O Downtime pode ser planeado ou não.

Uma ação de manutenção é um eventointencional planeado - causa um impactomínimo à produtividade da organização.

O Downtime não planeado pode ser resultado deuma falha técnica, de um erro humano, ou deum ataque ao sistema - interno ou externo.

Uma paragem do serviço devido a ataque épouco comum, mas tem vindo a aumentar.


Reputação

As organizações padecem de falhas de segurança e ataquesmaliciosos.Estas falhas expõe qualquer ativo, perante a opiniões negativaspor parte do público em geral.As falhas prejudicam a imagem da organização, mesmo que oproblema tenha sido resolvido eficientemente, o que fica é aperceção de fragilidade.Como consequência, uma baixa dos lucros da organização.


Dúvidas ?


Documents

@let@token @let@token Mestrado em Segurança da …rcorreia/seginforg/11-processos_comunicacao.pdf@let@token @let@token Mestrado em Segurança da Informação e Direito no Ciberespaço