Segurança Física e Lógica de Redes

Segurança Física e Lógica de Redes

Fernando Cerutti, Dr.

Mail: [email protected]: faceruttiSkype: facerutti

mailto:[email protected]

IES - SEGURANÇA LÓGICA E FISICA 2

Ementa• Conceito de:

– ameaças, – vulnerabilidades, – risco, – impacto, – contingência – e processos de negócios dentro da óptica da Segurança da Informação.

• Conceito das propriedades da informação.• Conceito do ciclo de vida da informação. • Análise das principais ameaças e vulnerabilidades a que estão

sujeitas as redes.


Ementa (cont)

• Definição das barreiras metodológicas de segurança e determinação do uso de tecnologias e equipamentos associados a cada uma destas barreiras.

• Exposição da Norma ABNT NBR ISO/IEC 17799,– seus controles essenciais– e práticas de segurança da informação.

• Ameaças físicas a uma rede. • Redundância • Firewall. • Plano de Contingência.

Documentação


Sofismas 1

Se você FALHA no planejamento,

você está planejando a FALHA.



DocumentaçãoDocumentação:

Clara, Concisa, com instruções detalhadas, de

forma que se possa entender e repetir o certo e evitar os erros passados


DOCUMENTAÇÃO!


Definições

– PORTFÓLIO: • É um (ou mais) conjunto de programas e/ou projetos agrupados para

gerenciamento eficaz, com o objetivo atingir os objetivos do planejamento estratégico do negócio. Os Programas e projetos do portfolio podem não ser interdependentes ou diretamente relacionados.

– PROGRAMA:• É um (ou mais) conjunto de projetos agrupados, compondo com estes

projetos o (os) portfolio(s) definidos pelo planejamento estratégico da organização.

No escopo deste documento, os termos e acrônimos possuem o significado descrito nesta seção. Quando omissos, os termos e acrônimos devem ser entendidos conforme as normas pertinentes e, em último caso, segundo as melhores práticas mundiais em programas/projetos semelhantes



Ex. Programa e projetos


Mais definições– INTERESSADOS (Stakeholders):

• São pessoas com interesses e influências específicas na organização, projeto, serviço. Os interessados podem estar interessados em ações, metas, recursos ou resultados. Podem ser clientes, parceiros, colaboradores, acionistas, proprietários, gerentes, diretores ou qualquer outro ocupante de um cargo no organograma das organizações envolvidas.

– PADRÃO:• Um padrão é definido, pela Organização Internacional Da Estandardização (ISO) e da

Comissão Eletrotécnica Internacional (IEC) (ISO/IEC Guide2: Estandardização e atividades relacionadas - vocabulário, dados gerais), como “Um documento, estabelecido por consenso e aprovado por um organismo reconhecido, que fornece, para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados, visando atingir a excelencia da ordem em contextos determinados.

• A American National Standards Institute (ANSI) acrescenta que um padrão define as características de um produto, processo ou serviço, tais como dimensões, aspectos de segurança e requisitos de desempenho.”

No contexto desse documento, as definições serão utilizadas em conjunto.

– NORMATIZAÇÃO:• A normatização é definida pelo ANSI como “O uso de produtos comuns, processos,

procedimentos e políticas para facilitar a realização dos objetivos do negócio”.

Rethinking 70-20-10

70%

10%

20%

Aprendizado ocorre com experiência no Trabalho

Aprendizado com outros

Aprendizado com Cursos FormaisSource: Robert Eichinger & Michael Lombardo, CCL.


SEGURANÇA

Segurança

Física Lógica

Dois grandes Domínios do Portfólio


Fisíca

• Controles físicos: • são barreiras que limitam o contato ou acesso

direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta.

• Existem mecanismos de segurança que apóiam os controles físicos – DEVEM Seguir a Política

• Portas / trancas / paredes / blindagem / guardas /Sinalização, Crachá de Circulação, Zoneamento, Áreas restritas, Graus de severidade


Lógicos• Controles lógicos: são barreiras que impedem ou limitam o acesso a

informação, que está em ambiente controlado, e que sem tais controles, modo ficaria exposta a alteração não autorizada por elemento mal intencionado.

• Mecanismos de cifração ou encriptação• Assinatura digital – Garante a Origem• Mecanismos de garantia da integridade da informação: • Mecanismos de controle de acesso: Palavras-chave, sistemas biométricos,

firewalls, cartões inteligentes.• Mecanismos de certificação: Atesta a validade de um documento.• Integridade: Medida em que um serviço/informação é genuíno, isto é, está

protegido contra a personificação por intrusos.• Protocolos seguros: Uso de protocolos que garantem um grau de segurança

http://pt.wikipedia.org/w/index.php?title=Sistema_biom%C3%A9trico&action=edit&redlink=1

http://pt.wikipedia.org/wiki/Firewall


Recursos Influentes

Figura 1-Abordagem correta para Segurança da Informação.


Pessoas

• Pessoas: O elemento mais importante na gestão da segurança, pois em essência são elas que executam e suportam os processos de uma organização. Esse elemento da abordagem trata os assuntos relacionados com as pessoas, seus papéis e responsabilidades na organização, indo desde a capacitação dos profis sionais responsáveis pela segurança até o treinamento dos colaboradores, passando pela criação de uma cultura e conscientização da organização, além de seus parceiros (fornecedores, clientes, terceirizados).


relacionamentos entre os componentes de segurança da informação. (Adaptado de Roberto Amaral,2003)


Tríade Clássica

A Segurança da Informação tem como propósito proteger as informações registradas, sem importar onde estejam situadas:

impressas em papel, nos discos rígidos dos computadores ou até mesmo na memória das pessoas que as conhecem.

Os princípios básicos da segurança da informação, classicamente foram 3: Integridade;Confidencialidade;Disponibilidade.


Integridade

• A Integridade permite garantir que a informação não tenha sido alterada de forma não autorizada e, portanto, é íntegra.O receptor deverá ter a segurança de que a informação recebida, lida ou enviada é exatamente a mesma que foi colocada à sua disposição pelo emissor para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado original.


CONFIDENCIALIDADE

• O princípio da Confidencialidade da informação tem como objetivo garantir que apenas a pessoa correta tenha acesso a informação.

• Perda de confidencialidade significa perda de segredo. • Se uma informação for confidencial, ela será secreta e

deverá ser guardada com segurança, e não divulgada para pessoas não autorizadas.

• Para que um informação possa ser utilizada, ela deve estar disponível.


Disponibilidade• A Disponibilidade é o terceiro princípio básico de Segurança de

Informação.

• Refere-se à disponibilidade da informação e de toda a estrutura física e tecnológica que permite o acesso, o trânsito e o armazenamento.

• Assim, o ambiente tecnológico e os suportes da informação deverão estar funcionando corretamente para que a informação armazenada neles e que por eles transita possa ser utilizada pelo usuário.


ATIVOS E CICLO DE VIDA• Toda e qualquer informação, que seja um elemento

essencial para os negócios de uma organização deve ser preservada pelo período necessário, de acordo com sua importância (CICLO DE VIDA).

• A informação é um bem como qualquer outro e por isso deve ser tratada como um Ativo. (ASSET)

• Ativos são elementos que sustentam a operação do negócio e estes sempre trarão consigo Vulnerabilidade que, por sua vez, submetem os ativos a Ameaças.


5 princípios da segurança

SegurançaISO/IEC

17799:2005

ConfidencialidadeDisponibilidade

IntegridadeIrretratabilidad

e ou não repúdio

Autenticidade

Tríade +2

http://pt.wikipedia.org/wiki/ISO/IEC

http://pt.wikipedia.org/wiki/17799:2005

http://pt.wikipedia.org/wiki/Confidencialidade

http://pt.wikipedia.org/wiki/Disponibilidade


http://pt.wikipedia.org/wiki/Integridade


http://pt.wikipedia.org/w/index.php?title=Irretratabilidade_ou_n%C3%A3o_rep%C3%BAdio&action=edit&redlink=1



http://pt.wikipedia.org/wiki/Autenticidade



6 princípios da segurança

SegurançaISO/IEC

17799:2005

ConfidencialidadeDisponibilidade

IntegridadeIrretratabilidad

e ou não repúdio

Autenticidade

Privacidade

Redes Sociais, e-comerce

http://pt.wikipedia.org/wiki/ISO/IEC

http://pt.wikipedia.org/wiki/17799:2005












Privac

idade


• Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.

• Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).




• Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.

• Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo.

• Irretratabilidade ou não repúdio - propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita





Uso ilícito


SEGURANÇA

SATI

SFAÇ

ÃO D

O U

SUÁR

IO

0

LEI NÚMERO 0:

SEGURANÇA1

Satisfação

NBR ISO/IEC 27001:2013 e da ABNT NBR ISO/IEC 27002:2013

Organização da Segurança da Informação

Um conjunto estruturado de Gerência

Direciona

Monitora

Controla

COMITÊ EXECUTIVOPresidido pelo CIO

Comitê de AuditoriasCoord: Gerente de

Auditorias

Comite de SegurançaCoord: Chief Security

Officer (CSO)

Gerente de Segurança da Informação

Administração da Segurança

Políticas e Aderências (Normas, Leis,

Padrões)

Gerência de Risco e Contingência

Operações de Segurança

Comitês Locais de Informação LSC

1 por local

Donos dos Ativos de Informação

(IAOs)

Gerentes de Segurança do Site

(SSMs)

VigilantesGerência de

suprimentos (energia, água, outros)

Comite de RiscosCoord: Gerente de

Riscos

1. Captação de Recursos2-Identificação dos

Riscos 3-Avaliação dos

Riscos

4-Documentos

5-Mitigação dos Riscos

6-Validação

7-Monitoramento

8-Auditoria

Descreve os Recursos e Taxa de Sensibilidade aos Riscos

(Dono do Negócio)

Identifica e classifica as Ameaças, Vulnerabilidades e Riscos(Depto de Segurança da

Informação)

Decisão de Aceitar, Evitar, Transferir

ou Mitigar o Risco(Depto Seg &

Dono do Negócio)

Decisões sobre riscos de Documentosincluindo Exceções e Planos de Mitigação

Implementação do Plano de MitigaçãoCom Controles Especificados

(Depto Seg ou terceiros)

Teste dos Controles para Assegurar que a exposição ATUAL dos riscosalcancem os níveis de risco Considerados no plano. (Depto Seg)

Acompanhamento contínuo das alterações no sistema,

as quais possam afetar o Perfil dos Riscos (Depto Seg)

Efetuar auditorias regularmente(Depto de Seg)

Segurança da Informação –Processos de Gerência de Riscos


Componentes PSI


Ataques


Analogia da Cebola


Política (presidencia e conselho diretivo) Estratégia, Tática


ISO/IEC 27002:20008• De acordo com a norma, existem 11(onze) seções de

controle de segurança da informação, os quais são dispostos abaixo com seus respectivos objetivos:

• Política de segurança da informaçãoDispor uma orientação e apoio da direção para a segurança da informação. A política deve ter uma abrangência ampla, publicada e comunicada a todos os servidores e partes externas. A política deve ser analisada criticamente em intervalos planejados ou quando necessário.


Controle SI• Organização da segurança da informaçãoGerenciar a segurança da informação dentro da organização. Estabelecimento de uma estrutura de gestão para planejar e controlar a implementação da segurança da informação na organização. • Gestão de ativosAlcançar e manter a proteção adequada dos ativos da organização. Orientação sobre realização de inventário dos ativos informacionais, recomendações de classificação da informação considerada crítica rotulando-a.


Controle SI• Segurança em recursos humanosGarantir a segurança da informação em três momentos diferentes da “vida” profissional do servidor na organização, que é antes da contratação, durante a contratação e no encerramento ou mudança de contratação.

• Segurança física e do ambientePrevenir o acesso físico não autorizado, danos e interferência com as instalações e informações da organização.

• Gerenciamento das operações e comunicaçõesGarantir a operação segura e correta dos recursos de processamento da informação. Diretrizes para a proteção de dados a informações durante o processo de comunicação.


Controle SIControle de acessoControlar o acesso à informação e assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação.

Aquisição, desenvolvimento e manutenção de sistemas de informação Garantir que segurança é parte integrante de sistemas de informação. Diretrizes para o uso de controles de segurança em todas as etapas do ciclo de vida dos sistemas.

Gestão de incidentes de segurança da informação Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. Abrange controles que cuidam da organização caso ela sofra um incidente de segurança que está previsto ou não.


Controle SI• Gestão de continuidade de negocio Recomendação para que a organização se prepare para neutralizar as interrupções às atividades organizacionais e proteja os processos críticos na ocorrência de uma falha ou desastre significativo.

• Conformidade:

Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segu rança da informação. Busca verificar a conformidade legal e técnica da organização e de evidencias das auditorias feitas para garantia destas conformidades.


Pontos Críticos para o Sucesso de uma PSI

• Vigilânciasignifica que todos os membros da organização devem entender a im-• portância da segurança para a mesma, fazendo com que atuem como guardiões para

monitorarem os sistemas e a rede;

• b) Atitudesignifica a postura e a conduta quanto à segurança. Sem atitude necessária, • a segurança proposta não terá nenhum valor, para isso, é essencial que os

funcionários da or-• ganização tenham compreensão e cumplicidade quando à Política definida;

• c) Estratégia diz respeito a ser criativo quanto às definições da política e do plano de • defesa contra intrusões;


Controle SI

• D) Tecnologiaa solução tecnológica deve ser adaptativa e flexível, a fim de suprir as necessidades estratégicas da organização.



$$ e segurança• O investimento e avanço em segurança reagem de maneira semelhante às curvas

geradas por PG• (progressão geométrica) e PA (progressão aritmética), respectivamente, como se

fosse necessário• aumento geométrico dos investimentos financeiros e esforços para se conseguir um

aumento aritmético• no nível de segurança. Ao atingirmos o nível desejado de segurança a curva de

investimento tem seu• ponto de inflexão e a de segurança passa a ser estável por um período e passará a

decair. É importante• notar que o investimento em segurança diminuirá a partir deste ponto, mas jamais

poderá ser eliminado• por completo, pois o custo de manutenção deverá ser mantido para que o nível de

segurança alcançado• seja mantido e que o processo de gestão (PDCA) seja preservado.


O investimento em segurança deve ser proporcional ao valor do bem que se pretende proteger.

Axioma

http://www.sans.org/security-resources/policies/

…Eu não sei exatamente quando isso aconteceu, mas laptops e PCs tornaram-se dispositivos de computação legados,substituídos por telefones celulares, tablets, CFTV, carros, drones, satélites, comunicação M2M .

Apenas quando eu pensei que estávamos conseguindo manusearmuito melhor a segurança do Windows, Mac e outros sistemas Unix, ocorreu uma explosão de novos dispositivos que conectam-senas nossas redes e que simplesmente não têm os mesmos controles de segurança que dependem de nós.

Internet das Coisas (IOT)

• IP v6– 2128 endereços possíveis = (ou 340 seguido de 36

zeros)=bilhões de quatrilhões por habitante• RFID• Sensores• Scanners• Nanotecnologia• Gerência absoluta?

IOTs Machine-to-machine(M2M) communication

DataScience

Inovação

Estatística

TecnologiasDe Informação

Estratégia de

Negócios

VVv

Humanos e entidades que possuem conhecimento:

Humanos e

entidades Recebe

informacao

Reconhece

Identifica

Analisa

InterpretaSintetiza

Decide

Planeja

Implementa

Monitora

adapta


Conceito de segurança 1

• “Diz-se que um sistema é seguro se ele foi alterado pelo proprietário com a intenção de se reduzir a frequência ou a severidade dos eventos adversos"

Handbook of Information and Communication Security- Peter Stavroulakis,Mark Stamp (Eds.) - 2010

Basicamente, a ISO 27001 estabelece os requisitos para a forma como uma organização pode implementar os processos/mecanismos/técnicas/dispositivos de segurança da norma ISO 17799:2005.

"Esta Norma foi preparada para fornecer um modelo para a criação, implantação, operação, monitoramento, revisão, manutenção e melhoria de um

Sistema de Gestão de Segurança da Informação (SGSI). “

Implantação

Revisão

Monitoramento

Melhoria

CriaçãoOperação

Manutenção

De acordo com a norma, um SGSI é definido como: “Um sistema de gestão inclui estrutura organizacional, políticas, planejamento atividades, responsabilidades, práticas, procedimentos, processos e recursos. "

Em outras palavras, o SGSI abrange todo o seu programa de segurança da informação, incluindo a sua relação com outras partes da corporação.

Se a norma 27001 ISO não fornecesse um texto completo para um programa de segurança da informação adequado, várias funções organizacionais, incluindo uma lista de documentos adequados, dificilmente essas funcionalidades poderiam ser implantadas a contento.

A ISO 27001 utiliza uma abordagem baseada em processos, copiando o modelo definido pela primeira vez pelo Organização para a Cooperação e Desenvolvimento Econômico (OCDE).O Modelo foi definido em quatro ações: Planejar, Fazer, Revisar, Agir ( Plan-Do-Check-Act (PDCA)

Planejar, Fazer, Revisar, Agir ( Plan-Do-Check-Act (PDCA)

Information Security Management System (ISMS)

Conceito do ciclo de vida da informação.

Conceito das propriedades da informação.

ISO 17799 áreas chave que se deve enfocar ao usar o Sistema deGestão da Segurança da Informação (SGSI) ISO 17799 Política de Segurança Você tem uma documentada para demonstrar o apoio e o comprometimento da administração ao processo do Sistema de Gestão da Segurança da Informação?

I S O - 1 7 7 9 9

Documents

Segurança Física e Lógica de Redes