Beruflich Dokumente
Kultur Dokumente
Segurana de Redes
Segurana de Redes
Segurana de Redes
Na realidade trabalha-se com nveis de segurana, pois existe um paradoxo que precisa ser balanceado e otimizado sempre:
segurana/usabilidade
- Integridade - Disponibilidade
-Outros aspectos:
- Autenticidade - Legalidade
- AUTENTICIDADE
- LEGALIDADE
- Integridade:
- Refere-se proteo da informao contra alteraes em seu estado original, sejam elas intencionais ou acidentais.
- Disponibilidade:
- Refere-se a garantia de que a informao s possa ser acessada por aqueles que dela necessitam e no momento em que precisam.
Exerccios: 1) Descreva aplicao. 2) Qual a importncia em se conhecer o ciclo de vida da informao? sucintamente os trs pilares da Segurana da Informao e cite exemplos de sua
Ameaas fsicas:
Ameaas Humanas
Usurios
Ladro
Ameaas Tecnolgicas
Malwares SPAM
Fraudes
Vulnerabilidades Fsicas
Vazamentos
Vulnerabilidades Humanas
Desconhecimento tcnico
Vulnerabilidades Tecnolgicas
Falhas tecnolgicas
Cabeamento no estruturado
Sistema desatualizado
Fonte: www.rnp.br/cais
Impacto:
Abrangncia dos danos causados por um incidente de segurana sobre um ou mais processos de negcio.
Estratgias de Segurana:
- Teoria do Permetro:
Teoria est associada compartimentalizao de espaos fsicos e lgicos; Isso distribui a resistncia por reas, dificultando as tentativas de acesso indevido.
Estratgias de Segurana:
- Teoria do Permetro:
Propicia o estabelecimento de diversas barreiras de proteo at que o agente possa alcanar o alvo, ou seja, a informao. Saber segmentar os ativos fsicos, tecnolgicos e humanos em categorias, conforme a similaridade de sua criticidade e valor facilitam a seleo dos mecanismos de proteo adequados e garantem maior efetividade dos mesmos.
Estratgias de Segurana:
- Teoria do Permetro
Estratgias de Segurana:
- Estratgias de proteo: - Privilgio Mnimo; - Defesa em Profundidade; - Elo mais Fraco; - Ponto de Estrangulamento; - Segurana pela Obscuridade; - Simplicidade.
Estratgias de Segurana:
- Estratgias de proteo:
Privilgio Mnimo:
- Refere-se a uma no exposio de risco desnecessria; - Segundo esse enfoque, o acesso a um usurio deve ser restrito as suas reais necessidades para o desempenho de suas funes.
Estratgias de Segurana:
- Estratgias de proteo:
Defesa em Profundidade:
Refere-se aplicao de defesas distintas, de controles complementares como redundncia, para no caso de falha ou violao de um, haja outro controle e no torne o sistema como um todo vulnervel e restrito a somente um nico controle, pois em segurana nada infalvel.
Estratgias de Segurana:
- Estratgias de proteo:
Estratgias de Segurana:
- Estratgias de proteo:
- Ponto de Estrangulamento:
Refere-se a adotar medidas de segurana estratgicas em um mesmo ponto de controle em que passem todos os usurios.
Estratgias de Segurana:
- Estratgias de proteo:
Estratgias de Segurana:
- Estratgias de proteo:
Simplicidade:
Refere-se estratgia de que quanto mais complexo um sistema, maior a dificuldade em torn-lo seguro.
Estratgias de Segurana:
- Antes de implementar qualquer estratgia convm verificar:
O que proteger? Contra que ou quem? Quais as ameaas mais provveis? Qual a importncia de cada recurso?
Estratgias de Segurana:
Qual o grau de proteo desejado? Quanto tempo, RH, e recursos financeiros se pretende investir? Quais as expectativas dos usurios e clientes? Quais os impactos e conseqncias para a organizao no caso da explorao bem sucedida de uma ou mais vulnerabilidades?
Exerccios:
1) Descreva sucintamente a correlao entre ameaa,
vulnerabilidade e risco. 2) Descreva incidente de segurana. 3) Qual a importncia da teoria do permetro para a estratgia da segurana da informao?
Exerccios:
( ) Quanto menos informaes um agente tiver a respeito do ambiente alvo, maior ser a sua dificuldade em invadilo. ) Aplicao de defesas distintas, de controles complementares como redundncia, para no caso de falha ou violao de um, haja outro controle e no torne o sistema como um todo vulnervel e restrito a somente um nico controle.
Exerccios:
( ) Tem por objetivo tornar o custo da invaso maior do que o valor da informao. ( ) Resistncia distribuda por espaos fsicos e lgicos.
Tpicos: - Conceitos bsicos de Segurana de Redes; - Engenharia Social; - Poltica de Segurana da Informao; - Classificao da Informao; - Exerccios.
Segurana de Redes:
- A segurana de redes envolve um conjunto de: - Estratgias; - Polticas; - Produtos (Software e Hardware); - Servios; - Processos automatizados; - Tcnicas de segurana.
Segurana de Redes:
Principais ameaas (agentes):
- Hackers; - Espies; - Ladres; - Ex-funcionrios; - Terroristas.
Segurana de Redes:
Motivaes:
- Diverso; - Espionagem industrial; - Vingana; - Vaidade; - Dinheiro.
Segurana de Redes:
- Planos de ataque:
Um agente competente desenvolve um plano de ao: - Estudo do alvo; - Ferramentas de escuta; - Informaes sobre o sistema e sobre a rede; - Vulnerabilidades de cdigo remoto; - Vulnerabilidades de sistemas, servios de rede e falhas de configurao de equipamentos, etc.
Engenharia Social:
- um mtodo em que o agente se utiliza da persuaso. Engenharia: - Construo de tticas de acesso a informaes crticas. Social: - Os alvos so pessoas com papis bem definidos na sociedade.
Engenharia Social:
- Utilizam tcnicas de PNL (Programao Neurolingustica) ou tcnicas de leitura do comportamento humano; - Requer habilidades psico-sociais; - Esta tcnica permite obter informaes crticas de forma simples e efetiva: Apenas perguntando!
Engenharia Social:
- Explora o comportamento humano (elo mais fraco): - Ingenuidade/despreparo; - Confiana; - Medo; - Ambio; - Vaidade; - Ira.
Engenharia Social:
- Tcnicas: - Estuda o alvo e aprende seus comportamentos; - Aprende linguagem e traquejos utilizados no meio profissional; - Falsidade ideolgica/estelionato; - Disfarces; - Uso de autoridade; - Tcnicas e ferramentas tecnolgicas.
Engenharia Social:
- Contra medidas:
- Controlar o fator humano; - Treinamentos anti engenharia social; - Emprego de Polticas de Segurana.
Poltica de Segurana:
- Regula como deve ser gerenciada e protegida a informao, recursos e usurios; - Estabelece padres, responsabilidades e critrios para todo o ciclo de vida da informao; - Deve-se observar os controles previstos na NBR 27002.
Poltica de Segurana:
- A poltica Subdividida em:
Diretrizes:
Expressa a importncia que a Organizao d a informao. Ex: necessidade de salvaguarda de determinada informao.
Procedimentos e instrues:
Detalham os passos necessrios a realizao de uma determinada atividade. Ex: passos necessrios para proceder o descarte de mdia magntica.
Classificao da Informao:
- Processo de identificar e definir nveis e critrios adequados de proteo. - Objetiva garantir informao o tratamento adequado quanto a(o): - Valor; - Sensibilidade/criticidade; - Requisitos legais; - Risco de vazamento de informao/perda.
Classificao da Informao:
- Um dos pilares da gesto da segurana da informao. - Deve estar alinhada a Poltica de Segurana da Informao e aos objetivos do negcio e legislao vigente. - Deve contemplar todo o ciclo de vida da informao.
Classificao da Informao:
- Exige a formalizao de dois documentos: - Esquema de classificao: nveis de classificao. - Procedimentos de Rotulao e tratamento: - Necessidade de segurana; - Necessidade de acesso; - Necessidade de conhecer; - Natureza do contedo; - Legislao vigente .
Classificao da Informao:
- No mbito da Administrao Pblica Federal: - Decreto 4.553/2002 - No mbito privado: - Depende da natureza da organizao e dos objetivos estratgicos da organizao.
Classificao da Informao:
Exerccios:
1) Cite uma situao que reflita uma ao da tcnica de engenharia social. 2) Qual a contra-medida recomendada para proteger os ativos da organizao contra a ao da engenharia social? 3) Cite uma norma que faz parte da poltica de segurana da sua empresa. 4) Qual a importncia da poltica de segurana para a organizao?
Exerccios:
5) Cite quatro benefcios da poltica de segurana para uma organizao. 6) Por que a organizao deve classificar suas informaes? 7) Cite alguns rtulos empregados na classificao da
informao de sua organizao. 8) Quais os prejuzos que uma organizao pode sofrer por no classificar a informao?
Implantao da S.I:
- A implantao da segurana requer:
- Comprometimento da alta administrao; - Criao de uma rea especfica; - Equipe qualificada e habilitada; - Abordagens de processo.
Abordagem de Processo:
Considera-se como abordagem de processo: - Qualquer atividade que faz uso de recursos e os gerencia para habilitar a transformao de entradas e sadas pode ser considerada um processo. - Freqentemente a sada de um processo forma diretamente a entrada de outro. - A aplicao de um sistema de processos junto com a identificao e interaes destes processos, e a sua gesto podem ser consideradas como abordagem de processos.
Normas de Segurana:
- Tem o propsito de definir: - Regras; - Padres; - Instrumentos de controle. - Objetivam uniformizar: - Processos; - Produtos; - Servios. - Estabelecem a busca da melhoria contnua da qualidade.
Norma ABNT NBR-ISO/IEC 27001:2006 Tcnicas de Segurana Sistema de Gesto de Segurana da Informao - Requisitos:
- A norma NBR 27001 est alinhada com as normas: - NBR ISO 9001- Sistema de gesto da qualidade. - NBR ISO 14001- Sistema de gesto ambiental.
Direito Digital
Tpico: - Crimes envolvendo segurana e computao. - Legislao concernente ao tratamento e proteo da informao. - Exerccios.
Segurana
A tipificao requer apreciao cuidadosa: Ausncia de legislao especfica para tratar determinados casos dentro de ambiente ciberntico; Cdigo Penal: No h crime sem lei anterior que o defina, nem h pena sem prvia cominao legal. A maior parte dos incidentes de segurana da informao e atos ilcitos envolvendo ambiente ciberntico ou digital ainda tratada sob a ptica do contexto convencional, como fraude, falsificao, estelionato, entre outros crimes.
Crimes ambientais:
- Ordenamento Urbano, Patrimnio Histrico, Artstico e Cultural, Lei n 9605/1998
Questes cveis:
- Contratos feitos pela Internet; - Danos morais e materiais.