SRC SRC (Segurança em Redes de (Segurança em Redes de Computadores)Computadores)
Tecnologia em Redes de ComputadoresProf. Esp. Juan Carlos Oliveira LamarãoApres. nº 02 - 2016
AgendaAgenda
1. Segurança da Informação1.1 Segurança e Segurança Física
1.2 Segurança da Informação
1.1.1 BS 7799
1.1.2 ISO/IEC 17799
1.1.3 NBR ISO 17799
1.1.4 ISO 27001
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 3
SEGURANÇA DA INFORMAÇÃO
Unidade 1
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 4
SEGURANÇA E SEGURANÇA FÍSICA
Unidade 1.1
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 5
Máximas da SegurançaMáximas da Segurança
Não existe segurança absoluta
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 6
Máximas da SegurançaMáximas da Segurança
Não há como garantir um sistema 100% seguro, mas podemos assegurar o grau de segurança do sistema.
Importância dos Dados
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 7
Máximas da SegurançaMáximas da Segurança
A segurança sempre é uma questão de
economia
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 8
Máximas da SegurançaMáximas da Segurança
Uma corrente é tão forte quando o seu elo
mais fraco
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 9
Máximas da SegurançaMáximas da Segurança
Mantenha o nível de suas defesas
aproximadamente na mesma altura
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 10
Máximas da SegurançaMáximas da Segurança
Não subestime o valor do seu patrimônio
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 11
História da SegurançaHistória da Segurança
“Com a evolução da tecnologia de informação foram sendo criados novos modelos de processamento, de armazenamento, de transmissão, de integração, enfim tudo o que hoje em dia nos é mais natural, o computador. Com isso informações e dados começaram a trafegar entre sistemas sendo processados e armazenados. Bem, agora temos “algo dentro” dos computadores, sendo assim, temos que nos certificar que estas informações fiquem disponíveis somente para quem é de direito.
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 12
História da SegurançaHistória da Segurança
Hoje em dia vemos bilhões de dólares trafegando entre países e bancos, mas não da forma antiga, em moeda corrente, mas sim em bits, dinheiro “virtual”, hoje temos milhões em um banco em ilha na Ásia e daqui a quinze minutos estes milhões estão em um banco qualquer da Europa. Isso pode parecer meio normal hoje em dia, além disso, temos nossos dados cadastrais, identidade, CPF, endereços, telefones até mesmo nossos hábitos armazenados em sistemas computadorizados.
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 13
História da SegurançaHistória da Segurança
Sendo assim foi-se necessário à criação de uma área da tecnologia de informação que pressuponho ser a única que nunca se extinguirá, a Tecnologia de Segurança da Informação. Hoje vemos profissionais especializados em tal área sendo contratados por bancos, administradoras de cartões, companhias telefônicas, multinacionais até mesmo no setor público. Com esse avanço brutal da Tecnologia de Informação, mais e mais dados foram sendo colocados em sistemas, e tais dados têm de ser protegidos.
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 14
História da SegurançaHistória da Segurança
Assim chegamos nos dias atuais onde todo tipo de informação trafega entre sistemas auxiliados pelo crescimento da Internet, que teve a incumbência de interligar os diversos sistemas espalhados pelo Mundo. Chegamos a criar um novo tipo de “bandido”, o cracker e suas derivações, tais “profissionais” tem somente o intuito de invadir sistemas, quebrar senhas, destruir informações somente pelo prazer pessoal ou o sadismo de ver a desordem e o caos.”
Marcelo MagalhãesFaculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 15
Segurança Baseada em Host Segurança Baseada em Host vsvs Baseada Baseada em Redeem Rede
Segurança Baseada em Host:“Se um host estiver conectado a uma rede, cabe a ele proteger a si próprio contra violações originadas na rede.” [Bellovin, Cheswick e Rubin 2005]
Problemas da Segurança Baseada em Host:A maioria dos computadores já são vendidos com brechas conhecidas. Ex.: desatualizações
Serviços desnecessários (brechas)
Mais complexo
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 16
Segurança Baseada em Host Segurança Baseada em Host vsvs Baseada Baseada em Redeem Rede
Segurança Baseada em Rede (Segurança de Perímetro):“Se for muito difícil manter segura cada casa em uma vizinhança, talvez os residentes possam associar-se para construir um muro em torno da cidade.” [Bellovin, Cheswick e Rubin 2005]
Este tipo de segurança é mais comumente utilizada nas redes e conta com mecanismos como: Firewall, IDS baseados em rede e etc.
Problemas da Segurança Baseada em Rede:Menos segura do que a Segurança baseada em host
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 17
Ameaças no Ambiente DomesticoAmeaças no Ambiente Domestico
Avanço das tecnologias de banda largaGrandes períodos de conexão com a internetAusência de cuidados ao se navegarNão atualização do sistema (principalmente em sistemas piratas)Acesso não autorizado
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 18
Ameaças no Ambiente CorporativoAmeaças no Ambiente Corporativo
O dobro das mesmas preocupações com o ambiente doméstico.Segurança de dados e informações empresariaisTerminais de Clientes e Caixas automáticos (bancos com segurança lógica e física)Acesso indevido a usuários não autorizados (lei do menor privilégio)Acesso de ex-funcionários
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 19
A Necessidade de SegurançaA Necessidade de Segurança
Qualquer sistema que esteja interligado e integrado a outros sistemas deve possuir um nível de segurança, nível este que será obtido de acordo com o tipo de informação e dados que serão armazenados nestes sistemas.
Todo e qualquer usuário, seja doméstico ou corporativo tem dados a serem protegidos.
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 20
SEGURANÇA E SEGURANÇA FÍSICA
Unidade 1.1
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 21
A Segurança FísicaA Segurança Física
De nada vale se ter a mais avançada configuração de Firewall, Roteadores, Sistemas de Detecção de Intrusão e ferramentas de monitoramento se qualquer pessoa pode acessar os equipamentos onde esses serviços estão alocados.
Tipos de Mecanismos:Controles de PerímetroCatracas, portas, etc..Senhas de AcessoCartões/TokensMecanismos Biométricos
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 22
Mecanismos de SegurançaMecanismos de Segurança
Perímetros de Segurança Física
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 23
Nível 1:Acesso Público
Ex.:- Totens de Consulta- Saguão do Prédio
Mecanismos de SegurançaMecanismos de Segurança
Perímetros de Segurança Física
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 24
Nível 2:Baixa Segurança
Ex.:- Estação de Atendimento (secretária)
Mecanismos de SegurançaMecanismos de Segurança
Perímetros de Segurança Física
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 25
Nível 3:Média Segurança
Ex.:- Estação de Trabalho (Funcionários)
Mecanismos de SegurançaMecanismos de Segurança
Perímetros de Segurança Física
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 26
Nível 4:Alta Segurança
Ex.:- Estações de Trabalho (TI)- Equipamentos de Rede (Switches, cabeamento)- Backup de dados não críticos
Mecanismos de SegurançaMecanismos de Segurança
Perímetros de Segurança Física
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 27
Nível 5:Segurança Máxima
Ex.:- Servidores- Backup de dados Críticos- Storage- Datacenter
A Segurança FísicaA Segurança Física
Perímetros de Segurança Física
Deve seguir a política de Segurança Física
Todos os ativos devem ser classificados com nível de segurança física adequado
Os limites de perímetros devem ser sinalizados
Diferentes mecanismos de autenticação devem ser utilizados, de acordo com o perímetro
Deve existir possibilidade de auditoria de acesso e monitoramento
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 28
A Segurança FísicaA Segurança Física
Perímetros de Segurança FísicaEx.:
Se a política diz que todos os dispositivos de perímetro nível 4 devem possuir acesso restrito com chave.
Se os switches são dispositivos de nível 4
Então todos os switches da empresa devem estar de acordo com a política, mesmo estando espalhados na área física do prédio
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 29
AtividadeAtividade
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 30
Faça um breve Projeto de Segurança da Informação de Nível Físico em formato de Artigo.
Contendo:
Título, Nome, Resumo e Abstract, Palavras-chave, Introdução, Departamentos da Empresa, Níveis de Segurança, Mecanismos de Segurança, mais acréscimos caso ache necessário.
Informando:Níveis de Segurança
Quais os mecanismos de segurança e de autenticação
Informando o que o levou a escolher este equipamento em detrimento de outro
Entrega 1: 18/02/2016 Entrega 2: 25/02/2016
AtividadeAtividade
Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 31
Top Related