Segurana Fsica e Lgica de Redes Fernando Cerutti

Segurança Física e Lógica de Redes Fernando Cerutti, Dr. Mail: facerutti@gmail. com Twitter: facerutti Skype: facerutti

Ementa • Conceito de: – – – ameaças, vulnerabilidades, risco, impacto, contingência e processos de negócios dentro da óptica da Segurança da Informação. • Conceito das propriedades da informação. • Conceito do ciclo de vida da informação. • Análise das principais ameaças e vulnerabilidades a que estão sujeitas as redes. IES - SEGURANÇA LÓGICA E FISICA 2

Ementa (cont) • Definição das barreiras metodológicas de segurança e determinação do uso de tecnologias e equipamentos associados a cada uma destas barreiras. • Exposição da Norma ABNT NBR ISO/IEC 17799, – seus controles essenciais – e práticas de segurança da informação. • • Ameaças físicas a uma rede. Redundância Firewall. Plano de Contingência. IES - SEGURANÇA LÓGICA E FISICA Documentação 3

Sofismas 1 Se você FALHA no planejamento, você está planejando a FALHA. IES - SEGURANÇA LÓGICA E FISICA 4

IES - SEGURANÇA LÓGICA E FISICA 5

Documentação: Clara, Concisa, com instruções detalhadas, de forma que se possa entender e repetir o certo e evitar os erros passados Documentação IES - SEGURANÇA LÓGICA E FISICA 6

DOCUMENTAÇÃO! IES - SEGURANÇA LÓGICA E FISICA 7

Definições No escopo deste documento, os termos e acrônimos possuem o significado descrito nesta seção. Quando omissos, os termos e acrônimos devem ser entendidos conforme as normas pertinentes e, em último caso, segundo as melhores práticas mundiais em programas/projetos semelhantes – PORTFÓLIO: • É um (ou mais) conjunto de programas e/ou projetos agrupados para gerenciamento eficaz, com o objetivo atingir os objetivos do planejamento estratégico do negócio. Os Programas e projetos do portfolio podem não ser interdependentes ou diretamente relacionados. – PROGRAMA: • É um (ou mais) conjunto de projetos agrupados, compondo com estes projetos o (os) portfolio(s) definidos pelo planejamento estratégico da organização. IES - SEGURANÇA LÓGICA E FISICA 8

IES - SEGURANÇA LÓGICA E FISICA 9

Ex. Programa e projetos IES - SEGURANÇA LÓGICA E FISICA 10

Mais definições – INTERESSADOS (Stakeholders): • São pessoas com interesses e influências específicas na organização, projeto, serviço. Os interessados podem estar interessados em ações, metas, recursos ou resultados. Podem ser clientes, parceiros, colaboradores, acionistas, proprietários, gerentes, diretores ou qualquer outro ocupante de um cargo no organograma das organizações envolvidas. – PADRÃO: Um padrão é definido, pela Organização Internacional Da Estandardização (ISO) e da Comissão Eletrotécnica Internacional (IEC) (ISO/IEC Guide 2: Estandardização e atividades relacionadas - vocabulário, dados gerais), como “Um documento, estabelecido por consenso e aprovado por um organismo reconhecido, que fornece, para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados, visando atingir a excelencia da ordem em contextos determinados. • A American National Standards Institute (ANSI) acrescenta que um padrão define as características de um produto, processo ou serviço, tais como dimensões, aspectos de segurança e requisitos de desempenho. ” No contexto desse documento, as definições serão utilizadas em conjunto. • – NORMATIZAÇÃO: • IES - SEGURANÇA LÓGICA E FISICA A normatização é definida pelo ANSI como “O uso de produtos comuns, processos, 11

Rethinking 70 -20 -10 70% 20% 10% Aprendizado ocorre com experiência no Trabalho Aprendizado com outros Aprendizado com Cursos Formais Source: Robert Eichinger & Michael Lombardo, CCL.

Dois grandes Domínios do Portfólio Segurança SEGURANÇA Física IES - SEGURANÇA LÓGICA E FISICA Lógica 13

Fisíca • Controles físicos: • são barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta. • Existem mecanismos de segurança que apóiam os controles físicos – DEVEM Seguir a Política • Portas / trancas / paredes / blindagem / guardas /Sinalização, Crachá de Circulação, Zoneamento, Áreas restritas, Graus de severidade IES - SEGURANÇA LÓGICA E FISICA 14

Lógicos • Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, e que sem tais controles, modo ficaria exposta a alteração não autorizada por elemento mal intencionado. • Mecanismos de cifração ou encriptação • Assinatura digital – Garante a Origem • Mecanismos de garantia da integridade da informação: • Mecanismos de controle de acesso: Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes. • Mecanismos de certificação: Atesta a validade de um documento. • Integridade: Medida em que um serviço/informação é genuíno, isto é, está protegido contra a personificação por intrusos. • Protocolos seguros: Uso de protocolos que garantem um grau de segurança IES - SEGURANÇA LÓGICA E FISICA 15

Recursos Influentes Figura 1 Abordagem correta para Segurança da Informação. IES - SEGURANÇA LÓGICA E FISICA 16

Pessoas • Pessoas: O elemento mais importante na gestão da segurança, pois em essência são elas que executam e suportam os processos de uma organização. Esse elemento da abordagem trata os assuntos relacionados com as pessoas, seus papéis e responsabilidades na organização, indo desde a capacitação dos profis sionais responsáveis pela segurança até o treinamento dos colaboradores, passando pela criação de uma cultura e conscientização da organização, além de seus parceiros (fornecedores, clientes, terceirizados). IES - SEGURANÇA LÓGICA E FISICA 17

relacionamentos entre os componentes de segurança da informação. IES - SEGURANÇA LÓGICA E FISICA (Adaptado de Roberto Amaral, 2003) 18

Tríade Clássica A Segurança da Informação tem como propósito proteger as informações registradas, sem importar onde estejam situadas: impressas em papel, nos discos rígidos computadores ou até mesmo na memória das pessoas que as conhecem. Os princípios básicos da segurança da informação, classicamente foram 3: Integridade; Confidencialidade; Disponibilidade. IES - SEGURANÇA LÓGICA E FISICA 19

Integridade • A Integridade permite garantir que a informação não tenha sido alterada de forma não autorizada e, portanto, é íntegra. O receptor deverá ter a segurança de que a informação recebida, lida ou enviada é exatamente a mesma que foi colocada à sua disposição pelo emissor para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado original. IES - SEGURANÇA LÓGICA E FISICA 20

CONFIDENCIALIDADE • O princípio da Confidencialidade da informação tem como objetivo garantir que apenas a pessoa correta tenha acesso a informação. • Perda de confidencialidade significa perda de segredo. • Se uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e não divulgada para pessoas não autorizadas. • Para que um informação possa ser utilizada, ela deve estar disponível. IES - SEGURANÇA LÓGICA E FISICA 21

Disponibilidade • A Disponibilidade é o terceiro princípio básico de Segurança de Informação. • Refere-se à disponibilidade da informação e de toda a estrutura física e tecnológica que permite o acesso, o trânsito e o armazenamento. • Assim, o ambiente tecnológico e os suportes da informação deverão estar funcionando corretamente para que a informação armazenada neles e que por eles transita possa ser utilizada pelo usuário. IES - SEGURANÇA LÓGICA E FISICA 22

ATIVOS E CICLO DE VIDA • Toda e qualquer informação, que seja um elemento essencial para os negócios de uma organização deve ser preservada pelo período necessário, de acordo com sua importância (CICLO DE VIDA). • A informação é um bem como qualquer outro e por isso deve ser tratada como um Ativo. (ASSET) • Ativos são elementos que sustentam a operação do negócio e estes sempre trarão consigo Vulnerabilidade que, por sua vez, submetem os ativos a Ameaças. IES - SEGURANÇA LÓGICA E FISICA 23

5 princípios da segurança Confidencialidade Disponibilidade Autenticidade Segurança ISO/IEC 17799: 2005 Irretratabilidade ou não repúdio Integridade IES - SEGURANÇA LÓGICA E FISICA 24

6 princípios da segurança Confidencialidade Disponibilidade Autenticidade Segurança ISO/IEC 17799: 2005 Irretratabilidade ou não repúdio Privacidade Integridade Redes Sociais, e-comerce IES - SEGURANÇA LÓGICA E FISICA 25

e ad cid iva Pr IES - SEGURANÇA LÓGICA E FISICA 26

• Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. • Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição). IES - SEGURANÇA LÓGICA E FISICA 27

• Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. • Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo. • Irretratabilidade ou não repúdio - propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita IES - SEGURANÇA LÓGICA E FISICA 28

SATISFAÇÃO DO USUÁRIO LEI NÚMERO 0: 0 SEGURANÇA 1 Satisfação SEGURANÇA IES - SEGURANÇA LÓGICA E FISICA 29

NBR ISO/IEC 27001: 2013 e da ABNT NBR ISO/IEC 27002: 2013

Organização da Segurança da Informação Direciona Um conjunto estruturado de Gerência Monitora Controla

COMITÊ EXECUTIVO Presidido pelo CIO Comitê de Auditorias Coord: Gerente de Auditorias Comite de Segurança Coord: Chief Security Officer (CSO) Gerente de Segurança da Informação Administração da Segurança Políticas e Aderências (Normas, Leis, Padrões) Gerência de Risco e Contingência Operações de Segurança Comite de Riscos Coord: Gerente de Riscos Comitês Locais de Informação LSC 1 por local Donos dos Ativos de Informação (IAOs) Gerentes de Segurança do Site (SSMs) Vigilantes Gerência de suprimentos (energia, água, outros)

1. Captação de Recursos Descreve os Recursos e Taxa de Sensibilidade aos Riscos (Dono do Negócio) 2 -Identificação dos Riscos 3 -Avaliação dos Riscos Identifica e classifica as Ameaças, Vulnerabilidades e Riscos (Depto de Segurança da Informação) Decisão de Aceitar, Evitar, Transferir ou Mitigar o Risco (Depto Seg & Dono do Negócio) 8 -Auditoria Efetuar auditorias regularmente (Depto de Seg) 7 -Monitoramento Acompanhamento contínuo das alterações no sistema, as quais possam afetar o Perfil dos Riscos (Depto Seg) 4 -Documentos Decisões sobre riscos de Documentos incluindo Exceções e Planos de Mitigação 5 -Mitigação dos Riscos 6 -Validação Implementação do Plano de Mitigação Com Controles Especificados (Depto Seg ou terceiros) Teste dos Controles para Assegurar que a exposição ATUAL dos riscos alcancem os níveis de risco Considerados no plano. (Depto Seg) Segurança da Informação –Processos de Gerência de Riscos

…Eu não sei exatamente quando isso aconteceu, mas laptops e PCs tornaram-se dispositivos de computação legados, substituídos por telefones celulares, tablets, CFTV, carros, drones, satélites, comunicação M 2 M. Apenas quando eu pensei que estávamos conseguindo manusear muito melhor a segurança do Windows, Mac e outros sistemas Unix, ocorreu uma explosão de novos dispositivos que conectam-se nas nossas redes e que simplesmente não têm os mesmos controles de segurança que dependem de nós. http: //www. sans. org/security-resources/policies/

Internet das Coisas (IOT) • IP v 6 – 2128 endereços possíveis = (ou 340 seguido de 36 zeros)=bilhões de quatrilhões por habitante • • • RFID Sensores Scanners Nanotecnologia Gerência absoluta?

IOTs Machine-to-machine (M 2 M) communication

Inovação Estratégia Data de Estatística Negócios Science Tecnologias De Informação

Humanos e entidades que possuem conhecimento: Interpreta Sintetiza Analisa Planeja Implemen ta Identifica Reconhec e Recebe informacao Decide Monitora Humanos e entidades adapta

Conceito de segurança 1 • “Diz-se que um sistema é seguro se ele foi alterado pelo proprietário com a intenção de se reduzir a frequência ou a severidade dos eventos adversos" Handbook of Information and Communication Security- Peter Stavroulakis, Mark Stamp (Eds. ) - 2010 IES - SEGURANÇA LÓGICA E FISICA 40

Basicamente, a ISO 27001 estabelece os requisitos para a forma como uma organização pode implementar os processos/mecanismos/técnicas/dispositivos de segurança da norma ISO 17799: 2005. "Esta Norma foi preparada para fornecer um modelo para a criação, implantação, operação, monitoramento, revisão, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). “ Manutenção Melhoria Monitoramento Implantação Revisão Criação Operação

De acordo com a norma, um SGSI é definido como: “Um sistema de gestão inclui estrutura organizacional, políticas, planejamento atividades, responsabilidades, práticas, procedimentos, processos e recursos. " Em outras palavras, o SGSI abrange todo o seu programa de segurança da informação, incluindo a sua relação com outras partes da corporação.

Se a norma 27001 ISO não fornecesse um texto completo para um programa de segurança da informação adequado, várias funções organizacionais, incluindo uma lista de documentos adequados, dificilmente essas funcionalidades poderiam ser implantadas a contento. A ISO 27001 utiliza uma abordagem baseada em processos, copiando o modelo definido pela primeira vez pelo Organização para a Cooperação e Desenvolvimento Econômico (OCDE). O Modelo foi definido em quatro ações: Planejar, Fazer, Revisar, Agir ( Plan-Do-Check-Act (PDCA)

Planejar, Fazer, Revisar, Agir ( Plan-Do-Check-Act (PDCA) Information Security Management System (ISMS)

Conceito das propriedades da informação. Conceito do ciclo de vida da informação.

I S O - 1 7 7 9 9 ISO 17799 áreas chave que se deve enfocar ao usar o Sistema de Gestão da Segurança da Informação (SGSI) ISO 17799 Política de Segurança Você tem uma documentada para demonstrar o apoio e o comprometimento da administração ao processo do Sistema de Gestão da Segurança da Informação?