Unidade 1.1 Segurança e Segurança Física

SRC SRC (Segurança em Redes de (Segurança em Redes de Computadores)Computadores)

Tecnologia em Redes de ComputadoresProf. Esp. Juan Carlos Oliveira LamarãoApres. nº 02 - 2016

AgendaAgenda

1. Segurança da Informação1.1 Segurança e Segurança Física

1.2 Segurança da Informação

1.1.1 BS 7799

1.1.2 ISO/IEC 17799

1.1.3 NBR ISO 17799

1.1.4 ISO 27001

Faculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 3

SEGURANÇA DA INFORMAÇÃO

Unidade 1


SEGURANÇA E SEGURANÇA FÍSICA

Unidade 1.1


Máximas da SegurançaMáximas da Segurança

Não existe segurança absoluta



Não há como garantir um sistema 100% seguro, mas podemos assegurar o grau de segurança do sistema.

Importância dos Dados



A segurança sempre é uma questão de

economia



Uma corrente é tão forte quando o seu elo

mais fraco



Mantenha o nível de suas defesas

aproximadamente na mesma altura



Não subestime o valor do seu patrimônio


História da SegurançaHistória da Segurança

“Com a evolução da tecnologia de informação foram sendo criados novos modelos de processamento, de armazenamento, de transmissão, de integração, enfim tudo o que hoje em dia nos é mais natural, o computador. Com isso informações e dados começaram a trafegar entre sistemas sendo processados e armazenados. Bem, agora temos “algo dentro” dos computadores, sendo assim, temos que nos certificar que estas informações fiquem disponíveis somente para quem é de direito.



Hoje em dia vemos bilhões de dólares trafegando entre países e bancos, mas não da forma antiga, em moeda corrente, mas sim em bits, dinheiro “virtual”, hoje temos milhões em um banco em ilha na Ásia e daqui a quinze minutos estes milhões estão em um banco qualquer da Europa. Isso pode parecer meio normal hoje em dia, além disso, temos nossos dados cadastrais, identidade, CPF, endereços, telefones até mesmo nossos hábitos armazenados em sistemas computadorizados.



Sendo assim foi-se necessário à criação de uma área da tecnologia de informação que pressuponho ser a única que nunca se extinguirá, a Tecnologia de Segurança da Informação. Hoje vemos profissionais especializados em tal área sendo contratados por bancos, administradoras de cartões, companhias telefônicas, multinacionais até mesmo no setor público. Com esse avanço brutal da Tecnologia de Informação, mais e mais dados foram sendo colocados em sistemas, e tais dados têm de ser protegidos.



Assim chegamos nos dias atuais onde todo tipo de informação trafega entre sistemas auxiliados pelo crescimento da Internet, que teve a incumbência de interligar os diversos sistemas espalhados pelo Mundo. Chegamos a criar um novo tipo de “bandido”, o cracker e suas derivações, tais “profissionais” tem somente o intuito de invadir sistemas, quebrar senhas, destruir informações somente pelo prazer pessoal ou o sadismo de ver a desordem e o caos.”

Marcelo MagalhãesFaculdade de Tecnologia do Amapá - METACurso de Tecnologia em Redes de Computadores - [email protected] Página 15

Segurança Baseada em Host Segurança Baseada em Host vsvs Baseada Baseada em Redeem Rede

Segurança Baseada em Host:“Se um host estiver conectado a uma rede, cabe a ele proteger a si próprio contra violações originadas na rede.” [Bellovin, Cheswick e Rubin 2005]

Problemas da Segurança Baseada em Host:A maioria dos computadores já são vendidos com brechas conhecidas. Ex.: desatualizações

Serviços desnecessários (brechas)

Mais complexo


Segurança Baseada em Host Segurança Baseada em Host vsvs Baseada Baseada em Redeem Rede

Segurança Baseada em Rede (Segurança de Perímetro):“Se for muito difícil manter segura cada casa em uma vizinhança, talvez os residentes possam associar-se para construir um muro em torno da cidade.” [Bellovin, Cheswick e Rubin 2005]

Este tipo de segurança é mais comumente utilizada nas redes e conta com mecanismos como: Firewall, IDS baseados em rede e etc.

Problemas da Segurança Baseada em Rede:Menos segura do que a Segurança baseada em host


Ameaças no Ambiente DomesticoAmeaças no Ambiente Domestico

Avanço das tecnologias de banda largaGrandes períodos de conexão com a internetAusência de cuidados ao se navegarNão atualização do sistema (principalmente em sistemas piratas)Acesso não autorizado


Ameaças no Ambiente CorporativoAmeaças no Ambiente Corporativo

O dobro das mesmas preocupações com o ambiente doméstico.Segurança de dados e informações empresariaisTerminais de Clientes e Caixas automáticos (bancos com segurança lógica e física)Acesso indevido a usuários não autorizados (lei do menor privilégio)Acesso de ex-funcionários


A Necessidade de SegurançaA Necessidade de Segurança

Qualquer sistema que esteja interligado e integrado a outros sistemas deve possuir um nível de segurança, nível este que será obtido de acordo com o tipo de informação e dados que serão armazenados nestes sistemas.

Todo e qualquer usuário, seja doméstico ou corporativo tem dados a serem protegidos.


SEGURANÇA E SEGURANÇA FÍSICA

Unidade 1.1


A Segurança FísicaA Segurança Física

De nada vale se ter a mais avançada configuração de Firewall, Roteadores, Sistemas de Detecção de Intrusão e ferramentas de monitoramento se qualquer pessoa pode acessar os equipamentos onde esses serviços estão alocados.

Tipos de Mecanismos:Controles de PerímetroCatracas, portas, etc..Senhas de AcessoCartões/TokensMecanismos Biométricos


Mecanismos de SegurançaMecanismos de Segurança

Perímetros de Segurança Física


Nível 1:Acesso Público

Ex.:- Totens de Consulta- Saguão do Prédio




Nível 2:Baixa Segurança

Ex.:- Estação de Atendimento (secretária)




Nível 3:Média Segurança

Ex.:- Estação de Trabalho (Funcionários)




Nível 4:Alta Segurança

Ex.:- Estações de Trabalho (TI)- Equipamentos de Rede (Switches, cabeamento)- Backup de dados não críticos




Nível 5:Segurança Máxima

Ex.:- Servidores- Backup de dados Críticos- Storage- Datacenter



Deve seguir a política de Segurança Física

Todos os ativos devem ser classificados com nível de segurança física adequado

Os limites de perímetros devem ser sinalizados

Diferentes mecanismos de autenticação devem ser utilizados, de acordo com o perímetro

Deve existir possibilidade de auditoria de acesso e monitoramento



Perímetros de Segurança FísicaEx.:

Se a política diz que todos os dispositivos de perímetro nível 4 devem possuir acesso restrito com chave.

Se os switches são dispositivos de nível 4

Então todos os switches da empresa devem estar de acordo com a política, mesmo estando espalhados na área física do prédio


AtividadeAtividade


Faça um breve Projeto de Segurança da Informação de Nível Físico em formato de Artigo.

Contendo:

Título, Nome, Resumo e Abstract, Palavras-chave, Introdução, Departamentos da Empresa, Níveis de Segurança, Mecanismos de Segurança, mais acréscimos caso ache necessário.

Informando:Níveis de Segurança

Quais os mecanismos de segurança e de autenticação

Informando o que o levou a escolher este equipamento em detrimento de outro

Entrega 1: 18/02/2016 Entrega 2: 25/02/2016

AtividadeAtividade


Technology

Unidade 1.1 Segurança e Segurança Física