1 REDES DE COMPUTADORES Prof. Davis Alves Tecnólogo em Redes especializado Gerenciamento de...
-
Upload
paula-luna-peres-sampaio -
Category
Documents
-
view
215 -
download
0
Transcript of 1 REDES DE COMPUTADORES Prof. Davis Alves Tecnólogo em Redes especializado Gerenciamento de...
11
SEGURANÇASEGURANÇAFÍSICA & LÓGICA DE REDES FÍSICA & LÓGICA DE REDES
REDES DE COMPUTADORES
Prof. Davis Alves Tecnólogo em Redes
especializado Gerenciamento de Projetos
TI
Prof. Davis AlvesProf. Davis Alves6)6) Doutorando em Sustentabilidade de TI - PhD.Doutorando em Sustentabilidade de TI - PhD.
Florida Christian University - EUAFlorida Christian University - EUA
5)5) Mestre em Administração de TI Mestre em Administração de TI
4)4) Estensão em Gestão de TI Estensão em Gestão de TI
3)3) Pós-graduado em Gerenciamento de Projetos Pós-graduado em Gerenciamento de Projetos
2)2) Tecnólogo em Redes de Computadores e Internet Tecnólogo em Redes de Computadores e Internet
1)1) Administrador de Redes especializado em MicrosoftAdministrador de Redes especializado em Microsoft Certificação ITILCertificação ITIL®® Expert Expert (Gerenciamento Serviços TI)(Gerenciamento Serviços TI) Certificações Certificações ISOISO®® 20000 e 20000 e ISOISO®® 27002 27002
Certificações COBITCertificações COBIT®® e e ITMPITMP®® (Governança de TI)(Governança de TI) Certificação Green IT Foundations e Citizen Certificação Green IT Foundations e Citizen (TI Verde)(TI Verde) Certificação ICS MCSACertificação ICS MCSA®® System Administrator System Administrator Certificação DACCertificação DAC®® in Wireless Technologyin Wireless Technology
Certificação C|EHCertificação C|EH® - ® - Certified Ethical HackerCertified Ethical Hacker www.e-davis.net www.e-davis.net
33
Ocupações Instrutor oficial de certificações: ITIL® e ISO®
Professor universitário Redes e Tecnologias Professor na pós-graduação em Governança de TI Gerente de infra-estrutura grupo Millennium Network®
Administrador das Redes atualmente:
Residência e estudos
* Boston e Nova York (Estados Unidos) – Dez./Janeiro 2013
* Auckland (Nova Zelândia) – Janeiro/Fevereiro 2012
www.e-davis.net
Prof. Davis Alves
44
Tendências: Profissões em TI
CEO / CFO / CEO / CFO / CFOCFO
GESTÃO TIGESTÃO TI
PROGRAMMERPROGRAMMERADM. REDESADM. REDES
DESENVOLVIMENTODESENVOLVIMENTO
REDES IIREDES II
MASTERMASTER REDES IREDES I
GRAFICOGRAFICO WEBWEB HARDWAREHARDWARE CABLINGCABLING
DESIGNDESIGN INFRA-ESTRUTURAINFRA-ESTRUTURA
INFORMÁTICAINFORMÁTICA
55
“Qualquer um pode ser um HACKER, só basta ter um motivo!.”
Davis AlvesDavis Alves
66
OVERVIEW: Segurança Física e Lógica de RedesPeríodo Letivo: 3º e 4º semestres
Carga Horária: 120 horas – (3ª e 5ª feira – Campus TATUAPÉ – Prof. Davis Alves)
Objetivo: Conceito de ameaças, vulnerabilidades, risco, impacto, contingência e
processos de negócios dentro da ótica da Segurança da Informação. Conceito das propriedades da informação. Conceito do ciclo de vida da informação. Análise das principais ameaças e vulnerabilidades a que estão sujeitas as redes. . Analise de Risco em Processos de TIAnalise de Risco em Processos de TI..Ementa Oficial - UNIPEmenta Oficial - UNIP
Apresentação da Disciplina: SEGURANÇA
77
Metas:• Planejar, gerenciar e implementar técnicas de gestão de risco.
• Integrar as visões técnicas e de negócios através do uso de metodologias.
• Conhecer os principais aspectos da segurança da informação para construir o conceito de ambiente seguro a partir da necessidade de cada rede. – “O que é bom para um cliente pode não ser bom para outro...”
• Conhecer as principais ferramentas de software e hardware orientadas à segurança das redes. “Incluindo algumas ferramentas de ataques....”
• Aplicar os conhecimentos novos afim de minimizar riscos em processos críticos de negócio. Definir plano de contingência para situações de emergência. Medidas PDCR – Preventivas, Detectivas, Corretivas e Restauradoras
MESMO COM TUDO ISSO....
Apresentação da Disciplina: SEGURANÇA
88
“...não existe SEGURANÇA 100%”
Prof. Davis AlvesProf. Davis Alves
99
INÍCIO > 1ª aulaINÍCIO > 1ª aula
1010
Capítulo I
Princípios e Conceitos em
Segurança da Informação
1111
Conceitos
ISO/IEC-27001 (ISO 27001)É um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Foi originada do padrão britânico BS-7799 e atualmente seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como ISO 27001
Outros nomes:Outros nomes:- ISO-27k1ISO-27k1- ISO/IEC-27k1ISO/IEC-27k1- ISO-27001ISO-27001
Glossário
1212
Conceitos
Informação1 Ato ou efeito de informar. 2 Transmissão de notícias. 3Instrução, ensinamento. 4 Transmissão de conhecimentos. 5Opinião sobre o procedimento de alguém. 6 Investigação. 7Inquérito.
Fonte: Dicionário Michaelis
Seguro (Segurança)1 Livre de inquietações. 2 Sossegado. 3 Confiado. 4 Livre deperigo ou não exposto a ele. 5 Que oferece segurança contraataques, acidentes, desastres ou danos de qualquer outranatureza...
Fonte: Dicionário Michaelis
Por que falar deInformação eSegurança?
1313
ConceitosPor que falar deInformação eSegurança?
Segurança da Informação é adotar controlesfísicos, tecnológicos e humanos personalizados, queviabilizem a redução e administração dos riscos,levando a empresa a atingir o nível de segurança
adequado ao seu negócio.
NÃO EXISTE SEGURANÇA 100%, e SIM SEGURANÇA ACEITÁVEL PARA CADA NEGÓCIO!
1414
• Heterogeneidade tecnológica• Volume de informações disponibilizadas• Volume de relacionamentos com terceiros• Volume de ativos físicos, tecnológicos e humanos• Altos índices de conectividade e compartilhamento• Pressão por competitividade e lucratividade• Manutenção da credibilidade da imagem• ...
Por que falar deInformação eSegurança?
1515
A INFORMAÇÃO É UM ATIVO
VALIOSO! Pois…
“Tem mais vantagens quem sai a primeiro”
1616
InformaçãoPossuir Informação é ganhar agilidade, competitividade,previsibilidade, dinamismo. Informação é um diferencial!
• aumento da gasolina• aumento da inflação• precipitação de chuvas• promoção da passagem aérea• limite salarial para um cargo• queda da Bovespa• planos do seu chefe para você• abandono da sua empregada• mudança no Código Civil• ...
• discurso do presidente Lula• conflito no Oriente Médio• valorização do Petróleo• tendências tecnológicas• planos do concorrente• oscilação da taxa de juros• plano de greve funcionários• falência de uma parceira• resultados do último exercício• ...
EIS ALGUMAS INFORMAÇÕES QUE TALVES VOCE GOSTARIA DE SABER ANTES DOS OUTROS…
Eis alguns fatores onde existe a Dependência da informação Eis alguns fatores onde existe a Dependência da informação
1717
Informação vs SegurançaCérebro
Sangue
Coração
Sistema Circulatório
Processo deNegócio 4
Informação
AtivoTecnológico
Processo de Negócio 3
AtivoArtérias
Traquea
Sistemas Respiratório
Púlmões
AtivoFísico Físico
Processo de Negócio 2AtivoTecnoló
gicoProcesso de Negóci
Sistema Digestivo AtivoHumano
Corpo Humano Negócio
1818
Informação vs SegurançaQUE informações precisam de segurança?
• Identidade• CPF• Endereço residencial• Telefone celular• Código da maleta• Senha da agenda eletrônica• Informações bancárias e senhas• Senhas de acesso da empresa• Número do Cartão de Crédito• $ espécie na carteira• $ patrimônio• $ saldo bancário• $ prêmio do seguro de vida e beneficiários• Rotina e horários de trabalho• ONDE DEIXA A CHAVE RESERVA PARA A EMPREGADA!
1919
Informação vs SegurançaPOR QUE proteger as informações?
• Por seu valor• Pelo impacto de sua ausência
• Pela importância de sua existência• Pela relação de dependência com a sua atividade• ...
$ $INFORMAÇÕES
• Pelo impacto resultante de seu uso por terceiros
$
2020
QUANDO proteger as informações? – ISO-27001
Durante seu ciclo de vida
• Manuseio
1Manuseio 3Armazenamento 2Transporte 1Descarte
• Armazenamento
• Descarte• Transporte
INFORMAÇÕES
Informação vs Segurança
1 = Maior criticidade para o negócio2 = Media criticidade para o negócio3 = Menor criticidade para o negócio
2121
Informação vs SegurançaONDE proteger as informações?
Nos ativos que as custodiam:
• Físicos• Tecnológicos• Humanos
FÍSICOS TECNOLÓGICAS HUMANOS• agenda • sistema • funcionário• sala • e-mail • parceiro• arquivo • servidor • secretária• cofre • notebook • porteiro
2222
INÍCIO > 2ª aulaINÍCIO > 2ª aula
2323
Miopia do Iceberg
2424
Miopia do Iceberg
2525
Miopia do IcebergBug de softwareServiço crítico FTP habilitadoDesatualização do sistema operacionalFirewall sem configuração
Alarme e tranca de porta frágilSistema de combate a incêndio inoperanteCabeamento desestruturadoAusência de controle de acesso físico
Email enviado à pessoa erradaRelatório crítico descartado sem cuidadoSegredo de negócio falado no elevadorArquivo eletrônico apagado distraidamente
2626
A técnica do CIDAL
Toda ação negativa em segurança da informação, acabaFERINDO os itens do CIDAL!
“A PRINCIPAL TÉCNICA DE PROTEÇÃO DA INFORMAÇÃO”
2727
A técnica do CIDAL
O QUE proteger nas informações?
Os conceitos principais:
• Confidencialidade• Integridade• Disponibilidade
Os aspectos que enfatisa:
• Legalidade• Autenticidade
2828
CONFIDENCIALIDADE
• Def. I - - Garantia de que os dados sejam acessados por quem realmente PODE ter acesso.• Def. I - - A informação somente pode ser acessada por pessoas explicitamente autorizadas; É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo. O aspecto mais importante deste item é garantir a identificação e autenticação das partes envolvidas.
Exemplos:- Lista dos clientes que gastam acima de R$ 1000,00 ao mês- Qual computador da rede é responsável pelos backups- Qual é a senha wireless
Um princípio de segurança que requer que dados devam somenteser acessados por pessoas autorizadas.
ITIL v3
A técnica do CIDAL
2929
INTEGRIDADE
• Def. I - - Define se o conteúdo/informação está da mesma forma da última modificação autorizada.• Def. II - - A informação deve ser retornada em sua forma original no momento em que foi armazenada; É a proteção dos dados ou informações contra modificações intencionais ou acidentais não-autorizadasExemplos:- HD corrompido- Ação que pode ser ocasionada por vírus
Um princípio de segurança que garante que dados (informações) e Itens deConfiguração somente sejam modificados por pessoas e Atividades
autorizadas. Integridade considera todas as possíveis causas de modificação, incluindo Falhas de hardware e software, Eventos ambientais e intervenção
humana.ITIL v3
A técnica do CIDAL
3030
DISPONIBILIDADE
• Def. I - Define quanto tempo um ativo fica “no ar” pronto para uso quando solicitado, dentro de um desempenho aceitável.• Def. II - A informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária.
Exemplos: (Quando há falta de Disponibilidade)- O site dos bancos não acessam entre 0-1h diariamente- Esgotado o POOL válido do Servidor DHCP
Habilidade de um Item de Configuração ou Serviço de TI dedesempenhar a sua Função acordada quando necessário. Disponibilidade é
determinada pela Confiabilidade, Sustentabilidade, Funcionalidade do Serviço, Desempenho e Segurança. Disponibilidade é normalmente calculada em
porcentagens. Tal cálculo freqüentemente se baseia no Tempo de Serviço Acordado e na Indisponibilidade. É considerado Melhor Prática no cálculo da
Disponibilidade o uso de medições baseadas em transações de Negócio geradas a partir de um Serviço de TI.
ITIL v3
A técnica do CIDAL
3131
AUTENTICIDADE
• Def. I - Autenticidade a certeza de que um objeto (em análise) provém das fontes anunciadas e que não foi alvo de mutações ao longo de um processo. Na telecomunicação, uma mensagem será autêntica se for, de fato, recebida na íntegra, diretamente do emissor. Portanto, autenticidade é algo nunca encontrado em algo como blogs, por exemplo.• Def. II - Autenticidade – Garante que a informação ou o usuário da mesma é autêntico; Atesta com exatidão, a origem do dado ou informação.
Exemplos: (carência de Autenticidade)- Informações extraídas da WIKIPÉDIA- Consultas a Blogs- Referencias subjetivas não comprovadas por fabricantes/proprietários
A técnica do CIDAL
3232
LEGALIDADE
• Def. Garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação; Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas, normas internas de uma corporação ou a legislação política institucional, nacional ou internacional
Exemplos: (carência da Legalidade)- Exigência para funcionários cumprirem além da carga horária- Motorista sem CNH
A técnica do CIDAL
3333
DO QUE proteger as informações?
De fatores e/ou ameaças:
• Físicas• Tecnológicas (Lógicas)• Humanas
VAMOS AGORA CLASSIFICAR AS AMEAÇAS ABAIXO COM O CIDAL…
FÍSICAS TECNOLÓGICAS• incêndio • vírus• inundação • bug software• curto circuito • defeito técnico• apagão • invasão web
HUMANAS• sabotagem• fraude• erro humano• descuido
3434
Exercício:Exercício:
1)1)Escreva numa folha de caderno 5 processo -Escreva numa folha de caderno 5 processo -itens (1 linha) para cada item do CIDAL, porém itens (1 linha) para cada item do CIDAL, porém não classifique-os.não classifique-os.
2)2)Troque sua lista com os processos escritos com Troque sua lista com os processos escritos com algum colega, e vice-versa.algum colega, e vice-versa.
3)3) Procure identificar os processos que o colega Procure identificar os processos que o colega listou e classifique-os com os itens do CIDAL.listou e classifique-os com os itens do CIDAL.
3535
INÍCIO > 3ª aulaINÍCIO > 3ª aula