11

SEGURANÇASEGURANÇAFÍSICA & LÓGICA DE REDES FÍSICA & LÓGICA DE REDES

REDES DE COMPUTADORES

Prof. Davis Alves Tecnólogo em Redes

especializado Gerenciamento de Projetos

TI

Prof. Davis AlvesProf. Davis Alves6)6) Doutorando em Sustentabilidade de TI - PhD.Doutorando em Sustentabilidade de TI - PhD.

Florida Christian University - EUAFlorida Christian University - EUA

5)5) Mestre em Administração de TI Mestre em Administração de TI

4)4) Estensão em Gestão de TI Estensão em Gestão de TI

3)3) Pós-graduado em Gerenciamento de Projetos Pós-graduado em Gerenciamento de Projetos

2)2) Tecnólogo em Redes de Computadores e Internet Tecnólogo em Redes de Computadores e Internet

1)1) Administrador de Redes especializado em MicrosoftAdministrador de Redes especializado em Microsoft Certificação ITILCertificação ITIL®® Expert Expert (Gerenciamento Serviços TI)(Gerenciamento Serviços TI) Certificações Certificações ISOISO®® 20000 e 20000 e ISOISO®® 27002 27002

Certificações COBITCertificações COBIT®® e e ITMPITMP®® (Governança de TI)(Governança de TI) Certificação Green IT Foundations e Citizen Certificação Green IT Foundations e Citizen (TI Verde)(TI Verde) Certificação ICS MCSACertificação ICS MCSA®® System Administrator System Administrator Certificação DACCertificação DAC®® in Wireless Technologyin Wireless Technology

Certificação C|EHCertificação C|EH® - ® - Certified Ethical HackerCertified Ethical Hacker www.e-davis.net www.e-davis.net

33

Ocupações Instrutor oficial de certificações: ITIL® e ISO®

Professor universitário Redes e Tecnologias Professor na pós-graduação em Governança de TI Gerente de infra-estrutura grupo Millennium Network®

Administrador das Redes atualmente:

Residência e estudos

* Boston e Nova York (Estados Unidos) – Dez./Janeiro 2013

* Auckland (Nova Zelândia) – Janeiro/Fevereiro 2012

www.e-davis.net

Prof. Davis Alves

44

Tendências: Profissões em TI

CEO / CFO / CEO / CFO / CFOCFO

GESTÃO TIGESTÃO TI

PROGRAMMERPROGRAMMERADM. REDESADM. REDES

DESENVOLVIMENTODESENVOLVIMENTO

REDES IIREDES II

MASTERMASTER REDES IREDES I

GRAFICOGRAFICO WEBWEB HARDWAREHARDWARE CABLINGCABLING

DESIGNDESIGN INFRA-ESTRUTURAINFRA-ESTRUTURA

INFORMÁTICAINFORMÁTICA

55

“Qualquer um pode ser um HACKER, só basta ter um motivo!.”

Davis AlvesDavis Alves

66

OVERVIEW: Segurança Física e Lógica de RedesPeríodo Letivo: 3º e 4º semestres

Carga Horária: 120 horas – (3ª e 5ª feira – Campus TATUAPÉ – Prof. Davis Alves)

Objetivo: Conceito de ameaças, vulnerabilidades, risco, impacto, contingência e

processos de negócios dentro da ótica da Segurança da Informação. Conceito das propriedades da informação. Conceito do ciclo de vida da informação. Análise das principais ameaças e vulnerabilidades a que estão sujeitas as redes. . Analise de Risco em Processos de TIAnalise de Risco em Processos de TI..Ementa Oficial - UNIPEmenta Oficial - UNIP

Apresentação da Disciplina: SEGURANÇA

77

Metas:• Planejar, gerenciar e implementar técnicas de gestão de risco.

• Integrar as visões técnicas e de negócios através do uso de metodologias.

• Conhecer os principais aspectos da segurança da informação para construir o conceito de ambiente seguro a partir da necessidade de cada rede. – “O que é bom para um cliente pode não ser bom para outro...”

• Conhecer as principais ferramentas de software e hardware orientadas à segurança das redes. “Incluindo algumas ferramentas de ataques....”

• Aplicar os conhecimentos novos afim de minimizar riscos em processos críticos de negócio. Definir plano de contingência para situações de emergência. Medidas PDCR – Preventivas, Detectivas, Corretivas e Restauradoras

MESMO COM TUDO ISSO....

Apresentação da Disciplina: SEGURANÇA

88

“...não existe SEGURANÇA 100%”

Prof. Davis AlvesProf. Davis Alves

99

INÍCIO > 1ª aulaINÍCIO > 1ª aula

1010

Capítulo I

Princípios e Conceitos em

Segurança da Informação

1111

Conceitos

ISO/IEC-27001 (ISO 27001)É um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Foi originada do padrão britânico BS-7799 e atualmente seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como ISO 27001

Outros nomes:Outros nomes:- ISO-27k1ISO-27k1- ISO/IEC-27k1ISO/IEC-27k1- ISO-27001ISO-27001

Glossário

1212

Conceitos

Informação1 Ato ou efeito de informar. 2 Transmissão de notícias. 3Instrução, ensinamento. 4 Transmissão de conhecimentos. 5Opinião sobre o procedimento de alguém. 6 Investigação. 7Inquérito.

Fonte: Dicionário Michaelis

Seguro (Segurança)1 Livre de inquietações. 2 Sossegado. 3 Confiado. 4 Livre deperigo ou não exposto a ele. 5 Que oferece segurança contraataques, acidentes, desastres ou danos de qualquer outranatureza...

Fonte: Dicionário Michaelis

Por que falar deInformação eSegurança?

1313

ConceitosPor que falar deInformação eSegurança?

Segurança da Informação é adotar controlesfísicos, tecnológicos e humanos personalizados, queviabilizem a redução e administração dos riscos,levando a empresa a atingir o nível de segurança

adequado ao seu negócio.

NÃO EXISTE SEGURANÇA 100%, e SIM SEGURANÇA ACEITÁVEL PARA CADA NEGÓCIO!

1414

• Heterogeneidade tecnológica• Volume de informações disponibilizadas• Volume de relacionamentos com terceiros• Volume de ativos físicos, tecnológicos e humanos• Altos índices de conectividade e compartilhamento• Pressão por competitividade e lucratividade• Manutenção da credibilidade da imagem• ...

Por que falar deInformação eSegurança?

1515

A INFORMAÇÃO É UM ATIVO

VALIOSO! Pois…

“Tem mais vantagens quem sai a primeiro”

1616

InformaçãoPossuir Informação é ganhar agilidade, competitividade,previsibilidade, dinamismo. Informação é um diferencial!

• aumento da gasolina• aumento da inflação• precipitação de chuvas• promoção da passagem aérea• limite salarial para um cargo• queda da Bovespa• planos do seu chefe para você• abandono da sua empregada• mudança no Código Civil• ...

• discurso do presidente Lula• conflito no Oriente Médio• valorização do Petróleo• tendências tecnológicas• planos do concorrente• oscilação da taxa de juros• plano de greve funcionários• falência de uma parceira• resultados do último exercício• ...

EIS ALGUMAS INFORMAÇÕES QUE TALVES VOCE GOSTARIA DE SABER ANTES DOS OUTROS…

Eis alguns fatores onde existe a Dependência da informação Eis alguns fatores onde existe a Dependência da informação

1717

Informação vs SegurançaCérebro

Sangue

Coração

Sistema Circulatório

Processo deNegócio 4

Informação

AtivoTecnológico

Processo de Negócio 3

AtivoArtérias

Traquea

Sistemas Respiratório

Púlmões

AtivoFísico Físico

Processo de Negócio 2AtivoTecnoló

gicoProcesso de Negóci

Sistema Digestivo AtivoHumano

Corpo Humano Negócio

1818

Informação vs SegurançaQUE informações precisam de segurança?

• Identidade• CPF• Endereço residencial• Telefone celular• Código da maleta• Senha da agenda eletrônica• Informações bancárias e senhas• Senhas de acesso da empresa• Número do Cartão de Crédito• $ espécie na carteira• $ patrimônio• $ saldo bancário• $ prêmio do seguro de vida e beneficiários• Rotina e horários de trabalho• ONDE DEIXA A CHAVE RESERVA PARA A EMPREGADA!

1919

Informação vs SegurançaPOR QUE proteger as informações?

• Por seu valor• Pelo impacto de sua ausência

• Pela importância de sua existência• Pela relação de dependência com a sua atividade• ...

$ $INFORMAÇÕES

• Pelo impacto resultante de seu uso por terceiros

$

2020

QUANDO proteger as informações? – ISO-27001

Durante seu ciclo de vida

• Manuseio

1Manuseio 3Armazenamento 2Transporte 1Descarte

• Armazenamento

• Descarte• Transporte

INFORMAÇÕES

Informação vs Segurança

1 = Maior criticidade para o negócio2 = Media criticidade para o negócio3 = Menor criticidade para o negócio

2121

Informação vs SegurançaONDE proteger as informações?

Nos ativos que as custodiam:

• Físicos• Tecnológicos• Humanos

FÍSICOS TECNOLÓGICAS HUMANOS• agenda • sistema • funcionário• sala • e-mail • parceiro• arquivo • servidor • secretária• cofre • notebook • porteiro

2222

INÍCIO > 2ª aulaINÍCIO > 2ª aula

2323

Miopia do Iceberg

2424

Miopia do Iceberg

2525

Miopia do IcebergBug de softwareServiço crítico FTP habilitadoDesatualização do sistema operacionalFirewall sem configuração

Alarme e tranca de porta frágilSistema de combate a incêndio inoperanteCabeamento desestruturadoAusência de controle de acesso físico

Email enviado à pessoa erradaRelatório crítico descartado sem cuidadoSegredo de negócio falado no elevadorArquivo eletrônico apagado distraidamente

2626

A técnica do CIDAL

Toda ação negativa em segurança da informação, acabaFERINDO os itens do CIDAL!

“A PRINCIPAL TÉCNICA DE PROTEÇÃO DA INFORMAÇÃO”

2727

A técnica do CIDAL

O QUE proteger nas informações?

Os conceitos principais:

• Confidencialidade• Integridade• Disponibilidade

Os aspectos que enfatisa:

• Legalidade• Autenticidade

2828

CONFIDENCIALIDADE

• Def. I - - Garantia de que os dados sejam acessados por quem realmente PODE ter acesso.• Def. I - - A informação somente pode ser acessada por pessoas explicitamente autorizadas; É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo. O aspecto mais importante deste item é garantir a identificação e autenticação das partes envolvidas.

Exemplos:- Lista dos clientes que gastam acima de R$ 1000,00 ao mês- Qual computador da rede é responsável pelos backups- Qual é a senha wireless

Um princípio de segurança que requer que dados devam somenteser acessados por pessoas autorizadas.

ITIL v3

A técnica do CIDAL

2929

INTEGRIDADE

• Def. I - - Define se o conteúdo/informação está da mesma forma da última modificação autorizada.• Def. II - - A informação deve ser retornada em sua forma original no momento em que foi armazenada; É a proteção dos dados ou informações contra modificações intencionais ou acidentais não-autorizadasExemplos:- HD corrompido- Ação que pode ser ocasionada por vírus

Um princípio de segurança que garante que dados (informações) e Itens deConfiguração somente sejam modificados por pessoas e Atividades

autorizadas. Integridade considera todas as possíveis causas de modificação, incluindo Falhas de hardware e software, Eventos ambientais e intervenção

humana.ITIL v3

A técnica do CIDAL

3030

DISPONIBILIDADE

• Def. I - Define quanto tempo um ativo fica “no ar” pronto para uso quando solicitado, dentro de um desempenho aceitável.• Def. II - A informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária.

Exemplos: (Quando há falta de Disponibilidade)- O site dos bancos não acessam entre 0-1h diariamente- Esgotado o POOL válido do Servidor DHCP

Habilidade de um Item de Configuração ou Serviço de TI dedesempenhar a sua Função acordada quando necessário. Disponibilidade é

determinada pela Confiabilidade, Sustentabilidade, Funcionalidade do Serviço, Desempenho e Segurança. Disponibilidade é normalmente calculada em

porcentagens. Tal cálculo freqüentemente se baseia no Tempo de Serviço Acordado e na Indisponibilidade. É considerado Melhor Prática no cálculo da

Disponibilidade o uso de medições baseadas em transações de Negócio geradas a partir de um Serviço de TI.

ITIL v3

A técnica do CIDAL

3131

AUTENTICIDADE

• Def. I - Autenticidade a certeza de que um objeto (em análise) provém das fontes anunciadas e que não foi alvo de mutações ao longo de um processo. Na telecomunicação, uma mensagem será autêntica se for, de fato, recebida na íntegra, diretamente do emissor. Portanto, autenticidade é algo nunca encontrado em algo como blogs, por exemplo.• Def. II - Autenticidade – Garante que a informação ou o usuário da mesma é autêntico; Atesta com exatidão, a origem do dado ou informação.

Exemplos: (carência de Autenticidade)- Informações extraídas da WIKIPÉDIA- Consultas a Blogs- Referencias subjetivas não comprovadas por fabricantes/proprietários

A técnica do CIDAL

3232

LEGALIDADE

• Def. Garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação; Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas, normas internas de uma corporação ou a legislação política institucional, nacional ou internacional

Exemplos: (carência da Legalidade)- Exigência para funcionários cumprirem além da carga horária- Motorista sem CNH

A técnica do CIDAL

3333

DO QUE proteger as informações?

De fatores e/ou ameaças:

• Físicas• Tecnológicas (Lógicas)• Humanas

VAMOS AGORA CLASSIFICAR AS AMEAÇAS ABAIXO COM O CIDAL…

FÍSICAS TECNOLÓGICAS• incêndio • vírus• inundação • bug software• curto circuito • defeito técnico• apagão • invasão web

HUMANAS• sabotagem• fraude• erro humano• descuido

3434

Exercício:Exercício:

1)1)Escreva numa folha de caderno 5 processo -Escreva numa folha de caderno 5 processo -itens (1 linha) para cada item do CIDAL, porém itens (1 linha) para cada item do CIDAL, porém não classifique-os.não classifique-os.

2)2)Troque sua lista com os processos escritos com Troque sua lista com os processos escritos com algum colega, e vice-versa.algum colega, e vice-versa.

3)3) Procure identificar os processos que o colega Procure identificar os processos que o colega listou e classifique-os com os itens do CIDAL.listou e classifique-os com os itens do CIDAL.

3535

INÍCIO > 3ª aulaINÍCIO > 3ª aula

3636

REDES E GOVERNANÇA TI

Prof. Davis Alvesprofessor@e-davis.net

UNIP – Universidade Paulista - 2015