AULA 01 Introdução a Analise de Risco

INTRODUÇÃO À ANÁLISE DE RISCO

UNIC UNIVERSIDADE DE CUIABÁPÓS-GRADUAÇÃO

EM SEGURANÇA DE INFORMAÇÃO

Prof. Antônio João de Arruda CebalhoFATEC – UNIC

ESCOPO DOPROGRAMA DE SEGURANÇA

PROGRAMA DE SEGURANÇA

1- LEVANTAMENTO

2- POLÍTICA DE SEGURANÇA

3-INFRA-ESTRUTURA

4- GERENCIAMENTO

A- CLASSIFICAR ATIVOS

B-ANALISAR VULNERABILIDADES

E RISCOS

C-TESTAR INTRUSÕES

D-RECOMENDAÇÕES

A-FORMAR COMITÊ

B- ELABORAR NORMAS

C- ELABORAR PROCEDIMENTOS

D- PUBLICAR E DISSIMINAR

A- ESTUDO E RECOMENDAÇÕES

B- PROJETO

C- AQUISIÇÃO DE FERRAMENTAS

D- INSTALAR E CONFIGURAR HW E SW

A- PLANEJAR GERENCIAMENTO DE INFRA-ESTRUTURA

B- PLANEJAR REVISÕES DAS POLÍTICAS DE

SEGURANÇA

C- PLANEJAR ANÁLISES DAS VULNERABILIDADES

D- PLANEJAR AUDITORIAS DOS PROCEDIMENTOS

E- PLANEJAR TESTES DE INTRUSÃO PERIÓDICOS

F- PLANEJAR TRATAMENTO DE INCIDENTES DE

SEGURANÇA

1- LEVANTAMENTO1- LEVANTAMENTO

OBJETIVO:

DELIMITAR O ESCOPORELACIONAR TUDO QUE PRECISA SER PROTEGIDO

FAZER O INVENTÁRIO DOS ATIVOS (dentro do escopo delimitado)

IDENTIFICAR VULNERABILIDADES E AMEAÇAS EXISTENTES (dentro do escopo delimitado)

IDENTIFICAR OS RISCOS PARA O NEGÓCIO DA ORGANIZAÇÃO (MATRIZ DE RISCO)

AVALIAR AÇÕES A EXECUTAR PARA PROTEGER OS BENS DA EMPRESA

1- CLASSIFICANDO OS ATIVOS1- CLASSIFICANDO OS ATIVOS1.1- PROCURAR SEMPRE IDENTIFICAR OS TIPOS DE AMEAÇAS AOS

PILARES DE SEGURANÇA QUE NECESSITAM SER PRESERVADOS:

INTEGRIDADEDE QUE FORMA (S) A INFORMAÇÃO PODE SER CORROMPIDA?

CONFIDENCIALIDADE SÓ QUEM DEVE ACESSAR UMA DETERMINADA INFORMAÇÃO ESTA ACESSANDO-A?

DISPONIBILIDADEA INFORMAÇÃO SEMPRE PRECISA ESTAR DISPONÍVEL?ELA ESTA?O QUE PODE IMPEDIR A DISPONIBILIDADE?

5

Adianta proteger só um dos 3 pilares?Adianta proteger só um dos 3 pilares?

ATIVO PARCIALMENTE ROUBADO

2- ANÁLISE DE VULNERABILIDADES E RISCOS2- ANÁLISE DE VULNERABILIDADES E RISCOS

2.1- AMBITOS DE ANÁLISE DE RISCOS

OS RISCOS PODEM SER CLASSIFICADOS QUANTO A QUATRO CENÁRIOS OU AMBITOS:

AMBITO TECNOLÓGICO (HARDWARE E SOFTWARE)

AMBITO HUMANO (PERFIL DE ACESSO, FUNÇÕES)

AMBITO PROCESSUAL

AMBITO FÍSICO

2.2- ANÁLISE DE RISCO

2.2.1- AMBITO TECNOLÓGICO:

CONHECER AS CONFIGURAÇÕES, A DISPOSIÇÃO (TOPOLOGICA DOS ATIVOS);

LEVANTAR QUAL É A IMPORTÂNCIA DOS ATIVOS PARA A EMPRESA (CRITICIDADE);

ESCOPO A CONSIDERAR:

APLICAÇÕES (SISTEMAS, PLATAFORMAS, SOs , SOFTWARES INSTALADOS, BANCO DE DADOS, etc…) E SEUS SERVIÇOS E PROTOCOLOS;

EQUIPAMENTOS (COMPUTADORES SERVIDORES, ROTEADORES, SWITCHES, RAS, MODENS-ROUTERS, TELEFONES IPs ETC…);

TOPOLOGIAS DAS REDES (INTRANET , EXTRANET (com outras organizações), INTERNET, DMZs);

TECNOLOGIAS DE FIREWALL, HONEYPOTS, IDS, IPS;

SWITCHS

AP- ACCESS-POINTS ESTAÇÃO

DE TRABALHO

SERVIDORES DE REDE

LINUX EDUCACIONAL

SISTEMAS

QUADRO DE ENERGIADA REDE

SEGURANÇA DAS INFORMAÇÕES

Integração e convergência das Tecnologias e dos Serviços

ESTRATÉGIA DE DEFESA EM PROFUNDIDADE ADOTADAESTRATÉGIA DE DEFESA EM PROFUNDIDADE ADOTADA

DEFESA EM PERÍMETRO

DEFESA DE REDE

DEFESA DE HOST

DEFESA DE APLICAÇÕES

DADOS E PESQUISAS

DEFESA EM PERÍMETRO

DEFESA DE REDE

DEFESA DE HOST

DEFESA DE APLICAÇÕES

DADOS E PESQUISASData & Resources

Application Defenses

Host Defenses

Network Defenses

Perimeter Defenses

Assu

me

Prio

r La

yers

Fai

l


VULNERABILIDADES EM SOFTWARES VULNERABILIDADES EM SOFTWARES INSTALADOSINSTALADOS

Como posso saber se os Como posso saber se os softwaressoftwares instalados instalados em meu computador possuem alguma em meu computador possuem alguma vulnerabilidade?vulnerabilidade?

Existem sites na Internet que mantêm listas Existem sites na Internet que mantêm listas atualizadas de vulnerabilidades em softwares e atualizadas de vulnerabilidades em softwares e sistemas operacionais. Alguns destes sites são:sistemas operacionais. Alguns destes sites são: http://www.cert.org/, , http://cve.mitre.org/ e e http://www.us-cert.gov/cas/alerts/..

Alguns, fabricantes costumam manter páginas Alguns, fabricantes costumam manter páginas na Internet com considerações a respeito de na Internet com considerações a respeito de possíveis vulnerabilidades em seus softwares.possíveis vulnerabilidades em seus softwares.

http://www.cert.org/

http://cve.mitre.org/

http://www.us-cert.gov/cas/alerts/

TECNOLOGIAS DE FILTRAGEM DE PACOTESTECNOLOGIAS DE FILTRAGEM DE PACOTES

TIPO 1: Filtragem por Dados:TIPO 1: Filtragem por Dados: IP de origemIP de origem IP de destinoIP de destino ID de protocolo IPID de protocolo IP Numero de portas TCP e UDPNumero de portas TCP e UDP Flags de FragmentaçãoFlags de Fragmentação Configuração das opções do IPConfiguração das opções do IP

FILTRO DE PACOTESFILTRO DE PACOTES

TIPO 2: ICMPTIPO 2: ICMPEcho RequestEcho RequestEcho ReplyEcho ReplyTTL Exceeded and Destination TTL Exceeded and Destination

UnreachableUnreachable

TIPO 3: FILTRO DE PACOTESTIPO 3: FILTRO DE PACOTES

Fragmentos:Fragmentos:

NETWORK ADDRESS TRANSLATION (NAT)NETWORK ADDRESS TRANSLATION (NAT)

IP => 32 bits! Maximo 4 bilhões de IP => 32 bits! Maximo 4 bilhões de números. números.

IP privado IP privado IP publico IP publico

FIREWALLFIREWALL

Características mais comuns:Características mais comuns:1.1. Bloqueia o recebimento de dados baseado em Bloqueia o recebimento de dados baseado em

uma fonte ou destinouma fonte ou destino

2.2. Bloqueia o acesso a dados baseado em uma Bloqueia o acesso a dados baseado em uma fonte ou destinofonte ou destino

3.3. Bloquear dados baseado em conteúdoBloquear dados baseado em conteúdo

4.4. Permite conexões com uma rede internaPermite conexões com uma rede interna

5.5. Reporta o tráfego na rede e as atividades do Reporta o tráfego na rede e as atividades do FirewallFirewall

ENTENDENDO O BÁSICO DE UM FIREWALLENTENDENDO O BÁSICO DE UM FIREWALL

1. Deny network traffic on all IP ports.1. Deny network traffic on all IP ports. 2. Except, allow network traffic on 2. Except, allow network traffic on

port 80 (HTTP).port 80 (HTTP). 3. Except, from all HTTP traffic, deny 3. Except, from all HTTP traffic, deny

HTTP video content.HTTP video content. 4. Except, allow HTTP video content 4. Except, allow HTTP video content

for members of the Trainers group.for members of the Trainers group. 5. Except, deny Trainers to download 5. Except, deny Trainers to download

HTTP video content at night.HTTP video content at night.

PROXY DE APLICAÇÃOPROXY DE APLICAÇÃO

Elaborada versão de Filtragem de Elaborada versão de Filtragem de pacotespacotes

Não inspeciona somente o cabeçalho, e Não inspeciona somente o cabeçalho, e sim uma parte de aplicação inteira de um sim uma parte de aplicação inteira de um pacotepacote

Gera novamente pacotes antes de enviar Gera novamente pacotes antes de enviar ao servidor de internet ou de responder ao servidor de internet ou de responder ao computador remoto.ao computador remoto.

20

IDS DE REDE

Rede NIDS. Fonte: CASWELL et al., 2003, p. 4.

HONEYPOTHONEYPOT

Honeypot significa “pote de mel” é um recurso de segurança criado para ser sondado, atacado e comprometido.

HONEYPOTHONEYPOT

Honeypot é um único sistema conectado a uma rede de produção.

O Honeypot pode ser uma máquina emulada ou uma máquina real na rede.

TIPOS DE HONEYPOTTIPOS DE HONEYPOT

Honeypot de produção: Servem para distrair atividades maliciosas de máquinas da rede ou como mecanismo de alerta na rede de computadores.

Honeypot de pesquisa: Servem para monitorar e estudar os comportamento dos atacantes.

FINALIDADES DOS HONEYPOTSFINALIDADES DOS HONEYPOTS

Coleta de códigos maliciososIdentificar varreduras e ataquesAcompanhamento das vulnerabilidadesDescobrir as motivações dos atacantesAuxílio aos sistemas de detecção de

intrusãoManter atacantes afastados de sistemas

importantes

EXEMPLO DE HONEYNETEXEMPLO DE HONEYNET

• É criado um ambiente que reflete uma rede de produção real;

• Nada é feito para tornar os sistemas inseguros.

HONEYNET CLÁSSICAHONEYNET CLÁSSICA

HONEYNET CLÁSSICAHONEYNET CLÁSSICA

Vantagens:– Dispositivos reais; – Mais segurança pela descentralização dos

honeypots

Desvantagens:– Custo elevado; – Dificuldades na instalação e administração;– Complexidade para manutenção;– Espaço alocado muito grande;

TIPOS DE HONEYNETSTIPOS DE HONEYNETS

VirtualVirtual::– Composta por Honeypots virtuais (máquinas

virtuais);

– Uso de emuladores;

– Todo ambiente composto por uma única máquina (sistemas operacionais emulados)

09/06/2004 BSI 350

HONEYNET VIRTUALHONEYNET VIRTUAL

09/06/2004 BSI 350

SPECTER CONTROLCOMO ELE TRABALHA?

UM SISTEMA SPECTER consiste de um PC dedicado e o software SPECTER.

Ele é conectado a uma rede, onde ataques são esperados. Isto usualmente significa conectá-lo próximo do ponto de acesso à Internet, tipicamente na DMZ, mas ele pode ser conectado diretamente na Internet. SPECTER pode também ser instalado nas redes internas para descobrir atividades maliciosas originárias de dentro da organização, ou para detectar brechas de segurança.

Outra possibilidade interessante é instalar o SPECTER numa máquina de produção tal como o servidor de correio. Neste cenário, o serviço e SMTP é real enquanto todos os outros serviços da rede na máquina são simulados pelo SPECTER. Se um atacante olhar ou entrar na máquina, ele irá se conectar a um dos serviços que estão sendo simulados.


2.2.2- AMBITO HUMANO:

CONSISTE EM LEVANTAR COMO AS PESSOAS SE RELACIONAM COM OS ATIVOS.

ENVOLVE:

TIPOS DE NÍVEL DE ACESSO DAS PESSOAS NA REDE OU NAS APLICAÇÕES (RESTRIÇÕES, PERMISSÕES, PERFIL) OU EM AMBIENTES DA ORGANIZAÇÃO;

TIPOS DE NÍVEL DE FORMAÇÃO/CAPACITAÇÃO QUE AS PESSOAS PRECISAM TER;

FERRAMENTAS/SOFTWARES QUE OS USUÁRIOS UTILIZAM NA REDE;

TIPOS DE VULNERABILIDADES USUÁRIOS/ORGANIZAÇÃO;

MONITORAMENTO DO PADRÃO DE VIDA;


2.2.2- AMBITO HUMANO:

O USO DE LOGS, E SISTEMAS DE CONTROLE DE ACESSO, CONTROLE DE ASSIDUIDADE, SISTEMA DE CFTV, FERRAMENTAS DE GERENCIAMENTO DE PRODUTIVIDADE DO USUÁRIO, FERRAMENTAS DE USO DE SOFTWARE PELOS USUÁRIOS, FILTROS DE CONTEÚDO WEB, AUXILIAM NESSE LEVANTAMENTO.

FERRAMENTAS DE MAIOR USO HUMANO EM REDES

MSNOrkutYoutubeEmail

Por serem as ferramentas de maior uso, são também os maiores alvos das ameaças virtuais


YoutubeBLOQUEIO NO MODEM ROUTER ADSLHá modens que tem blacklist e até firewall. Você pode: 1) Colocar o DNS do youtube no blacklist; 2) Colocar o DNS do youtube bloqueado no firewall; 3) Bloquear o range de IP do youtube;

TERMINATORX V2


DOWNLOAD DO BLOQUEADORhttp://rapidshare.com/files/57932182/blockOrkut.rar

Se vc não sabe baixar pelo RAPIDSHARE entre aqui:http://www.junior09.hpg.ig.com.br/tu.../tutorapid.htm

Ele não é infalível, nem perfeito, um usuário com conhecimentos avançados consegue burla-lo editando novamente o arquivo HOSTS, mas pelo menos já resolve para 95% dos casos onde o usuário não tem conhecimentos avançados.

Cada uma das pastas contem um executável que já extrai o arquivo editado para a pasta correta, bloqueando imediatamente o acesso aos sites ou ao MSN, fiz várias simulações de necessidades, escolha a que mais resolva o seu problema:

http://rapidshare.com/files/57932182/blockOrkut.rar

http://rapidshare.com/files/57932182/blockOrkut.rar

http://www.junior09.hpg.ig.com.br/tutoriais/tutorapid.htm


http://www.quartzo.com/run/downloads/download.htm?cat=1




EXEMPLOS DE ALGUMAS AMEAÇAS HUMANAS:

ACESSOS INDEVIDOS;FURTO DE INFORMAÇÕES;FRAUDE ELETRÔNICA E FALSIFICAÇÃO DE IDENTIDADE ;DANO AOS DADOS E INFORMAÇÕES ARQUIVADAS ;ESPIONAGEM PARA OBTENÇÃO DE SEGREDOS INDUSTRIAIS/COMERCIAIS;CÓPIAS NÃO AUTORIZADAS DE ARQUIVOS E PROGRAMA ;VIOLAÇÃO DO DIREITO AUTORAL ;INTERCEPTAÇÃO INDEVIDA DE INFORMAÇÃO;VIOLAÇÃO DE BASES DE DADOS PESSOAIS;EXPOSIÇÃO DA MARCA ASSOCIADA A CONTEÚDO OFENSIVO OU FALSO EM CHAT, NEWSGROUP, MESSAGING, PEER-TO-PEER NETWORK, STREAMING MIDIA, E-MAIL, WEBSITE, HOTSITE;“SUCKS” SITES – FRUSTRAÇÃO DO CONSUMIDOR – ATUALMENTE TAMBÉM EM COMUNIDADES, BLOGS, FOTOLOGS, FORUMSPIRATARIA – DE MARCA, TEXTO, AUDIO, VIDEO, MUSICA, SOFTWAREPORNOGRAFIA – 300.000 DOMÍNIOS MAIS VISITADOS DA WEB NO MUNDO CONTÉM PORNOGRAFIA (CASE ZIPPO, SEXDISNEY.COM)

Kevin David Mitnick (EUA) O mais famoso hacker do Kevin David Mitnick (EUA) O mais famoso hacker do mundo,condenado por fraudes no sistema de telefonia, mundo,condenado por fraudes no sistema de telefonia, roubo de informações e invasão de sistemas. Os danos roubo de informações e invasão de sistemas. Os danos

materiais são incalculáveis, foi libertado em fevereiro de 2000 materiais são incalculáveis, foi libertado em fevereiro de 2000 e pouco mais de um mês depois de sair da prisão, agora e pouco mais de um mês depois de sair da prisão, agora

ajuda o governo dos Estados Unidos a melhorar a segurança ajuda o governo dos Estados Unidos a melhorar a segurança de seus sistemas de computadores. de seus sistemas de computadores.

""Watchman","Dark Dante": Kevin Poulsen (EUA) Watchman","Dark Dante": Kevin Poulsen (EUA) Amigo de Mitnick, também especializado em Amigo de Mitnick, também especializado em

telefonia, ganhava concursos em rádios. telefonia, ganhava concursos em rádios. Ganhou um Porsche por ser o 102º ouvinte a Ganhou um Porsche por ser o 102º ouvinte a

ligar, mas na verdade ele tinha invadido a central ligar, mas na verdade ele tinha invadido a central telefônica, e isso foi fácil demais.telefônica, e isso foi fácil demais.

"Capitain Crush": John Draper (EUA), introduziu "Capitain Crush": John Draper (EUA), introduziu o conceito de Phreaker, ao conseguir fazer o conceito de Phreaker, ao conseguir fazer ligações gratuitas utilizando um apito de ligações gratuitas utilizando um apito de

plastico que vinha de brinde em uma caixa de plastico que vinha de brinde em uma caixa de cereais. Obrigou os EUA a trocar de sinalização cereais. Obrigou os EUA a trocar de sinalização

de controle nos seus sistemas de telefonia.de controle nos seus sistemas de telefonia.

"rtm": Robert Morris (EUA) Espalhou "acidentalmente" "rtm": Robert Morris (EUA) Espalhou "acidentalmente" um worm que infectou milhões de computadores e fez um worm que infectou milhões de computadores e fez boa parte da Internet parar em 1988. Ele é filho de um boa parte da Internet parar em 1988. Ele é filho de um cientista chefe do National Computer Security Center, cientista chefe do National Computer Security Center,

parte da Agência Nacional de Segurança. Ironia. parte da Agência Nacional de Segurança. Ironia.

Tsutomu Nomura (EUA) É fisico e especialista em Tsutomu Nomura (EUA) É fisico e especialista em sistemas de segurança do Centro de sistemas de segurança do Centro de

Supercomputadores de San Diego, na Supercomputadores de San Diego, na Califórnia.Shinomura é o que se convencinou chamar de Califórnia.Shinomura é o que se convencinou chamar de

"samurai". Foi o responsável pelo golpe conhecido "samurai". Foi o responsável pelo golpe conhecido como "Takedown", na qual conseguiu pegar Mitnick.como "Takedown", na qual conseguiu pegar Mitnick.

PLANEJAMENTO DOS ACESSOSPROTEÇÃO POR ESTRUTURA DE DIRETÓRIOS EM

ÁRVORE

Diretório Raiz

DIREITOS DE ACESSO

Acesso Descrição

Leitura Qualquer tipo de operação em que o arquivo possa ser visualizado, como a exibição de seu conteúdo, edição ou cópia de um novo arquivo

Gravação Alteração no conteúdo do arquivo, como inclusão ou alteração de registros.

Execução Associado a arquivos executáveis ou arquivos de comandos, indicando o direito de execução do arquivo.

Eliminação Permissão para se eliminar um arquivo.

PROTEÇÃO POR GRUPO DE USUÁRIOS

dados.txt

Nível de proteção

Tipo de Acesso

Owner

(dono do grupo)

Leitura

Escrita

Execução

Eliminação

Group Leitura

All --

PROTEÇÃO POR LISTA DE CONTROLE DE ACESSO

Usuário: LaureanoAcesso: leitura + escrita + execução

Usuário: MazieroAcesso: eliminação

Usuário: LaureanoAcesso: leitura + escrita

Usuário: MazieroAcesso: leitura

ENGENHARIA SOCIAL:Ataque direto -> solicitação de informação diretamente ao “usuário alvo”.

Aquisição de Confiança -> o atacante busca “ganhar a confiança” de alguém que possa oferecer informações relevantes.

Ausência de Controle de Acesso ->. O atacante tem acesso à empresa sem que seja percebido ou se passando por um funcionário do suporte técnico, Por exemplo

TÉCNICAS UTILIZADAS PARA SUBVERTER

Os que desconhecem o valor das informações: Recepcionistas, telefonistas, assistentes administrativos, guardas de segurança;

Os que possuem privilégios especiais: Suporte técnico, administrador de sistema, operadores de computador, administradores do sistema de telefone;

Departamentos específicos: Contabilidade, recursos humanos e outros.

ALVOS COMUNS DA ENGENHARIA SOCIAL:

Como o alvo principal é o usuário dos sistemas e não o hardware ou o software, ferramentas de hardware e software dificilmente prevêem o ataque. Muitas vezes o ataque de engenharia social ocorre sem que o atacante sequer se aproxime dos computadores e sistemas do alvo.

CONSTATAÇÃO:

EXEMPLOS:

EXEMPLOS:

Ao atender um telefonema, o interlocutor se identifica como vice-diretor da empresa. Você já o viu pelos corredores, mas nunca falou com ele por telefone. Ele informa que se encontra na filial da empresa, em reunião, e está com problemas para acessar o sistema. Assim sendo, solicita a senha para que possa ter acesso. Informa, ainda, que está acompanhado de 10 pessoas que possuem outros compromissos e que não podem esperar por muito tempo.


2.2.3- AMBITO PROCESSUAL:

CONSISTE EM ANALISAR O FLUXO DAS INFORMAÇÕES E COMO ELAS TRAFEGAM DE UMA ÁREA PARA OUTRA DENTRO DA ORGANIZAÇÃO.

O FÓCO É LEVANTAR O TIPO DE USUÁRIO E A INFORMAÇÃO (MAPEAMENTO USUÁRIO X INFORMAÇÃO).

ESTE TIPO DE LEVANTAMENTO É TRABALHOSO E REQUER PESSOAL DEDICADO.

2.2.4- AMBITO FÍSICO:

CONSISTE EM IDENTIFICAR AS VULNERABILIDADES FÍSICAS QUE POSSAM TRAZER ALGUM PREJUÍZO À INFORMAÇÃO E A TODOS OS DEMAIS ATIVOS.

2.3- ATIVIDADES DA ANÁLISE DE RISCO

IDENTIFICAR OS PROCESSOS CRITICOS DE NEGÓCIOS DA ORGANIZAÇÃO EM QUE SE DESEJA IMPLEMENTAR OU ANALISAR O NÍVEL DE SEGURANÇA

É NECESSÁRIO CONSIDERAR:

OS PROCESSOS DE NEGÓCIO (ATUAÇÃO DA ORGANIZAÇÃO FRENTE AO MERCADO);

É UMA FUNCIONALIDADE INTERNA OU EXTERNA;

É UM PRODUTO ELABORADO/LANÇADO OU VAI SER?

PODE NOS CAUSAR DANOS FINANCEIROS E/OU DE IMAGEM?

2.3.1- ANÁLISE TÉCNICA DA SEGURANÇA

ÂMBITO TECNOLÓGICO

VISA IDENTIFICAR AS CONFIGURAÇÕES DOS ATIVOS, A FORMA COMO ESSES ATIVOS SÃO UTILIZADOS, QUAIS VULNERABILIDADES DE SEGURANÇA.

ANÁLISE DAS ESTAÇÕES DE TRABALHO E DOS COMPUTADORES SERVIDORES.

ANÁLISE DE EQUIPAMENTO E CONECTIVIDADE.

ANÁLISE DE CONTROLE DE ACESSO, SEGURANÇA PERIMETRAL, CFTV;

ANÁLISE DE LINKS DE COMUNICAÇÃO.

ANÁLISE DE BANCO DE DADOS.

ANÁLISE DE APLICAÇÕES.

ESSE TIPO DE LEVANTAMENTO FARÁ USO DE FERRAMENTAS APROPRIADAS!

2.3.2 -ANÁLISE DA SEGURANÇA FÍSICA

IDENTIFICAR NO AMBIENTE FÍSICO QUAIS SÃO AS VULNERABILIDADES QUE POSSAM COLOCAR EM RISCO OS ATIVOS NELE CONTIDOS .

-EXCESSO DE UMIDADE OU CALOR?

-DISPOSIÇÃO DO CABEAMENTO LÓGICO E ELÉTRICO?

-ACESSO FÍSICO À SALA DOS SERVIDORES (CONTROLE DE ACESSO)?

-SISTEMA DE DETECÇÃO E CONTROLE DE INCÊNDIO

- SISTEMA DE CATRACAS/CARTÕES DE ACESSO

-SISTEMA DE CFTV

-SALA SEGURA? SALA COFRE?

O AMBIENTE DEVE SER OBSERVADO QUANTO SEGUINTES ASPÉCTOS:

SERVICE CENTER

Sistema anti incendios de gas.(piso elevado, telas, ...)

Sensores de movimento

Vídeo-vigilancia

Monitorização de sistemas

Condições ambientaisReguladas com climatizaçãoredundante

Sistemas de segurança dede entrada e saída

Vigilantes jurados

Racks reforçados

No-breaks e geradoreseléctricos duplicados

Alarmes de intrusão

IMPROVIZAÇÃONÃO RECOMENDADA

TIPOS DE ARQUITETURAS DE ENFRIAMIENTORECOMENDADAS

Por sala

Por rack

Por fila

SOLUÇÕES EM AUTOMAÇÃO

CFTV E ANÁLISE INTELIGENTE DE IMAGENSsistemas digitais de cftv (transmissão através de redes ip, wireless);sistemas especiais para monitoramento de processos industriais e processos de segurança;sistemas inteligentes de análise de imagem (contagem de pessoas, reconhecimento de caracteres, outros); monitoramento de grandes áreas

AUTOMAÇÃO DOS PROCESSOS E UTILIDADES PREDIAL E INDUSTRIAL

integração de soluções através de uma central de supervisão única:

sistemas de ar condicionado; sistemas de iluminação; sistemas hidráulicos; sistemas de energia; elevadores

SOLUÇÕES EM AUTOMAÇÃO

DETECÇÃO E ALARME DE INTRUSÃOmonitoramento e alarme de áreas internas (detectores de movimento, sensores de quebra de vidro, sensores de contato para portas e janelas, teclados, dispositivos sem fio); monitoramento e alarme de áreas externas (radares, sensores de infra vermelho ativo, sensores de microondas, cabos microfônicos, sensores óticos, sistemas de vídeo inteligente, cabos poticos)

SONORIZAÇÃO AMBIENTE E DE EMERGÊNCIA sistemas digitais com transmissão via rede ethernet (ip); integração com sistemas de alarme de incêndio, controle de acessos e ativos e detecção de intrusão (emergência); integração com sistemas de vídeo

ANÁLISE DA SEGURANÇA FÍSICA

2.3.2.1- DISPOSIÇÃO ORGANIZACIONAL

OS ATIVOS ESTÃO LIVRES DAS PESSOAS NÃO AUTORIZADAS A OPERÁ-LOS?

OS ATIVOS ESTÃO LIVRES DO ACESSO FÍSICO NÃO IDENTIFICADO?

OS ATIVOS ESTÃO LOCALIZADOS LONGE DAS PORTAS DE ACESSO?

OS ACESSOS FÍSICOS SÃO CONTROLADOS? (CÃMERAS, TRAVAS

ELETRÔNICAS, BIOMETRIA)


SEGURANÇA FÍSICA

AMBIENTE SALA DOS SERVIDORES CPD DATACENTER

EQUIPAMENTOS MICROCOMPUTADORES ROTEADORES SWITCHES

1o) Terreno: muro, controle de acesso: guarita, seguranças1o) Terreno: muro, controle de acesso: guarita, seguranças

PRODESP

PERÍMETROS

2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas

3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança

4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria

5o) Racks com chave, cameras5o) Racks com chave, cameras6o) Sala cofre6o) Sala cofre

SEGURANÇA DOS AMBIENTES

Recomendações– Paredes sólidas– Portas e janelas protegidas– Alarme– Mecanismos de controle de acesso

Prever riscos como– Fogo– Inundação– Explosão– Manifestações de vandalismo

Levar em conta riscos dos prédios vizinhos

SEGURANÇA DOS EQUIPAMENTOS Proteger contra:

Acesso não autorizado Roubo / perda (notebook) Violações

Considerar: Equipamento próprios Equipamentos alienados Equipamentos externos

Proteger a infraestrutura: Cabines de fornecimento de energia elétrica Salas de distribuição dos cabeamentos lógicos

(rede/telecomunicação) Contra falhas ou anomalias de energia (estabilizadores,

no-breaks, geradores) Manutenção preventiva

Manter contingência dos sistemas críticos

SEGURANÇA LÓGICA

InternetInternet WAN, MANWAN, MAN

ACLACLVPNVPNFirewallFirewallVLAN´sVLAN´sIPS/IDSIPS/IDSAutenticaçãoAutenticaçãoCriptografiaCriptografiaCertificado DigitalCertificado DigitalSistema OperacionalSistema Operacional

LANLAN

InformaçãoInformação

• Regras de controle de acessos (quem, o que, quando, como)

• Auditoria: logs• Premissa: Tudo deve

ser proibido a menos que seja expressamente permitido

• Proteger pontos de rede

• Proteger dispositivos de rede (switches, routers)

• Segmentar rede


2.3.2.2- SISTEMA DE COMBATE A INCÊNDIO

OS ELEMENTOS DE COMBATE A INCÊNDIO EXISTEM E SÃO OS ADEQUADOS?

OS ELEMENTOS DE COMBATE A INCÊNDIO ESTÃO NO LOCAL ADEQUADO?

AS PESSOAS SABEM OPERÁ-LOS?

EXISTE PROCEDIMENTO DE EMERGÊNCIA?

EXISTE PROCEDIMENTO DE RECUPERAÇÃO DE DESASTRES?



2.3.2.3- CONTROLE DE ACESSO E CONTROLE DE ASSIDUIDADE

DISPOSIÇÃO DOS SISTEMAS DE DETECÇÃO E AUTORIZAÇÃO DAS PESSOAS PARA ACESSO:

EXISTEM CÂMERAS DE VÍDEO?

EXISTEM GRAVADORES OU SERVIDORES DE VÍDEO?

EXISTE: SOLUÇÃO DE CATRACA DE ACESSO? CARTÃO MAGNÉTICO? HANDKEY? SERVIDOR DE CONTROLE DE ACESSO E DE ASSIDUIDADE?

DEMAIS MECANISMOS DE RECONHECIMENTO INDIVIDUAL (BIOMETRIA), ETC...



2.3.2.4- TOPOGRAFIA

QUAL É A LOCALIZAÇÃO DA SALA DO CPD OU DATACENTER?

QUAL É A LOCALIZAÇÃO DA SALA DE FITOTECA?

COM RELAÇÃO A TOPOGRAFIA DO TERRENO:

A SALA DO CPD ESTÁ LOCALIZADA EM SUB-SOLO?

A SALA DO CPD ESTÁ SUJEITA A INUNDAÇÕES?

A SALA DO CPD ESTÁ PRÓXIMA DE COMBUSTÍVEIS, RIOS, MAR?

A SALA DO CPD ESTÁ SUJEITA A VAZAMENTOS DE TUBULAÇÕES HIDRÁULICAS?

A SALA DO CPD ESTÁ PRÓXIMA A ENCOSTAS, MATO, ÁREAS PERIGOSAS?


VISÃO DE UM DATACENTER

SUB-SOLO INUNDADO


2.3.2.5 -EXPOSIÇÃO

DISPOSIÇÃO DAS PORTAS E JANELAS DO AMBIENTE CRÍTICO.

OS ATIVOS CRÍTICOS PODEM RECEBER INCIDÊNCIA DE RAIOS SOLARES?

OS ATIVOS CRÍTICOS PODEM RECEBER AÇÕES DAS INTEMPÉRIES DA NATUREZA (VENTO OU CHUVAS FORTES)?

OS ATIVOS CRÍTICOS PODEM SER VISUALIZADOS?

EXISTEM GRADES NAS JANELAS?


ÁREA GRANDE COM MUITAS JANELAS SEM GRADES

CABEAMENTO ESTRUTURADO DA REDE – INTERNAMENTE MAL PASSADO

CABEAMENTO PASSADO DE FORMA INADEQUADA, CONTRARIANDO AS NORMAS TÉCNICAS ASSOCIADAS – RUÍDO DE REDE ELÉTRICA/AR CONDICIONADO

ÁREA EXTERNA DA EMPRESA COM CABEAMENTO ESTRUTURADO SENDO PASSADO

CABEAMENTO IRREGULAR: SEM PROTEÇÃO, EXPOSTO AO AMBIENTE, SUJEITO A RUÍDO E INTERFERÊNCIA (MOTOR DO AR CONDICIONADO)

CABEAMENTOESTRUTURADO ERRADAMENTE

FIXADO (NO CHÃO)

RACK

CABEAMENTO PASSADO DE FORMA INADEQUADA E DESORGANIZADA CONTRARIANDO AS NORMAS TÉCNICAS ASSOCIADAS

CONVERSORES DE FIBRA/CABO UTPEXPOSTOS, MAL INSTALADOS

RACK


EXCESSO DE DESORGANIZAÇÃO E NÃO ATENDIMENTO ÀS NORMAS DE CABEAMENTO

RACK CABEAMENTO DESORGANIZADO DENTRO E FORA DO RACK


RACK SUAISCABEAMENTO DESORGANIZADO DENTRO R FORA DO RACK


2.3-CLASSIFICAÇÃO QUANTO A SEVERIDADE DO PROCESSO DO NEGÓCIO

OS PROCESSOS DE NEGÓCIO DA ORGANIZAÇÃO, ALVO DE PROTEÇÃO, DEVEM SER CLASSIFICADOS QUANTO A SUA RELEVÂNCIA (IMPORTÂNCIA)!

SUGERE-SE UMA ESCALA DE PONTUAÇÃO DE RELEVÂNCIA;

DEVE-SE LEVAR EM CONTA O VALOR ESTRATÉGICO QUE ELE POSSUI PARA O NEGÓCIO COMO UM TODO!

MAIOR RELEVÂNCIA = MAIOR CRITICIDADE

FIPS (FEDERAL INFORMATION AND INFORMATION SYSTEMS) PUBLICATION 199, STANDARDS FOR

SECURITY CATEGORIZATION (PADRÕES PARA A CATEGORIZAÇÃO DE SEGURANÇA)

(PRE-PUBLICATION FINAL), DECEMBER 2003.

FORNECE OS PADRÕES PARA DETERMINAR A CATEGORIA DESEGURANÇA DOS SISTEMAS DE INFORMAÇÃO DE UMA ORGANIZAÇÃO.

TIPOS DE IMPÁCTO:- BAIXO;- MODERADO;- ALTO;

2.4-CLASSIFICAÇÃO DOS PREJUÍZOS AO NEGÓCIO

O POTENCIAL DE IMPACTO É BAIXO SE:

− A PERDA DA CONFIDENCIALIDADE, INTEGRIDADE OU DISPONIBILIDADE TEM UM EFEITO ADVERSO E LIMITADO NAS OPERAÇÕES DA ORGANIZAÇÃO.

EXEMPLO, A PERDA DA CONFIDENCIALIDADE, INTEGRIDADE OU

DISPONIBILIDADE PODE:

(i) Causar uma degradação na capacidade da missão da organização de modo que a mesma é capaz de realizar suas funções primárias, mas a efetividade das suas funções é notadamente reduzidanotadamente reduzida;

(ii) Resulta num dano menor dano menor para a organização; (iii) Resulta numa perda financeira menorperda financeira menor;(iv) Resulta em danos individuais menoresdanos individuais menores.

O POTENCIAL DE IMPACTO É MODERADO SE:

− A PERDA DA CONFIDENCIALIDADE, INTEGRIDADE OU DISPONIBILIDADE TEM UM EFEITO ADVERSO SÉRIO NAS OPERAÇÕES DA ORGANIZAÇÃO.

ISTO SIGNIFICA QUE A PERDA DA CONFIDENCIALIDADE, INTEGRIDADE OU DISPONIBILIDADE PODE:

(i) Causar uma degradação significante degradação significante na capacidade da missão da organização de modo que a mesma é capaz de realizar suas funções primárias, mas a efetividade das suas funções é significantemente reduzida;(ii) Resulta em dano significante dano significante para a organização;(iii) Resulta em perda financeira significanteperda financeira significante; ou(iv) Resulta em danos individuais significantes danos individuais significantes que não envolve perdas de vida, injúria.

O POTENCIAL DE IMPACTO É ALTO SE:

− A PERDA DA CONFIDENCIALIDADE, INTEGRIDADE OU DISPONIBILIDADE TEM UM EFEITO SEVERO OU CATASTRÓFICO ADVERSO SÉRIO NAS OPERAÇÕES DA ORGANIZAÇÃO OU INDIVÍDUOS.

ISTO SIGNIFICA QUE A PERDA DA CONFIDENCIALIDADE,INTEGRIDADE OU DISPONIBILIDADE PODE:

(i) Causar uma degradação severa ou perda na capacidade da degradação severa ou perda na capacidade da realização da missão da organização realização da missão da organização de modo que a mesma é mais capaz de realizar suas funções primárias; (ii) Resulta em dano alto dano alto para a organização; (iii) Resulta em grandes perdas financeirasgrandes perdas financeiras; ou (iv) Resulta em danos individuais severos ou catastróficos significantesdanos individuais severos ou catastróficos significantes envolvendo perdas de vida, injúria.

9191

QUAL É A ORIGEM DOS RISCOS?QUAL É A ORIGEM DOS RISCOS?

Pessoas• Displicência/negligência na execução de atividades;• Desconhecimento/falta de treinamento para a execução de atividades;• Manipulação para cometer fraudes (INTENCIONALIDADE);

Processos• Processo mal definido;• Falta de controles; • Falta de segregação de funções;

Infra-Estrutura• Falha em sistema (hardware ou software);• Falha na infra-estrutura de serviços básicos (cabeamento, telecomunicações, energia, água,

gás, etc.);

Agentes/Eventos Externos• Imposição de mudanças regulatórias (IVC, trabalhista, federal, estadual, municipal, etc.)• Desempenho inadequado de prestadores de serviços;• Fraudes de clientes, fornecedores ou outros agentes externos;• Acões jurídicas contra a Infoglobo (ações cíveis, descumprimento de obrigações

contratuais, etc.)

92

ENTÃO, SURGEM AS PERGUNTAS ENTÃO, SURGEM AS PERGUNTAS IMPORTANTESIMPORTANTES......

Que objetivos assumidos junto aos acionistas correm o risco de não serem cumpridos?

Corremos riscos de receber multas? De que valores?

O que poderia afetar a imagem das nossas marcas?

Existe o risco da produção parar ou atrasar?

Os nossos segredos estão protegidos?

A auditoria externa pode encontrar algum problema importante?

Como estamos em relação às empresas semelhantes à nossa?

93

... ... E TAMBÉM A NECESSIDADE DE AJUSTAR A E TAMBÉM A NECESSIDADE DE AJUSTAR A PERCEPPERCEPÇÃO DOS EXECUTIVOSÇÃO DOS EXECUTIVOS

SEGURANÇA REAL

S

EG

UR

AN

ÇA

PE

RC

EB

IDA

SU

FIC

IEN

TE

INADEQUADO ADEQUADO

INS

UF

ICIE

NT

E Implantação do Processo

de Gestão de Riscos&SI

Orientação aos Responsáveis

pelo Tratamento dos Riscos

PERIGO

DESCONFORTO

IDEAL

GASTOS DESNECESSÁRIOS

An

álise eC

on

scientizaçã

o

94

Risco Inerent

e

Infra-estrutura

Regras e Processos

Conscientização e Treinamento

Risco Gerenciado

FATOR CRÍTICO DE SUCESSO:FATOR CRÍTICO DE SUCESSO:BALANCEAR OS INVESTIMENTOSBALANCEAR OS INVESTIMENTOS

95

ISO 17799:2005

Garantindo que o acesso à informação seja obtido somente

por pessoas autorizadas.

Garantindo a integridade da informação e dos

sistemas de processamento.

Garantindo que os usuários autorizados tenham acesso à informação e aos sistemas

sempre que necessário.

Garantindo que o destinatário possa verificar a autoria e/ou a origem de uma

informação.

C onfidencialidadeI ntegridadeD isponibilidadeA utenticidade

Ou seja, mantendo a CIDA!

COMO A SEGURANÇA DA INFORMAÇÃO COMO A SEGURANÇA DA INFORMAÇÃO PODE CONTRIBUIR PARA A REDUÇÃO DE RISCOS?PODE CONTRIBUIR PARA A REDUÇÃO DE RISCOS?

96 96

SOFTWARE COM QUALIDADESOFTWARE COM QUALIDADE

Um dos grandes desafios das companhias que criam aplicações de negócios, é monitorar todas as etapas de produção e desenvolver soluções sem falhas, atendendo os requisitos padrões internacionais associados.

Nesse sentido ferramentas de Gestão de Riscos(GR) tem sido utilizadas.

Empresas fornecedoras desses tipos de ferramentas, tem relatado que durante o acompanhamento dos projetos, muitos morrem antes de ser concluídos por causa das ameaças que surgem ao longo do processo e pela falta de preparo das equipes para cumprir os objetivos estipulados.

Pesquisas revelam que apnas 34% dos Projetos e Software são bem-sucedidos, se apresentar estouro de orçamento e prazo.

Outros 15% são cancelados e 48% dos requisitos e funcionalidades do produto não são entregues.

97 97

FATÔRES QUE AMEAÇAM O DESENVOLVIMENTO DE FATÔRES QUE AMEAÇAM O DESENVOLVIMENTO DE SOFTWARE (RISCOS DE DESENVOLVIMENTO)SOFTWARE (RISCOS DE DESENVOLVIMENTO)

Estouro de orçamento; Não cumprimento dos prazos; Falta de planejamento do Projeto de Segurança (ISO/IEC 15408); Desperdício de recursos; Retrabalho corrigindo erros; Dificuldades para aprimorar a qualidade dos projetos; Falha de software; Perda de controle sobre as solicitações do sistema; Falta de comuincação entre os interessados; Criação de produtos que atendem as necessidades dos clientes; Entrega de requisitos incompletos e inconsistentes; Conflitos entre os interesses da organização e os colaboradores; Falta de cooperação entre as equipes;

É a GR aplicada no desenvolvimento de software que possibilitará uma gestão que aprimorará os processos, aumentando a produtividade e reduzindo os custos de produção das aplicações.

98 98

A GESTÃO DE RISCOS NO BRASILA GESTÃO DE RISCOS NO BRASIL

O Centro da Qualidade , Segurança e Produtividade(QSP) entidade com mais de 120 associados de diversos segmentos da economia, criou o Núcleo de Gestão de Riscos (NGR), que realizou estudo em 2007, para verificar como essa metodologia esta sendo aplicada no Brasil. Resultados observados:

A GR é praticada de forma isolada e não integrada; O setor privado está mais adiantado do que o setor público; As principais barreiras levantadas para a implantação de GR no

Brasil são: - a falta de conscientização e de pessoal especializado em GR; - desconhecimento do assunto; - excesso de níveis hierarquicos; - buroracia; - lentidão na tomada de decisões;

Cabe a Gestão obter apoio e comprometimento da alta direção e conseguir a participação efetiva das pessoas;

99

ETAPAS PARA SE CONSOLIDAR A GESTÃO DE ETAPAS PARA SE CONSOLIDAR A GESTÃO DE RISCOSRISCOS

ConscientizarIniciarAplicar

IntegrarEspecializar

1ª etapa2ª etapa

3ª etapa4ª etapa

5ª etapa

Proposta

• Melhoria pontual do ambiente de controles internos

• Aculturamento dos executivos

• Formalização de normas e processos

Proposta

• Melhoria ampla do ambiente de controles internos

• Definição da arquitetura de gestão de riscos (política, estrutura, processos e etc)

• Descentralização da gestão de riscos e controles

Proposta

• Incorporação da gestão de riscos nas atividades diárias

• Priorização corporativa da administração dos riscos

Proposta

• Métodos específicos de quantificação de riscos

Proposta

• Gestão dos Riscos integrada à Gestão do Negócio

100

RISCO = POSSIBILIDADE X IMPACTORISCO = POSSIBILIDADE X IMPACTOQUANTO MAIOR A POSSIBILIDADE DE OCORRER, MAIOR A PROBABILIDADEQUANTO MAIOR A POSSIBILIDADE DE OCORRER, MAIOR A PROBABILIDADE

101

RISCO = POSSIBILIDADE X IMPACTORISCO = POSSIBILIDADE X IMPACTO

102

MATRIZ DE RISCOS DA INFOGLOBOMATRIZ DE RISCOS DA INFOGLOBO(responsáveis pelo acompanhamento)(responsáveis pelo acompanhamento)

MA 5 5 10 15 20 25

A 4 4 8 12 16 20

M 3 3 6 9 12 15

B 2 2 4 6 8 10

MB 1 1 2 3 4 51 2 3 4 5

MB B M A MAPossibilidade

Imp

acto

Riscos acompanhados pelo gestor e pelo Comitê de Riscos e

Seg. da Informação

Riscos acompanhados pelo gestor e pelo seu diretor

Riscos acompanhados somente pelo gestor

AULA 01 Introdução a Analise de Risco

Documents

Transcript of AULA 01 Introdução a Analise de Risco