Aula 1 - Conceitos Gerais de Segurança Da Informação
-
Upload
nick-dos-santos -
Category
Documents
-
view
1 -
download
0
description
Transcript of Aula 1 - Conceitos Gerais de Segurança Da Informação
-
SEGURANA DA INFORMAO
Prof. Andr Luiz Gonalves Campos
-
CONCEITOS GERAIS DE SEGURANA DA INFORMAO
Prof. Andr Luiz Gonalves CamposAULA 1
-
3Tpicos abordados
Aula 1 Conceitos Gerais
Aula 2 Gesto de Risco
Aula 3 tica Legislao
Aula 4 Poltica de Segurana
Aula 5 Classificao de Informaes
Aula 6 Gesto de Continuidade de Negcios
Aula 7 Gesto de Pessoas
Aula 8 Segurana Fsica e Patrimonial
Aula 9 Organizao da Segurana da Informao
-
4Tpicos
Introduo
O Ambiente
A histria
Desafios Atuais
SI nas organizaes
A gesto de SI
Tecnologia e SI
Estudo de Caso
-
5Introduo
O que Segurana?
A premissa mais bsica para se estudar segurana entender sua definio.
A palavra segurana, no que diz respeito a rea que estudaremos, costuma
ser empregada com dois significados:
Estado ou condio: onde aquilo que objeto de
proteo no passa por eventos que lhe causem algum
mal ou comprometam seus objetivos.
Conjunto de Protees: projetadas e implementadas
de forma a se atingir o estado ou a condio de
segurana. Essas protees podem ser de diversos
tipos.
-
6Introduo
Tipos de Ativos
Tangveis
Informaes
Sistemas
Mveis
Intangveis
Imagem
Confiabilidade
Marca
Tipos de Ativos Lgicos
Dados Armazenados
Sistemas
Redes
Fsicos
Computadores
Sistemas de Ar-Condicionado
Prdios
Pessoal
Empregados
Prestadores de Servio
ATIVO tudo aquilo que traz valor ao negcio
-
7Introduo
Tipos de Proteo
Fsicas
Portas
Fechaduras
Seguranas (pessoas)
Lgicas
Dispositivos de controle de acesso de SO
Firewall
Criptografia
Administrativas
Polticas
Normas
Procedimentos
-
8Introduo
A implementao de SI se baseia na utilizao de diversos tiposdiferentes de controles, variando bastante sua ao. Isso permite aimplementao de um conceito conhecido com defesa emprodundidade.
Este conceito prega que prefervel ter diversos controles com nvelde segurana menores, do que um nico grande controle, com o nvelde segurana altssimo. A premissa bsica que todos os controlesesto sujeitos a falhas e, sendo assim, a melhor estratgia prevernos projetos controles que se complementam e que sirvam debackup entre si.
Tipos de protees de acordo com a sua finalidade
Preveno, Desencorajamento, Monitoramento, Deteco, Limitao, Reao, Correo, Recuperao.
-
9Introduo
Os aspectos de SI - CID
Confidencialidade
Integridade Disponibilidade
-
10
Confidencialidade condio na qual apenas
instncias previamente estabelecidas tero
conhecimento sobre as diversas informaes
pertencentes as organizaes.
Integridade Condio que representa que
determinada informao precisa e correta.
Disponibilidade Condio na qual determinado
ativo estar disponvel para uso sempre que a
organizao necessitar.
-
11
Introduo
Os componentes bsicos
A premissa fundamental em segurana prev que no
existe nada 100% seguro
-
12
Introduo
Os componentes bsicos
Valor medida da importncia do ativo para a organizao. Podese dar atravs de propriedades mensurveis ou no.
Ameaa evento que pode comprometer o funcionamento normalda organizao, impactando seus objetivos em vrias escalas.
Vulnerabilidade falha ou falta de proteo que permite que aameaa se concretize.
Impacto Grau de comprometimento que a concretizao de umadeterminada ameaa traz para a organizao.
Risco medida que indica a probabilidade de uma determinadaameaa se concretizar, combinada com os impactos que ela trar.
-
13
Os proprietrios de ativos devem ter confiana (confidence) na eficcia das contramedidas, mas podem no possuir a habilidade de avali-la.
Assim, os proprietrios utilizam-se de uma avaliao (evaluation), que gera uma declarao do nvel de validao (assurance) de sua capacidade de mitigar riscos.
IntroduoISO 15408 a norma mais antiga de segurana da informao. O foco da
norma o desenvolvimento seguro de softwares e a definio de
mecanismos de avaliao para anlise e classificao da
segurana de eplicaes.
Owners proprietriosCountmeasures proteesVulnerabilities vulnerabilidadesThreat agents originadores de ameaasThreat ameaasAssets - ativos
-
14
Introduo
-
15
Introduo
Requerimentos de Segurana
So agrupados em famlias, que por sua vez so
agrupadas em classes.
Se dividem em dois tipos:
Requerimentos Funcionais de Segurana
Requerimentos de Validao de Segurana
-
16
Classes de Requerimentos Funcionais de Segurana
Auditoria de segurana (FAU) validao dafuncionalidade de gerao de trilha de auditoria deeventos relevantes do ponto de vista de segurana;
Comunicao (FCO) validao dos controles aplicados comunicao entre o sistema e outras entidades atravs deno repdio de recebimento e envio;
Suporte criptogrfico (FCS) validao dos controlesaplicados ao suporte criptogrfico, como gerenciamento dechaves e escolha dos algoritmos;
Proteo a dados do usurio (FDP) validao doscontroles de proteo aos dados do usurio na importao,exportao, armazenamento ou comunicao interna entrecomponentes do sistema;
-
17
Classes de Requerimentos Funcionais de Segurana
Identificao e autenticao (FIA) validao dos controlesaplicados correta identificao dos usurios do sistema,bem como sua associao a perfis de permisses;
Gerenciamento de segurana (FMT) validao doscontroles aplicados ao gerenciamento de dados desegurana como perfis de permisses, atributos desegurana e outros dados internos;
Privacidade (FPR) validao dos controles utilizados paraimpedir que usurios do sistema comprometam a seguranados dados uns dos outros;
Proteo do sistema (FPT) validao dos controlesutilizados para garantir a integridade dos dados eprocessamento do sistema diretamente associados suasegurana;
-
18
Classes de Requerimentos Funcionais de Segurana
Utilizao de recursos (FRU) validao dos controles
utilizados para garantir o uso devido de recursos como
memria, armazenamento e banda, com a devida
compartimentalizao e priorizao de sua alocao;
Acesso ao sistema (FTA) validao dos controles
aplicados ao estabelecimento, gerenciamento e
encerramento de sesses entre o usurio e o sistema;
Trusted Paths (FTP) validao dos controles aplicados
criao de canais de comunicao confiveis (no-repdio)
entre usurios e o sistema, e entre este e outras entidades
com as quais exista um relacionamento de confiana.
-
19
Classes de Requerimentos de Validao de Segurana
Gerenciamento de Configurao (ACM) manuteno da
integridade do sistema do controle e dos processos de
modificao do mesmo;
Entrega e Operao (ADO) manuteno da segurana do
sistema durante entrega, instalao, inicializao e
operao;
Desenvolvimento (ADV) provises de segurana na
especificao, design e implementao do sistema.
Documentao (AGD) cobre a facilidade de
compreenso, abrangncia e completude da
documentao operacional do sistema para usurios e
administradores;
-
20
Classes de Requerimentos de Validao de Segurana
Suporte ao Ciclo de Vida (ALC) que inclui a segurana do
ambiente, processos e ferramentas utilizadas para o
desenvolvimento e manuteno do sistema;
Testes (ATE) analisa os testes sistemticos utilizados para
validar a aderncia do sistema aos seus requisitos
funcionais de segurana;
Anlise de Vulnerabilidades (AVA) que cobre a
identificao de vulnerabilidades explorveis no sistema,
como covert channels;
Manuteno da Validao (AMA) que cobre a validao
continuada de segurana aps a avaliao inicial, quando
da alterao do sistema.
-
21
O Ambiente
O que deve ser protegido?
Tudo deveria ser protegido. Alguns aspectos se aplicam
mais a um tipo de ativo que a outros. A segurana fsica,
costuma estar mais focada nos ativos tangveis, nos sistemas
de suporte e infraestrutura e nas pessoas. J as Segurana
em TI foca-se mais na segurana das informaes
armazenadas, processadas e transmitidas por sitemas.
A viso mais lgica, que a SI compreende todo o universo
mas, na maioria das organizaes, diferentes aspectos
costumam ser controlados por reas diferentes.
-
22
O Ambiente
Por que devemos nos proteger?
Buscar viso mais abrangente dos impactos causados
pelos problemas de segurana.
-
23
O Ambiente
De que devemos nos proteger?
Natural
Eventos meteorolgicos
Acidental
Erros dos usurios
Falhas de sistemas
Falha no fornecimento de servios bsicos (energia eltrica)
Intencional
Invases
Terrorismo
Chantagem
Espionagem
-
24
A Histria
Pr-informtica
Ps-informtica
Cenrio Atual
-
25
Os Desafios Atuais
Aumento da exposio
Convergncia
Os problemas tecnolgicos
Leis, regulamentaes e normas
-
26
SI nas organizaes
Viso fazer com que a SI permeie a vida das organizaes,
impactando da menor forma possvel a sua rotina e mantenha
os riscos dentro de patamares desejados.
Metas dentre as muitas metas que a segurana enfrenta
hoje destacamos: Incorporar a cultura e as prticas de segurana a rotina de trabalho dos colaboradores.
Buscar tecnologias que cuidem da segurana enquanto as organizaes cuidam de seus objetivos.
Se aproximar do centro de deciso das organizaes, agregando valor e ajudando no alcance dos
objetivos
Encontrar solues economicamente viveis para os problemas.
Hierarquia estruturao das funes ligadas a rea de
segurana.
-
27
A gesto de SI
Polticas
Classificao das informaes
Anlise de Risco
Arquitetura Empresarial de Segurana
Continuidade dos Negcios
tica e Legislao
Peopleware
Sistema de Gesto de SI
-
28
Tecnologia e SI
Segurana de hosts
Plataforma Windows
Plataforma Unix
Segurana de Redes
Sistemas de Firewall e Defesa Perimetral
IDS/IPS
Segurana de Ambientes Wireless
Criptografia
Tecnolgias
ICP (PKI)
Segurana no Desenvolvimento de Aplicaes
Percia Forense
Teste de Invaso