Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança Cibernética ARA0076 Professora Ma. Gilmara Maquiné 2 SEGURANÇA CIBERNÉTICA - AULA 04 • ROTEIRO • PLANO DE CIBERSEGURANÇA (CYBERSECURITY PLAN); • POLÍTICA DE SEGURANÇA; • NIST FRAMEWORK; • EXERCÍCIOS; • EXERCÍCIO AVALIATIVO. 3 SEGURANÇA CIBERNÉTICA - AULA 04 • OBJETIVO • Identificar os serviços que serão disponibilizados na rede, para definir as ameaças às quais estarã o submetidos, tornando possível elencar as ferramentas de segurança que devem ser utilizadas. 4 SEGURANÇA CIBERNÉTICA - AULA 04 VAMOS PENSAR?? Na área de tecnologia tratase de garantir a sobrevivência. Conhecer o parque tecnológico de um negócio é indispensável, pois possibilita tomar ciência das soluções para que uma análise de possíveis vulnerabilidades seja providenciada. Com base nesta análise, tornase viável a construção de um plano de segurança mas, para isto, é necessário conhecer detalhes técnicos consistentes sobre o funcionamento de sistemas operacionais, aplicações e redes de computadores. Voce sabe pesquisar vulnerabilidades de soluções? Sabendo das vulnerabilidades de um ambiente, teria condições de encontrar possíveis formas de contornalas ou resolvêlas? 5 SEGURANÇA CIBERNÉTICA - AULA 04 CAMADA DE APLICAÇÃO • A camada de aplicação provê serviços para o usuário. • A comunicação é fornecida através de uma conexão lógica, o que significa que as duas camadas de aplicação consideram a existência de uma conexão direta imaginária por meio da qual podem enviar e receber mensagens (FOUROZAN, 2013) . 6 SEGURANÇA CIBERNÉTICA - AULA 04 CAMADA DE APLICAÇÃO 7 SEGURANÇA CIBERNÉTICA - AULA 04 CAMADA DE APLICAÇÃO 8 SEGURANÇA CIBERNÉTICA - AULA 04 9 SEGURANÇA CIBERNÉTICA - AULA 04 SERVIÇOS DISPONÍVEIS NA REDE • Active directory • FTP • File server • Web Server 10 SEGURANÇA CIBERNÉTICA - AULA 04 SERVIÇOS DISPONÍVEIS NA REDE 11 SEGURANÇA CIBERNÉTICA - AULA 04 SERVIÇOS DISPONÍVEIS NA REDE Preocupações de segurança referentes a dados são amplas, abrangendo disponibilidade, sigilo e integridade. No caso da disponibilidade, a preocupação é com a destruição de arquivos de dados, que pode ocorrer por acidente ou intencionalmente. 12 SEGURANÇA CIBERNÉTICA - AULA 04 SERVIÇOS DISPONÍVEIS NA REDE Ataques à segurança de redes podem ser classificados como ataques passivos e ataques ativos. Um ataque passivo tenta adquirir ou fazer uso de informações do sistema, mas não afeta ativos do sistema. Um ataque ativo tenta modificar ativos do sistema ou afetar sua operação. Ataques passivos consistem por natureza em bisbilhotar ou monitorar transmissões. A meta do atacante é obter informações que estão sendo transmitidas. Dois tipos de ataques passivos são a revelação do conteúdo de mensagens e a análise de tráfego. A revelação do conteúdo de mensagens é fácil de entender. Uma conversa ao telefone, uma mensagem por correio eletrônico e um arquivo transferido podem conter informações sensíveis ou confidenciais. Gostaríamos de impedir que um adversário conheça o conteúdo dessas transmissões. 13 SEGURANÇA CIBERNÉTICA - AULA 04 SERVIÇOS DISPONÍVEIS NA REDE Ataques ativos envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso e podem ser subdivididos em quatro categorias: repetição, personificação, modificação de mensagens e negação de serviço. Repetição envolve a captura passiva de uma unidade de dados e sua subsequente retrans missão para produzir um efeito não autorizado. 14 SEGURANÇA CIBERNÉTICA - AULA 04 P R I N C I P A I S A M E A Ç A S , VULNERABILIDADES? 15 SEGURANÇA CIBERNÉTICA - AULA 04 POLÍTICA DE SEGURANÇA • A primeira etapa para planejar serviços e mecanismos de segurança é desenvolver uma política de segurança. Os envolvidos na segurança de computadores usam a expressão política de segurança de vários modos. No mín imo, uma pol í t i ca de segurança é uma des cr ição in formal do comportamento desejado do sistema [NRC91]. Tais políticas informais podem referenciar requisitos para que se obtenha segurança, integridade e disponibilidade. 16 SEGURANÇA CIBERNÉTICA - AULA 04 POLÍTICA DE SEGURANÇA • É uma declaração formal de regras e práticas que especificam ou regulamentam como um sistema ou organização provê serviços de segurança para proteger ativos de sistema sensíveis e críticos (RFC 2828). • Tal política de segurança formal deve ser cumprida pelos controles técnicos do sistema, bem como por seus controles gerenciais e operacionais. 17 SEGURANÇA CIBERNÉTICA - AULA 04 VÍDEO: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO https://youtu.be/nI1o-w4nKdc https://youtu.be/nI1o-w4nKdc 18 SEGURANÇA CIBERNÉTICA - AULA 04 EXEMPLOS • CIBER SECURITY FRAMEWORK 1.1 DO NIST • Trata-se do principal Framework de segurança cibernética da atualidade, adotado por mais de 99% das empresas que se preocupam com riscos cibernéticos no mundo. • O NIST CSF foi desenvolvido para orientar os profissionais de gestão da segurança cibernética a como executar um processo de gestão de riscos para o domínio de segurança cibernética. • O CSF adota uma abordagem baseada em risco para gerenciar riscos composto de três partes: o CORE, as TIERS e os PROFILES. 19 SEGURANÇA CIBERNÉTICA - AULA 04 EXEMPLOS • CIBER SECURITY FRAMEWORK 1.1 DO NIST • O framework possui 3 elementos básicos: • Núcleo • Níveis • Perfis 20 SEGURANÇA CIBERNÉTICA - AULA 04 EXEMPLOS • CIBER SECURITY FRAMEWORK 1.1 DO NIST • Núcleo: projetado para ser intuitivo e atuar como uma camada de tradução para permitir a comunicação entre equipes multidisciplinares usando linguagem simplista e não técnica. 21 SEGURANÇA CIBERNÉTICA - AULA 04 EXEMPLOS • CIBER SECURITY FRAMEWORK 1.1 DO NIST 22 SEGURANÇA CIBERNÉTICA - AULA 04 EXEMPLOS • CIBER SECURITY FRAMEWORK 1.1 DO NIST • Níveis: Os níveis descrevem o grau em que as práticas de gerenciamento de riscos de segurança cibernética de uma organização exibem as características definidas no Framework. 23 SEGURANÇA CIBERNÉTICA - AULA 04 EXEMPLOS • CIBER SECURITY FRAMEWORK 1.1 DO NIST • P e r f i s : O s p e r f i s s ã o o alinhamento exclusivo de uma organização de seus requisitos e objetivos organizacionais, apetite por risco e recursos em r e l a ç ã o a o s r e s u l t a d o s desejados do Framework Core. 24 SEGURANÇA CIBERNÉTICA - AULA 04 EXEMPLOS • VÍDEO: NIST CSF 1.1 • https://youtu.be/R8Xns9ReLR4 https://youtu.be/R8Xns9ReLR4 25 SEGURANÇA CIBERNÉTICA - AULA 04 EXEMPLOS • POLÍTICA DE SEGURANÇA CIBERNÉTICA GOVERNO DE SÃO PAULO • A Política de Segurança Cibernética tem como objetivo atender a Resolução nº 4.658, de 26 de abril de 2018, do Conselho Monetário Nacional (CMN), e estabelecer os princípios, conceitos, valores e práticas que devem ser adotados pela Desenvolve SP para garantir a proteção das informações tratadas pela instituição. • A Polít ica de Segurança Cibernética é aplicável a todas as unidades e colaboradores (funcionários, estagiários e terceiros) da Desenvolve SP, bem como aos fornecedores de serviços de computação em nuvem. 26 SEGURANÇA CIBERNÉTICA - AULA 04 EXEMPLOS • POLÍTICA DE SEGURANÇA CIBERNÉTICA GOVERNO DE SÃO PAULO 27 SEGURANÇA CIBERNÉTICA - AULA 04 EXERCÍCIO AVALIATIVO (0,0 à 3,0 na AV1) • Equipes de no máximo 5 pesssoas; • Entrega: 03/04/2023; • Gerar um arquivo em PDF e enviar na sala de aula virtual; • As equipes deverão apresentar o seminário no dia 03/04/2023; • Cada equipe terá 10 minutos para apresentação. 28 SEGURANÇA CIBERNÉTICA - AULA 04 EXERCÍCIO AVALIATIVO (0,0 à 3,0 na AV1) Objetivo: Identificar práticas eficazes contidas em políticas de segurança cibernética. Tema geral: Padronizações de Políticas de Segurança Cibernética. Tópicos obrigatórios: - Caracterização; - Aplicabilidade; - Exemplo de utilização. Critérios avaliativos: - Pesquisa/contextualização (0,0 – 1,0); - Conteúdo/Abordagem (0,0 – 2,0); - Organização/Recursos visuais/Linguagem (0,0 - 1,0). 29 SEGURANÇACIBERNÉTICA - AULA 04 REFERÊNCIAS FOROUZAN, Behrouz A.; MOSHARRAF, Firouz. Redes de Computadores. [Digite o Local da Editora]: Grupo A, 2013. E-book. ISBN 9788580551693. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788580551693/. Acesso em: 20 mar. 2023. Stallings, William, William Stallings, Lawrie Brown Segurança de computadores : pri ncípios epráticas [tradução Arlete Simille Marques]. 2. ed. Rio de Janeiro : Elsevie r, 2014. https://www.nist.gov/cyberframework/online-learning/introduction-framework- roadmap Segurança Cibernética Aula 04 Gratidão! E até a próxima aula 30 Segurança Cibernética ARA0076 Professora Ma. Gilmara Maquiné
Compartilhar