Prévia do material em texto
* * GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS SEGURANÇA NA INFRAESTRUTURA DE TI * * SEGURANÇA NA INFRAESTRUTURA DE TI MOTIVAÇÃO Adianta uma super politica de senhas para os ativos de rede ( roteador, firewal etc ), se o invasor possuir acesso físico? ( recuperação de senha etc ) Qual a diferença entre ransomware (sequestro de dados), da quebra física de um storage? ( perca da informação ) Exemplos mil, CUIDEM da infraestrutura. * * SEGURANÇA NA INFRAESTRUTURA DE TI INTRODUÇÃO Conceitualmente, a infraestrutura de TI é a parte da TI que dá suporte às aplicações que fornecem sustentação aos processos de negócio. Por esse motivo, a superioridade e a capacidade de inovação da organização dependem muito da infraestrutura de TI adotada (HAMEL, 2008). Os negócios de uma organização depende muito do bom funcionamento e segurança da infraestrutura de TI. * * SEGURANÇA NA INFRAESTRUTURA DE TI ISO 27002:2005 Norma de segurança apresentada pelo Brasil e elaborada no Comitê Brasileiro de Computadores e Processamento de Dados pela Comissão de Estudo em Segurança Física, denominada por NBR ISO/IEC 27002, que tem conteúdo equivalente ao da norma ISO/IEC 17799. * * SEGURANÇA NA INFRAESTRUTURA DE TI ISO 27002:2005 A norma apresenta em sua estrutura 11 seções de controles de segurança da informação. Dentro de cada seção existem categorias. Ao todo existem 39 categorias principais de segurança e uma seção introdutória que aborda a análise e o tratamento de riscos. * * SEGURANÇA NA INFRAESTRUTURA DE TI ISO 27002:2005 As seções são as seguintes: Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativos Segurança em Recursos Humanos Segurança Física e do Ambiente Gestão das Operações e Comunicações Controle de Acesso * * SEGURANÇA NA INFRAESTRUTURA DE TI ISO 27002:2005 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Gestão de Incidentes de Segurança de Informação Gestão da Continuidade do Negócio Conformidade * * SEGURANÇA NA INFRAESTRUTURA DE TI REQUISITOS DE SEGURANÇA DE INFORMAÇÃO As principais fontes para a obtenção dos requisitos: 1 - Análise dos riscos para a organização, levando em conta objetivos e estratégias globais de negócio da organização. Por esta fonte, as ameaças aos ativos e as vulnerabilidades são identificadas. Uma avaliação da probabilidade da ocorrência das ameaças e o impacto para o negócio é realizada. * * SEGURANÇA NA INFRAESTRUTURA DE TI REQUISITOS DE SEGURANÇA DE INFORMAÇÃO As principais fontes para a obtenção dos requisitos: 2 - Legislação vigentes, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais e provedores de serviço têm que atender além do seu ambiente sociocultural. * * SEGURANÇA NA INFRAESTRUTURA DE TI REDUÇÃO DOS RISCOS NA INFRAESTRUTURA As principais fontes para a obtenção dos requisitos: 3 - Conjunto particular de princípios, objetivos e requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para auxiliar as suas operações. * * SEGURANÇA NA INFRAESTRUTURA DE TI PRINCIPAIS RISCOS – AMEAÇAS FÍSICAS Roubo; Interrupção de energia; Interrupção de comunicação; Fenômenos climáticos; Falha de equipamentos; Incêndio. * * SEGURANÇA NA INFRAESTRUTURA DE TI PRINCIPAIS RISCOS – AMEAÇAS LÓGICAS Códigos maliciosos; Vírus; Backdoor; Worms; KeyLoggers; Rootkits; Ataques; Negação de serviço; Spam; Interceptação de pacotes (Man in the middle); * * SEGURANÇA NA INFRAESTRUTURA DE TI PRINCIPAIS RISCOS – AMEAÇAS EM RECURSOS HUMANOS Engenharia Social; Baseado em persuasão ou confiança. * * SEGURANÇA NA INFRAESTRUTURA DE TI MEDIDAS DE SEGURANÇA LÓGICA Senhas; Backup; Criptografia; Antivírus; Firewall; Atualizações contra vulnerabilidades; * * SEGURANÇA NA INFRAESTRUTURA DE TI MEDIDAS DE SEGURANÇA EM RECURSOS HUMANOS Não fornecer dados pessoais por contato telefônico ou por e-mail; Não acessar sites recebidos por e-mail ou presente em páginas, sem certeza da procedência; * * SEGURANÇA NA INFRAESTRUTURA DE TI REDUÇÃO DOS RISCOS NA INFRAESTRUTURA A TI guarda relação direta com o risco. Cuidar desse risco tem importância fundamental para a sobrevivência da organização. Por esse motivo, é essencial analisar o risco de TI por meio de uma perspectiva ampla. * * SEGURANÇA NA INFRAESTRUTURA DE TI REDUÇÃO DOS RISCOS NA INFRAESTRUTURA A gestão dos riscos de TI depende de três disciplinas essenciais: • Alicerce de ativos de TI; • Processo de governança de risco bem projetado e executado; • Cultura de consciência de risco. * * SEGURANÇA NA INFRAESTRUTURA DE TI REDUÇÃO DOS RISCOS NA INFRAESTRUTURA O alicerce de ativos de TI envolve tecnologias e aplicações bem estruturadas e administradas, seguidas de controles robustos envolvendo os seguintes itens: 1 - Simplificação da infraestrutura de TI, que utilize o número necessário de diferentes configurações tecnológicas; 2 - Base de aplicações bem integradas e na medida do possível simples; * * SEGURANÇA NA INFRAESTRUTURA DE TI REDUÇÃO DOS RISCOS NA INFRAESTRUTURA 3 - Estrutura de dados documentada e processos consistentes; 4 - Acesso controlado a dados e aplicações; 5 - Pessoal de apoio qualificado; 6 - Processos de manutenção que mantenham a tecnologia atualizada com atualizações de patches feita de maneira organizada e controlada. * * SEGURANÇA NA INFRAESTRUTURA DE TI REDUÇÃO DOS RISCOS NA INFRAESTRUTURA Modelos como o ITIL e COBIT abordam um complexo conjunto de elementos que permitem o gerenciamento da infraestrutura de TI e seu alinhamento ao negócio para o alcance da governança. * * SEGURANÇA NA INFRAESTRUTURA DE TI REDUÇÃO DOS RISCOS NA INFRAESTRUTURA São elementos que compõem a infraestrutura: Instalações prediais; Sistemas de redes e telecomunicações; Computadores e equipamentos relacionados; Sistemas de armazenamento (storage); Software básicos e de aplicações; * * SEGURANÇA NA INFRAESTRUTURA DE TI REDUÇÃO DOS RISCOS NA INFRAESTRUTURA Os riscos nas instalações prediais envolvem os seguinte fatores: Energia Climatização Acesso * * SEGURANÇA NA INFRAESTRUTURA DE TI REDUÇÃO DOS RISCOS NA INFRAESTRUTURA Os riscos nas instalações prediais envolvem os seguinte fatores: Energia Climatização Acesso Envolve proteções contra: choques elétricos, efeitos térmicos, sobrecorrente, sobretensão, desligamento de emergência ou acidental. * * SEGURANÇA NA INFRAESTRUTURA DE TI REDUÇÃO DOS RISCOS NA INFRAESTRUTURA Os riscos nas instalações prediais envolvem os seguinte fatores: Energia Climatização Acesso Envolve garantia de condições adequadas de temperatura e umidade, essenciais a sensibilidade dos equipamentos eletrônicos da infraestrutura de TI . * * SEGURANÇA NA INFRAESTRUTURA DE TI REDUÇÃO DOS RISCOS NA INFRAESTRUTURA Os riscos nas instalações prediais envolvem os seguinte fatores: Energia Climatização Acesso Envolve controle de acesso físico ao ambiente e deve ser provido por diferentes mecanismos. * * SEGURANÇA NA INFRAESTRUTURA DE TI EXEMPLIFICANDO ALGUMAS MEDIDAS DE SEGURANÇA FÍSICA Biometria associada a uma senha Como anteriormente abordado, controle de acesso físico ao ambiente deve ser provido por diferentes mecanismos para garantir o acesso ao funcionário às áreas restritas de TI. * * SEGURANÇA NA INFRAESTRUTURA DE TI EXEMPLIFICANDO ALGUMAS MEDIDAS DE SEGURANÇA FÍSICA Geradores e No-Break No-break é um equipamento constituído de baterias, alimentadas constantemente. Controla a energia que chega da concessionária e quando ocorre interrupção, passa a fornecer a energia armazena em suas baterias para os equipamentos. Possibilitando o usuário salvar seustrabalhos e desligar o equipamento sem problemas. * * SEGURANÇA NA INFRAESTRUTURA DE TI EXEMPLIFICANDO ALGUMAS MEDIDAS DE SEGURANÇA FÍSICA Geradores e No-Break Geradores são equipamentos que convertem, geralmente, energia mecânica em energia elétrica. Para alimentar equipamentos elétricos * * SEGURANÇA NA INFRAESTRUTURA DE TI EXEMPLIFICANDO ALGUMAS MEDIDAS DE SEGURANÇA FÍSICA Geradores e No-Break Para implementação de tolerância a falhas de interrupção de energia, o ideal é o trabalho conjunto desses dois equipamentos, através controle automatizado o no-break assume o fornecimento assim que ocorrer a falha, em seguida o gerador é ligado, após um determinado tempo de falta de energia o gerador assume o fornecimento. O caminho inverso, retorno energia, também. * * SEGURANÇA NA INFRAESTRUTURA DE TI SEGURANÇA FÍSICA E DO AMBIENTE Seguras com prevenção de acesso físico NÃO autorização, danos e interferências com as instalações; Segurança de equipamentos, que se atenta a impedir perdas, danos, roubo, comprometimento de ativos. * * ÁREAS SEGURAS 1. Perímetro de Segurança Física 2. Controles de Entrada Física 3. Segurança em escritórios, salas e instalações 4. Proteção contra ameaças externas e do meio ambiente 5. Trabalhando em áreas seguras 6. Acesso do público, áreas de entrega e carregamento SEGURANÇA FÍSICA E DO AMBIENTE * * ÁREAS SEGURAS 1. Perímetro de Segurança Física 2. Controles de Entrada Física 3. Segurança em escritórios, salas e instalações 4. Proteção contra ameaças externas e do meio ambiente 5. Trabalhando em áreas seguras 6. Acesso do público, áreas de entrega e carregamento Utilização de perímetros de segurança para proteger as áreas que contenham informações e instalações de processamento da informação. SEGURANÇA FÍSICA E DO AMBIENTE * * ÁREAS SEGURAS 2. Controles de Entrada Física 3. Segurança em escritórios, salas e instalações 4. Proteção contra ameaças externas e do meio ambiente 5. Trabalhando em áreas seguras 6. Acesso do público, áreas de entrega e carregamento Assegurar o acesso somente às pessoas autorizadas através de controles apropriados de entrada. SEGURANÇA FÍSICA E DO AMBIENTE * * ÁREAS SEGURAS 3. Segurança em escritórios, salas e instalações 4. Proteção contra ameaças externas e do meio ambiente 5. Trabalhando em áreas seguras 6. Acesso do público, áreas de entrega e carregamento Aplicar a segurança física também aos outros locais da organização. SEGURANÇA FÍSICA E DO AMBIENTE * * ÁREAS SEGURAS 4. Proteção contra ameaças externas e do meio ambiente 5. Trabalhando em áreas seguras 6. Acesso do público, áreas de entrega e carregamento Aplicar proteção física contra incêndios, enchentes, terremotos, explosões, perturbações de ordem pública ou outras formas de desastres naturais ou causados pelo homem. SEGURANÇA FÍSICA E DO AMBIENTE * * ÁREAS SEGURAS 5. Trabalhando em áreas seguras 6. Acesso do público, áreas de entrega e carregamento Projeto e aplicação da proteção física, bem como diretrizes para o trabalho em áreas seguras. SEGURANÇA FÍSICA E DO AMBIENTE * * ÁREAS SEGURAS 6. Acesso do público, áreas de entrega e carregamento Locais em que pessoas não autorizadas possam entrar na organização sejam controlados e, se possível, isolar das instalações de processamento de informação a fim de evitar o acesso não autorizado. SEGURANÇA FÍSICA E DO AMBIENTE * * SEGURANÇA FÍSICA E DO AMBIENTE SEGURANÇA DE EQUIPAMENTOS 1. Instalação e proteção do equipamento 2. Utilidades 3. Segurança do cabeamento 4. Manutenção dos equipamentos 5. Segurança de equipamentos fora das dependências da organização 6. Reutilização e Alienação segura de equipamentos 7. Remoção de propriedade * * SEGURANÇA FÍSICA E DO AMBIENTE SEGURANÇA DE EQUIPAMENTOS 1. Instalação e proteção do equipamento 2. Utilidades 3. Segurança do cabeamento 4. Manutenção dos equipamentos 5. Segurança de equipamentos fora das dependências da organização 6. Reutilização e Alienação segura de equipamentos 7. Remoção de propriedade Colocar o equipamento em local seguro a fim de reduzir o risco de ameaças e perigos do meio ambiente. Adicionalmente, limitar ainda mais o acesso não autorizado. . * * SEGURANÇA FÍSICA E DO AMBIENTE SEGURANÇA DE EQUIPAMENTOS 2. Utilidades 3. Segurança do cabeamento 4. Manutenção dos equipamentos 5. Segurança de equipamentos fora das dependências da organização 6. Reutilização e Alienação segura de equipamentos 7. Remoção de propriedade Proteger equipamentos contra a falta de energia elétrica e outras interrupções causadas por falta de utilidades. * * SEGURANÇA FÍSICA E DO AMBIENTE SEGURANÇA DE EQUIPAMENTOS 3. Segurança do cabeamento 4. Manutenção dos equipamentos 5. Segurança de equipamentos fora das dependências da organização 6. Reutilização e Alienação segura de equipamentos 7. Remoção de propriedade Proteção de cabeamento de energia e telecomunicações contra a interceptação ou danos. * * SEGURANÇA FÍSICA E DO AMBIENTE SEGURANÇA DE EQUIPAMENTOS 4. Manutenção dos equipamentos 5. Segurança de equipamentos fora das dependências da organização 6. Reutilização e Alienação segura de equipamentos 7. Remoção de propriedade Estabelecer uma manutenção correta dos equipamentos a fim de garantir sua disponibilidade e integridade permanentes. * * SEGURANÇA FÍSICA E DO AMBIENTE SEGURANÇA DE EQUIPAMENTOS 5. Segurança de equipamentos fora das dependências da organização 6. Reutilização e Alienação segura de equipamentos 7. Remoção de propriedade Tomar medidas de segurança para com os equipamentos que operem fora da organização levando em considerações os diversos riscos que podem ocorrer. * * SEGURANÇA FÍSICA E DO AMBIENTE SEGURANÇA DE EQUIPAMENTOS 6. Reutilização e Alienação segura de equipamentos 7. Remoção de propriedade Examinar equipamentos que contenham mídia de armazenamento de dados antes do descarte com o intuito de assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobrepostos com segurança. * * SEGURANÇA FÍSICA E DO AMBIENTE SEGURANÇA DE EQUIPAMENTOS 7. Remoção de propriedade Equipamentos, informações ou software não sejam retirados do local sem autorização prévia. * * SEGURANÇA NA INFRAESTRUTURA DE TI CONCLUSÃO As organizações não devem achar que estão seguras pelo fato de terem feito uma análise de segurança da informação no passado e esquecerem de realizar análises futuras. Devem lembrar também, que o controle de acesso as instalações físicas tem tanta importância quanto os controles lógicos de acesso aos sistemas de informações * * PRÓXIMA AULA Você conhecerá os dispositivos móveis, riscos, cuidados na compra e descarte, suas fragilidades e vulnerabilidades. SEGURANÇA EM DISPOSITIVOS MÓVEIS.