Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Agenda
Introduo
Vulnerabilidade
Ameaas
Riscos
Polticas de Segurana
Solues para Implementao de Segurana
Concluso
Introduo
Mostraremos a importncia da implantao de
polticas para segurana com a grande opo de
ferramentas que possam auxiliar na implementao
das mesmas, proporcionando solues para
implementao de segurana.
Aspectos de Segurana
Aspectos Fsicos
Aspectos Sociais
Aspectos de Sistemas
Processo de Planejamento do
Sistema de Segurana
Planejamento das
necessidades
de segurana
Auditoria,
contingncia
e resposta a
incidentes
Implementao
Anlise
de risco
Anlise de
custo-benefcio
Estabelecimento
de uma Poltica
de Segurana
Processo de Planejamento do
Sistema de Segurana
Planejamento das
necessidades
de segurana
Vulnerabilidades
A vulnerabilidade um ponto no qual o sistema
suscetvel a ataque. Por exemplo:
as pessoas que operam e usam o sistema (elas foram
treinadas adequadamente?);
a conexo do sistema Internet (as comunicaes so
criptografadas?); e
o fato do prdio estar em uma rea sujeita a
inundaes (o sistema est no piso trreo do prdio?).
Caractersticas da Vulnerabilidade
Falta de Poltica de Segurana
Configurao Inadequada da Rede
Falta de Segurana:
Estao
Meio de Transporte
Servidor
Rede Interna
Vulnerabilidades Fsicas
Os prdios e salas que mantm o sistema so
vulnerveis podendo ser invadidos, por exemplo,
atravs de arrombamento.
Vulnerabilidades Naturais
Computadores so extremamente vulnerveis a
desastres de ordem natural e s ameaas
ambientais.
Desastres como fogo, inundao, terremoto e
perda de energia podem danificar computadores
ou destruir dados.
Poeira, umidade ou condies de temperatura
inadequadas tambm podem causar estragos.
Vulnerabilidades de Mdia
Discos, fitas e material impresso pode ser
facilmente roubado ou danificado.
Informaes sensveis podem ser mantidas em
discos ou fitas mesmo aps terem sido
logicamente removidas, mas no fisicamente
apagadas.
Vulnerabilidades de Comunicao
Mensagens em trnsito podem ser interceptadas,
desviadas ou forjadas.
Linhas de comunicao podem ser escutadas ou
interrompidas.
Vulnerabilidades Humanas
As pessoas que administram e usam o sistema
representam sua maior vulnerabilidade.
Normalmente a segurana de todo o sistema est sob o
controle do administrador do sistema.
Os usurios, operadores ou administradores do sistema
podem cometer erros que comprometam o sistema ou
ainda, podem ser subornados ou coagidos a cometer
atos danosos.
Servios de Segurana
Confidencialidade
Integridade
Disponibilidade
Vulnerabilidades
Vulnerabilidades
Vulnerabilidades
...
...
...
...
...
...
...
...
Ameaas
Consiste em possveis perigos para o sistema.
O perigo pode ser originado por:
uma pessoa (um espio, um criminoso profissional, um
hacker ou mesmo um funcionrio mal intencionado);
uma coisa (uma pea de hardware ou software defeituosa);
ou
um evento (fogo, queda de energia, uma inundao ou
terremoto).
Quadro de Ameaas
Antigamente
espionagem industrial
fraudes
erros
acidentes
Atualmente
Hackers
Invases
Vrus
Cavalos de Troia
Cavalos de Esparta
Passivas
No envolvem
modificaes
Formas de Ameaas
Internas
Alterao, insero e
remoo de dados
Acessos no autorizados
Personificao
Repdio
Uso Indevido
Externas
Monitorao
Personificao
Interrupo
Ameaas No-Intencionais
So os perigos trazidos pela ignorncia. Por exemplo:
um usurio ou administrador de sistema que no tenha sido
treinado;
que no tenha lido a documentao; ou
que no tenha entendido a importncia do cumprimento das
regras de segurana estabelecidas.
Ameaas Intencionais
So as ameaas que viram notcias de jornal e sobre
as quais os produtos de segurana melhor podem
atuar.
As ameaas intencionais podem surgir a partir de dois
tipos de viles: internos ou externos.
Viles externos incluem:
Criminosos profissionais
Hackers
Terroristas
Empresas competidoras
Ameaas Intencionais
Viles externos podem ter acesso a um sistema de
vrias formas: arrombamento, falsificao de
documentos de identificao, atravs de modems ou
conexes de rede ou ainda atravs do suborno ou
coao de pessoal interno.
A maior parte dos problemas de segurana so
provocados por viles internos: Os inimigos j esto
dentro da nossa organizao -- nos os contratamos!
Servios de Segurana
Confidencialidade
Integridade
Ameaas
...
Ameaas
...
...
...
...
Ameaas
...
Disponibilidade
...
...
Processo de Planejamento do
Sistema de Segurana
Planejamento das
necessidades
de segurana
Anlise
de risco
Riscos
Uma vez tendo sido identificadas as
vulnerabilidades do sistema e as ameaas
potenciais, possvel quantificar a probabilidade
de ocorrncia dos riscos existentes.
A complexidade desta atividade funo do
nvel de detalhamento desejado.
Exemplo de Risco
A interceptao dos sinais de telefones sem fio
ou celulares requer apenas um sistema de
varredura que pode ser adquirido facilmente. No
entanto, a escuta de dados criptografados em
uma linha de fibra tica requer equipamentos
sofisticados e caros.
Vulnerabilidades
Ameaas
Riscos
...
...
Processo de Planejamento do
Sistema de Segurana
Planejamento das
necessidades
de segurana
Anlise
de risco
Anlise de
custo-benefcio
Anlise de Custo-Benefcio
Esta anlise consiste na determinao do custo gerado
caso uma ameaa se concretize, denominado Custo da
Perda
E na determinao do custo do estabelecimento de
mecanismos de defesa contra a ameaa, denominado
Custo da Proteo
Anlise de Custo-Benefcio
Riscos
Custo da Perda
Custo da Proteo
...
...
Processo de Planejamento do
Sistema de Segurana
Planejamento das
necessidades
de segurana
Anlise
de risco
Anlise de
custo-benefcio
Estabelecimento
de uma Poltica
de Segurana
Premissas Bsicas
Padres de segurana para rede genrica
Equipamentos e funes associados ao servidor
devem estar no esquema de segurana
A segurana do servidor reflete o julgamento de
segurana do Administrador de Redes
As alternativas tomadas devem ser auditadas
Deve existir um plano de contingncia
Propsito da Poltica
Deve apoiar sempre os objetivos da organizao
Deve descrever o programa geral de segurana
Deve demonstrar os resultados de sua determinao
de riscos/ameaas
Propsito da Poltica
Deve definir responsabilidades para
implementao e manuteno de cada proteo
Deve definir normas e padres comportamentais
Contedo da Poltica
Deve relacionar os recursos e softwares que se
quer proteger
Deve relatar o que acontece quando programas e
dados no homologados so detectados em
ambiente operacional
Deve descrever procedimentos para
fornecimento e revogao de privilgios
Contedo da Poltica
Deve relacionar os responsveis e quem
afetado pelas orientaes
Deve determinar gerncia especfica e
responsabilidades dos envolvidos no controle e
manuseio do ambiente operacional
Deve trazer explicaes da importncia da
adoo dos procedimentos de segurana,
justificando-os
Implementao da Polticas
Os usurios devem ser treinados nas habilidades
necessrias para que possam segu-las
Dependem do conhecimento e cooperao do
usurio
Relevante na segurana com vrus e
gerenciamento de senhas
Implementao da Polticas
Usurios devem saber como agir, a quem
chamar, o que fazer para minimizar riscos de
segurana
Usurios devem ser motivados a sentir que as
polticas de segurana so criadas para seu
prprio benefcio
Processo de Planejamento do
Sistema de Segurana
Planejamento das
necessidades
de segurana
Anlise
de risco
Anlise de
custo-benefcio
Implementao
Estabelecimento
de uma Poltica
de Segurana
Confidencialidade
Autenticidade
Integridade
Disponibilidade
Confidencialidade
- Criptografia
- VPN
Autenticidade
- Assinaturas Digitais
- Autenticao
- Autenticao Forte
Integridade
-
Controle de Acessos
Proxy
Firewalls
Autorizao
Disponibilidade
- Redundancia
- Backup
- Diversidade
Processo de Planejamento do
Sistema de Segurana
Planejamento das
necessidades
de segurana
Auditoria,
contingncia
e resposta a
incidentes
Implementao
Anlise
de risco
Anlise de
custo-benefcio
Estabelecimento
de uma Poltica
de Segurana