Segurança Física e Lógica de
Redes
Fernando Cerutti, Dr.
Mail: [email protected]
Twitter: facerutti
Skype: facerutti
Ementa
• Conceito de:
–
–
–
–
–
–
ameaças,
vulnerabilidades,
risco,
impacto,
contingência
e processos de negócios dentro da óptica da Segurança da
Informação.
• Conceito das propriedades da informação.
• Conceito do ciclo de vida da informação.
• Análise das principais ameaças e vulnerabilidades a
que estão sujeitas as redes.
IES - SEGURANÇA LÓGICA E FISICA
2
Ementa (cont)
• Definição das barreiras metodológicas de segurança e
determinação do uso de tecnologias e equipamentos
associados a cada uma destas barreiras.
• Exposição da Norma ABNT NBR ISO/IEC 17799,
– seus controles essenciais
– e práticas de segurança da informação.
•
•
•
•
Ameaças físicas a uma rede.
Redundância
Firewall.
Plano de Contingência.
IES - SEGURANÇA LÓGICA E FISICA
Documentação
3
Sofismas 1
IES - SEGURANÇA LÓGICA E FISICA
4
IES - SEGURANÇA LÓGICA E FISICA
5
Documentação
Documentação:
Clara, Concisa, com
instruções detalhadas, de
forma que se possa
entender e repetir o certo
e evitar os erros passados
IES - SEGURANÇA LÓGICA E FISICA
6
DOCUMENTAÇÃO!
IES - SEGURANÇA LÓGICA E FISICA
7
Definições
No escopo deste documento, os termos e acrônimos possuem o significado descrito
nesta seção. Quando omissos, os termos e acrônimos devem ser entendidos conforme
as normas pertinentes e, em último caso, segundo as melhores práticas mundiais em
programas/projetos semelhantes
– PORTFÓLIO:
• É um (ou mais) conjunto de programas e/ou projetos
agrupados para gerenciamento eficaz, com o objetivo
atingir os objetivos do planejamento estratégico do
negócio. Os Programas e projetos do portfolio podem não
ser interdependentes ou diretamente relacionados.
– PROGRAMA:
• É um (ou mais) conjunto de projetos agrupados, compondo
com estes projetos o (os) portfolio(s) definidos pelo
planejamento estratégico da organização.
IES - SEGURANÇA LÓGICA E FISICA
8
IES - SEGURANÇA LÓGICA E FISICA
9
Ex. Programa e projetos
IES - SEGURANÇA LÓGICA E FISICA
10
Mais definições
–
•
INTERESSADOS (Stakeholders):
São pessoas com interesses e influências específicas na organização, projeto, serviço. Os
interessados podem estar interessados em ações, metas, recursos ou resultados. Podem ser
clientes, parceiros, colaboradores, acionistas, proprietários, gerentes, diretores ou qualquer
outro ocupante de um cargo no organograma das organizações envolvidas.
–
PADRÃO:
•
Um padrão é definido, pela Organização Internacional Da Estandardização (ISO) e da
Comissão Eletrotécnica Internacional (IEC) (ISO/IEC Guide2: Estandardização e atividades
relacionadas - vocabulário, dados gerais), como “Um documento, estabelecido por consenso
e aprovado por um organismo reconhecido, que fornece, para uso comum e repetido, regras,
diretrizes ou características para atividades ou seus resultados, visando atingir a excelencia
da ordem em contextos determinados.
• A American National Standards Institute (ANSI) acrescenta que um padrão define as
características de um produto, processo ou serviço, tais como dimensões, aspectos de
segurança e requisitos de desempenho.”
No contexto desse documento, as definições serão utilizadas em conjunto.
–
•
NORMATIZAÇÃO:
IES - SEGURANÇA LÓGICA E FISICA
A normatização é definida pelo ANSI como “O uso de produtos comuns, processos,
11
Rethinking 70-20-10
70%
20%
10%
Aprendizado ocorre com experiência
no Trabalho
Aprendizado com outros
Aprendizado com Cursos Formais
Source: Robert Eichinger & Michael Lombardo, CCL.
Dois grandes Domínios do Portfólio
Segurança
SEGURANÇA
Física
IES - SEGURANÇA LÓGICA E FISICA
Lógica
13
Fisíca
• Controles físicos:
• são barreiras que limitam o contato ou acesso
direto a informação ou a infraestrutura (que
garante a existência da informação) que a
suporta.
• Existem mecanismos de segurança que apóiam os
controles físicos – DEVEM Seguir a Política
• Portas / trancas / paredes / blindagem / guardas
/Sinalização, Crachá de Circulação, Zoneamento,
Áreas restritas, Graus de severidade
IES - SEGURANÇA LÓGICA E FISICA
14
Lógicos
• Controles lógicos: são barreiras que impedem ou limitam o acesso
a informação, que está em ambiente controlado, e que sem tais
controles, modo ficaria exposta a alteração não autorizada por
elemento mal intencionado.
• Mecanismos de cifração ou encriptação
• Assinatura digital – Garante a Origem
• Mecanismos de garantia da integridade da informação:
• Mecanismos de controle de acesso: Palavras-chave, sistemas
biométricos, firewalls, cartões inteligentes.
• Mecanismos de certificação: Atesta a validade de um documento.
• Integridade: Medida em que um serviço/informação é genuíno, isto
é, está protegido contra a personificação por intrusos.
• Protocolos seguros: Uso de protocolos que garantem um grau de
segurança
IES - SEGURANÇA LÓGICA E FISICA
15
Recursos Influentes
Figura 1-Abordagem correta para Segurança
da Informação.
IES - SEGURANÇA LÓGICA E FISICA
16
Pessoas
• Pessoas: O elemento mais importante na gestão da
segurança, pois em essência são elas que executam
e suportam os processos de uma organização. Esse
elemento da abordagem trata os assuntos
relacionados com as pessoas, seus papéis e
responsabilidades na organização, indo desde a
capacitação dos profissionais responsáveis pela
segurança até o treinamento dos colaboradores,
passando pela criação de uma cultura e
conscientização da organização, além de seus
parceiros (fornecedores, clientes, terceirizados).
IES - SEGURANÇA LÓGICA E FISICA
17
relacionamentos entre os
componentes de segurança da informação.
IES - SEGURANÇA LÓGICA E FISICA
(Adaptado de Roberto Amaral,2003)
18
Tríade Clássica
A Segurança da Informação tem como propósito proteger as informações
registradas, sem importar onde estejam situadas:
impressas em papel,
nos discos rígidos dos computadores
ou até mesmo na memória das pessoas que as conhecem.
Os princípios básicos da segurança da informação, classicamente foram 3:
Integridade;
Confidencialidade;
Disponibilidade.
IES - SEGURANÇA LÓGICA E FISICA
19
Integridade
• A Integridade permite garantir que a informação
não tenha sido alterada de forma não autorizada
e, portanto, é íntegra.
O receptor deverá ter a segurança de que a
informação recebida, lida ou enviada é
exatamente a mesma que foi colocada à sua
disposição pelo emissor para uma determinada
finalidade. Estar íntegra quer dizer estar em seu
estado original.
IES - SEGURANÇA LÓGICA E FISICA
20
CONFIDENCIALIDADE
• O princípio da Confidencialidade da informação
tem como objetivo garantir que apenas a pessoa
correta tenha acesso a informação.
• Perda de confidencialidade significa perda de
segredo.
• Se uma informação for confidencial, ela será
secreta e deverá ser guardada com segurança, e
não divulgada para pessoas não autorizadas.
• Para que um informação possa ser utilizada, ela
deve estar disponível.
IES - SEGURANÇA LÓGICA E FISICA
21
Disponibilidade
• A Disponibilidade é o terceiro princípio básico de
Segurança de Informação.
• Refere-se à disponibilidade da informação e de toda a
estrutura física e tecnológica que permite o acesso, o
trânsito e o armazenamento.
• Assim, o ambiente tecnológico e os suportes da
informação deverão estar funcionando corretamente
para que a informação armazenada neles e que por
eles transita possa ser utilizada pelo usuário.
IES - SEGURANÇA LÓGICA E FISICA
22
ATIVOS E CICLO DE VIDA
• Toda e qualquer informação, que seja um elemento
essencial para os negócios de uma organização deve
ser preservada pelo período necessário, de acordo com
sua importância (CICLO DE VIDA).
• A informação é um bem como qualquer outro e por
isso deve ser tratada como um Ativo. (ASSET)
• Ativos são elementos que sustentam a operação do
negócio e estes sempre trarão consigo Vulnerabilidade
que, por sua vez, submetem os ativos a Ameaças.
IES - SEGURANÇA LÓGICA E FISICA
23
5 princípios da segurança
IES - SEGURANÇA LÓGICA E FISICA
24
6 princípios da segurança
Privacidade
Redes Sociais, e-com
IES - SEGURANÇA LÓGICA E FISICA
25
IES - SEGURANÇA LÓGICA E FISICA
26
• Confidencialidade - propriedade que limita o
acesso a informação tão somente às entidades
legítimas, ou seja, àquelas autorizadas pelo
proprietário da informação.
• Integridade - propriedade que garante que a
informação manipulada mantenha todas as
características originais estabelecidas pelo
proprietário da informação, incluindo controle de
mudanças e garantia do seu ciclo de vida
(nascimento,manutenção e destruição).
IES - SEGURANÇA LÓGICA E FISICA
27
• Disponibilidade - propriedade que garante que a
informação esteja sempre disponível para o uso
legítimo, ou seja, por aqueles usuários
autorizados pelo proprietário da informação.
• Autenticidade - propriedade que garante que a
informação é proveniente da fonte anunciada e
que não foi alvo de mutações ao longo de um
processo.
• Irretratabilidade ou não repúdio - propriedade
que garante a impossibilidade de negar a autoria
em relação a uma transação anteriormente feita
IES - SEGURANÇA LÓGICA E FISICA
28
Informações atuais são compartilhadas
Vários canais
consumidores
IES - SEGURANÇA LÓGICA E FISICA
29
•
•
•
•
“SaaS offerings have become just as prevalent as in-house services—in fact, they
are increasingly more prevalent. Companies are choosing to leverage existing
service offerings on the Internet rather than build their own. Social networking is
becoming a powerful marketing force. And cloud computing is moving the
boundaries of the network even further away from the data center. This global
interconnectedness requires a different perspective on security—we can no longer
build virtual walls around our networks. Instead, security must be pervasive, built
into every aspect of information processing. And the security threats to all these
information resources have evolved at a rate equal to or greater than the
technologies themselves. (Chapter 2 covers modern threats in detail.)
Modern security products are now designed to balance the needs of business on
the Internet while protecting against today’s sophisticated threats. Modern
information security practices have evolved into a blended approach to managing
access to information. Technology and information are blended into everyday life,
and they can no longer be kept in a locked box or left unprotected.
Justifying Security Investment
How do you justify spending money on security? That is perhaps the most
challenging, and debated, topic in the[…]”
•
“That is perhaps the most challenging, and debated, topic in the field of
information security. First there was FUD—fear, uncertainty, and doubt. Without
really measuring anything or delivering specific results, executives ”
“were simply frightened into spending money.”
IES - SEGURANÇA LÓGICA E FISICA
30
• “That didn’t last long. Soon thereafter, return on investment (ROI)
was used as an attempt to market security as an investment that
“pays for itself.” This was the standard approach to justifying
information technology budgets, but it never translated well to
security. There is really no good way to demonstrate a monetary
amount gained by spending money on security. So, ROI was
combined with annualized loss expectancy (ALE), a risk
measurement strategy that combines the frequency (or probability)
of a loss with the cost of that loss, to produce a yearly expected
monetary value.”
• Trecho de: Mark Rhodes-Ousley. “Information Security The
Complete Reference.” iBooks.
https://itunes.apple.com/WebObjects/MZStore.woa/wa/viewBook
?id=40A47F6A42A1292ADA8488591AFCC44C
IES - SEGURANÇA LÓGICA E FISICA
31
•
•
•
•
Portability
Portability means that software and data can be used on multiple platforms or can be
transferred/transmitted within an organization, to a customer, or to a business partner. The
“consumerization” of information has placed demands on companies to be able to provide
meaningful and accurate information at a moment’s notice.
A survey of CIOs and CISOs in 2011 concluded that the single biggest driver of information security
spending over the preceding three years was client requirement, meaning that customers want to
buy products and services from companies that have good security, and will in fact sometimes
require evidence of security practices before completing a purchase.
To meet the demands of today’s businesses and consumers, architectures and networks need to be
designed with security controls baked in as part of the development process. Clearly, this level of
broad access to information resources requires a well-thought-out and properly deployed security
program. With sound security built in from the ground up, portability of data as a key benefit can
be realized.
Portability also enables business and creates value. For example, Apple’s ability to both host music
and allow personal music libraries to be synchronized to a tablet, mobile phone[…]” “ and MP3
player has greatly increased Apple’s bottom line. Security for mobile platforms affords users the
opportunity to take their music everywhere while protecting the interests of the business by
preventing unauthorized downloading of copyrighted material.”
IES - SEGURANÇA LÓGICA E FISICA
32
•
•
•
•
•
•
“The basic assumptions of security are as follows:
• We want to protect our assets.
• There are threats to our assets.
• We want to mitigate those threats.
These hold true for any branch of security.
Three aspects of security can be applied to any
situation—defense, detection, and deterrence.
These are considered the three Ds of security.”
IES - SEGURANÇA LÓGICA E FISICA
33
•
“Defense is often the first part of security that comes to mind, and usually it is the easiest aspect for people to
understand. The desire to protect ourselves is instinctive, and defense usually precedes any other pro”
“tective efforts. Defensive measures reduce the likelihood of a successful compromise of valuable assets, thereby
lowering risk and potentially saving the expense of incidents that otherwise might not be avoided. Conversely, the lack
of defensive measures leaves valuable assets exposed, inviting higher costs due to damage and loss. Defensive controls
on the network can include access control devices such as stateful firewalls (covered in Chapter 16), network access
control (covered in Chapters 14 and 15), spam and malware filtering, web content filtering, and change control
processes (covered in Chapter 31). These controls provide protection from software vulnerabilities, bugs, attack scripts,
ethical and policy violations, accidental data damage, and the like. Chapter 2 addresses defense models in more detail.
However, defense is only one part of a complete security strategy.
Another aspect of security is detection. In order to react to a security incident, you first need to know about it.
Examples of detective controls include video surveillance cameras in local stores (or even on your ”
“house), motion sensors, and house or car alarm systems that alert passers-by of an attempted violation of a security
perimeter. Detective controls on the network include audit trails and log files, system and network intrusion detection
and prevention systems (covered in Chapter 18), and security information and event management (SIEM) alerts,
reports, and dashboards. A security operations center (SOC) can be used to monitor these controls. Without adequate
detection, a security breach may go unnoticed for hours, days, or even forever.
Deterrence is another aspect of security. It is considered to be an effective method of reducing the frequency of
security compromises, and thereby the total loss due to security incidents. Many companies implement deterrent
controls for their own employees, using threats of discipline and termination for violations of policy. These deterrent
controls include communication programs to employees about acceptable usage and security policies, monitoring of
web browsing behavior, training programs to acquaint employees with ”
Trecho de: Mark Rhodes-Ousley. “Information Security The Complete Reference.” iBooks.
https://itunes.apple.com/WebObjects/MZStore.woa/wa/viewBook?id=40A47F6A42A1292ADA8488591AFCC44C
IES - SEGURANÇA LÓGICA E FISICA
34
• “acceptable usage of company computer systems, and
employee signatures on agreements indicating that
they understand and will comply with security policies.
(Chapter 5 covers security policies.) With the use of
deterrent controls such as these, attackers may decide
not to cause damage.”
• Trecho de: Mark Rhodes-Ousley. “Information Security
The Complete Reference.” iBooks.
https://itunes.apple.com/WebObjects/MZStore.woa/w
a/viewBook?id=40A47F6A42A1292ADA8488591AFCC4
4C
IES - SEGURANÇA LÓGICA E FISICA
35
• “When only one or two of these aspects of security are applied to the
network, exposures can result. A network that only uses defense and
detection without deterrence is vulnerable to internal attacks, misuse, and
accidents caused by employees who are not motivated to follow the
correct procedures. A network that fails to employ detection faces
exposure to all failures of the defensive and deterrent controls, and
management may never become aware of these failures, which means
abuses may continue unchecked. Of course, employing no defensive
controls on a network exposes that network to any of the well-known
threats of internal or external origin.
• ”
• Trecho de: Mark Rhodes-Ousley. “Information Security The Complete
Reference.” iBooks.
https://itunes.apple.com/WebObjects/MZStore.woa/wa/viewBook?id=40
A47F6A42A1292ADA8488591AFCC44C
IES - SEGURANÇA LÓGICA E FISICA
36
“CAUTION Do not employ only one or two of the
three Ds of security. All three aspects are necessary for an effective security program.
IES - SEGURANÇA LÓGICA E FISICA
37
•
•
•
•
•
•
•
•
•
“There are many components that go into the building of a security program:
• Authority The security program must include the right level of responsibility and
authorization to be effective.
• Framework A security framework provides a defensible approach to building the
program.
• Assessment Assessing what needs to be protected, why, and how leads to a
strategy for improving the security posture.
• Planning Planning produces priorities and timelines for security initiatives.
• Action The actions of the security team produce the desired results based on
the plans.
• Maintenance The end stage of the parts of the security program that have
reached maturity is to maintain them.
”
Trecho de: Mark Rhodes-Ousley. “Information Security The Complete Reference.”
iBooks.
https://itunes.apple.com/WebObjects/MZStore.woa/wa/viewBook?id=40A47F6A4
2A1292ADA8488591AFCC44C
IES - SEGURANÇA LÓGICA E FISICA
38
• “Figure 1-5 shows how a complete security
program implementation would look in a
midsize to large corporate environment.
Smaller companies might simplify, streamline,
or combine components depending on
resource availability. These security program
components, and how they fit together, are
described in the following sections.”
IES - SEGURANÇA LÓGICA E FISICA
39
IES - SEGURANÇA LÓGICA E FISICA
40
SATISFAÇÃO DO USUÁRIO
LEI NÚMERO 0:
SEGURANÇA
1
Satisfação
SEGURANÇA
IES - SEGURANÇA LÓGICA E FISICA
41
NBR ISO/IEC 27001:2013 e da ABNT NBR ISO/IEC 27002:2013
Organização da Segurança da Informação
Direciona
Um conjunto estruturado de Gerência
Monitora
Controla
COMITÊ EXECUTIVO
Presidido pelo CIO
Comitê de Auditorias
Coord: Gerente de
Auditorias
Comite de Segurança
Coord: Chief Security
Officer (CSO)
Gerente de Segurança
da Informação
Administração da
Segurança
Políticas e Aderências
(Normas, Leis,
Padrões)
Gerência de Risco e
Contingência
Operações de
Segurança
Comite de Riscos
Coord: Gerente de
Riscos
Comitês Locais de
Informação LSC
1 por local
Donos dos Ativos de
Informação
(IAOs)
Gerentes de
Segurança do Site
(SSMs)
Vigilantes
Gerência de
suprimentos (energia,
água, outros)
1. Captação de Recursos
Descreve os Recursos e
Taxa de Sensibilidade aos Riscos
(Dono do Negócio)
2-Identificação dos
Riscos
3-Avaliação dos
Riscos
Identifica e classifica as Ameaças,
Vulnerabilidades e Riscos
(Depto de Segurança da
Informação)
Decisão de Aceitar,
Evitar, Transferir
ou Mitigar o Risco
(Depto Seg &
Dono do Negócio)
8-Auditoria
Efetuar auditorias regularmente
(Depto de Seg)
4-Documentos
Decisões sobre riscos de Documentos
incluindo Exceções e Planos de Mitigação
7-Monitoramento
Acompanhamento contínuo das
alterações no sistema,
as quais possam afetar o Perfil dos
Riscos (Depto Seg)
5-Mitigação dos Riscos
6-Validação
Implementação do Plano de Mitigação
Com Controles Especificados
(Depto Seg ou terceiros)
Teste dos Controles para Assegurar que a exposição ATUAL dos riscos
alcancem os níveis de risco Considerados no plano. (Depto Seg)
Segurança da Informação –Processos de Gerência de Riscos
…Eu não sei exatamente quando isso aconteceu,
mas laptops e PCs tornaram-se dispositivos de computação legados,
substituídos por telefones celulares, tablets, CFTV, carros, drones,
satélites, comunicação M2M .
Apenas quando eu pensei que estávamos conseguindo manusear
muito melhor a segurança do Windows, Mac e outros sistemas
Unix,
ocorreu uma explosão de novos dispositivos que conectam-se
nas nossas redes e que simplesmente não têm os mesmos controles
de segurança que dependem de nós.
http://www.sans.org/security-resources/policies/
Internet das Coisas (IOT)
• IP v6
– 2128 endereços possíveis = (ou 340 seguido de 36
zeros)=bilhões de quatrilhões por habitante
•
•
•
•
•
RFID
Sensores
Scanners
Nanotecnologia
Gerência absoluta?
IOTs
Machine-to-machine
(M2M) communication
Inovação
Estratégia Data
de
Estatística
Negócios Science
Tecnologias
De Informação
Humanos e entidades que possuem
conhecimento:
Interpreta
Sintetiza
Analisa
Planeja
Implemen
ta
Identifica
Reconhece
Recebe
informacao
Decide
Monitora
Humanos
e
entidades
adapta
Conceito de segurança 1
• “Diz-se que um sistema é seguro se ele foi
alterado pelo proprietário com a intenção de
se reduzir a frequência ou a severidade dos
eventos adversos"
Handbook of Information and Communication
Security- Peter Stavroulakis,Mark Stamp (Eds.) - 2010
IES - SEGURANÇA LÓGICA E FISICA
52
Basicamente, a ISO 27001 estabelece os requisitos para a forma como
uma organização pode implementar os
processos/mecanismos/técnicas/dispositivos
de segurança da norma ISO 17799:2005.
Manutenção
Melhoria
Monitoramento
Implantação
Revisão
Criação
Operação
De acordo com a norma, um SGSI é definido como:
“Um sistema de gestão inclui estrutura organizacional, políticas,
planejamento
atividades, responsabilidades, práticas, procedimentos, processos e
recursos. "
Em outras palavras, o SGSI abrange todo o seu programa de segurança
da informação, incluindo a sua relação com outras partes da corporação.
Se a norma 27001 ISO não fornecesse um texto
completo para um programa de segurança da
informação adequado, várias funções
organizacionais, incluindo uma lista de
documentos adequados, dificilmente essas
funcionalidades poderiam ser implantadas a
contento.
A ISO 27001 utiliza uma abordagem baseada em
processos, copiando o modelo definido pela primeira vez
pelo Organização para a Cooperação e Desenvolvimento
Econômico (OCDE).
O Modelo foi definido em quatro ações: Planejar, Fazer,
Revisar, Agir ( Plan-Do-Check-Act (PDCA)
Planejar, Fazer, Revisar, Agir ( Plan-Do-Check-Act (PDCA)
Information Security Management System (ISMS)
Conceito das propriedades da informação.
Conceito do ciclo de vida da informação.
ISO-17799
ISO 17799
áreas chave que se deve enfocar ao usar o Sistema de
Gestão da Segurança da Informação (SGSI) ISO 17799
Política de Segurança
Você tem uma documentada para demonstrar o apoio e o comprometimento da
administração ao processo do Sistema de Gestão da Segurança da Informação?