1

Segurança Lógica e Física

de Redes

Claudete Aurora

claudeteaurora7@yahoo.com.br

Material 1

Conceitos Básicos de

Segurança

2

Ciclo de vida da Informação

3

Manuseio

- Criação

Armazenamento

Transporte

Descarte Informação

4

Importância da Segurança

da Informação

Quanto vale informação para uma empresa?

Sem Informação uma empresa pode sobreviver

quanto tempo?

O que exatamente precisa de ser protegido?

Definição de Segurança

Uma área de Conhecimento dedicada à

proteção de ativos da informação contra

acessos não autorizados, alterações indevidas

ou sua indisponibilidade

Segurança envolve tecnologia,

processos e pessoas

5

Ameaças na Segurança

6

F D

Fonte de

Informação

Destino da

Informação

Fluxo Normal

F D

Interrupção

F D

Interceptação

I

F D

Modificação

M

F D

Fabricação

F

Classificação da Informação

7

A Informação deve ser

disponível para:

1. Todos

2. Um grupo

3. Um indivíduo

Ciclo de Vida de Segurança

8

O que precisa

ser protegido?

Como

proteger?Simulação de

um ataque

Qual é probabilidade

de um ataque?

Qual prejuízo, se

ataque sucedido?

Qual é nível da

proteção?

Conceitos Básicos da

Segurança da Informação

A segurança da informação tem como

objetivo a preservação de 3 princípios

básicos pelos quais se norteiam a

implementação desta prática.

Confiabilidade

Integridade

Disponibilidade

9

Confiabilidade

As informações devem ser protegidas

conforme o seu nível de sigilo do seu

conteúdo, procurando limitar o seu acesso

para terceiros, sendo possível somente

acesso as pessoas para quem elas são

enviadas

10

Integridade

Toda informação deve ser mantida na

mesma condição em que foi disponibilizada

pelo seu proprietário, visando protegê-las

contra as alterações indevidas, intencionais

ou acidentais

11

Disponibilidade

Toda informação gerada ou adquirida por um

indivíduo ou instituição deve estar disponível

aos seus usuários no momento em que os

mesmos delas necessitem para qualquer

finalidade

12

Ativo

Todo elemento que compõe os processos

que manipulam e processam a informação, a

contar a própria informação, o meio em que

ela é armazenada, os equipamentos em que

ela é manuseada, transportada e descartada

(ou seja todo o ciclo de vida da informação).

13

Aspectos da Segurança da

Informação

Alguns elementos são considerados

essenciais na prática da segurança da

informação, dependendo do objetivo que se

pretende alcançar

Autenticação

Legalidade

14

Autenticação

Processo de identificação e reconhecimento

formal da identidade dos elementos que

entram em comunicação ou fazem parte de

uma transação eletrônica que permite o

acesso à informação e seus ativos por meio

de controles de identificação desses

elementos

15

Legalidade

Característica das informações que possuem

valor legal dentro de um processo de

comunicação, onde todos os ativos estão de

acordo com as cláusulas contratuais

pactuadas ou a legislação política

institucional, nacional ou internacional

vigentes

16

Auditoria

Processo de coleta de evidências de uso dos

recursos existentes, a fim de identificar as

entidades envolvidas em um processo de troca

de informações, ou seja, a origem, destino e

meios de tráfego de uma informação

17

Vulnerabilidades

Fragilidade presente associada a ativos que

manipulam e/ou processam informações que, ao ser

explorada por ameaças, permite a ocorrência de um

incidente de segurança

Ela por si só não provoca incidentes, pois são

elementos passivos, necessitando para tanto de um

agente causador

Físicas, Naturais, Hardware, Software, Mídias,

Comunicação e Humanas

18

Ameaças

Agentes ou condições que causam incidentes que

comprometem as informações e seus ativos por

meio de exploração de vulnerabilidades,

provocando perdas de confiabilidade, integridade e

disponibilidade

As ameaças são classificadas quanto a sua

intencionalidade

Naturais: Decorrentes dos fenômenos da natureza

Involuntárias: Podem ser causadas por acidentes, erros

Voluntárias: Hackers, invasores, espiões, etc.

19

Medidas de Segurança

Preventivas: Objetivo evitar que incidentes venham

ocorrer

Exemplo: Política de segurança

Detectáveis: Visam identificar condições ou

indivíduos causadores de ameaça

Exemplo: Sistemas de detecção de intrusão, câmeras

Corretivas: Ações voltadas à correção de uma

estrutura tecnológica e humana para que as

mesmas se adaptem as condições preventivas

20

Ameaças Internas

Roubo de Informações;

Alteração de informações;

Danos físicos;

Alteração de configurações da rede;

21

Como prevenir e evitar

Ameaças Internas?

Restringir ao máximo o acesso dos usuários às informações vitais da organização;

Restringir o acesso físico às áreas críticas;

Definir e divulgar normas e políticas de acesso físico e lógico;

Implementar soluções de criptografia para informações críticas;

Implementar soluções de auditoria para informações críticas;

Controlar o acesso de prestadores de serviços as áreas críticas e as informações.

22

Tipos de Segurança

Segurança Física

Segurança Lógica

23

Segurança Física

Providenciar mecanismos para restringir o acesso às áreas críticas da organização

Como isto pode ser feito?

24

Segurança Lógica

Fornecer mecanismos para garantir:

Confidencialidade;

Integridade;

Autenticidade

Mecanismos tradicionais garantem a

Segurança Lógica?

25

Como pode se prevenir?

Mudando a Cultura!!!

Palestras

Seminários

Exemplos práticos

Simulações

Estudo de Casos

26

A importância da Senha

Escolha da Senha X Segurança da Rede.

O acesso à senha de um usuário não dá acesso

apenas aos seus dados particulares, mas a todos

os recursos que ele utiliza, como documentos de

seu setor, dados dos sistemas administrativos,

entre outros.

Programas que “quebram”senhas.

27

Normas para a escolha de uma

senha (1)

Não use seu login nem invertido, com letras

maiúsculas, duplicado, etc.

Não use qualquer um de seus nomes ou sobrenomes;

Não use qualquer informação a seu respeito (apelido,

placa de automóvel, numero de telefone, marca de

seu automóvel, nome de pessoas de sua família,

datas de nascimento, endereço, cep, cgc,cpf etc.);

28

Normas para a escolha de uma

senha (2)

Não use senhas óbvias (se você é atleticano, não use

Galo, nem Tardelli);

Não use palavras que constem do dicionário (gaveta,

américa, celular);

Use senhas que misturem caracteres maiúsculos e

minúsculos e números;

Use senhas fáceis de lembrar;

Use senhas com no máximo 3 caracteres repetidos;

29

Normas para a escolha de uma

senha (3)

Nunca escreva sua senha;

Troque sua senha pelo menos uma vez por mês;

Nunca fale sua senha, nem empreste sua conta para

ninguém. Ela, e qualquer coisa feita com ela é de sua

inteira responsabilidade. Não corra riscos.

30

Senhas que não devem ser

usadas

EEEBBBCCC (3 caracteres repetidos)

4610133 (número de telefone)

carleto (nome de pessoa)

PEDROSILVA (Nome em maiúscula)

215423 (só números)

opmac (Campos ao contrário)

LGF-4589 (Placa de carro)

Leonardo Di Capri (Nome de artista)

clipes (contém no dicionário)

#$cr^98Y/kl1 (difícil de digitar e de lembrar)

31

Jogo dos 8 erros – Encontre 8 erros da

segurança da informação na imagem

abaixo.

32

Exercícios

1) Qual dos princípios básicos da segurança da informação

enuncia a garantia de que uma informação não foi

alterada durante seu percurso, da origem ao destino?

2) Faça um resumo das principais normas de criação de

uma boa senha, com exemplos diferentes, dos

passados em sala de aula.

33

Exercícios

3) De um modo geral, a manutenção da segurança dos ativos de

informação deve cuidar da preservação de:

a) confidencialidade e integridade, somente.

b) confidencialidade, somente.

c) integridade, somente.

d) confidencialidade, integridade e disponibilidade.

e) confidencialidade e disponibilidade, somente.

34

35

Bibliografia deste material

SÊMOLA, Marcos. Gestão da Segurança

da Informação: uma visão executiva. 1. ed.

Rio de Janeiro: Elsevier, 2003. 156p.

Material do professor Mehran Misaghi

36

Dúvidas

Obrigado pela

atenção!