seguranÇa da informaÇÃo política de segurança a segurança da informação é constituída,...
TRANSCRIPT
SEGURANÇADA
INFORMAÇÃO
Política de Segurança
A Segurança da Informação é constituída, basicamente, por um
conjunto de controles, incluindo política, processos, estruturas
organizacionais e normas e procedimentos de segurança. Objetiva a
proteção das informações dos clientes e da empresa, nos seus aspectos
de confidencialidade, integridade e disponibilidade.
Fonte Banco Bradesco
Política de Segurança Fonte Banco Bradesco
• Tático: É o nível relativo às Normas da Organização. Com base nas Políticas, são criadas as "regras" a serem adotadas.
• Operacional: É o nível relativo aos Procedimentos da Organização. Com base nas Normas, se define "como serão implementadas as regras".
• Estratégico: É o nível relativo às Políticas ou Diretrizes da Organização e descreve "o que deve ser feito".
Política de Segurança
ANÁLISE CONTÍNUA
Política de Segurança
– NO BRASIL:
Comitê Gestor da Internet no Brasil;
Núcleo de Informação e Coordenação do Ponto br;
Registro de Domínios para a Internet no Brasil;
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil;
Centro de Estudos sobre as Tecnologias da Informação e da Comunicação.
Política de Segurança• Quem fará o papel de controle e ação?
Computer Security Incident Response Team (CSIRT)
• O que deve ser feito?
1. Pré-requisitos para o planejamento de um CSIRT; 2. Missão, serviços e níveis de autoridade de um CSIRT; 3. Modelos organizacionais para CSIRTs; 4. Tipos e níveis de serviços; 5. Contratação e treinamento dos primeiros integrantes de um CSIRT; 6. Implementação das políticas e procedimentos de um CSIRT; 7. Requisitos de infra-estrutura para um CSIRT; 8. Questões operacionais e de implementação; 9. Questões relativas à colaboração e comunicação.
Politica de Segurança
• Notificações de Incidentes CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
Denúncias de Crimes na InternetDenunciar.org.br - Central Nacional de Denúncias na internet
Documentos importantes:
• Práticas de Segurança para Administradores de Redes Internet (Mai/2003)
• Cartilha de Segurança para Internet - v3.0 (Set/2005)
• Outros documentos sobre segurança na Internet
http://www.cert.br
Systems Network Security: LAN
“Chave para o Sucesso é participar de fontes de informações seguras.”
1. Conhecer profundamente o trafego e serviços de sua rede;
2. Criar redes virtuais para separação dos diversos serviços e níveis de segurança - VLANs;
3. Software de analise de dados (IMPORTANTE!!!);4. Utilizar switchs com pelo menos os protocolos 802.1q,
802.1p;5. Criar perfil de usuários para os Switchs para serem
utilizados na Autenticação de Porta.
Systems Network Security: LANV
LA
N V
irtua
l Loc
al A
rea
Net
wor
k
Systems Network Security: WAN
FIREWALL DE SAÍDA INTERNET
• IDS (Intrusion Detection System) com Rules atualizados;
• Snort (http://www.snort.org) e Nessus (http://www.nessus.org)
• Controle de Navegação/Arquivos (Política de uso aceitável);
• Controle de software peer-to-peer (Política de uso aceitável);
• Outros (e-mail, upload e etc.).
Systems Network Security: WAN
“Equipamentos de Borda (Roteadores) devem ter política de Access List ativa.”
Se tiver redundância: BGP (Border Gateway Protocol )
http://www.arin.net (American Registry for Internet Numbers)
http://www.lacnic.net (Latin American and Caribbean Internet Addresses Registry )
ASN - Autonomous System Number
Exemplo: AS22431 - 200.162.160/20 e 201.71.48.0/20
Se tiver VPN para ligar locais remotos: MPLS (Multiprotocol Label Switching )
Systems Network Security: WAN
BGP/MPLS – VPN
Rem
ote
Acc
ess
VPN A/Site 1
VPN A/Site 3
VPN B/Site 2
VPN B/Site 1
VPN C/Site 1
CEA1
CEB3 CEA3
CEB2
CEA2CE1B1
CE2B1 PE1
PE2
PE3
16.1/16
12.1/16
16.2/16
11.1/16
11.2/16
RIP
Static
RIP
RIP
BGP
Static
RIPBGP
12.2/16
Step 1Step 2
Step 3
Step 4
Step 5
Systems Network Security: WAN
Internet Security System
Rem
ote
Acc
ess