Tecnologias Para Defesa Firewalls primeira linha de defesa; Evolução da tecnologia como filtragem, proxying, NAT, VPN Monitoramento IDS Criptografia
Políticas de segurança Importância - Orange Book do Departamento de Defesa dos EUA SITE SECURITY HANDBOOK RFC 2196 do IETF ISO/IEC 17799 Políticas de segurança sempre são mais fáceis de implementar do que elaborar/planejar
Políticas de segurança Política de segurança trata dos aspectos humanos, culturais e tecnológicos, levando também em consideração os processos e os negócios, além da legislação local. É com este enfoque que as diversas normas e os procedimentos devem ser criados. A política de segurança deve fazer parte da cultura da empresa. Assim, será uma aliada e sera facilitadora do gerenciamentos dos processos.
Políticas de segurança Gerenciamento de segurança: arte de criar e administrar a política de segurança, pois não é possível gerenciar o que não pode ser definido.
Políticas de segurança Planejamento: visão abrangente, minimização de riscos Direcionar a política de segurança como pró-ativa com definições claras das responsabilidades individuais. Visão pró-ativa --> não é se e sim quando o sistema será atacado por um hacker
Políticas de segurança Planejamento: visão abrangente, minimização de riscos Segundo a Computer Security Insitute 12% não sabem se sua empresa já sofreu algum incidente de segurança (2002). No Brasil, este número é de 32 % [MODE 02]
Políticas de segurança Então uma Política de Segurança deve ter caráter abrangente, incluindo regras gerais, regras específicas, definindo quais são os tipos e recursos que podem ser utilizados ou permitidos no sistema, bem como procedimentos que devem ser adotados para proteger as informações.
Políticas de segurança O Padrão BS7799 foi desenvolvido por um comite (HSBC, Lloyds, KPMG, Shell e Unilever). Trata-se de um padrão reconhecido internacionalmente para implementação de ps. Atualizado em 1999 visando incorporar normas para proteger e-comerce.
Políticas de segurança BS 7799 parte 1 (1995) : conjunto de práticas para gerenciamento da informação. BS 7799 parte 2 (1998) : especificação para sistemas de gestão de segurança da informação. ISO/IEC/17799 versão internacional do BS7799, ABNT traduziu a norma da ISO e deu o nome de NBR ISO/IEC 17799 em 2001
Políticas de segurança No Brasil: 15% não possuem PS formal; 30% tem PS em desenvolvimento; 16% tem uma PS desatualizada; 39% ja possuem uma PS. Assim como uma ISO 9000, uma ISO/IEC 17799 possuiram um valor cada vez mais crescente como diferenciais competitivos na era da informação.
Políticas de segurança Uma PS pode ser dividida em vários níveis, iniciando em um ponto mais genérico, passando pelo nível do usuário para que eles saibam de sua importância para manutenção da segurança chegando ao nível técnico que efetivamente trava das definições e implementação de regras de firewall.
Políticas de segurança Elementos - o que é essencial, adversidades, infra-estrutura: vigilância atitude estratégia tecnologia
Políticas de segurança
Políticas de segurança Aspectos Importantes: Aspectos tecnológicos Ascpectos humanos Aspectos processuais Aspectos jurídicos Aspectos de Negócio Segurança da Informação
Políticas de segurança Conhecer os principais inimigos -> identificar o que eles desejam fazer e os perigos que eles representam Contabilizar valores -> as implementações das políticas podem exigir pessoas treinadas, equipamentos e hw dedicados . Estes custos devem ser compativeis
Políticas de segurança Identifique, examine e justifique as hipóteses -> não esqueça nada, qualquer novo dado muda tudo em uma PS. Segredos -> muitos aspectos de segurança tem como base os segredos Avalie - Considere fatores humanos -
Políticas de segurança Conhecá seus pontos fracos -> todo sistema tem suas vulnerabilidades. Limite a abrangência do acesso -> DMZ Entenda o Ambiente - IDS