SEGURANÇA DA INFORMAÇÃO
Política de Segurança Fonte Banco Bradesco A Segurança da Informação é constituída, basicamente, por um conjunto de controles, incluindo política, processos, estruturas organizacionais e normas e procedimentos de segurança. Objetiva a proteção das informações dos clientes e da empresa, nos seus aspectos de confidencialidade, integridade e disponibilidade.
Política de Segurança Fonte Banco Bradesco Estratégico: É o nível relativo às Políticas ou Diretrizes da Organização e descreve "o que deve ser feito". Tático: É o nível relativo às Normas da Organização. Com base nas Políticas, são criadas as "regras" a serem adotadas. Operacional: É o nível relativo aos Procedimentos da Organização. Com base nas Normas, se define "como serão implementadas as regras".
Política de Segurança ANÁLISE CONTÍNUA
Política de Segurança NO BRASIL: Comitê Gestor da Internet no Brasil; Núcleo de Informação e Coordenação do Ponto br; Registro de Domínios para a Internet no Brasil; Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil; Centro de Estudos sobre as Tecnologias da Informação e da Comunicação.
Computer Security Incident Response Team (CSIRT) Política de Segurança Quem fará o papel de controle e ação? Computer Security Incident Response Team (CSIRT) O que deve ser feito? Pré-requisitos para o planejamento de um CSIRT; Missão, serviços e níveis de autoridade de um CSIRT; Modelos organizacionais para CSIRTs; Tipos e níveis de serviços; Contratação e treinamento dos primeiros integrantes de um CSIRT; Implementação das políticas e procedimentos de um CSIRT; Requisitos de infra-estrutura para um CSIRT; Questões operacionais e de implementação; Questões relativas à colaboração e comunicação.
http://www.cert.br Politica de Segurança Notificações de Incidentes CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Denúncias de Crimes na Internet Denunciar.org.br - Central Nacional de Denúncias na internet Documentos importantes: Práticas de Segurança para Administradores de Redes Internet (Mai/2003) Cartilha de Segurança para Internet - v3.0 (Set/2005) Outros documentos sobre segurança na Internet
Systems Network Security: LAN “Chave para o Sucesso é participar de fontes de informações seguras.” Conhecer profundamente o trafego e serviços de sua rede; Criar redes virtuais para separação dos diversos serviços e níveis de segurança - VLANs; Software de analise de dados (IMPORTANTE!!!); Utilizar switchs com pelo menos os protocolos 802.1q, 802.1p; Criar perfil de usuários para os Switchs para serem utilizados na Autenticação de Porta.
Systems Network Security: LAN Virtual Local Area Network VLAN
Systems Network Security: WAN FIREWALL DE SAÍDA INTERNET IDS (Intrusion Detection System) com Rules atualizados; Snort (http://www.snort.org) e Nessus (http://www.nessus.org) Controle de Navegação/Arquivos (Política de uso aceitável); Controle de software peer-to-peer (Política de uso aceitável); Outros (e-mail, upload e etc.).
Systems Network Security: WAN “Equipamentos de Borda (Roteadores) devem ter política de Access List ativa.” Se tiver redundância: BGP (Border Gateway Protocol ) http://www.arin.net (American Registry for Internet Numbers) http://www.lacnic.net (Latin American and Caribbean Internet Addresses Registry ) ASN - Autonomous System Number Exemplo: AS22431 - 200.162.160/20 e 201.71.48.0/20 Se tiver VPN para ligar locais remotos: MPLS (Multiprotocol Label Switching )
Systems Network Security: WAN BGP/MPLS – VPN 12.1/16 VPN B/Site 1 11.2/16 CEA2 CE1B1 Static RIP 11.1/16 RIP CEB2 VPN B/Site 2 RIP PE2 CE2B1 BGP Remote Access PE1 Step 3 Step 1 Step 4 Step 2 Step 5 CEA1 Static PE3 RIP 16.2/16 CEB3 CEA3 BGP 16.1/16 VPN A/Site 3 12.2/16 VPN A/Site 1 VPN C/Site 1
Systems Network Security: WAN Internet Security System Remote Access
FIM OBRIGADO! ALEXANDRE GARBELINI alex@abasetelecom.com.br