Gerência de Segurança. Por que gerir? Só aplicação de mecanismos Só aplicação de mecanismos cultura e política ignoradas cultura e política ignoradas.

Slides:



Advertisements
Apresentações semelhantes
© 2004 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective.
Advertisements

Instituto de Física: Uma agenda para o Futuro. Curso de Física- Bacharelado & Licenciatura Questões: Sugestões: Baixa demanda pelas vagas no curso de.
Técnicas e Projeto de Sistemas André Mesquita Rincon Processo de Software Técnico Subsequente – Módulo III.
Técnicas e Projeto de Sistemas
Técnicas e Projeto de Sistemas
Técnicas e Projeto de Sistemas
Investigação de Surtos
Uso de álcool e drogas no ambiente de trabalho
Críticas sobre Extreme Programming Francisco Hillesheim.
Extreme Programmig Programação em Duplas Dificuldades e Benefícios.
Trac é uma ferramenta open source e de interface web para controle de projetos de desenvolvimento de software. O objetivo do software é ajudar o desenvolvedor.
Universidade Federal da Bahia – Centro de Processamento de Dados – Preview Computadores 1 Uma Ferramenta Orientada a Modelos para Geração de Aplicações.
Sistemas Operacionais
O QUE MUDOU NO EXERCÍCIO DAS VENDAS?
Cecilia Rocha Ryerson University, Canada Seminário: Políticas Públicas e SAN CERESAN,Universidade Federal Fluminense (UFF) Niterói, 07/10/2010.
Balanced Scorecard (BSC)
NBR ISO Gestão da Qualidade – Satisfação do Cliente – Diretrizes para o tratamento de reclamações nas organizações.
Sistemas de Gestão Integrados (SIGs)
Planejamento do PROJETO LABGAP IV Conceitos e teorias de Planejamento - Introdução Estruturas dos Planos do Projeto (PMI e Metzger) Plano de Organização.
Segurança Raul Fernando Weber Instituto de Informática
Gerência de Segurança. Por que gerir? Só aplicação de mecanismos Só aplicação de mecanismos cultura e política ignoradas cultura e política ignoradas.
Gerência de Dados em Grades Motivação: – 1a geração de suporte a dados em Grades: ferramentas para transferência e catalogação de réplicas: Globus: GridFTP,
Slide 1 Rede Nacional de Ensino e Pesquisa Serviços do Middleware Treinamento em GRADEp – junho de 2005 GT GRADEp Middleware GRADEp Serviços.
Governo do Estado do Tocantins Secretaria da Educação e Cultura
Governo do Estado do Tocantins Secretaria da Educação e Cultura
Corrupção e Concorrência Cartel em Licitações Fernando de Magalhães Furlan Conselheiro 21 de outubro de 2010.
Webcast Gestão da Manutenção Histórico de Aplicações e Manutenções.
Tecnologias Contra Crimes Virtuais
Servidores e Programação Web Redes de Computadores.
Supply Chain Management
O Fluxo de Testes © Alexandre Vasconcelos
PROGRAMA DE ERGONOMIA.
Gestão Orientada para Resultado
WIRELESS Aluna : Virgínia Helena V. Baroncini Prof.: Dr. Eduardo Parente.
1 Rejane Ramos Uma Estrutura para Protocolos Maleáveis de Roteamentos na Internet CURITIBA 2004 Trabalho apresentada à Disciplina de Comunicação de Dados.
Arquitetura da informação Por Luiz Siqueira. O nome é imponente e a técnica está na moda. Contudo, o importante é o seguinte: a Arquitetura de Informação.
Planejando seu site Objetivos Abordagem Sílvia Dota.
Curso de Engenharia Industrial Madeireira – UFPR Prof. Umberto Klock
Arquitetura de Sistemas de Informação
Tribunal de Contas da União Secretaria de Tecnologia da Informação Missão da SETEC: Melhorar os resultados do TCU por meio da otimização de seus processos.
ENCONTRO NACIONAL DE TECONOLOGIA DA INFORMAÇÃO PARA OS MUNICÍPIOS e do SOFTWARE PÚBLICO BRASILEIRO 1º Encontro Banco de Talentos.
Sistemas de Tutoria Inteligente (STI) Visam proporcionar instrução de forma adaptada a cada aprendiz. STIs adaptam o processo de instrução a determinadas.
Segurança de Dados no MAER.
Segurança1 Política de Segurança Uma política de segurança é um conjunto de regras e práticas que regulam como uma organização gerencia, protege e distribui.
Avaliação de direcionadores de Custos - Estudo de Caso Avaliação de direcionadores de Custos - Estudo de Caso Edson de Oliveira Pamplona 1999 OBJETIVO.
Gestão Estratégica de Pessoas para Construção de Resultados.
REALINHAMENTO ESTRATÉGICO E RECOMENDAÇÕES AO ATUAL MODELO DE GESTÃO Conclusão do Projeto Companhia de Desenvolvimento dos Vales do São Francisco e do Parnaíba.
I – Comunicação – Redes – Gerenciamento Escola Politécnica da USP MBA EPUSP em Gestão e Engenharia do Produto EP018 O Produto Internet e suas Aplicações.
ANÁLISE AMBIENTAL EXTERNA Análise do Meio Ambiente
Empreendedorismo DRUCKER ROBBINS
Missão Visão Valores.
Conceitos e características dos Projetos
UT Informação em Saúde, Gestão do Conhecimento e Comunicação da OPAS/OMS Brasil Relato sobre o Seminário de Gestão da Informação e do Conhecimento em Saúde.
Boas Práticas Agropecuárias Bovinos de Corte
Sua concepção é interagir com diversas bases de dados conectadas.
A SUSTENTABILIDADE ECONÔMICA COMO GARANTIA DA QUALIDADE E REGULARIDADE DA OFERTA José Luis Rufino Pesquisador da Embrapa Café Consultor do Projeto Educampo/Sebrae-MG.
Administração de Sistemas de Informação
Administração de Sistemas de Informação A TI tornou-se um recurso essencial para auxiliar no posicionamento estratégico das organizações, influenciando.
TÉCNICAS DE CODIFICAÇÃO DE SINAIS
Desempenho A rápida taxa de melhoria na tecnologia de computadores veio em decorrência de dois fatores: avanços na tecnologia utilizada na construção.
UERJ - Agosto 2000© Oscar Luiz Monteiro de Farias1 Bancos de Dados Mestrado em Engenharia de Computação área de concentração Geomática.
Universidade do Estado do Rio de Janeiro Juliana dos Santos Oliveira Mat.:
VENDAS NO CONTEXTO DE MARKETING
METODOLOGIA DE PESQUISA EM EDUCAÇÃO INTRODUÇÃO A PESQUISA ACADÊMICA Roberval Francisco de Lima SÃO ROQUE 2006.
Autenticação em ASP.NET
Plano de Negócios seu guia definitivo www. josedornelas. com. br www
LINGUAGENS DE PROGRAMAÇÃO
Internet Aula 03. Histórico Durante a guerra fria, os EUA tiveram a necessidade de interligar laboratórios que trabalhavam para os militares; Essa interligação.
SECRECRETARIA DE ESTADO DE PLANEJAMENTO E CORRDENAÇÃO GERAL CAPACITAÇÃO PARA ELABORAÇÃO PTA/LOA Cuiabá, 21 de junho de 2004.
Introdução Ciência da Computação estudo de algoritmos –ÊNFASE ao estudo de DADOS armazenamento manipulação refinamento (a partir de dados cru) estrutura.
Transcrição da apresentação:

Gerência de Segurança

Por que gerir? Só aplicação de mecanismos Só aplicação de mecanismos cultura e política ignoradas cultura e política ignoradas desequilíbrio do custo/benefício desequilíbrio do custo/benefício avaliação ineficiente da segurança avaliação ineficiente da segurança Segurança Segurança não é quantitativa, mas sim qualitativa não é quantitativa, mas sim qualitativa redução da insegurança (riscos) redução da insegurança (riscos) documentada e acompanhada documentada e acompanhada

Por que gerir? Custo/benefício Custo/benefício custo é um fator limitante custo é um fator limitante qual o nível de segurança desejado? qual o nível de segurança desejado? Aceitação de riscos Aceitação de riscos Além da técnica... Além da técnica... Políticas de segurança Políticas de segurança Educação para usuários Educação para usuários Revisão de riscos, políticas e mecanismos Revisão de riscos, políticas e mecanismos......

PolíticasPolíticas Segurança: bases MecanismosMecanismos CulturaCultura Segurança

Política de Segurança Regulamenta Regulamenta gerência gerência proteção proteção acesso acesso Determina Determina o que deve/pode ser feito o que deve/pode ser feito quem deve/pode fazer quem deve/pode fazer como deve ser feito como deve ser feito

O G Política de Segurança Tipos Tipos Organizacional Organizacional preocupações da direção preocupações da direção linhas mestras para todo o processo de gerência linhas mestras para todo o processo de gerência Gerencial Gerencial modelo para gerência de riscos modelo para gerência de riscos estruturação da disseminação de cultura estruturação da disseminação de cultura processos para atualização de políticas processos para atualização de políticas Específica Específica intimamente relacionada à Técnica intimamente relacionada à Técnica configuração de firewalls configuração de firewalls gerenciamento de senhas gerenciamento de senhas E

Política de Segurança Deve ser bem clara Deve ser bem clara No tocante ao seu conteúdo No tocante ao seu conteúdo Quanto à sua aprovação e publicação Quanto à sua aprovação e publicação Incluir participação de todos Incluir participação de todos Aprovação da diretoria Aprovação da diretoria Usuários de diferentes setores Usuários de diferentes setores Observar questões legais Observar questões legais Ex.: relativas à monitoração de atividades Ex.: relativas à monitoração de atividades

Política de Segurança Deve ser compatível Deve ser compatível Com a realidade da empresa Com a realidade da empresa Com a capacidade dos usuários Com a capacidade dos usuários Documentar a ciência dos usuários Documentar a ciência dos usuários Deve estar sempre atualizada Deve estar sempre atualizada

Gerência de Segurança Componentes Componentes Política de segurança Política de segurança Rege todos os processos Rege todos os processos Gerência de riscos Gerência de riscos Identificar bens, ameaças, vulnerabilidades Identificar bens, ameaças, vulnerabilidades Disseminação de cultura Disseminação de cultura Capacitação dos usuários Capacitação dos usuários Manutenção do processo Manutenção do processo Garantir a eficiência Garantir a eficiência

Questões principais O que se está querendo proteger? O que se está querendo proteger? Qual a probabilidade de um ataque? Qual a probabilidade de um ataque? Quais os pontos mais vulneráveis? Quais os pontos mais vulneráveis? Qual o prejuízo se o ataque for bem sucedido? Qual o prejuízo se o ataque for bem sucedido? O que é preciso para proteger? O que é preciso para proteger? Implementar procedimentos de segurança será vantajoso do ponto de vista custo/benefício? Implementar procedimentos de segurança será vantajoso do ponto de vista custo/benefício?

Gerência de riscos Tentar responder essas perguntas Tentar responder essas perguntas Guiar as decisões de segurança Guiar as decisões de segurança Monitorar as soluções implementadas Monitorar as soluções implementadas Propor novas alterações Propor novas alterações Em resumo: gerência de riscos é um processo contínuo Em resumo: gerência de riscos é um processo contínuo

Gerência de riscos Composta por 3 processos menores: Composta por 3 processos menores: Análise de riscos Análise de riscos Minimização de riscos Minimização de riscos Monitoração e controle Monitoração e controle

Gerência de Riscos Etapas Etapas Análise de riscos Análise de riscos Minimização de riscos Minimização de riscos Manutenção Manutenção Análise Minimização Manutenção

Gerência de Riscos Análise de riscos Análise de riscos Identificar Identificar bens bens infra-estrutura infra-estrutura ameaças ameaças vulnerabilidades vulnerabilidades Analisar Analisar impacto das ameaças impacto das ameaças determinar riscos determinar riscos propor soluções propor soluções

Gerência de Riscos Minimização de riscos Minimização de riscos Planejar Planejar avaliar custo/benefício avaliar custo/benefício priorizar ações priorizar ações Implementar Implementar minimização dos riscos especificados minimização dos riscos especificados responsabilidades responsabilidades prazos prazos configurações configurações

Gerência de Riscos Manutenção Manutenção Monitorar Monitorar cumprimento das tarefas definidas cumprimento das tarefas definidas eficiência das ações tomadas eficiência das ações tomadas Controlar Controlar mudanças do ambiente mudanças do ambiente potencial surgimento de novos riscos potencial surgimento de novos riscos reiniciar o processo reiniciar o processo

Disseminação de Cultura Cultura existente pode ser uma barreira Cultura existente pode ser uma barreira Vital para o cumprimento da política de segurança Vital para o cumprimento da política de segurança Não deve ser feita de forma coerciva Não deve ser feita de forma coerciva o objetivo é obter cooperação o objetivo é obter cooperação cada usuário deve entender o seu papel cada usuário deve entender o seu papel

Disseminação de Cultura Instrumentos Instrumentos Contratos Contratos Fóruns de discussão Fóruns de discussão Cartilhas/folhetos Cartilhas/folhetos Cursos de capacitação e conscientização Cursos de capacitação e conscientização interpretação da política de segurança interpretação da política de segurança identificação de novas ameaças identificação de novas ameaças identificação de ações não autorizadas identificação de ações não autorizadas

Manutenção do Processo Acompanhamento de cada componente Acompanhamento de cada componente Interações Interações conflitos conflitos violações violações atualização atualização Cumprimento das metas definidas Cumprimento das metas definidas Adequação aos objetivos da organização Adequação aos objetivos da organização Garantir que o processo seja permanente Garantir que o processo seja permanente

Análise de Riscos Caracterização do Sistema Identificação de Ameaças Identificação de Vulnerabilidades

Análise de Riscos Caracterização do Sistema Identificação de Ameaças Identificação de Vulnerabilidades Análise de Probabilidades Análise de Mecanismos

Análise de Riscos Caracterização do Sistema Identificação de Ameaças Identificação de Vulnerabilidades Análise de Probabilidades Análise de Mecanismos Análise de Impacto

Análise de Riscos Caracterização do Sistema Identificação de Ameaças Identificação de Vulnerabilidades Análise de Probabilidades Análise de Mecanismos Análise de Impacto Determinação de Riscos

Análise de Riscos Caracterização do Sistema Identificação de Ameaças Identificação de Vulnerabilidades Análise de Probabilidades Análise de Mecanismos Análise de Impacto Determinação de Riscos Recomendação de Mecanismos Documentação de Resultados

Estudo de Caso... Internet ISP DB Server Servidor Interno de Arquivos Workstations RAS Roteador DNS, MAIL, HTTP, FTP Workstations DNS, MAIL Funcionários Remotos ISP

Estudo de Caso Identificação de ameaças Identificação de ameaças Acesso não autorizado ao DB Server Acesso não autorizado ao DB Server Alteração de páginas web Alteração de páginas web Distribuição de material indevido via FTP Distribuição de material indevido via FTP Acesso irrestrito à Internet pelas máquinas internas Acesso irrestrito à Internet pelas máquinas internas Todas as máquinas vulneráveis via Internet (intrusão, instalação de backdoors, etc) Todas as máquinas vulneráveis via Internet (intrusão, instalação de backdoors, etc) Sem controle quanto aos uso de sniffers Sem controle quanto aos uso de sniffers

Estudo de Caso Identificação de vulnerabilidades Identificação de vulnerabilidades 1. Inexistência de controle de tráfego 1. Inexistência de controle de tráfego 2. Inexistência de detecção de varreduras 2. Inexistência de detecção de varreduras 3. Ataque de negação de serviço 3. Ataque de negação de serviço 4. Serviços concentrados 4. Serviços concentrados 5. Todas as máquinas visíveis da Internet 5. Todas as máquinas visíveis da Internet 6. Uso de serviços inseguros por funcionários remotos (vendedores e pessoal de suporte) 6. Uso de serviços inseguros por funcionários remotos (vendedores e pessoal de suporte) 7. Excesso de privilégios para usuários internos 7. Excesso de privilégios para usuários internos 8. Comunicação insegura entre matriz e filial 8. Comunicação insegura entre matriz e filial

Estudo de Caso Análise de mecanismos Análise de mecanismos Uso de senhas Uso de senhas Acesso ao DB diferenciado por usuário Acesso ao DB diferenciado por usuário Acesso a recursos de rede requer identificação do usuário Acesso a recursos de rede requer identificação do usuário Uso do serviço de RAS restrito a funcionários remotos e requer identificação Uso do serviço de RAS restrito a funcionários remotos e requer identificação Acesso ao DB livre de injeção de SQL Acesso ao DB livre de injeção de SQL

Estudo de Caso Análise de Probabilidades Análise de Probabilidades Inexistência de controle de tráfego - alta Inexistência de controle de tráfego - alta Inexistência de detecção de varreduras - alta/baixa Inexistência de detecção de varreduras - alta/baixa Ataque de negação de serviço - média/baixa Ataque de negação de serviço - média/baixa Serviços concentrados - alta/média Serviços concentrados - alta/média Todas as máquinas visíveis da Internet - alta/média Todas as máquinas visíveis da Internet - alta/média Uso de serviços inseguros por funcionários remotos - alta/média Uso de serviços inseguros por funcionários remotos - alta/média Excesso de privilégios para usuários internos - média/alta Excesso de privilégios para usuários internos - média/alta Comunicação insegura entre matriz e filial - média Comunicação insegura entre matriz e filial - média

Estudo de Caso Análise de Impacto Análise de Impacto Inexistência de controle de tráfego - alto Inexistência de controle de tráfego - alto Inexistência de detecção de varreduras - médio/baixo Inexistência de detecção de varreduras - médio/baixo Ataque de negação de serviço - médio/baixo Ataque de negação de serviço - médio/baixo Serviços concentrados - alto/média/baixo Serviços concentrados - alto/média/baixo Todas as máquinas visíveis da Internet - alto/médio Todas as máquinas visíveis da Internet - alto/médio Uso de serviços inseguros por funcionários remotos - alto/baixo Uso de serviços inseguros por funcionários remotos - alto/baixo Excesso de privilégios para usuários internos - médio/alto Excesso de privilégios para usuários internos - médio/alto Comunicação insegura entre matriz e filial - alto/médio Comunicação insegura entre matriz e filial - alto/médio

Estudo de Caso Determinação de riscos Determinação de riscos risco = probabilidade x impacto risco = probabilidade x impacto Risco alto: Risco alto: Sem controle de tráfego Sem controle de tráfego Todas as máquinas visíveis da Internet Todas as máquinas visíveis da Internet Risco médio: Risco médio: Serviços remotos inseguros Serviços remotos inseguros Excesso de privilégios internos Excesso de privilégios internos Serviços concentrados Serviços concentrados Comunicação insegura entre matriz e filial Comunicação insegura entre matriz e filial Risco baixo: Risco baixo: Inexistência de detecção de varreduras Inexistência de detecção de varreduras Ataque de negação de serviço Ataque de negação de serviço

Estudo de caso

Estudo de Caso... Internet ISP DB Server HTTP FTP Servidor Interno de Arquivos Workstations RAS Roteador DNS MAIL Filtro Interno Filtro e NAT VPN Gateway Funcionários Remotos

Política de segurança Conjunto de leis regras e práticas que regulam (informações e recursos): Conjunto de leis regras e práticas que regulam (informações e recursos): como gerenciar como gerenciar como proteger como proteger como distribuir como distribuir Sistema seguro = sistema que garante o cumprimento da política de segurança traçada Sistema seguro = sistema que garante o cumprimento da política de segurança traçada

Políticas: problemas Pessoas encararam políticas como: Pessoas encararam políticas como: um redutor de produtividade um redutor de produtividade medidas para controlar o comportamento medidas para controlar o comportamento Diferentes pessoas têm diferentes visões sobre as necessidades de segurança Diferentes pessoas têm diferentes visões sobre as necessidades de segurança Funcionários temem a dificuldade de implementação e de cumprimento Funcionários temem a dificuldade de implementação e de cumprimento Políticas afetam todos na organização Políticas afetam todos na organização

Políticas: características Deve: Deve: ser implementável e exeqüível ser implementável e exeqüível ter foco no futuro ter foco no futuro clara e concisa clara e concisa equilibrar proteção e produtividade equilibrar proteção e produtividade

Políticas: características Deveria: Deveria: esclarecer sua necessidade esclarecer sua necessidade descrever o que é coberto pela política descrever o que é coberto pela política definir contatos e responsabilidades definir contatos e responsabilidades discutir como tratar violações discutir como tratar violações

Políticas: estrutura Depende do tamanho e propósitos da organização Depende do tamanho e propósitos da organização Um único documento ou vários menores Um único documento ou vários menores manutenção mais fácil para pequenos documentos manutenção mais fácil para pequenos documentos Política geral e políticas específicas Política geral e políticas específicas Exemplos: Exemplos: uso admissível uso admissível acesso remoto acesso remoto proteção da informação proteção da informação segurança mínima de host/dispositivo segurança mínima de host/dispositivo

Segurança: estratégias Atribuir privilégios mínimos Atribuir privilégios mínimos Criar redundância de mecanismos Criar redundância de mecanismos Criar ponto único de acesso Criar ponto único de acesso Determinar os pontos mais fracos Determinar os pontos mais fracos Tornar o sistema livre de falhas ( fail- safe) Tornar o sistema livre de falhas ( fail- safe) Incentivar a participação universal Incentivar a participação universal Investir na diversidade de defesa Investir na diversidade de defesa Prezar a simplicidade Prezar a simplicidade

Mecanismos Criptografia Criptografia Autenticação Autenticação Redes privadas (VPNs) Redes privadas (VPNs) Firewalls Firewalls Ferramentas de verificação (auditoria) Ferramentas de verificação (auditoria) Sistemas de detecção de intrusão (IDSs) Sistemas de detecção de intrusão (IDSs)

Links: ferramentas Nessus: Nessus: NMap: NMap: Tripwire: Tripwire: Ethereal: Ethereal: SSH: SSH: PGP: PGP:

Links: páginas cve.mitre.org cve.mitre.org

Links: organizações csrc.ncsl.nist.gov csrc.ncsl.nist.gov

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.