PUC-Campinas TÓPICOS EM ENGENHARIA COMPUTAÇÃO B

Slides:



Advertisements
Apresentações semelhantes
Nome da Apresentação Clique para adicionar um subtítulo.
Advertisements

Administração e segurança de redes
Curso Técnico de Informática
Firewall Campus Cachoeiro Curso Técnico em Informática
1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Mecanismo de Proteção (Prevenção e Detecção)
Segurança de Perímetro
GERENCIAMENTO DE REDES
Segurança de dados william.
Fundação Aplicações de Tecnologias Críticas - Atech
Control Objectives for Information and related Technology
Desenvolvimento de estratégias de segurança e gerência
Segurança Completa, como nehuma outra solução tem.
Transparência Total! O Software Secullum TI.Net foi desenvolvido para facilitar o gerenciamento das informações que circulam nos computadores conectados.
Segurança e Auditoria de Sistemas
Monitoramento de logs e registros de sistemas
Trabalho – 03/09/ FIM.
Fundamentos de Segurança da Informação
2º Bimestre Os testes de Auditoria
Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002)
SETEMBRO, 2010 | SÃO PAULO. Utilizando o AppLocker para proteger seu ambiente da execução de aplicações não autorizadas C Ó DIGO DA SESS Ã O: CLI307 Rodrigo.
Aula 9 - Camada de aplicação
Políticas de Backup FATEC – Americana
Características Técnicas e Operacionais
Segurança da Informação
Política de Segurança O que é Política de Segurança da Informação?
Segurança e auditoria de sistemas
Redes Aula 7 Professor: Marcelo Maia.
Normas ISO/IEC de Segurança da Informação
As 10 coisas mais importantes que você deve saber sobre o Windows legítimo Aviso legal As informações contidas neste documento representam o ponto de vista.
Segurança da Informação
Conhecendo os Sistemas Operacionais
Gestão de Segurança em Comércio Eletrônico
Normas para Segurança da Informação
CURSO TÉCNICO EM SEGURANÇA DO TRABALHO
Segurança & Auditoria de Sistemas AULA 10
Entendemos que cada cliente é um parceiro e procuramos assim garantir sua satisfação com nossa qualidade no atendimento e competência técnica.Missão Permitir.
Segurança de Redes Curso Superior de Tecnologia em Redes de Computadores CEFETES – Unidade Colatina.
Segurança e Auditoria de Sistemas
FTIN Formação Técnica em Informática Módulo Sistema Proprietário Windows AULA 04 Prof. André Lucio.
Tópicos Avançados em Redes de Computadores Prof. Fabiano Sabha.
1.2 – Tipos de Ataques Cavalo de Tróia; Backdoors; Spoofing; Sniffing;
Políticas de Segurança
Firewall Luidi V. A. Andrade. Firewall  Um firewall protege rede de computadores de invasões hostis que possa comprometer confidencialidade ou resultar.
Segurança Online Entenda e aprenda a driblar os perigos de compartilhar informações pessoais online.
Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Prof.°: João Henrique Disciplina: SOR II
Sistema de Gestão de Segurança da Informação
Laboratório Módulo :00hs às 12:00hs – Sala O15
Segurança da informação
Sistemas de Informações em Recursos Humanos
Segurança da Informação
Arquitetura de segurança – Redes
Prof. Antonio Felicio Netto
Gestão da Tecnologia da Informação Lucas do Rio Verde – MT 2013.
POLITICAS DE SEGURANÇA
Informação É recomendável que seja sempre protegida adequadamente, seja qual for a forma apresentada: Impressa; Escrita em papel; Armazenada eletronicamente;
FIREWALL.
Auditoria e Segurança de Sistemas – Cód Prof. MSc. Ronnison Reges Vidal.
PROF PAULO MAXIMO, MSc com INFORMÁTICA 4 4.
Solução de Controle e Monitoramento de Internet
Segurança da Informação
MVP Virtual Conference 2013 Desktop Seguro Luciano Lima CISSP / MVP Enterprise
Gustavo e Thiago – 3H15 Técnicas de Defesa AgendaTécnicasClassificaçãoDadosConclusão Agenda -Técnicas; -Classificações; -Dados/gráficos; -Conclusão.
CONTROLE DE ACESSO Requisitos de cada aplicação Identificação de todas as informações Políticas de disseminação e autorização de informações - Saber apenas.
FATEC – Americana Diagnóstico e solução de problemas em TI
Segurança em Comércio Eletrônico Comércio tradicional realizado de maneira centralizada cercado de restrições legais Comércio eletrônico realização de.
Introdução ao Gerenciamento de Redes de Computadores Curso Técnico em Redes de Computadores Professor Emerson Felipe Capítulo 01 Gerenciamento de Redes.
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 1 Configuração Segura Principais Serviços.
Transcrição da apresentação:

PUC-Campinas TÓPICOS EM ENGENHARIA COMPUTAÇÃO B Políticas de Segurança Corporativa Henrique Teranisi Marco Mendes Paulo Pereira Vinícius Trivinho Prof. Edmar Roberto Santana de Rezende Campinas - 2008

Políticas de Segurança Corporativa O que é? Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. Propósito: Informar usuários, equipes e gerentes de suas obrigações para proteção da tecnologia e do acesso à informação, preservar a confidencialidade, disponibilidade e integridade das informações e também descrever a conduta adequada para o seu manuseio, controle, proteção e descarte.

Boa política Primeiramente determinar suas metas para poder criar boas políticas de segurança. Usar uma linguagem simples, com poucos termos técnicos Ser de fácil compreensão e aplicabilidade Ser clara e concisa Estar de acordo com a realidade prática Ser revisada periodicamente Estar implementada

Benefícios Maior padronização das informações e processos Alinhamento dos objetivos da empresa com as leis e obrigações contratuais Definição dos responsáveis pelos ativos da empresa Definição das penalidades pela não aderência à Política de Segurança Aumento da conscientização da empresa Aderência aos padrões internacionais de gestão de segurança

ITCS300 Política de segurança adotada pela IBM que deve ser seguida pelos empregados, subsidiários, vendedores, gerentes para utilizar o sistema interno de computadores. Há duas seções principais: primeira que diz os passos que os empregados devem seguir e a segunda sobre as suas responsabilidades.

1o – Os empregados devem proteger suas estações de trabalho e defender os sistemas IBM de códigos nocivos. Configurar proteção de tela com bloqueio automático. Bloquear computador quando não estiver por perto Em viagens: Levar o notebook junto de você e nunca em malas de viagem. Se precisar deixar o notebook no carro, sempre deixar no porta malas. Não deve-se deixar o notebook por longos períodos no carro vazio. Se precisar deixar o notebook no hotel, utilize o cofre. Se não existir um cofre disponível utilize o cabo de segurança.

Possuir senha em qualquer driver externo para carregar informações IBM Proteção contra vírus e códigos nocivos. O antivirus deve seguir o seguinte critério: Detectar e bloquear vírus em tempo real. Periodicamente escanear e detectar vírus. Verificar atualizações da lista de vírus pelo menos uma vez por dia. Deve ser um produto totalmente licenciado.

Firewalls devem seguir os seguintes critérios: Redes detectadas devem ser consideradas desconhecidas e não confiáveis. Alertas usuários para novos programas tentando acessar a rede. Negar acesso a sistemas não autorizados. O Cliente de forewall deve ter os últimos updates disponíveis. Deve ser um produto totalmente licenciado.

Compartilhamento de arquivos: Não deve-se permitir acesso anonimo à FTP, TFTP, HTTP não autenticado, ou qualquer outro acesso não autenticado. Não deve-se compartilhar o disco inteiro com acesso anonimo. Nunca permitir qualquer tipo de acesso não autenticado à qualquer dado ou programa considerado confidencial (se for necessário tal acesso, optar por autenticação por id e senha). Aplicação de patches periódicamente

2o – Empregados devem proteger informações confidenciais da IBM e enquadrar em outras circunstâncias que venha encontrar. Copyright Leia e entenda qualquer restrição de copyright. Assegure-se de cumprir qualquer requerimento ou limitação desse tipo de software. Publicar SW IBM na internet Proteger informações IBM Usar senhas com no mínimo 8 caracteres, usar caracteres alfa numéricos e não-alfanuméricos. Não usar seu id como parte da senha.

Teleconferência (verificar se todos tem autorização para participar)‏ Rede interna (não capturar tráfego, não testar a segurança, etc)‏ Conexão remota: Utilizar programas licenciados e aprovados pelo time de IT security. Ulizando sistemas públicos(hotspots, quiosques,etc): Não deve-se copiar dados confidencias para arquivos locais em sistemas públicos. Para qualquer violação de políticas de segurança, informe o time de IT security.

ITCS104 A ITCS104 visa contemplar a segurança da infra-estrutura de TI . Ela especifica diversos procedimentos e boas práticas que devem ser cumpridas para garantir a segurança de qualquer sistema de computação sob a responsabilidade da IBM, desde o controle de usuários até o controle de bugs e atualizações de software. A ITCS104 é aplicado tanto a infra-estrutura de TI que suporta a própria IBM como para a infra-estrutura sob responsabilidade da IBM mas que suporta o negócio de clientes e parceiros. Dentre os pontos cobertos pela ITCS104 estão:

ITCS104 IDENTIFICAÇÃO Um identificador único deve estar associado a cada usuário de sistema (ex.: userid, certificado digital, etc) Certificados Digitais usados para identificação devem ser assinados por CA’s autorizados. Deve-se validar o vinculo empregatício do funcionário. Todos os sistemas devem ser previamente registrados em uma database de controle antes que seus serviços estejam disponíveis.

ITCS104 AUTENTICAÇÃO A identidade de qualquer usuário deve ser validada na tentativa de acesso à qualquer sistema, software ou middleware. A escolha de uma senha deve seguir regras restritas afim de torná-la menos suscetível a ataques. Mínimo de 8 caracteres, Alfanumérica, não deve conter porções do userid, trocas a cada 90 dias, etc Senhas não devem ser transmitidas em texto puro, e devem ser armazedas criptografadas sempre que possível ou com acesso restrito. Tokens e tickets de autenticação devem ter regras que controlem seu tempo de vida (em geral de12h a 30h).

ITCS104 AUTORIZAÇÃO Para funcionários contratados ou prestadores de serviço, o acesso a qualquer sistema IBM deve ser previamente autorizado pela gerencia e o acesso deve ser provido de forma a restringir ao conjunto mínimo de recursos necessários. Sistemas de acesso remoto devem ser aprovados e seguir o modelo do PDT e IES OMT. Avisos de restrição de uso devem ser apresentados ao usuário a cada login no sistema (exemplo: banners de login, MotD, etc) Acesso limitado deve ser instalado por padrão em qualquer sistema afim de limitar ao proprietário o acesso ao recurso.

ITCS104 PROTEÇÃO DA INFORMAÇÃO E CONFIDENCIALIDADE Controle técnico deve ser colocado em prática para prevenir acesso não autorizado a informações privadas de funcionários IBM, parceiros de negócios ou clientes. Mídias contendo material confidencial devem ser marcados de acordo sempre que possível Informações confidenciais residuais e pessoais sobre funcionários IBM ou clientes devem ser propriamente descartadas afim de garantir que não possam ser recuperadas. Qualquer informação sensível (dados financeiros, planos estratégicos ou de negócio, e informação não - públicas) devem ser criptografadas se enviadas eletronicamente pela internet. Internamente, criptografia deve ser utilizada em todos os servidores de email (notes/Domino) e SSL deve ser utilizado em qualquer web server que colete ou exiba informações confidenciais.

ITCS104 INTEGRIDADE E DISPONIBILIDADE DE SERVIÇOS Usuários comuns não devem ter acesso às configurações de sistemas operacionais Acesso além do permitido para usuários comuns devem ser garantidos apenas baseados em razões validas de negócio e que devem ser determinadas pelo provedor do serviço. Controle técnico deve estar aplicado para impedir a execução e propagação de códigos perigosos. Scans de vulnerabilidades TCP/IP devem ser conduzidos regularmente Um processo deve ser definido afim de reger a aplicação de patchs e updates e limites de tempo devem ser seguidos para cada tipo de sistema. Equipamentos devem ser atualizados antes que atinjam seu status de end of support. Controle técnico deve ser utilizado para evitar ataques de DoS (por exemplo desativando qualquer recurso para o qual não existe justificativa de negócio

ITCS104 INTEGRIDADE E DISPONIBILIDADE DE SERVIÇOS Controle técnico deve ser utilizado para prevenir múltiplas tentativas de login com o mesmo usuário Um processo deve estar em pratica para detectar e impedir ataques sistemáticos nas interfaces externas dos serviços de TI. Um processo de teste e validação deve ser realizado antes de tornar o recurso disponível Acesso entre a rede interna e a rede de parceiros devem ser previamente aprovados e certificados. Estações de trabalhos publicas/compartilhadas devem exibir claramente o responsável por gerenciá-las e regras devem ser seguidas para evitar danos, roubo e execução de códigos maliciosos.

ITCS104 AUDITORIA DE ATIVIDADES Para sistemas, middleware e infra-estrutura de rede, onde for possível a gravação de log, este deve gravar um conjunto mínimo desejável de informações (tentativas de login, atividades executadas, endereço de origem, etc) Os dados de log devem conter no mínimo: data, hora, tipo de acesso, identificação do usuário. Os dados de auditoria devem ser mantidos por no mínimo 90 dias exceto se especificado de outra forma

ITCS104 CONFORMIDADE Verificações de conformidade (Health Checking) devem ser realizados periodicamente (de acordo com a classificação do equipamento, 3 meses, 6 meses ou anual). Testes de segurança devem ser realizados em intervalos periódicos Testes de segurança devem ser realizados nos sistemas toda vez que mudanças nos mecanismos de segurança Uma re-certificação anual deve ser conduzida para confirmar de que todos tem ciência da atual política de segurança e suas mudanças

ITCS104 REPORTE E GERENCIAMENTO DE INCIDENTES Ter um procedimento amplamente divulgado para que todo funcionário saiba o que fazer ao tomar ciência de um incidente de segurança envolvendo dados da empresa, invasões, etc. Ter uma equipe capacitada e treinada para responder a incidentes de segurança Ter um procedimento em uso para prover um relatório de tentativas invalidas de login

ITCS104 CONTROLE DE ACESSO FÍSICO Sistemas e equipamentos de redes devem estar fisicamente protegidos contra danos e roubo. Devem existir controles para restringir o acesso a áreas de “acesso controlado” – CPDs e etc. Mídias controladas, como as utilizada para backup, restauração ou recuperação de desastre devem estar fisicamente protegidas contra acesso não autorizado, roubo e danos. Uma reconciliação do inventário de mídias backup deve ser conduzido uma vez ao ano.

ITCS104 A ITCS104 especifica configurações de segurança para os seguintes Sistemas Operacionais: AIX Platforms Linux Microsoft Windows 2000 Servers Microsoft Windows Server 2003 Novell Netware OS/2 Base Operating Systems OS/400 Platforms z/OS, OS/390 and MVS Platforms z/VM and VM Platforms VMware ESX-GSX Server

ITCS104 Application Software and Middleware Tivoli TSM ADSM WebSphere Application ClearCase ClearQuest IBM Director SSH Servers Samba Internet Information Services (IIS) IBM Tivoli Monitoring SAP Application Sudo AFS Client SubsystemsAFS Servers Apache Web CMVC DB2 Universal Database DCE Servers DCE/DFS Clients DFS Servers GSA Servers Lotus Domino Servers MQSeries NetView OS/2 Lan Servers

ITCS104 Infraestrutura de Rede Local Area Network (LAN) Devices Wireless Devices Boundary Firewalls Firewalls Network Services (DNS, DHCP, SMTP) Inter-Enterprise Services (IES) Data Legacy and SNA Gateways Remote Vendor Access

ITCS104 Infraestrutura de Voz Outros Equipamentos de Rede Avaya Media Server Call Management System Outros Equipamentos de Rede Hard Copy Devices Manufacturing Tool Controllers iSeries/pSeries HMCs zHMC

PUC-Campinas TÓPICOS EM ENGENHARIA COMPUTAÇÃO B Políticas de Segurança Corporativa Alguns casos ocorridos… Dúvidas? Prof. Edmar Roberto Santana de Rezende Campinas - 2008