1. Segurança Física e Lógica e Análise
de Vulnerabilidade
xxxxxxxxx; xxxxxxxxx
BSI – FEUC
Prof.: Rafael Ribeiro

2. Segurança Física
 Proteger informações e equipamentos para que só
as pessoas autorizadas tenham acesso aos recursos;
 Explicita ou Implícita;
 Baseada em perímetros predefinidos nas
imediações dos recursos;
 A segurança física pode ser abordada como
segurança de acesso ou segurança ambiental.

3. Segurança Física
 Segurança de Acesso:
•
Prevenção contra acesso não autorizado;
Ex.: Salas-cofre, câmeras de vigilância, sensor de
calor etc.

4. Segurança Física
 Segurança Ambiental:
•
Prevenção contra danos causados pela
natureza.
Ex.: Paredes mais resistentes, salas anti fogo etc.

5. Segurança Física
 Cuidados com bens das empresas
•
Crachá, chaves, cartões de acesso.
 Registrar datas de eventos
•
Entrada e saída de equipamento, pessoal,
materiais.
 Supervisão de equipes terceirizadas.

6. Segurança Física
 Utilizar mecanismos de controle de acesso físico
•
Câmeras de vídeo, travas eletrônicas, alarmes...
 Restringir por onde passam informações
confidenciais;
 Proteger as unidades de backup.

7. Segurança Lógica
 Objetivo de proteger dados, programas e sistemas
contra tentativas de acesso não autorizado;
 Proteger aplicativos, arquivos de dados, S.O.,
arquivos de log.

8. Segurança Lógica
 Controle de acesso:
•
•
A partir de recurso computacional que
pretende proteger;
A partir do usuário a quem se pretende dar
privilégios;

9. Segurança Lógica
 Elementos básicos de controle do acesso lógico:
• Apenas usuários autorizados devem ter acesso aos
recursos computacionais;
• Os usuários devem ter acesso apenas aos recursos
realmente necessários para a execução de suas
tarefas;

10. Segurança Lógica
• O acesso a recursos críticos do sistema monitorado
e restrito;
• Os usuários não podem realizar transações
incompatíveis com sua função.

11. Segurança Lógica
 Outros Requisitos:
• Ter uma bom firewall;
• Usar porta única de entrada/saída;

12. Segurança Lógica
 IDS (Intrusion Detection Sytems) – Detectores de Intrusos
• HIDS (Host IDS): monitora um host específico;
• NIDS (Network IDS): monitora um segmento de host
específico;

13. Segurança Lógica
 IDS utiliza dois métodos específicos:
• Detecção por assinatura:
Associam um ataque a um determinado conjunto de
pacotes ou chamadas de sistema. Não só detecta o
ataque como também o identifica. Exige
atualização frequente do fabricante.

14. Segurança Lógica
• Detecção por comportamento:
Observa o comportamento da rede em um período
normal, e o compara com o comportamento atual
da rede. Utiliza métodos estatísticos e inteligência
artificial.
Não sabe informar qual ataque está em andamento.

15. Segurança Lógica
 VPN (Virtual Private Network) – Redes Virtuais Privadas
• Ligação entre dois firewalls ou servidores VPN;
• Ligação entre uma estação na internet e serviços
dentro da rede interna (intranet).

16. Segurança Lógica
• Integra criptografia em cada pacote trafegado;
• A criptografia deve ser rápida o suficiente para não
comprometer o desempenho entre as redes e
segura o suficiente para impedir ataques.

17. Análise de Vulnerabilidade
 Identificar fragilidades de segurança no ambiente
tecnológico das empresas;
 Identifica ameaças sutis ou esquecidas, que podem
afetar ou mesmo destruir o negócio;
 Empresas podem sistematicamente identificar
certas ameaças não notadas anteriormente.

18. Análise de Vulnerabilidade
 Tecnologias
• Software e hardware usados em servidores.
Ex.: Estações sem antivírus, servidores sem detecção
de intrusão...

19. Análise de Vulnerabilidade
 Processos
• Análise do fluxo de informação.
Ex.: Se a lista de compra for passada de modo
errôneo, esta pode ser apagada ou esquecida, ou
interpretada errado.

20. Análise de Vulnerabilidade
 Pessoas
• As pessoas são ativos da informação e executam
processos, logo, precisam ser analisadas.
Ex.: Desconhecer a importância da segurança,
desconhecer suas obrigações e responsabilidades.

21. Análise de Vulnerabilidade
 Ambientes
• Espaço físico onde acontecem os processos, onde as
pessoas trabalham.
Ex.: Acesso não autorizado a servidores, arquivo e
fichários.

22. Análise de Vulnerabilidade
 Benefícios
• Maior conhecimento do ambiente de TI e seus
problemas;
• Possibilidade de tratamento das vulnerabilidades,
com base nas informações geradas;
• Maior confiabilidade do ambiente após a análise;
• Informações para o desenvolvimento da Análise de
Risco.

23. Análise de Vulnerabilidade
 Produtos Finais
• Reunião de conclusão da Análise de
Vulnerabilidades;
• Relatório de Análise de Vulnerabilidades;
• Resumo Estratégico do Relatório de
Vulnerabilidades;
• Plano de Ação para curto e médio prazo;
• Reunião de follow-up (acompanhamento).

24. Conclusão

25. Referências
< http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013.
<http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_auditoria_e_analise_de_s
eguranca_aula_02.pdf> Acesso em: 2 de abril – 2013.
<http://xa.yimg.com/kq/groups/22195076/1606473661/name/Seguranca-2.pdf> Acesso em: 2 de abril –
2013.
<http://www.devmedia.com.br/convergencia-seguranca-fisica-e-logica/15760> Acesso em: 2 de abril –
2013.
<http://www.trackerti.com/consult/view/name/analise-vulnerabilidades> Acesso em: 3 de abril – 2013.
<http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=13203&sid=42> Acesso
em: 4 de abril – 2013.
< http://www.mindconsultoria.com.br/artigos.asp?cod=56> Acesso em: 5 de abril – 2013.
<http://olhardigital.uol.com.br/negocios/digital_news/noticias/sete-tendencias-de-seguranca-paracontrole-de-acesso-a-edificios-em-2012> Acesso em: 5 de abril – 2013.