1. Segurança Física e Lógica e Análise
de Vulnerabilidade
xxxxxxxxx; xxxxxxxxx
BSI – FEUC
Prof.: Rafael Ribeiro
2. Segurança Física
Proteger informações e equipamentos para que só
as pessoas autorizadas tenham acesso aos recursos;
Explicita ou Implícita;
Baseada em perímetros predefinidos nas
imediações dos recursos;
A segurança física pode ser abordada como
segurança de acesso ou segurança ambiental.
3. Segurança Física
Segurança de Acesso:
•
Prevenção contra acesso não autorizado;
Ex.: Salas-cofre, câmeras de vigilância, sensor de
calor etc.
4. Segurança Física
Segurança Ambiental:
•
Prevenção contra danos causados pela
natureza.
Ex.: Paredes mais resistentes, salas anti fogo etc.
5. Segurança Física
Cuidados com bens das empresas
•
Crachá, chaves, cartões de acesso.
Registrar datas de eventos
•
Entrada e saída de equipamento, pessoal,
materiais.
Supervisão de equipes terceirizadas.
6. Segurança Física
Utilizar mecanismos de controle de acesso físico
•
Câmeras de vídeo, travas eletrônicas, alarmes...
Restringir por onde passam informações
confidenciais;
Proteger as unidades de backup.
7. Segurança Lógica
Objetivo de proteger dados, programas e sistemas
contra tentativas de acesso não autorizado;
Proteger aplicativos, arquivos de dados, S.O.,
arquivos de log.
8. Segurança Lógica
Controle de acesso:
•
•
A partir de recurso computacional que
pretende proteger;
A partir do usuário a quem se pretende dar
privilégios;
9. Segurança Lógica
Elementos básicos de controle do acesso lógico:
• Apenas usuários autorizados devem ter acesso aos
recursos computacionais;
• Os usuários devem ter acesso apenas aos recursos
realmente necessários para a execução de suas
tarefas;
10. Segurança Lógica
• O acesso a recursos críticos do sistema monitorado
e restrito;
• Os usuários não podem realizar transações
incompatíveis com sua função.
12. Segurança Lógica
IDS (Intrusion Detection Sytems) – Detectores de Intrusos
• HIDS (Host IDS): monitora um host específico;
• NIDS (Network IDS): monitora um segmento de host
específico;
13. Segurança Lógica
IDS utiliza dois métodos específicos:
• Detecção por assinatura:
Associam um ataque a um determinado conjunto de
pacotes ou chamadas de sistema. Não só detecta o
ataque como também o identifica. Exige
atualização frequente do fabricante.
14. Segurança Lógica
• Detecção por comportamento:
Observa o comportamento da rede em um período
normal, e o compara com o comportamento atual
da rede. Utiliza métodos estatísticos e inteligência
artificial.
Não sabe informar qual ataque está em andamento.
15. Segurança Lógica
VPN (Virtual Private Network) – Redes Virtuais Privadas
• Ligação entre dois firewalls ou servidores VPN;
• Ligação entre uma estação na internet e serviços
dentro da rede interna (intranet).
16. Segurança Lógica
• Integra criptografia em cada pacote trafegado;
• A criptografia deve ser rápida o suficiente para não
comprometer o desempenho entre as redes e
segura o suficiente para impedir ataques.
17. Análise de Vulnerabilidade
Identificar fragilidades de segurança no ambiente
tecnológico das empresas;
Identifica ameaças sutis ou esquecidas, que podem
afetar ou mesmo destruir o negócio;
Empresas podem sistematicamente identificar
certas ameaças não notadas anteriormente.
18. Análise de Vulnerabilidade
Tecnologias
• Software e hardware usados em servidores.
Ex.: Estações sem antivírus, servidores sem detecção
de intrusão...
19. Análise de Vulnerabilidade
Processos
• Análise do fluxo de informação.
Ex.: Se a lista de compra for passada de modo
errôneo, esta pode ser apagada ou esquecida, ou
interpretada errado.
20. Análise de Vulnerabilidade
Pessoas
• As pessoas são ativos da informação e executam
processos, logo, precisam ser analisadas.
Ex.: Desconhecer a importância da segurança,
desconhecer suas obrigações e responsabilidades.
21. Análise de Vulnerabilidade
Ambientes
• Espaço físico onde acontecem os processos, onde as
pessoas trabalham.
Ex.: Acesso não autorizado a servidores, arquivo e
fichários.
22. Análise de Vulnerabilidade
Benefícios
• Maior conhecimento do ambiente de TI e seus
problemas;
• Possibilidade de tratamento das vulnerabilidades,
com base nas informações geradas;
• Maior confiabilidade do ambiente após a análise;
• Informações para o desenvolvimento da Análise de
Risco.
23. Análise de Vulnerabilidade
Produtos Finais
• Reunião de conclusão da Análise de
Vulnerabilidades;
• Relatório de Análise de Vulnerabilidades;
• Resumo Estratégico do Relatório de
Vulnerabilidades;
• Plano de Ação para curto e médio prazo;
• Reunião de follow-up (acompanhamento).
25. Referências
< http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013.
<http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_auditoria_e_analise_de_s
eguranca_aula_02.pdf> Acesso em: 2 de abril – 2013.
<http://xa.yimg.com/kq/groups/22195076/1606473661/name/Seguranca-2.pdf> Acesso em: 2 de abril –
2013.
<http://www.devmedia.com.br/convergencia-seguranca-fisica-e-logica/15760> Acesso em: 2 de abril –
2013.
<http://www.trackerti.com/consult/view/name/analise-vulnerabilidades> Acesso em: 3 de abril – 2013.
<http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=13203&sid=42> Acesso
em: 4 de abril – 2013.
< http://www.mindconsultoria.com.br/artigos.asp?cod=56> Acesso em: 5 de abril – 2013.
<http://olhardigital.uol.com.br/negocios/digital_news/noticias/sete-tendencias-de-seguranca-paracontrole-de-acesso-a-edificios-em-2012> Acesso em: 5 de abril – 2013.