SlideShare une entreprise Scribd logo

Defesa de sistemas de informação

Víctor Leonel Orozco López
Víctor Leonel Orozco López

Aula introductoria a conceitos basicos de defesa de sistemas de informação

Technologie
1  sur  31
Télécharger pour lire hors ligne
Defesa de sistemas de informac˜o ¸a V´ ıctor Orozco, Dr. Ana Trindade Winck Centro de Tecnologia Universidade Federal de Santa Maria 20 de Janeiro de 2013 Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 1 / 32
Objetivos da aula Descrever mecanismos generalizados de defesa de sistemas Apresentar uma definic˜o conceptual de controles de seguranca ¸a ¸ Apresentar uma classificac˜o de controles de seguranca ¸a ¸ Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 2 / 32
Roteiro 1 Defesa de sistemas de informac˜o ¸a 2 Controles de seguranca ¸ 3 Referencias Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 3 / 32
Defesa de sistemas de informac˜o ¸a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 4 / 32
Defesa Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 5 / 32
Preciso defender? Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 6 / 32
Preciso defender? Depende Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 7 / 32
Defesa Ativos 1-10 Importˆncia+impacto a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 8 / 32
Defesa Fotos da fam´ - 2 ılia Filmes - 1 Jogos (NFS nivel 10) - 1 Colec˜o musicas (250gb) - 5 ¸a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 9 / 32
Defesa Dissertac˜o de mestrado - 7 ¸a Artigos en andamento - 9 Documentac˜o para renovac˜o de visto de estudante - 10 ¸a ¸a Arquivos de personalizac˜o do meu sistema operacional - 9 ¸a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 10 / 32
Defesa Vale muito a pena Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 11 / 32
Defesa Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 12 / 32
Defesa Timeout de atividade Password BIOS Password sistema operacional Criptografia de HD em dados importantes Monitoramento remoto (Prey) Firewall Backup on-site semanal Backup na nuvem de documentos en andamento Atualizac˜es semanais ¸o Boletim de seguranca do Gentoo Linux ¸ Keyring de senhas Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 13 / 32
Defesa Investimento: $ 100 (HD externo) Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 14 / 32
Defesa (experiencias) Um pendrive com um v´ 0day estragou meu Windows um dia antes ırus da entrega duma tarefa Foi roubado um pendrive com todos os enderecos de email da minha ¸ faculdade Uma vers˜o desatualizada do Joomla deu controle para hackers a Islamicos - n˜o ´ piada a e Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 15 / 32
Defesa em profundidade Estrategia muito conhecida e comum Formular uma defesa de v´rias camadas que nos permitir´ ainda a a montar um sucesso se uma ou mais de nossas medidas defensivas apresentam falhas Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 16 / 32
Defesa em profundidade Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 17 / 32
Defesa em profundidade Ela n˜o ´ uma bala magica a e N˜o vamos ser capazes de manter todos os atacantes fora por um a per´ ıodo indefinido de tempo Colocar suficientes medidas defensivas entre nossos ativos ´ os e atacantes Comprar tempo suficiente para tomar medidas mais efetivas para impedir o ataque. Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 18 / 32
Controles de seguranca ¸ Medidas para ajudar a garantir que um determinado tipo de ameaca ´ ¸ e contabilizada (neutralizada, prevenida) F´ ısicos L´gicos o Administrativos Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 19 / 32
Fisicos Controles do lugar onde nossos sistemas e/ou a nossa informac˜o foi ¸a guardada. Acesso ? Manter o meio f´ ısico ? Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 20 / 32
Fisicos Controles do lugar onde nossos sistemas e/ou a nossa informac˜o foi ¸a guardada. Acesso: Cercas, port˜es, fechaduras. o Manter o meio f´ ısico: sistemas de ar condicionado, sistemas de extinc˜o de incˆndio e geradores de energia. ¸a e Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 21 / 32
Fisicos Se n˜o formos capazes de proteger fisicamente os nossos sistemas e a dados, quaisquer outros controles s˜o irrelevantes. a Se um atacante tem acesso f´ısico pode acontecer: Melhor caso: Destruir a nossa informac˜o ¸a Pior caso: Roubar a nossa informac˜o e fazer com ela o que quiser ¸a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 22 / 32
Logicos Tamb´m chamados de controles t´cnicos, protegem o ambiente que e e trafega e armazena os nossos dados Acesso ? Detecc˜o ? ¸a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 23 / 32
Logicos Tamb´m chamados de controles t´cnicos, protegem o ambiente que e e trafega e armazena os nossos dados. Acesso: Passwords, criptografia, firewalls Detecc˜o: Antiv´ ¸a ırus, antispyware, sistemas de detecc˜o de intrus˜o ¸a a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 24 / 32
Logicos Se nossos controles l´gicos s˜o implementadas adequadamente e s˜o o a a sucesso, um atacante ou usu´rio n˜o autorizado n˜o pode acessar a a a nossas aplicac˜es e dados sem subverter os controles que temos no ¸o lugar. Melhor caso: O acesso foi vulnerado mas foi detectado a tempo Pior caso: As medidas falharam e o atacante tem liberdade Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 25 / 32
Administrativos Definem as regras do comportamento esperado dos nossos usu´rios e a o meio ambiente Papel ? Monitoramento ? Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 26 / 32
Administrativos Definem as regras do comportamento esperado dos nossos usu´rios e a o meio ambiente Papel: Regras, leis, pol´ ıticas, procedimentos, diretrizes Monitoramento: Capacidade de forcar as regras ¸ Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 27 / 32
Administrativos Se n˜o temos a autoridade ou a capacidade de garantir que nossos a controles est˜o sendo cumpridos, eles criam uma falsa sensac˜o de a ¸a seguranca. ¸ Uso de telefone e celular, acesso ` Web, e-mail, uso conversas de a mensagens instantˆneas, o software instalado, e outras ´reas a a potenciais de abuso. Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 28 / 32
Defesa em profundidade Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 29 / 32
F´ ısicos L´gicos o Administrativos Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 30 / 32
Referencias I Andress, J. (2011). The basics of information security understanding the fundamentals of InfoSec in theory and practice. Syngress, Waltham, MA. Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 30 / 32

Recommandé

Java 7- Java Day Guatemala
Java 7- Java Day GuatemalaJava 7- Java Day Guatemala
Java 7- Java Day GuatemalaVíctor Leonel Orozco López
 
Organización de una computadora
Organización de una computadoraOrganización de una computadora
Organización de una computadoraVíctor Leonel Orozco López
 
Introducción al Software Libre
Introducción al Software LibreIntroducción al Software Libre
Introducción al Software LibreVíctor Leonel Orozco López
 
Software Libre y Ciencia
Software Libre y CienciaSoftware Libre y Ciencia
Software Libre y CienciaVíctor Leonel Orozco López
 
Creando sistemas enterprise con Software Libre
Creando sistemas enterprise con Software LibreCreando sistemas enterprise con Software Libre
Creando sistemas enterprise con Software LibreVíctor Leonel Orozco López
 
Primeros pasos con Docker
Primeros pasos con DockerPrimeros pasos con Docker
Primeros pasos con DockerVíctor Leonel Orozco López
 
Increasing the Maturity of our Java User Groups
Increasing the Maturity of our Java User GroupsIncreasing the Maturity of our Java User Groups
Increasing the Maturity of our Java User GroupsVíctor Leonel Orozco López
 
Resolución de problemas (2)
Resolución de problemas (2)Resolución de problemas (2)
Resolución de problemas (2)Víctor Leonel Orozco López
 

Recommandé

Java 7- Java Day Guatemala
Java 7- Java Day GuatemalaJava 7- Java Day Guatemala
Java 7- Java Day GuatemalaVíctor Leonel Orozco López
 
Organización de una computadora
Organización de una computadoraOrganización de una computadora
Organización de una computadoraVíctor Leonel Orozco López
 
Introducción al Software Libre
Introducción al Software LibreIntroducción al Software Libre
Introducción al Software LibreVíctor Leonel Orozco López
 
Software Libre y Ciencia
Software Libre y CienciaSoftware Libre y Ciencia
Software Libre y CienciaVíctor Leonel Orozco López
 
Creando sistemas enterprise con Software Libre
Creando sistemas enterprise con Software LibreCreando sistemas enterprise con Software Libre
Creando sistemas enterprise con Software LibreVíctor Leonel Orozco López
 
Primeros pasos con Docker
Primeros pasos con DockerPrimeros pasos con Docker
Primeros pasos con DockerVíctor Leonel Orozco López
 
Increasing the Maturity of our Java User Groups
Increasing the Maturity of our Java User GroupsIncreasing the Maturity of our Java User Groups
Increasing the Maturity of our Java User GroupsVíctor Leonel Orozco López
 
Resolución de problemas (2)
Resolución de problemas (2)Resolución de problemas (2)
Resolución de problemas (2)Víctor Leonel Orozco López
 
La compilación y sus fases
La compilación y sus fasesLa compilación y sus fases
La compilación y sus fasesVíctor Leonel Orozco López
 
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7Víctor Leonel Orozco López
 
Mitos y realidades de la seguridad en Java
Mitos y realidades de la seguridad en JavaMitos y realidades de la seguridad en Java
Mitos y realidades de la seguridad en JavaVíctor Leonel Orozco López
 
Segurança básica de redes Wi-Fi
Segurança básica de redes Wi-FiSegurança básica de redes Wi-Fi
Segurança básica de redes Wi-FiVíctor Leonel Orozco López
 
Introducción a Aprendizaje de Maquina
Introducción a Aprendizaje de MaquinaIntroducción a Aprendizaje de Maquina
Introducción a Aprendizaje de MaquinaVíctor Leonel Orozco López
 
Introducción a Git (Git 101)
Introducción a Git (Git 101)Introducción a Git (Git 101)
Introducción a Git (Git 101)Víctor Leonel Orozco López
 
Java 8: Más funcional que nunca
Java 8: Más funcional que nuncaJava 8: Más funcional que nunca
Java 8: Más funcional que nuncaVíctor Leonel Orozco López
 
Inciando con AngularJS y JavaEE 7
Inciando con AngularJS y JavaEE 7Inciando con AngularJS y JavaEE 7
Inciando con AngularJS y JavaEE 7Víctor Leonel Orozco López
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1Esc Tiradentes
 
Gestão da segurança da informação
Gestão da segurança da informaçãoGestão da segurança da informação
Gestão da segurança da informaçãoRafaela Karoline
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 segurancaMarco Guimarães
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Adriano Balani
 
Segurança Informática ou Segurança da Informação?
Segurança Informática ou Segurança da Informação? Segurança Informática ou Segurança da Informação?
Segurança Informática ou Segurança da Informação? Luis Borges Gouveia
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusãoelliando dias
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx2m Assessoria
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx2m Assessoria
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx2m Assessoria
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx2m Assessoria
 
Offensive security, o que é isso?
Offensive security, o que é isso?Offensive security, o que é isso?
Offensive security, o que é isso?Paulo Renato Lopes Seixas
 
Ataques contra Sistemas Computacionais
Ataques contra Sistemas ComputacionaisAtaques contra Sistemas Computacionais
Ataques contra Sistemas ComputacionaisMarcus Botacin
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoArtur Nascimento
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 segurancaMarco Guimarães
 

Contenu connexe

En vedette

JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7Víctor Leonel Orozco López
 

En vedette (8)

La compilación y sus fases
La compilación y sus fasesLa compilación y sus fases
La compilación y sus fases
 
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
JBoss Forge y Eclipse Neon para aplicaciones Java EE 7
 
Mitos y realidades de la seguridad en Java
Mitos y realidades de la seguridad en JavaMitos y realidades de la seguridad en Java
Mitos y realidades de la seguridad en Java
 
Segurança básica de redes Wi-Fi
Segurança básica de redes Wi-FiSegurança básica de redes Wi-Fi
Segurança básica de redes Wi-Fi
 
Introducción a Aprendizaje de Maquina
Introducción a Aprendizaje de MaquinaIntroducción a Aprendizaje de Maquina
Introducción a Aprendizaje de Maquina
 
Introducción a Git (Git 101)
Introducción a Git (Git 101)Introducción a Git (Git 101)
Introducción a Git (Git 101)
 
Java 8: Más funcional que nunca
Java 8: Más funcional que nuncaJava 8: Más funcional que nunca
Java 8: Más funcional que nunca
 
Inciando con AngularJS y JavaEE 7
Inciando con AngularJS y JavaEE 7Inciando con AngularJS y JavaEE 7
Inciando con AngularJS y JavaEE 7
 

Similaire à Defesa de sistemas de informação

Gestão da segurança da informação
Gestão da segurança da informaçãoGestão da segurança da informação
Gestão da segurança da informaçãoRafaela Karoline
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Adriano Balani
 
Segurança Informática ou Segurança da Informação?
Segurança Informática ou Segurança da Informação? Segurança Informática ou Segurança da Informação?
Segurança Informática ou Segurança da Informação? Luis Borges Gouveia
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusãoelliando dias
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx2m Assessoria
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx2m Assessoria
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx2m Assessoria
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx2m Assessoria
 
Ataques contra Sistemas Computacionais
Ataques contra Sistemas ComputacionaisAtaques contra Sistemas Computacionais
Ataques contra Sistemas ComputacionaisMarcus Botacin
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoArtur Nascimento
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da InformaçãoDaniel de Sousa Luz
 
Introd seguranca da informacao assist adm
Introd seguranca da informacao assist admIntrod seguranca da informacao assist adm
Introd seguranca da informacao assist admAlexMartinsdaSilva2
 
Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2vicente nunes
 

Similaire à Defesa de sistemas de informação (20)

Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Gestão da segurança da informação
Gestão da segurança da informaçãoGestão da segurança da informação
Gestão da segurança da informação
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03
 
Segurança Informática ou Segurança da Informação?
Segurança Informática ou Segurança da Informação? Segurança Informática ou Segurança da Informação?
Segurança Informática ou Segurança da Informação?
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
 
Offensive security, o que é isso?
Offensive security, o que é isso?Offensive security, o que é isso?
Offensive security, o que é isso?
 
Ataques contra Sistemas Computacionais
Ataques contra Sistemas ComputacionaisAtaques contra Sistemas Computacionais
Ataques contra Sistemas Computacionais
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 seguranca
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
 
Administraçao de sistemas aula 2
Administraçao de sistemas aula 2Administraçao de sistemas aula 2
Administraçao de sistemas aula 2
 
Introd seguranca da informacao assist adm
Introd seguranca da informacao assist admIntrod seguranca da informacao assist adm
Introd seguranca da informacao assist adm
 
Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2
 
Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 

Plus de Víctor Leonel Orozco López

Iniciando microservicios reales con JakartaEE/MicroProfile y arquetipos de Maven
Iniciando microservicios reales con JakartaEE/MicroProfile y arquetipos de MavenIniciando microservicios reales con JakartaEE/MicroProfile y arquetipos de Maven
Iniciando microservicios reales con JakartaEE/MicroProfile y arquetipos de MavenVíctor Leonel Orozco López
 
Desde la TV, hasta la nube, el ecosistema de Java en 26 años
Desde la TV, hasta la nube, el ecosistema de Java en 26 añosDesde la TV, hasta la nube, el ecosistema de Java en 26 años
Desde la TV, hasta la nube, el ecosistema de Java en 26 añosVíctor Leonel Orozco López
 
Bootstraping real world Jakarta EE/MicroProfile microservices with Maven Arch...
Bootstraping real world Jakarta EE/MicroProfile microservices with Maven Arch...Bootstraping real world Jakarta EE/MicroProfile microservices with Maven Arch...
Bootstraping real world Jakarta EE/MicroProfile microservices with Maven Arch...Víctor Leonel Orozco López
 
Explorando los objetos centrales de Kubernetes con Oracle Cloud
Explorando los objetos centrales de Kubernetes con Oracle CloudExplorando los objetos centrales de Kubernetes con Oracle Cloud
Explorando los objetos centrales de Kubernetes con Oracle CloudVíctor Leonel Orozco López
 
Introducción a GraalVM Native para aplicaciones JVM
Introducción a GraalVM Native para aplicaciones JVMIntroducción a GraalVM Native para aplicaciones JVM
Introducción a GraalVM Native para aplicaciones JVMVíctor Leonel Orozco López
 
Design Patterns para Microsserviços com MicroProfile
Design Patterns para Microsserviços com MicroProfile Design Patterns para Microsserviços com MicroProfile
Design Patterns para Microsserviços com MicroProfileVíctor Leonel Orozco López
 
MicroProfile benefits for your monolithic applications
MicroProfile benefits for your monolithic applicationsMicroProfile benefits for your monolithic applications
MicroProfile benefits for your monolithic applicationsVíctor Leonel Orozco López
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Víctor Leonel Orozco López
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Víctor Leonel Orozco López
 
Consejos y el camino del desarrollador de software
Consejos y el camino del desarrollador de softwareConsejos y el camino del desarrollador de software
Consejos y el camino del desarrollador de softwareVíctor Leonel Orozco López
 
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10Víctor Leonel Orozco López
 

Plus de Víctor Leonel Orozco López (20)

Introducción al análisis de datos
Introducción al análisis de datosIntroducción al análisis de datos
Introducción al análisis de datos
 
From traditional to GitOps
From traditional to GitOpsFrom traditional to GitOps
From traditional to GitOps
 
De Java 8 a Java 17
De Java 8 a Java 17De Java 8 a Java 17
De Java 8 a Java 17
 
Iniciando microservicios reales con JakartaEE/MicroProfile y arquetipos de Maven
Iniciando microservicios reales con JakartaEE/MicroProfile y arquetipos de MavenIniciando microservicios reales con JakartaEE/MicroProfile y arquetipos de Maven
Iniciando microservicios reales con JakartaEE/MicroProfile y arquetipos de Maven
 
Desde la TV, hasta la nube, el ecosistema de Java en 26 años
Desde la TV, hasta la nube, el ecosistema de Java en 26 añosDesde la TV, hasta la nube, el ecosistema de Java en 26 años
Desde la TV, hasta la nube, el ecosistema de Java en 26 años
 
Bootstraping real world Jakarta EE/MicroProfile microservices with Maven Arch...
Bootstraping real world Jakarta EE/MicroProfile microservices with Maven Arch...Bootstraping real world Jakarta EE/MicroProfile microservices with Maven Arch...
Bootstraping real world Jakarta EE/MicroProfile microservices with Maven Arch...
 
Tolerancia a fallas, service mesh y chassis
Tolerancia a fallas, service mesh y chassisTolerancia a fallas, service mesh y chassis
Tolerancia a fallas, service mesh y chassis
 
Explorando los objetos centrales de Kubernetes con Oracle Cloud
Explorando los objetos centrales de Kubernetes con Oracle CloudExplorando los objetos centrales de Kubernetes con Oracle Cloud
Explorando los objetos centrales de Kubernetes con Oracle Cloud
 
Introducción a GraalVM Native para aplicaciones JVM
Introducción a GraalVM Native para aplicaciones JVMIntroducción a GraalVM Native para aplicaciones JVM
Introducción a GraalVM Native para aplicaciones JVM
 
Desarrollo moderno con DevOps y Cloud Native
Desarrollo moderno con DevOps y Cloud NativeDesarrollo moderno con DevOps y Cloud Native
Desarrollo moderno con DevOps y Cloud Native
 
Design Patterns para Microsserviços com MicroProfile
Design Patterns para Microsserviços com MicroProfile Design Patterns para Microsserviços com MicroProfile
Design Patterns para Microsserviços com MicroProfile
 
Gestión de proyectos con Maven
Gestión de proyectos con MavenGestión de proyectos con Maven
Gestión de proyectos con Maven
 
MicroProfile benefits for your monolithic applications
MicroProfile benefits for your monolithic applicationsMicroProfile benefits for your monolithic applications
MicroProfile benefits for your monolithic applications
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
 
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
Actualizando aplicaciones empresariales en Java desde Java 8 on premise hasta...
 
Consejos y el camino del desarrollador de software
Consejos y el camino del desarrollador de softwareConsejos y el camino del desarrollador de software
Consejos y el camino del desarrollador de software
 
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
 
Introducción a Kotlin para desarrolladores Java
Introducción a Kotlin para desarrolladores JavaIntroducción a Kotlin para desarrolladores Java
Introducción a Kotlin para desarrolladores Java
 
De Java 8 ate Java 14
De Java 8 ate Java 14De Java 8 ate Java 14
De Java 8 ate Java 14
 
Programación con ECMA6 y TypeScript
Programación con ECMA6 y TypeScriptProgramación con ECMA6 y TypeScript
Programación con ECMA6 y TypeScript
 

Defesa de sistemas de informação

  • 1. Defesa de sistemas de informac˜o ¸a V´ ıctor Orozco, Dr. Ana Trindade Winck Centro de Tecnologia Universidade Federal de Santa Maria 20 de Janeiro de 2013 Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 1 / 32
  • 2. Objetivos da aula Descrever mecanismos generalizados de defesa de sistemas Apresentar uma definic˜o conceptual de controles de seguranca ¸a ¸ Apresentar uma classificac˜o de controles de seguranca ¸a ¸ Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 2 / 32
  • 3. Roteiro 1 Defesa de sistemas de informac˜o ¸a 2 Controles de seguranca ¸ 3 Referencias Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 3 / 32
  • 4. Defesa de sistemas de informac˜o ¸a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 4 / 32
  • 5. Defesa Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 5 / 32
  • 6. Preciso defender? Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 6 / 32
  • 7. Preciso defender? Depende Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 7 / 32
  • 8. Defesa Ativos 1-10 Importˆncia+impacto a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 8 / 32
  • 9. Defesa Fotos da fam´ - 2 ılia Filmes - 1 Jogos (NFS nivel 10) - 1 Colec˜o musicas (250gb) - 5 ¸a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 9 / 32
  • 10. Defesa Dissertac˜o de mestrado - 7 ¸a Artigos en andamento - 9 Documentac˜o para renovac˜o de visto de estudante - 10 ¸a ¸a Arquivos de personalizac˜o do meu sistema operacional - 9 ¸a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 10 / 32
  • 11. Defesa Vale muito a pena Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 11 / 32
  • 12. Defesa Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 12 / 32
  • 13. Defesa Timeout de atividade Password BIOS Password sistema operacional Criptografia de HD em dados importantes Monitoramento remoto (Prey) Firewall Backup on-site semanal Backup na nuvem de documentos en andamento Atualizac˜es semanais ¸o Boletim de seguranca do Gentoo Linux ¸ Keyring de senhas Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 13 / 32
  • 14. Defesa Investimento: $ 100 (HD externo) Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 14 / 32
  • 15. Defesa (experiencias) Um pendrive com um v´ 0day estragou meu Windows um dia antes ırus da entrega duma tarefa Foi roubado um pendrive com todos os enderecos de email da minha ¸ faculdade Uma vers˜o desatualizada do Joomla deu controle para hackers a Islamicos - n˜o ´ piada a e Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 15 / 32
  • 16. Defesa em profundidade Estrategia muito conhecida e comum Formular uma defesa de v´rias camadas que nos permitir´ ainda a a montar um sucesso se uma ou mais de nossas medidas defensivas apresentam falhas Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 16 / 32
  • 17. Defesa em profundidade Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 17 / 32
  • 18. Defesa em profundidade Ela n˜o ´ uma bala magica a e N˜o vamos ser capazes de manter todos os atacantes fora por um a per´ ıodo indefinido de tempo Colocar suficientes medidas defensivas entre nossos ativos ´ os e atacantes Comprar tempo suficiente para tomar medidas mais efetivas para impedir o ataque. Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 18 / 32
  • 19. Controles de seguranca ¸ Medidas para ajudar a garantir que um determinado tipo de ameaca ´ ¸ e contabilizada (neutralizada, prevenida) F´ ısicos L´gicos o Administrativos Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 19 / 32
  • 20. Fisicos Controles do lugar onde nossos sistemas e/ou a nossa informac˜o foi ¸a guardada. Acesso ? Manter o meio f´ ısico ? Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 20 / 32
  • 21. Fisicos Controles do lugar onde nossos sistemas e/ou a nossa informac˜o foi ¸a guardada. Acesso: Cercas, port˜es, fechaduras. o Manter o meio f´ ısico: sistemas de ar condicionado, sistemas de extinc˜o de incˆndio e geradores de energia. ¸a e Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 21 / 32
  • 22. Fisicos Se n˜o formos capazes de proteger fisicamente os nossos sistemas e a dados, quaisquer outros controles s˜o irrelevantes. a Se um atacante tem acesso f´ısico pode acontecer: Melhor caso: Destruir a nossa informac˜o ¸a Pior caso: Roubar a nossa informac˜o e fazer com ela o que quiser ¸a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 22 / 32
  • 23. Logicos Tamb´m chamados de controles t´cnicos, protegem o ambiente que e e trafega e armazena os nossos dados Acesso ? Detecc˜o ? ¸a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 23 / 32
  • 24. Logicos Tamb´m chamados de controles t´cnicos, protegem o ambiente que e e trafega e armazena os nossos dados. Acesso: Passwords, criptografia, firewalls Detecc˜o: Antiv´ ¸a ırus, antispyware, sistemas de detecc˜o de intrus˜o ¸a a Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 24 / 32
  • 25. Logicos Se nossos controles l´gicos s˜o implementadas adequadamente e s˜o o a a sucesso, um atacante ou usu´rio n˜o autorizado n˜o pode acessar a a a nossas aplicac˜es e dados sem subverter os controles que temos no ¸o lugar. Melhor caso: O acesso foi vulnerado mas foi detectado a tempo Pior caso: As medidas falharam e o atacante tem liberdade Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 25 / 32
  • 26. Administrativos Definem as regras do comportamento esperado dos nossos usu´rios e a o meio ambiente Papel ? Monitoramento ? Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 26 / 32
  • 27. Administrativos Definem as regras do comportamento esperado dos nossos usu´rios e a o meio ambiente Papel: Regras, leis, pol´ ıticas, procedimentos, diretrizes Monitoramento: Capacidade de forcar as regras ¸ Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 27 / 32
  • 28. Administrativos Se n˜o temos a autoridade ou a capacidade de garantir que nossos a controles est˜o sendo cumpridos, eles criam uma falsa sensac˜o de a ¸a seguranca. ¸ Uso de telefone e celular, acesso ` Web, e-mail, uso conversas de a mensagens instantˆneas, o software instalado, e outras ´reas a a potenciais de abuso. Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 28 / 32
  • 29. Defesa em profundidade Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 29 / 32
  • 30. ısicos L´gicos o Administrativos Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 30 / 32
  • 31. Referencias I Andress, J. (2011). The basics of information security understanding the fundamentals of InfoSec in theory and practice. Syngress, Waltham, MA. Lopez. V.L.O, Winck. A. T (UFSM) Defesa de sistemas de informac˜o ¸a 20 de Janeiro de 2013 30 / 32