SEGURANÇA FÍSICA E LÓGICA E ANÁLISE DE VULNERABILIDADE

Rio de Janeiro
Abril – 2013
SEGURANÇA FÍSICA
A segurança física surgiu para proteger informações e equipamentos para que só as pessoas
certas tenham acesso a esse recu...
autônomos que com seu algoritmo consegue identificar uma invasão de área restrita. Cada vez mais se
vê o uso de vigilância...
A segurança lógica evoluiu muito. Antes sistemas básicos de senhas eram usados para proteger
arquivos nos computadores. No...
duas redes internas. Tem ligação entre uma estação na internet e serviços localizados dentro da rede
interna (intranet).
V...
A análise de vulnerabilidade tem por objetivo identificar fragilidades de segurança no ambiente
tecnológico das empresas, ...
É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão
instalados os componentes de tecnolo...
CONCLUSÃO
A segurança física e lógica é essencial à maioria das empresas. Com elas consegue-se manter a
integridade das in...
REFERÊNCIAS
< http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013.
<http://www.projetodered...
REFERÊNCIAS
< http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013.
<http://www.projetodered...
Upcoming SlideShare
Loading in …5
×

Segurança física e lógica e análise de vunerabilidade (abnt)

579 views
446 views

Published on

A segurança física surgiu para proteger informações e equipamentos para que só as pessoas certas tenham acesso a esse recurso.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
579
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Segurança física e lógica e análise de vunerabilidade (abnt)

  1. 1. SEGURANÇA FÍSICA E LÓGICA E ANÁLISE DE VULNERABILIDADE Rio de Janeiro Abril – 2013 SEGURANÇA FÍSICA
  2. 2. A segurança física surgiu para proteger informações e equipamentos para que só as pessoas certas tenham acesso a esse recurso. Antes documentos eram protegidos por cadeados, cofres, gavetas e salas trancadas. Com a evolução da tecnologia, novos meios de proteção foram surgindo de forma a melhorar a segurança das empresas. Sala-cofre, câmeras de segurança, detectores de movimento e calor, leitor biométrico são algumas das tecnologias usadas para a proteção física de um ambiente. Segurança física é voltada para proteção de equipamentos contra usuários não autorizados. Dessa forma previne o acesso a esses recursos. É baseada em perímetros predefinidos nas imediações dos recursos. Esse tipo de segurança pode ser explícito como um cofre ou sala-cofre, ou implícita, como áreas de acesso restrito. A segurança física pode ser abordada como segurança de acesso ou segurança ambiental. Segurança de acesso trata das medidas de proteção contra o acesso físico não autorizado, utilizando recursos como sala-cofre, câmeras 24x7 entre outros. Segurança ambiental trata de medidas para prevenir danos causados pela natureza, utilizando recursos como equipamentos resistentes à água por exemplo. O controle de acesso físico é muito importante. Deve ter uma forma de instituir formas de identificação que distinguem funcionários de visitantes e categorias diferenciadas de funcionários, caso necessite. Deve-se ter cuidados com bens das empresas (crachás, chaves, cartões de acesso etc.) para que funcionários os devolvam caso sejam retirados de suas funções. Registrar datas de eventos como entrada e saída de materiais, equipamentos, pessoal etc. Registrar e restringir acesso de visitantes em determinadas áreas, se necessário, acompanhando-os aos locais de visita e destino. A supervisão de equipes terceirizadas (limpeza, manutenção etc.) também é fundamental, assim como ter cuidado para não instalar em área de acesso público equipamentos que podem dar acesso a rede interna da corporação. Orientar os funcionários para que não deixem informações sobre a empresa à amostra, como senhas, computadores desbloqueados sem a devida supervisão. Utilizar mecanismos de controle de acesso físico (câmeras de vídeo, fechaduras eletrônicas, alarmes etc.) é um bom controle de acesso físico, como também proteger por onde passam as informações (telefones internos e externos, cabos de internet, modem etc.), proteger fisicamente as unidades de backup, restringir o acesso a computadores e impressoras que possam conter dados confidenciais. Ter uma boa política de segurança física adequada para empresa também é essencial. Ela estará ligada diretamente a importância de seus ativos. Deve-se sempre observar a relação dos modelos de segurança do que apenas o uso de tecnologia. É de fundamental importância analisar o perfil da empresa para definir a política de controle de acesso físico que se encaixe nas necessidades dos usuários. Quanto maior o investimento em prevenção menor será o prejuízo em caso de sinistro. Isso não se refere apenas ao uso de tecnologia avançada, mas à forma de como a empresa lida com a conscientização de seus funcionários. Alguns itens de avaliação de riscos são: incêndios, danos pela água, eletricidade, climatização, treinamento de pessoal e controle de acesso. Com o avanço constante da tecnologia novas formas de proteção vão surgindo. Novos tipos de travas, sensores mais precisos e câmeras de alta qualidade. Já existem equipamentos de vigilância
  3. 3. autônomos que com seu algoritmo consegue identificar uma invasão de área restrita. Cada vez mais se vê o uso de vigilância à distância por parte de donos de algum tipo de comércio. Essa forma de proteção vareia de acordo com a necessidade das empresas, mas se torna uma alternativa a mais para garantir a integridade das informações protegidas. Os smartphones e tablets com câmeras e aplicativos podem ajudar na vigilância e na segurança das empresas. A chegada do Google Glass (óculos interativo) pode transformar a forma como é feito a vigilância das empresas. A segurança física tem como ponto positivo as várias opções para garantir a integridade das informações com tecnologias variadas e cada vez mais acessíveis. Pode-se uma vigilância quase autônoma de áreas que precisam de proteção e vigilância 24 horas por dia, 7 dias por semana. O ponto negativo é que muitos funcionários ainda despreparados fazem com que a integridade da segurança seja, de certa forma, abalada, pois muitos esquecem de seguir os treinamentos dados pelas empresas e têm empresas que passam o treinamento inadequado ou não passam o treinamento para o funcionário. SEGURANÇA LÓGICA
  4. 4. A segurança lógica evoluiu muito. Antes sistemas básicos de senhas eram usados para proteger arquivos nos computadores. Nos tempos atuais existem vários tipos e várias formas de criptografar senhas, arquivos etc. “Um sujeito ativo deseja acessar um objeto passivo”. Isso é uma parte da funcionalidade da segurança lógica onde o sujeito é um usuário ou processo da rede e o objeto pode ser um arquivo ou outro recurso de rede (impressora, estação de trabalho etc). A segurança lógica compreende um conjunto de medidas e procedimentos adotados pelas empresas com o objetivo de proteger dados, programas e sistemas contra tentativas de acessos não autorizados, feitas por usuários ou outros programas. Alguns dos recursos a serem protegidos são: aplicativos (programas fonte e objetos), arquivos de dados, utilitários e sistema operacional; arquivos de senha e arquivos de log. O controle de acesso lógico pode ser visualizado a partir de recurso computacional que se pretende proteger ou a partir do usuário a quem se pretende dar privilégios e acesso aos recursos. A proteção dos recursos computacionais baseia-se na necessidade de acesso de cada usuário. É usada uma identificação e uma senha durante o processo para que o usuário seja autenticado e identificado, e possa acessar os recursos a ele permitidos. Existem alguns elementos básicos de controle do acesso lógico que são: • • • • Apenas usuários autorizados devem ter acesso aos recursos computacionais; Os usuários devem ter acesso apenas aos recursos realmente necessários para a execução de suas tarefas; O acesso a recursos críticos do sistema monitorado e restrito; Os usuários não podem realizar transações incompatíveis com sua função. Um bom firewall também é essencial para a proteção lógica, evitando invasão a rede interna do sistema. O firewall deve ser acompanhado de uma boa estratégia lógica para melhor proteger o sistema. Um exemplo seria de usar uma porta única de entrada e saída da rede interna com a supervisão do firewall. Detectores de intrusos também ajudam a evitar invasão. Os chamados IDS (Intrusion Detection Sytems) são responsáveis por analisar o comportamento de uma rede ou sistema em busca de tentativas de invasão. Existe o HIDS (Host IDS) que monitora um host específico, e o NIDS (Network IDS) que monitora um segmento de host específico. Um IDS utiliza dois métodos específicos:  Detecção por assinatura: Semelhante a assinaturas de antivírus. Associam um ataque a um determinado conjunto de pacotes ou chamadas de sistema. Não só detecta o ataque como também o identifica. Exige atualização frequente do fabricante.  Detecção por comportamento: Observa o comportamento da rede em um período normal, e o compara com o comportamento atual da rede. Utiliza métodos estatísticos e inteligência artificial. Detecta um ataque desconhecido, mas não sabe informar qual ataque está em andamento. Existem também as Redes Virtuais Privadas. A VPN (Virtual Private Network) é uma forma barata de interligar duas redes privadas (intranet) através da internet. Tem a ligação entre dois firewalls ou entre dois servidores de VPN para interligar
  5. 5. duas redes internas. Tem ligação entre uma estação na internet e serviços localizados dentro da rede interna (intranet). VPN integra criptografia em cada pacote trafegado. A criptografia deve ser rápida o suficiente para não comprometer o desempenho entre as redes e segura o suficiente para impedir ataques. As vantagens da VPN são substituição de linhas dedicadas a custo baixo e uso de infraestrutura já existente. As desvantagens são os dados sensíveis trafegando em rede pública e os dados ficam sensíveis aos congestionamentos e interrupções que ocorrem na internet. Muitas empresas estão apostando na computação em nuvem e isso tende a aumentar. As empresas que distribuem o serviço terão que aumentar a segurança e qualidade do produto em parceria com as empresas de internet e a empresa contratante. A segurança digital está em evolução constante e novas formas de criptografia e sistemas inteligentes de defesa surgem para melhorar a segurança das empresas. Em tempos de smartphone e tablets, empresas podem adaptar esses aparelhos para ajudar na segurança e autenticação dos funcionários, utilizando-os com a tecnologia NFC (Near Field Comunicaton) – que permite autenticação apenas aproximando um aparelho celular do dispositivo, por exemplo – podendo dispensar o crachá ou cartão, ou dando uma alternativa a mais ao funcionário. Em tempos de mobilidade e computação em nuvem o comportamento das empresas, em especial as de pequeno e médio porte, está mudando e se adaptando junto essa nova leva de tecnologia digital. Segurança lógica tem como ponto positivo preservar informações essenciais para as empresas e evitando que pessoas não autorizadas tenham acesso aos mesmos. Claro que nem todo sistema é 100% seguro, mas esses softwares aumentam a segurança dos sistemas e integridade das informações. Um sistema protegido por um firewall ou antivírus terá seu desempenho um pouco menor que um não protegido, pois a filtragem feita pela proteção exigirá mais tempo para varrer o sistema atrás de invasão. Essa é uma desvantagem necessária no sistema, mas se for planejada de maneira errada pode prejudicar e muito o desempenho do sistema. ANÁLISE DE VULNERABILIDADE
  6. 6. A análise de vulnerabilidade tem por objetivo identificar fragilidades de segurança no ambiente tecnológico das empresas, visando a implementação de controles que irão proteger suas informações e seus respectivos negócios. É uma ferramenta analítica para o planejamento estratégico que identifica ameaças sutis ou esquecidas, que podem afetar ou mesmo destruir o negócio. A análise de vulnerabilidade é um processo simples e barato. É um diagnóstico feito normalmente em grupo dentro da empresa sem uso de conceitos complexos, modelos elaborados ou grande quantidade de dados, mas a experiência e a capacidade de julgamento dos participantes, do grupo, de origem de todos os setores da empresa. Isso faz com que aumente a comunicação interdepartamental, pois todos que participam mostram divergências implícitas e explicitas nas suas hipóteses de planejamento. O processo fornece um método pelo qual a administração da empresa pode sistematicamente identificar certas ameaças não notadas anteriormente, independente do tipo de negócio envolvido ou do local em que se situa. Então a empresa tem tempo para controlar situações ameaçadoras, revisar as opções de que dispõe e prepara um plano de contingência, se necessário. Os objetivos da alta administração são definidos na análise vulnerabilidade porque lidam com assuntos que podem afetar negativamente a empresa futuramente. A análise de vulnerabilidade aumenta a eficiência do controle ambiental porque focaliza a atenção da empresa no que é mais importante para ela. Existem empresas que não sabem usar a análise de vulnerabilidade corretamente, controlando tudo que se passa no ambiente, fazendo com que a empresa passe por riscos desnecessários. Deve usar esse método para aumentar a eficiência do controle ambiental, focalizando a atenção de empresa no que é mais importante para ela. Empresas ainda deixam passar uma série de condições ou forças ameaçadoras em potencial. Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informação das empresas. A análise de vulnerabilidade sobre ativos da informação compreende Tecnologias, Processos, Pessoas e Ambientes:  Tecnologias: Software e hardware usados em servidores, estações de trabalho e outros equipamentos pertinentes, como sistemas de telefonia, rádio e gravadores; Ex.: estações sem antivírus, servidores sem detecção de intrusão, sistemas sem identificação ou autenticação;  Processos: Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a informação é compartilha entre os setores da organização; Ex.: Em um processo de compra, se a lista de compra for passada de modo errôneo, esta pode ser apagada ou esquecida, ou interpretada errado. Causando a indisponibilidade do processo ou a falta de integridade dos resultados do processo.  Pessoas: As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas. Pessoas podem possuir importantes vulnerabilidades. Ex.: Desconhecer a importância da segurança, desconhecer suas obrigações e responsabilidades, deixando processos com “dois pais” e outros “órfãos”.  Ambientes:
  7. 7. É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas. Ex.: Acesso não autorizado a servidores, arquivo e fichários.  • • • • Benefícios Maior conhecimento do ambiente de TI e seus problemas; Possibilidade de tratamento das vulnerabilidades, com base nas informações geradas; Maior confiabilidade do ambiente após a análise; Informações para o desenvolvimento da Análise de Risco;  Produtos Finais Reunião de conclusão da Análise de Vulnerabilidades; Relatório de Análise de Vulnerabilidades; Resumo Estratégico do Relatório de Vulnerabilidades; Plano de Ação para curto e médio prazo; Reunião de follow-up (acompanhamento). • • • • • A análise de vulnerabilidade evita que a maioria dos fatos negativos aconteça. Essa prevenção é essencial para que problemas sejam solucionados. Muitas empresas ainda deixam passar uma série de condições ou forças ameaçadoras em potencial isso pode prejudicar possíveis análises de vulnerabilidade.
  8. 8. CONCLUSÃO A segurança física e lógica é essencial à maioria das empresas. Com elas consegue-se manter a integridade das informações, mantendo a segurança das empresas. É preciso começar com uma boa segurança física. “Não adianta investir dinheiro em esquemas sofisticados e complexos se não instalarmos uma simples porta para proteger fisicamente os servidores da rede.” O ambiente seguro é fundamental para se pensar melhor no ambiente lógico. Os dois combinados podem tornar as informações das empresas mais integras e seguras. Os dois tipos de segurança já estão praticamente fundido nos dias atuais. São catracas com leitor biométrico, salas-cofre com identificação fácil entre muitas outras formas de proteção físicas e digitais dependentes. “Alguém não autorizado passa por uma catraca que ativa o alarme. Isso faz parte da segurança física ou lógica?” Com esses tipos de questionamentos vemos que está cada vez mais difícil separa os dois tipos de segurança e tem que se pensar cada vez mais em como utilizá-las paralelamente para deixar as empresas mais seguras, sem chances para falhas e roubo de dados. Com a ajuda da análise de vulnerabilidade isso pode ficar mais fácil, pois estudando e prevenindo possíveis erros no futuro tem como melhorar o desempenho da segurança de maneira que erros não atrapalhem o “conjunto da obra”. Não existe sistema de segurança 100% seguro, mas seguindo um padrão de acordo com que a empresa necessita para garantir a segurança de suas informações é possível diminuir e muito os riscos de invasão e de vazamento de informações. Deve ter cuidado para não elaborar um projeto se segurança gigantesco, para uma empresa que não precisa de tanto, pois isso poderia deixar a empresa mais lenta e os custos mais caros sem necessidades. Segurança física e lógica integrada e com uma análise de risco bem elaborada garantem uma grande porcentagem de segurança para empresa.
  9. 9. REFERÊNCIAS < http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013. <http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_auditoria_e_analise_de _seguranca_aula_02.pdf> Acesso em: 2 de abril – 2013. <http://xa.yimg.com/kq/groups/22195076/1606473661/name/Seguranca-2.pdf> Acesso em: 2 de abril – 2013. <http://www.devmedia.com.br/convergencia-seguranca-fisica-e-logica/15760> Acesso em: 2 de abril – 2013. <http://www.trackerti.com/consult/view/name/analise-vulnerabilidades> Acesso em: 3 de abril – 2013. <http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=13203&sid=42> Acesso em: 4 de abril – 2013. < http://www.mindconsultoria.com.br/artigos.asp?cod=56> Acesso em: 5 de abril – 2013. <http://olhardigital.uol.com.br/negocios/digital_news/noticias/sete-tendencias-de-seguranca-paracontrole-de-acesso-a-edificios-em-2012> Acesso em: 5 de abril – 2013.
  10. 10. REFERÊNCIAS < http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013. <http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_auditoria_e_analise_de _seguranca_aula_02.pdf> Acesso em: 2 de abril – 2013. <http://xa.yimg.com/kq/groups/22195076/1606473661/name/Seguranca-2.pdf> Acesso em: 2 de abril – 2013. <http://www.devmedia.com.br/convergencia-seguranca-fisica-e-logica/15760> Acesso em: 2 de abril – 2013. <http://www.trackerti.com/consult/view/name/analise-vulnerabilidades> Acesso em: 3 de abril – 2013. <http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=13203&sid=42> Acesso em: 4 de abril – 2013. < http://www.mindconsultoria.com.br/artigos.asp?cod=56> Acesso em: 5 de abril – 2013. <http://olhardigital.uol.com.br/negocios/digital_news/noticias/sete-tendencias-de-seguranca-paracontrole-de-acesso-a-edificios-em-2012> Acesso em: 5 de abril – 2013.

×