Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
SEGURANÇA FÍSICA E LÓGICA E ANÁLISE DE VULNERABILIDADE

Rio de Janeiro
Abril – 2013
SEGURANÇA FÍSICA
A segurança física surgiu para proteger informações e equipamentos para que só as pessoas
certas tenham acesso a esse recu...
autônomos que com seu algoritmo consegue identificar uma invasão de área restrita. Cada vez mais se
vê o uso de vigilância...
A segurança lógica evoluiu muito. Antes sistemas básicos de senhas eram usados para proteger
arquivos nos computadores. No...
duas redes internas. Tem ligação entre uma estação na internet e serviços localizados dentro da rede
interna (intranet).
V...
A análise de vulnerabilidade tem por objetivo identificar fragilidades de segurança no ambiente
tecnológico das empresas, ...
É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão
instalados os componentes de tecnolo...
CONCLUSÃO
A segurança física e lógica é essencial à maioria das empresas. Com elas consegue-se manter a
integridade das in...
REFERÊNCIAS
< http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013.
<http://www.projetodered...
REFERÊNCIAS
< http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013.
<http://www.projetodered...
Upcoming SlideShare
Loading in …5
×

Segurança física e lógica e análise de vunerabilidade (abnt)

860 views

Published on

A segurança física surgiu para proteger informações e equipamentos para que só as pessoas certas tenham acesso a esse recurso.

Published in: Technology
  • Be the first to comment

Segurança física e lógica e análise de vunerabilidade (abnt)

  1. 1. SEGURANÇA FÍSICA E LÓGICA E ANÁLISE DE VULNERABILIDADE Rio de Janeiro Abril – 2013 SEGURANÇA FÍSICA
  2. 2. A segurança física surgiu para proteger informações e equipamentos para que só as pessoas certas tenham acesso a esse recurso. Antes documentos eram protegidos por cadeados, cofres, gavetas e salas trancadas. Com a evolução da tecnologia, novos meios de proteção foram surgindo de forma a melhorar a segurança das empresas. Sala-cofre, câmeras de segurança, detectores de movimento e calor, leitor biométrico são algumas das tecnologias usadas para a proteção física de um ambiente. Segurança física é voltada para proteção de equipamentos contra usuários não autorizados. Dessa forma previne o acesso a esses recursos. É baseada em perímetros predefinidos nas imediações dos recursos. Esse tipo de segurança pode ser explícito como um cofre ou sala-cofre, ou implícita, como áreas de acesso restrito. A segurança física pode ser abordada como segurança de acesso ou segurança ambiental. Segurança de acesso trata das medidas de proteção contra o acesso físico não autorizado, utilizando recursos como sala-cofre, câmeras 24x7 entre outros. Segurança ambiental trata de medidas para prevenir danos causados pela natureza, utilizando recursos como equipamentos resistentes à água por exemplo. O controle de acesso físico é muito importante. Deve ter uma forma de instituir formas de identificação que distinguem funcionários de visitantes e categorias diferenciadas de funcionários, caso necessite. Deve-se ter cuidados com bens das empresas (crachás, chaves, cartões de acesso etc.) para que funcionários os devolvam caso sejam retirados de suas funções. Registrar datas de eventos como entrada e saída de materiais, equipamentos, pessoal etc. Registrar e restringir acesso de visitantes em determinadas áreas, se necessário, acompanhando-os aos locais de visita e destino. A supervisão de equipes terceirizadas (limpeza, manutenção etc.) também é fundamental, assim como ter cuidado para não instalar em área de acesso público equipamentos que podem dar acesso a rede interna da corporação. Orientar os funcionários para que não deixem informações sobre a empresa à amostra, como senhas, computadores desbloqueados sem a devida supervisão. Utilizar mecanismos de controle de acesso físico (câmeras de vídeo, fechaduras eletrônicas, alarmes etc.) é um bom controle de acesso físico, como também proteger por onde passam as informações (telefones internos e externos, cabos de internet, modem etc.), proteger fisicamente as unidades de backup, restringir o acesso a computadores e impressoras que possam conter dados confidenciais. Ter uma boa política de segurança física adequada para empresa também é essencial. Ela estará ligada diretamente a importância de seus ativos. Deve-se sempre observar a relação dos modelos de segurança do que apenas o uso de tecnologia. É de fundamental importância analisar o perfil da empresa para definir a política de controle de acesso físico que se encaixe nas necessidades dos usuários. Quanto maior o investimento em prevenção menor será o prejuízo em caso de sinistro. Isso não se refere apenas ao uso de tecnologia avançada, mas à forma de como a empresa lida com a conscientização de seus funcionários. Alguns itens de avaliação de riscos são: incêndios, danos pela água, eletricidade, climatização, treinamento de pessoal e controle de acesso. Com o avanço constante da tecnologia novas formas de proteção vão surgindo. Novos tipos de travas, sensores mais precisos e câmeras de alta qualidade. Já existem equipamentos de vigilância
  3. 3. autônomos que com seu algoritmo consegue identificar uma invasão de área restrita. Cada vez mais se vê o uso de vigilância à distância por parte de donos de algum tipo de comércio. Essa forma de proteção vareia de acordo com a necessidade das empresas, mas se torna uma alternativa a mais para garantir a integridade das informações protegidas. Os smartphones e tablets com câmeras e aplicativos podem ajudar na vigilância e na segurança das empresas. A chegada do Google Glass (óculos interativo) pode transformar a forma como é feito a vigilância das empresas. A segurança física tem como ponto positivo as várias opções para garantir a integridade das informações com tecnologias variadas e cada vez mais acessíveis. Pode-se uma vigilância quase autônoma de áreas que precisam de proteção e vigilância 24 horas por dia, 7 dias por semana. O ponto negativo é que muitos funcionários ainda despreparados fazem com que a integridade da segurança seja, de certa forma, abalada, pois muitos esquecem de seguir os treinamentos dados pelas empresas e têm empresas que passam o treinamento inadequado ou não passam o treinamento para o funcionário. SEGURANÇA LÓGICA
  4. 4. A segurança lógica evoluiu muito. Antes sistemas básicos de senhas eram usados para proteger arquivos nos computadores. Nos tempos atuais existem vários tipos e várias formas de criptografar senhas, arquivos etc. “Um sujeito ativo deseja acessar um objeto passivo”. Isso é uma parte da funcionalidade da segurança lógica onde o sujeito é um usuário ou processo da rede e o objeto pode ser um arquivo ou outro recurso de rede (impressora, estação de trabalho etc). A segurança lógica compreende um conjunto de medidas e procedimentos adotados pelas empresas com o objetivo de proteger dados, programas e sistemas contra tentativas de acessos não autorizados, feitas por usuários ou outros programas. Alguns dos recursos a serem protegidos são: aplicativos (programas fonte e objetos), arquivos de dados, utilitários e sistema operacional; arquivos de senha e arquivos de log. O controle de acesso lógico pode ser visualizado a partir de recurso computacional que se pretende proteger ou a partir do usuário a quem se pretende dar privilégios e acesso aos recursos. A proteção dos recursos computacionais baseia-se na necessidade de acesso de cada usuário. É usada uma identificação e uma senha durante o processo para que o usuário seja autenticado e identificado, e possa acessar os recursos a ele permitidos. Existem alguns elementos básicos de controle do acesso lógico que são: • • • • Apenas usuários autorizados devem ter acesso aos recursos computacionais; Os usuários devem ter acesso apenas aos recursos realmente necessários para a execução de suas tarefas; O acesso a recursos críticos do sistema monitorado e restrito; Os usuários não podem realizar transações incompatíveis com sua função. Um bom firewall também é essencial para a proteção lógica, evitando invasão a rede interna do sistema. O firewall deve ser acompanhado de uma boa estratégia lógica para melhor proteger o sistema. Um exemplo seria de usar uma porta única de entrada e saída da rede interna com a supervisão do firewall. Detectores de intrusos também ajudam a evitar invasão. Os chamados IDS (Intrusion Detection Sytems) são responsáveis por analisar o comportamento de uma rede ou sistema em busca de tentativas de invasão. Existe o HIDS (Host IDS) que monitora um host específico, e o NIDS (Network IDS) que monitora um segmento de host específico. Um IDS utiliza dois métodos específicos:  Detecção por assinatura: Semelhante a assinaturas de antivírus. Associam um ataque a um determinado conjunto de pacotes ou chamadas de sistema. Não só detecta o ataque como também o identifica. Exige atualização frequente do fabricante.  Detecção por comportamento: Observa o comportamento da rede em um período normal, e o compara com o comportamento atual da rede. Utiliza métodos estatísticos e inteligência artificial. Detecta um ataque desconhecido, mas não sabe informar qual ataque está em andamento. Existem também as Redes Virtuais Privadas. A VPN (Virtual Private Network) é uma forma barata de interligar duas redes privadas (intranet) através da internet. Tem a ligação entre dois firewalls ou entre dois servidores de VPN para interligar
  5. 5. duas redes internas. Tem ligação entre uma estação na internet e serviços localizados dentro da rede interna (intranet). VPN integra criptografia em cada pacote trafegado. A criptografia deve ser rápida o suficiente para não comprometer o desempenho entre as redes e segura o suficiente para impedir ataques. As vantagens da VPN são substituição de linhas dedicadas a custo baixo e uso de infraestrutura já existente. As desvantagens são os dados sensíveis trafegando em rede pública e os dados ficam sensíveis aos congestionamentos e interrupções que ocorrem na internet. Muitas empresas estão apostando na computação em nuvem e isso tende a aumentar. As empresas que distribuem o serviço terão que aumentar a segurança e qualidade do produto em parceria com as empresas de internet e a empresa contratante. A segurança digital está em evolução constante e novas formas de criptografia e sistemas inteligentes de defesa surgem para melhorar a segurança das empresas. Em tempos de smartphone e tablets, empresas podem adaptar esses aparelhos para ajudar na segurança e autenticação dos funcionários, utilizando-os com a tecnologia NFC (Near Field Comunicaton) – que permite autenticação apenas aproximando um aparelho celular do dispositivo, por exemplo – podendo dispensar o crachá ou cartão, ou dando uma alternativa a mais ao funcionário. Em tempos de mobilidade e computação em nuvem o comportamento das empresas, em especial as de pequeno e médio porte, está mudando e se adaptando junto essa nova leva de tecnologia digital. Segurança lógica tem como ponto positivo preservar informações essenciais para as empresas e evitando que pessoas não autorizadas tenham acesso aos mesmos. Claro que nem todo sistema é 100% seguro, mas esses softwares aumentam a segurança dos sistemas e integridade das informações. Um sistema protegido por um firewall ou antivírus terá seu desempenho um pouco menor que um não protegido, pois a filtragem feita pela proteção exigirá mais tempo para varrer o sistema atrás de invasão. Essa é uma desvantagem necessária no sistema, mas se for planejada de maneira errada pode prejudicar e muito o desempenho do sistema. ANÁLISE DE VULNERABILIDADE
  6. 6. A análise de vulnerabilidade tem por objetivo identificar fragilidades de segurança no ambiente tecnológico das empresas, visando a implementação de controles que irão proteger suas informações e seus respectivos negócios. É uma ferramenta analítica para o planejamento estratégico que identifica ameaças sutis ou esquecidas, que podem afetar ou mesmo destruir o negócio. A análise de vulnerabilidade é um processo simples e barato. É um diagnóstico feito normalmente em grupo dentro da empresa sem uso de conceitos complexos, modelos elaborados ou grande quantidade de dados, mas a experiência e a capacidade de julgamento dos participantes, do grupo, de origem de todos os setores da empresa. Isso faz com que aumente a comunicação interdepartamental, pois todos que participam mostram divergências implícitas e explicitas nas suas hipóteses de planejamento. O processo fornece um método pelo qual a administração da empresa pode sistematicamente identificar certas ameaças não notadas anteriormente, independente do tipo de negócio envolvido ou do local em que se situa. Então a empresa tem tempo para controlar situações ameaçadoras, revisar as opções de que dispõe e prepara um plano de contingência, se necessário. Os objetivos da alta administração são definidos na análise vulnerabilidade porque lidam com assuntos que podem afetar negativamente a empresa futuramente. A análise de vulnerabilidade aumenta a eficiência do controle ambiental porque focaliza a atenção da empresa no que é mais importante para ela. Existem empresas que não sabem usar a análise de vulnerabilidade corretamente, controlando tudo que se passa no ambiente, fazendo com que a empresa passe por riscos desnecessários. Deve usar esse método para aumentar a eficiência do controle ambiental, focalizando a atenção de empresa no que é mais importante para ela. Empresas ainda deixam passar uma série de condições ou forças ameaçadoras em potencial. Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informação das empresas. A análise de vulnerabilidade sobre ativos da informação compreende Tecnologias, Processos, Pessoas e Ambientes:  Tecnologias: Software e hardware usados em servidores, estações de trabalho e outros equipamentos pertinentes, como sistemas de telefonia, rádio e gravadores; Ex.: estações sem antivírus, servidores sem detecção de intrusão, sistemas sem identificação ou autenticação;  Processos: Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a informação é compartilha entre os setores da organização; Ex.: Em um processo de compra, se a lista de compra for passada de modo errôneo, esta pode ser apagada ou esquecida, ou interpretada errado. Causando a indisponibilidade do processo ou a falta de integridade dos resultados do processo.  Pessoas: As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas. Pessoas podem possuir importantes vulnerabilidades. Ex.: Desconhecer a importância da segurança, desconhecer suas obrigações e responsabilidades, deixando processos com “dois pais” e outros “órfãos”.  Ambientes:
  7. 7. É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas. Ex.: Acesso não autorizado a servidores, arquivo e fichários.  • • • • Benefícios Maior conhecimento do ambiente de TI e seus problemas; Possibilidade de tratamento das vulnerabilidades, com base nas informações geradas; Maior confiabilidade do ambiente após a análise; Informações para o desenvolvimento da Análise de Risco;  Produtos Finais Reunião de conclusão da Análise de Vulnerabilidades; Relatório de Análise de Vulnerabilidades; Resumo Estratégico do Relatório de Vulnerabilidades; Plano de Ação para curto e médio prazo; Reunião de follow-up (acompanhamento). • • • • • A análise de vulnerabilidade evita que a maioria dos fatos negativos aconteça. Essa prevenção é essencial para que problemas sejam solucionados. Muitas empresas ainda deixam passar uma série de condições ou forças ameaçadoras em potencial isso pode prejudicar possíveis análises de vulnerabilidade.
  8. 8. CONCLUSÃO A segurança física e lógica é essencial à maioria das empresas. Com elas consegue-se manter a integridade das informações, mantendo a segurança das empresas. É preciso começar com uma boa segurança física. “Não adianta investir dinheiro em esquemas sofisticados e complexos se não instalarmos uma simples porta para proteger fisicamente os servidores da rede.” O ambiente seguro é fundamental para se pensar melhor no ambiente lógico. Os dois combinados podem tornar as informações das empresas mais integras e seguras. Os dois tipos de segurança já estão praticamente fundido nos dias atuais. São catracas com leitor biométrico, salas-cofre com identificação fácil entre muitas outras formas de proteção físicas e digitais dependentes. “Alguém não autorizado passa por uma catraca que ativa o alarme. Isso faz parte da segurança física ou lógica?” Com esses tipos de questionamentos vemos que está cada vez mais difícil separa os dois tipos de segurança e tem que se pensar cada vez mais em como utilizá-las paralelamente para deixar as empresas mais seguras, sem chances para falhas e roubo de dados. Com a ajuda da análise de vulnerabilidade isso pode ficar mais fácil, pois estudando e prevenindo possíveis erros no futuro tem como melhorar o desempenho da segurança de maneira que erros não atrapalhem o “conjunto da obra”. Não existe sistema de segurança 100% seguro, mas seguindo um padrão de acordo com que a empresa necessita para garantir a segurança de suas informações é possível diminuir e muito os riscos de invasão e de vazamento de informações. Deve ter cuidado para não elaborar um projeto se segurança gigantesco, para uma empresa que não precisa de tanto, pois isso poderia deixar a empresa mais lenta e os custos mais caros sem necessidades. Segurança física e lógica integrada e com uma análise de risco bem elaborada garantem uma grande porcentagem de segurança para empresa.
  9. 9. REFERÊNCIAS < http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013. <http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_auditoria_e_analise_de _seguranca_aula_02.pdf> Acesso em: 2 de abril – 2013. <http://xa.yimg.com/kq/groups/22195076/1606473661/name/Seguranca-2.pdf> Acesso em: 2 de abril – 2013. <http://www.devmedia.com.br/convergencia-seguranca-fisica-e-logica/15760> Acesso em: 2 de abril – 2013. <http://www.trackerti.com/consult/view/name/analise-vulnerabilidades> Acesso em: 3 de abril – 2013. <http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=13203&sid=42> Acesso em: 4 de abril – 2013. < http://www.mindconsultoria.com.br/artigos.asp?cod=56> Acesso em: 5 de abril – 2013. <http://olhardigital.uol.com.br/negocios/digital_news/noticias/sete-tendencias-de-seguranca-paracontrole-de-acesso-a-edificios-em-2012> Acesso em: 5 de abril – 2013.
  10. 10. REFERÊNCIAS < http://pt.wikipedia.org/wiki/Segurança_da_informação> Acesso em: 1 de abril – 2013. <http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_auditoria_e_analise_de _seguranca_aula_02.pdf> Acesso em: 2 de abril – 2013. <http://xa.yimg.com/kq/groups/22195076/1606473661/name/Seguranca-2.pdf> Acesso em: 2 de abril – 2013. <http://www.devmedia.com.br/convergencia-seguranca-fisica-e-logica/15760> Acesso em: 2 de abril – 2013. <http://www.trackerti.com/consult/view/name/analise-vulnerabilidades> Acesso em: 3 de abril – 2013. <http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=13203&sid=42> Acesso em: 4 de abril – 2013. < http://www.mindconsultoria.com.br/artigos.asp?cod=56> Acesso em: 5 de abril – 2013. <http://olhardigital.uol.com.br/negocios/digital_news/noticias/sete-tendencias-de-seguranca-paracontrole-de-acesso-a-edificios-em-2012> Acesso em: 5 de abril – 2013.

×