Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Conceitos BáSicos Sobre SegurançA Parte 4

376 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Conceitos BáSicos Sobre SegurançA Parte 4

  1. 1. http://olinux.uol.com.br/artigos/320/print_preview.html Conceitos Básicos sobre Segurança - Parte IV Por: Elias Barenboim ( 17/05/2001 ) Conceitos Básicos O intuito desse artigo é prover as informações relativas a segurança voltadas ao administrador e não ao usuário final. Em futuros artigos enfocaremos este ponto, mas nada impede a leitura deste por qualquer pessoa. Um dos mais comuns guias básicos, para se começar a fazer a segurança de uma rede, são os seguintes passos : Identificar o que você esta tentando proteger Identificar contra quem está se protegendo Como as ameaças se caracterizam Implementar medidas no qual protejam seus recursos através de um custo/benefício satisfatório Fazer uma revisão do processo continuamente e correções cada vez que uma vulnerabilidade for detectada Tudo costuma girar em torno de implementar medidas no qual protejam seus recursos através de um bom custo/benefício, mas os outros procedimentos não devem ser esquecidos de forma alguma. É importante salientar que é indispensável que você responda essas perguntas. Fica muito complicado determinar políticas e técnicas de segurança que reduzam os riscos sem essas informações(preferencialmente isso deve ser feito antes de qualquer implementação bruta). Existe uma idéia em relação a segurança que diz que: "O custo de proteger você, contra a ameaça, deve ser menor que o custo de recuperar caso algo realmente se concretize contra você". Custo nesse caso quer dizer dinheiro gasto com isso, reputação, confiança de terceiros, além de outros menos visíveis. Ressaltando, sem o conhecimentos dos passos posteriores fica difícil seguir alguma regra pré-determinada e obter sucesso. Avaliação de Risco Uma das mais importantes razões para criar uma política de segurança e análise de rendimento, é assegurar que os esforços gastos com a segurança trará benefícios efetivos a organização. Embora isso possa parecer óbvio, às vezes pode se tornar obscuro, onde o esforço é gasto em questões secundárias. A análise de risco determina o que você precisa proteger, de quem e como. É o processo de análise de todos os riscos e classificação por grau de importância. Esse processo envolve uma análise de custo/benefício em relação ao que você precisa proteger. Duas coisas se tornam claramente necessárias de se fazer nesta tarefa de esboço de criação de uma política de segurança : Identificar os recursos Identificar as ameaças Cada recursos deve ser visto, com os objetivos básicos de segurança. Eles são : disponibilidade, confidenciabilidade e integridade ( caso não tenha entendido, releia artigos anteriores ). Identificando os recursos Como dito anteriormente, é fundamental identificar todos os recursos que devem ser protegidos. Alguns são bastante naturais e outros nem tanto. Inicialmente devemos fazer uma lista com todos que achamos relevantes, tanto os concretos(que se pode tocar) como as abstratos(não se pode pegar) . É importante, posteriormente a esta fase, identificar o grau de importância do "bem". Isso é feito 1 de 2 06-12-2009 12:46
  2. 2. http://olinux.uol.com.br/artigos/320/print_preview.html identificando qual será o custo caso aconteça uma perda ou danificação, seja o gasto em rendimento de produtividade, tempo, e custo para reparar ou substituir. Hardware: processador, placa mãe, teclado, terminal, impressora, disco, etc Software: programa fonte, códigoobjeto, utilitário, diagnóstico, etc Dados: durante a execução, gravação online, programas, sistemas operacionais e programas de comunicação Pessoal: usuários, administradores e mantenedores do hardware. Documentação: dos programas, hardware, sistemas e tarefas de administração. Suprimentos: papéis, formulários, fitas e tinta Identificando as ameaças É também muito interessante poder identificar, para escolhido um determinado recurso, quais ameaças são possíveis(e quais você quer se proteger). As ameaças então podem ser examinadas e mediante a isso, determinar qual a probabilidade de perda realmente existe no sistema. As seguintes ameaças são as clássicas, já comentadas em artigos anteriores(dependendo de sua rede, essas ameaças podem ser diminuidas, trocadas ou acrescentadas). Acesso não autorizados a recursos e/ou informações Divulgação de informações não autorizadas Negação de Serviços(Denial of service) Bibliografia Vale salientar que essa bibliografia serve para um estudo mais aprofundado do que foi falado por aqui. CERT RFC (2196) Practical Unix & Internet Security Continuem mandando emails e utilizem nossos fóruns ! Até a próxima, Elias Bareinboim Copyright (C) 1999-2000 Linux Solutions 2 de 2 06-12-2009 12:46

×