Archive for category Segurança da Informação (SI)

Análise de Risco

Publicado por Aldo Silva em Segurança da Informação (SI) em 24/01/2012

Análise de Risco é uma medida que busca avaliar qual a real probabilidade de que ameaças se concretizem utilizando as vulnerabilidades existentes, além de identificar os possíveis impactos que possam ser causados. A análise de riscos tem como resultado uma lista de problemas que devem ser priorizados, uns dos principais objetivos é diagnosticar a situação da segurança da informação na organização e recomendar ações para cada vulnerabilidade mapeada.

metodologias de análise de riscoUma Análise de Risco bem realizada poderá garantir a confidencialidade, a disponibilidade e a integridade das informações nas empresas.

A tarefa da análise de riscos é identificar os processos comerciais da organização em que se deseja implementar ou analisar o nível de segurança da informação. Na definição do escopo do projeto de análise de riscos, delimita-se o universo dos ativos sobre os quais oferecerão suas recomendações, com base na relevância do processo para a empresa no intuito de alcançar os objetivos da organização. De acordo com (Sêmola , 2003), fazem parte de uma análise de risco:

  • Processos de Negócio: Identificar junto aos gestores e colaboradores os Processos de Negócio existentes na Empresa.
  • Ativos: Identificar os ativos que serão considerados na Análise de Risco: Pessoas,Infra-estrutura, Aplicações, Tecnologia e informações.
  • Vulnerabilidades: Identificar as vulnerabilidades existentes nos ativos que possam causar indisponibilidade dos serviços ou serem utilizadas para roubo das suas informações.
  • Ameaças: Identificar os agentes que podem vir a ameaçar a empresa.
  • Impacto: tendo identificado as vulnerabilidades e ameaças, identificamos o impacto que estes podem causar na Empresa. Como roubo de informação, paralisação de serviços, perdas financeiras entre outros.

Ao definir o escopo, é importante considerar que os processos podem ser uma atuação da organização frente ao mercado, uma funcionalidade interna e externa, uma atividade exercida, ou um produto elaborado, precisando de toda a organização para se tornar viáveis.

A seguir será abordada a análise técnica de segurança, que é realizada na análise de riscos.

1 – Análise técnica de segurança

A análise técnica de segurança representa um dos pontos-chave na análise de riscos da empresa. Como já mencionado anteriormente, as informações são, hoje em dia, um dos principais ativos nas empresas, e, deste modo essa análise indicará o nível de segurança com o qual se conta dentro da empresa atualmente.

Por meio desse check-up, que é um dos passos mais importantes da análise de riscos, são feitas coletas de informações sobre a forma em que os ativos foram configurados e como são administrados por seus responsáveis e também de como foram estruturados na rede de comunicação.

No processo de análise técnica de segurança busca-se identificar vulnerabilidades de segurança na utilização e manipulação dos ativos da empresa e neste processo são considerados diversos tipos de ativos.

A seguir são apresentados os ativos tecnológicos a serem analisados quando se deseja monitorar as vulnerabilidades presentes através de erros de configuração ou desconhecimento das possibilidades de ataque:

a) Estações de trabalho

Dependem da forma como estão configuradas para evitar que os usuários (com freqüência de forma inconsciente) permitam a ocorrência das ameaças. Entre os exemplos de vulnerabilidades comuns desse tipo de ativos estão:

  • Ausência de protetor de telas bloqueado por senha, permitindo que as máquinas deixadas sozinhas sejam utilizadas por pessoas não-autorizadas;
  • Ausência de configurações de segurança permitindo a instalação ou execução de arquivos maliciosos;
  • Periodicidade de atualização dos programas antivírus, presença ou ausência de documentos confidenciais;
  • Forma de utilização da estrutura de servidores de arquivos, que garantam de uma maneira mais eficiente o backup dos dados, ou seja, sua disponibilidade.

b) Conexões

As conexões de comunicação entre as redes devem estar seguras: fibra óptica, satélite, rádio, antenas, etc. Para isso, é importante realizar atividades de análise sobre a forma com que as conexões estão configuradas e dispostas na representação topológica da rede. Isso garante que a comunicação seja realizada em um meio seguro, criptografada, se for necessário, livre de possibilidades de rastreamento de pacotes ou mensagens, e também desvio de tráfego para outros destinos indesejados.

c) Aplicativos

Os aplicativos são os elementos que fazem a leitura das informações de um processo de negócio ou de uma organização. Dessa forma, constituem um elemento muito importante, pois fazem a interface entre diversos usuários e diversos tipos de informação no que se refere a confidencialidade, integridade e disponibilidade. Dessa forma, os aplicativos devem garantir um acesso restritivo, com base nos privilégios de cada usuário e às informações que eles manipulam. Além disso, devem garantir também que suas configurações estejam de acordo com os princípios de segurança estabelecidos (muitos dos quais são reconhecidos por organismos internacionais) com relação à disponibilidade das informações, à forma como o aplicativo às lê, guarda e transmite, até à maneira como o aplicativo foi desenvolvido, como suas fontes são atualizadas e armazenadas, entre outros.

Abraços

leia também : Catálogo de Fraudes

, , ,

Deixe um Comentário

Os números de 2011

Publicado por Aldo Silva em Segurança da Informação (SI) em 02/01/2012

Os duendes de estatísticas do WordPress.com prepararam um relatório para o ano de 2011 deste blog.

Aqui está um resumo:

O Madison Square Garden, em Nova Iorque, senta 20.000 pessoas por concerto. Este blog foi visitado cerca de 65.000 vezes em 2011. Se fosse um concerto, eram precisos 3 eventos esgotados para sentar essas pessoas todas.

Clique aqui para ver o relatório completo

Deixe um Comentário

Erros que o CHEFE comete…

Publicado por Aldo Silva em ITIL, Segurança da Informação (SI) em 29/12/2011

Texto Original Max Gehringer

1.Chefe não é Pajé – achar que só porque assumiu a responsabilidade sobre uma equipe, pode falar e fazer tudo com seus subordinados é ser pretensioso demais. Ser chefe é temporário e provisório.

2.Não ter responsabilidade – transferir o problema para os subordinados resolverem não é a saída. O time tem que jogar junto

3.Assume tudo – outro ponto é aquele chefe que assume a missão de resolver todos os problemas e não resolve nada.

4.Síndrome do tudo feito – dizer por aí que as coisas já estão feitas, resolvidas e os problemas eliminados quando não estão, joga a credibilidade para o fundo do poço.

5.Contratar “amigos” – trazer os conhecidos de empresas anteriores, as vezes com salários maiores que os da equipe, pode causar desmotivação dos que não conseguiram espaço para demonstrar suas habilidades.

6.Não cumprir o que prometeu – a equipe deixa de acreditar nas novas estratégias, com medo de apostar no duvidoso.

7.Não defender os subordinados – Chefe precisa ouvir as críticas, entender, filtrar e defender a equipe. Não pode simplesmente ser cúmplice das críticas externas.

8.Reconhecimento – chefe que não reconhece perde aliados.

9.Centralizador – chefe que centraliza, demonstra que não confia 100% na equipe, sem mencionar o fato que as coisas não andam como deveriam.

10.Foco no micro – focar em micro problemas deixam os maiores problemas sem solução.

fonte : http://blog.coaching-futuro.com.br/?p=19

Leia também : Liderança é isso ai

1 Comentário

Modelo Hierárquico de DataCenter

Publicado por Aldo Silva em Segurança da Informação (SI), Segurança de TI em 21/12/2011

Grandes DataCenters podem ser complicados, com múltiplos protocolos, muitos detalhes de configuração e diversas tecnologias utilizadas. O modelo quando construído de forma hierárquica pode ajudar a diminuir esta complexidade , colocando  estes detalhes em uma perspectiva de fácil compreensão, ajudando a projetar, implementar e manter um DataCenter escalonável, confiável e de custo mais baixo.

O modelo hierárquico utilizado em redes, composto de três camadas (núcleo, distribuição e acesso), tem o seu equivalente no DataCenter . As camadas no DataCenter são as de núcleo, agregação e acesso. No modelo hierárquico de DataCenter a camada de distribuição do modelo hérarquico de redes passa a ser a camada de agregação. Na camada de acesso estão os servidores que suportam as camadas de modelo de aplicação.

Camada de Núcleo

Representa o núcleo da rede que suporta o DataCenter e está localizada na parte mais alta do  modelo hierárquico, sendo responsável por transportar grandes quantidades de trafego de forma confiável e rápida. Nesta camada qualquer falha afeta todos os usuários da rede.

A camada de núcleo utiliza-se de protocolos de roteamentos como o OSPF (Open shortest path first) e o EIGRP (enhanced interior gateway routing protocol) e também faz o load balancing do trafego entre as camadas de núcleos e de agregação baseada em protocolo especifico.

 Camada de Agregação

A principal função da camada de agregação é fornecer serviços de roteamentos, filtros e acesso à rede WAN e determinar como os pacotes de rede acessam o núcleo, se necessário.É a camada responsável pela integração dos serviços, processamentos do protocolo spanning tree

A camada de agregação executa os principais serviços utilizando módulos de serviços integrados ou incorporando-os através dos slots disponíveis no switch (uma opção ou outra vai depender do modelo de switch utilizado )

  A camada de agregação deve determinar o caminho mais rápido para atender uma requisição de um determinado serviço da rede. Depois de descobrir o melhor caminho, a camada envia a requisição para camada de núcleo, que rapidamente transporte a requisição para o serviço correto.

Camada de Acesso

Chamada assim por ser a camada que controla o acesso aos recursos do DataCenter (servidores e dispositivos de armazenamento ) para usuários e grupos de trabalho envolvidos com as aplicações. A camada de acesso encontra-se localizada na camada mais baixa do modelo hierárquico.

fonte : Livro DataCenter de Manoel Veras.

, ,

Deixe um Comentário

Classificação dos DataCenters

Publicado por Aldo Silva em ITIL, Segurança da Informação (SI) em 15/12/2011

Segundo a norma TIE942 define a classificação do Data center em quatro níveis independentes chamados de tiers (camadas), considerando Arquitetura, Telecomunicações, Aspectos Elétricos e Mecânicos.

Abaixo a topologia segundo a norma TIE942

  • Tier 1 – Básico: Nesse modelo não existe redundâncias as rotas físicas e lógicas. Prevê uma distribuição de energia elétrica para atender a carga elétrica sem redundância. A falha elétrica pode causar interrupção parcial ou total das operações.

  • Tier 2 – Componentes Redundantes: Os equipamentos de telecomunicações do DataCenter e também os equipamentos de telecomunicações da operadora, assim como os dispositivos da LAN_SAN, devem ter módulos redundantes. O cabeamento do backbone principal LAN e SAN das áreas de distribuição horizontal para os switches do backbone deve ter cabo de cobre ou fibras redundantes. No Tier 2 deve-se ter duas caixas de acesso de telecomunicações e dois caminhos de entrada até o ER. Deve-se prover módulos NO-BREAK redundantes para N+1. É necessário um sistema de gerador elétrico para suprir toda a carga. Não é necessária redundância na entrada só serviço de distribuição de energia. Os sistemas de ar condicionado devem ser projetados para operação contínua 24×7 e incorporam redundância N+1.

  • Tier 3 – Sistema Auto Sustentado: deve ser atendido por, no minimo, duas operadoras de telecomunicações com cabos distintos. Deve-se ter duas salas de entrada (ER) com, no minimo , 20 metros de separação. Estas salas não podem compartilhar equipamentos de telecomunicações e devem estar em zonas de proteção contra incêndios, sistemas de energia e ar condicionado destintos. Deve-se prover caminhos redundantes entre as salas de entrada (ER), as salas MDA e as salas HDA. Nestas conexões deve-se ter fibras ou pares de fios redundantes . Deve-se ter uma solução de redundância para os elementos ativos considerados críticos como storage. Deve-se prover , pelo menos, uma redundância elétrica N+1

  • Tier 4 – Sem Tolerância a Falhas: Todo o cabeamento deve ser redundante, além de protegido por caminhos fechados. Os dispositivos ativos dever ser redundantes e devem ter alimentação de energia redundante. O sistema deve prover comutação automática para os dispositivos de backup. Recomenda-se uma MDA secundária , deve que em zonas de proteção contra incêndio, devendo ser separadas e alimentadas por caminhos deparado. Não é necessário em caminho duplo até o EDA. Deve-se prover disponibilidade elétrica 2(N+1). O prédio deve ter, pelo menos,duas alimentações de energia de empresas publicas, a partir de diferentes subestações . O sistema de HVAC deve incluir múltiplas unidades de ar condicionado com a capacidade de resfriamento combinada para manter a temperatura e umidade relativa de áreas criticas nas condições projetadas.

fonte : Livro DataCenter de Manoel Veras.

leia também : TCO do DataCenter

, , , ,

Deixe um Comentário

Seguir

Get every new post delivered to your Inbox.

Join 209 other followers