Segurança em Redes

1. Segurança em Redes Política de Segurança Eng.º Miguel Frade ESTG - Leiria CRSC 2001

2. Introdução • Objectivos • Necessidade de um plano de segurança • Definir a política de segurança • Destinatários • Administradores de redes informáticas • Gestores (decision makers) • Utilizadores CRSC 2001

3. Plano de Segurança • Identificar o que se quer proteger • Determinar do que é que (ou quem) se está a proteger • Determinar o risco - quão provável é a ameaça CRSC 2001

4. Plano de Segurança • Implementar medidas de protecção tendo em conta a relação custo-eficácia • Rever e aperfeiçoar o processo quando existem pontos fracos CRSC 2001

5. Plano de Segurança “O custo da protecção deve ser menor do que o custo do restabelecimento se uma ameaça se concretizar” CRSC 2001

6. Avaliação do Risco • Determinar o que se deve proteger • Hardware • Software • Dados • Documentos CRSC 2001

7. Avaliação do Risco • Determinar as ameaças • Acesso não autorizado a recursos e informação • Divulgação não autorizada ou não intencional de informação • Negação de serviço (denial of service) CRSC 2001

8. Política de Segurança • Compromissos • Serviços oferecidos – segurança proporcionada • Facilidade de utilização – segurança • Custo da segurança – risco de perdas CRSC 2001

9. Política de Segurança • O que é? • É uma declaração formal das regras pelas quais as pessoas a quem é dado acesso ao activo tecnológico e informação duma organização devem obedecer CRSC 2001

10. Política de Segurança • Porque deve existir? • Para informar as pessoas acerca dos requisitos obrigatórios para proteger o activo tecnológico e informação da organização. CRSC 2001

11. Política de Segurança • Porque deve existir? (continuação) • Para especificar os mecanismos pelos quais se podem atingir os requisitos de segurança CRSC 2001

12. Política de Segurança • Porque deve existir? (continuação) • Para estabelecer uma base a partir da qual se pode configurar, auditar e adquirir sistemas informáticos para atingir os requisitos de segurança CRSC 2001

13. Política de Segurança • Quem deve ser envolvido na definição da Política de Segurança? • Administrador(es) da rede • Responsáveis pela gestão da organização • Representantes dos utilizadores afectados pela Política de Segurança • Conselheiro legal (se apropriado) CRSC 2001

14. Política de Segurança • Características • Deve definir claramente as responsabilidades dos utilizadores, administradores e gestores • Deve ser executável com ferramentas de segurança e prever sanções onde a prevenção não é tecnicamente viável CRSC 2001

15. Política de Segurança • Características (continuação) • Deve ser implementável através dos procedimentos de administração dos sistemas CRSC 2001

16. Política de Segurança • Componentes • Guia de aquisição de material informático • Política de privacidade • Política de acesso aos recursos • Política de responsabilidade • Política de autenticação CRSC 2001

17. Política de Segurança • Componentes (continuação) • Disponibilidade dos recursos • Política de manutenção • Procedimentos em caso de transgressão • Informação de apoio CRSC 2001

18. Política de Segurança • Flexibilidade • Independência do hardware • Independência do software • Mecanismos de actualização da Política de Segurança • Contemplar excepções • Partilha de informação CRSC 2001

19. Informação adicional • RFC 2196, “Site security handbook” • http://www.first.org • http://www.telstra.com.au/info/security.html • http://www.alw.nih.gov/Security/security.html • http://csrc.ncsl.nist.gov CRSC 2001