Faculdade dos Guararapes

Aluno: Leonardo lima Prof. Marcos Disciplina: segurana em redes

Gesto das operaes e comunicao E O processo de gerenciamento das operaes e comunicao consiste, em tratar a informao, como um ativo organizacional que necessita ser protegido ; No apenas no mbito tcnico como: segurana de redes e controle de acesso, mas cria um modelo de negcio que engloba todas as partes envolvidas no processo de desenvolvimento da empresa ou do projeto em questo. O carro-chefe do tema abordado a integridade, confidencialidade e disponibilidade das informaes produzidas; manter esse ativo livre de ameaas e ataques primordial para uma organizao que almeja solidificar sua empresa no mercado competitivo que enfrentamos atualmente. Para gerenciar eu preciso de pessoas e do objeto a gerenciar e para que consigamos o objetivo maior que obter resultados positivos necessrio, intercomunicao entre as partes isto disponibilizar as informaes aos operadores e gestores para que possam desenvolver o projeto, Uma comunicao eficaz cria uma ponte entre as diversas partes interessadas envolvidas no projeto. (Guia pmbok, 4edio,cap.10, pg.204). Gerir as operaes e comunicaes a nica de forma de padronizar estes servios que so complexos e relevantes para as organizaes. Manter o fluxo da comunicao a

nica sada para obter xito em qualquer coisa que fazemos nesta vida . vivemos no mundo da conexo onde, tudo e todos esto conectados .

Procedimentos e responsabilidades e controle de documentao conveniente, em primeiro lugar, definir todos os procedimentos e Responsabilidades pela gesto e operao dos recursos de processamento de Informaes atravs do desenvolvimento da documentao dos procedimentos Operacionais que devem ser sempre mantidos atualizados. Procedimentos de backups Os procedimentos de cpias de segurana ou backups e recuperao ou restore de dados devem estar descritos na Poltica de Segurana de tal forma que seja capaz de prover orientaes de realizao e recuperao das informaes. Registros das cpias realizadas como por exemplo hora de incio e trmino, o contedo e o tipo de cpia realizado, devem ser documentados. De acordo com a aplicao, sua importncia para o negcio e os meios de armazenamento disponveis, pode-se utilizar como mtodos de cpia os backups do tipo normal, incremental ou diferencial. O armazenamento das cpias pode ser realizado em fitas ou discos e pode ser local ou remoto (atravs da rede), alm disso, pode-se tambm utilizar em conjunto um servidor de backups para armazenamento dos mesmos. Controle e preveno de vrus Para o controle e a preveno contra cdigos maliciosos devem ser estabelecidas polticas formais que considerem diretrizes como: a proibio do uso de softwares no-autorizados e quando necessrio a aquisio e instalao de novos softwares deve ser solicitada equipe de TI (Tecnologia da Informao), que deve ser responsvel pela obteno da licena de uso e homologao do software. A preveno, deteco e remoo de cdigos maliciosos (como por exemplo,vrus, cavalos de Tria, worms, spyware, adware e rootkits ) podem ser feitas atravs da utilizao de programas antivrus que devem ter suas bases de

definies de vrus atualizadas constantemente e independente da ao do usurio,preferencialmente. O exame dos sistemas deve ser executado periodicamente e estas verificaes devem incluir: a verificao, antes do uso, da existncia de algum cdigo malicioso em mdias removveis, em pginas web e em arquivos recebidos . Procedimentos para uso da internet O uso da internet deve ser descrito formalmente visando a proteo da propriedade intelectual, a privacidade das informaes e qualquer tipo de discriminao. Esse documento deve ser de conhecimento de todos os usurios e deve esclarecer quais so os principais processos que podem vir a causar danos quando utilizados de forma inadequada. Por esse motivo, a monitorao do uso da internet muito importante para registrar os acessos e verificar se o uso do servio est sendo realizado adequadamente. Segurana do servio de correio eletrnico Tratando-se de segurana da informao, outro item que oferece diversos riscos para a empresa o servio de correio eletrnico. Por ser muito utilizado para troca de informaes rpida e garantia de documentao. Inmeras maneiras de fraudar as mensagens do correio eletrnico tm surgido; sem desconsiderar a sua utilizao por funcionrios mal intencionados. Por esse motivo, a segurana do correio eletrnico deve ser tratada com muita cautela buscando a avaliao de normas legais para evitar a invaso de privacidade e ao mesmo tempo proteger as mensagens eletrnicas. conveniente que as consideraes de segurana a seguir sejam integrantes da Poltica de Segurana: proteo das mensagens contra acesso no autorizado, modificao ou negao de servio; assegurar que o endereamento e o transporte da mensagem estejam corretos; confiabilidade e disponibilidade geral do servio; aspectos legais, como por exemplo, requisitos de assinaturas eletrnicas. Segurana de mdias de armazenamento A preocupao com a segurana e o tratamento de mdias outro fator importantssimo para assegurar que as informaes contidas em discos ou outros meios de armazenamento sejam descartadas de forma segura e protegida quando estas no forem mais necessrias; prevenindo contra a divulgao no autorizada ou modificao das mesmas . A remoo ou transporte de qualquer mdia de armazenamento, seja ela removvel ou no, deve ser previamente autorizada e registrada. Recomenda-se verificar o nvel de confiabilidade do meio de transporte ou servio de entregas utilizado, alm de se definir uma lista de portadores que estejam autorizados a transportar as mdias e por fim sugere-se embalar a mdia em recipientes lacrados e entreg-la em mos. Controle de redes

Controles devem ser implementados de forma a possibilitar a gerncia das redes garantindo a proteo de acesso no autorizado dos servios e aplicaes a elas conectadas. Responsabilidades e procedimentos devem ser definidos para o gerenciamento de equipamentos remotos e controles especiais devem ser estabelecidos para garantir a confidencialidade, integridade e disponibilidade dos dados que trafegam sobre as redes pblicas ou sobre as redes sem fio ( wireless) Controle de acessos Este tpico tem como escopo o controle de acesso a sistemas, a utilizao de senhas, acesso remoto, entre outros. O acesso informao e aos recursos da rede precisa ser controlado com base na segurana da informao e nos requisitos do negcio. Para garantir o acesso somente de usurios autorizados e prevenir o acesso no autorizado aos recursos de TI recomenda-se as boas prticas descritas no decorrer desta seo. Controle de acesso de usurios Para cada usurio deve ser implementado procedimentos formais que controlem a distribuio de direitos de acesso aos sistemas de informao e servios, como por exemplo: existncia de um procedimento formal de criao e registro de usurio de forma a garantir e revogar acessos;para cada usurio, utilizar um identificador nico, assegurando a responsabilidade de cada usurio por suas aes; conceder aos usurios um documento por escrito informando-o dos seus direitos de acesso e requerer dos usurios um registro declarando o recebimento e entendimento do documento; bloquear ou remover configuraes de acesso dos usurios que no fazem mais parte da Organizao ou que tiveram seus cargos ou funes alteradas; deve ser concedido a cada usurio somente os privilgios de acesso necessrios para a execuo de suas atividades; a concesso dos direitos de acesso deve ser devidamente autorizada e registrada; incentivar o uso e/ou desenvolvimento de programas que funcionem sem a necessidade de contas com permisses privilegiadas. Utilizao de senhas O estabelecimento de diretrizes que auxiliem os usurios a criarem e utilizarem senhas seguras uma boa prtica recomendada e a seguir so descritas recomendaes importantes para a criao de senhas. Tamanho mnimo e Complexidade da senha: esse item tem como principal objetivo evitar ataques de fora bruta e de dicionrio. As senhas devem ser compostas por um nmero mnimo de 6 caracteres e ser formada por caracteres alfanumricos maisculos e minsculos. Esses dois itens garantem um nvel de entropia que torna um ataque de fora bruta invivel. Deve-se evitar tambm o uso de caracteres repetidos ou em sequncias e o uso de palavras contidas nos dicionrios em qualquer idioma, assim como usar apenas caracteres semelhantes para substituio de letras, isto , utilizar substituies de caracteres semelhantes como, por exemplo, o uso de 1 no lugar de i ou & no lugar de e ou @ no lugar de 'a', como em "m1cr0$0ft" ou

"c@mil@". Esse tipo de tcnica tornou-se muito conhecida, facilitando os ataques, entretanto, tais substituies podem ser usadas combinadas com outras tcnicas, visando aumentar a fora da senha. Controle de acesso ao sistema operacional O controle de acesso ao sistema operacional tem como finalidade a implementao de polticas para a preveno de acesso no autorizado aos sistemas operacionais. Para isso, o procedimento de entrada no sistema (log-on) deve exibir somente o mnimo de informaes necessrias ao usurio. Um procedimento de log-on seguro deve seguir as seguintes diretrizes: at que o processo tenha sido finalizado com sucesso, o procedimento no deve exibir nenhum tipo de identificao do sistema; uma mensagem alertando que o computador deve ser utilizado somente por usurios permitidos deve ser sempre exibida; mensagens de ajuda que possam facilitar o log-on de usurios no autorizados no devem ser exibidas; Acesso remoto Para que o acesso remoto seguro a aplicaes, documentos e dados da organizao sejam oferecidos de forma segura indicado que algum mtodo de autenticao seja utilizado, como o uso algoritmos criptogrficos, de tokens ou uso de um protocolo de autenticao baseados em desafio-resposta. Se a escolha for utilizar criptografia, pode-se optar por um dos trs tipos principais, dependendo do tipo de garantia desejado (autenticao, integridade, no-repdio e confiabilidade): funes hash, criptografia simtrica e criptografia assimtrica. Os tokens so dispositivos que possuem um chip que geram senhas automaticamente. Nos protocolos que baseiam-se no princpio desafio-resposta, o emissor envia um nmero aleatrio para o receptor e este, ao receber a mensagem transforma o nmero recebido em uma forma especial e o envia para o emissor. No entanto, esse ltimo mtodo pode ser facilmente quebrado devido a possibilidade de um ataque man-in-the-middle, onde uma pessoa m-intencionada no meio dessa comunicao pode receber o desafio, criar uma nova conexo para obter a resposta do desafio e ao obt-la, utiliz-la para autenticar-se com o emissor. O acesso remoto pode ser viabilizado atravs da rede pblica, por exemplo, atravs do uso de uma VPN (Virtual Private Network), ou rede privada virtual, que permite a interligao de dois ou mais locais remotos de forma segura e de baixo custo permitindo a troca de informaes. As tcnicas de autenticao descritas acima podem ser facilmente combinadas com a soluo de VPN. Roteamento de redes Em situaes onde a tcnica de traduo de endereos empregada, recomenda-se o uso de gateways de segurana nos pontos de controle da rede interna ou externa para verificar a veracidade dos endereos de origem e destino.