Segurança da informação em redes de computadores

Segurança da informação

     Quando falamos de segurança da informação estamos falando de um conjunto de estratégias para gerenciar processos, ferramentas, pessoas e políticas necessárias para prevenir, detectar, documentar e confrontar ameaças as informações digitais e não digitais. [1] Ou ainda de uma forma bem simples: "Impedir pessoas com más intenções roubem seus dados". [2]

     São duas definições que eu gostei bastante, enquanto a primeira é bem abrangente nas competências envolvidas na segurança da informação, enquanto segunda é bem direta. Existem várias fontes de padronização [3] para esses mecanismos de segurança, mas estarei abordando os produzidos pela ISO/IEC, mais precisamente ISO/IEC 27001, 27002 e 27005. Esta série de posts, será baseada na disciplina de Práticas de segurança de redes do IFPB. Que foca na segurança da informação que trafega ou é transmitida pela rede.

Tags: Networks; InfoSec.

Falaremos sobre gestão de risco

     As três normais abaixo serão destrinchadas ao longo de duas semanas. Elas serão a base para encontramos mecanismos para a gestão dos riscos de um negócio. Gestão de risco é basicamente lidar com as incertezas, calcular a probabilidade delas aconteceram, o impacto que pode causar no negócio. É sobre reduzir os custos do negócio e/ou aumentar sua lucratividade antecipando-se às ameaças.

 Nas próximas duas semanas...

     Passaremos por isso:

  • ABNT NBR ISO/IEC 27001
  • NBR ISO/IEC 27002
  • NBR ISO/IEC 27005
     Para entender isso:

  • A segurança da informação em redes é sobre a informação de valor para o negócio 
  • E que trafega na rede de computadores.
  • Uma ameaça é uma ação que geralmente se aproveita de uma falha ou vulnerabilidade.
  • O risco é a multiplicação do valor estimado da probabilidade da ameaça se concretizar e o impacto (consequências) se concretizada.
  • Identificar o risco envolve
    • Conhecer as ameças
    • e vulnerabilidades
    • O impacto (quando custa se aquilo acontecer e não estamos falando apenas de custo financeiro)
    • Valor dos ativos
  • O risco é estimado de duas formas:
    • Quantitativo: Valor do prejuízo
    • Qualitativo: Nível de risco
  • Redução do risco:
    • Diminuir a probabilidade da ameaça se concretizar
    • Ou reduzir o impacto caso a ameaça se concretize
  • Comunicação do risco
    • Deve ser feita continuamente
    • Percepção do risco por parte dos usuários também contribui para redução do risco
  • Ação
    • Diminuir ao máximo as chances de a ameaça se concretizar
  • Retenção
    • Ignorar o risco e arcar com os prejuízos caso aconteça
  • Transferência do risco
    • Transferir a responsabilidade para outra pessoa

Referências

1 - http://searchsecurity.techtarget.com/definition/information-security-infosec
2 - https://www.quora.com/What-is-information-security
3 - https://en.wikipedia.org/wiki/Information_security#Sources_of_standards
Local: João Pessoa, PB, Brazil

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Como ler cada linha de um arquivo no Powershell

Imagem
Eu estava no sofa e tinha um computador conectado a TV tocando Reginaldo Rossi e estando nessa situação crítica eu percebi que deveria resolver isso da forma mais rápida possível.  É claro que isso significa fazer um pequeno script que acessa tenta acessar via SSH cada computador conectado ao roteador, assim eu poderia desligar ele. A primeira parte é simples, acessar o roteador e pegar a lista de IPs conectados. usei o ATOM para deixar só uma coluna de com os IPs, da seguinte forma: 1: 192.168.0.10 2: 192.168.0.12 3: 192.168.0.13 4: 192.168.0.16 5: 192.168.0.17 Até ai tranquilo, mas eu tava utilizando o Windows, o que significa aprender a fazer um for no Linux pegar cada linha do arquivo e executar alguma ação com cada uma delas... Sem mais delongas, aqui vai o pedaço de código: 1: foreach($line in Get-Content .\ips.txt) { 2: ssh $line 3: } E no fim! Não consegui acessar via SSH :(, mas já sei como fazer um foreach no powershell e pegar cada ...
Leia mais

Uma série sobre Python - Ambiente de desenvolvimento

Imagem
Esse post não estava nos planos, mas se fez relevante e na verdade é bem objetivo. No meu trabalho eu utilizo Ubuntu e nosso ambiente de desenvolvimento consiste em uma máquina vagrant e dentro dela um virtualenv com o código. A minha IDE é o PyCharm <3, que se conecta e identifica o ambiente de desenvolvimento dentro da máquina virtual. Já em casa, como eu gosto de jogar... utilizo o Windows 10. Mas enquanto levantava meu ambiente de desenvolvimento encontrei uma série de problemas com o Vagrant e o Virtualbox. Que já resolvi mas acabei pensando, "Porque não levantar tudo no windows?" A maneira fácil - em 3 passos Eu recomendo para iniciantes ou pra quem tá com pressa pra já chegar e desenvolver. E é minha configuração atual. Instale o Python e instale o PyCharm, e deixe que ele lide com os ambientes virtuais. Se você é universitário o PyCharm permite que use a versão profissional, você só precisa de um e-mail acadêmico. Então, três passos: Baixe o Python e instal...
Leia mais

Wagtail CMS para construção de sites - Apresentação

Imagem
O Wagtail é um CMS (Content Managment System) ou seja, um sistema de gerenciamento de conteúdo, porém, baseado em Django! Yes. Python! <3 O que não é Primeiramente, um pouco de contexto. O Wagtail não é como o Wordpress, ele se comporto muito mais como uma framework, como se fosse um superset de Django focado em CMS. Em outras palavras, é como se Django fosse um lego e o Wagtail já junta algumas peças, que você combina pra formar estruturas maiores ainda. Então, não espere instalar o Wagtail no seu projeto Python e ter um site rodando. Você antes de tudo vai precisar criar pelo menos um app (no modelo do django) e dentro de seu models, criar uma classe e dar vida à uma página. Para entender melhor porque funciona assim, vamos falar sobre o Zen do Wagtail. O Zen do Wagtail Se você nunca ouviu falar, comece com o Zen do Python . Da mesma forma, o Wagtail tem princípios de desenvolvimento para quem usa, como para quem trabalha no código fonte, de maneira simples e resu...
Leia mais