Universidade Paulista - UNIP

Curso: MBIS - Segurança da Informação

Aluno: Dorivaldo Marlen Bento Marques da Costa RA: 9310697

Professor: Ronald Cassiolato

Desenvolvimento Específico

Fevereiro / 2014
Palestra : Os 10 domínios da Segurança da Informação
Palestrante: Jaime Lugo & Ricardo Leiva
Data : 27 de Fevereiro de 2014
Curso: MBIS - Segurança da Informação

Resumo

Esta palestra tem o intuíto de mostrar as áreas de maior enfoque na segurança da

informação, e que muitas das vezes são separadas por domínios. Existem 10 domínios
padronizados na área de segurança da informação. Abaixo cito alguns deles:
 Domínio de Arquitetura Segura e Projetos;
 Domínio de Gerenciamento de Risco e Governança da Segurança;
 Domínio Criptografia;
 Domínio de Operação Segura;
 Domínio de Telecomonicações e redes;
 Domínio Segurança física e ambiental.

Tendo em conta os domínios citados, abaixo, cito aqueles que tiveram maior abrangência.

Domínio de Operação Segura

Failure secure – ajuda na prevenção de perda de dados e recuperação de sistemas.

Controles e questões ambientais – o CPD não funciona se não tiver este item. Um dos
serviços inclusos nele é a prevenção contra incêndio e gerador de energia. Quando a
energia cai o gerador tem de estar sempre bem conectado para a empresa não deixar de
funcionar. O Fornecimento de energia eletríca limpa e estável também contam para um bom
funcionamento de sistema. As Comunicações de links e linhas redundantes também têm
de estar todas ativas. Tudo isto tem que funcionar para podermos ter alguns padrões de
segurança. Segurança não é responsabilidade de quem faz segurança, e sim de todos os
membros da corporação. A segurança é eolística porque ela permeia vários domínios, mas,
ela ao mesmo tempo permeia toda a empresa como um todo.O principal trabalho do
seguração da informação, é evangelizar o ambiente de trabalho.
O overwriting e o Degaussing são tecnologias aplicadas quando queremos reutilizar a
mídia, caso contrário, passamos para a destruição física.
Domínio de Gerenciamento de Risco e Governança da Segurança

Um dos métodos utilizados nesse domínio é o Baseline, que dunciona como apetite de
risco. Ele indica aonde devemos instalar os produtos. Ele é resolvido na administração da
empresa.
Devemos sempre ter em mente que temoos de análisar o risco antes de qualquer decisão
tomada. Devemos também mitigar os riscos, selecionando, implementando e monitorando.
Esse domínio é tido como um dos principais, tendo em vista, como foco a montagem de
uma equipe de segurança.

Domínio de Telecomonicações e redes

É trabalhado em cima da camada OSI. Física – Contém também protocolos eletrícos do

IEEE. Enlace – Ela verifica o MAC Address. Rede – você tem o IP. Transporte – você tem
a porta. Sessão, Apresentação e Aplicação.
Para cada camada, é estudado telefonia e serviços, e são repartidos em:
Conceito de arquitetura, tecnologia e implementação, protocolo, ameaças e controles.
Uma das formas de diferenciar o especialista segurança da informação dos especialistas
de infraestrutura, é o conhecimento das ameaças específicas que os hackeres usam sobre
a camada de aplicação.
Algusn dos ataques mais usados são: DdoS, DoS, negação, sniffing, spoofing, engenharia
social, autenticação, etc. Podemos implantar alguns controles ou técnicas para prevenção
de tais ataques, tais como: políticas de gerenciamento de risco, aplicações períodicas de
patches, trocas de protocolos vulneravéis.
As pessoas atualmente estão interligadas com processos e tecnologias, ou seja, pessoas,
processos e tecnologias são os pilares atuais do nosso tempo.
A segurança é vista também com padrões como disponibilidade, autenticidade e
confiabilidade. Um dos métodos que utlizados atualmente que garante autenticação de
serviços, no momento de transferências bancárias é o token.

Domínio Segurança física e ambiental

Nela, a sua maior preocupação é onde estará localizado os equipamentos. Ou seja, a

infraestrutura da empresa em si, o hardware contido nela, onde ficará hospedado o website,
etc. O controle de acesso também é um assunto muito importante.
Existem várias opções de segurança, tais como:
- Camaras de Segurança;
- Sensores de Movimento;
- Sensores de Calor;
- Cães de guarda preparados;
- Equipes de seguranças.
Devemos ter em conta também, sobre o lugar aonde iremos guardar os back ups, ou toda
a informação da empresa. É recomendado que esteja na núvem, ou, em edifícios com uma
certa distância da localização da empresa, para caso aconteça alguma imprevisto, os dados
estejam todos salvos, e não haja risco da informação ser destruída.
Atualmente, diz-se que a microsoft está 10 anos avançada da apple em relação a sistemas
de segurança.
Os utilizadores de redes sociais, são os alvos mais facéis, pelo simples fato de ter muita
informação disponível na internet. Temos de ter o máximo cuidado ao inserir-mos os nossos
dados na internet, pois, de tal forma, acabamos por estar cada vez mais vulneráveis.
Estando no espaço físico, temos de ter conta a saúde do ambiente. A empresa deve ter
mecanismos de segurança com rotas de fugas acessíveis em casos de extrema
emergência. Deve ter também um sistema contra incêncio com os requisitos básicos da
fiscalização.
Tendo estes pontos em conta, a sua arquitetura também é essencial. Tudo vai depender da
projecção dos responsáveis pela empresa, juntamente com a equipe de segurança.

Utilização das informações da palestra na minha vida e na minha empresa

Esta palestra dos 10 domínios da segurança da informação foi muito importante para o
nosso aprendizado e teve um impacto enorme no meu ponto de vista da segurança da
informação. Tive uma melhor ideia do funcionamento de padrões e domínios de segurança
da informação nas corporações num todo. O fato de conhecermos o funcionamento dela,
faz com que estejamos melhor preparados para enfrentar o mercado, visto que, a cada dia
que passa, é vigente o uso destas tecnologias no nosso cotidiano. Graças ao conjunto de
informação recebido, acredito que a partir de agora, poderei implementar certos
procedimentos utilizados no mundo atual, e descartar alguns dos procedimentos que temos
usado, tendo em vista ao número de fragilidades que foram citadas nas palestras em alguns
dos sistemas que a minha empresa usa. Sinto que com toda esta informação, poderei
contribuir para uma melhor segurança nos dados e sistemas da minha empresa, e cada vez
mais ampliar o meu conhecimento na área.