• Nenhum resultado encontrado

Grupo de Resposta a Incidentes de Segurança Bahia/Brasil Ponto de Presença da RNP na Bahia Universidade Federal da Bahia

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "Grupo de Resposta a Incidentes de Segurança Bahia/Brasil Ponto de Presença da RNP na Bahia Universidade Federal da Bahia"

Copied!
22
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 22 páginas )

Texto

(1)

CERT.Bahia <certbahia@pop-ba.rnp.br>

Grupo de Resposta a Incidentes de Segurança – Bahia/Brasil Ponto de Presença da RNP na Bahia

Universidade Federal da Bahia

(2)

Sobre o CERT.Bahia

Missão

Auxiliar as instituições conectadas ao POP-BA/RNP e

RedeCOMEP (ReMeSSA) na prevenção, detecção e tratamento dos incidentes de segurança, além de criar e disseminar boas práticas para uso e administração seguros das Tecnologias de

Informação e Comunicação (TIC).

Constituency

Instituições qualificadas na política de uso da RNP na Bahia

Instituições parceiras da ReMeSSA

Site:

(3)

Serviços

Educação e Treinamento

Palestras / Treinamento / Documentação

Campanhas de Segurança nas instituições

Eventos (EnSI, Netcafé, etc)

Tratamento de Incidentes

Desenv. de Ferramentas (TRAIRA, L2M)

Acompanhamento e apoio

(4)

Contexto

CSIRT de Coordenação/Backbone

Rede Acadêmica

Rede COMEP

Geograficamente distribuídos

Clientes conectados por outros PoPs (DF e PE)

Interior do estado

Infraestrutura

Recursos humanos

(5)

Como trabalhamos

Regime dedicação parcial

Colaboração entre PoP-BA e UFBA

Parceria com outros grupos de segurança

CAIS

Honeynet.BR/CERT.BR

Dragon Research Group

(6)

Panorama atual dos clientes

Equipes técnicas reduzidas

Deficiência de conhecimento em segurança

Nível de maturidade da infraestrutura é baixa

Sem políticas definidas

Sem ferramentas básicas

Sem plano de contingência

Sem processo de gestão de incidente de segurança

A segurança da informação não é vista de forma estratégica pela alta gestão

(7)

Estratégias

Reuniões virtuais

Capacitação e treinamento

Documentação de boas práticas de segurança

Desenvolvimento de ferramentas

Modelos de documentos de segurança

(8)

Reuniões virtuais

Utilização do Webconf

Alto custo de deslocamento

Divulgação dirigida sobre questões de segurança da informação

Interação com clientes (Chat ativo)

Reuniões gravadas

Em horário próximo do almoço (13:00)

(9)

Capacitação e treinamento

Identificação das necessidades do cliente

Modelagem do treinamento

Treinamento sempre práticos

Roteiro de laboratório prático se

transformam em documentação (Guia)

(10)

Documentação de boas práticas de segurança

Falta de referência de documentação

Simplificar tecnologias complexas ou não acessíveis

Evitar congestionamento de informação

Estabelecer um processo de comunicação mais efetivo

(11)

Desenvolvimento de ferramentas

Entender necessidade dos clientes antes do desenvolvimento

Uso interno, mas focado na implantação em clientes

Automatizar tarefas rotineiras

Reuso de software livre

(12)

Modelos de documentos de segurança

Documentação é a base do trabalho com segurança

Falta de inspiração para iniciar documentação

Uso interno, mas focado na implantação em clientes

Traduzir/adaptar modelos em inglês para português (Ex: SANS)

Evitar retrabalho

(13)

Exemplos

NetCafé

Conficker

Segurança em IPV6

DNSSEC

Heartbleed

Política de senhas

(14)

NetCafé

Webconf

Temas já abordados

Política de segurança

Gestão de Riscos de TI sob a ótica da NBR 27005

Hardening Linux

Segurança em aplicações web

Segurança em aplicações mobile

Segurança no BGP

(15)

Conficker

Webconf

Estratégia utilizada

Divulgação do problema

Analise de vulnerabilidade nos clientes

Criação de documentação de detecção e correção

Acompanhamento da solução dos clientes

(16)

Segurança em IPV6

Webconf

Estratégia utilizada

Divulgação dos vetores de problema

Suporte para dúvidas

(17)

DNSSEC

Webconf

Mini curso sobre “Boas práticas de implementação de DNS”

Estratégia utilizada

Divulgação dos vetores de problema

Capacitação

Criação de documentação

(18)

Heartbleed

Webconf

Estratégia utilizada

Divulgação do problema

Analise de vulnerabilidade nos clientes

Criação de documentação de detecção e correção

Criação de modelo de justificativa para troca de certificado

Acompanhamento da solução dos clientes

(19)

Política de senha

Webconf

Estratégia utilizada

Divulgação do problema

Criação de template de documentação

Suporte para dúvidas

(20)

Estatísticas

SSL Heartbleed

8 clientes notificados

8 clientes tratados

DNSSEC

3 instituições implementadas

Treinamento

130 técnicos treinados

80% das instituições clientes já receberam treinamento

(21)

Próximos passos

Bate papo periódico

BCP38 (IP spoofing)

Implementação de segurança de aplicações web

Implementação de política de segurança

Implementação da política de senha

(22)

Perguntas?

Obrigado!!!

:-)

Referências

Descarregar agora ( PDF - 22 páginas - 132.09 KB )

Documentos relacionados

GESTÃO E FISCALIZAÇÃO DE CONTRATOS DE TERCEIRIZAÇÃO DE MÃO DE OBRA: O CASO DA UNIVERSIDADE FEDERAL DE JUIZ DE FORA EM UM ESTUDO DE CASO – Mestrado em Gestão e Avaliação da Educação Pública

Não obstante a reconhecida necessidade desses serviços, tem-se observado graves falhas na gestão dos contratos de fornecimento de mão de obra terceirizada, bem

GESTÃO DE COMPRAS PÚBLICAS: DESAFIOS, DILEMAS E PERSPECTIVAS NA UNIVERSIDADE FEDERAL DE VIÇOSA – Mestrado em Gestão e Avaliação da Educação Pública

Apesar da melhora de desempenho nas compras dos setores pesquisados, os instrumentos de pesquisa utilizados permitiram verificar que na Universidade Federal de

EXPANSÃO E FINANCIAMENTO DO SISTEMA DE ENSINO SUPERIOR FEDERAL: O CASO DA UNIVERSIDADE FEDERAL DE JUIZ DE FORA

intitulado “O Plano de Desenvolvimento da Educação: razões, princípios e programas” (BRASIL, 2007d), o PDE tem a intenção de “ser mais do que a tradução..

ESTÁGIO NÃO OBRIGATÓRIO NOS CURSOS DE GRADUAÇÃO DA UNIVERSIDADE FEDERAL DE JUIZ DE FORA: PERSPECTIVAS E DESAFIOS – Mestrado em Gestão e Avaliação da Educação Pública

No Brasil, a falta de uma fiscalização mais rigorosa é uma das razões que possibilitam que certas empresas utilizem os estágios como forma de dispor de uma mão-de-obra

EDILVANA MARA DA SILVA LOPES A GESTÃO DE PROCESSOS DO ENSINO DE GRADUAÇÃO: Estudo sobre as demandas de visitas técnicas e trabalhos de Campo na Universidade Federal de Juiz de Fora

A presente dissertação é desenvolvida no âmbito do Mestrado Profissional em Gestão e Avaliação da Educação (PPGP) do Centro de Políticas Públicas e Avaliação

UNIVERSIDADE FEDERAL DE JUIZ DE FORA CENTRO DE POLÍTICAS PÚBLICAS E AVALIAÇÃO DA EDUCAÇÃO PROGRAMA DE PÓS-GRADUAÇÃO PROFISSIONAL EM GESTÃO E AVALIAÇÃO DA EDUCAÇÃO PÚBLICA SAMARA FREIRE DE OLIVEIRA

de professores, contudo, os resultados encontrados dão conta de que este aspecto constitui-se em preocupação para gestores de escola e da sede da SEduc/AM, em

Low power and short time under ultrasonic effect increase the inulinase activity / Baixa potência e pouco tempo sob efeito ultra-sônico aumentam a atividade da inulinase

The present study investigated the effect of UST using an ultrasound probe in three different processes: enzyme treatment, substrate pre-treatment (inulin

Análise da Anatomia Floral da Eugenia punicifolia (Humb., Bonpl. & Kunth) DC

Este trabalho tem como objetivo contribuir para o estudo de espécies de Myrtaceae, com dados de anatomia e desenvolvimento floral, para fins taxonômicos, filogenéticos e