Upload
truongkhanh
View
215
Download
0
Embed Size (px)
Citation preview
Segurança da InformaçãoProfessor: Pedro R3 Junior
Segurança da Informação
Segurança da InformaçãoProfessor: Pedro R3 Junior
Conceitos Básicos
3Segurança da InformaçãoProfessor: Pedro R3 Junior
Informação Dicionário
“Conjunto de conhecimentos sobre alguém ou alguma coisa.”
Houaiss“Conhecimento obtido por meio de investigação ou
instrução.”
“Mensagem suscetível de ser tratada pelos meios informáticos; conteúdo dessa mensagem.”
4Segurança da InformaçãoProfessor: Pedro R3 Junior
Informação
NBR ISO/IEC 27002 (17799:2005)
“A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegida.”
“Ela pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada em conversas.”
5Segurança da InformaçãoProfessor: Pedro R3 Junior
Informação
Ativos“Qualquer coisa que tenha valor para a organização.”
Tipos de Ativos (ABNT ISO/IEC 27005:2008) Ativos Primários
Processos e Atividades de Negócio Informação
Ativos de Suporte e Infra-estrutura Hardware Software Rede Recursos Humanos Instalações Físicas Estrutura da Organização
6Segurança da InformaçãoProfessor: Pedro R3 Junior
Ciclo de Vida da Informação
Criação
Guarda
Utilização
Transporte
Distribuição Reprodução
Descarte
7Segurança da InformaçãoProfessor: Pedro R3 Junior
Segurança
Auréliosegurança. S. f. 2. Estado, qualidade ou condição de
seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção.
seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitável, incontestável. 10. Eficaz, eficiente.
8Segurança da InformaçãoProfessor: Pedro R3 Junior
Segurança da Informação
NBR ISO/IEC 17799:2005
“... é a proteção da informaçãoproteção da informação de vários tipos de ameaçasameaças para garantir a continuidade do negóciocontinuidade do negócio, minimizar o risco ao negócio e maximizar o retorno sobre os investimentos e as oportunidades de negócio.”
“Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. (17799:2001)”
9Segurança da InformaçãoProfessor: Pedro R3 Junior
Segurança da Informação
“Preservação da confidencialidadeconfidencialidade, integridadeintegridade e disponibilidadedisponibilidade da informação.”
NBR ISO/IEC 17799:2005
ConfidencialidadeConfidencialidade DisponibilidadeDisponibilidade
IntegridadeIntegridade
Princípios BásicosPrincípios Básicos
10Segurança da InformaçãoProfessor: Pedro R3 Junior
Princípios Básicos
Confidencialidade“Garantia de que o acesso à informação seja obtido apenas por
pessoas autorizadas”
Integridade“Salvaguarda da exatidão e completeza da informação e dos
métodos de processamento.”
DisponibilidadeGarantia de que os usuários autorizados obtenham acesso à
informação e aos ativos correspondentes sempre que necessário
11Segurança da InformaçãoProfessor: Pedro R3 Junior
Princípios Adicionais
AutenticidadeGarantia da origem da informação.
Irretratabilidade (não-repúdio)Garantia da impossibilidade de negação da origem da informação.
LegalidadeConformidade com a legislação vigente.
12Segurança da InformaçãoProfessor: Pedro R3 Junior
Requisitos de Segurança
Fontes Principais
Avaliação de risco dos ativos Regulamentação
Legislação vigente Estatutos Cláusulas contratuais
Processamento da informação Princípios, objetivos e requisitos do negócio
13Segurança da InformaçãoProfessor: Pedro R3 Junior
Controles Essenciais Princípios Legais
Proteção de dados e privacidade de informações pessoais Proteção de registros organizacionais Direitos de propriedade intelectual
Melhores Práticas Documento da Política de Segurança da Informação Atribuição de responsabilidades para a SI Conscientização, educação e treinamento em SI Processamento correto nas aplicações Gestão de vulnerabilidades técnicas Gestão da continuidade do negócio Gestão de incidentes de SI e melhorias
14Segurança da InformaçãoProfessor: Pedro R3 Junior
Fatores Críticos de Sucesso Apoio da alta direção Passível de ser cumprida Adaptação à realidade da organização Inserção em estrutura normativa Divulgação e Conscientização Responsabilidades e penalidades associadas Linguagem comum à organização Monitoração e auditoria constantes Revisões periódicas
15Segurança da InformaçãoProfessor: Pedro R3 Junior
Definições ABNT NBR ISO 17799:2005
Evento de Segurança da Informação ocorrência identificada (...) que indica uma possível violação
da política de segurança da informação ou falha de controles ...
Incidente de Segurança da Informação evento (ou série de eventos) que possam comprometer o
negócio da organização. Risco
combinação da probabilidade de um evento ocorrer e de sua consequência nos objetivos da organização
Ameaça causa potencial de um incidente indesejado
Vulnerabilidade fragilidade de um ativo (ou grupo de ativos) que pode ser explorada
por uma ou mais ameças
16Segurança da InformaçãoProfessor: Pedro R3 Junior
Ciclo da Segurança
Impacto na Organização
Tem
AumentamRiscos
Aumentam
Ameaças Exploram
Ativos
Expõem
Aumen
tam
Vulnerabilidades
Necessidadesde Segurança
Indic
am
Controlesde Segurança
Implementadas por
Prote
gem de
Reduzem
22/09/08 Pedro R3 Junior 17
Segurança da InformaçãoProfessor: Pedro R3 Junior
Legislação
18Segurança da InformaçãoProfessor: Pedro R3 Junior
Leis Lei Nº 7.232, 29/10/1984
Política Nacional de Informática Lei Nº 8.159, 08/01/1991
Política nacional de arquivos públicos e privados Lei Nº 8.248, 23/10/1991
Capacitação e competitividade do setor de informática e automação Lei Nº 9.609, 19/02/1998
Proteção da propriedade intelectual de programa de computador e sua comercialização no país
Lei Nº 9.983, 14/07/2000 Altera o código penal. Prevê penas específicas para crimes de
inserção, alteração, exclusão e divulgação indevidas de dados nos sistemas informatizados ou bancos de dados da Administração Pública
19Segurança da InformaçãoProfessor: Pedro R3 Junior
Decretos Decreto Nº 1.799, 30/01/1996
Regulamenta a Lei n° 5433, de 08/05/1968, sobre a microfilmagem de documentos oficiais
Decreto Nº 3.505, 13/06/2000 Institui a Política de Segurança da Informação nos órgãos e entidades
da Administração Pública Federal Decreto Nº 3.865, 13/07/2001
Estabelece requisito para contratação de serviços de certificação digital pelos órgãos públicos federais
Decreto Nº 3.872, 18/07/2001 Dispõe sobre o Comitê Gestor da Infra-Estrutura de Chaves Públicas
Brasileira - CG ICP-Brasil Decreto Nº 4.553, 27/12/2002
Salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal
20Segurança da InformaçãoProfessor: Pedro R3 Junior
Outras Leis / Decretos Lei Nº 8.394, 30/12/1991
Dispõe sobre a preservação, organização e proteção dos acervos documentais privados dos presidentes da República, e dá outras providências
Lei Nº 9.051, 18/05/1995 Dispõe sobre a expedição de certidões para a defesa de
direitos e esclarecimentos de situações Lei Nº 9.507, 12/11/1997
Regula o direito de acesso a informações e disciplina o rito processual do habeas data.
Lei Nº 9.800, 26/05/1999 Permite às partes a utilização de sistemas de transmissão
de dados para a prática de atos processuais
21Segurança da InformaçãoProfessor: Pedro R3 Junior
Conarq
RESOLUÇÃO Nº 1, DE 18 DE OUTUBRO DE 1995 Dispõe sobre a necessidade da adoção de planos
e/ou códigos de classificação de documentos nos arquivos correntes, que considerem a natureza dos assuntos resultantes de suas atividades e funções.
RESOLUÇÃO N° 7, DE 20 DE MAIO DE 1997 Dispõe sobre os procedimentos para a eliminação de
documentos no âmbito dos órgãos e entidades integrantes do Poder Público.
* Conselho Nacional de Arquivos
22Segurança da InformaçãoProfessor: Pedro R3 Junior
Conarq
RESOLUÇÃO Nº 14, DE 24 DE OUTUBRO DE 2001 Aprova a versão revisada e ampliada da Resolução nº 4,
de 28 de março de 1996, que dispõe sobre o Código de Classificação de Documentos de Arquivo para a Administração Pública: Atividades-Meio, a ser adotado como modelo para os arquivos correntes dos órgãos e entidades integrantes do Sistema Nacional de Arquivos (SINAR), e os prazos de guarda e a destinação de documentos estabelecidos na Tabela Básica de Temporalidade e Destinação de Documentos de Arquivo Relativos as Atividades-Meio da Administração Pública.
23Segurança da InformaçãoProfessor: Pedro R3 Junior
Conarq RESOLUÇÃO Nº 17, DE 25 DE JULHO DE 2003
Procedimentos relativos à declaração de interesse público e social de arquivos privados de pessoas físicas ou jurídicas que contenham documentos relevantes para a história, a cultura e o desenvolvimento nacional.
RESOLUÇÃO Nº 19, DE 28 DE OUTUBRO DE 2003 Documentos públicos que integram o acervo das
empresas em processo de desestatização e das pessoas jurídicas de direito privado sucessoras de empresas públicas.
RESOLUÇÃO Nº 20, DE 16 DE JULHO DE 2004 Inserção dos documentos digitais em programas de
gestão arquivística de documentos dos órgãos e entidades integrantes do Sistema Nacional de Arquivos.
24Segurança da InformaçãoProfessor: Pedro R3 Junior
FamíliaFamíliaISO/IEC 27000ISO/IEC 27000
Fundamentose Vocabulário
RequisitosSGSI
17799:2005
Guia deImplementação
ISMMeasurements
Gerênciade Risco
BusinessContinuity
Normas Técnicas
27007270072700927009
2700327003
27005270052700127001
2700227002 2700427004
27006270062700027000
25Segurança da InformaçãoProfessor: Pedro R3 Junior
Normas Técnicas NBR ISO/IEC 27002
Código de prática para gestão da segurança da informação BS 7799 NBR ISO/IEC 17799:2005
NBR ISO/IEC 27001:2006 Sistemas de Gestão de Segurança da Informação - Requisitos BS 7799-2:2002
ISO - International Organization for StandartizationIEC - International Eletrotechnical Comitee
NBR - Normas Técnicas BrasileirasBS - British Standards
26Segurança da InformaçãoProfessor: Pedro R3 Junior
Normas Técnicas AS/NZS 4360:2004 (NBR ISO/IEC 27005:2008)
Risk Management Publicada em 1995 e revisada em 1999 e 2004
BS 25999:2006 (ABNT NBR 15999-1:2007) Business Continuity Management Código de Práticas para a Gestão da Continuidade do Negócio
NBR 10.519/88 Critérios de avaliação de documentos de arquivo Foi a única por bastante tempo
AS - Australia StandardsNZS - New Zealand Standards
ABNT – Associação Brasileira de Normas Técnicas
27Segurança da InformaçãoProfessor: Pedro R3 Junior
Qual a diferença ? NBR ISO/IEC 27002
Estabelece diretrizes e princípios geraisdiretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.
NBR ISO/IEC 27001:2006 Especifica os requisitosrequisitos para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um SGSISGSI documentado dentro do contexto dos riscos de negócio globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.
28Segurança da InformaçãoProfessor: Pedro R3 Junior
ISO/IEC 27002 - Estrutura
Seções Categorias
Objetivo da categoria Diretrizes Gerais Itens
Descrição dos Controles Diretrizes para implementação Informações adicionais
Quantidades 11 Seções 39 Categorias
29Segurança da InformaçãoProfessor: Pedro R3 Junior
ISO/IEC 27002 - Estrutura As 11 Seções
a) Política de Segurança da Informaçãob) Organizando a Segurança da Informaçãoc) Gestão de Ativosd) Segurança de Recursos Humanose) Segurança Física e de Ambientesf) Gestão das Operações e Comunicaçõesg) Controle de Acessoh) Aquisição, Desenvolvimento e Manutenção de Sistemas de
Informaçãoi) Gestão de Incidentes de Segurança da Informaçãoj) Gestão da Continuidade do Negóciok) Conformidade
30Segurança da InformaçãoProfessor: Pedro R3 Junior
ISO/IEC 27002 - Estruturaa) Política de Segurança da Informação
Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes
CategoriasDocumento da política de segurança da informação
b) Organizando a Segurança da Informação Gerenciar a segurança da informação dentro da organização Categorias
Infra-estrutura de segurança da informaçãoPartes externas
c) Gestão de Ativos Alcançar e manter a proteção adequada dos ativos da organização Categorias
Responsabilidade pelos ativosClassificação da informação
31Segurança da InformaçãoProfessor: Pedro R3 Junior
ISO/IEC 27002 - Estruturad) Segurança de Recursos Humanos
Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis.
CategoriasAntes da contrataçãoDurante a contrataçãoEncerramento ou mudança da contratação
e) Segurança Física e do Ambiente Prevenir o acesso físico não autorizado, danos, interrupções e interferências
com as instalações, ativos e informações da organização Categorias
Áreas segurasSegurança de equipamentos
32Segurança da InformaçãoProfessor: Pedro R3 Junior
ISO/IEC 27002 - Estruturaf) Gestão das Operações e Comunicações
Garantir a operação segura e correta dos sistemas de informação da informação, bem como a segurança no manuseio das informações em todo o processo
CategoriasProcedimentos e responsabilidades operacionaisGerenciamento de serviços terceirizadosPlanejamento e aceitação dos sistemasProteção contra códigos maliciosos e códigos móveisCópias de SegurançaGerenciamento de segurança em redesManuseio de MídiasTroca de InformaçõesServiços de comércio eletrônicoMonitoramento
33Segurança da InformaçãoProfessor: Pedro R3 Junior
ISO/IEC 27002 - Estruturag) Controle de Acesso
Controlar o acesso à informação Categorias
Requisitos de negócio para o controle de acessoGerenciamento de acesso do usuárioResponsabilidades do usuárioControle de acesso à redeControle de acesso ao sistema operacionalControle de acesso à aplicação e à informaçãoComputação móvel e trabalho remoto
34Segurança da InformaçãoProfessor: Pedro R3 Junior
ISO/IEC 27002 - Estruturah) Aquisição, Desenvolvimento e Manutenção de Sistemas de
Informação Garantir que segurança é parte integrante do ciclo de vida dos sistemas de
informação da organização. Categorias
Requisitos de segurança de sistemas de informaçãoProcessamento correto nas aplicaçõesControles criptográficosSegurança dos arquivos de sistemasSegurança em processos de desenvolvimento e suporteGestão de vulnerabilidades técnicas
i) Gestão de Incidentes de Segurança da Informação Assegurar a comunicação e o tratamento de eventos de SI. Categorias
Notificação de fragilidades e eventos de segurança da informaçãoGestão de incidentes de segurança da informação e melhoria
35Segurança da InformaçãoProfessor: Pedro R3 Junior
ISO/IEC 27002 - Estruturaj) Gestão da Continuidade do Negócio
Não permitir a interrupção das atividades do negócio e proteger os processo críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, quando for o caso.
CategoriasAspectos da gestão da continuidade do negócio
k) Conformidade Garantir a conformidade dos sistemas de informação da empresa com leis,
estatutos, normas, políticas e maximizar a eficiência dos processos de auditoria da organização.
CategoriasConformidade com requisitos legaisConformidade com normas e políticas de segurança da informação e conformidade técnicaConsiderações quanto à auditoria de sistemas de informações
Segurança da InformaçãoProfessor: Pedro R3 Junior
Risco
Segurança da InformaçãoProfessor: Pedro R3 Junior
Definições Dicionário
Chance de desastre ou perda (Thesaurus) Perigo ou possibilidade de perigo (Aurélio)
Thomas Peltier“Probabilidade de uma ameaça particular explorar uma determinada
vulnerabilidade”“Possibilidade de ocorrências de eventos que possam causar impactos
em relação à segurança da informação corporativa”
NBR ISO/IEC 27005:2008“Possibilidade de uma determinada ameaça explorar vulnerabilidades de
um ativo ou conjunto de ativos, desta maneira prejudicando a organização.Nota: é medido em função da combinação da probabilidade de um
evento e de sua consequência.”
38Segurança da InformaçãoProfessor: Pedro R3 Junior
Definições
Ameaças Agente causador de impactos Explora vulnerabilidades Existem e sempre existirão Não se pode atuar diretamente nas ameaças
Vulnerabilidades Pontos de fraqueza do sistema São exploradas pelas ameaças Podem ser removidos dos sistemas São o alvo dos controles de segurança
39Segurança da InformaçãoProfessor: Pedro R3 Junior
Ameaças Naturais
Ameaças cujo agente corresponde a fenômenos da natureza
segurança física
Acidentais Ameaças cujo agente, humano ou máquina, não tinha
intenção de causar impacto Sem dolo
Intencionais Ameaças cujo agente, ainda que indireto, é humano e
com intenção de causar danos Com dolo
40Segurança da InformaçãoProfessor: Pedro R3 Junior
Ameaças Information Security Risk Analysis – Thomas Peltier
Naturais Ventania Relâmpagos Granizo Nevasca Inudações Furacão Terremoto Maremoto Tempestades de
Areia Erosão Fumaça Poluição
Acidentais Variação elétrica Interrupção elétrica Emanações
eletromagnéticas Falha em equip.
ambientais Fogo Falha em
equipamentos de processamento
Inudação (não natural)
Erros de operação Falhas de software Interrupções de
telecomunicações
Intencionais Alteração de
dados Alteração de
software Ameaça de
bombas Sabotagens Fraudes Greves Invasões Roubo Terrorismo Uso não
autorizado Vandalismo
41Segurança da InformaçãoProfessor: Pedro R3 Junior
Hackers Conceitos
Pessoas com grande conhecimento técnico, que participam ativamente do desenvolvimento da rede.
Pessoas que atacam sistemas de computadores.
Tipos Phrackers
Especiliazados em sistemas de telefonia Crackers
Quebram sistemas por motivos pessoais diversos Script Kiddies ou Lammers
Adolescentes com muito tempo livre, pouco conhecimento, mas com as ferramentas de ataques mais recentes.
Ethic Hackers Normalmente contratados para localizar vulnerabilidades.
42Segurança da InformaçãoProfessor: Pedro R3 Junior
Vulnerabilidades Problemas Culturais
ex: cuidados com as senhas, descarte de papéis, conversas, ... Problemas de Infra-estrutura
ex: energia elétrica, conservação predial, ar condicionado, etc. Problemas em Equipamentos
ex: roteadores, switchs, servidores, etc. Problemas em Protocolos de Rede
ex: tcp/ip, telnet, smtp, snmp, etc. Problemas em Sistemas Operacionais
ex: unix, linux, windows, etc. Problemas em Aplicativos
ex: correio, browsers, IIS, Apache, etc. Problemas na Organização
ex: disputas políticas, pessoas descontentes, etc.
43Segurança da InformaçãoProfessor: Pedro R3 Junior
Aná
lise/
Ava
liaçã
ode
Ris
cos
Processo de Gestão de RiscoAS/NZS 4360:2004 e ABNT NBR ISO/IEC 17799:2005
Estabelecer Contexto
Tratar os Riscos
Mon
itora
men
to e
Rev
isão
Com
unic
ação
e C
onsu
lta
Identificação de Riscos
Estimativa de Riscos
Avaliação de Risco
44Segurança da InformaçãoProfessor: Pedro R3 Junior
Definições ABNT NBR ISO 17799:2005
Gestão de Riscos (risk management) Atividades coordenadas para direcionar e controlar uma organização
no que se refere a riscos
Análise de Risco (risk analysis) Uso sistemático de informações para identificar fontes e estimar o
risco (Identificar e Estimar os Riscos)
Avaliação de Riscos (risk evaluation) processo de comparar o risco estimado com critérios pré-definidos
para determinar a importância do risco
Análise/Avaliação de Risco (risk assessment) processo completo de análise e avaliação de risco
45Segurança da InformaçãoProfessor: Pedro R3 Junior
Riscos de Segurança
Existem técnicas e modelos bem definidos Custo dos controles menor que o valor dos ativos
Avaliação Sistemática considerando Impacto nos negócios da organização Probabilidade da falha ocorrer
Vulnerabilidades x Ameaças x Controles Existentes
Reavaliações periódicas Considerar mudanças nos requisitos de negócio Considerar novas ameaças e vulnerabilidades Confirmar a eficiência dos controles existentes
46Segurança da InformaçãoProfessor: Pedro R3 Junior
Princípio Fundamental
Posso Evitar o risco Reduzir o risco Transferir o risco Aceitar o risco
Não posso Ignorar o risco
47Segurança da InformaçãoProfessor: Pedro R3 Junior
Tipos
Quantitativa Baseada em valores objetivos Unidades tangíveis ex:
Valores monetários Histórico de ocorrências
Qualitativa Baseada em valores subjetivos Unidades intangíveis ex:
Critérios Classificações
48Segurança da InformaçãoProfessor: Pedro R3 Junior
QuantitativaBaseada em valores objetivos (unidades tangíveis)
Componentes Valor do Ativo (AV)
Somatório dos valores que o ativo possui- Equipamentos - Sistemas Instalados- Informação Armazenada - Custo da Paralização- Custo de Reposição - Lucratividade Produzida- Manutenção - Valorização da Concorrência- Danos à imagem - Perda de Confiabilidade
Fator de Exposição (EF) Expectativa de Perda Única (SLE) Taxa de Ocorrência Anual (ALO) Expectativa de Perda Anual (ALE)
49Segurança da InformaçãoProfessor: Pedro R3 Junior
Quantitativa Vantagens
Resultados baseados em processos e métricas objetivas Mais fácil de ser automatizada Relaciona o valor do risco e o valor do controle Relação custo-benefício de fácil avaliação Resultados expressos em linguagem gerencial
Desvantagens Os cálculos podem se tornar muito complexos Depende muito da automatização Depende muito da cultura organizacional Demanda muito tempo para a valoração de um ativo Não considera as opiniões pessoais de conhecedores do
processo de negócio
50Segurança da InformaçãoProfessor: Pedro R3 Junior
QualitativaBaseada em valores subjetivos (unidades intangíveis)
Componentes Risco Ativo Vulnerabilidade Ameaça Controles de Segurança Impacto
Mensuração Trabalha com escalas de valoração ex:
1 – Baixo2 – Médio3 – Alto4 – Muito Alto
51Segurança da InformaçãoProfessor: Pedro R3 Junior
Qualitativa Vantagens
Cálculos Rápidos Não necessita determinar valor monetário dos ativos Não necessita determinar freqüência das ameaças Fácil participação das equipes relacionadas ao negócio (não
técnicas) Permite flexibilidade no processo Menor tempo de realização
Desvantagens Subjetividade Depende da experiência da equipe técnica Depende do nível de conhecimento dos envolvidos Não provê base monetária para tomadas de decisão
52Segurança da InformaçãoProfessor: Pedro R3 Junior
Ferramentas de apoio Analyz ARES AROME+ @Risk BDSS Buddy System COBRA CMMM Control-IT Criti-Calc CRAMM CCTA DDIS GRA/SYS
IST/RAMP LAVA LRAM & ALRAM JANBER MELISA MINIRISK PREDICT RANK-IT RISKCALC RISKPAC RISKWATCH SBA SISSI XRM
53Segurança da InformaçãoProfessor: Pedro R3 Junior
QuestõesESAF – SUSEP 2006 - Prova 2
05- Analise as seguintes afirmações relacionadas à Análise de Riscos.
I. Ameaça é a expectativa de acontecimento acidental ou proposital, causado por um agente que pode afetar o ambiente analisado.
II. Vulnerabilidade é um evento decorrente da exploração de um ataque ou alvo por uma ameaça.
III. Impacto é o efeito ou conseqüência de um ataque ou incidente para a organização.
IV. Probabilidade Incidental é a fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque.
Indique a opção que contenha todas as afirmações verdadeiras.
Segurança da InformaçãoProfessor: Pedro R3 Junior
Política de Segurança
55Segurança da InformaçãoProfessor: Pedro R3 Junior
Sistema de Gestão
Definição “Sistema para estabelecer políticas, objetivos e
procedimentos para atingir tais objetivos.”
O que é monitorado, pode ser medido, ...... e o que é medido pode ser gerenciado !
Elementos Política
Plan - Planejamento Do - Implementação Check - Avalie Act - Melhore
PlanPlan
DoDo
CheckCheck
ActAct
56Segurança da InformaçãoProfessor: Pedro R3 Junior
SGSI
Sistema de Gestão da Segurança da Informação
Definição “Parte do sistema de gestão, baseada na abordagem do
risco de negócios, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação.”
“Influenciado pelas necessidades de negócios e objetivos, resultando em requisitos de segurança, os processos empregados e o tamanho e estrutura da empresa.”
57Segurança da InformaçãoProfessor: Pedro R3 Junior
Política de Segurança NBR ISO/IEC 17799:2005
Objetivo Prover uma orientação e apoio da direção para a segurança
da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes
Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.
58Segurança da InformaçãoProfessor: Pedro R3 Junior
Documento da Política de Segurança
Diretrizes Definição de segurança da informação
Metas globais Escopo da política
Declaração de comprometimento da alta direção Estrutura para estabelecer os objetivos de controle e os
controles Breve explanação da políticas, princípios, normas e
requisitos de conformidade específicos para a organição Definição das responsabilidades gerais e específicas na
gestão da segurança da informação Referências à documentação que possam apoiar a
política
59Segurança da InformaçãoProfessor: Pedro R3 Junior
Componentes Nível Estratégico
Políticas Corporativas Declaração da Política
Nível Tático Normas de Segurança Termos Auxiliares
Nível Operacional Procedimentos Padrões
60Segurança da InformaçãoProfessor: Pedro R3 Junior
Componentes da Política
Políticas
NormasTermos Auxiliares
(NDA, SLA, etc)
PadrõesProcedimentos
Estratégico
Operacional
Tático
Base Div
ulga
ção
Con
trole
s
Aud
itoria
61Segurança da InformaçãoProfessor: Pedro R3 Junior
Nível Estratégico Políticas Corporativas
Documento que especifica os direcionamentos e valores definidos para a gestão da segurança no âmbito da organização.
Declaração da Política Documento que tem por objetivo oficializar a
implantação da Política de Segurança da Organização, sendo endossado pela alta direção.
62Segurança da InformaçãoProfessor: Pedro R3 Junior
Nível Tático
Normas de Segurança Estabelecem regras e critérios para a proteção das
informações da organização. Termos Auxiliares
Termo de Confidencialidade (NDA) Funcionários, terceiros, prestadores de serviço, parceiros,
fornecedores, etc. Termo de responsabilidade
Uso da INTERNET, uso do correio eletrônico, posse de equipamentos da empresa, etc.
Acordos de Nível de Serviço (SLA) Recomendações de regras para a confecção de SLAs Envolvem metas a serem cumpridas e penalidades
63Segurança da InformaçãoProfessor: Pedro R3 Junior
Normas de Segurança gerais para usuários de uso de serviços corporativos (mail, etc.) de administração de serviços corporativos de recuperação de desastres e continuidade do negócio de classificação da informação de registro de incidentes de segurança de monitoração e auditoria de controle ambiental de controle de acesso físico de controle de acesso lógico para cópias de segurança para o desenvolvimento de aplicações para homologação e testes de aplicações para ambientes ou perímetros específicos (DMZ) para ativos críticos
64Segurança da InformaçãoProfessor: Pedro R3 Junior
Nível Operacional
Procedimentos Documentos que detalham tecnicamente as
atividades em forma de passo-a-passo
Padrões Documentos que sugerem padrões de configuração,
equipamentos ou ações de segurança
65Segurança da InformaçãoProfessor: Pedro R3 Junior
Procedimentos
Exemplos de cadastramento, suspensão, bloqueio e
cancelamento de contas de acesso de criação, alteração e bloqueio de senhas para a realização e restauração de backups
Estações de Trabalho Servidores Corporativos
para identificação, armazenamento, transporte e descarte de mídias de cópias de segurança
para homologação e testes de sistemas para instalação de servidores corporativos para instalação de estações de trabalho
66Segurança da InformaçãoProfessor: Pedro R3 Junior
Padrões
Exemplos de nomes de ativos de configuração de ativos
Por sistema operacional Por finalidade Por exposição à INTERNET
de escrita de documentos de solicitação de regras em firewalls
67Segurança da InformaçãoProfessor: Pedro R3 Junior
Rev
isão
MaturaçãoAuditoria
Ciclo de Vida da Política
Implem
entação
Elaboração
ActAct
CheckCheck
DoDo
PlanPlan
68Segurança da InformaçãoProfessor: Pedro R3 Junior
Elaboração
Levantamento de Dados Inicial Definição dos Objetivos Definição do Escopo / Abrangência Entidades Participantes (dono, custodiante, ...)
Estratégia de Elaboração Estrutura dos Documentos (padronização)
Elaboração do Conteúdo Revisão e ajustes (padrões e normas)
69Segurança da InformaçãoProfessor: Pedro R3 Junior
Implementação Aprovação
Avaliação pelo Fórum de Segurança da empresa Assinatura da Alta Diretoria da empresa
Publicação Oficialização da aprovação Entrada em vigor
Divulgação Treinamento Conscientização Mudança Cultural
70Segurança da InformaçãoProfessor: Pedro R3 Junior
Divulgação
A política deve ser comunicada através de toda a organização, para os usuários, terceirizados e parceiros, em um formato que seja relevante, acessível e compreensível para o leitor em foco.
71Segurança da InformaçãoProfessor: Pedro R3 Junior
Divulgação Importante
Participação ativa da área de marketing interno Deve atingir o maior público possível Deve utilizar formas diferentes, para públicos
diferentes Deve abranger terceiros, prestadores de serviço,
fornecedores e parceiros Deve ser distribuída ao funcionário no ato da
contratação Deve ser facilmente acessível dentro da empresa
72Segurança da InformaçãoProfessor: Pedro R3 Junior
Maturação
Acompanhamento Monitoração Auditorias Advertências Aplicação de Penas Avaliação
73Segurança da InformaçãoProfessor: Pedro R3 Junior
Auditoria Verificação de conformidade Aplicação de penas Análise de viabilidade Levantamento de dados para revisão
Importante:Quem faz, não audita !Quem faz, não audita !
Lei Sarbanes-Oaxley
74Segurança da InformaçãoProfessor: Pedro R3 Junior
Revisão
Adequação à realidade Correção de problemas/falhas Novas tecnologias Novos riscos Novos controles Deve ser periódica
22/09/08 Pedro R3 Junior 75
Segurança da InformaçãoProfessor: Pedro R3 Junior
Classificação da Informação
76Segurança da InformaçãoProfessor: Pedro R3 Junior
Classificação da Informação
• NBR ISO/IEC 17799:2005
“Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação.”
“Objetivo: Assegurar que a informação receba um nível adequado de proteção.”
77Segurança da InformaçãoProfessor: Pedro R3 Junior
Classificação da Informação
Definição
Processo de definição de níveis e critérios de proteção da informação da organização, de acordo com sua sensibilidade a perda, alteração ou revelação, considerando todo o seu ciclo de vida.
78Segurança da InformaçãoProfessor: Pedro R3 Junior
Classificação da Informação Objetivos
Organizar as informações de acordo com sua sensibilidade a perda, alteração ou revelação.
Priorizar as informações mais sensíveis. Proteger as informações de acordo com seu nível de
sensibilidade.
Benefícios Conhecimento e priorização Racionalização dos custos de proteção Aumento do nível de segurança
79Segurança da InformaçãoProfessor: Pedro R3 Junior
O Processo de Classificação
Definição de categorias Definição de níveis e critérios Criação das funções Definição das responsabilidades Definição do ciclo de vida Definição da identificação a ser usada Formalização do processo
80Segurança da InformaçãoProfessor: Pedro R3 Junior
Categorias Comuns
Confidencialidade sensibilidade a revelação
Integridade sensibilidade a alteração
Disponibilidade sensibilidade a perda
81Segurança da InformaçãoProfessor: Pedro R3 Junior
ConfidencialidadeDefinição de níveis e critérios de proteção da informação da
organização, de acordo com sua sensibilidade à revelaçãorevelação.
ex: Não classificada Pública Interna Sensível / Restrita
Privada Proprietária
Confidencial
82Segurança da InformaçãoProfessor: Pedro R3 Junior
Exemplos
Confidencialidade (EUA)
Unclassified Sensitive but Unclassified Confidential Secret Top Secret
83Segurança da InformaçãoProfessor: Pedro R3 Junior
Brasil
Decreto 4.553 de 27/12/2002
Reservada Confidencial Secreta Ultra-secreta
84Segurança da InformaçãoProfessor: Pedro R3 Junior
Integridade
Definição de níveis e critérios de proteção da informação da organização, de acordo com sua sensibilidade à alteraçãoalteração.
ex: Vital Não vital
85Segurança da InformaçãoProfessor: Pedro R3 Junior
Disponibilidade
Definição de níveis e critérios de proteção da informação da organização, de acordo com sua sensibilidade à perdaperda.
ex: Crítica Não crítica
86Segurança da InformaçãoProfessor: Pedro R3 Junior
Observações
Informações conjuntas devem receber o mesmo nível de classificação da informação de mais alto nível.
A classificação deve ser realizada em qualquer meio em que a informação se encontre.
A classificação deve ser extensível a parceiros, fornecedores e terceiros.
87Segurança da InformaçãoProfessor: Pedro R3 Junior
Funções e Responsabilidades Proprietário
Criar ou ceder a informação Determinar o nível de classificação Determinar administradores para a informação
Custodiante Manter a informação Proteger a informação
88Segurança da InformaçãoProfessor: Pedro R3 Junior
Funções e Responsabilidades Administrador
Controlar o acesso à informação
Gestores Responsáveis corporativos de equipes
Disseminação da cultura de segurança Supervisão da equipe no uso correto da classificação
da informação
89Segurança da InformaçãoProfessor: Pedro R3 Junior
Funções e Responsabilidades Usuários
Usuários corporativos em geral Respeitar e obedecer a classificação
Fiscais Auditores internos ou independentes
Verificar a adequabilidade da classificação Verificar a conformidade da utilização em relação às
políticas definidas
90Segurança da InformaçãoProfessor: Pedro R3 Junior
Princípios Básicos Need to know
Acesso a todas as informações necessárias.
Right to know Garantir o direito de conhecer a informação
Least privilege Permitir o menor acesso possível à informação
Custos da proteção Devem ser menores que o valor da informação
91Segurança da InformaçãoProfessor: Pedro R3 Junior
Princípios Básicos Default deny
Todos os acessos são proibidos, exceto os que forem explicitamente permitidos.
Segregação de funções Usar funções complementares, com acessos
diferenciados, para realização de atividades.
Rotatividade Alternar periodicamente funcionários com
funções/responsabilidades críticas.
92Segurança da InformaçãoProfessor: Pedro R3 Junior
Ciclo de Vida
Criação
Guarda
Utilização
Transporte
Distribuição Reprodução
Descarte
93Segurança da InformaçãoProfessor: Pedro R3 Junior
Observações Regras específicas para cada atividade, por fase,
por nível.ex: Regra para o transporte de informação confidencial
para descarte.
Tratamento de exceçõesex: Lacre violado no transporte
A classificação pode mudar durante o cicloex: o processo licitatório é confidencial até ser publicado
94Segurança da InformaçãoProfessor: Pedro R3 Junior
Ciclo de Vida da Classificação Classificação
Definição do nível de segurança da informação Reclassificação
Alteração do nível de segurança Desclassificação
Retirada total do nível de classificação
Ex: Decisão do dono Por tempo Por troca de fase da vida do documento
95Segurança da InformaçãoProfessor: Pedro R3 Junior
Identificação NBR ISO/IEC 17799:2005
“Convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização.”
Estes procedimentos precisam abranger todos os ativos de informação, tanto no formato físico quanto no formato eletrônico.
96Segurança da InformaçãoProfessor: Pedro R3 Junior
Identificação
Deve definir: Forma
De acordo com o meio
Localização na informação ex: posição na página inicial do documento
Tipo de marcação Nomes ou símbolos
Sistemas de informação Procedimentos na saída da informação
97Segurança da InformaçãoProfessor: Pedro R3 Junior
Formalização do Processo na Política de Segurança
Determinar a necessidade da classificação Determinar o processo a ser usado
nas Normas Definir os níveis de proteção Criar as regras do processo de classificação
Criar os procedimentos adequados Divulgar o processo de classificação Capacitar os funcionários envolvidos