Pós-graduação: Políticas, práticas e procedimentos em Segurança da Informação - aula 1

prof. Roberto Dias Duarte

Melhor prevenir, que remediar!

Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada.


Photographer: Reuters

Políticas, práticas e

procedimentos em Segurança da Informação

sábado, 7 de maio de 2011

http://creativecommons.org/licenses/by-nc-sa/3.0/

http://creativecommons.org/licenses/by-nc-sa/3.0/


Com licença, sou o Roberto

“Conheço apenas minha ignorância”



Big Brother Fiscal IV

Disponível em maio/2011



Big Brother Fiscal IV

Disponível em maio/2011


1a Parte: Sensibilização



Visão executiva


Trabalhos• 07.05 - Diagnóstico de segurança da empresa:

contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” de segurança. (30 pontos)

• 14.05 - Ante-projeto Prática de Segurança: diagnóstico, problema, solução, custo, beneficios, análise de riscos, macro-cronograma. (30 pontos)

• 28.05 - Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos)


TrabalhosTodo o projeto deve ser alinhado à estratégia empresarial e/ou marcos regulatórios de uma empresa, apontando custos e benefícios• 1. Lembrem-se dos indicadores de desempenho da empresa: receita,

rentabilidade, retenção de clientes, etc.• 2. Toda organização está inserida em um ecossistema onde há diversos

marcos regulatórios: SOX, Basiléia, legislação tributária, trabalhista, ANEEL, ANAC, consumidor, SAC, etc.

• 3. Derivem os indicadores de GSI a partir dos indicadores empresariais (ou marcos legais).

• 4. Determinem o planejamento de implantação da política de segurança para um indicador ou marco legal - se fizerem para mais de um, não há problema, mas o esforço de trabalho é proporcional à quantidade de métricas.

• 5. Derivem os processos de segurança e as atividades a partir das políticas.

• Lembrem-se, por fim, que o alinhamento estratégico é fator crítico de sucesso para este trabalho. Ou seja, indicadores de GSI devem ajudar a empresa a melhorar algum indicador de desempenho ou manter a compatibilidade legal regulatória do setor.


1o TrabalhoDiagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” (Gap’s) de segurança.

Prazo: 7.5.2011 às 11:00

Pode ser em grupo

Escolha uma empresa para o estudo de caso real


1. Contexto empresarial1.2.Visão

É o sonho da organização, é o futuro do negocio e onde a organização espera estar nesse futuro.

•1.1. Missão

–É a razão de existência de uma organização.

•1.3. Estratégia

•“Forma de pensar no futuro, integrada no processo decisório, com base em um procedimento formalizado e articulador de resultados” (Mintzberg).


2. Públicos

Consumidores Clientes

Parceiros

Investidores


3. Indicadores


4. Normas reguladoras1. Em quais ecossistemas a empresa está inserida?

2. Quais os agentes reguladores e normas?

ANATELANACANEELCMVBACEN

SOXBasiléia

IFRSSPEDNF-eRFBSEFAZ

SindicatosConsumidorClientesFranqueadoresParceirosContratos


5. Lacunas de segurança1.Liste 7 lacunas de segurança da empresa

2. Relacione as lacunas com os indicadores ou normas

3. Estabeleça as 3 de maior relevância, explicando os motivos


2a Parte: Conceitos Básicos



Situação das empresas



Situação das empresas



Quer tentar?



Quer tentar?



Fraude?



O que é fraude?

É um esquema ilícito ou de má fé criado para obter ganhos pessoais.



Fatores primários1 - Existência de golpistas motivados.

• Ineficiência das leis;

• incerteza da pena;

• incerteza jurídica;

• existência de oportunidades;

• pouca fiscalização.



Mas principalmente porque...

o desrespeito às leis é considerado comportamento “normal”.



Mas principalmente porque...

o desrespeito às leis é considerado comportamento “normal”.



• Pouca informação e divulgação preventivas;

• ignorância e ingenuidade;

• ganância;

• o desrespeito às leis é considerado comportamento “normal”.

Fatores primários2 - Existência de vítimas vulneráveis



• percepção do problema como não prioritário;

• despreparo das autoridades;

• escassa coordenação de ações contra fraudadores;

• falta de leis específicas e pouca clareza em algumas das existentes.

Fatores primários3 - Falta de controle ou fiscalização



Vítima ou golpista?



Vítima ou golpista?



Segurança da Informação?



Ameaça?



Causa potencial de um incidente, que caso se concretize pode resultar em dano

Ameaça?



Vulnerabilidade?



Falha (ou conjunto) que pode ser explorada por ameaças

Vulnerabilidade?



Evento que comprometa a operação do negócio ou cause dano aos ativos da organização

Incidente?



Evento que comprometa a operação do negócio ou cause dano aos ativos da organização

Incidente?



Resultados de incidentes

Impacto?



Análise de risco

Impacto

Transfere

Probabilidades

Aceita Reduz

Mitiga



Análise de risco



Ativo digital?



Ativo? Intangível?

“Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)”

Fonte: http://www.cpc.org.br


http://www.cpc.org.br

http://www.cpc.org.br


Assinatura Digital



É um método de autenticação de informação digital

Assinatura Digital

Não é Assinatura Digitalizada!

Não é Assinatura Eletrônica!



Como funciona?



Como funciona?HASH é gerado a partir da chave pública

HASH é armazenado na mensagem

Autor assina a com sua chave privada

Novo HASH é gerado

O HASH é descriptografado partir da chave pública

Novo HASH é comparado com o original



MP 2.200-2 de Agosto/2001

Documentos Digitais



MP 2.200-2 de Agosto/2001“As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela

I C P - B r a s i l p r e s u m e m - s e verdadeiros em relação aos signatários”

(Artigo 10o § 1o)

Documentos Digitais




Documentos Digitais




“O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.”

(Artigo 10o § 2o)

Documentos Digitais



Caso real



IntegridadeAutenticidadeNão repudioDisponibilidadeConfidencialidadeAuditabilidade

Caso real



IntegridadeAutenticidadeNão repudioDisponibilidadeConfidencialidadeAuditabilidade

Caso real



Carimbo do tempo



Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos

Sincronizado a “Hora Legal Brasileira”

Carimbo do tempo



Integridade



Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento

Integridade



Autenticidade



Autenticidade

O receptor pode confirmar se a assinatura foi feita pelo emissor



Não repúdio



O emissor não pode negar a autenticidade da mensagem

Não repúdio



Confidencialidade



Confidencialidade

Passo 1: Alice envia sua chave pública para Bob

Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privada



Disponibilidade



Disponibilidade

A informação deve estar disponível apenas para seu uso legítimo



Auditabilidade



Auditabilidade

Deve haver informação relativa às ações de alteração ou consulta de dados Quem?

Quando?O que fez?



Por que preciso saber disso?



Ecosistema Fiscal

Vendeu?

Comprou?

Produziu?

Entregou?

Cliente

Fornecedor

Recebeu?

Pagou?

Contador

Fisco

Tem nota?

EFD ICMS/IPIEFD/CIAP

EFD PIS/COFINSEFD/FOLHA

Estoque?

SPED ContábilEFD Contábil

NF-eNFS-eCF-eCC-e

CT-eBrasil-id

Siniav

NF-eNFS-eCF-eCC-e

NF-eNFS-eCF-eCC-e



Vamos entender as principais

vulnerabilidades das empresas no mundo do

pós-SPED?



“Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital, emitido e armazenado eletronicamente, (...)

Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador.”

O que é a Nota Eletrônica?



Documento Fiscal Digital



Documento Fiscal Digital



Livro Contábil Digital



Livro Contábil Digital



Livro Fiscal Digital (ICMS/IPI)



Livro Fiscal Digital (ICMS/IPI)



Mas, nada muda na minha empresa, certo?



Vulnerabilidade #1



Vulnerabilidade #1

Tenho que verificar o arquivo XML

Ajuste SINIEF 07/2005

Cláusula décima

§ 1º O destinatário deverá ver ificar a v a l i d a d e e autenticidade da NF-e e a exi s tência de Autorização de Uso da NF-e.



Vulnerabilidade #2



Vulnerabilidade #2

Nota autorizada não me livra do "passivo fiscal"



Vulnerabilidade #2



Ainda que formalmente regular, n ã o s e r á c o n s i d e r a d o documento fiscal idôneo a NF-e que t iver sido emit ida ou utilizada com dolo, fraude, s i m u l a ç ã o o u e r r o , q u e possibilite, mesmo que a terceiro, o não-pagamento do imposto ou q u al q u e r o u t r a vant ag em indevida.

Vulnerabilidade #2


Cláusula quarta



Vulnerabilidade #3



Vulnerabilidade #3

Só posso cancelar NF-e se a mercadoria não circulou....



Vulnerabilidade #3



Vulnerabilidade #3ATO COTEPE/ICMS Nº 33 /2008

Efeitos a partir de 01.01.12:

Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo não superior a 24 horas, contado do momento em que foi concedida a respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a circulação da mercadoria ou a prestação de serviço e observadas às demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de 2005.



Vulnerabilidade #4



Vulnerabilidade #4

Tenho que enviar o arquivo XML ao destinatário e ao transportador



Vulnerabilidade #4



Vulnerabilidade #4Cláusula Sétima

§ 7º O emitente da NF-e deverá, obrigatoriamente, encaminhar ou disponibilizar download do arquivo da NF-e e seu respectivo Protocolo de Autorização de Uso ao destinatário e a o t r a n s p o r t ado r co nt r at ado, imediatamente após o recebimento da autorização de uso da NF-e.




Vulnerabilidade #5



Vulnerabilidade #5

Tenho que guardar o arquivo XML



Vulnerabilidade #5



Vulnerabilidade #5


Cláusula décima

O emitente e o destinatário deverão manter a NF-e em arquivo digital, sob sua guarda e responsabilidade, pelo prazo estabelecido na legislação tributária, mesmo que fora da empresa, devendo ser disponibilizado para a Administração Tributária quando solicitado. (...)

§ 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e, alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado.

§ 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo da recusa em seu verso.



Vulnerabilidade #6



Vulnerabilidade #6Troca de identidade



Vulnerabilidade #6



Vulnerabilidade #6“Empréstimo”de senha e a r m a z e n a m e n t o d e certificados digitais

eCPF, eCNPJ, ePJ

A1, A3, HSM



O que causa vulnerabilidade?



Causas das vulnerabilidades



Causas das vulnerabilidades

Falta de conhecimento Ganância: preços abaixo do

mercado Desrespeito as leis encarado

como comportamento comum

Tecnologia precária



Consequências



Consequências



Consequências

Mercadorias sem documento idôneo

Mercadorias de origem ilícita Problemas fiscais: documentos

inidôneos Sigilo fiscal e comercial violados Assinatura de contratos e

outros documentos



Tenho como evitar?



Solução: Paradigma do século XXI

Conhecimento

Comportamento

Tecnologia



Ação preventivas básicas



O dono da bola Quem é o responsável pela gestão da informação?

Definições:

políticas de segurança

políticas de backup

políticas de contingência



Termo de compromisso

Formaliza responsabilidades:

Sigilo de informações;

Cumprimento de normas de segurança;

Conduta ética.



Autenticação individual

Identifica as pessoas:

Senha;

Cartão ou token;

Biometria;

Certificado Digital.



“Empréstimo” de senha



“Empréstimo” de senha



Cópias de segurançaQual a política definida?

Qual a cópia mais antiga?

Os arquivos das estações têm cópias?

Os servidores têm cópias?

Onde são armazenadas?

Em que tipo de mídia?



Software homologadoItens de verificação:

manutenção

treinamento

suporte

condições comerciais

capacidade do fabricante

tendências



Uso de antivírusPrevenção além do software:

Anexos

Executável? No way!

Download? Só de sites confiáveis

Backup, sempre

Educação



O CaronaPrevenção contra

“sessões abertas” em sua ausência:

Conduta: Suspensão ou encerramento da sessão;

Mecanismo: Suspensão ou encerramento da sessão.



Correio eletrônico Pishing

Muitos golpes:

Notícias falsas

Propostas “irresistíveis”

Seu CPF foi...

Atualize sua senha...

blá, blá, blá...



Informações pessoais Cuidado com informação de:

Funcionários

Clientes

Parceiros

Quem pode acessar?

Parceiros?

Uso comercial?



Ambiente FísicoAhhh, reuniões rápidas:

no elevador

na festa

no avião

Quadros, flip chart, relatórios, etc

Lixão, de novo?

Quem entra, quem sai?



Engenharia socialProcedimentos para obtenção de informações

através de contatos falsos

“Conversa de malandro”

Lixão

Habilidades do farsante:

fala com conhecimento

adquire confiança

presta “favor”



Uso da Internet & Redes Sociais

Qual a sua opinião?









Ações preventivas

Conhecimento

Análise

Planejamento

Investimento

Educação.

Física

Software

Humana



Ações detectivas

Quanto antes, melhor

Monitoramento de eventos

O que monitorar?

Conhecimento

Análise

Planejamento

Investimento



Ações corretivas

Minimizar o problema

Quanto mais rápido, melhor



Plano de continuidade

Conhecimento

Análise

Planejamento

Investimento

Educação

Simulação

Contexto empresarial

Mapeamento de riscos



Direitos do usuário

Acesso individual

Informações para trabalhar

Saber o que é rastreado

Conhecer as políticas e normas

Ser avisado sobre tentativas de invasão

Treinamento sobre segurança

Comunicar ocorrências de segurança

Garantia de privacidade

Ser mais importante que a tecnologia



Mensagem sobre o segurança



Mensagem sobre o segurança


2o TrabalhoAnte-projeto Prática de Segurança: diagnóstico, análise de riscos, problema, solução, custo, beneficios, macro-cronograma.

Prazo: 14.5.2011 às 07:40

Pode ser em grupo

Escolha uma empresa para o estudo de caso real


2o Trabalho1. Ajustar o diagnóstico reavaliando as lacunas2. Análise de risco considerando as 7 lacunas relacionadas3. Definir estratégia para cada lacuna: mitigar, transferir, reduzir,aceitar4. Identificar problema, solução, custo, beneficios, macro-cronograma para 3 lacunas.


3a Parte:


Education

Pós-graduação: Políticas, práticas e procedimentos em Segurança da Informação - aula 1