Ementa Conceitos de Segurança
Transcrição
Ementa Conceitos de Segurança
Bibliografia Sugerida Segurança da Informação TCU Parte 1 Engº Mauro Carvalho Chehab, MSc, CISSP ISO/NBR ABNT 17799/2005; Nakamura Emilio & Geus, Paulo, Segurança de Redes em Ambientes Corporativos, 291 p, Berkeley, 2002 Martins, José Carlos Cordeiro, Gestão de Projetos de Segurança da Informação, 384 p., Ed. Brasport, 2003; Sêmola, Marcos, Gestão da Segurança da Informação – Uma Visão Executiva, 156 p., Ed. Campus, 2003; Ulbrich, Henrique Cesar; Della Valle, James, Universidade Hacker – 2a. Edição, 348 p., Ed. Digerati, 2003; Kurtz, George; Scambray, Joel; McLure, Stuart, Hackers Expostos, 832 p., Ed. Campus, 2003; [email protected] ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Segurança da Informação Ementa (1) Controles de acesso físico e lógico. Classificação e controle dos ativos de informação NBR ISO/IEC 17799:2005 Ementa ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Firewalls Autenticação de usuários, Senhas e Kerberos. Monitoramento de tráfego. Sniffer de rede. Interpretação de pacotes. Detecção e prevenção de ataques (IDS e IPS). Ataques e ameaças da Internet e de redes sem fio (phishing/scam, spoofing, DoS, flood). ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Segurança da Informação Conceitos básicos Configuração Principais Firewalls para a família Windows, Unix e Linux Proxy, NAT, Filtragem de pacotes, Roteadores e DMZ. Criptografia. Ementa(2) Estrutura, objetivos e conceitos gerais. Gerência de Riscos Plano de Continuidade de Negócio plano de contingência, de recuperação de desastres etc. Tratamento de incidentes e problemas. Vírus de computador e outros malware cavalos de tróia, adware, spyware, backdoors, keyloggers, worms, bots, botnets, rootkits Ataques e proteções relativos a hardware, software, sistemas operacionais, aplicações, bancos de dados, redes, pessoas e ambiente físico. Segurança de Redes. Conceitos básicos de criptografia. Sistemas criptográficos simétricos e de chave pública. Certificação e assinatura digital. Características dos principais protocolos criptográficos. Legislação sobre guarda de informações de terceiros e Vulnerabilidade. Segurança na Internet: Crimes com o uso do computador, Privacidade, Segurança de e-mail, Conceitos básicos de VPN e Segurança de servidores WWW, SMTP, POP, FTP e DNS. Vulnerabilidade dos Acessos remotos: Telnet, Terminal Server, IRC, ICQ e NetMeeting. Backup e recuperação de dados. Conceitos de Segurança Principais ferramentas de Backup para a família Windows, Unix e Linux Tipos de Backups Meios de armazenamento para Backups. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Pilares básicos da Segurança CID (ou CIA, em Inglês) Confidencialidade Conceitos: Segurança Proteger contra acesso não autorizado a informações; Proteger informação (ou parte) contra leitura/cópia por pessoal não autorizado; Rede: proteger dados em trânsito de captura; Objetivo: Integridade Confidencialidade Proteger informação privada Evitar escuta ou a inteligibilidade dos dados. Disponibilidade ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Integridade Proteger informação contra modificação sem permissão Garantir armazenamento seguro Em redes: Inclusive das cópias de segurança Também denominado continuidade dos serviços. Estratégias de Segurança (cont.) Participação Universal (Universal Participation) Diversidade na Defesa (Diversity of Defense) Simplicidade (KISS – Keep It Simple, Stupid) Tipos Assegurados (Type Enforcement) Restringir privilégios ao mínimo necessário; Defesa em Camadas (Defense in Depth) Elo mais Fraco (Weakest Link) Falha Segura (Fail Safe) Estratégias de Segurança Assegurar a usuários acesso aos dados a ele pertinentes; ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Canal Estreito (Chocke Point) ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Proteção dos serviços de forma que não sejam degradados ou se tornem indisponíveis; Impedir alteração ou forjamento de pacotes. Mínimo Privilégio (Least Privilege) Proteger contra escrita, alteração de conteúdo, alteração de status, remoção e criação; Disponibilidade Ter o mínimo de canais entre duas redes; Possuir mais de um mecanismo de segurança; Eliminar pontos mais fracos da rede; Conquistar os usuários no processo; Utilizar diferentes produtos e sistemas; Complexidade esconde problemas existentes; Programas acessam apenas recursos para suas tarefas. Na falha, nega acesso; ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Serviços de Controle de Acesso Serviços (também conhecido como AAA) Identificação Autenticação Autorização Contabilização (Accounting) Controle de Acesso Lógico Obtém a identidade do usuário Verifica se identidade pertence ao usuário Autoriza acesso do usuário a informação ou facilidade Registra o processo de acesso do usuário ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Autenticação de usuários e dispositivos ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Biometria Face Retina Modos de autenticação Conhecimento Senha/Phassfrase Tokens Cartões de memória e inteligentes Característica pessoal Fisiológica Retina / Íris Impressão Digital de Comportamento Assinatura Digitação Voz Íris Assinatura Impressão digital Geometria da mão Acesso apenas de pontos bem definidos - Uso militar Segundo demais autores, faz parte da autorização Reconhece anéis coloridos do tecido que circunda a pupila Mais preciso Alguns autores consideram também Localização Reconhece vasos sanguíneos no fundo dos olhos. Posse Reconhece características da face e de sua estrutura óssea. Analisa velocidade e pressão de uma assinatura. Reconhece os sulcos da impressão são rápidos, de fácil operação Medidas da mão do usuário Digitação Reconhece a velocidade e pressão utilizadas ao digitar informações no teclado ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Mecanismos de Controle de Acesso Autenticação Forte Consiste em autenticação por mais de um modo. Exemplos: Cartão e senha do banco; Digital e senha; Token e senha; Terminal de acesso privilegiado, íris e senha. Ocorre em duas camadas: Cliente (ou sujeito) Pessoa ou equipamento que deseja obter acesso a uma informação ou facilidade Servidor (ou objeto) ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Pessoas ou equipamentos que estão incumbidos de identificar, autenticar, autorizar e registrar (contabilizar) o acesso e as suas tentativas. Pode ser: Lógico: Acesso a sistemas Físico: Acesso às dependências da empresa ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Proteção de Sistemas Operacionais Monitor de Referência Kernel de Segurança Operação Recebe solicitações dos sujeitos Consulta a base de dados Armazena registro de auditoria Envia consulta aos objetos Base de Computação Confiável (Trusted Computer Base - TCB) Kernel de Segurança Parte do TCB que implementa o Monitor de Referência Facilidades É protegido contra modificações Permite ser testado quanto a sua segurança Deve ser sempre ser acionado Composição Hardware Firmware Software ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Kernel de Segurança da Base de Computação Confiável - TCB Banco de Dados do Kernel de Segurança Sujeitos ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Gerenciamento de Identidade Necessidade Monitor de Referência (Políticas) Kernel de Segurança Insatisfação com múltiplos logins/senhas Inabilidade de atendimento regulatório Falta de identificação correta dos usuários e recursos Fraquezas no controle de senhas Objetos Registros, em caso de violação da informação Ineficiência do processo adminstrativo das senhas Registro de senhas em papéis, por parte do usuário Arquivo de Auditoria ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Controle de Acesso Centralizado Acesso a dados Quanto a centralização do controle Controle de Acesso Centralizado (Centralized Access Control) Controle de Acesso Descentralizado (Decentralized Access Control) ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Uma entidade (indivíduo, departamento, dispositivo) toma decisões de acesso Gestores decidem quais usuários podem acessar objetos específicos A administração suporta estas diretrizes ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Controle de Acesso Descentralizado Controle é dado ao pessoal mais próximo do recurso por gerentes departamentais e, em alguns casos, por usuários Requisições de acesso não são processados por uma entidade centralizada Relacionamento ponto a ponto Problemas: Falta de Padronização Possibilita superposição de direitos Possibilita furos de segurança Acesso a dados Quanto ao controle pelo sistema Controle de Acesso Mandatório - MAC Controle de Acesso Discricionário - DAC ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Controle de Acesso Mandatório MAC - Mandatory Access Control Conceito Controle de Acesso Mandatório O gestor e o sistema determinam quem tem acesso A decisão do sistema baseia-se em Privilégio (Clearance) do usuário (Subject) Sensibilidade (classificação) do objeto (arquivo) Requer etiquetamento da informação Baseado na política de segurança da organização Impõe limite aos autorizadores Características: Usado em sistemas que protegem informações bastante sensíveis Atribui etiquetas de sensibilidade para todos os sujeitos e objetos Nível de sensibilidade do objeto e nível de privilégio (clearance) determinam acesso Permite processamento de múltiplos níveis em um sistema ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Política Controle de Acesso Mandatório (cont.) ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Controle de Acesso Discricionário DAC - Discretionary Access Control Administrador do sistema instala níveis de privilégio Gestor da informação estabelece etiquetamento de sensibilidade Conceito Tipos Isolamento Temporal (Time-Based Isolation) Controle de Acesso Baseado em Regras Controle de Acesso Baseado em Perfil (RBAC) Controle de Acesso Dependente do Conteúdo Interface de Acesso Restrita Tabela de Capacidade ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Lista de Controle de Acesso (ACL) Matriz de Controle de Acesso O Sistema aplica a política O gestor do recurso determina quem tem acessos e quais são os privilégios ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Controle de Acesso Baseado em Regras Rule Based Access Control O acesso é baseado em uma lista de regras O administrador cria a lista de regras Mecanismos de mediação aplicam as regras para garantir acesso autorizado Controle de Acesso Baseado em Perfil RBAC - Role Based Access Control Decisões de controle de acesso são baseadas em função do cargo Cada função possui suas próprias capacidades de acesso conforme o perfil (role) As capacidades de acesso são herdadas pelos usuários atribuídos a aquele cargo A determinação do perfil (role) é discricionária, conforme uma política de segurança de controle de acesso Interceptam cada requisição, comparando com as autorizações do usuário ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Controle de Acesso Baseado em Perfil (cont.) Diferenças entre MAC e DAC Grupos de usuários necessitam privilégios DAC similares ou idênticos Geralmente associados com controle discricionário (DAC) Privilégios apropriados a perfis funcionais são designados Apenas o gestor necessita permitir acesso MAC Usuários individuais são alocado a perfis apropriados A permissão de acesso requer: Permissão do dono e do sistema Etiquetamento da informação Privilégio do sujeito Privilégios são herdados ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Limites Físicos Dependências e ambientes Áreas Cuidados e prioridades diferentes Controle de Acesso Físico Pequenos espaços determinados dentro das instalações. grandes espaços dentro dos quais se edificam instalações. em função da importância para o negócio. depender do nível de sensibilidade ou periculosidade de cada local ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Em relação ao processo institucional às pessoas ao meio ambiente à sociedade. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Tipos de Barreiras de Segurança Perímetro de Segurança Consiste em se estabelecer ambientes físicos segmentados a fim de proporcionar diferentes níveis de segurança. desestimular as ameaças Pela existência explicita de mecanismos de segurança físicos, tecnológicos e humanos. Exemplos Câmeras de vídeo, avisos da existência de alarmes, divulgação de política de segurança ou informar sobre práticas de auditoria e monitoramento Locais com Informações mais sensíveis, devem estar mais protegidos Muitas vezes associado à compartimentalização de espaços físicos e lógicos. Barreiras de segurança Implementar os perímetros São seis as barreiras de segurança: a) Desencorajar: b) Dificultar: adotar mecanismos e controles que irão dificultar o acesso indevido Exemplos: Dispositivos de autenticação para acesso físico: roletas, detectores de metal e alarmes; senhas; certificados digitais; firewall; etc. Segmentar áreas físicas ou lógicas Oferecer níveis de resistência e proteção complementares e crescentes. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Tipos de Barreiras de Segurança (cont.) c) Discriminar: Utilizar recursos para identificar e gerir acessos, definindo perfis e autorizando permissões. Exemplos: Avaliação e gestão de recursos, como correio eletrônico, impressora, fluxo de acesso físico a ambientes e sistemas ©2004-2007 Prof. Mauro Carvalho Chehab, MSc d) Detectar: ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Requisitos de Proteção de Informação A segurança física deve salvaguardar contra: Controles físicos requeridos: dano, perda e roubo Solo perímetro edifício Pontos de entrada ao edifício Dentro do prédio Andares Escritórios Segurança DataCenter Sala de servidores Proteção de equipamentos de TI Proteção de objetos Impedir que a ameaça atinja objetivos essenciais Exemplos: medidas de detenção: ações administrativas e punitivas; bloqueio de acessos f) Diagnosticar: Sinalizar, alertar e instrumentalizar gestores da segurança na detecção de situações de risco Exemplos: detecção de tentativa de invasão, de contaminação por vírus, de cópia não autorizada de informações sigilosas. e) Deter: Tipos de Barreiras de Segurança (cont.) Avaliar a eficiência das barreiras, apoiado em análise de risco atentando a novas ou a velhas ameaças com novas formas de agir,e a novos produtos e soluções de segurança. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Barreiras de Perímetro When Perimeter Barriers Work: '50 to 0 in One Inch' On 14 MAR, a truck with two occupants tried to run the Swan Gate at DavisMonthan AFB in Tucson. They found out the hard way the pop up barrier works. The truck went from 50 mph to 0 mph in about 1 inch. Driver and passenger were both drunk and high, drugs and a gun was found in the vehicle. Both of them were also unbuckled, so needless to say they had a date with a local ICU nurse. I guess these barriers are operational." http://www.securityinfowatch.com/article/article.jsp?siteSection=452&id=8362 Ambiente de Proteção da Informação ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Ameaças Definições aplicadas a Segurança Física Qualquer indicação, circunstância ou evento que possa causar perda ou dano a recurso, lesões a pessoas ou perdas de vidas Tipos de ameaça Natural Causadas por seres humanos Muros Janelas Vidros normais (standard plate) Temperados Materiais acrílicos Policarbonados combinações Design ambiental Produz efeitos comportamentais ante ameaças, reduzindo: O incidente O risco do crime Foca nas relações entre comportamento social das pessoas e no seu ambiente Vidro policarbonados melhor de cada material Lexan Alta resistência (vide http://www.geplastics.com.br/resinsbr/resins/materials/lexan.html) Bomb Blast Film Filmes resistentes a ventos causados por explosão Janelas resistentes a balas Sensores de quebra de vidros ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Aspectos de contrução de facilidades ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Aspectos de contrução de facilidades (cont) Portas Ocas (Hollow-core) Sólidas (Solid-core) dobradiças (Hinges) vulnerabilidades nos portais (doorframe) Mantraps Sistemas com duas portas NBR ISO/IEC 17799:2005 Pontos de Entrada Entradas Primárias Secundárias Estrutura, objetivos e conceitos gerais. Janelas Acesso pelo teto Entradas de manutenção Saídas de emergência Docas de carga ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc O que é Segurança da Informação? Informação Ativo essencial para os negócios Necessita proteção adequada Exposta a: Ameaças Vulnerabilidades Existe em diversas formas: Proteção da informação de vários tipos de ameaças para garantir a Continuidade do negócio Minimizar o risco do negócio; Maximizar retorno sobre investimentos e oportunidades de negócio; Papel, eletrônica, transmitida, filmada, falada ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Implementação de controles (cont) Implementação de controles Garante eficácia na gestão de segurança Inclui: Controles precisam ser: Estabelecidos Implementados Políticas Processos Procedimentos Monitorados Analisados criticamente Estruturas Organizacionais Melhorados Funções de Software e Hardware ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Gestão da Segurança da Informação Função da Segurança Viabilizar os negócios Requer participação de: eGov Setor Privado Setor Público: Todos os funcionários da organização Pode ser necessário também: Acionistas Fornecedores Terceiras partes eBusiness Clientes Outras partes externas Consultoria externa Evitar ou reduzir riscos relevantes ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Estabelecimento de Requisitos Fontes principais: Análise de riscos Levando em conta objetivos e estratégias globais de negócio da organização Identifica vulnerabilidades e probabilidade de ocorrência de ameaças a ativos e Impacto potencial ao negócio Repetida periodicamente Legislação vigente Princípios, objetivos e requisitos do negócio para apoiar as operações da organização ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Seleção de controles Podem ser selecionados à partir Da ABNT ISO/IEC 17799:2005 De um outro conjunto de controles Novos controles podem ser desenvolvidos para atender necessidade específica Depende: Das decisões da organização Sujeito a regulamentação relevante ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Baseadas nos critérios de aceitação de risco Nas opções para tratamento de risco No enfoque da gestão de risco Aplicado à organização ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Ponto de Partida Controles considerados essenciais Aplicam-se a maior parte das organizações; Não substitui seleção de controles baseados em análise de risco. Controles: Sob ponto de vista legal: Fatores críticos de sucesso (1) Proteção de dados e privacidade de informações pessoais; Proteção de registros organizacionais; Propriedade Intelectual; Práticas para Segurança da Informação A Política de Segurança da Informação; Atribuição de responsabilidades; Conscientização, educação e treinamento; Processamento correto nas aplicações; Gestão de vulnerabilidades técnicas; Gestão da continuidade do negócio; Gestão de Incidentes Política de Segurança, Objetivos e Atividades Refletindo objetivos do negócio Abordagem consistente com a cultura organizacional Comprometimento e apoio dos níveis gerenciais; Bom entendimento dos requisitos de segurança e da gestão do risco; ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Fatores críticos de sucesso (2) Divulgação eficiente da SegInfo Para gerentes, funcionários e outras partes Para alcançar conscientização Distribuição de diretrizes e normas Provisão de Recursos Financeiros Provisão de capacitação adequada Estabelecimento de processo de gestão de incidentes Implementação de sistema de medição ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Termos e Definições (1) Ativo Controle Qualquer coisa que tenha valor para a organização Forma de gerenciar o risco, incluindo: Políticas, Procedimentos, diretrizes, práticas; estruturas organizacionais Sinônimo de proteção ou contramedida; Para gerentes, funcionários e outras partes Política Diretriz avaliar desempenho da gestão de segurança Intenções e diretrizes globais fortemente expressas pela direção Descrição que orienta o que deve ser feito e como Para alcançar os objetivos estabelecidos nas políticas Recursos de Processamento da Informação Qualquer sistema, serviço, infra-estrutura ou instalações físicas de processamento de informação ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Termos e Definições (2) Segurança da Informação (SegInfo) preservação da CID (Confidencilidade, Integridade e Disponibilidade) Adicionalmente: autenticidade, responsabilidade, não repúdio e confiabilidade ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Risco Ocorrência que indica possível violação da Política de segurança, falha de controles ou situação desconhecida que possa ser relevante para SegInfo ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Probabilidade de um evento e suas conseqüências Ameaça Evento de Segurança da informação Conceitos de Riscos (1) Causa potencial de um incidente indesejado que pode resultar em dando para um sistema ou organização Vulnerabilidade Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Classificação das Vulnerabilidades Vulnerabilidades Vulnerabilidade é um ponto no qual o sistema é suscetível a ataque. Por exemplo: As pessoas que operam e usam o sistema (elas foram treinadas adequadamente)? A conexão do sistema à Internet (as comunicações são criptografadas)? O prédio estar em uma área sujeita a inundações (o sistema está no piso térreo do prédio)? As vulnerabilidades as quais os sistemas de informação estão sujeitos podem ser classificadas em: físicas; naturais; de hardware e software; de mídia; por emanação (p. ex. eletromagéticas); de comunicação; humanas. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Vulnerabilidades Físicas Os prédios e salas que mantém o sistema são vulneráveis podendo ser invadidos; Por exemplo: Através de arrombamento. Um avião pode entrar pela porta do seu CPD (11/Setembro/2001)!!! Vulnerabilidades Naturais Computadores são extremamente vulneráveis a desastres de ordem natural e às ameaças ambientais. Desastres como fogo, inundação, terremoto e perda de energia podem danificar computadores ou destruir dados. Poeira, umidade ou condições de temperatura inadequadas também podem causar estragos. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Vulnerabilidades de Hardware e Software Falhas de hardware e software podem comprometer toda a segurança de um sistema. Falhas de software ou bugs podem abrir buracos ou portas no sistema, ou ainda, fazê-lo comportar-se de forma imprevista. Mesmo que individualmente os componentes de hardware e software sejam seguros, a sua instalação ou conexão inadequadas podem comprometer a segurança do sistema. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Vulnerabilidades de Mídia Discos, fitas e material impresso pode ser facilmente roubado ou danificado. Informações sensíveis podem ser mantidas em discos ou fitas mesmo após terem sido logicamente removidas, mas não fisicamente apagadas. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Vulnerabilidades por Emanação Eletromagética Todos equipamentos eletrônicos emitem radiações elétricas e eletromagnéticas. Os sinais emitidos por computadores, equipamentos de rede e monitores podem ser captados e decifrados permitindo a obtenção das informações contidas no sistema ou a inferência sobre seu conteúdo. Redes sem fio transmitem sinais muitas vezes em claro que podem ser captados. Vulnerabilidades na comunicação Mensagens em trânsito podem ser interceptadas, desviadas ou forjadas. Linhas de comunicação podem ser escutadas ou interrompidas. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Vulnerabilidades Humanas As pessoas que administram e usam o sistema representam sua maior vulnerabilidade. Normalmente a segurança de todo o sistema está sob o controle do administrador do sistema. Os usuários, operadores ou administradores do sistema podem cometer erros que comprometam o sistema ou ainda, podem ser subornados ou coagidos a cometer atos danosos. Ameaças Consiste em possíveis perigos para o sistema. O perigo pode ser originado por: ©2004-2007 Prof. Mauro Carvalho Chehab, MSc uma pessoa (um espião, um criminoso profissional, um hacker ou mesmo um funcionário mal intencionado); uma coisa (uma peça de hardware ou software defeituosa); um evento (fogo, queda de energia, uma inundação ou terremoto). ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Tipos de Ameaças Ameaças naturais As ameaças que podem ser oferecidas pelo ambiente ao qual o sistema está exposto podem ser classificadas em: São ameaças às quais todos equipamentos ou instalações físicas de uma organização podem estar sujeitas: fogo, inundações, quedas de energia. naturais e físicas; Normalmente é difícil evitar a ocorrência de tais eventos. não-intencionais; Pode-se minimizar as chances de que o estrago será severo e também fazer o planejamento para a recuperação após a ocorrência de um desastre de ordem natural. intencionais. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Ameaças não intencionais Ameaças Intencionais São os perigos trazidos pela ignorância. Por exemplo: um usuário ou administrador de sistema que não tenha sido treinado; que não tenha lido a documentação; que não tenha entendido a importância do cumprimento das regras de segurança estabelecidas. São as ameaças que viram notícias de jornal e sobre as quais os produtos de segurança melhor podem atuar. As ameaças intencionais podem surgir a partir de dois tipos de vilões: internos ou externos. Vilões externos incluem: Criminosos profissionais Hackers Terroristas Empresas competidoras A maior parte dos danos causados no sistema surgem pela ignorância dos seus usuários ou administradores e não por ações maliciosas. Foram objeto de estudos na primeira parte do curso. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Impactos Representa a importância de cada ativo no negócio. É função do valor do ativo e da importância do ativo para a organização. Conceitos de Riscos (2) Uso sistemático de informações para identificar fontes e estimar o risco Avaliação de Riscos Processo de comparar o risco estimado com critérios prédefinidos para determinar a importância do risco Análise/Avaliação de Riscos Tratamento do risco Exemplo: Análise de Riscos A perda da agenda de anotações do presidente pode ter maior impacto que o roubo de um micro no call-center. Processo completo de análise e avaliação de riscos Processo de seleção e implementação de medidas para modificar um risco ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Análise/Avaliação e Tratamento de Riscos (1) Conceitos de Riscos (3) Gestão de Riscos Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos Inclui Análise/Avaliação de Riscos Tratamento de Riscos Aceitação de Riscos Comunicação de Riscos Recomendações: Análises/Avaliações de riscos identifiquem, quantifiquem e priorizem riscos Com base nos objetivos da organização Orientando e determinando ações para gerenciamento de riscos Enfoque sistemático Realizados periodicamente Determinar a significância do risco Contemplando ativos, ameaças, vulnerabilidades, impactos, avaliação do risco Repetido quando uma mudança significativa ocorrer Realizado de forma metódica: ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Resultados comparáveis e reproduzíveis ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Análise/Avaliação e Tratamento de Riscos (2) Devem ser definidos os critérios para aceitação do risco Escopo claramente definido Tratamento do Risco Inclua relacionamentos com análise/avaliação de risco Decisão quanto a tratamento Aceitar Risco de outras áreas Pode ser: Toda a organização; Reduzir do risco Evitar risco Parte da organização Sistema específico Quando o risco é baixo Quando o tratamento não é econômicamente viável Devem atender à Política e aos critérios para aceitação do risco Serviços Pela aplicação de controles Não permitindo ações que poderiam causar ocorrência de riscos Transferir risco para outras partes como seguradoras ou fornecedores ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Seleção de controles para redução do risco Devem reduzir a um nível aceitável Levando em conta Atendendo aos requisitos da análise/avaliação Requisitos/restrições legais Objetivos organizacionais Requisitos/restrições operacionais Custo de implementação/operação Viabilidade econômica Investimento x Impacto financeiro Política Nenhum conjunto de controles pode conseguir segurança completa de Segurança Ação gerencial adicional deve ser implementada para monitorar/avaliar/melhorar eficiência e eficácia ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Políticas de Segurança Políticas Funcionais Política Geral da Organização Diretrizes (Guidelines) ações recomendadas Diretrizes Recuperação de Desastre Diretrizes Configuração de Segurança Normas da Organização Linhas de Base (Baselines) nível de segurança desejado Plano de Recuperação de Desastre Configurações para controle de acesso Configurações para detecção de intrusão Procedimentos (Procedures) instruções passo a passo Procedimentos de Recuperação de Desastre Procedimentos de registro de usuários Procedimentos de resposta a incidentes Padrão de sistema de controle de acesso Padrão de sistema de detecção de intrusão Padrões (Standards) específico para hardware/software ©2004-2007 Prof. Mauro Carvalho Chehab, MSc NBR ISO/IEC 17799:2005 Melhores Práticas de Segurança ©2004-2007 Prof. Mauro Carvalho Chehab, MSc NBR ISO/IEC 17799:2005 Política de S. I. Objetivo: Prover orientação/apoio da direção para a S. I. De acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Estabelecida pela direção Política clara, alinhada com objetivos do negócio; Demonstre apoio/comprometimento com a S.I. Publicação/manutenção de uma política de S.I. 1. Política de Segurança da Informação Documento da política de S. I. Deve ser aprovada pela direção, publicada e comunicada: para todos os funcionários e partes externas relevantes Diretrizes para implementação Deve declarar comprometimento da direção estabelecer o enfoque da organização para gerenciar a S. I. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Política de S. I. (cont) Política de S. I. (cont) Responsabilidades gerais e específicas na gestão Registro dos incidentes de S. I. ; Referências à documentação: políticas/procedimentos/regras mais detalhadas Deve conter declarações relativas a: Definição de S. I. , metas globais, escopo e importância da S. I. como mecanismo que habilita o compartilhamento da informação; Declaração do comprometimento da direção, apoiando as metas/princípios, alinhada com os objetivos/estratégias de negócio; Estrutura para estabelecimento de objetivos de controle e os controles, incluindo a estrutura de gerenciamento de risco; Breve explanação das políticas, princípios, normas e requisitos de conformidade específicos para a organização, incluindo: conformidade, conscientização, continuidade do negócio, conseqüências das violações; Comunicada para toda organização Pode ser uma parte de um documento da política geral. Se distribuída fora da organização Análise crítica da política de S. I. Relevante, acessível e compreensível para o leitor Cuidado para não revelar informações sensíveis. Política analisada criticamente a intervalos planejados ou em mudanças significativas ocorrerem para assegurar a sua contínua pertinência, adequação e eficácia. A política de S. I. tenha um gestor aprovado responsabilidade no desenvolvimento, análise crítica e avaliação da política ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Diretrizes para implementação (cont.) Diretrizes para implementação a análise crítica deve incluir avaliação de oportunidades para melhoria Gerenciar a S. I. em resposta à mudanças levar em conta resultados da análise crítica pela direção. Devem ser definidos procedimentos para análise crítica incluindo programação/período para análise crítica. Entradas para análise crítica pela direção incluem: a) realimentação das partes interessadas; b) resultados de análises críticas independentes; c) situação de ações preventivas e corretivas; d) resultados de análises críticas anteriores; e) desempenho do processo e conformidade com política f) mudanças que possam afetar o gerenciamento de S. I.; g) tendências quanto a ameaças e vulnerabilidades; h) relato sobre incidentes de S. I. i) recomendações fornecidas por autoridades relevantes ©2004-2007 Prof. Mauro Carvalho Chehab, MSc As saídas da análise crítica incluam decisões/ações relacionadas a: a) melhoria do enfoque da organização para gerenciar a S. I. e seus processos; b) melhoria dos controles e dos objetivos de controles; c) melhoria na alocação de recursos e/ou de responsabilidades. Registro da análise crítica pela direção seja mantido. Aprovação pela direção da política de S. I. revisada seja obtida. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 2 Organizando a segurança da informação NBR ISO/IEC 17799:2005 Infra-estrutura da segurança da informação 2. Organizando a segurança da informação Objetivo: Gerenciar a segurança da informação dentro da organização. Estrutura de gerenciamento estabelecida para iniciar e controlar a implementação de SI Cabe a direção: Aprovar a política de SI Atribuir funções da segurança; Coordenar e analise criticamente a implementação da SI Se necessário, consultoria especializada Convém contatos com especialistas ou grupos de SI externos incluindo autoridades para manter atualizado, fornecer apoio adequado para tratamento de incidentes Incentivo a enfoque multidisciplinar ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 2 Organizando a segurança da informação (cont.) Comprometimento da direção 2 Organizando a segurança da informação (cont.) a direção deve apoiar ativamente SI Claro direcionamento, demonstrando o seu comprometimento, definindo explicitamente atribuições, conhecendo as responsabilidades pela SI Diretrizes para implementação Cabe a direção: Assegurar identificação e atendimento das metas de SI de forma integrada nos processos relevantes Formule, analise e aprove a política Analise a eficácia da implementação Forneça um claro direcionamento e apoio Forneça os recursos necessários Aprove atribuições e responsabilidades Inicie planos e programas de conscientização Assegurar implementação dos controles por uma coordenação que permeie a organização; Identificar necessidades da consultoria de um especialista interno ou externo. Tais responsabilidades podem ser conduzidas: por um fórum de gestão exclusivo por um fórum de gestão existente como o conselho de diretores. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Coordenação da segurança da informação Atividades de segurança da informação coordenadas por representantes de diferentes partes da organização, com funções e papéis relevantes. Diretrizes para implementação A coordenação de SI deve obter cooperação de: Gerentes; Usuários; Administradores; Desenvolvedores; Auditores; Especialistas em segurança; Especialistas em seguros; Juristas; RH; TI; Gestão de riscos. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Coordenação da segurança da informação (cont.) Esta atividade deve: Garantir que as atividades de SI sejam executadas de acordo com a política Identificar como conduzir não-conformidades; Aprovar as metodologias e processos, tais como análise/avaliação de riscos e classificação da informação Identificar ameaças significativas e exposição da informação e dos recursos às ameaças; Avaliar a adequação e coordene a implementação de controles Promover capacitação Avaliar informações recebidas do monitoramento e da análise crítica dos incidentes e recomendar ações apropriadas como resposta para os incidentes ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Atribuição de responsabilidades para S. I. Todas as responsabilidades pela segurança da informação devem estar claramente definidas Em conformidade com a política Areas responsáveis claramente definidas: a) ativos e processos de SI em cada sistema identificados e definidos; b) gestor responsável por ativo ou processo de SI tenha atribuições definidas e documentados em detalhe c) níveis de autorização claramente definidos e documentados. Processo de autorização para recursos de processamento da informação Deve ser definido e implementado processo de gestão de autorização para novos recursos Diretrizes a) novos recursos tenham a autorização conforme propósitos e uso, obtida junto ao gestor responsável, garantindo atendimento a todas as políticas e requisitos b) hardware e software verificados para garantir compatibilidade com outros componentes c) controles complementares para dispositivos móveis e pessoais ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Acordos de confidencialidade requisitos para confidencialidade ou acordos de não divulgação devem ser identificados e analisados regularmente. deve considerar os requisitos de proteção de informações confidenciais, do ponto de vista legal, incluindo: a) uma definição da informação da confidencial b) duração esperado de um acordo c) ações requeridas quando um acordo for encerrado; d) responsabilidades para evitar a divulgação não autorizada da informação e) proprietário da informação, segredos comerciais e de propriedade intelectual, f) uso permitido da informação confidencial g) direito de auditar e monitorar h) processo relato de violações i) termos para a informação ser retornada ou destruída quando da suspensão do acordo; j) ações em caso de uma violação ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Contatos externos Contato com autoridades Manter contatos apropriados com autoridades relevantes procedimentos que especifiquem quando e por quais autoridades devem ser contatadas e como incidentes de SI devem ser notificados no caso de suspeita de violação legal Contato com grupos especiais convém contatos apropriados com grupos de interesses especiais como fóruns especializados em SI e associações profissionais para a) ampliar o conhecimento sobre as melhores práticas e manterse atualizado b) verificar se ambiente de SI está correto e completo; c) receber previamente advertências de alertas Acordos de confidencialidade (cont.) Contatos externos (cont.) d) conseguir acesso à consultoria especializada e) compartilhar e trocar informações f) prover relacionamentos para tratar com incidentes Tais acordos devem identificar requisitos para a proteção de informações sensíveis. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Outros controles 3 Gestão de Ativos Convém que todos os requisitos de segurança da informação identificados sejam considerados antes de conceder aos clientes o acesso aos ativos ou às informações da organização. Convém que os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamento da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação cubram todos os requisitos de segurança da informação relevantes. Convém que todos os ativos sejam inventariados e tenham um proprietário responsável. não significa que tenha qualquer direito de propriedade ao ativo. Classificação da informação a) informação; b) software; c) físicos; d) serviços; e) pessoas e suas qualificações, habilidades e experiências; f) intangíveis Tais como: reputação e a imagem da organização. todas as informações e ativos associados com recursos de processamento da informação devem ter proprietário Uso aceitável: identificadas, documentadas e implementadas regras para que sejam permitidos o uso de informações e de ativos associados aos recursos de processamento da informação. Informação deve ser classificada em termos de: seu valor requisitos legais sensibilidade e criticidade para a organização. A informação deixa de ser sensível ou crítica após um certo período de tempo Classificação superestimada pode levar à implementação de custos desnecessários, resultando em despesas adicionais Definir e Implementar conjunto apropriado de procedimentos para rotulação e tratamento da informação ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Tipos de Ativos pessoa ou organismo que com responsabilidade autorizada para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 3 Gestão de Ativos (cont) Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc proprietário: 4 Segurança em Recursos Humanos Antes da Contratação Contratação Inclui aquisição de RH, mudanças funcionais, contratos e encerramento desses Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos Seleção ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Seleção (cont) verificações de controle de todos os candidatos a emprego, fornecedores e terceiros sejam realizadas de acordo com as leis relevantes, regulamentações e éticas, e proporcional aos requisitos do negócio, à classificação das informações a serem acessadas e aos riscos percebidos. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Onde permitido, considerar também os seguintes itens: a) Referências de caráter; b) Verificação das informações do currículo; c) confirmação das qualificações acadêmicas e profissionais; d) verificação independente da identidade; e) verificações mais detalhadas: verificações financeiras; verificações de registros criminais; Existem algumas disussões quanto a legalidade destes atos. convém que os funcionários, fornecedores e terceiros concordem e assinem os termos e condições de sua contratação para o trabalho, os quais devem declarar as suas responsabilidades e a da organização para a segurança da informação. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Encerramento ou mudança da contratação Durante a contratação responsabilidades pela direção sejam definidas para garantir que a segurança da informação é aplicada em todo trabalho individual dentro da organização. Responsabilidades definidas para saída de funcionários, fornecedores e terceiros da organização de modo controlado devolução de todos os equipamentos retirada de direitos de acesso responsabilidades de mudança claramente definidas e atribuídas. Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para as suas funções Convém que exista um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação. Convém devolução dos ativos da organização após o encerramento de atividades, do contrato ou acordo. Convém que direitos de acesso de todos os funcionários, fornecedores e terceiros às informações e aos recursos de processamento da informação sejam retirados após o encerramento de suas atividades, contratos ou acordos, ou ajustado após a mudança destas atividades. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 5 Segurança Física e do Ambiente Instalações de processamento da informação sensíveis mantidas em áreas seguras Segurança contra ameaças físicas e do meio ambiente Instalação e proteção do equipamento; Utilidades (infra-estrutura) adequadas; protegidas por perímetros de segurança, com barreiras de segurança e controles de acesso apropriados Segurança no cabeamento; fisicamente protegidas contra o acesso não autorizado, danos e interferências. Manutenção correta; compatível com os riscos identificados diretrizes de trabalho em áreas seguras Segurança para equipamentos fora das dependências da organização; áreas separadas para carga/descarga e acesso público Reutilização e alienação segura; Proteção quanto a remoção de propriedade; ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 6 Gerenciamento das Operações e Comunicações (1) Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações sejam definidos. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 6 Gerenciamento das Operações e Comunicações (2) Documentação dos procedimentos de operação Incluindo: Abrange o desenvolvimento de procedimentos operacionais apropriados. Convém que seja utilizada a segregação de funções quando apropriado, para reduzir o risco de mau uso ou uso doloso dos sistemas. Gestão de mudanças ©2004-2007 Prof. Mauro Carvalho Chehab, MSc a) processamento e tratamento da informação; b) backup c) requisitos de agendamento d) tratamento de erros, incluindo restrições de uso dos utilitários do sistema e) contatos de suporte f) tratamento de resultados especiais e mídias g) procedimento para o reinício e recuperação em caso de falha do sistema; h) gerenciamento de trilhas de auditoria e informações de registros (log) de sistemas Incluindo serviços terceirizados ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 6 Gerenciamento das Operações e Comunicações (3) Segregação de Funções Separação dos recursos de desenvolvimento, teste e de produção Gerenciamento de serviços terceirizados funções e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização 6 Gerenciamento das Operações e Comunicações (4) Planejamento e aceitação dos sistemas Gestão de capacidade Aceitação de sistemas Proteção contra códigos maliciosos a) proibir uso de softwares não autorizados; b) estabelecer uma política para proteção contra os riscos associados com a importação de arquivos; c) conduzir análises críticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio; garantir que os serviços entregues atendem a todos os requisitos acordados com os terceiros. d) instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos; Proteção contra códigos móveis Monitoramento e análise crítica de serviços terceirizados a presença de arquivos não aprovados ou atualização não autorizada seja formalmente investigada; códigos móveis: javascript, applets, e similares; ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 6 Gerenciamento das Operações e Comunicações (5) Cópias de segurança e) nível apropriado de proteção física e ambiental f) mídias testadas regularmente g) procedimentos de recuperação verificados regularmente, e verificação se podem ser concluídos dentro dos prazos requeridos h) protegidas através de criptografia, se necessário. 6 Gerenciamento das Operações e Comunicações (6) Segurança em rede convém que os seguintes itens sejam considerados: a) a responsabilidade operacional pelas redes seja separada da operação dos recursos computacionais onde for apropriado; b) estabelecer responsabilidades e procedimentos sobre o gerenciamento de equipamentos remotos distância suficiente para escapar a desastres no local principal; a) definição do nível necessário das cópias de segurança das informações; b) produção de registros das cópias e procedimentos de restauração; c) a extensão (completa/diferencial) e a freqüência da geração das cópias de segurança d) armazenadas em uma localidade remota ©2004-2007 Prof. Mauro Carvalho Chehab, MSc consistente com normas e controles da instalação principal ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 6 Gerenciamento das Operações e Comunicações (7) Segurança dos serviços de rede Convém que as características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede sejam identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente ou terceirizados. Gerenciamento de mídias removíveis Procedimentos para o tratamento e o armazenamento de informações Descarte de mídias Para proteger contra a divulgação não autorizada ou uso indevido. Segurança da documentação dos sistemas ©2004-2007 Prof. Mauro Carvalho Chehab, MSc incluindo equipamentos em áreas de usuários; c) Controles para proteção da confidencialidade, integridade e disponibilidade em redes públicas ou sem fio d) mecanismos para monitoração para gravação de ações relevantes e) gerenciamento coordenado para otimizar os serviços e assegurar que os controles estejam aplicados de forma consistente ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 6 Gerenciamento das Operações e Comunicações (8) Procedimentos para tratamento de informação Convém que os seguintes itens sejam considerados: a) tratamento e identificação de todos os meios magnéticos indicando o nível de classificação; b) restrições de acesso para prevenir o acesso de pessoas não autorizadas; c) manutenção de um registro formal dos destinatários de dados autorizados; d) garantia de que a entrada de dados seja completa, de que o processamento esteja devidamente concluído e de que a validação das saídas seja aplicada; e) proteção dos dados preparados para expedição ou impressão de forma consistente com a sua criticidade; ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 6 Gerenciamento das Operações e Comunicações (9) Segurança da documentação dos sistemas (1) f) armazenamento das mídias em conformidade com as especificações dos fabricantes; g) manutenção da distribuição de dados no menor nível possível; h) identificação eficaz de todas as cópias das mídias, para chamar a atenção dos destinatários autorizados; i) análise crítica das listas de distribuição e das listas de destinatários autorizados em intervalos regulares. Manter a segurança na troca de informações e softwares internamente à organização e com quaisquer entidades externas. Troca de Informações Políticas e procedimentos para troca de informações Acordos para a troca de informações Mídias em trânsito Mensagens Eletrônicas Sistemas de informações de negócio Polêmico: Monitoramento telefônico/fax/abertura de correio Comércio Eletrônico Transações on-line Integridade de informações publicamente disponíveis ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Segurança da documentação dos sistemas (2) ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 7 Controle de acesso (1) Requisitos de negócio para controle de acesso Gerenciamento de acesso do usuário Monitoramento Registros de auditoria Uso do sistema Proteção dos registros quanto a falsificação e acesso não autorizado Registros de administrador e operador Registros de falhas Sincronismo dos relógios Registro de usuário Gerenciamento de Privilégios Gerenciamento de senha do usuário Análise crítica dos direitos de acesso de usuário Responsabilidades dos usuários Uso de senhas Equipamento de usuário sem monitoração Política de mesa limpa e tela limpa ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 7 Controle de acesso (2) Controle de acesso à rede 7 Controle de acesso (3) Política de uso dos serviços de rede Autenticação para conexão externa do usuário Identificação de equipamento em redes Proteção e configuração de portas de diagnóstico remotas Segregação de redes Controle de acesso ao sistema operacional Procedimentos seguros de entrada no sistema (log-on) Identificação e autenticação de usuário Sistema de gerenciamento de senha Uso de utilitários de sistema Desconexão de terminal por inatividade Limitação de horário de conexão Controle de acesso à aplicação e à informação Controle de conexão de rede Controle de roteamento de redes ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Política de controle de acesso Restrição de acesso à informação Isolamento de sistemas sensíveis Computação móvel e trabalho remoto Computação e comunicação móvel Trabalho remoto ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 8 Aquisição, desenvolvimento e manutenção de S. I. (2) 8 Aquisição, desenvolvimento e manutenção de S. I. (1) Requisitos de segurança de sistemas de informação Processamento correto nas aplicações Análise e especificação dos requisitos de segurança Validação dos dados de entrada Controle do processamento interno Integridade de mensagens Controles criptográficos Política para o uso de controles criptográficos Gerenciamento de chaves Segurança dos arquivos do sistema Segurança em processos de desenvolvimento e de suporte Procedimentos para controle de mudanças Análise crítica técnica das aplicações após mudanças no sistema operacional Restrições sobre mudanças em pacotes de software Vazamento de informações Gestão de vulnerabilidades técnicas Controle de software operacional Proteção dos dados para teste de sistema Controle de acesso ao código-fonte de programa Controle de vulnerabilidades técnicas ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 9 Gestão de incidentes de segurança da informação Notificação de fragilidades e eventos de segurança da informação Notificação de eventos de segurança da informação Notificando fragilidades de segurança da informação 10 Gestão da continuidade do negócio Gestão de incidentes de segurança da informação e melhorias Responsabilidades e procedimentos Aprendendo com os incidentes de segurança da informação Coleta de evidências Aspectos da gestão da continuidade do negócio, relativos à segurança da informação Incluindo segurança da informação no processo de gestão da continuidade de negócio Continuidade de negócios e análise/avaliação de riscos Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação Estrutura do plano de continuidade do negócio Testes, manutenção e reavaliação dos planos de continuidade do negócio ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc 11 Conformidade (1) 11 Conformidade (2) Conformidade com requisitos legais Identificação da legislação vigente Direitos de propriedade intelectual Proteção de registros organizacionais Proteção de dados e privacidade de informações pes- soais Considerações quanto à auditoria de sistemas de informação Controles de auditoria de sistemas de informação Proteção de ferramentas de auditoria de sistemas de informação Prevenção de mau uso de recursos de processamento da informação Regulamentação de controles de criptografia Conformidade com normas e políticas de segurança da informação e conformidade técnica Conformidade com as políticas e normas de segurança da informação Verificação da conformidade técnica ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Análise de GAP Mapa de Conformidade ISO 17799 Polí tica de Se gu ra nça 1 00,00% Gerência de Riscos Confor mida d e 80,00% Se gur a nça O rga niz a ciona l 60,00% 40,00% Cla ssifica çã o e Co ntrole dos Ativos d e Ge stã o d a Continuida de do Ne góc io Inform a çã o 20,00% 0,00% De se nvo lvime n to e M a nute n çã o d e Se gu ra nça e m Pe ssoa s Siste ma s Controle de Ace sso Se gur a nça F ísica e do Am bie nte Ge re ncia me nto da s O pe ra çõ e s e Comun ica çõe s ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Modelo PDCA (Plan-Do-Check-Act) Sistematica de Gerenciamento de Segurança de Informação (ISMS) D efinir o Escopo do ISMS D efinir a Política do ISMS D efinir Abordagem Sistemática para Análise de Risco Identificar os Avaliar os Definir C omo Riscos Riscos Tratar os Riscos Controle de Documentos e Registros Selecionar os Objetivos de C ontrole e os Controles para Tratamento de Riscos Preparar a Declaração de Aplicabilidade Obter Aprovação da Direção da O rganização ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Risco Conceitos de Riscos (ISO 17799/2005) Matriz de Vulnerabiliades Probabilidade de um evento e suas conseqüências Ameaça ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Causa potencial de um incidente indesejado que pode resultar em dando para um sistema ou organização Vulnerabilidade Ativo I ntegridade A t iv o 1 ----------- A t iv o 2 Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Disponibil idade Confidencial idade Vulnerabilidades: V ulnerabilidades : A t iv o 3 ----------V ulnerabilidades : V ulnerabilidades : ----------- ----------- Vulnerabilidades: V ulnerabilidades : V ulnerabilidades : ----------- ----------- ----------- ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Matriz de Ameaças Ativo A tiv o 1 In teg ridade A tiv o 3 Uma vez tendo sido identificadas as vulnerabilidades do sistema, as ameaças potenciais, e os impactos, é possível quantificar a probabilidade de ocorrência dos riscos existentes. A complexidade desta atividade é função do nível de detalhamento desejado. Disponibilidade Confid encialidade A meaç as : A meaças : --------------- ---------------- A meaç as : A tiv o 2 Riscos A meaças: ---------------- -------------------- A meaç as : A meaças : A meaças: ---------------- ---------------- -------------------- ©2004-2007 Prof. Mauro Carvalho Chehab, MSc ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Surgimento dos Riscos Conceito de Risco Os riscos surgem a partir de vulnerabilidades que possam ser exploradas pelas ameaças existentes. Existe uma grande variação na facilidade de exploração das vulnerabilidades. Por exemplo, a interceptação dos sinais de telefones sem fio ou celulares requer apenas um sistema de varredura que pode ser adquirido facilmente. No entanto, a escuta de dados criptografados em uma linha de fibra ótica requer equipamentos sofisticados e caros. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc Planilha de avaliação de riscos Item Descrição Vulnerabilidade Ameaça Impacto Grau Recomendações de (propostas de Risco solução) Obs ©2004-2007 Prof. Mauro Carvalho Chehab, MSc O risco é o produto da probabilidade de ocorrência de ameaças pela probabiliade de ocorrência de vulnerabilidades e pelo impacto, dividido pela eficiência das medidas de segurança. ©2004-2007 Prof. Mauro Carvalho Chehab, MSc