aula pol seg neg 4
Post on 18-Jul-2015
99 Views
Preview:
TRANSCRIPT
Polticas de Segurana e Plano de Continuidade de NegciosFATEC - So Caetano do Sul
Segurana da InformaoABNT NBR ISO/IEC 270012005
Segurana de Informao
responsvel pela proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou uma organizao
Conceitos Abordados em Segurana da Informao
Poltica Projeto Plano
Normas
Poltica de Segurana
Objetivo:
Prover administrao uma direo e apoio para a segurana de informao Metas de segurana Comprometimento da organizao
Deve especificar:
Poltica de Segurana
Segue a poltica interna da instituio para sua
Elaborao, aprovao e aplicao Nvel hierrquico Quando mais baixo o nvel, mais detalhes Sofre constantes atualizaes
formada por estatutos detalhados
Ciclo de vida indefinido
Projeto de Segurana
Descreve todos os aspectos de segurana da informao na empresa Etapas envolvidas:
Identificao dos ativos da empresa em termos de informao; Anlise dos riscos de segurana; Anlise dos requisitos de segurana e compromissos; Desenvolvimento de um plano de segurana; Definio de uma norma de segurana; Desenvolvimento de procedimentos para implantar a norma e uma estratgia de implementao Implementao, gerenciamento e auditoria dos procedimentos de segurana.
Plano de Segurana
Prope o que a organizao deve fazer para satisfazer os requisitos de segurana Deve conter:
Relao de servios de TI disponibilizados; Quais reas disponibilizam esses servios; Quem tem acesso a esses; Descrio detalhada da implementao desse plano; Procedimentos de controle dos ambientes, incidentes e contingncias As pessoas e os recursos necessrios para o desenvolvimento e implementao tcnica da norma de segurana
Especifica:
Plano de Segurana
Precisa ter apoio de todos os nveis de funcionrios dentro da organizao O pessoal tcnico da rede e locais remotos deve se envolver da mesma forma que os usurios finais
Normas de Segurana
So declaraes formais das regras s quais as pessoas que tm um determinado acesso tecnologia e ativos de informaes de uma organizao devem obedecer
Normas de Segurana
Informa aos usurios, gerentes e ao pessoal tcnico de suas obrigaes para proteger os ativos de tecnologia e informaes Deve ser explicada a todos pela gerncia superior um documento vivo Devem ser atualizadas constantemente
Normas de segurana
BS7799
British Standard 7799 uma norma de segurana destinada a empresas Criada na Inglaterra, teve seu desenvolvimento iniciada em 1995 Verso internacional da BS7799 Verso brasileira da norma ISO
ISO/IEC 27001
NBR ISO/IEC 27001
NBR ISO/IEC 27001
Pode ser usada pela maioria dos setores da economia As principais recomendaes so organizadas em 11 sees:
Poltica de Segurana de Informao; Organizando a Segurana de Informao; Gesto de ativos; Segurana em Recursos Humanos; Segurana Fsica e do Ambiente; Gerenciamento das Operaes e Comunicaes; Controle de Acesso; Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao; Gesto de Incidentes de Segurana de Informao; Gesto de Continuidade de Negcios; Conformidade.
NBR ISO/IEC 27001:2005
Sees abordadas dessa norma:
Gesto de Incidentes de Segurana de Informao; Gesto de Continuidade de Negcios.
Atitude de Segurana
Reativa
Resposta a incidentes; Investigaes; Aplicao de sanes.
Preventiva
Planejamento; Normalizao; Infra-estrutura segura; Educao e Treinamento; Auditoria.
Incidentes de Segurana
Incidente de SeguranaQuando ocorre um problema relacionado com a segurana, podemos dizer que ocorreu um Incidente de Segurana.
O que um incidente de segurana?Qualquer
fato ou evento que voc acredite que poderia afetar sua segurana pessoal ou a segurana de sua organizao, considerado um incidente de segurana. ->Voc identifica algo -> se d conta de que poderia se tratar de um incidente de segurana -> registra-o/ compartilha-o -> anlise -> estabelece-se se trata de um incidente de segurana -> reao como melhor convenha. Como distinguir os incidentes de segurana das ameaas: Lembre-se: as ameaas tm um objetivo, e os incidentes simplesmente ocorrem.
Incidente de Segurana
Um incidente de segurana pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de computadores.
Exemplos:
tentativas de ganhar acesso no autorizado; ataques de negao de servio; uso ou acesso no autorizado a um sistema; modicaes em um sistema, sem o conhecimento ou consentimento prvio do dono; desrespeito Poltica de Segurana.
Quando e como se identifica os incidentes de segurana?
No nos esqueamos que freqente que os incidentes de segurana passem despercebidos ou sejam descartados: tenhamos cuidado com isto!
Por que os incidentes de segurana so to importantes?Por exemplo, aps detectar certos incidentes de segurana voc poderia deduzir que est sob vigilncia; ento j pode atuar a respeito da vigilncia. Os incidentes de segurana representam a unidade mnima das medidas de segurana e indicam a resistncia/presso contra seu trabalho. No permita que passem despercebidos!
Reagir a um incidente de segurana
Passo 1: Informar sobre o incidente. Passo 2. Decidir quando reagir. H trs possibilidades: Passo 3. Decidir como reagir e quais so seus objetivos. Exemplo: Se um grupo de defensores descobrem que um de seus colegas no chegou ao seu destino numa cidade segundo o planejado, poderiam iniciar uma reao ligando para o hospital, para seus contatos com outras ONG s, a um Escritrio da ONU mais prximo e para a polcia. Mas antes de iniciar estas chamadas, muito importante determinar o que se pretende conseguir e o que se decidir. Caso contrrio, poderiam gerar um alarme desnecessrio (imaginemos que o defensor se atrasou porque perdeu o nibus ou se esqueceu de ligar para o escritrio) ou uma reao oposta pretendida.
Gesto de Incidentes de Segurana de Informao
Ser abordado:
Notificao de fragilidades e eventos de segurana da informao;
Notificao de eventos de segurana da informao; Notificao de fragilidades de segurana da informao.
Gesto de incidentes de segurana da informao e melhorias
Responsabilidades e procedimentos; Aprendizado com os incidentes de segurana da informao; Coleta de evidncias
Gesto de Incidentes de Segurana de Informao
Notificao de fragilidades e eventos de segurana da informao
Objetivo:
Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Notificao de eventos de segurana da informao Notificao de fragilidades de segurana da informao
Sero Tratados:
Gesto de Incidentes de Segurana de Informao
Notificao de eventos de segurana da informao
Controle:
Convm que os eventos de segurana da informao sejam relatados atravs dos canais apropriados da direo, o mais rapidamente possvel. Procedimento de notificao formal Ponto de contato
Diretrizes para Implementao
Gesto de Incidentes de Segurana de Informao
Notificao de eventos de segurana da informao
Convm que procedimentos de notificao incluam:
Processos adequados de realimentao; Formulrio; Comportamento correto a ser tomado; Referncia para um processo disciplinar formal estabelecido.
Alarmes de coao
Gesto de Incidentes de Segurana de Informao
Notificao de eventos de segurana da informao
Informaes adicionais
Exemplos de eventos e incidentes de segurana
Perda de servio, equipamento ou recursos; Violaes de procedimentos de segurana fsica; Mau funcionamento de software ou hardware; Treinamento de conscientizao
Cuidado com aspectos da confidencialidade
Atravs de relatrio, email, telefone avisar o responsvel de segurana para ele investigar: origem, prejuzo, conseqncias entre outros fatores. O responsvel de segurana tomar medidas cabveis.
Incidente de Segurana O que fazer, quando ocorre?
Por que devo notificar incidentes?Quando um ataque lanado contra uma mquina ele normalmente tem uma destas duas origens: um programa malicioso que est fazendo um ataque de modo automtico, como por exemplo um worm, cavalo de tria; uma pessoa que pode estar ou no utilizando ferramentas que automatizam ataques.
Para quem devo notificar o incidentes?
Mande as reclamaes diretamente para os e-mails de contato do provedor / rede de onde partiram os ataques, colocando sempre cert@cert.br no campo "Cc:" da mensagem.
CSIRT
Computer Emergency Response Team
Um grupo ou organizao que prov servios e suporte para um pblico bem definido, para preveno, tratamento e resposta a Incidentes de Segurana.
Ponto central de contato Prov informaes para o seu pblico Troca informaes com outros CSIRTs
Misso do CSIRT
Responsvel por receber, analisar e responder a incidentes de segurana em computadores. Atua:
no trabalho de conscientizao sobre os problemas de segurana no desenvolvimento de documentao na coordenao do tratamento de incidentes
Papel do CSIRT
Fornececer informaes confiveis
reduzir as informaes que chegam aos administradores de redes e usurios Prover recomendaes e estratgias Determinar o impacto de incidentes Prover meios para recuperao rpida Ser o ponto de contato com outros grupos, polcia, mdia, etc.
Tipos de CSIRT e Autoridade
Tipos:
Empresas Pases Backbones rgaos Governamentais Completa Parcial Indireta Sem autoridade
Autoridade:
Servios de um CSIRT
Proativos
Filtragem e repasse de informaes Disseminao da cultura de segurana Desenvolvimento de documentao Treinamentos e orientao a usurios Congurao e manuteno dos sistemas Desenvolvimento de ferramentas
Servios de um CSIRT (cont.)
Reativos
Tratamento de Incidentes Coordenao de aes Deteco e rastreamento de invases Preservao de evidncias Anlise de artefatos Anlise de vulnerabilidades
Coordenao do Tratamento de Incidentes
Ponto central de contato Facilitao de aes em incidentes
colocar as partes em contato prover apoio necessrio para recuperao e anlise de sistemas comprometidos
Trabalho colaborativo com outras entidades, como as polcias, provedores, backbones e setor financeiro
Perfil do Prossional
Integridade e discrio Sem prvio envolvimento com atividades de hacking Conhecimentos:
TCP/IP ambiente de TI da instituio comunicao (oral e escrita)
Cooperao entre CSIRTs
Essencial para a operao
permite acesso a informaes relevantes permite correlao de eventos facilita a resoluo de incidentes
No existe frmula mgica, o grupo necessita
construir sua reputao ganhar a confiana de outros grupos
Cooperao entre CSIRTs (cont.)
Como conhecer outros CSIRTs:
Durante o processo de resposta a incidentes Participando de conferncias FIRST (Forum of Incident Response and Security Teams)
rene CSIRTs de todo o mundo promove e facilita a comunicao
CSIRTs no Mundo
CSIRTs Brasileiros
CSIRTs Brasileiros (cont.)
Grupos no listados na pgina do NBSO:
CSIRT Banco do Brasil CSIRT Bradesco Citibank GRA Caixa Econmica Federal GRA SERPRO Ita Telemar
CSIRTs Brasileiros (cont.)
Projeto INOC-DBA BR
Sistema de comunicao imediata entre operadores de redes e CSIRTs, baseado em telefonia IP.
120 telefones IP distribudos pelo CGI.br para:
100 maiores AS (Autonomous Systems) do Brasil 20 CSIRTs (nomeados pelo NBSO)
INOC-DBA (Internet Network Operation Centers Dial By AS Number)
Hotline Phone System http://www.pch.net/inocdba/
Resposta a Incidentes
Recebimento de noticaes de incidentes:
Quase totalidade por email
Origem variada
forma mais usada pela comunidade de CSIRTs administradores de redes, usurios, outros CSIRTs varreduras, tentativas de comprometimento; violao de direitos autorais checagem dos contatos, noticaes de outros sites; acompanhamento e estatsticas
Natureza das noticaes:
Aes tomadas
Resposta a Incidentes (cont.)
Outras atividades relacionadas:
Apoio a recuperao de incidentes Correlao de eventos de segurana observados com outras fontes Dvidas sobre segurana: usurios, administradores e mdia
Resposta a Incidentes (cont.)
Quando uma organizao possui um plano de Resposta a Incidentes, atividades anmalas so mais facilmente detectadas, e a adoo de uma metodologia apropriada pode rapidamente identificar os sistemas afetados, podendo-se ento levantar a extenso do incidente Tal levantamento essencial para que se possa reportar o evento aos rgos competentes, bem como dimensionar o montante do prejuzo.
Resposta a Incidentes (cont.)
Durante o trato com incidentes reais, nota-se a grande dificuldade de se estabelecer uma poltica que englobe todas as situaes, j que durante eventos dessa natureza lida-se com agentes cujos objetivos so a princpio desconhecidos. Tal deficincia pode ser minimizada atravs do contnuo aprimoramento da metodologia por meio de simulaes peridicas.
Resposta a Incidentes (cont.)
Embora exista essa dificuldade, segundo Ed deHart do CERT/CC, Tudo que um site puder fazer para se preparar para um incidente ser benfico, podendo economizar tempo e dinheiro
Etapa Pr-Incidente
A preparao para a resposta a um incidente de segurana comea pela criao de um time de resposta (TR), uma vez que geralmente para se executar os procedimentos necessrios em tempo, a organizao deve possuir pessoal preparado no local. O TR pode ser formado por um ou vrios membros com conhecimento na rea de segurana, o nmero depende do tamanho e das necessidades da corporao.
Etapa Pr-Incidente
O primeiro objetivo do TR a criao do plano de resposta a incidente. No existe uma receita para a criao de tal documento, pois este deve se adequar s peculiaridades de cada organizao e mesmo aps tal adaptao requer aprimoramento contnuo, como j dito anteriormente. Porm, possvel estabelecer pontos-chave que na maioria das vezes devem estar presentes. Dentre eles pode-se citar:
Etapa Pr-Incidente
Identificao de Prioridades
do ponto de vista corporativo, um bom tratamento dado a um incidente seria aquele que mais amenizasse o impacto nos negcios da companhia.
A metodologia deve considerar as prioridades da empresa, bem como saber identificar dentre os possveis danos, quais seriam mais prejudiciais organizao.
Etapa Pr-Incidente
Dentre eles pode-se citar:
1. Comprometimento da reputao da empresa; por exemplo atravs da desfigurao de pginas web. 2. Roubo de propriedade intelectual; 3. Modificao ou destruio dos bancos de dados da organizao.
Etapa Pr-Incidente
Tal identificao serve tambm para amenizar o choque de objetivos entre o investigador forense, que naturalmente busca remediar o acesso ilegal de forma concomitante identificao e neutralizao do agente causador do incidente, e a empresa que deseja o retorno da normalidade dos negcios o mais rpido possvel.
Etapa Pr-Incidente
O ideal seria o restabelecimento das atividades normais, manipulando as possveis evidncias de forma a garantir sua integridade (e.g. hash MD5), no interferindo assim em futura busca ao agente causador do incidente;
Etapa Pr-Incidente
Poltica de utilizao de recursos:
um plano de resposta a incidentes passa tambm, pela elaborao de uma poltica de utilizao dos recursos de tecnologia da informao que contemple a possibilidade de uma investigao, abordando assim, questes como:
A definio de tal poltica requer debate entre todos os usurios e discusso da filosofia da organizao, o que por muitas vezes no uma tarefa fcil.
quebra de privacidade e monitoramento de atividades.
Etapa Pr-Incidente
Poltica de utilizao de recursos (cont.):
Para ajudar nessa etapa, existem diversos modelos disponveis na Internet, um exemplo seria os presentes no site da SANS: http://www.sans.org/newlook/resources/policies/ policies.htm;
Etapa Pr-Incidente
Preparao das mquinas:
para facilitar uma futura anlise, seria interessante que todas as mquinas da rede estivessem previamente configuradas para fornecer a maior quantidade de informaes possvel ao TR.
Por exemplo:
1. Habilitar as polticas de auditoria do Windows de forma conveniente. Uma ferramenta que poderia ser utilizada para facilitar tal processo o DoIt4Me1, ferramenta gratuita para automatizao de tarefas administrativas no Windows. 2. Armazenar o hash dos arquivos crticos do sistema em local seguro. Ferramentas como o Tripwire automatizam este processo, contudo tal ferramenta no gratuita para ambientes corporativos. Uma possvel soluo seria a utilizao do framework desenvolvido em perl por Harlan Carvey.
Etapa Pr-Incidente
Kit Bsico de Resposta
A reunio de um conjunto de ferramentas que possa diagnosticar o estado atual de uma mquina e garantir a integridade das informaes apresentadas, um dos pontos mais importantes na preparao para um incidente. Quando uma mquina identificada como alvo de um ataque ou suspeita de uso ilegal por parte de algum agente interno, no seguro utilizar qualquer tipo de software ou biblioteca presente na mquina.
Etapa Pr-Incidente
Kit Bsico de Resposta (cont.)
Uma soluo muito adotada a cpia em CD de todos os programas necessrios, sejam eles especializados ou nativos, para neutralizar a tentativa de ocultar informaes atravs da utilizao de bibliotecas e comandos adulterados.
Etapa Ps-Incidente
Quando um incidente ocorre, crucial que se evite o pnico para que o plano de resposta previamente elaborado seja seguido com exatido. Nessa nova etapa, novamente no h receita, uma vez que vrios imprevistos podem ocorrer; entretanto o plano deixa o TR em grande vantagem.
Etapa Ps-Incidente
Vrios procedimentos so bastante discutidos e utilizados internacionalmente. Sendo assim, devem ser considerados durante a preparao da metodologia. Dentre os mais importantes pode-se citar:
Documentao das aes tomadas Clculo de hashes Coleta de informaes volteis Reporte aos rgos competentes Desligamento da mquina Cpia dos discos
1. Liberao dos discos da mquina, se for o caso; 2. A anlise postmortem possa ser feita sobre cpias
Incidente
A complexidade envolvida no trato com incidentes de segurana somadas ao nervosismo causado pela iminncia de prejuzos morais e financeiros, justificam a criao de um TR, que por sua vez, estar encarregado da definio dos procedimentos a serem adotados no caso de uma emergncia.
Incidente
Apesar de raras as corporaes que possuem programas de resposta, o constante aumento da importncia da Internet no cotidiano dos mais diferentes tipos de organizao, tende a consolidar tal prtica.
Registros de Eventos (logs)Em computao, Log de dados o termo utilizado para descrever o processo de registro de eventos relevantes num sistema computacionais. Esse registro pode ser utilizado para restabelecer o estado original de um sistema ou para que um administrador conhea o seu comportamento no passado. Um arquivo de log pode ser utilizado para auditoria e diagnstico de problemas em sistemas computacionais. Eles normalmente so gerados por firewalls,ou por sistemas de deteco de intruso.
Sistema de deteco de intruso Um sistema de deteco de intruso (IDS Intrusion Detection System) um programa, ou um conjunto de programas, cuja funo detectar atividades maliciosas ou anmalas. Esse sistema podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede.
Atividades que geram LOG: Os firewalls, dependendo de como foram configurados, podem gerar logs quando algum tenta acessar um computador e este acesso barrado pelo firewall. Sempre que um firewall gera um log informando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa de invaso, mas tambm pode ser um falso positivo.
Firewall
Uma das ferramentas de segurana mais difundida que permite a auditoria, proteo, controle do trfego interno e externo de uma rede.
Falso PositivoO termo falso positivo utilizado para designar uma situao em que um firewall ou sistema de deteco de intruso aponta uma atividade como sendo um ataque, quando na verdade esta atividade no um ataque.
Informaes Presente no LOG Data e horrio em que ocorreu uma determinada atividade; Endereo IP de origem da atividade; Portas envolvidas
A falta de LOG pode ser causada por: Aplicativo no est rodando; Faltou configurar o aplicativo para gerar log; Faltou definir o nvel de gerao do log; Falta de espao em disco.
Uma Anlise de LOG deve fazer: Entender seus logs. Saber se so bons ou maus; Correlacionar os eventos maus observando com testes padres indicativos de ataques ou intruso; Correlacionar os eventos bons com os maus (por exemplo vrios logins falhos seguidos de um com sucesso); Correlacionar os bons eventos (por exemplo vrios logins com sucesso para o mesmo usurio atravs de vrios hots em um curto espao de tempo); Procurar por testes incomuns que no esto na sua bad list.
Gesto de Incidentes de Segurana de Informao
Notificao de fragilidades de segurana da informao
Controle
Convm que os funcionrios, fornecedores e terceiros de sistemas e servios de informao sejam instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.
Gesto de Incidentes de Segurana de Informao
Notificao de fragilidades de segurana da informao
Diretrizes para implementao
Notificar o mais rpido possvel para sua direo ou provedor de servios Mecanismo de notificao fcil, acessvel e com uma mxima disponibilidade Usurios no podem tentar averiguar fragilidade suspeita
Gesto de Incidentes de Segurana de Informao
Notificao de fragilidades de segurana da informao
Informaes adicionais
Testar fragilidades pode resultar em:
Interpretao do uso imprprio potencial do sistema; Danos ao sistema ou servio de informao. Usurio que efetuou o teste o responsvel legal
Gesto de incidentes de segurana da informao e melhorias
Gesto de Incidentes de Segurana de Informao
Objetivo:
Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao. Responsabilidades e Procedimentos Aprendizado com os incidentes de informao Coleta de evidncias
Sero Tratados:
Gesto de Incidentes de Segurana de Informao
Responsabilidades e procedimentos
Controle
Convm que responsabilidades e procedimentos de gesto sejam estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao.
Gesto de Incidentes de Segurana de Informao
Responsabilidades e procedimentos
Diretrizes consideradas para os procedimentos de gesto:
Procedimentos que manuseiem diferentes tipos de incidentes;
Falhas de sistemas de informaes e perda de servios e denial of service, por exemplo.
Anlise e identificao da causa do incidente; Reteno; Planejamento e implementao de ao corretiva; Comunicao com aqueles afetados ou envolvidos com a recuperao do incidente; Notificao da ao para a autoridade apropriada;
Gesto de Incidentes de Segurana de Informao
Responsabilidades e procedimentos
Diretrizes consideradas para os procedimentos de gesto (Cont.):
Coleta e proteo de trilhas de auditoria e evidncias Controle formal de aes de:
Violaes de segurana; Correo de falhas do sistema.
Concordncia da direo em relao aos objetivos de gesto de incidentes Entendimento das prioridades da organizao no manuseio de incidentes pelos responsveis
Gesto de Incidentes de Segurana de Informao
Responsabilidades e procedimentos
Informaes Adicionais
Possibilidade de ocorrncia de incidentes que transcendam fronteiras organizacionais e nacionais
Comunicao com organizaes externas Resposta coordenada Troca de informaes em relaes a esses incidentes
Gesto de Incidentes de Segurana de Informao
Aprendizado com os incidentes de segurana da informao
Controle
Convm que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurana da informao sejam quantificados e monitorados.
Gesto de Incidentes de Segurana de Informao
Aprendizado com os incidentes de segurana da informao
Diretrizes para implementao
Informao resultante da anlise de incidentes utilizada para identificao de incidentes recorrentes ou de alto impacto Anlise de incidentes de segurana pode indicar a necessidade de:
Informaes Adicionais
Melhorias; Controles adicionais para limitar a frequncia;
Gesto de Incidentes de Segurana de Informao
Coleta de evidncias
Controle
Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), convm que evidncias sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio(es) pertinente(s).
Gesto de Incidentes de Segurana de Informao
Coleta de evidncias
Diretrizes para Implantao Elaborao e respeito aos procedimentos internos que envolve:
Atividades de coleta; Apresentao de evidncias. Admissibilidade; Importncia
Normas para evidncia abrangem:
Necessita de uma qualidade e inteireza nos controles para proteo de evidncias Processo de armazenamento e processamento de evidncia
Trilha forte de evidncia:
Gesto de Incidentes de Segurana de Informao
Coleta de evidncias
Diretrizes para implantao (Cont.)
Condies para estabelecimento de uma trilha forte de evidncia:
Para documentos em papel:
Original ser mantido de forma segura; Assegurar que os originais no foram alterados. Disponibilidade de cpias de mdias removveis; Registro de aes durante o processo de cpia e testemunhas; Mdia original ser mantida e intocvel .
Para informao em mdia eletrnica:
Gesto de Incidentes de Segurana de Informao
Coleta de evidncias
Diretrizes para implantao (Cont.)
Trabalho forense somente realizado em cpias Preservao da integridade de todo material de evidncia Superviso no processo de cpia
Pessoas confiveis
Gesto de Incidentes de Segurana de Informao
Coleta de evidncias
Informaes adicionais:
Caso seja constatado possibilidade de processo jurdico
Envolver um advogado ou polcia; Consultoria sobre as evidncias necessrias.
Caso seja ultrapassado os limites organizacionais
Assegurar a autorizao para a coleta; Considerar requisitos de diferentes jurisdies.
Medidas de Segurana
Preventivas: Objetivo evitar que incidentes venham ocorrer
Exemplo: Poltica de segurana
Detectveis: Visam identificar condies ou indivduos causadores de ameaa
Exemplo: Sistemas de deteco de intruso, cmeras
Corretivas: Aes voltadas correo de uma estrutura tecnolgica e humana para que as mesmas se adaptem as condies preventivas
89
Medidas de Segurana
Poltica de Segurana; Poltica de utilizao da Internet e Correio Eletrnico; Poltica de instalao e utilizao de softwares; Plano de Classificao das Informaes; Auditoria; Anlise de Riscos; Anlise de Vulnerabilidades; Anlise da Poltica de Backup; Plano de Ao Operacional; Plano de Contingncia; Capacitao Tcnica; Processo de Conscientizao dos Usurios.
Medidas de Segurana
Backups; Antivrus; Firewall; Deteco de Intruso (IDS); Servidor Proxy; Filtros de Contedo; Sistema de Backup; Monitorao; Sistema de Controle de Acesso; Criptografia Forte; Certificao Digital; Teste de Invaso; Segurana do acesso fsico aos locais crticos.
Mecanismos tradicionais para Segurana LgicaSenha; Firewall; Proxy; Auditoria; Outros; Ser que estes mecanismos fornecem a segurana necessria?
Agenda
NBR ISO/IEC 27002:2005
Gesto de Incidentes
Notificao de fragilidades e eventos de segurana da informao Gesto de incidentes de segurana da informao e melhorias
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Notificao de fragilidades e eventos de segurana da informao
Objetivo
Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Formalizar os procedimentos Treinar todos (inclusive terceiros) para que notifiquem o quanto antes os eventos.
Convm
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Notificao de fragilidades e eventos de segurana da informao
Notificao de eventos de segurana da informao
Os eventos de segurana da informao devem ser relatados atravs dos canais apropriados da direo, o mais rapidamente possvel. Os funcionrios, fornecedores e terceiros de sistemas e servios de informao devem ser instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.
Notificando fragilidades de segurana da informao
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Gesto de incidentes de segurana da informao e melhorias
Objetivo
Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao. Responsabilidades e procedimentos definidos Rodar o PDCA (melhoria contnua) com base nos incidentes de segurana Coleta de evidncias para cumprir exigncias legais
Convm
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Gesto de incidentes de segurana da informao e melhorias
Responsabilidades e procedimentos
Responsabilidades e procedimentos de gesto devem ser estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao.
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Gesto de incidentes de segurana da informao e melhorias
Aprendendo com os incidentes de segurana da informao
Devem ser estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurana da informao sejam quantificados e monitorados.
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Gesto de incidentes de segurana da informao e melhoriasColeta de evidncias
Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), evidncias devem ser coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio ou jurisdies pertinentes.
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Correlao de Eventos Permite a tomada de medidas preventivas antes que um incidente ocorra; Reduz a complexidade de monitoramento manuteno do ambiente de TI; Permite tratamento rpido e eficaz de incidentes; Facilita o registro e arquivamento de registros de auditoria;
Soluo
Fatores de Sucesso Apoio por parte dos superiores Perl e motivao dos prossionais Treinamento e atualizao da equipe Reconhecimento por parte da comunidade a que atende, facilitado atravs: da capacidade tcnica da qualidade das informaes providas do relacionamento com esta comunidade
Fatores de Sucesso (cont.) Grau de conana adquirido construdo a partir dos fatores anteriores depende da tica dos prossionais Relacionamento com outros CSIRTs essencial para o desempenho das funes depende da conana adquirida e do reconhecimento por parte da comunidade a que atende
Exerccio
Em relao as notificaes de fragilidades e eventos de segurana da informao, assinale as alternativas vlidas, segundo a norma ISO 27002:2005 ( ) devem ser relatados por canais da direo ( ) devem ser relatados s por funcionrios ( ) devem incluir suspeitas de fragilidade ( ) devem ser relatados semanalmente
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Resposta
Em relao as notificaes de fragilidades e eventos de segurana da informao, assinale as alternativas vlidas, segundo a norma ISO 27002:2005 ( X ) devem ser relatados por canais da direo ( ) devem ser relatados s por funcionrios ( X ) devem incluir suspeitas de fragilidade ( ) devem ser relatados semanalmente
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Exerccio
Em relao a gesto de incidentes, segundo a norma ISO 27002:2005, marque as alternativas vlidas: ( ) o responsvel o gestor do sistema de gesto da segurana da informao ( ) devem ser monitorados e quantificados tipos, quantidades e custos ( ) se envolver ao legal, as evidncias devem ser produzidas e armazenadas em conformidade com as normas legais dos USA ( ) podem indicar qualquer responsvel, desde que assegurem respostas rpidas, efetivas e ordenadas
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Resposta
Em relao a gesto de incidentes, segundo a norma ISO 27002:2005, marque as alternativas vlidas: ( ) o responsvel o gestor do sistema de gesto da segurana da informao ( X ) devem ser monitorados e quantificados tipos, quantidades e custos ( ) se envolver ao legal, as evidncias devem ser produzidas e armazenadas em conformidade com as normas legais dos USA ( X ) podem indicar qualquer responsvel, desde que assegurem respostas rpidas, efetivas e ordenadas
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Referncias NBSO - NIC BR Security Ofce Brazilian Computer Emergency Response Team http://www.nbso.nic.br/ Comit Gestor da Internet no Brasil http://www.cg.org.br/ Material de Apoio para CSIRTs http://www.nbso.nic.br/csirts/ Cursos do CERT/CC ministrados pelo NBSO http://www.nbso.nic.br/cursos/ Stafng Your Computer Security Incident Response Team What Basic Skills Are Needed? http://www.cert.org/csirts/csirt-staffing.html
Bibliografia
NBR ISO/IEC 27002:2005
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Dvida
Gesto da continuidade do negcio
Ser abordado:
Aspectos da gesto da continuidade do negcio, relativos segurana da informao
Incluso segurana da informao no processo de gesto da continuidade de negcio Continuidade de negcios e anlise/avaliao de riscos Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Estrutura do plano de continuidade do negcio Testes, manuteno e reavaliao dos planos de continuidade do negcio
Gesto da continuidade do negcio
Aspectos da gesto da continuidade do negcio
Objetivo:
No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso. Incluso da segurana da informao no processo de gesto da continuidade de negcio Continuidade de negcios e anlise/avaliao de riscos Desenvolvimento e implementao de planos de continuidade relativos segurana da Informao Estrutura do plano de continuidade do negcio Testes, manuteno e reavaliao dos planos de continuidade do negcio
Sero Tratados:
Gesto da continuidade do negcio
Incluso da segurana da informao no processo de gesto da continuidade de negcio
Controle
Convm que um processo de gesto seja desenvolvido e mantido para assegurar a continuidade do negcio por toda a organizao e que contemple os requisitos de segurana da informao necessrios para a continuidade do negcio da organizao.
Gesto da continuidade do negcio
Incluso da segurana da informao no processo de gesto da continuidade de negcio Diretrizes para implementao
Elementos-chave da gesto da continuidade do negcio:
Entendimentos dos riscos de exposio da organizao; Identificao de ativos nos processos crticos de negcios; Entendimento do impacto que incidentes tero sobre os negcios; Estabelecimento dos objetivos do negcio dos recursos de processamento da informao; Considerao de contratao de seguro compatvel Identificao e considerao da implementao de controles preventivos e de mitigao;
Gesto da continuidade do negcio
Incluso da segurana da informao no processo de gesto da continuidade de negcio Diretrizes para implementao (Cont.)
Elementos-chave da gesto da continuidade do negcio:
Garantia da segurana de pessoal; Proteo de recursos de processamento das informaes e bens organizacionais; Detalhamento e documentao de planos de continuidade de negcio; Testes e atualizaes regulares dos planos e processos implantados Garantia de que a gesto da continuidade do negcio esteja incorporada aos processos e estrutura da organizao.
Gesto da continuidade do negcio
Continuidade de negcios e anlise/avaliao de riscos
Controle
Convm identificar os eventos que podem causar interrupes aos processos de negcio, junto a probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao.
Gesto da continuidade do negcio
Continuidade de negcios e anlise/avaliao de riscos
Diretrizes para implementao
Identificao de eventos que podem causar interrupes nos processos de negcio Anlise/avaliao de riscos para a determinao da probabilidade e impacto dessas interrupes
Realizadas com envolvimento dos responsveis pelos processos e recursos do negcio; Identificao, quantificao e priorizao dos critrios baseados nos riscos e os objetivos pertinentes organizao.
Gesto da continuidade do negcio
Continuidade de negcios e anlise/avaliao de riscos
Diretrizes para implementao (Cont.)
Juno de aspectos de riscos diferentes
Quadro completo dos requisitos de continuidade de negcios da organizao
Em funo dos resultados da anlise/avaliao de riscos
conveniente o desenvolvimento de um plano estratgico de continuidade de negcio.
Gesto da continuidade do negcio
Desenvolvimento e implementao de planos de continuidade relativos segurana da informao
Controle
Convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.
Gesto da continuidade do negcio
Desenvolvimento e implementao de planos de continuidade relativos segurana da informao
Diretrizes para implementao Itens considerados no planejamento:
Identificao e concordncia de todas as responsabilidades e procedimentos da continuidade do negcio; Identificao da perda aceitvel de informaes e servios; Implementao dos procedimentos que permitam a recuperao e restaurao das operaes do negcio e da disponibilidade da informao nos prazos necessrios;
Gesto da continuidade do negcio
Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Diretrizes para implementao
Itens considerados no planejamento (Cont.):
Procedimentos operacionais que permitam a concluso de restaurao e recuperao que estejam pendentes; Documentao dos processos e procedimentos acordados; Educao adequada de pessoas nos procedimentos e processos definidos; Teste e atualizao dos planos.
Gesto da continuidade do negcio
Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Diretrizes para implementao (Cont.)
O processo de planejamento deve focar os objetivos requeridos do negcio
Identificao de recursos e servios que facilitam esse processo
Tratamento de vulnerabilidades da organizao Cpias do plano de continuidade
Armazenadas em local remoto e seguro
Gesto da continuidade do negcio
Estrutura do plano de continuidade do negcio
Controle
Convm que uma estrutura bsica dos planos de continuidade do negcio seja mantida para assegurar que todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno.
Gesto da continuidade do negcio
Estrutura do plano de continuidade do negcio
Diretrizes para implementao
Plano de continuidade
Enfoque para continuidade do negcio; Plano de escalonamento; Condies para ativao; Ajuste dos procedimentos de emergncia
Identificao de novos requisitos
Um gestor especfico para cada plano
Gesto da continuidade do negcio
Estrutura do plano de continuidade do negcio
Diretrizes para implementao (Cont.) Itens considerados:
Procedimentos de emergncia; Procedimentos de recuperao; Procedimentos operacionais temporrios; Uma programao de manuteno; Atividades de treinamento, conscientizao e educao; Designao das responsabilidades individuais; Aptido dos ativos e recursos crticos para procedimentos de: Emergncia; Recuperao; Reativao.
Gesto da continuidade do negcio
Testes, manuteno e reavaliao dos planos de continuidade do negcio
Controle
Convm que os planos de continuidade do negcio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade.
Gesto da continuidade do negcio
Testes, manuteno e reavaliao dos planos de continuidade do negcio
Diretrizes para implementao
Conscientizao dos membros da equipe de suas responsabilidades nos testes Planejamento e programao dos teste dos planos
Indicao e como e quando cada elemento seja testado; Componentes dos planos sejam frequentemente testados. Assegurar a confiana de que os planos iro operar consistentemente em casos reais
Utilizao de vrias tcnicas
Gesto da continuidade do negcio
Testes, manuteno e reavaliao dos planos de continuidade do negcio
Diretrizes para implementao (Cont.)
Itens considerados:
Testes de mesa simulando diferentes cenrios; Simulaes; Testes de recuperao tcnica; Testes de recuperao em um local alternativo; Testes dos recursos, servios e instalaes de fornecedores; Ensaio geral.
Gesto da continuidade do negcio
Testes, manuteno e reavaliao dos planos de continuidade do negcio
Diretrizes para implementao (Cont.)
Registro dos resultados dos testes Aes tomadas para a melhoria dos planos Estabelecimento de responsabilidades pelas anlises crticas peridicas de cada parte do plano Exemplos de mudanas onde convm que a atualizao dos planos
Aquisio de novos equipamentos; Atualizaes de sistemas; Mudanas de: Pessoal; Estratgia de negcio e Processos
Agenda
NBR ISO/IEC 27002:2005
Gesto de Continuidade de Negcios
Aspectos da gesto da continuidade do negcio, relativos segurana da informao. Conformidade com requisitos legais Conformidade com normas e politicas de segurana da informao e conformidade tcnica Consideraes quanto auditoria de sistemas de informao.
Conformidade
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Aspectos da gesto da continuidade do negcio, relativos segurana da informao.
Objetivo
No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso. Identificar processos crticos e integre a segurana da informao com requisitos para continuidade de negcios, como operaes, funcionrios, materiais, transporte e instalaes.
Convm
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Aspectos da gesto da continuidade do negcio, relativos segurana da informao.
Convm
Considerar o impacto nos negcios de desastres. Avaliar os requisitos de tempo para recuperao das operaes essenciais empresa Garantir que as informaes requeridas para os processos de negcios estejam prontamente disponveis.
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Aspectos da gesto da continuidade do negcio, relativos segurana da informao.
Incluindo segurana da informao no processo de gesto da continuidade de negcio
Processo de negcio para toda a organizao Contempla os requisitos para continuidade do negcio
Continuidade de negcios e anlise/avaliao de risco
Devem ser identificados os eventos que podem causar interrupes aos processos de negcio, junto probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Aspectos da gesto da continuidade do negcio, relativos segurana da informao.
Desenvolvimento e implementao de planos de continuidade relativos segurana da informao
assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Aspectos da gesto da continuidade do negcio, relativos segurana da informao.
Estrutura do plano de continuidade do negcio
assegurar que todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno.
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Aspectos da gesto da continuidade do negcio, relativos segurana da informao.
Testes, manuteno e reavaliao dos planos de continuidade do negcio.
Os planos de continuidade do negcio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Associe a coluna da esquerda com a da direita: ( ) Prover uma orientao e apoioda direo para a SI de acordo com requisitos de negcio, leis e regulamentos relevantes
Exerccio
( 1 ) PCN ( 2 ) PSI ( 3 ) Anlise e avaliao de riscos
( ) No permitir a interrupo dasatividades do negcio
( ) Identifica, quantifica e priorizaos riscos de acordo com objetivos da organizao
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Associe a coluna da esquerda com a da direita: (2) Prover uma orientao e apoioda direo para a SI de acordo com requisitos de negcio, leis e regulamentos relevantes
Resposta
( 1 ) PCN ( 2 ) PSI ( 3 ) Anlise e avaliao de riscos
(1) No permitir a interrupo dasatividades do negcio
(3) Identifica, quantifica e priorizaos riscos de acordo com objetivos da organizao
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Exerccio
Marque as afirmaes abaixo como verdadeiras ou falsas, conforme a referncia da ISO 27002:2005
( ) O plano de continuidade de negcio de uma organizao deve gerantiruma forma de retornar as operaes normalidade (garantir a disponibilidade), no importando quanto tempo leve este processo
( ) Os planos de continuidade do negcio devem ser testados e
atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade que podem causar interrupes aos processos de negcio, junto probabilidade e impacto de tais interrupes
( ) No desenvolvimento do PCN devem ser identificados os eventos
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Resposta
Marque as afirmaes abaixo como verdadeiras ou falsas, conforme a referncia da ISO 27002:2005
(F) O plano de continuidade de negcio de uma organizao deve gerantiruma forma de retornar as operaes normalidade (garantir a disponibilidade), no importando quanto tempo leve este processo
(V) Os planos de continuidade do negcio devem ser testados e
atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade que podem causar interrupes aos processos de negcio, junto probabilidade e impacto de tais interrupes
(V) No desenvolvimento do PCN devem ser identificados os eventos
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Conformidade com requisitos legais
Objetivo
Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana da informao Avaliar consultoria externa adequadamente qualificada em aspectos legais.
Convm
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Conformidade com requisitos legais
Identificao da legislao vigente Direitos de propriedade intelectual Proteo de registros organizacionais Proteo de dados e privacidade da informao pessoal Preveno de mau uso de recursos de processamento da informao Regulamentao de controles de criptografia
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Normas e polticas de segurana da informao e conformidade tcnica
Objetivo
Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana da informao. Analisar a segurana dos sistemas a intervalos regulares Basear a anlise de segurana com base nas PSIs apropriadas e auditar as plataformas tcnicas.
Convm
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Normas e polticas de segurana da informao e conformidade tcnica
Conformidade com as polticas e normas de segurana da informao
procedimentos executados corretamente para atender conformidade com as normas e PSI Os sistemas de informao devem ser periodicamente verificados quanto sua conformidade com as normas de segurana da informao implementadas.
Verificao da conformidade tcnica
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Consideraes quanto auditoria
Objetivo
Maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas de informao. Implementar controles para preteger sistemas operacionais e ferramentas de auditoria durante as auditorias. Proteger e prevenir o uso indevido das ferramentas de auditoria.
Convm
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Consideraes quanto auditoria
Controles de auditoria de sistemas de Informao
verificao nos sistemas operacionais devem ser cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos processos do negcio.
Proteo de ferramentas de auditoria de sistemas de Informao
acesso s ferramentas de auditoria de sistema de informao deve ser protegido para prevenir qualquer possibilidade de uso imprprio ou comprometimento.
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Exerccio Marque as afirmaes abaixo como verdadeiras ou falsas, conforme a referncia da ISO 27002:2005 ( ) Os sistemas de informao tm seus requisitos de conformidadeditados pelos usurios finais que, por serem os donos dos sistemas tem o poder de definir o escopo para conformidade de cada sistema
( ) Por no serem de uso comum aos usurios, as ferramentas de
auditoria no precisam registrar suas operaes (log) nem implementar controle de acesso. quanto sua conformidade com as normas de segurana da informao implementadas.
( ) Os sistemas de informao devem ser periodicamente verificados
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Resposta Marque as afirmaes abaixo como verdadeiras ou falsas, conforme a referncia da ISO 27002:2005 ( F ) Os sistemas de informao tm seus requisitos de conformidadeditados pelos usurios finais que, por serem os donos dos sistemas tem o poder de definir o escopo para conformidade de cada sistema
( F ) Por no serem de uso comum aos usurios, as ferramentas de ( V ) Os sistemas de informao devem ser periodicamenteverificados quanto sua conformidade com as normas de segurana da informao implementadas.09/05/10 Prof. Msc RoneiFerrigolo Auditoria e Segurana de Software 46298
auditoria no precisam registrar suas operaes (log) nem implementar controle de acesso.
Exerccio Marque as fontes de requisitos de conformidade para sistemas de informao, conforme a referncia da ISO 27002:2005( ( ( ( ( ) lei criminal ou civil, estatutos, regulamentaes ) CMMI ) MPS.br ) obrigaes contratuais ) polticas e normas organizacionais de segurana da informao. ( ) ISO 9001:200009/05/10 Prof. Msc RoneiFerrigolo Auditoria e Segurana de Software 46298
Resposta Marque as fontes de requisitos de conformidade para sistemas de informao, conforme a referncia da ISO 27002:2005( V ) lei criminal ou civil, estatutos, regulamentaes ( F ) CMMI ( F ) MPS.br ( V ) obrigaes contratuais ( V ) polticas e normas organizacionais de segurana da informao. ( F ) ISO 9001:200009/05/10 Prof. Msc RoneiFerrigolo Auditoria e Segurana de Software 46298
Bibliografia
NBR ISO/IEC 27002:2005
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Dvida
Segurana das Informaes e a importncia da conscientizao
Educao e Responsabilidade Social
Mrio Csar P. Peixoto
Programa:
Introduo Funcionrio:Parte integrante O que informao? Informao: Elemento vital Setores da Organizao Como vista a segurana das informaes? Princpios bsicos Trplice PPT Elo mais fraco Tratando a informao corretamente Cuidados a serem levados em conta Check-up geral dos riscos mais agravantes Principais ameaas segurana da informao
Concluso Dvidas e perguntas
Um barco ancorado esta seguro!
Sair do porto arriscado
...mas barcos no foram feitos para ficarem ancorados.
Funcionrio: Parte integranteNs fazemos parte deste barco!
Responsabilidades individuaisSe transformam
Conscientizao coletiva
O que informao?
Tudo aquilo que voc interpreta, assimila e compreende. Ou seja: O que faz sentido para voc!
Informao: Elemento vital
Setores da organizao
Quais so as atividades mais importantes na empresa? => TODASManuteno Recursos Instrucionais Telefonista Gerncia Reitoria Xerox Contabilidade Biblioteca Recepo Zeladoria Almoxarifado
Ncleo de Informtica Assistncia Pedaggica Laboratrios
DSA
Comunicao & Marketing Diretoria de Cursos Multi-Atendimento Secretarias de Curso
Vigilncia
A Informao esta em toda parte, em todos setores!
Como vista a segurana das informaes?
Problema => Viso superficial
Princpios bsicosSegurana da InformaoSustentao Integridade Confidencialidade Disponibilidade Trinmio da Segurana Segurana Fsica Segurana Tcnica Segurana Humana
humano
Tcnico
Fsico
Trplice PPT
Elo mais fraco Fator fsico?
Fator Tecnolgico?
r to a F
o an m hu
Tratando a informao corretamente
Voc trata as informaes que recebe todos os dias de forma correta? Sabe diferenciar informao pblica da informao particular/interna/confidencial? Tem noo do quanto voc importante e responsvel pelas informaes que a cada dia adquire?
Cuidados a serem levados em conta
Chaves de armrios no bem guardados. Senhas e nomes de usurios visveis. Deixar computador logado; disponvel para ser acessado,sem estar presente.No atualizar anti-virus e Sistema Operacional
Cuidados a serem levados em conta
No aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa
Aceitar a entrada de algum usurio em sua lista de contatos no sistema de bate-papo que esta sendo utilizado, sem saber ao certo de quem realmente se trata
Check-up geral dos riscos mais agravantes Segurana das informaes dentro da Organizao
Preencher formulrios eletrnicos ou acessar links recebidos via e-mail, sem ao menos conferir se o e-mail solicitante provm do endereo correto.
Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia.
Check-up geral dos riscos mais agravantes Segurana das informaes dentro da Organizao
Chave principal (referente ao quadro de todas chaves do campus) jogada,exposta ou no bem guardada em lugar seguro . No colher assinatura (identificao necessria) para disponibilizar ou recolher chave de determinado setor
Check-up geral dos riscos mais agravantes Segurana das informaes dentro da Organizao
Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados.
Deixar porta aberta estando ausente de sua sala.Ai meu Deus do cu!
Check-up geral dos riscos maisagravantes Segurana das informaes dentro da Organizao
Acesso a entrada ao campus sem as devidas credenciais de identificao e coleta de informaes sobre o mesmo
No pedir de volta as credenciais de identificao quando da sada ao campus
Check-up geral dos riscos maisagravantes Segurana das informaes dentro da Organizao
Deixar porta ou portes com fcil acesso de entrada
Deixar carto de acesso de entrada exposto em lugares que facilmente se consegue pegar
Check-up geral dos riscos mais agravantes Segurana das informaes dentro da Organizao Valendo para todos sem exceo:
Descarte incorreto de material para o lixo
Entregar informaes via telefone sem fazer a conferncia correta do que se trata
Principais ameaas segurana da informao
Concluso
A conscientizao perante as informaes que cada um exerce em seu meio essencial para a consolidao de um ambiente de trabalho mais seguro, onde cada um o responsvel por manipular e transmitir as informaes.
Dvida
Auditoria e Segurana em SW Mdulo ISO 27000 Aula 11Ronei Ferrigolo
09/05/10 Prof. Msc RoneiFerrigolo
Auditoria e Segurana de Software 46298
Incidentes de Segurana e Uso Abusivo da Rede3- Arquivologia Ana Paula Ferreira Torrizella Elis Regina Ribeiro Piaa da Silva Josimara Nunes
RefernciasHa JH, Yoo HJ, Cho IH, Chin B, Shin D, Kim JH. Psychiatric comorbidity assessed in Korean children and adolescents who screen positive for Internet addiction. J Clin Psychiatry. 2006;67(5):821-6. TUMA, R. A Internet e a Compulso. So Paulo.2006. Disponvel em: http://www.scielo.br/. Acesso em: 07 de nov. 2008. http://cartilha.cert.br/; http://penta.ufrgs.br/gereseg/rfc2196/cap2.htm; http://www.protectionline.org/Analise-do-risco-e-necessidadesde.html http://pt.wikipedia.org:80/wiki/Log_de_dados http://www.rnp.br:80/newsgen/9905/logs.htm
top related