política de segurança: verdade vs mito security policy: truth vs. myth política de segurança:...

ítica

Security Policy: Truth vs. Myth

Política de Segurança: verdade ou mito?

Roberto de Carvalhoroberto.carvalho@corest.com

Emiliano Kargiemanek@corest.com

ítica

Agenda

• O mito da Política da segurança da Informação

• Repensando a Segurança

• Players e papéis

• O processo da Segurança e o papel da política

• Infraestrutura de Segurança

• Perguntas e Respostas

ítica

Introdução: O mito da Política de Segurança

ítica

Um mantra para exorcizar os males

• Todo mundo está falando

• Não existe uma definição aceita

• Todo mundo está querendo uma

• Isso é apenas uma onda?

Política de Segurança

ítica

Problemas das Políticas

• Muito focada no high-level

• Sem manutenção

• Ou gerenciada

• Sem execução

• Ou controle

• Ou testada

• Separada da realidade

ítica

Repensando a Segurança

ítica

Onde nos perdemos

• Dia-a-dia operacional– Usuários, plataformas, SOs, aplicações,

• A busca por uma solução mágica

• Na estratégia bottom-up ou top-down

• Definição de orçamento

• A briga da segurança vs. flexibilidade

ítica

Um pequeno lembrete

• Não existe Segurança real.

• Segurança é apenas a percepção do risco

• Administrar a Segurança é administrar o risco.

• Para aumentar a Segurança, riscos precisam ser:– Modelados– Quantificados– Minimizados ao longo do tempo

• Trata-se de um processo contínuo!

ítica

Pessoas, processos, dados e informação

• Informação é volátil, difícil para definí-la ou conte-la.

• Processos podem ser modelados, mediados e auditados

10011010111010

Information

People Processes

ítica

Modelando o fluxo da informação

• Modelar o fluxo da informação em uma organização, onde players comunicam, processam e armazenam informação.

• Identificar os processos, fontes de dados e recursos críticos para o funcionamento da organização

ítica

Pontos de entrada

• Cada interação possui o seu próprio risco.

Modelandoo Risco

ítica

A equação do risco

= = Ameaças x Vulnerabilidades x ImpactoContra medidas

Perfil do attacker,Recursos disponíveis

Falhas do software,Políticas superficiais,

Protocolos, Etc.

Prejuízos calculados

Práticas e tecnologias

Modelandoo Risco

ítica

Ameaça

• Quantificada pelo perfil do atacante, conhecimento, recursos financeiros e humanos, interesses, etc:– Amador– Hacker– Grupo de Hackers– Funcionário instatisfeito– Concorrentes– Crime organizado– Agencia de Inteligencia– Organizações terrroristas

Modelandoo Risco

ítica

Vulnerabilidades

• Falhas de Design– Sistemas críticos de informação– Redes– Arquitetura de Segurança

• Falhas de Implementação– Vulnerabilidades de sistemas operacionais– Vulnerabilidades de aplicações– Vulnerabilidades de hardware

• Mal uso ou configuração• Fraquezas da política• Responsabilidades não definidas claramente

Modelandoo Risco

ítica

Impacto

• Consequencias do ataque, quantificadas por

perdas economicas, publicidade negativa, etc.

– Perda de informação proprietária

– Corrupção de informação crítica

– Fraude financeira

– Interrupção de processos críticos

– Sabotagem

– Fraude de Telecomunicações

Modelandoo Risco

ítica

Contra-medidas

• Ferramentas de segurança, software e mecanismos– Dispositivos de rede– Crypto– Controle de Accesso– Etc.

• Procedimentos• Resposta a emergencia• Auditoria• Visibilidade• Treinamento

Modelandoo Risco

ítica

Administrando o risco

• Requer monitoramento, previsão e análise da evolução das variáveis na equação do risco

• Implementar e ajustar as contra medidas

Risk = Ri

I.F.⌠⌡

ítica

O que as pessoas podem fazer é o que importa

• Segurança da Informação pode ser vista como o processo de definição, administração e controle do fluxo de informação entre os participantes (players) de um sistema

• Definir uma política é definir exatamente o que os players podem e devem fazer.

10011010111010

Information

People Processes

ítica

Players

• Players internos– Players com funções operacionais no

sistema (organização)– Eles estão na folha de pagamento– Perfis e números sao conhecidos– Espera-se que eles sigam a política

• Players externos– Clientes, parceiros, fornecedores, atacantes– Eles podem não ter uma função operacional

no sistema– Perfis e números são desconhecidos

ítica

Papéis

• Um player desempenha uma função ao participar em uma série de processos.

• Em cada processo, o player tem um papel específico e bem definido.

• Para desempenhá-lo, o player precisa acessar um conjunto bem definido de recursos na organização.

ítica

O gráfico da Política de Segurança

• O relacionamento entre players, funções, papéis e recursos podem ser representados como um gráfico direcionado.

Player

Function

Resource

ítica

Granularidade

• O detalhe obtido na definição e controle dos recursos necessários para desempenhar um papel específico nos dá uma idéia sobre a granularidade da política.

• Granularidade permite-nos endereçar vulnerabilidades emergentes.

• Ajuda a fechar o gap entre segurança e flexibilidade.

Resource

• Servers/serviços• Aplicações• Comunicações• Arquivos• Dispositivos• Transações• Registry/configuração• etc.

ítica

Acuracidade

• Os recursos para desempenhar cada papel são distintos.• O mesmo player poderia ou não ter acesso a

determinado recurso dependendo do processo em questão.

• Falhas implicarão em uma política inacurada.

Resource

Role A

Resource

Role B

Resource

ítica

O processo de Segurança e o papel da Política

ítica

O processo de Segurança

Definição daPolítica

Modelagemdo Risco

ArquiteturaSegurança

Visibilidade eControle

O papel da Política

ítica

O papel central da Política de Segurança

PolíticaSegurança

ModelagemRisco

ítica

Modelagem do Risco

• Define escopo

• Identifica processos críticos

• Identifica recursos críticos

• Pontos de falhas

• Define objetivos

• Testa a política

PolíticaSegurança

ModelagemRisco

ítica

Arquitetura da Segurança

• Define políticas baseando-se em suas capacidades atuais

• Gerencia

• Aplica

PolíticaSegurança

ModelagemRisco

ítica

Visibilidade e Controle

• Define políticas que possam ser controladas

• Monitora sua política em ação

• Fornece feedback para retroalimentação

• Identifica próximos passos

PolíticaSegurança

ModelagemRisco

ítica

Infraestrutura de Segurança

ítica

Taxonomia funcional das ferramentas

• Análise e formalização

– Ferramentas que ajudam no processo de modelagem do risco e definição de políticas.

• Enforcement

– Ferramentas usadas para aplicar as políticas

• Auditoria e Controle

– Ferramentas usadas para adquirir conhecimento do“security infospace” ajudando no processo de detecção e resposta as brechas de segurança.

ítica

Análise e formalização

• Ferramentas

– Network discovery tools

– Scanners de Vulnerabilidade

– Ferramentas de ataque intrusivo

– Ferramentas de modelagem organizacional

– Ferramentas de modelagem de riscos

• Serviços

– Security Intelligence

– Testes de intrusão

– Definição de política

– Plano de contingencia

– Etc.

ítica

Enforcement

• Ferramentas

– Identificação, Autenticação e Autorização

• PKI, Biometria, Tokens, Single Sign-On, Platforma dependente (SO específico)

– Segurança Software Básico

• Network services wrappers, Filesystem restrictions, Consistency checks, Security upgrades and patches, etc.

– Segurança da Aplicação

• Certificação/autorização de APIs, controle de versão, Aplicações dependentes.

– Segurança da rede

• Firewalls, VPNs, filtros de conteúdo

– Integridade / proteção dos dados

• Anti-vírus, Backups, checkers de consistencia.

ítica

Auditoria e controle

• Ferramentas

– Network based Intrusion detection systems

– Host based intrusion detection systems

– Audit trails and log acquisition tools

– Log centralization tools

– Visualization tools

– Analysis tools

– Alarm and Reporting systems

– Forensics tools

– Security Operation Centers

• Serviços

– Managed Security Services

ítica

Construindo uma infraestrutura de Segurança

• Criar um framework e selecionar ferramentas para avaliar, controlar, aplicar e gerenciar o que os players podem fazer (política de segurança)

• Abstrair o conceito de usuários e gerenciar players

• Integrar todos os componentes de segurança

• Endereçar escalabilidade

• Preocupar-se com a transparencia (para usuários, sistemas)

• Gerar visibilidade

• Manter uma perspectiva global

Infraestruturade Segurança

ítica

Gerenciando uma infraestrutura de segurança

• Política de Segurança é aquilo que vc pode gerenciar

• Granularidade e acuracidade pode ser obtida apenas através de um esforço contínuo.

• Política de Segurança deve evoluir, assim como a infraestrutura.

• Mudanças culturais podem ser necessárias para gerenciar a segurança de maneira eficaz.

ítica

Não se trata apenas de ferramentas

Firewalls

File system restrictions

App. Security

Risk Modeling

Network discovery

Pen testing

ítica

Uma boa infraestrutura de Segurança

• Permite a definição e o enforcement de uma política por toda a organização

• Alavanca a implementação de uma estratégia de defesa em profundidade

• Maximiza o uso das capacidades existentes• Aumenta a granularidade da Segurança• Possibilita a descoberta em tempo real e

respostas aos gaps e ataques em ambientes complexos

• Traz as ferramentas necessárias para o gerenciamento do risco ao longo do tempo

ítica

Uma boa infraestrutura de Segurança (cont.)

• Simplifica o esforço de gerenciar uma infraestrutura de multiplataformas com milhares de usuários e perfis.

• Facilita um inventário acurado de usuários, perfis, aplicações, políticas, recursos e processos com as propriedades de segurança.

• Reduz o treinamento necessário para gerenciar ambientes complexos

• Simplifica o dia-a-dia operacional do usuário final em ambiente multiplataforma.

• Oferece uma plataforma para homologar a implementação de novas tecnologias.

ítica

Dicas para selecionar ferramentas

• Estatísticas do MIS CDS na Inglaterra

• NÃO EXISTE FÓRMULA MÁGICA

• Posso quantificar se o meu risco seria menor se comprasse uma nova tecnologia?

• Posso integrar a nova tecnologia com as outras existentes ?

• Posso gerenciar o meu novo brinquedo?

• Manter uma perspectiva global

Security infrastructure

ítica

Sobre a Core Security Technologies

ítica

Nossas soluções

ítica

• Banco Privado de Inversiones

• BankBoston

• Ernst & Young LLP

• FEMSA (Coca Cola)

• Foundstone Inc.

• Greenlight.com

• IEEE

• KPMG

• MBA - Merchants Bank de Argentina

Lista parcial de clientes

• Metrored• Microsoft Inc.• Network Associates Inc.• Organización Veraz• PriceWaterhouseCoopers• Proofspace Inc.• Real Networks Inc.• SecurityFocus.com • Secure Networks Inc. • Siemens • UOL International• Vyou.com

ítica

The Information Security Process

Perguntas?

Roberto de Carvalhoroberto.carvalho@corest.com

Emiliano Kargiemanek@corest.com

Para receber uma cópia da apresentação, favor nos fornecer o seu e-mail

política de segurança: verdade vs mito security policy: truth vs. myth política de segurança:...

Documents

mito e filosofia 01 mito e filosofia

página2 mito

colesterol, verdade ou mito? 2 -...

webinar: portfolio agil, mito ou verdade?

mito dragao

· 2019-04-15 · vs. vs. vs. vs. vs. vs. vs. vs. 16 14 10...

educaÇÃo fÍsica · - a violência (dos espetadores e dos...

amélie boudet - uma mulher de verdade - ebook espírita...

categoria u-05gladiadores 3. caparra 7. caribe 4. leal...

quando o mito se torna verdade e a ciÊncia, … · quando...

el mito del arte y el mito del pueblo

mito e psicanálise -...

ginseng (panax ginseng): mito ou verdade científica? ·...

criacisonismo - verdade ou mito - kem ham

cobip.pgr.mpf.mp.brcobip.pgr.mpf.mp.br/boletins-eletronicos/alerta-bibliografico/... ·...

deleuze vs foucault - agenciamento vs dispositivo

o informativo do seu colÉgio - colégio padre...

programaÇÃosgea.ufvjm.edu.br/sintegra2013/files/publico/programa.pdfo...

com a filosofia teve inicio um tipo de conhecimento visando...

mito ou verdade -...