aula pol seg neg 4

Polticas de Segurana e Plano de Continuidade de NegciosFATEC - So Caetano do Sul

Segurana da InformaoABNT NBR ISO/IEC 270012005

Segurana de Informao

responsvel pela proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou uma organizao

Conceitos Abordados em Segurana da Informao

Poltica Projeto Plano

Normas

Poltica de Segurana

Objetivo:

Prover administrao uma direo e apoio para a segurana de informao Metas de segurana Comprometimento da organizao

Deve especificar:

Poltica de Segurana

Segue a poltica interna da instituio para sua

Elaborao, aprovao e aplicao Nvel hierrquico Quando mais baixo o nvel, mais detalhes Sofre constantes atualizaes

formada por estatutos detalhados

Ciclo de vida indefinido

Projeto de Segurana

Descreve todos os aspectos de segurana da informao na empresa Etapas envolvidas:

Identificao dos ativos da empresa em termos de informao; Anlise dos riscos de segurana; Anlise dos requisitos de segurana e compromissos; Desenvolvimento de um plano de segurana; Definio de uma norma de segurana; Desenvolvimento de procedimentos para implantar a norma e uma estratgia de implementao Implementao, gerenciamento e auditoria dos procedimentos de segurana.

Plano de Segurana

Prope o que a organizao deve fazer para satisfazer os requisitos de segurana Deve conter:

Relao de servios de TI disponibilizados; Quais reas disponibilizam esses servios; Quem tem acesso a esses; Descrio detalhada da implementao desse plano; Procedimentos de controle dos ambientes, incidentes e contingncias As pessoas e os recursos necessrios para o desenvolvimento e implementao tcnica da norma de segurana

Especifica:

Plano de Segurana

Precisa ter apoio de todos os nveis de funcionrios dentro da organizao O pessoal tcnico da rede e locais remotos deve se envolver da mesma forma que os usurios finais

Normas de Segurana

So declaraes formais das regras s quais as pessoas que tm um determinado acesso tecnologia e ativos de informaes de uma organizao devem obedecer

Normas de Segurana

Informa aos usurios, gerentes e ao pessoal tcnico de suas obrigaes para proteger os ativos de tecnologia e informaes Deve ser explicada a todos pela gerncia superior um documento vivo Devem ser atualizadas constantemente

Normas de segurana

BS7799

British Standard 7799 uma norma de segurana destinada a empresas Criada na Inglaterra, teve seu desenvolvimento iniciada em 1995 Verso internacional da BS7799 Verso brasileira da norma ISO

ISO/IEC 27001

NBR ISO/IEC 27001

NBR ISO/IEC 27001

Pode ser usada pela maioria dos setores da economia As principais recomendaes so organizadas em 11 sees:

Poltica de Segurana de Informao; Organizando a Segurana de Informao; Gesto de ativos; Segurana em Recursos Humanos; Segurana Fsica e do Ambiente; Gerenciamento das Operaes e Comunicaes; Controle de Acesso; Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao; Gesto de Incidentes de Segurana de Informao; Gesto de Continuidade de Negcios; Conformidade.

NBR ISO/IEC 27001:2005

Sees abordadas dessa norma:

Gesto de Incidentes de Segurana de Informao; Gesto de Continuidade de Negcios.

Atitude de Segurana

Reativa

Resposta a incidentes; Investigaes; Aplicao de sanes.

Preventiva

Planejamento; Normalizao; Infra-estrutura segura; Educao e Treinamento; Auditoria.

Incidentes de Segurana

Incidente de SeguranaQuando ocorre um problema relacionado com a segurana, podemos dizer que ocorreu um Incidente de Segurana.

O que um incidente de segurana?Qualquer

fato ou evento que voc acredite que poderia afetar sua segurana pessoal ou a segurana de sua organizao, considerado um incidente de segurana. ->Voc identifica algo -> se d conta de que poderia se tratar de um incidente de segurana -> registra-o/ compartilha-o -> anlise -> estabelece-se se trata de um incidente de segurana -> reao como melhor convenha. Como distinguir os incidentes de segurana das ameaas: Lembre-se: as ameaas tm um objetivo, e os incidentes simplesmente ocorrem.

Incidente de Segurana

Um incidente de segurana pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de computadores.

Exemplos:

tentativas de ganhar acesso no autorizado; ataques de negao de servio; uso ou acesso no autorizado a um sistema; modicaes em um sistema, sem o conhecimento ou consentimento prvio do dono; desrespeito Poltica de Segurana.

Quando e como se identifica os incidentes de segurana?

No nos esqueamos que freqente que os incidentes de segurana passem despercebidos ou sejam descartados: tenhamos cuidado com isto!

Por que os incidentes de segurana so to importantes?Por exemplo, aps detectar certos incidentes de segurana voc poderia deduzir que est sob vigilncia; ento j pode atuar a respeito da vigilncia. Os incidentes de segurana representam a unidade mnima das medidas de segurana e indicam a resistncia/presso contra seu trabalho. No permita que passem despercebidos!

Reagir a um incidente de segurana

Passo 1: Informar sobre o incidente. Passo 2. Decidir quando reagir. H trs possibilidades: Passo 3. Decidir como reagir e quais so seus objetivos. Exemplo: Se um grupo de defensores descobrem que um de seus colegas no chegou ao seu destino numa cidade segundo o planejado, poderiam iniciar uma reao ligando para o hospital, para seus contatos com outras ONG s, a um Escritrio da ONU mais prximo e para a polcia. Mas antes de iniciar estas chamadas, muito importante determinar o que se pretende conseguir e o que se decidir. Caso contrrio, poderiam gerar um alarme desnecessrio (imaginemos que o defensor se atrasou porque perdeu o nibus ou se esqueceu de ligar para o escritrio) ou uma reao oposta pretendida.

Gesto de Incidentes de Segurana de Informao

Ser abordado:

Notificao de fragilidades e eventos de segurana da informao;

Notificao de eventos de segurana da informao; Notificao de fragilidades de segurana da informao.

Gesto de incidentes de segurana da informao e melhorias

Responsabilidades e procedimentos; Aprendizado com os incidentes de segurana da informao; Coleta de evidncias


Notificao de fragilidades e eventos de segurana da informao

Objetivo:

Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Notificao de eventos de segurana da informao Notificao de fragilidades de segurana da informao

Sero Tratados:


Notificao de eventos de segurana da informao

Controle:

Convm que os eventos de segurana da informao sejam relatados atravs dos canais apropriados da direo, o mais rapidamente possvel. Procedimento de notificao formal Ponto de contato

Diretrizes para Implementao



Convm que procedimentos de notificao incluam:

Processos adequados de realimentao; Formulrio; Comportamento correto a ser tomado; Referncia para um processo disciplinar formal estabelecido.

Alarmes de coao



Informaes adicionais

Exemplos de eventos e incidentes de segurana

Perda de servio, equipamento ou recursos; Violaes de procedimentos de segurana fsica; Mau funcionamento de software ou hardware; Treinamento de conscientizao

Cuidado com aspectos da confidencialidade

Atravs de relatrio, email, telefone avisar o responsvel de segurana para ele investigar: origem, prejuzo, conseqncias entre outros fatores. O responsvel de segurana tomar medidas cabveis.

Incidente de Segurana O que fazer, quando ocorre?

Por que devo notificar incidentes?Quando um ataque lanado contra uma mquina ele normalmente tem uma destas duas origens: um programa malicioso que est fazendo um ataque de modo automtico, como por exemplo um worm, cavalo de tria; uma pessoa que pode estar ou no utilizando ferramentas que automatizam ataques.

Para quem devo notificar o incidentes?

Mande as reclamaes diretamente para os e-mails de contato do provedor / rede de onde partiram os ataques, colocando sempre [email protected] no campo "Cc:" da mensagem.

CSIRT

Computer Emergency Response Team

Um grupo ou organizao que prov servios e suporte para um pblico bem definido, para preveno, tratamento e resposta a Incidentes de Segurana.

Ponto central de contato Prov informaes para o seu pblico Troca informaes com outros CSIRTs

Misso do CSIRT

Responsvel por receber, analisar e responder a incidentes de segurana em computadores. Atua:

no trabalho de conscientizao sobre os problemas de segurana no desenvolvimento de documentao na coordenao do tratamento de incidentes

Papel do CSIRT

Fornececer informaes confiveis

reduzir as informaes que chegam aos administradores de redes e usurios Prover recomendaes e estratgias Determinar o impacto de incidentes Prover meios para recuperao rpida Ser o ponto de contato com outros grupos, polcia, mdia, etc.

Tipos de CSIRT e Autoridade

Tipos:

Empresas Pases Backbones rgaos Governamentais Completa Parcial Indireta Sem autoridade

Autoridade:

Servios de um CSIRT

Proativos

Filtragem e repasse de informaes Disseminao da cultura de segurana Desenvolvimento de documentao Treinamentos e orientao a usurios Congurao e manuteno dos sistemas Desenvolvimento de ferramentas

Servios de um CSIRT (cont.)

Reativos

Tratamento de Incidentes Coordenao de aes Deteco e rastreamento de invases Preservao de evidncias Anlise de artefatos Anlise de vulnerabilidades

Coordenao do Tratamento de Incidentes

Ponto central de contato Facilitao de aes em incidentes

colocar as partes em contato prover apoio necessrio para recuperao e anlise de sistemas comprometidos

Trabalho colaborativo com outras entidades, como as polcias, provedores, backbones e setor financeiro

Perfil do Prossional

Integridade e discrio Sem prvio envolvimento com atividades de hacking Conhecimentos:

TCP/IP ambiente de TI da instituio comunicao (oral e escrita)

Cooperao entre CSIRTs

Essencial para a operao

permite acesso a informaes relevantes permite correlao de eventos facilita a resoluo de incidentes

No existe frmula mgica, o grupo necessita

construir sua reputao ganhar a confiana de outros grupos

Cooperao entre CSIRTs (cont.)

Como conhecer outros CSIRTs:

Durante o processo de resposta a incidentes Participando de conferncias FIRST (Forum of Incident Response and Security Teams)

rene CSIRTs de todo o mundo promove e facilita a comunicao

CSIRTs no Mundo

CSIRTs Brasileiros

CSIRTs Brasileiros (cont.)

Grupos no listados na pgina do NBSO:

CSIRT Banco do Brasil CSIRT Bradesco Citibank GRA Caixa Econmica Federal GRA SERPRO Ita Telemar

CSIRTs Brasileiros (cont.)

Projeto INOC-DBA BR

Sistema de comunicao imediata entre operadores de redes e CSIRTs, baseado em telefonia IP.

120 telefones IP distribudos pelo CGI.br para:

100 maiores AS (Autonomous Systems) do Brasil 20 CSIRTs (nomeados pelo NBSO)

INOC-DBA (Internet Network Operation Centers Dial By AS Number)

Hotline Phone System http://www.pch.net/inocdba/

Resposta a Incidentes

Recebimento de noticaes de incidentes:

Quase totalidade por email

Origem variada

forma mais usada pela comunidade de CSIRTs administradores de redes, usurios, outros CSIRTs varreduras, tentativas de comprometimento; violao de direitos autorais checagem dos contatos, noticaes de outros sites; acompanhamento e estatsticas

Natureza das noticaes:

Aes tomadas

Resposta a Incidentes (cont.)

Outras atividades relacionadas:

Apoio a recuperao de incidentes Correlao de eventos de segurana observados com outras fontes Dvidas sobre segurana: usurios, administradores e mdia


Quando uma organizao possui um plano de Resposta a Incidentes, atividades anmalas so mais facilmente detectadas, e a adoo de uma metodologia apropriada pode rapidamente identificar os sistemas afetados, podendo-se ento levantar a extenso do incidente Tal levantamento essencial para que se possa reportar o evento aos rgos competentes, bem como dimensionar o montante do prejuzo.


Durante o trato com incidentes reais, nota-se a grande dificuldade de se estabelecer uma poltica que englobe todas as situaes, j que durante eventos dessa natureza lida-se com agentes cujos objetivos so a princpio desconhecidos. Tal deficincia pode ser minimizada atravs do contnuo aprimoramento da metodologia por meio de simulaes peridicas.


Embora exista essa dificuldade, segundo Ed deHart do CERT/CC, Tudo que um site puder fazer para se preparar para um incidente ser benfico, podendo economizar tempo e dinheiro

Etapa Pr-Incidente

A preparao para a resposta a um incidente de segurana comea pela criao de um time de resposta (TR), uma vez que geralmente para se executar os procedimentos necessrios em tempo, a organizao deve possuir pessoal preparado no local. O TR pode ser formado por um ou vrios membros com conhecimento na rea de segurana, o nmero depende do tamanho e das necessidades da corporao.

Etapa Pr-Incidente

O primeiro objetivo do TR a criao do plano de resposta a incidente. No existe uma receita para a criao de tal documento, pois este deve se adequar s peculiaridades de cada organizao e mesmo aps tal adaptao requer aprimoramento contnuo, como j dito anteriormente. Porm, possvel estabelecer pontos-chave que na maioria das vezes devem estar presentes. Dentre eles pode-se citar:

Etapa Pr-Incidente

Identificao de Prioridades

do ponto de vista corporativo, um bom tratamento dado a um incidente seria aquele que mais amenizasse o impacto nos negcios da companhia.

A metodologia deve considerar as prioridades da empresa, bem como saber identificar dentre os possveis danos, quais seriam mais prejudiciais organizao.

Etapa Pr-Incidente

Dentre eles pode-se citar:

1. Comprometimento da reputao da empresa; por exemplo atravs da desfigurao de pginas web. 2. Roubo de propriedade intelectual; 3. Modificao ou destruio dos bancos de dados da organizao.

Etapa Pr-Incidente

Tal identificao serve tambm para amenizar o choque de objetivos entre o investigador forense, que naturalmente busca remediar o acesso ilegal de forma concomitante identificao e neutralizao do agente causador do incidente, e a empresa que deseja o retorno da normalidade dos negcios o mais rpido possvel.

Etapa Pr-Incidente

O ideal seria o restabelecimento das atividades normais, manipulando as possveis evidncias de forma a garantir sua integridade (e.g. hash MD5), no interferindo assim em futura busca ao agente causador do incidente;

Etapa Pr-Incidente

Poltica de utilizao de recursos:

um plano de resposta a incidentes passa tambm, pela elaborao de uma poltica de utilizao dos recursos de tecnologia da informao que contemple a possibilidade de uma investigao, abordando assim, questes como:

A definio de tal poltica requer debate entre todos os usurios e discusso da filosofia da organizao, o que por muitas vezes no uma tarefa fcil.

quebra de privacidade e monitoramento de atividades.

Etapa Pr-Incidente

Poltica de utilizao de recursos (cont.):

Para ajudar nessa etapa, existem diversos modelos disponveis na Internet, um exemplo seria os presentes no site da SANS: http://www.sans.org/newlook/resources/policies/ policies.htm;

Etapa Pr-Incidente

Preparao das mquinas:

para facilitar uma futura anlise, seria interessante que todas as mquinas da rede estivessem previamente configuradas para fornecer a maior quantidade de informaes possvel ao TR.

Por exemplo:

1. Habilitar as polticas de auditoria do Windows de forma conveniente. Uma ferramenta que poderia ser utilizada para facilitar tal processo o DoIt4Me1, ferramenta gratuita para automatizao de tarefas administrativas no Windows. 2. Armazenar o hash dos arquivos crticos do sistema em local seguro. Ferramentas como o Tripwire automatizam este processo, contudo tal ferramenta no gratuita para ambientes corporativos. Uma possvel soluo seria a utilizao do framework desenvolvido em perl por Harlan Carvey.

Etapa Pr-Incidente

Kit Bsico de Resposta

A reunio de um conjunto de ferramentas que possa diagnosticar o estado atual de uma mquina e garantir a integridade das informaes apresentadas, um dos pontos mais importantes na preparao para um incidente. Quando uma mquina identificada como alvo de um ataque ou suspeita de uso ilegal por parte de algum agente interno, no seguro utilizar qualquer tipo de software ou biblioteca presente na mquina.

Etapa Pr-Incidente

Kit Bsico de Resposta (cont.)

Uma soluo muito adotada a cpia em CD de todos os programas necessrios, sejam eles especializados ou nativos, para neutralizar a tentativa de ocultar informaes atravs da utilizao de bibliotecas e comandos adulterados.

Etapa Ps-Incidente

Quando um incidente ocorre, crucial que se evite o pnico para que o plano de resposta previamente elaborado seja seguido com exatido. Nessa nova etapa, novamente no h receita, uma vez que vrios imprevistos podem ocorrer; entretanto o plano deixa o TR em grande vantagem.

Etapa Ps-Incidente

Vrios procedimentos so bastante discutidos e utilizados internacionalmente. Sendo assim, devem ser considerados durante a preparao da metodologia. Dentre os mais importantes pode-se citar:

Documentao das aes tomadas Clculo de hashes Coleta de informaes volteis Reporte aos rgos competentes Desligamento da mquina Cpia dos discos

1. Liberao dos discos da mquina, se for o caso; 2. A anlise postmortem possa ser feita sobre cpias

Incidente

A complexidade envolvida no trato com incidentes de segurana somadas ao nervosismo causado pela iminncia de prejuzos morais e financeiros, justificam a criao de um TR, que por sua vez, estar encarregado da definio dos procedimentos a serem adotados no caso de uma emergncia.

Incidente

Apesar de raras as corporaes que possuem programas de resposta, o constante aumento da importncia da Internet no cotidiano dos mais diferentes tipos de organizao, tende a consolidar tal prtica.

Registros de Eventos (logs)Em computao, Log de dados o termo utilizado para descrever o processo de registro de eventos relevantes num sistema computacionais. Esse registro pode ser utilizado para restabelecer o estado original de um sistema ou para que um administrador conhea o seu comportamento no passado. Um arquivo de log pode ser utilizado para auditoria e diagnstico de problemas em sistemas computacionais. Eles normalmente so gerados por firewalls,ou por sistemas de deteco de intruso.

Sistema de deteco de intruso Um sistema de deteco de intruso (IDS Intrusion Detection System) um programa, ou um conjunto de programas, cuja funo detectar atividades maliciosas ou anmalas. Esse sistema podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede.

Atividades que geram LOG: Os firewalls, dependendo de como foram configurados, podem gerar logs quando algum tenta acessar um computador e este acesso barrado pelo firewall. Sempre que um firewall gera um log informando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa de invaso, mas tambm pode ser um falso positivo.

Firewall

Uma das ferramentas de segurana mais difundida que permite a auditoria, proteo, controle do trfego interno e externo de uma rede.

Falso PositivoO termo falso positivo utilizado para designar uma situao em que um firewall ou sistema de deteco de intruso aponta uma atividade como sendo um ataque, quando na verdade esta atividade no um ataque.

Informaes Presente no LOG Data e horrio em que ocorreu uma determinada atividade; Endereo IP de origem da atividade; Portas envolvidas

A falta de LOG pode ser causada por: Aplicativo no est rodando; Faltou configurar o aplicativo para gerar log; Faltou definir o nvel de gerao do log; Falta de espao em disco.

Uma Anlise de LOG deve fazer: Entender seus logs. Saber se so bons ou maus; Correlacionar os eventos maus observando com testes padres indicativos de ataques ou intruso; Correlacionar os eventos bons com os maus (por exemplo vrios logins falhos seguidos de um com sucesso); Correlacionar os bons eventos (por exemplo vrios logins com sucesso para o mesmo usurio atravs de vrios hots em um curto espao de tempo); Procurar por testes incomuns que no esto na sua bad list.


Notificao de fragilidades de segurana da informao

Controle

Convm que os funcionrios, fornecedores e terceiros de sistemas e servios de informao sejam instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.



Diretrizes para implementao

Notificar o mais rpido possvel para sua direo ou provedor de servios Mecanismo de notificao fcil, acessvel e com uma mxima disponibilidade Usurios no podem tentar averiguar fragilidade suspeita



Informaes adicionais

Testar fragilidades pode resultar em:

Interpretao do uso imprprio potencial do sistema; Danos ao sistema ou servio de informao. Usurio que efetuou o teste o responsvel legal



Objetivo:

Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao. Responsabilidades e Procedimentos Aprendizado com os incidentes de informao Coleta de evidncias

Sero Tratados:


Responsabilidades e procedimentos

Controle

Convm que responsabilidades e procedimentos de gesto sejam estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao.



Diretrizes consideradas para os procedimentos de gesto:

Procedimentos que manuseiem diferentes tipos de incidentes;

Falhas de sistemas de informaes e perda de servios e denial of service, por exemplo.

Anlise e identificao da causa do incidente; Reteno; Planejamento e implementao de ao corretiva; Comunicao com aqueles afetados ou envolvidos com a recuperao do incidente; Notificao da ao para a autoridade apropriada;



Diretrizes consideradas para os procedimentos de gesto (Cont.):

Coleta e proteo de trilhas de auditoria e evidncias Controle formal de aes de:

Violaes de segurana; Correo de falhas do sistema.

Concordncia da direo em relao aos objetivos de gesto de incidentes Entendimento das prioridades da organizao no manuseio de incidentes pelos responsveis



Informaes Adicionais

Possibilidade de ocorrncia de incidentes que transcendam fronteiras organizacionais e nacionais

Comunicao com organizaes externas Resposta coordenada Troca de informaes em relaes a esses incidentes


Aprendizado com os incidentes de segurana da informao

Controle

Convm que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurana da informao sejam quantificados e monitorados.


Aprendizado com os incidentes de segurana da informao


Informao resultante da anlise de incidentes utilizada para identificao de incidentes recorrentes ou de alto impacto Anlise de incidentes de segurana pode indicar a necessidade de:

Informaes Adicionais

Melhorias; Controles adicionais para limitar a frequncia;


Coleta de evidncias

Controle

Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), convm que evidncias sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio(es) pertinente(s).


Coleta de evidncias

Diretrizes para Implantao Elaborao e respeito aos procedimentos internos que envolve:

Atividades de coleta; Apresentao de evidncias. Admissibilidade; Importncia

Normas para evidncia abrangem:

Necessita de uma qualidade e inteireza nos controles para proteo de evidncias Processo de armazenamento e processamento de evidncia

Trilha forte de evidncia:


Coleta de evidncias

Diretrizes para implantao (Cont.)

Condies para estabelecimento de uma trilha forte de evidncia:

Para documentos em papel:

Original ser mantido de forma segura; Assegurar que os originais no foram alterados. Disponibilidade de cpias de mdias removveis; Registro de aes durante o processo de cpia e testemunhas; Mdia original ser mantida e intocvel .

Para informao em mdia eletrnica:


Coleta de evidncias

Diretrizes para implantao (Cont.)

Trabalho forense somente realizado em cpias Preservao da integridade de todo material de evidncia Superviso no processo de cpia

Pessoas confiveis


Coleta de evidncias

Informaes adicionais:

Caso seja constatado possibilidade de processo jurdico

Envolver um advogado ou polcia; Consultoria sobre as evidncias necessrias.

Caso seja ultrapassado os limites organizacionais

Assegurar a autorizao para a coleta; Considerar requisitos de diferentes jurisdies.

Medidas de Segurana

Preventivas: Objetivo evitar que incidentes venham ocorrer

Exemplo: Poltica de segurana

Detectveis: Visam identificar condies ou indivduos causadores de ameaa

Exemplo: Sistemas de deteco de intruso, cmeras

Corretivas: Aes voltadas correo de uma estrutura tecnolgica e humana para que as mesmas se adaptem as condies preventivas

89

Medidas de Segurana

Poltica de Segurana; Poltica de utilizao da Internet e Correio Eletrnico; Poltica de instalao e utilizao de softwares; Plano de Classificao das Informaes; Auditoria; Anlise de Riscos; Anlise de Vulnerabilidades; Anlise da Poltica de Backup; Plano de Ao Operacional; Plano de Contingncia; Capacitao Tcnica; Processo de Conscientizao dos Usurios.

Medidas de Segurana

Backups; Antivrus; Firewall; Deteco de Intruso (IDS); Servidor Proxy; Filtros de Contedo; Sistema de Backup; Monitorao; Sistema de Controle de Acesso; Criptografia Forte; Certificao Digital; Teste de Invaso; Segurana do acesso fsico aos locais crticos.

Mecanismos tradicionais para Segurana LgicaSenha; Firewall; Proxy; Auditoria; Outros; Ser que estes mecanismos fornecem a segurana necessria?

Agenda


Gesto de Incidentes

Notificao de fragilidades e eventos de segurana da informao Gesto de incidentes de segurana da informao e melhorias

09/05/10 Prof. Msc RoneiFerrigolo

Auditoria e Segurana de Software 46298


Objetivo

Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Formalizar os procedimentos Treinar todos (inclusive terceiros) para que notifiquem o quanto antes os eventos.

Convm





Os eventos de segurana da informao devem ser relatados atravs dos canais apropriados da direo, o mais rapidamente possvel. Os funcionrios, fornecedores e terceiros de sistemas e servios de informao devem ser instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.

Notificando fragilidades de segurana da informao




Objetivo

Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao. Responsabilidades e procedimentos definidos Rodar o PDCA (melhoria contnua) com base nos incidentes de segurana Coleta de evidncias para cumprir exigncias legais

Convm





Responsabilidades e procedimentos de gesto devem ser estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao.




Aprendendo com os incidentes de segurana da informao

Devem ser estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurana da informao sejam quantificados e monitorados.



Gesto de incidentes de segurana da informao e melhoriasColeta de evidncias

Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), evidncias devem ser coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio ou jurisdies pertinentes.



Correlao de Eventos Permite a tomada de medidas preventivas antes que um incidente ocorra; Reduz a complexidade de monitoramento manuteno do ambiente de TI; Permite tratamento rpido e eficaz de incidentes; Facilita o registro e arquivamento de registros de auditoria;

Soluo

Fatores de Sucesso Apoio por parte dos superiores Perl e motivao dos prossionais Treinamento e atualizao da equipe Reconhecimento por parte da comunidade a que atende, facilitado atravs: da capacidade tcnica da qualidade das informaes providas do relacionamento com esta comunidade

Fatores de Sucesso (cont.) Grau de conana adquirido construdo a partir dos fatores anteriores depende da tica dos prossionais Relacionamento com outros CSIRTs essencial para o desempenho das funes depende da conana adquirida e do reconhecimento por parte da comunidade a que atende

Exerccio

Em relao as notificaes de fragilidades e eventos de segurana da informao, assinale as alternativas vlidas, segundo a norma ISO 27002:2005 ( ) devem ser relatados por canais da direo ( ) devem ser relatados s por funcionrios ( ) devem incluir suspeitas de fragilidade ( ) devem ser relatados semanalmente



Resposta

Em relao as notificaes de fragilidades e eventos de segurana da informao, assinale as alternativas vlidas, segundo a norma ISO 27002:2005 ( X ) devem ser relatados por canais da direo ( ) devem ser relatados s por funcionrios ( X ) devem incluir suspeitas de fragilidade ( ) devem ser relatados semanalmente



Exerccio

Em relao a gesto de incidentes, segundo a norma ISO 27002:2005, marque as alternativas vlidas: ( ) o responsvel o gestor do sistema de gesto da segurana da informao ( ) devem ser monitorados e quantificados tipos, quantidades e custos ( ) se envolver ao legal, as evidncias devem ser produzidas e armazenadas em conformidade com as normas legais dos USA ( ) podem indicar qualquer responsvel, desde que assegurem respostas rpidas, efetivas e ordenadas



Resposta

Em relao a gesto de incidentes, segundo a norma ISO 27002:2005, marque as alternativas vlidas: ( ) o responsvel o gestor do sistema de gesto da segurana da informao ( X ) devem ser monitorados e quantificados tipos, quantidades e custos ( ) se envolver ao legal, as evidncias devem ser produzidas e armazenadas em conformidade com as normas legais dos USA ( X ) podem indicar qualquer responsvel, desde que assegurem respostas rpidas, efetivas e ordenadas



Referncias NBSO - NIC BR Security Ofce Brazilian Computer Emergency Response Team http://www.nbso.nic.br/ Comit Gestor da Internet no Brasil http://www.cg.org.br/ Material de Apoio para CSIRTs http://www.nbso.nic.br/csirts/ Cursos do CERT/CC ministrados pelo NBSO http://www.nbso.nic.br/cursos/ Stafng Your Computer Security Incident Response Team What Basic Skills Are Needed? http://www.cert.org/csirts/csirt-staffing.html

Bibliografia




Dvida

Gesto da continuidade do negcio

Ser abordado:

Aspectos da gesto da continuidade do negcio, relativos segurana da informao

Incluso segurana da informao no processo de gesto da continuidade de negcio Continuidade de negcios e anlise/avaliao de riscos Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Estrutura do plano de continuidade do negcio Testes, manuteno e reavaliao dos planos de continuidade do negcio


Aspectos da gesto da continuidade do negcio

Objetivo:

No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso. Incluso da segurana da informao no processo de gesto da continuidade de negcio Continuidade de negcios e anlise/avaliao de riscos Desenvolvimento e implementao de planos de continuidade relativos segurana da Informao Estrutura do plano de continuidade do negcio Testes, manuteno e reavaliao dos planos de continuidade do negcio

Sero Tratados:


Incluso da segurana da informao no processo de gesto da continuidade de negcio

Controle

Convm que um processo de gesto seja desenvolvido e mantido para assegurar a continuidade do negcio por toda a organizao e que contemple os requisitos de segurana da informao necessrios para a continuidade do negcio da organizao.


Incluso da segurana da informao no processo de gesto da continuidade de negcio Diretrizes para implementao

Elementos-chave da gesto da continuidade do negcio:

Entendimentos dos riscos de exposio da organizao; Identificao de ativos nos processos crticos de negcios; Entendimento do impacto que incidentes tero sobre os negcios; Estabelecimento dos objetivos do negcio dos recursos de processamento da informao; Considerao de contratao de seguro compatvel Identificao e considerao da implementao de controles preventivos e de mitigao;


Incluso da segurana da informao no processo de gesto da continuidade de negcio Diretrizes para implementao (Cont.)

Elementos-chave da gesto da continuidade do negcio:

Garantia da segurana de pessoal; Proteo de recursos de processamento das informaes e bens organizacionais; Detalhamento e documentao de planos de continuidade de negcio; Testes e atualizaes regulares dos planos e processos implantados Garantia de que a gesto da continuidade do negcio esteja incorporada aos processos e estrutura da organizao.


Continuidade de negcios e anlise/avaliao de riscos

Controle

Convm identificar os eventos que podem causar interrupes aos processos de negcio, junto a probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao.




Identificao de eventos que podem causar interrupes nos processos de negcio Anlise/avaliao de riscos para a determinao da probabilidade e impacto dessas interrupes

Realizadas com envolvimento dos responsveis pelos processos e recursos do negcio; Identificao, quantificao e priorizao dos critrios baseados nos riscos e os objetivos pertinentes organizao.



Diretrizes para implementao (Cont.)

Juno de aspectos de riscos diferentes

Quadro completo dos requisitos de continuidade de negcios da organizao

Em funo dos resultados da anlise/avaliao de riscos

conveniente o desenvolvimento de um plano estratgico de continuidade de negcio.


Desenvolvimento e implementao de planos de continuidade relativos segurana da informao

Controle

Convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.



Diretrizes para implementao Itens considerados no planejamento:

Identificao e concordncia de todas as responsabilidades e procedimentos da continuidade do negcio; Identificao da perda aceitvel de informaes e servios; Implementao dos procedimentos que permitam a recuperao e restaurao das operaes do negcio e da disponibilidade da informao nos prazos necessrios;


Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Diretrizes para implementao

Itens considerados no planejamento (Cont.):

Procedimentos operacionais que permitam a concluso de restaurao e recuperao que estejam pendentes; Documentao dos processos e procedimentos acordados; Educao adequada de pessoas nos procedimentos e processos definidos; Teste e atualizao dos planos.


Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Diretrizes para implementao (Cont.)

O processo de planejamento deve focar os objetivos requeridos do negcio

Identificao de recursos e servios que facilitam esse processo

Tratamento de vulnerabilidades da organizao Cpias do plano de continuidade

Armazenadas em local remoto e seguro


Estrutura do plano de continuidade do negcio

Controle

Convm que uma estrutura bsica dos planos de continuidade do negcio seja mantida para assegurar que todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno.




Plano de continuidade

Enfoque para continuidade do negcio; Plano de escalonamento; Condies para ativao; Ajuste dos procedimentos de emergncia

Identificao de novos requisitos

Um gestor especfico para cada plano



Diretrizes para implementao (Cont.) Itens considerados:

Procedimentos de emergncia; Procedimentos de recuperao; Procedimentos operacionais temporrios; Uma programao de manuteno; Atividades de treinamento, conscientizao e educao; Designao das responsabilidades individuais; Aptido dos ativos e recursos crticos para procedimentos de: Emergncia; Recuperao; Reativao.


Testes, manuteno e reavaliao dos planos de continuidade do negcio

Controle

Convm que os planos de continuidade do negcio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade.




Conscientizao dos membros da equipe de suas responsabilidades nos testes Planejamento e programao dos teste dos planos

Indicao e como e quando cada elemento seja testado; Componentes dos planos sejam frequentemente testados. Assegurar a confiana de que os planos iro operar consistentemente em casos reais

Utilizao de vrias tcnicas




Itens considerados:

Testes de mesa simulando diferentes cenrios; Simulaes; Testes de recuperao tcnica; Testes de recuperao em um local alternativo; Testes dos recursos, servios e instalaes de fornecedores; Ensaio geral.




Registro dos resultados dos testes Aes tomadas para a melhoria dos planos Estabelecimento de responsabilidades pelas anlises crticas peridicas de cada parte do plano Exemplos de mudanas onde convm que a atualizao dos planos

Aquisio de novos equipamentos; Atualizaes de sistemas; Mudanas de: Pessoal; Estratgia de negcio e Processos

Agenda


Gesto de Continuidade de Negcios

Aspectos da gesto da continuidade do negcio, relativos segurana da informao. Conformidade com requisitos legais Conformidade com normas e politicas de segurana da informao e conformidade tcnica Consideraes quanto auditoria de sistemas de informao.

Conformidade



Aspectos da gesto da continuidade do negcio, relativos segurana da informao.

Objetivo

No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso. Identificar processos crticos e integre a segurana da informao com requisitos para continuidade de negcios, como operaes, funcionrios, materiais, transporte e instalaes.

Convm




Convm

Considerar o impacto nos negcios de desastres. Avaliar os requisitos de tempo para recuperao das operaes essenciais empresa Garantir que as informaes requeridas para os processos de negcios estejam prontamente disponveis.




Incluindo segurana da informao no processo de gesto da continuidade de negcio

Processo de negcio para toda a organizao Contempla os requisitos para continuidade do negcio

Continuidade de negcios e anlise/avaliao de risco

Devem ser identificados os eventos que podem causar interrupes aos processos de negcio, junto probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao





assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.





assegurar que todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno.




Testes, manuteno e reavaliao dos planos de continuidade do negcio.

Os planos de continuidade do negcio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade



Associe a coluna da esquerda com a da direita: ( ) Prover uma orientao e apoioda direo para a SI de acordo com requisitos de negcio, leis e regulamentos relevantes

Exerccio

( 1 ) PCN ( 2 ) PSI ( 3 ) Anlise e avaliao de riscos

( ) No permitir a interrupo dasatividades do negcio

( ) Identifica, quantifica e priorizaos riscos de acordo com objetivos da organizao



Associe a coluna da esquerda com a da direita: (2) Prover uma orientao e apoioda direo para a SI de acordo com requisitos de negcio, leis e regulamentos relevantes

Resposta

( 1 ) PCN ( 2 ) PSI ( 3 ) Anlise e avaliao de riscos

(1) No permitir a interrupo dasatividades do negcio

(3) Identifica, quantifica e priorizaos riscos de acordo com objetivos da organizao



Exerccio

Marque as afirmaes abaixo como verdadeiras ou falsas, conforme a referncia da ISO 27002:2005

( ) O plano de continuidade de negcio de uma organizao deve gerantiruma forma de retornar as operaes normalidade (garantir a disponibilidade), no importando quanto tempo leve este processo

( ) Os planos de continuidade do negcio devem ser testados e

atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade que podem causar interrupes aos processos de negcio, junto probabilidade e impacto de tais interrupes

( ) No desenvolvimento do PCN devem ser identificados os eventos



Resposta

Marque as afirmaes abaixo como verdadeiras ou falsas, conforme a referncia da ISO 27002:2005

(F) O plano de continuidade de negcio de uma organizao deve gerantiruma forma de retornar as operaes normalidade (garantir a disponibilidade), no importando quanto tempo leve este processo

(V) Os planos de continuidade do negcio devem ser testados e

atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade que podem causar interrupes aos processos de negcio, junto probabilidade e impacto de tais interrupes

(V) No desenvolvimento do PCN devem ser identificados os eventos



Conformidade com requisitos legais

Objetivo

Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana da informao Avaliar consultoria externa adequadamente qualificada em aspectos legais.

Convm



Conformidade com requisitos legais

Identificao da legislao vigente Direitos de propriedade intelectual Proteo de registros organizacionais Proteo de dados e privacidade da informao pessoal Preveno de mau uso de recursos de processamento da informao Regulamentao de controles de criptografia



Normas e polticas de segurana da informao e conformidade tcnica

Objetivo

Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana da informao. Analisar a segurana dos sistemas a intervalos regulares Basear a anlise de segurana com base nas PSIs apropriadas e auditar as plataformas tcnicas.

Convm



Normas e polticas de segurana da informao e conformidade tcnica

Conformidade com as polticas e normas de segurana da informao

procedimentos executados corretamente para atender conformidade com as normas e PSI Os sistemas de informao devem ser periodicamente verificados quanto sua conformidade com as normas de segurana da informao implementadas.

Verificao da conformidade tcnica



Consideraes quanto auditoria

Objetivo

Maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas de informao. Implementar controles para preteger sistemas operacionais e ferramentas de auditoria durante as auditorias. Proteger e prevenir o uso indevido das ferramentas de auditoria.

Convm



Consideraes quanto auditoria

Controles de auditoria de sistemas de Informao

verificao nos sistemas operacionais devem ser cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos processos do negcio.

Proteo de ferramentas de auditoria de sistemas de Informao

acesso s ferramentas de auditoria de sistema de informao deve ser protegido para prevenir qualquer possibilidade de uso imprprio ou comprometimento.



Exerccio Marque as afirmaes abaixo como verdadeiras ou falsas, conforme a referncia da ISO 27002:2005 ( ) Os sistemas de informao tm seus requisitos de conformidadeditados pelos usurios finais que, por serem os donos dos sistemas tem o poder de definir o escopo para conformidade de cada sistema

( ) Por no serem de uso comum aos usurios, as ferramentas de

auditoria no precisam registrar suas operaes (log) nem implementar controle de acesso. quanto sua conformidade com as normas de segurana da informao implementadas.

( ) Os sistemas de informao devem ser periodicamente verificados



Resposta Marque as afirmaes abaixo como verdadeiras ou falsas, conforme a referncia da ISO 27002:2005 ( F ) Os sistemas de informao tm seus requisitos de conformidadeditados pelos usurios finais que, por serem os donos dos sistemas tem o poder de definir o escopo para conformidade de cada sistema

( F ) Por no serem de uso comum aos usurios, as ferramentas de ( V ) Os sistemas de informao devem ser periodicamenteverificados quanto sua conformidade com as normas de segurana da informao implementadas.09/05/10 Prof. Msc RoneiFerrigolo Auditoria e Segurana de Software 46298

auditoria no precisam registrar suas operaes (log) nem implementar controle de acesso.

Exerccio Marque as fontes de requisitos de conformidade para sistemas de informao, conforme a referncia da ISO 27002:2005( ( ( ( ( ) lei criminal ou civil, estatutos, regulamentaes ) CMMI ) MPS.br ) obrigaes contratuais ) polticas e normas organizacionais de segurana da informao. ( ) ISO 9001:200009/05/10 Prof. Msc RoneiFerrigolo Auditoria e Segurana de Software 46298

Resposta Marque as fontes de requisitos de conformidade para sistemas de informao, conforme a referncia da ISO 27002:2005( V ) lei criminal ou civil, estatutos, regulamentaes ( F ) CMMI ( F ) MPS.br ( V ) obrigaes contratuais ( V ) polticas e normas organizacionais de segurana da informao. ( F ) ISO 9001:200009/05/10 Prof. Msc RoneiFerrigolo Auditoria e Segurana de Software 46298

Bibliografia




Dvida

Segurana das Informaes e a importncia da conscientizao

Educao e Responsabilidade Social

Mrio Csar P. Peixoto

Programa:

Introduo Funcionrio:Parte integrante O que informao? Informao: Elemento vital Setores da Organizao Como vista a segurana das informaes? Princpios bsicos Trplice PPT Elo mais fraco Tratando a informao corretamente Cuidados a serem levados em conta Check-up geral dos riscos mais agravantes Principais ameaas segurana da informao

Concluso Dvidas e perguntas

Um barco ancorado esta seguro!

Sair do porto arriscado

...mas barcos no foram feitos para ficarem ancorados.

Funcionrio: Parte integranteNs fazemos parte deste barco!

Responsabilidades individuaisSe transformam

Conscientizao coletiva

O que informao?

Tudo aquilo que voc interpreta, assimila e compreende. Ou seja: O que faz sentido para voc!

Informao: Elemento vital

Setores da organizao

Quais so as atividades mais importantes na empresa? => TODASManuteno Recursos Instrucionais Telefonista Gerncia Reitoria Xerox Contabilidade Biblioteca Recepo Zeladoria Almoxarifado

Ncleo de Informtica Assistncia Pedaggica Laboratrios

DSA

Comunicao & Marketing Diretoria de Cursos Multi-Atendimento Secretarias de Curso

Vigilncia

A Informao esta em toda parte, em todos setores!

Como vista a segurana das informaes?

Problema => Viso superficial

Princpios bsicosSegurana da InformaoSustentao Integridade Confidencialidade Disponibilidade Trinmio da Segurana Segurana Fsica Segurana Tcnica Segurana Humana

humano

Tcnico

Fsico

Trplice PPT

Elo mais fraco Fator fsico?

Fator Tecnolgico?

r to a F

o an m hu

Tratando a informao corretamente

Voc trata as informaes que recebe todos os dias de forma correta? Sabe diferenciar informao pblica da informao particular/interna/confidencial? Tem noo do quanto voc importante e responsvel pelas informaes que a cada dia adquire?

Cuidados a serem levados em conta

Chaves de armrios no bem guardados. Senhas e nomes de usurios visveis. Deixar computador logado; disponvel para ser acessado,sem estar presente.No atualizar anti-virus e Sistema Operacional

Cuidados a serem levados em conta

No aderir a algum sistema de bate-papo, que no seja da rede da prpria empresa

Aceitar a entrada de algum usurio em sua lista de contatos no sistema de bate-papo que esta sendo utilizado, sem saber ao certo de quem realmente se trata

Check-up geral dos riscos mais agravantes Segurana das informaes dentro da Organizao

Preencher formulrios eletrnicos ou acessar links recebidos via e-mail, sem ao menos conferir se o e-mail solicitante provm do endereo correto.

Acesso a informaes digitais(CD,disquete)sem o prvio conhecimento do que se trata e sobretudo da procedncia.


Chave principal (referente ao quadro de todas chaves do campus) jogada,exposta ou no bem guardada em lugar seguro . No colher assinatura (identificao necessria) para disponibilizar ou recolher chave de determinado setor


Documento e/ou arquivos expostos em cima da mesa, sendo facilmente visualizados ou capturados.

Deixar porta aberta estando ausente de sua sala.Ai meu Deus do cu!

Check-up geral dos riscos maisagravantes Segurana das informaes dentro da Organizao

Acesso a entrada ao campus sem as devidas credenciais de identificao e coleta de informaes sobre o mesmo

No pedir de volta as credenciais de identificao quando da sada ao campus

Check-up geral dos riscos maisagravantes Segurana das informaes dentro da Organizao

Deixar porta ou portes com fcil acesso de entrada

Deixar carto de acesso de entrada exposto em lugares que facilmente se consegue pegar

Check-up geral dos riscos mais agravantes Segurana das informaes dentro da Organizao Valendo para todos sem exceo:

Descarte incorreto de material para o lixo

Entregar informaes via telefone sem fazer a conferncia correta do que se trata

Principais ameaas segurana da informao

Concluso

A conscientizao perante as informaes que cada um exerce em seu meio essencial para a consolidao de um ambiente de trabalho mais seguro, onde cada um o responsvel por manipular e transmitir as informaes.

Dvida

Auditoria e Segurana em SW Mdulo ISO 27000 Aula 11Ronei Ferrigolo



Incidentes de Segurana e Uso Abusivo da Rede3- Arquivologia Ana Paula Ferreira Torrizella Elis Regina Ribeiro Piaa da Silva Josimara Nunes

RefernciasHa JH, Yoo HJ, Cho IH, Chin B, Shin D, Kim JH. Psychiatric comorbidity assessed in Korean children and adolescents who screen positive for Internet addiction. J Clin Psychiatry. 2006;67(5):821-6. TUMA, R. A Internet e a Compulso. So Paulo.2006. Disponvel em: http://www.scielo.br/. Acesso em: 07 de nov. 2008. http://cartilha.cert.br/; http://penta.ufrgs.br/gereseg/rfc2196/cap2.htm; http://www.protectionline.org/Analise-do-risco-e-necessidadesde.html http://pt.wikipedia.org:80/wiki/Log_de_dados http://www.rnp.br:80/newsgen/9905/logs.htm

aula pol seg neg 4

Documents