conceitos bÁsicos de seguranÇa para gerenciamento da seguranÇa

CONCEITOS E FUNDAMENTOS NA ÁREA DE SEGURANÇA DE INFORMAÇÕES PARA GERENCIAMENTO DA SEGURANÇA

PROFESSOR:ANTÔNIO JOÃO DE ARRUDA CEBALHO 1

UNIC –UNIVERSIDADE DE CUIABÁUNIC –UNIVERSIDADE DE CUIABÁ

SEGURANÇA DA INFORMAÇÃOEmenta

Fundamentos de segurança da informação. Classificação e proteção da informação. Padrões de Segurança de Informações.

Especificação de projetos de Segurança de Informações. Política de Segurança de Informações.

A função de Administração daSegurança (Security Office).

Aspectos gerenciais e operacionais.

UNIDADE 1

CONCEITOS E FUNDAMENTOS NA ÁREA DE SEGURANÇA DE INFORMAÇÕES

3

SEGURANÇA DAS INFORMAÇÕES

Tem como objetivo proteger as informações que se encontram

registradas onde quer que estejam:

Papéis impressos (padrões, procedimentos, manuais, etc…);

Discos rígidos de computadores, pendrives, CDs/DVDs;

Fitas, na memória das pessoas;

Bem como por onde elas transitam (rede interna, internet, extranets,

redes Man/Wan;

Em outras palavras, a segurança da informação é o processo que tem a responsabilidade de manter entre outras coisas:

A informação íntegra, confiável e disponível, porém disponível apenas A informação íntegra, confiável e disponível, porém disponível apenas a quem tenha direito.a quem tenha direito.

O OBJETIVO DA ÁREA DE SEGURANÇA DAS INFORMAÇÕES

4

O CONCEITO DE SEGURANÇA DE INFORMAÇÕES

PROCESSOCONTÍNUO

5

Con

trol

es

QUAL DEVE SER O FOCO DE ATUAÇÃO NA ÁREA DE SEGURANÇA DE INFORMAÇÕES

GESTÃO DE SEGURANÇA PPP=POLÍTICAS/PADRÕES/PROCEDIMENTOS

REDEREDE

Con

trol

es

APLICAÇÕES E BANCO DE DADOS

Con

trol

es

Con

trol

es

ACESSOSE PERFIS DE

USUÁRIOS, CONTROLE DE ACESSO

SISTEMASOPERACIONAIS

CONECTIVIDADEMONITORAÇÃO

RESPOSTA A ATAQUESFIREWALL / IDS

6

HARDNING

SEGURANÇA DA INFORMAÇÃO

7

9

CONFIDENCIALID

ADE

INTEGRID

ADE

DISPONIBILIDADE

OS TRÊS PILARES DA SEGURANÇA DE INFORMAÇÕES

10

A Segurança da Informação deve ser baseada nos seguintes fundamentos ou pilares:

CONCEITO DE INTEGRIDADE

A informação sempre tem uma origem e um destino. A área de segurança de informações deve garantir que a informação ao ir de um ponto de origem a um ponto de destino, a mesma não pode ser modificada.

O receptor da informação deve ter a certeza de que a informação acessada, lida ou ouvida é exatamente a mesma que foi disponibilizada

para ele usuário.

PRINCÍPIOS DA SEGURANÇA DAS INFORMAÇÕES

CONCEITO DE DISPONIBILIDADE A área de segurança de informações deve garantir que a informação deve estar disponível para ser usada, para poder ser lida, transmitida e armazenada, a qualquer momento.

CONCEITO DE CONFIDENCIALIDADE

A área de segurança de informações deve garantir que sómente as pessoas que devem acessar uma determinada informação devem acessá-la.

CONCEITO DE AUDITORIA EM SOFTWARE

É a área de segurança de informações que além de auditar tudo que foi realizado. Deve atuar de forma a detectar tentativas de fraudes e tentativas de ataques.


11

13

Adianta proteger só um dos 3 Adianta proteger só um dos 3 pilares?pilares?

ATIVO PARCIALMENTE ROUBADO

14

Aliás... O que aquele ladrão vai fazer sem a roda???

ATIVO PARCIALMENTE ROUBADO

15

OUTROS CONCEITOS DE SEGURANÇA A CONSIDERARMOS

CONCEITO DE AUTENTICAÇÃO

Capacidade de garantir que um usuário, sistema ou informação é mesmo quem alega ser.

CONCEITO DE NÃO REPÚDIO

É a capacidade de através do sistema de se provar que um usuário executou determinada ação no sistema.

O não repúdio pode ser na origem ou no destino.O não repúdio na origem : a origem nega o envio das informações;

O não repúdio no destino: o destino nega o recebimentodas informações;


16

OUTROS CONCEITOS DE SEGURANÇA A CONSIDERARMOS

CONCEITO DE LEGALIDADE

É a aderência de um sistema ou procedimento de segurança à uma determinada legislação nacional ou internacional.

Inúmeras legislações são descumpridas por desconhecimento dos gestores da existência das mesmas;

Inúmeras normas não são usadas como referência por desconhecimento dos gestores da existência das mesmas;

Inúmeros tipos de penalidades podem ser aplicadas a gestores de TI, como será mostrado mais adiante;


17

CLASSIFICAÇÃO DA INFORMAÇÃO

OBJETIVO:

Assegurar que os ativos de informação recebam um nível adequado de proteção.

A informação deve ser classificada para indicar a importância, a prioridade e o nível de proteção.

A informação possui vários níveis de SENSIBILIDADE E CRITICIDADE. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial.

Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.

18

ASPÉCTOS LEGAIS DA CLASSIFICAÇÃO DA INFORMAÇÃO

REFERÊNCIAS DE LEGISLAÇÃO:

1. Lei nº. 8.159, de 8 de Janeiro de 1991, que dispõe sobre a política nacional de arquivos públicos e privados e dá outras providências.2. Decreto nº. 3.505, de 13 de Junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. 3. NBR ISO/IEC 17799:2001: tecnologia da informação - código de prática para a gestão da segurança da informação.4. Decreto nº 4.073, de 3 de Janeiro de 2002, que regulamenta a Lei no 8.159, de 8 de janeiro de 1991, que dispõe sobre a política nacional de arquivos públicos e privados.5. Decreto nº 4.553, de 27 de Dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências.6. Regulamento de Segurança da Informação para Técnicos.7. Termo de Responsabilidade e Sigilo.

19

RECOMENDAÇÕES PARA CLASSIFICAÇÃO DA INFORMAÇÃO

1. Toda informação possui um autor ou processo que a gera.2. A informação deve possuir classificação quanto ao seu sigilo, integridade e disponibilidade, ainda que a mesma não seja explícita.3. A classificação da informação deve ser realizada com base nas exigências das atividades da Organização, considerando as implicações que um determinado grau de segurança trará para a Organização e seus usuários.4. Na classificação da informação deve-se buscar, sempre que possível, o grau de segurança menos restritivo possível, visando otimizar/agilizar o processo de tratamento e reduzir os custos com sua proteção.5. Uma informação pode variar seu grau de segurança de acordo com o seu trâmite mediante reclassificação.6. As informações que não estão sendo usadas devem manter as medidas de proteção compatíveis com o seu grau de segurança.7. A classificação de uma informação é de competência do seu classificador, no momento em que a informação é gerada ou recebida.8. O classificador é todo gestor de unidade gerencial, coordenador/presidente de comissão, de câmara, de grupo temático, consultor jurídico, auditor interno, secretária geral ou pessoa por eles delegada formalmente, e demais Servidores designados pela Diretoria.

20

9. O classificador ao delegar a classificação, deve instruir o Servidor sobre como classificar a informação no momento em que é gerada ou recebida.

10. A classificação e a reclassificação da informação são processos que podem contar com o apoio da Comissão Permanente de Avaliação de Informações Classificadas e Custodiantes, de modo a permitir um perfeito balanceamento entre o valor da informação, o risco associado à uma determinada classificação e o custo das medidas necessárias a sua proteção.

11. As informações que formem um conjunto assumem automaticamente a classificação de maior grau de segurança atribuída à uma informação suportada por elas (Ref. Dec. 4.553, Art. 13 e 14).

12. As páginas, os parágrafos, as seções, as partes componentes ou os anexos de um documento sigiloso podem merecer diferentes classificações, mas ao documento, no seu todo, será atribuído o grau de sigilo mais elevado, conferido a quaisquer de suas partes (Ref. Dec. 4.553, Art. 13 e 14).

.

21

13. A classificação da informação deve ser feita considerando o disposto na legislação em vigor, bem como os efeitos que a atribuição de determinada classificação trará às atividades da Organização, a seus usuários e à sociedade em geral.

14. A Câmara Setorial de TI e Segurança da Informação, anualmente, coordenará a revisão da Política de Classificação da Informação para garantir a sua aplicabilidade e eficácia.

15. O autor da informação ou o classificador poderá, baseado em justificativa, solicitar à Câmara Setorial de TI e Segurança da Informação a revisão na Política de Classificação da Informação.

22

•Classificação da informação - Fluxograma

Essa informação deve ser

classificada como CONFIDENCIAL


classificada como CONTROLADA


classificada como VITAL

Não precisa classificarPÚBLICA

Não precisa classificar(NORMAL)

Não precisa classificar(BÁSICA)

Término

Início

SIM

NÃONÃO

SIM NÃO

É uma informação que necessita de registros

históricos com a identificação inequívoca dos usuários que tiveram

acesso, permitindo execução do processo de

auditoria interna?

NÃO

SIMSIM

NÃO

É uma informação considerada fundamental para a

continuidade das atividades dA Organização, que deve ser

substituída imediatamente em caso de indisponibilidade para não provocar graves prejuízos

a seus objetivos institucionais?

SIM

NÃO

É uma informação que, pela sua natureza, deve

ficar limitada ao conhecimento de

pessoas autorizadas?

NÃO

SIM SIM

É uma informação que necessita de medidas

de proteção contra acessos não autorizados?

Se revelada, pode comprometer atividades, acarretar perdas

financeiras, causar embaraços administrativos com

colaboradores, trazer vantagens indevidas a terceiros, entre

outras conseqüências?

Se revelada, pode causar prejuízos à

imagem ou aos objetivos

institucionais da Organização?

É uma informação

importante para as atividades dA Organização que exige cuidados

especiais quanto ao seu acesso?

É uma informação que, em caso de

modificações indesejáveis, pode gerar repercussões negativas no âmbito interno, causando

prejuízos ou resultados distorcidos?

É uma informação que, em caso de

modificações indesejáveis, pode gerar repercussões negativas

no âmbito externo, afetando a imagem dA Organização ou seus

objetivos institucionais?

NÃONÃO

SIMSIM


classificada como INTERNA

É uma informação de interesse de todos da

organização ou que não possua restrição de

divulgação. Sua divulgação além das

fronteiras da empresa não é vital, mas pode trazer

prejuízos indiretos?

NÃO

SIM

23

Critério: Sigilo Nível: Confidencial

TIPO DE TRATAMENTO

Rotular como “Confidencial”.•Incluir advertência sobre restrição de acesso.•Identificar usuários ou grupos de segurança autorizados.•Identificar numeração e total em cada página, se aplicável.•Acessar somente pelos usuários dos grupos de segurança autorizados.•Aplicar medidas de proteção que garantam que só usuários autorizados tenham acesso (lógica e física).•Manter sigilo sobre o conteúdo da informação para usuários não autorizados.•Disponibilizar cópia total ou parcial para usuários não autorizados somente com autorização do classificador.•Transportar (interno e externo) somente com autorização do classificador.•Transportar (interno ou externo) de forma a não se identificar o conteúdo e o nível de classificação (envelope duplo, criptografia, embrulho, etc).•Classificar como “controlada” se for distribuir.No caso de descarte, fazê-lo de forma irrecuperável.

24

Critério: Sigilo Nível: Interna

TIPO DE TRATAMENTO

Rotular como “Interna”; (Ref. Dec. 4.553, Art. 20).•Incluir advertência sobre restrição de acesso.•Deverão ser destinados alguns cuidados especiais ao se reproduzir (imprimir, fotocopiar) informações classificadas com “Interna”. Por exemplo: pessoas autorizadas devem sempre acompanhar ou realizar o trabalho de fotocópias de documentos com informação desse grau. No caso de impressão, pessoas autorizadas devem sempre se deslocar até a saída da impressora para capturar a impressão, evitando o vazamento de informações para fora da empresa.•O arquivamento da informação deverá ser efetuado em armário ou em caixas (em caso de elevado volume).•Trâmite interno da informação deverá ser feito dispensando tratamentos especiais, atentando-se, no entanto, para que não haja acesso indevido à informação por terceiros. O transporte para fora da empresa deverá ser realizado em envelope ou caixa.•No caso de descarte, fazê-lo de forma irrecuperável.

25

Critério: Sigilo Nível: Pública

TIPO DE TRATAMENTO

Não rotular, por ser a classificação implícita.

26

Critério: Integridade Nível: Controlada

TIPO DE TRATAMENTO

Rotular como “Controlado”.Identificar classificador nominal e individualmente. Identificar usuários ou grupos de segurança nominal e individualmente.Registrar os acessos (lógico e físico).Identificar individualmente cada cópia (lógica ou física) utilizada.Distribuir mediante lista de distribuição (relação nominal dos destinatários com a identificação individual da cópia recebida), que deve ser atualizada quando houver novos destinatários.Distribuir registrando a entrega para cada destinatário.Alterar o original somente com autorização do classificador.Distribuir cópias atualizadas quando o original for modificado e devolver a cópia anterior para o classificador.

27

Critério: Integridade Nível: Normal

TIPO DE TRATAMENTO

Não rotular, por ser a classificação implícita.

28

Critério: DisponibiIidade Nível: Vital

TIPO DE TRATAMENTO

Rotular como “Vital”.Deve ser do conhecimento de mais de uma pessoa.Implementar recurso substituto para assegurar disponibilidade imediata da informação, em caso de contingência.Documentar plano de contingência com alternativas de regeneração, transporte, transmissão e uso.Substituir original ou cópia imediatamente em caso de perda.

Critério: DisponibiIidade Nível: Básica

TIPO DE TRATAMENTO

Não rotular, por ser a classificação implícita.Implementar cópia para troca o mais cedo possível, em caso de contingência.Definir alternativas de regeneração, transporte, transmissão e uso. Documentar, se necessário.Substituir original ou cópia o mais cedo possível em caso de perda.

29

ATIVOS DA ORGANIZAÇÃO

São os elementos que a segurança de informações visa proteger. Os ativos podem ser divididos em grupos:

HARDWARE (HW);

SOFTWARE (SW);

PEPLEOWARE;

DOCUMENTOS IMPRESSOS;

30

ALGUNS EXEMPLOS DOS BENS (ATIVOS) PARA PROTEGERALGUNS EXEMPLOS DOS BENS (ATIVOS) PARA PROTEGER

Dados Protocolos Código fonte dos sistemas Informação sobre salários Senhas Dados de RH Dados Financeiros

Serviços Web sites Acesso à Internet Controle de

Acesso/Ponto

Comunicações Documentos restritos Transações/

Pagamentos Internos/Internet

Cópia de um plano estratégico

E-mails


CONCEITO DE INFORMAÇÃO

São todos os elementos que contém a informação registrada em meio

magnético ou físico.

São:

Os Códigos de Programas;

Linhas de Comando;

Manuais ou Relatórios em Arquivos ou Impressos;

Arquivos de Configuração;

Dados de Voz (gravados em soluções do tipo Help Desk, Central de Serviços,

Call Center);

Imagens de vídeo de sistemas de CFTV, Videoaula, Videoconferência;

etc...

31


CONCEITO DE USUÁRIOS

São as pessoas que fazem parte ou interagem com a empresa.

Podem ser:

Colaboradores internos/externos;

Terceiros internos/externos ;

Clientes;

Estagiários;

Visitantes;

Atacantes;

etc…

32

EXEMPLOS DE ATIVOS DA ORGANIZAÇÃO

EQUIPAMENTOS: HARDWARE:

Computadores (estações de trabalho), Pentes de Memória, Discos Rígidos (HDs);

Servidores de Rede, Notebooks;

Roteadores, Hubs, Switches, Firewall, Storages, Robô;

Unidades de fita de backup, CDs/DVDs, Pendrives, Câmeras IP;

Access-Points, Rádios, Modens, Impressoras, Placas de Rede; etc…

SOFTWARES/APLICAÇÕES:

Sistemas Operacionais, aplicativos (office/openoffice);

Programas/Aplicações Institucionais (ex: Programas Financeiros);

Banco de Dados, Anti-Vírus, Soluções de Controle de Conteúdo, etc…

Softwares de Gravação de Imagens de CFTV, Controle de Acesso, Softwares de Web Cache, etc…

33


EXEMPLOS DE ATIVOS DA ORGANIZAÇÃO

PEPLEOWARE (PESSOAS)

Pessoas : podem ser bem ou mal intencionadas;

Podem ser: funcionários terceirizados ou não, colaboradores, consultores, estagiários, visitantes, etc…

Muitas vezes são o ponto crítico da segurança.

INFORMAÇÕES IMPRESSAS

São os documentos impressos deixados sobre as mesas, dentro de armários ou gavetas sem tranca, documentos jogados no lixo, etc…

34

35

O papel do usuário na SegurançaO papel do usuário na Segurança Todo usuário deve reportar incidentes de segurança. Cada usuário é responsável pela sua senha. O usuário não deve baixar ou instalar software não autorizado

pela Organização através da sua Política de Segurança de Informações.

O usuário deve utilizar e-mail e internet da empresa, para o seu trabalho.

As informações da empresa pertencem à empresa, e não devem ser copiadas, apagadas, mofificadas ou divulgadas sem autorização.

36

A Senha deve confidencial?A Senha deve confidencial?

Quem aqui sabe a senha de rede de um colega de trabalho?

Quem aqui sabe a senha do banco de um colega de trabalho?

37

Principais falhas no uso da Principais falhas no uso da senhasenha

Senhas fáceis de adivinhar– Nome (seu, da esposa, do marido, do cachorro, do filho, iniciais, time

de futebol...);

– Datas (nascimento, casamento, nascimento do filho (a), ...);

– Placa do carro

38

Principais falhas no uso da Principais falhas no uso da senhasenha

Usar seqüências– 123456– 111111– qwerty– abcedf

Compartilhar a senha Anotar a senha

– Principalmente sob o teclado ou mousepad, gaveta aberta,

dentro da agenda;

39

AMEAÇAS

São todos os agentes que podem explorar falhas de segurança, também conhecidas como vulnerabilidades nos ativos da organizaçao.

As ameaças podem causar perdas ou danos aos ativos da empresa.

As ameaças podem ser divididas em três grandes grupos:

NATURAIS INVOLUNTÁRIAS INTENCIONAIS

As perdas podem ser:

- Financeiras;

- De imagem;

- De credibilidade no mercado;


40

Algumas formas de Ameaças na SegurançaAlgumas formas de Ameaças na Segurança

F DFonte de

InformaçãoDestino daInformação

Fluxo Normal

F D

Interrupção

F D

InterceptaçãoI

F D

ModificaçãoM

F D

FabricaçãoF

Interceptação

firewall

proxywebemail

O administrador do ISP pode

ver emails armazenados enquanto o usuário não

os baixa.

Não é difícil interceptar o tráfego dos vizinhos em

“apartnets” e certos sistemas de banda larga

Admins do site ou invasores podem

monitorar o tráfego ou dados do servidor ou

rede de destino

ISPO proxy contém cópias

das páginas recentemente

acessadas, para economizar o link de

saída do ISP

Agências de Inteligência monitoram links e grandes provedores de backbone

POPs podem fazer

capturas de pacotes

16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: S 6928467:6928467(0) win 8192 <mss 1460> (DF)

16:15:14.490000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: S 3259336854:3259336854(0) ack 6928468 win 8760 <mss 1460> (DF)

16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: . ack 1 win 8760 (DF)

16:15:14.680000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 1:48(47) ack 1 win 8760 (DF) 4500 0057 dd14 4000 fe06 07f0 c885 2201 : E..W..@.......". ac10 0105 006e 0415 c245 8897 0069 b854 : .....n...E...i.T 5018 2238 a7d9 0000 2b4f 4b20 5150 4f50 : P."8....+OK QPOP 2028 7665 7273 696f 6e20 322e 3533 2920 : (version 2.53) 6174 2063 6170 6962 6120 7374 6172 7469 : at capiba starti 6e67 2e20 200d 0a : ng. ..

16:15:14.680000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 1:12(11) ack 48 win 8713 (DF) 4500 0033 870c 4000 2006 3c1d ac10 0105 : E..3..@. .<..... c885 2201 0415 006e 0069 b854 c245 88c6 : .."....n.i.T.E.. 5018 2209 4e42 0000 5553 4552 206d 6d6d : P.".NB..USER mmm 6d0d 0a : m..

16:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: . ack 12 win 8760 (DF)

Exemplo de Captura: POP3

Início da conexãoTCP (3-way handshake)

Dados do protocolopassando às claras

Identificação do usuáriopassando às claras

Exemplo de captura: POP316:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 48:81(33)

ack 12 win 8760 (DF) 4500 0049 dd16 4000 fe06 07fc c885 2201 : E..I..@.......". ac10 0105 006e 0415 c245 88c6 0069 b85f : .....n...E...i._ 5018 2238 0c1d 0000 2b4f 4b20 5061 7373 : P."8....+OK Pass 776f 7264 2072 6571 7569 7265 6420 666f : word required fo 7220 6d6d 6d6d 2e0d 0a : r mmmm...

16:15:14.690000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 12:29(17) ack 81 win 8680 (DF) 4500 0039 880c 4000 2006 3b17 ac10 0105 : E..9..@. .;..... c885 2201 0415 006e 0069 b85f c245 88e7 : .."....n.i._.E..

5018 21e8 cd39 0000 5041 5353 2034 3079 : P.!..9..PASS p@l 6c61 2a67 616d 2a0d 0a : @f1t@..

Senha do usuáriopassando às claras

Interceptação• Interceptação na rede é quase indetectávelindetectável

– Toda a rede é se baseia na facilidade de copiar dados; portanto, copiar não perturbacopiar não perturba o funcionamento da rede

• Administradores têm motivos legítimosmotivos legítimos– ManutençãoManutenção: depuração e correção de problemas – Exemplo: “double-bouncedouble-bounce” de email por estouro de quota de disco– Anti-vírus, Sistemas de Detecção de Intrusão e Filtros Anti-Spam

rotineiramente analisam e classificam o tráfegorotineiramente analisam e classificam o tráfego em busca de dados danosos ou indesejados

– Abusos existem mas rarosraros... admins em geral têm mais o que fazer do que ficar bancando o voyeur

• Sistemas mal cuidados são passíveis de invasãoinvasão– Invasores tornam-se tão ou mais poderosos que os adminstão ou mais poderosos que os admins– Têm mais tempo, mais motivação,... e menos ética

45

CLASSIFICAÇÃO DAS AMEAÇASCLASSIFICAÇÃO DAS AMEAÇASMÉTODO GUT (GRAVIDADE, URGÊNCIA E MÉTODO GUT (GRAVIDADE, URGÊNCIA E

TENDÊNCIA)TENDÊNCIA)

As Ameaças são classificadas de acordo com os As Ameaças são classificadas de acordo com os seguintes critérios:seguintes critérios:

Gravidade

Urgência

Tendência

46

AMEAÇAS - CRITÉRIOS DE PONTUAÇÃOAMEAÇAS - CRITÉRIOS DE PONTUAÇÃO

Pontos GRAVIDADE URGÊNCIA TENDÊNCIA

5 Extremamente importante Bastante urgente Piorar muito

4 Muito importante Urgente Piorar

3 Importante Relativamente urgente Permanecer

2 Relativamente importante Pode aguardar Melhorar

1 Pouco importante Sem pressa Melhorar completamente

47

AMEAÇAS

AMEAÇAS NATURAIS

São aquelas causadas pela natureza: Descargas atmosféricas; Inundações; Incêndio; Gases Corrosivos de ambientes vizinhos, etc….

AMEAÇAS INVOLUNTÁRIAS

São aquelas causadas sem intenção de causar problemas ou danos. Ex: Uso/teste de software dentro da rede sem conhecer as consequências do mesmo e se pode ou não causar danos;

AMEAÇAS INTENCIONAIS

São aquelas causadas com a intenção de causar problemas ou danos. EX: Engenharia Social - A técnica de 'crackear' pessoas;

EX: Uso/teste de software específico dentro da rede com a intenção de causar danos;


48

RISCO

É a probabilidade das ameaças explorarem as vulnerabilidades, causando perdas e danos aos ativos e/ou impáctos no negócio.

Podem comprometer a integridade, a confidencialidade e a disponibilidade da informação.

Risco = Probabilidade de um incidente acontecer


48

49

Segurança – Administração dos Riscos

AMEAÇAS VULNERABILIDADES

POLÍTICAS . CONTROLES E PROCEDIMENTOS RISCOS ATIVOS

NECESSIDADESDE SEGURANÇA VALORES E IMPACTO

POTENCIAL A ATIVOS

EXPLORAM

EXPÕEMPROTEGEM CONTRA

TEMIMPLEMENTADAS COM

Fonte: ISO/IEC 13335-3:1998

AUMENTAM

DIMINUEM

AUMENTAMAUMENTAM

AUMENTAM

INDICAM

50

Pincipais Causas Percentual

Falha Humana 50 a 80 %

Greves 10 a 17 %

Forças da Natureza 10 a 15 %

Sabotagem 3 a 4 %

Alagamento 2 a 3 %

Estranhos à Organização

1 a 3 %

PADRONIZANDO CONCEITOSRisco: é a medida para um fator de incerteza

Conceito de Dano: Conseqüência nociva acarretada por um Evento.

O Dano provoca Impacto de resultado prejudicial. Justifica a Contingência.

50

51

ENGENHARIA SOCIAL - A TÉCNICA DE ENGENHARIA SOCIAL - A TÉCNICA DE ‘ENGANAR' PESSOAS‘ENGANAR' PESSOAS

Indução a instalação de arquivos maléficos. Indução a mudança de senha (via telefone, e-mail, internet ou pessoalmente). Indução a fornecer informações diversas (via telefone, e-mail, internet ou

pessoalmente). Golpes contra Internet Banking no Brasil e no mundo. Conto do vigário – vigarista (ofertas tentadoras que solicitam depósitos

financeiros de sinais para o negócio dar certo, falsas promessas mediante adiantamento de taxas, etc...)

52

CARACTERÍSTICASCARACTERÍSTICAS

Dispensa o uso de computadores e de softwares. É capaz de burlar sistemas anti-intrusão. Normalmente ocorre por telefone ou até pessoalmente. Online, as pessoas ficam

mais desconfiadas. Utiliza a confiança, a ingenuidade, a surpresa e o respeito à autoridade (fazer-se

passar por outra pessoa). Muitas vezes faz uso da intimidação hierárquica;

53

ALGUNS MÉTODOSALGUNS MÉTODOS

Personificação (faz-se passar por pessoal do Help Desk, pessoal do suporte técnico, cargo de gerente ou diretor, etc...).

Engenharia Social Reversa.

Mergulho no lixo (Dumpster diving).

Sedução sexual ou financeira;

54

ALGUNS MÉTODOSALGUNS MÉTODOS

Surfe de ombro.

Acesso físico às empresas.

Acesso físico à ÁREAS restritas.

Ataques via Internet e Intranet.

Telefonemas.

55

PREVENÇÃO CONTRA A ENGENHARIA PREVENÇÃO CONTRA A ENGENHARIA SOCIALSOCIAL

Conscientização dos responsáveis pela segurança e dos usuários da organização.

Treinamento do pessoal de atendimento, pessoal de suporte.

Impedir entrada não-autorizada aos prédios e áreas restritas de visitantes e de usuários internos que não precisam ter acesso a essas áreas.

Identificar funcionários por números.

Utilizar Sistema de Monitoramento de Imagens – CFTV, para a gravação das imagens de vídeo e dependendo da área/setor da organização fazer uso de microfones para captação de voz e sistemas de gravação de voz.

Em Call Centers, Help Desks, Service Desks, gravar todas as conversas entrantes e saintes.

56

Prevenção contra a Engenharia SocialPrevenção contra a Engenharia Social

Manter o lixo em lugar seguro e monitorado. Implantar/conscientizar a Política da Mesa Limpa. Mnater gavetas de mesas, armários, trancados; Picar papéis e eliminar completamente dados magnéticos. Ficar atento ao surfe de ombro e trocar a senha periódicamente. Informar aos superiores a respeito de questionamentos de dados pessoais

dirigidos a sua pessoa ou de outro colaborador.

57

VULNERABILIDADES

PONTOS FRACOS QUE PODEM SER EXPLORADOS

58

SITUAÇÕES DE INSEGURANÇASITUAÇÕES DE INSEGURANÇA

Catástrofe – Incêndio acidental ou intencional– Inundação de caves ou salas com risco potencial, por fuga

dos canos ou por goteiras – Explosão intencional ou provocada por fuga de gás (em

botijas ou encanado) – Desabamento parcial ou total do prédio – Impacto de escombros da cobertura (tecto de gesso, tecto

falso ou telhado) – Grande sobrecarga na rede elétrica ou relâmpagos que

causam queima total de equipamentos

59


Problemas ambientais – Variações térmicas - excesso de calor causa travamentos e

destrói os suportes; excesso de frio congela fisicamente dispositivos mecânicos, como discos rígidos.

– Humidade - inimigo potencial de todas os suportes magnéticos.

– Poeira depositada nas cabeças de leitura e gravação dos drivers, pode destruir fisicamente um disquete ou uma fita.

– Ruído causa stress no pessoal.

60

SITUAÇÕES DE INSEGURANÇASITUAÇÕES DE INSEGURANÇA Problemas ambientais

– Fumo - o fumo do cigarro deposita uma camada de componentes químicos nas cabeças de leitura e gravação dos drives, que pode inviabilizar a utilização de disquetes e fitas; fumos de incêndios próximos é muito mais perigosa.

– Magnetismo - grande inimigo dos suportes magnéticos, pode desgravar disquetes, fitas e discos rígidos.

– Trepidação - pode afrouxar placas e componentes em geral, além de destruir discos rígidos.

61


Supressão de serviços – Falha de energia elétrica - grande risco potencial, à medida

que paralisa totalmente todas as funções relacionadas à informática.

– Queda nas comunicações - grande risco potencial, pois isola o site do resto do mundo; risco de perda de dados.

– Bloqueio nos equipamentos - problema bastante comum, resolvido com backup de informações e de hardware.

– Bloqueio na rede - isola um ou mais computadores de um mesmo site; risco potencial de perda de dados.

62 62


Supressão de serviços– Problemas nos sistemas operacionais - risco potencialmente

explosivo, pois podem comprometer a integridade de todos os dados do sistema e até mesmo inviabilizar a operação; eliminam a confiança da equipa.

– Problemas nos sistemas corporativos - grande risco, causam grande transtorno e perdas de dados.

– Bloqueio de sistema - igualmente um grande risco.

63

SITUAÇÕES DE INSEGURANÇASITUAÇÕES DE INSEGURANÇA Comportamento anti-social

– Paralisações e greves - problema contornável se houver condução política adequada.

– Invasões - altíssimo risco de destruição acidental ou intencional.

– Hacker - Pessoa que tenta aceder a sistemas sem autorização, usando técnicas próprias ou não, no intuito de ter acesso a determinado ambiente para proveito próprio ou de terceiros. Dependendo dos objectivos da acção, pode ser chamado Cracker, Lammer ou BlackHat

indivíduo que conhece profundamente um computador e um sistema operacional e invade o site sem finalidade destrutiva.

– Alcoolismo e drogas - risco de comportamento anómalo de funcionários, com consequências imprevisíveis.

64 64


Comportamento anti-social– Disputas exacerbadas - entre pessoas podem levar à

sabotagem e alteração ou destruição de dados ou de cópias de segurança.

– Falta de espírito de equipe - falta de coordenação, onde cada funcionário trabalha individualmente; risco de omissão ou duplicação de procedimentos.

– Inveja pessoal/profissional - podem levar um profissional a alterar ou destruir dados de outro funcionário.

– Rixas - entre funcionários, setores, administração, diretorias - mesmo caso do item anterior, porém de consequências mais intensas.

65


Ação criminosa – Furtos e roubos - consequências imprevisíveis, podem

inviabilizar completamente os negócios da empresa. – Fraudes - modificação de dados, com vantagens para o

elemento agressor. – Sabotagem - modificação deliberada de qualquer activo da

empresa. – Terrorismo - de consequências imprevisíveis, pode causar

mortes, a destruição total dos negócios ou de mesmo de toda a empresa.

66 66


Ação criminosa– Atentados - uso de explosivos, com as mesmas consequências

do item anterior. – Sequestros - acção contra pessoas que tenham alguma

informação.– Espionagem industrial - captação não autorizada de software,

dados ou comunicação. – Cracker - indivíduo que conhece profundamente um

computador e um sistema operacional e invade o site com finalidade destrutiva.

67

SITUAÇÕES DE INSEGURANÇASITUAÇÕES DE INSEGURANÇA Incidentes variados

– Erros de utilizadores - de consequências imprevisíveis, desde problemas insignificantes até a perda de uma faturamento inteira; erros de utilizadores costumam contaminar as cópias de segurança (backup) quando não detectados a tempo.

– Erros em backups - risco sério de perda de dados; o backup sempre deve ser verificado.

– Uso inadequado dos sistemas - normalmente ocasionado por falta de treino, falta de documentação adequada do sistema ou falta de capacidade de quem utiliza o sistema de forma inadequada, tem os mesmos riscos do item Erros de utilizadores.

68

SITUAÇÕES DE INSEGURANÇASITUAÇÕES DE INSEGURANÇA Incidentes variados

– Manipulação errada de ficheiros - costuma causar perda de ficheiros e pode contaminar as cópias de segurança.

– Treinamento insuficiente - inevitavelmente causa erros e uso inadequado.

– Ausência/demissão de funcionário - é problemático se a pessoa ausente for a única que conhece determinados procedimentos.

– Stress/sobrecarga de trabalho - uma pessoa sobrecarregada é mais propensa a cometer erros e adoptar atitudes anti-sociais.

– Equipe de limpeza - deve receber o treino adequado sobre segurança.

TIPOS DE VULNERABILIDADES

1- FÍSICASSão inerentes ao ambiente em que a informação será manipulada e/ou armazenada.

Exemplos:

Ausência de proteção contra incêndios;

Ausência de proteção ao sistema de cabeamento da rede;

Ausência de segurança de acesso de pessoas ao ambiente de informática.

etc...


69


2- NATURAIS

São inerentes às condições da natureza, que podem colocar em risco as informações:

Poeira.

Poluição.

Descargas atmosféricas

Umidade.

etc...


70


3- DE HARDWARE

Exemplos:

Área de armazenamento inadequada;

Processamento e velocidades de operação adequados para as aplicações;

Usernames/senhas default divulgados na internet;

Portas console de rotedores e switches;

Portas auxiliar de rotedores e switches;

etc...


71


4- DE SOFTWARE

Exemplos:

Bugs dos sistemas operacionais;

Portas de aplicações que não são utilizadas, mantidas abertas;

Protocolos que não são utilizados deixados habilitados;

Exemplo: Servidor Sun Solaris com inúmeras portas de aplicação abertas.

etc...


72


5- DAS MÍDIAS:

Exemplos:

Suportes físicos e magnéticos que armazenam as informações;

Disquetes;

Cd-Roms;

Fitas Magnéticas;

Discos Rígidos dos Computadores.

etc...


73

TIPOS DE VULNERABILIDADES 6 - DE COMUNICAÇÃO

Abrange todo o tráfego de informação e o meio por onde ela trafega:

Internet;

Wap e ondas de rádio;

Cabeamento estruturado;

Fibras ópticas, satélite, fax, modens, impressoras.

Exemplo: Funcionário resolve utilizar software de snniffer na rede, para tentar capturar a senha de login do seu chefe.

etc...


74

NETWORK SNIFFING

TRANSMISSOR (A)TRANSMISSOR (A) RECEPTOR (B)RECEPTOR (B)SNIFFERSNIFFER

A interface de rede em modo promíscuo pode capturar:• senhas (violação da autenticaçãoviolação da autenticação) • qualquer outro tipo de mensagem.

AA B B

pacotepacote

Dados Dados

Integração e convergência das Tecnologias e dos Serviços

TIPOS DE VULNERABILIDADES7- HUMANAS

Referem-se aos danos que as pessoas podem causar às informações e/ou ao ambiente tecnológico que as suporta.

Podem ser:

Intencionais ou Acidentais.

Exemplo: Funcionario resolve testar software de ataque com o servidor web da empresa.

etc...


77

RISCO

É a probabilidade das ameaças explorarem as vulnerabilidades, causando perdas e danos aos ativos e/ou impáctos no negócio.

Podem comprometer a integridade, a confidencialidade e a disponibilidade da informação.

Risco = Probabilidade de um incidente acontecer


78

MEDIDAS (CONTROLES) DE SEGURANÇASão as ações voltadas à eliminação de vulnerabilidades de modo a se evitar a concretização de uma ameaça.

Identifique as ameaças;

Visualize as vulnerabilidades;

Que princípios básicos de segurança são afetados por essas vulnerabilidades ?

Que impáctos no negócio podem ser causados?

Que medidas de segurança podem ser tomadas?


79

80

POLÍTICAS, PADRÕES E PROCEDIMENTOS DE SEGURANÇA

81

DEFINIÇÕES E TERMOS TÉCNICOS ASSOCIADOS

CONCEITO DE POLÍTICAS

Uma Política de Segurança é uma declaração abrangente produzido pelo nível executivo da empresa que dita qual é o papel da segurança informação na empresa e como ela deve ser empregada.

Uma política deve ser:

• Orientada ao negócio;• Fácil de se entender;• Alinhada com a segurança e todas as funções de negócios e seus processos;• Deve suportar todas as legislações e regulamentações nas quais a empresa for sujeita;• Modificada e revisada de acordo com as mudanças da empresa;

.

82


TIPOS DE POLÍTICAS

Regulatória: seguida e aplicada pela empresa de acordo com seu ramo de negócio;

Recomendável: Recomenda aos funcionários sobre seu comportamento deve ser bem como como NÃO pode ser;

Informativa: não é forçada, apenas informa aos funcionários sobre alguns tópicos;

PADRÕES

É tudo que referencia atividades mandatórias, ações, regras ou legislação. Os padrões podem ser internos ou externos.

83


O CONCEITO DE TITULARIDADE

O sujeito do direito autor ou o titular de autoria de obra intelectual, ou seja, o escritor, o autor, o compositor, o artista plástico, o desenhista, o engenheiro projetista, o webdesigner, etc...

A pessoa criadora da obra física é portanto o titma obra intelectual originário;

A pessoa jurídica também pode ter juridicamente reconhecida a titularidade de direito. A Lei de Software reconhece a proteçao jurídica dos programas de computador, à pessoa jurídica.

A simples menção da autoria a uma obra intelectual independentemente de registro, identifica a sua titularidade.

O registro portanto não é obrigatório, tratando-se apenas de uma datação e de uma segurança adicional para os seus titulares;

84


O CONCEITO DE TITULARIDADE (continuação)

Os softwares podem ser registrados, caso se deseje perante ao INPI – Instituto Nacional de Propriedade Intelectual), de modo que neste caso a falta de registro não retira o caráter de proteção autoral (Artigo 3 da Lei 9609/98).

A Lei 9609/98, trouxe proteção aos titulares dos direitos patrimoniais sobre as bases de dados, o armazenamento em computador, a microfilmagem e as demais formas de armazenamento de informações.

O CONCEITO DE REPRODUÇÃO

É a cópia feita de qualquer forma tangível, incluindo qualquer armazenamento permanente ou temporário por meios eletrônicos ou qualquer outro meio que exista ou venha a ser criado, podendo-se incluir a Internet.

De acordo com a Lei 9609/98, a transferência de arquivos MP3 com intuitoComercial por parte do usuário ou não,constitui uma infração aos direitos autorais de seus titulares, a não ser nos casos em que exista autorização dos mesmos, para a reprodução e/ou execução pública.

85


O CONCEITO DE REPRODUÇÃO (continuação)

É a cópia dos referidos arquivos, sem a devida autorização do autor ou titular que constitui a ilegalidade.

Exemplo:

2001, Justiça Americana considerou que o Napster (programa de intercâmbio de arquivos usado na distribuição e compartilhamento de arquivos MP3), desrespeitava as leis e estabelecia o pagamento de direitos autorais.

Com isso ficou proibido veicular músicas que não fossem expressamente autorizadas pelos seus titulares de direito autoral.

86


O CONCEITO DE REPRODUÇÃO (continuação)

É a cópia dos referidos arquivos, sem a devida autorização do autor ou titular que constitui a ilegalidade.

Exemplo:

2001, Justiça Americana considerou que o Napster (programa de intercâmbio de arquivos usado na distribuição e compartilhamento de arquivos MP3), desrespeitava as leis e estabelecia o pagamento de direitos autorais.

Com isso ficou proibido veicular músicas que não fossem expressamente autorizadas pelos seus titulares de direito autoral.

87


DAS EXCEÇÕES

É considerado não ofensa a qualquer direito do titular:

- Qualquer citação parcial para fins didáticos, desde que os titulares de direito seja identificados;

- A reprodução de uma cópia para salvaguarda;

- A semelhança, de características funcionais em aplicações;

- A integração de um programa a um aplicativo ou operacional, técnicamente indispensável as necessidades do usuário;

88

O que significa exatamente ISO/IEC?

ISO significa International Standartization Organization. Trata-se de uma organização internacional formada por um conselho e comitês com membros oriundos da maioria dos países.

Seu objetivo é criar normas e padrões universalmente aceitos sobre como realizar as mais diversas atividades comerciais, industriais, científicas e tecnológicas.

IEC significa International Engineering Consortium.

É uma organização voltada para o aprimoramento da indústria da informação. Uma associação entre as duas instituições produz normas e padronizações internacionais.

Normas e Padrões de Segurança

89

ITIL (It Infraestructure Library)COBIT (Control objectives for information and related technology)ISO Guide 73 – Risk Management – vocabulary – guidelines for use in standardsISO 13335 – Guidelines for the management of IT security BS7799, ISO/IEC 17799 e NBR ISO/IEC 17799 - Código de Práticas de Gestão da Segurança da InformaçãoISO/IEC 27001 e NBR ISO/IEC 27001 - Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos

Normas e Padrões de Segurança

90

ITIL (It Infraestructure Library)

ITIL (It Infraestructure Library), é um conjunto de documentos desenvolvido pelo governo do Reino Unido para registrar as melhores práticas na área de Gestão de Serviços de TI.

Embora não esteja diretamente relacionado à segurança da informação, estabelece critérios para gerenciamento de incidentes, cooperando com os objetivos de segurança da informação.

O ITIL™ (Information Technology Infrastructure Library) é o modelo de referência para gerenciamento de processos de TI mais aceito mundialmente.

A metodologia foi criada pela secretaria de comércio (Office of Government Commerce, OGC) do governo Inglês, a partir de pesquisas realizadas por Consultores, Especialistas e Doutores, para desenvolver as melhores práticas para a gestão da área de TI nas empresas privadas e públicas.

Atualmente se tornou a Norma BS-15000, sendo esta um Anexo da ISO 9000/2000.

O foco deste modelo é descrever os processos necessários para gerenciar a infra-estrutura de TI eficientemente e eficazmente de modo a garantir os níveis de serviço acordados com os clientes internos e externos.

O QUÊ É O ITIL ?O QUÊ É O ITIL ?

9191

As "melhores práticas" são os melhores modelos de trabalho identificados em situações reais considerando Organizações em atividades similares.

Uma "melhor prática“ é um modelo foi implementado anteriormente, após ter sido determinada e comprovada a sua relevância.

A implantação de uma "melhor prática" é a capacidade de implementar modelos e experiências que já se mostraram eficientes em outras Organizações.

O QUE SÃO AS MELHORES PRÁTICAS?O QUE SÃO AS MELHORES PRÁTICAS?

92

CONCEITO DE NÍVEIS OPERACIONAL-TÁTICO-ESTRATÉGICO :

a.Operacional:

Atividades diárias, cotidianas e reativas;

b. Tático:

Atividade proativas com revisões periódicas, busca contínua pela qualidade e possibilidade de planejamento em longo prazo;

c. Estratégico:

Gerar conhecimento para permitir a visão organizacional para as questões de segurança computacional a partir de avaliações, auditorias, definição de níveis de maturidade dos objetivos de controle definidos e processos de extração de conhecimento de base de dados.

Relacionamento de Processos entre os modelos ITIL e COBIT e a norma ISO 17799

Relacionamento de Processos entre os modelos ITIL e COBIT e a norma ISO 17799 (continuação)

A combinação do modelo CobiT com a norma ISO 17799 e o modeloITIL permitirá a utilização das potencialidades de cada uma dessas propostas para o desenvolvimento de um modelo único que facilite identificar: o que, quem, como e que recursos tecnológicos utilizar para o alcance da Governança Corporativa.

98

GERENCIAMENTO DE SERVIÇOS - ITIL

Gerenciamento de Serviços – Entrega(Concentra-se no planejamento e melhoria dos serviços de TI)

– Gerenciamento de Nível de Serviços– Gerenciamento de Capacidade– Gerenciamento Financeiro– Gerenciamento de Disponibilidade– Gerenciamento de Continuidade

Gerenciamento de Serviços – Suporte(Concentra-se na execução do dia-a-dia e no suporte a serviços de TI)

– Service-Desk– Gerenciamento de Configurações– Gerenciamento de Incidentes– Gerenciamento de Problemas– Gerenciamento de Mudanças– Gerenciamento de Versões

98

99

Relação entre os processos do livro Suporte a Serviços.

Service-Desk Clientes

Gerencia. deIncidentes Gerencia. de

ProblemasGerencia. de

Mudanças Gerencia. deLiberação Gerencia. de

Configuração

Especifica as relações entre os itensLiberaçõesMudanças

Problemas de erros conhecidosIncidentes

Ferramentas deMonitoramento

RELACIONAMENTO ENTRE OS PROCESSOS DO ITILRELACIONAMENTO ENTRE OS PROCESSOS DO ITIL

BDGC= BANCO DE DADOS DE GERÊNCIA DE CONFIGURAÇÃO

100

ISO GUIDE 73 – RISK MANAGEMENT – VOCABULARY – GUIDELINES FOR USE IN STANDARDS

(GERENCIAMENTO DE RISCOS – VOCABULÁRIO –LINHAS GUIA PARA O USO DE PADRÕES)

ISO Guide 73, publicada em 2002, define 29 termos da Gestão de Riscos. São eles relacionados a:

Termos básicosPessoas e organizaçõesAvaliação de riscosTratamento e controle de riscos

A norma é útil para uniformizar o entendimento em relação aos conceitos relacionados a riscos.

101

Ameaça X RiscoAmeaça X Risco

ProbabilidadeX

Impacto

Fator de Risco

Ex.: Queda das ações

Combinação da probabilidade de ocorrência de um evento e sua conseqüência. (ISO/IEC Guide 73)

Risco

Incerteza

Ameaça

Impacto negativo

Oportunidade

Impacto positivo

Fator de Risco

Ex.: Alta das ações

102

ISO 13335 – GUIDELINES FOR THE MANAGEMENT OF IT SECURITYLINHAS GUIA PARA O GERENCIAMENTO DE SEGURANÇA DA TI

ISO 13335, é um conjunto de diretrizes de gestão da segurança voltadas especificamente para a tecnologia da informação.

A norma é composta de 5 partes que tratam de:

Conceitos e modelos para a segurança de TIAdministração e planejamento da segurança de TITécnicas para a gestão da segurançaSeleção de medidas de proteçãoOrientação gerencial em segurança de redes

103

BS7799 e ISO/IEC 17799

O que é BS7799?O Brithish Standart 7799 é uma norma de segurança da informação. Criada na Inglaterra, teve seu desenvolvimento iniciado em 1995.

O que é ISO/IEC 17799?A ISO/IEC 17799 é a versão internacional da BS7799, homologada pela International Standartization Organization em dezembro de 2000.

O que é NBR ISO/IEC 17799?

A NBR ISO/IEC 17799 é a versão brasileira da norma ISO, homologada pela ABNT em setembro de 2001.

104

COMPONENTES DO ISO 17799 COMPONENTES DO ISO 17799

1. Objetivo da norma 2. Termos e definições 3. Política de segurança 4. Segurança

organizacional 5. Classificação e controle

dos ativos de informação 6. Segurança de pessoas

7. Segurança física e do ambiente

8. Gerenciamento de operações e comunicações

9. Controle de acesso 10. Desenvolvimento de

sistemas. 11. Gestão de continuidade de

negócios 12. Conformidade

105

ISO 17799 – SEGURANÇA ORGANIZACIONALISO 17799 – SEGURANÇA ORGANIZACIONAL

Infraestrutura de segurança: indica que uma estrutura organizacional deve ser criada para iniciar e implementar as medidas de segurança.

Segurança no acesso de prestadores de serviço: garantir a segurança dos ativos acessados por prestadores de serviços.

Segurança envolvendo serviços terceirizados: deve-se incluir nos contratos de terceirização de serviços computacionais cláusulas para segurança.

106

ISO 17799 – SEGURANÇA DE PESSOASISO 17799 – SEGURANÇA DE PESSOAS

Segurança na definição e Recursos de Trabalho: Devem ser incluídas as preocupações de segurança no momento da contratação de pessoas. Verificar os critérios de segurança no processo de seleção. Funcionários devem assinar o acordo de confidencialidade.

Treinamento dos usuários: educação, conscientização e treinamento referentes a segurança.

Mecanismos de Incidente de Segurança: Deve existir mecanismos para funcionários poderem reportar possíveis falhas.

Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionários que violaram os procedimentos de segurança.

107

ISO 17799 – SEGURANÇA FÍSICA E DE AMBIENTEISO 17799 – SEGURANÇA FÍSICA E DE AMBIENTE

Áreas de segurança: prevenir acesso não autorizado, dano e interferência nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles de entrada física, etc .

Segurança de equipamento: convém proteger equipamentos fisicamente de ameaças e perigos ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteção contra falta de energia, segurança do cabeamento, definição de política de manutenção, proteção a equipamentos fora das instalações .

Controles gerais: Por exemplo proteção de tela com senha para evitar que informação fique visível em tela, deve-se ter uma política quanto a deixar papéis na impressora por muito tempo, etc.

108

ISO 17799 – CONTROLE DE ACESSOISO 17799 – CONTROLE DE ACESSO

Gerenciamento de acesso dos usuários:– Registro do usuário: ID única para cada usuário, pedir assinatura em

termo de responsabilidade, remover usuário assim que o funcionário sair da empresa .

– Gerenciamento de privilégios: Basicamente, se recomenda que usuários tenham apenas os privilégios necessários para fazer seu trabalho.

– Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha é secreta e não deve ser divulgada, senhas temporárias devem funcionar apenas uma vez.

– Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos de acesso dos usuários com freqüência de 6 meses ou menos.

109

ISO 17799 – CONTROLE DE ACESSO ISO 17799 – CONTROLE DE ACESSO

Responsabilidades dos usuários:– Senhas: segundo norma, usuário deve zelar pela sua senha e

criar uma senha considerada aceitável (mínimo de 6 caracteres).– Equipamentos sem monitoração: Usuários deve tomar os

cuidados necessários ao deixar um equipamento sem monitoramento, com seções abertas.

110

ISO 17799 – CONTROLE DE ACESSO ISO 17799 – CONTROLE DE ACESSO Controle de Acesso ao SO:

– Controle de acesso ao sistema operacional: Identificação automática de terminal: nos casos onde deve-se conhecer onde um usuário efetua logon.

– Procedimentos de entrada no sistema (log-on). Sugestões como: limitar o número de tentativas erradas para o log-on e não fornecer ajuda no processo de log-on, entre outros.

– Identificação de usuários: a não ser em casos excepcionais cada usuário deve ter apenas um ID. Considerar outras tecnologias de identificação e autenticação: smart cards, autenticação biométrica.

– Sistema de Gerenciamento de Senhas: Contém os atributos desejáveis para sistema que lê, armazena e verifica senhas.

111

ISO 17799 – CONTROLE DE ACESSO ÀS APLICAÇÕESISO 17799 – CONTROLE DE ACESSO ÀS APLICAÇÕES

Controle de Acesso às aplicações:

– Registro de Eventos: Trilha de auditoria registrando exceções e outros eventos de segurança devem ser armazenados por um tempo adequado.

– Monitoração do Uso do Sistema: Os procedimentos do monitoração do uso do sistema devem ser estabelecidos. Uma análise crítica dos logs deve ser feita de forma periódica.

– Sincronização dos Relógios: Para garantir a exatidão dos registros

de auditoria.

112

BS 7799-2 BS 7799-2 O BS 7799-2 é a segunda parte do padrão de segurança inglês cuja

primeira parte virou o ISO 17799.

O BS 7799-2 fala sobre certificação de segurança de organizações; isto é, define quando e como se pode dizer que uma organização segue todo ou parte do ISO 17799 (na verdade do BS 7799).

Virou em 2005 a ISO/IEC 27001: 2005

O Comitê Brasileiro de Computadores e Processamento de Dados( ABNT/CB-21) elaborou a ABNT BR ISO/IEC 27001: 2006.

113

ABNT BR ISO/IEC 27001: 2006

Norma que provê um modelo para:

- Estabelecer;

- Implementar;

- Operar;

- Monitorar;

- Analisar criticamente;

- Manter e melhorar;

um SISTEMA DE GESTÃO DA INFORMAÇÃO (SGSI) nas organizações.

A implementação de um SGSI é esperado ser escalado conforme as

necessidades da organização, uma vez que os processos, tamanho,

estrutura, sistemas de apoio, requisitos de segurança da organização mudam

com o passar do tempo.

Norma usada para avaliar a conformidade pelas partes interessadas internas

e externas;

ISO/IEC 15.408

COMMON CRITERIA FOR INFORMATION TACHNOLOGY SECURITY

EVOLUATION – CRITÉRIO COMUM DE AVALIAÇÃO DE SEGURANÇA DE

TECNOLOGIA DA INFORMAÇÃO

Objetivo da Norma:

Fornecer um conjunto de critérios fixos que permitem especificar a segurança

de uma aplicação de forma não ambígua a partir de características do

ambiente da aplicação;

Definir formas de garantir a segurança da aplicação para o cliente final.

O CC- Common Criteria estabelece que qualquer sistema, para ser

considerado seguro, precisa ter o seu Security Target (Objetivo ou Alvo de

Segurança) elaborado.

.114

ISO/IEC 15.408

COMMON CRITERIA FOR INFORMATION TACHNOLOGY SECURITY

EVOLUATION – CRITÉRIO COMUM DE AVALIAÇÃO DE SEGURANÇA DE

TECNOLOGIA DA INFORMAÇÃO

O CC- Common Criteria estabelece que qualquer sistema, para ser

analisado e considerado seguro, precisa ter o seu Security Target

(Objetivo ou Alvo de Segurança) elaborado.

.

115


ISO/IEC 15.408

O Security Target é a especificação de segurança do sistema e deve:

Indicar os aspéctos de segurança que foram considerados

importantes e porque o foram para aquele sistema em

particular.

o CC- Common Criteria define sete níveis de garantia de segurança,

sendo que a cada nível se tem um maior número de testes e, portanto,

maior garantia que o sistema atende aos requisitos de segurança.

.

116


ISO/IEC 15.408

O CC e seus sete níveis de garantia de segurança

Os níveis são denominados EAL (Evaluation Assurance Level, ou Nível

de Garantia de Avaliação), e podem ser:

EAL – 1;

EAL - 2;

EAL - 3;

EAL - 4;

EAL - 5;

EAL - 6;

EAL - 7

.

117


ISO/IEC 15.408

OS NÍVEIS EAL- 5 A EAL - 7 FORAM CONSIDERADOS EXTREMAMENTE

RÍGIDOS E, NA PRÁTICA, INVIÁVEIS.

APENAS OS NÍVEIS EAL - 1 A EAL - 4 SÃO RECONHECIDOS PELA ISO.

a ISO/IEC 15.508 mantém uma rede de laboratórios credenciados a

avaliar a segurança das aplicações em determinado nível de garantia.

.

118


ISO/IEC 15.408

O CC emprega o termo TOE (Target of Evaluation, ou Alvo de

Avaliação), para representar o sistema que se esta desenvolvendo ou

avaliando a segurança.

TSP- Target Security Policie

Política de Segurança do TOE

.

119

MEDIDAS DE SEGURANÇASão as ações voltadas à eliminação de vulnerabilidades de modo a se evitar a concretização de uma ameaça.

Identifique as ameaças;

Visualize as vulnerabilidades;

Que princípios básicos de segurança são afetados por essas vulnerabilidades ?

Que impáctos no negócio podem ser causados?

Que medidas de segurança podem ser tomadas?


120

POLÍTICAS DE SEGURANÇA DO DEPARTAMENTO DE DEFESA DOS ESTADOS UNIDOS (DoD)

POLÍTICA DE RESPONSABILIDADE

POLÍTICA DE AVISO

POLÍTICA DE PROPÓSITO

POLÍTICA DE DISPONIBILIDADE

POLÍTICA DE GUIA

POLÍTICA DE ACESSO

POLÍTICA DE INTEGRIDADE

POLÍTICA DE CICLO DE VIDA

POLÍTICA DE CLASSIFICAÇÃO

POLÍTICA DE PROTEÇÃO FÍSICA

121


Política de Responsabilidade

O funcionário é responsável por todos os atos executados com o seu identificador.

Qualquer que seja a forma de identificação, ela deve ser pessoal, intransferível e permitir de maneira clara e indiscutível o reconhecimento de qualquer usuário.

Política de Aviso

Cada funcionário ou colaborador deve avisar imediatamente a segurança caso tenha presenciado ou detectado uma possíve; falha de segurança ou ameaça aos ativos da empresa.

122


Política de Propósito

Toda informação pertence a empresa, devendo ser usada apenas para o propósito a que o usuário foi autorizado.

Política de Disponibilidade

A informação deve estar disponível para o funcionário ou colaborador se a mesma é necessária para uma missão ou tarefa designada ao mesmo.

Política de Guia

Os sistemas e aplicações devem ser operados de forma segura.para tal deve-se disponibilizar ajuda on-line, manual ou qualquer outro meio que permito ao usuário saber com operar o sistema corretamente.

123


Política de Acesso

Sistemas e contorles internos devem exigir a correta autorização para permitir o acesso a qualquer informação.

Política de Integridade

A integridade de qualquer informaçào deve ser mantida, seja através de escrita em meio inviolável ou via assinatura eletrônica.

Política de Ciclo de Vida

Os controles de acesso, proteção da informação e integridade se aplicam aos dados dos usuários durante todo o seu ciclo de vida.

124


Política de Classificação

Cada informaçào e cada documento deve ser identificado de forma não ambígua de modo a se permitir o controle de acesso.

Política de Proteção Física

Para se garantir os parâmetros de segurança, mecanismos físicos complementares aos lógicos devem ser fornecidos.

125

conceitos bÁsicos de seguranÇa para gerenciamento da seguranÇa

Documents