TOCI08–Segurança em Redes de Computadores Módulo 03: Fundamentos e Normas
Prof. M.Sc. Charles Christian Mierse-mail: [email protected]
TOCI08 - Segurança em Redes de Computadores 2
Normas A fim da segurança não tornar-se algo empírico, foram definidas
normas de modo a possibilitar uma padronização e análise. Importante: Padrão: homologado por órgão reconhecido e deve ser seguido a
fim de obter conformidade Norma: é publicada ou definida por alguma organização/instituição,
nem sempre é um padrão Política: uma definição do “norte” que pretende-se atingir, deve ser
baseada em algum padrão ou norma Procedimento: é o meio através dos quais são definidos os atos que
devem ser executados de modo a atender uma política/norma/padrão
Principais normas para segurança da Informação: BS7799, publicada pelo BSI, e suas variantes:
ISO/IEC 17799, publicada pela ISO NBR-ISO/IEC 17799, publicada pela ABNT Família ISO/IEC 27000
COBIT, publicada pela ISACA ITIL (IT Infrastructure Library), criada CCTA do Reino Unido Outros padrões relacionados: FIPS, HIPPA, Sigma Six, etc.
TOCI08 - Segurança em Redes de Computadores 3
Histórico das Normas
Métodos de escrita da antiga civilização egípcia Surgimento dos computadores Em outubro de 1967 o Departamento de Defesa dos Estados
Unidos criou o “Security control for computer system: report of defense science board task force on computer security”, editado por W. H. Ware (considerado primeiro esforço em segurança)
1978 - The Orange Book (Departamento de Defesa americano) 1985 - 26 de dezembro, versão final 1987 - Criado na Inglaterra o CCSC (Comercial Computer
Security Centre) 1989 - PD0003 – Código para gerenciamento da segurança da
informação, publicado pelo BSI 1995 - A partir da revisão do código PD0003, foi publicada a
norma BS 7799-1:1995
TOCI08 - Segurança em Redes de Computadores 4
Histórico das Normas (Cont.)
1996 - COBIT (Control Objectives for Information and related Technology), publicada pela ISACA (Information Systems Audit and Control Foundation)
1998 – Publicada BS 7799-2:1998 Publicada a segunda edição do COBIT
2000 – Em 01/março BS 7799 foi efetivada na Inglaterra Publicada em 01/dezembro a norma ISO/IEC 17799:2000
2001 – Em setembro, a ABNT (Associação Brasileira de Normas Técnicas) homologou, a versão brasileira da norma ISO/IEC 17799 denominada, NBR ISO/IEC 17799
2005 – Publicada a versão 2.0 da ISO/IEC 17799 em junho Família ISO/IEC 27000 a ISO/IEC 27009 em outubro Publicada a versão 2.0 da NBR-ISO/IEC 17799 em novembro
TOCI08 - Segurança em Redes de Computadores 5
Principais referências de gerenciamento de riscos e controles internos
Auditoria Analítica – Skinner / Anderson - Canadá1966
SARBANES-OXLEY2002
COSO II (Enterprise Risk Management)2004
BASILEIA 22001
TURNBULL (Controle e transparência para Bolsa de Londres)1999
BASILEIA1998
G – 30 (The Group of Thirty) 1997
COBIT (Control Objectives for information and Related Technology) 1996
CoCo (Canadian Institute of Chartered Accountants' Criteria of Control Committee) e ANZ 4360 Risk Management (Standards Australia and New Zealand)
1995
KON TRAG (Controle e transparência das empresas alemãs)1994
COSO (Committee of Sponsoring Organizations of the Treadway Commission)1992
FDICIA (Federal Deposit Insurance Corporation Improvement Act) e CADBURY (Internal Control and Financial Reporting) no Reino Unido
1991
ISO (International Organization for Standardization) 1946
TOCI08 - Segurança em Redes de Computadores 6
Segurança da Informação
Conceito formal: Segurança é, portanto, a proteção de informações, sistemas,
recursos e serviços contra desastres, erros e manipulação não autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurança
Para NBR ISO/IEC 17799: “A segurança da informação protege a informação de diversos
tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.”
Para o COBIT a segurança da informação é, conceitualmente tratada partindo dos mesmos princípios da NBR ISO/IEC 17799
TOCI08 - Segurança em Redes de Computadores 7
Segurança da Informação
Segundo a NBR ISO/IEC 17799 é preciso estabelecer: Confidencialidade Integridade Disponibilidade
A norma COBIT, também contempla efetividade,
eficiência, flexibilidade e confiabilidade, além de confidencialidade, integridade e disponibilidade
TOCI08 - Segurança em Redes de Computadores 8
Confidencialidade
Para a NBR ISO/IEC 17799 e para COBIT, trata-se de garantir que tenha acesso a informação somente quem tenha autorização de para tal. Ações:
Informações em papel: restringir acesso físico
Informações em meio digital: medidas mais sofisticadas
TOCI08 - Segurança em Redes de Computadores 9
Integridade
Para a NBR ISO/IEC 17799 e para a COBIT significa assegurar que a informação e os métodos de processamento mantém-se exatos e completos
Proteger contra: Alteração não autorizada
Erros do meio de transporte
TOCI08 - Segurança em Redes de Computadores 10
Disponibilidade
Para a NBR ISO/IEC 17799 trata-se de garantir que sempre que usuários autorizados necessitem ter acesso a informações isto aconteça efetivamente
Para a COBIT maior orientação para os negócios. Proteger contra: Falhas dos equipamentos Ação de pessoas maliciosas
TOCI08 - Segurança em Redes de Computadores 11
Definição de Política de Segurança
Conjunto de procedimentos para: Proteção, controle e monitoramento dos recursos
computacionais Responsabilidades Deve integrar-se às demais políticas da instituição Deve ser disseminada na organização Clara, concisa e praticável
TOCI08 - Segurança em Redes de Computadores 12
Definição de Política de Segurança
Segundo a NBR ISO/IEC 17799 p.4, o objetivo da política de segurança é: “prover à direção uma orientação e apoio para a segurança da informação”
Para a COBIT ela deve ter seu foco no alto nível de controles para cada processo, ser clara e satisfazer os recursos de TI
TOCI08 - Segurança em Redes de Computadores 13
Requisitos de Segurança
Necessários para o estabelecimento de uma política de segurança e escolha dos controles
Normalmente fundamentados em preceitos definidos em normas ou padrões
Classificação das informações: Públicas ou de uso irrestrito Internas ou de uso interno Confidenciais Secretas
TOCI08 - Segurança em Redes de Computadores 14
Requisitos de Segurança
Para identificar os requisitos (NBR ISO/IEC 17799, 2001): Avaliação de risco dos ativos da organização Legislação e cláusulas contratuais da organização em
seus negócios De cunho particular da organização
Para a COBIT (2000): Pontos de responsabilidade da alta gerência Recursos humanos
COBIT aborda sob um aspecto mais comercial
TOCI08 - Segurança em Redes de Computadores 15
Controles de Segurança
Controles devem atender aos requisitos Tem por objetivo sanar ou diminuir os riscos Pode ser de natureza técnica, procedimental, jurídica
ou qualquer outra Podem utilizar normas/padrões, boas práticas de
segurança ou criados de acordo com as necessidades
TOCI08 - Segurança em Redes de Computadores 16
Controles de Segurança
Hardware
Sistema Operacional
Aplicativos
Serviços
...
Ameaças
Camadas de defesa
Esquema de defesa em camadas
TOCI08 - Segurança em Redes de Computadores 17
NBR ISO/IEC 17799
Estrutura:
referência
interação
NBR ISO/IEC 17799
INFORMAÇÃO
Recursos Organizacionais:
Recursos HumanosRecursos TécnicosRelacionamentos de
Negócios
ALTA GERÊNCIA
coordena
base
TOCI08 - Segurança em Redes de Computadores 18
NBR ISO/IEC 17799
Requisitos: Política de segurança Segurança organizacional Classificação e controle dos ativos de informação Segurança em pessoas Segurança física e do ambiente Gerenciamento das operações e comunicações Política de controle de acesso Desenvolvimento e manutenção de sistemas Gestão da continuidade dos negócios Conformidade
TOCI08 - Segurança em Redes de Computadores 19
NBR ISO/IEC 17799
Controles (sob ponto de vista legal): Proteção de dados e privacidade de informações
pessoais Salvaguarda de registros organizacionais Direitos de propriedade intelectual
Controles (melhores práticas): Documento da política de segurança da informação Definição das responsabilidades na segurança da
informação Educação e treinamento em segurança da informação Relatório dos incidentes de segurança Gestão da continuidade do negócio
TOCI08 - Segurança em Redes de Computadores 20
É um guia para gestão de TI que auxilia no gerenciamento de processos baseados em objetivos de negócios. Inclui recursos tais como: Sumário executivo Framework Controle de objetivos Mapas de auditoria Conjunto de ferramentas de implementação Guia com técnicas de gerenciamento
COBIT – CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY
TOCI08 - Segurança em Redes de Computadores 21
O QUE É GOVERNANÇA EM TI?
Governança em TI é uma estrutura de relações e processos que dirige e controla uma organização a fim de atingir seu objetivo através do gerenciamento balanceado do risco
Os resultados obtidos por organizações bem sucedidas são exemplos claros do que a Governança em TI pode significar em termos de retorno de investimento (ROI – Return Over Investiment)
Informações para proceder com TI: Foco nas maiores fraquezas Obtenção de resultados da equipe de gerenciamento e da
equipe de TI Busca por suporte técnico
TOCI08 - Segurança em Redes de Computadores 22
ADMINISTRAÇÃO DA EMPRESA
AUDITORIA DE SISTEMAS
ADMINISTRAÇÃODE TI
GARANTIA DEQUALIDADE
SISTEMASE
APLICAÇÕES
INFRA-ESTRUTURA
EPRODUÇÃO
SEGURANÇA CONFORMIDADE
MERCADO
CLIENTES
ÓRGÃOSREGULA-DORES
FORNECE-DORES
AUDITORIASINDEPEN-DENTES
Governança de TI
TOCI08 - Segurança em Redes de Computadores 24
DS1 definir níveis de serviçosDS2 gerenciar serviços de terceirosDS3 gerenciar performance e capacidadeDS4 garantir continuidade dos serviçosDS5 garantir segurança dos sistemasDS6 identificar e alocar custosDS7 educar e treinar usuáriosDS8 auxiliar e aconselhar usuários de TIDS9 gerenciar a configuraçãoDS10 gerenciar problemas e incidentesDS11 gerenciar dadosDS12 gerenciar instalaçõesDS13 gerenciar a operação
M1 monitorar os processosM2 avaliar a adequação do controle internoM3 obter certificação independenteM4 providenciar auditoria independente
PO1 definir um plano estratégico de TIPO2 definir a arquitetura de informaçãoPO3 determinar a direção tecnológicaPO4 definir a organização e relacionamentos da TIPO5 gerenciar o investimento em TIPO6 comunicar metas e diretivas gerenciaisPO7 gerenciar recursos humanosPO8 garantir cumprimento de exigências externasPO9 avaliar riscosPO10 gerenciar projetosPO11 gerenciar qualidade
AI1 identificar soluçõesAI2 adquirir e manter software aplicativoAI3 adquirir e manter arquitetura tecnológicaAI4 desenvolver e manter procedimentos de TIAI5 instalar e certificar sistemasAI6 gerenciar mudanças
PLANEJAMENTO EORGANIZAÇÃO
AQUISIÇÃO EIMPLEMENTAÇÃO
PRODUÇÃO E SUPORTE
MONITORAÇÃO
Visão Geral e Estrutura do COBIT: Processos de TI
TOCI08 - Segurança em Redes de Computadores 25
Recur
sos d
e TI
Critério da Informação
DominiosDominios (4)(4)
ProcessosProcessos (34)(34)
AtividadesAtividades (318)(318)
Pes
soas
Sis
tem
as A
plic
ativ
osT
ecno
logí
a
Dad
osIn
stal
açào
Pro
ceso
s de
TI
Eficien
cia
i
Eficác
ia
Inte
grida
de
Confid
encia
lidad
e
Adere
ncia
Confia
bilida
de
Dispon
ibilid
ade
COBIT: Visão tridimensional
TOCI08 - Segurança em Redes de Computadores 26
COBIT
Requisitos: Requisitos de qualidade Requisitos de confiabilidade Requisitos de segurança
Controles: Possui 34 controles de alto nível De 3 a 30 controles específicos para cada controle de
alto nível Total 318 objetivos de controle
TOCI08 - Segurança em Redes de Computadores 27
COBIT Controles:
Definição de um plano estratégico de tecnologia da informação
Determinação da direção tecnológica Gerência da mudança da tecnologia da informação Comunicação dos objetivos e aspirações da gerência Administração de projetos Administração da qualidade Administração dos recursos humanos Identificação de soluções automatizadas Administração de mudanças Administração dos serviços prestados por terceiros Assegurar a continuidade dos serviços Garantir a segurança dos sistemas
TOCI08 - Segurança em Redes de Computadores 28
COBIT
Controles: (Cont.) Identificação e destinação dos custos Educação e treinamento de usuários Administração de problemas e incidentes Monitoramento do processo Obtenção de garantias independentes Prover auditoria independente
TOCI08 - Segurança em Redes de Computadores 29
Governança TIGovernança TI
Objetivos ResponsibilidadesControleObjetivos
Requisitos
BusinessNegócios ITIT Governança
Direção(Política e
Estratégia de TI)
Informação (Controles, RiscosE Garantia do TI)
Como o COBIT relaciona-se a Governança em TI ?
Informa as necessidades do negócio para alinhar
os objetivos de TI
TOCI08 - Segurança em Redes de Computadores 30
NBR ISO/IEC 17799 x COBIT
NBR ISO/IEC 17799 COBIT
Estrutura Orientada a diversidade das práticas organiza-cionais, serve de orien-tação para a alta gerência na adminis-tração de seus recursos sobre a informação.
Estruturada com base em domínios que dividem os segmentos organizacionais de for-ma natural para melhor implementação de seus procedimentos.
TOCI08 - Segurança em Redes de Computadores 31
NBR ISO/IEC 17799 x COBIT
NBR ISO/IEC 17799 COBIT
Requisitos Requisitos de seguran-ça bem definidos. Para esta norma os requi-sitos devidamente iden-tificados resultam em um caminho para proceder a implemen-tação da segurança.
Os requisitos são deixados mais a cargo de quem faz utilização da norma. Suas defini-ções são mais gené-ricas, deixando o enfo-que nos objetivos da segurança.
TOCI08 - Segurança em Redes de Computadores 32
NBR ISO/IEC 17799 x COBIT
NBR ISO/IEC 17799 COBIT
Controles Estabelecidos tendo ligação com os requisitos. Apresentam-se de forma mais genérica e com depen-dência de uma identifi-cação eficiente dos requisitos de seguran-ça.
Bem definidos, os controles demonstram aos administrados de tecnologia da informa-ção o que deve ser alcançado para a implementação da se-gurança da informação.
TOCI08 - Segurança em Redes de Computadores 33
COMPARATIVO
NBR ISO/IEC 17799 x COBIT: Tanto a COBIT como a NBR ISO/IEC dispõem de boas práticas
de segurança
O COBIT tem seu ponto forte no estabelecimento de controles de segurança
A NBR ISO/IEC 17799 enfoca mais a identificação dos requisitos
TOCI08 - Segurança em Redes de Computadores 34
TENDÊNCIAS
Previsão de recorde em gastos com segurança em 2006 (4% do orçamento com TI)
Necessidade de segurança Procura pelas normas/padrões:
NBR ISO/IEC 17799 COBIT Outras normas (multinacionais)
TOCI08 - Segurança em Redes de Computadores 35
ESTATÍSTICAS
No cenário internacional: Predomina o uso da ISO/IEC 17799 COBIT é bastante utilizado (ex. Japão)
TOCI08 - Segurança em Redes de Computadores 37
Segurança
Prefácio do livro Segurança.Com do Bruce Schneier, pg. 11: Schneier justifica que escreveu o livro Segurança.Com (Secrets &
Lies) em parte, para corrigir um erro que cometera em 1994 ao lançar Applied Cryptography, onde achava que a criptografia era suficiente e que garantiria os segredos protegidos por muito tempo. Justificava ele que, em um computador barato, qualquer um poderia usufruir de tanta segurança quanto um governo. Porém, após perceber de que a segurança depende de um processo contínuo e de diversas circunstâncias, como o relacionamento de pessoas com máquinas, o relacionamento de pessoas com pessoas e ainda os bugs passíveis de sistemas complexos como os computadores, ele voltou atrás.
Nada é 100% seguro
TOCI08 - Segurança em Redes de Computadores 38
Segurança (Cont.)
“A matemática é perfeita; a realidade é subjetiva. A matemática é definida; os computadores são teimosos. A matemática é lógica; as pessoas são irregulares, caprichosas e pouco compreensíveis.” Schneier
“Segurança não é um produto; em si, ela é um processo.” Schneier
TOCI08 - Segurança em Redes de Computadores 39
Elementos da Comunicação
EmissorRemetenteBOB
ReceptorDestinatárioALICE
Mensagem
Meio
TOCI08 - Segurança em Redes de Computadores 40
Problemas da Comunicação
BOBALICE
Mensagem
Meio
A mensagem pode passar pelo meio e ser violada,conhecida, alterada ou até mesmo criada por outros
Oponente
TOCI08 - Segurança em Redes de Computadores 41
Ataques em Comunicação
remetente destinatário
a) Fluxo normal
b) Interrupção c) Interceptação
e) Fabricaçãod) Modificação
TOCI08 - Segurança em Redes de Computadores 42
e) Fabricação
FABRICAÇÃOX
AUTENTICIDADEd) Modificação
MODIFICAÇÃOX
INTEGRIDADE
c) Interceptação
INTERCEPTAÇÃOX
CONFIDENCIALIDADEb) Interrupção
INTERRUPÇÃOX
DISPONIBILIDADE
Ataques x Requisitos
remetente destinatário
a) Fluxo normal
TOCI08 - Segurança em Redes de Computadores 44
Leitura Recomendada:
Schneier, B. - Segurança.com. 1ª Edição. Rio de Janeiro. Campus. 2001 Capítulo 1
Norma NBR-ISO/IEC 17799 versão 1.0 Item 1
COBIT http://www.isaca.org
BS7799 http://www.bsi.org.uk/disc/
Normas e padrões de segurança: http://www.sans.org/infosecFAQ/standards/