politica de segurança e Ética
DESCRIPTION
Politica de Segurança e Ética. Politica de Segurança. Ameaça. Causa potencial de um incidente, que caso se concretize pode resultar em dano. Vulnerabilidade. Falha (ou conjunto) que pode ser explorada por ameaças. Insidente. - PowerPoint PPT PresentationTRANSCRIPT
Análise de Riscos
MitigaMitigaTransfereTransfere
ReduzReduzAceitaAceita
Impa
c to
Impa
cto
ProbabilidadeProbabilidade
Ativo Inatingivél?
Um ativo intangível é umUm ativo intangível é umativo não monetárioativo não monetárioidentificável semidentificável semsubstância física ou,substância física ou,então, o ágio pago porentão, o ágio pago porexpectativa deexpectativa derentabilidade futurarentabilidade futura(goodwill)”(goodwill)”Fonte: http://www.cpc.org.brFonte: http://www.cpc.org.br
• Método de autenticação de informação digital tipicamente tratada como análoga à assinatura física em papel.
• Assinatura eletrônica, por vezes confundido, tem um significado diferente: refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem eletrônica.
• A legislação pode validar tais assinaturas eletrônicas como endereços Telex e cabo, bem como a transmissão por fax de assinaturas manuscritas em papel.
Assinatura Digital
• Certifica a autenticidade temporal(data e hora) de arquivos eletrônicos
• Sincronizado a “Hora LegalBrasileira”
Tempo
Tipos de Confidencialidade
• Restrita – Informação restrita pode ser manipulada por contingente maior de pessoas ou um nível hierárquico, como por exemplo o plano estratégico da empresa que pode ser visto até no nível hierárquico de diretoria;
• Interna – Este tipo de informação deve ser limitado à da empresa, como as listas de ramais, memorandos internos, norma internas, manuais, etc.;
• Pública – Estas informações podem também ser divulgadas ao público ou publicadas em revistas, sites, etc. Informações públicas podem também ser conhecidas como ‘não classificadas’, pois entende-se que se não foi classificada é porque é pública.
• Isso pode trazer sérios problemas para a empresa, pois uma falha de classificação pode expor informações confidenciais ao público. O mais seguro seria adotar que tudo o que não é classificado é interna.
• Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento
Integridade
Integridade
• Garantia de que as informações serão protegidas contra alterações não autorizadas e mantidas a exatidão das mesmas, tal qual como foi armazenada e disponibilizada.
• Deve permanecer integra para quando for recuperado. Para que isso seja verdadeiro não poderá sofrer interferência alguma que o modifique, seja por falhas intencionais ou não.
• Os métodos de processamento, normalmente sistemas, devem também ter a integridade preservada, pois uma alteração num sistema pode comprometer as informações resultantes do processamento.
• Este conceito não garante que os dados estejam corretos, pois se forem armazenados errados, assim permanecerão até que uma entidade autorizada os corrija.
• A informação deve esta disponível sempre que necessário, mas apenas para aqueles que tem permissão e para uso devido.
Disponibilidade
Disponibilidade
• Garantia de que as informações estarão disponíveis onde e quando as entidades autorizadas necessitarem, com total segurança.
• A informação não tem valor para a empresa caso não esteja disponível quando for requisitada.
• Ataques tentam derrubar este pilar da segurança por meio da negação de serviço.
• A manutenção deste pilares da segurança da informação só será atingida se houver a integração entre segurança física e do ambiente, tecnológica e em pessoas como já foi apresentado.
• Processo de autenticar uma entidade como sendo aquela que se apresenta.
• Entende-se por entidade, pessoas, sistemas, redes ou qualquer outra parte que necessite de identificação para que possa manipular as informações.
• Este aspecto é de suma importância para a manutenção da segurança da informação, pois se não for possível autenticar a entidade toda a cadeia de segurança estará comprometida, seja por permitir acesso à entidade falsa ou negar acesso à entidade legítima.
• Pode-se dizer que a negação de serviço é melhor que a autorização indevida, mas isso deve ser muito bem resolvido pela empresa, pois nem sempre isso pode ser verdadeiro.
Autenticação
• Processo de concessão de direitos para que uma entidade autenticada acesse as informações somente com as permissões a ela atribuída. (ler, gravar, modificar, apagar, executar, visualizar).
• Dependente da autenticação, pois se for autenticada uma entidade falsa como verdadeira, esta receberá todas as permissões atribuídas à verdadeira como se ela fosse.
• Utilizar o preceito de mínimo privilegio,
• Realmente é necessário que a entidade tenha acesso a determinadas informações ou sistemas para cumprir suas funções, em caso negativo o acesso deve ser negado.
Autorização
• Processo de registrar as ações realizadas pelas entidades durante a interação com as informações e sistemas.
• Determinar com precisão quem, quando e o que foi feito nos sistemas de informações e repositórios de dados.
• Responsabilizar violação de normas e quebras de segurança. Registro de trilhas de auditoria deve se dar em todos os ambientes da empresa, tanto físicos quanto lógicos.
• Coleta de ‘logs’, arquivos que registram todos os eventos configurados para serem registrados e com a riqueza de detalhes que for necessário à empresa.
• Criação de um manual de acesso a determinadas dependências da empresa também pode ser considerado trilha de auditoria, assim como câmeras de vigilância e outros dispositivos de monitoração.
• Utilizar a sigla AAA, de Autenticação, Autorização e Auditoria
Auditoria
• Processo que certifica a legitimidade das informações, quer seja de credenciais de acesso que autenticam as entidades ou que as informações por estas entidades transmitidas são autênticas, assim como a entidade remetente ou destinatária como legítima.
• Os certificados digitais, que inclusive já tem valor jurídico e provê a irrevogabilidade, vêm sendo utilizados principalmente em assinatura de documentos, cifração em trocas de mensagens e autenticação de entidades.
• A biometria vem ganhando espaço principalmente para controle de acesso e autenticação de usuários.
Autenticidade
• Característica das informações que garante o não repúdio, seja referente à autenticidade de documentos ou transações financeiras e comerciais.
• Mais uma vez o certificado digital (assinatura eletrônica), juntamente com as certificadoras de tempo, estão se apresentando como as tecnologias mais adequadas à esta tarefa, muitas vezes já com garantia jurídica nos processo.
Não repudio
• Característica das informações estarem em conformidade legal, assim como os processos que as manipulam e provê validade jurídica.
• As informações devem ser mantidas dentro das determinações legais.
• As assinaturas digitais de documentos, que só terão efeito legal se forem feitas com certificados digitais fornecidos por Entidades Certificadoras.
• Transações comerciais e financeiras entre o Sistema Financeiro ou Órgãos Governamentais é obrigatório que as ACs sejam integrantes do ICP Brasil.
Legabilidade
• Segurança pessoal• Medidas a serem tomadas para garantir a segurança dos
funcionários, prestadores de serviços e pessoas chave da organização;
• Segurança patrimonial• Controles a serem implementados para garantir a segurança do
patrimônio da organização, principalmente daqueles necessários à continuidade operacional;
• Segurança das edificações• Cada tipo de atividade requer edificações apropriadas para tal, com
níveis de segurança estrutural e monitoração apropriada ao negócio ou atividade realizada na edificação. Processos de manutenção, brigadas de incêndio, controle ambiental e controle de pestes podem ser considerados escopos da segurança das edificações;
Segurança Física e do Ambiente
• Segurança de infra-estruturas• Infra-estrutura de cabeamento lógico (backbone de rede),
elétrica, de água, de condicionamento de ar, de exaustão, de controle do ar, de detecção e combate a fogo, dentre outros, devem ser protegidas e controladas. Devemos atentar para a infra-estrutura interna e externa, esta última um pouco mais complicada de gerenciar por estar, na maioria dos casos, fora do controle da organização, mas nem por isso deve ser ignorada;
• Classificação de perímetros de segurança• Áreas diferentes abrigam equipamentos e processos diferentes,
devendo, portanto, serem classificadas de acordo com suas características, podendo ser: restrito, controlado e público, ou outra classificação que atenda as necessidades de segurança;
Segurança Física e do Ambiente
• Controles de acessos• O acesso às instalações da organização deve ser controlado e
monitorado para que a segurança seja efetiva.
• Quando falamos em segurança física e de ambiente, boa parte das ações serão tomadas para limitar o acesso às dependências a serem protegidas. Sem o devido controle de acesso, seja este administrativo e simples ou tecnológico e complexo, a segurança será falha.
Segurança Física e do Ambiente
• Eventos naturais• A natureza é bela e perfeita, não podemos contestar isso, mas
em muitas situações acaba por colocar em risco a segurança das organizações. Raios, enchentes, chuvas de granizo, temporais, ventanias, terremotos; maremotos; calor; etc. podem afetar a continuidade operacional da organização caso esta não mesure os riscos e implemente as medidas necessárias de segurança.
• Eventos sociais• Muitos eventos sociais podem acabar por afetar a segurança das
empresas, em diversos níveis e situações. A disponibilidade a pode ser afetada caso haja, por exemplo, uma mobilização social nas imediações da empresa, podem ter suas dependências invadidas. Mesmo ações individuais, seja por imprudência ou sabotagem, podem levar a empresa a situações como as acima apresentadas.
Segurança Física e do Ambiente
• Perímetro lógico de segurança• A composição lógica das redes da organização pode ser composta
por várias redes.
• Requerem níveis diferentes de segurança. Não se pode dar a mesma atenção para a rede onde estão alocados os servidores de produção e a rede onde estão os servidores públicos.
• O firewall é a ferramenta mais utilizada para segmentação de perímetros lógicos de segurança.
• Regras de permissão e / ou negação de acesso, regras estas que definem quem pode entrar em qual rede e utilizando que tipo de protocolo ou serviço.
• Roteadores têm a capacidade de auxiliar na segurança de perímetro por meio de implementação de listas de acessos, determinar regras de acesso (endereço IP e protocolos) às redes por trás deles.
Segurança Lógica e Sistêmica
• Redes• Devem ser providas de mecanismos de monitoração, detecção e
proteção contra códigos maliciosos, assim como contra ataques e intrusões. Para monitoração podem ser utilizadas ferramentas Sniffer, que capturam tráfego da rede para estudo e monitoração.
• Segurança de sistemas e Hosts• Deve ser prevista e implementada desde a concepção e projeto dos
sistemas e aplicativos, pois é quase impossível e inviável economicamente a implementação posterior.
• Softwares especialistas de terceiros, como Host IDS, antivírus, sistemas de controle de acesso, etc.
• Cuidado no processo de desenvolvimento, implementando a segregação de ambientes e funções, assim como controle eficiente de homologações, versões e atualizações dos sistemas de produção.
Segurança Lógica e Sistemica
• Controle de acesso• Parte de extrema importância da segurança.
• Funcionalidades: Autenticação, Autorização e Auditoria.
• Bancos de dados não passam, simplificadamente falando, de repositórios de dados.
• Acessos a estes dados deve ser previsto desde a concepção e estruturação do banco de dados, podendo, e devendo, ser feito de maneira integrada aos sistemas que farão a interação entre os usuários e o banco de dados.
Segurança Lógica e Sistemica
• Engenharia social• Técnica que é utilizada em larga escala por engenheiros
sociais, hackers e crackers, espiões, curiosos, estelionatários, dentre outros. A maioria das espionagens industriais e comerciais se dá por engenharia social, e quando esta não é a principal técnica empregada pelos espiões, é utilizada no mínimo como auxiliar para outras técnicas.
• Acompanhamento de pessoal• As organizações são compostas fundamentalmente por
pessoas, às quais estão sujeitas a alterações de comportamento de acordo com diversos fatores, tais como humor, problemas familiares, financeiros, com drogas, com doenças, chantagem, dentre outras tantas.
Segurança de Pessoas
• Conscientização• Peça chave na implementação da segurança da informação.
• As pessoas devem estar cientes e conscientes da necessidade da segurança das informações, bem como do valor dessas informações, assim como o risco e o impacto que a violação da segurança poderá causar à organização e consequentemente para as pessoas que nela trabalham.
• Se as pessoas não entenderem e aceitarem os argumentos apresentados pela organização a segurança poderá não ser efetiva.
Segurança de Pessoas
• Educação• É muito comum as empresas desenvolverem Política de Segurança,
tomarem muitas das medidas necessárias à segurança da informação sem dar a devida atenção e o devido investimento à educação de seus funcionários.
• Abrir uma enorme lacuna de segurança se alguns cuidados não forem tomados para certificar que as informações apresentadas são realmente verdadeiras e confiáveis.
• A engenharia social nada mais é do que uma técnica para explorar algumas características humanas como ego, vaidade, ambição, confiança, medo, bondade, reciprocidade, corporativismo, coleguismo, dentre outras.
• Pessoas não forem educadas em como agir nas situações que podem causar incidentes de segurança e colocar as informações em risco, com certeza a segurança será violada e a organização será prejudicada.
Segurança de Pessoas
• Gerência de mudança• A implementação da segurança da informação comumente
provoca inúmeras e profundas mudanças nas organizações.
• Mudanças devem ser acompanhadas e gerenciadas por uma pessoa que tenha bom relacionamento pessoal e interdepartamental e com liderança e autoridade suficiente para contornar problemas que surgirão em decorrência dessas mudanças.
• Resistência por parte do pessoal, quer seja por perda de direitos nos sistemas, maior monitoração e controle, falta de entendimento dos objetivos da maior segurança, etc., mas tal resistência deve ser contornada com medidas de conscientização e em último caso com medidas de reforço - prêmios e ou punições.
Segurança de Pessoas
• Quebra de paradigma social• Um dos paradigmas a serem quebrados é o da posse.
• Este comportamento fará com que as pessoas apresentem resistência às mudanças que acabarão por aumentar o controle e a monitoração, e ninguém gosta de ter ‘suas’ coisas monitoradas por terceiros.
• Deve-se reforçar, durante a conscientização e educação, que os bens, ferramentas e informações pertencem à organização, que têm real valor para esta e por isso necessitam de monitoração e controle, o que acabará por proteger, por consequência, também os interesses dos funcionários
Segurança de Pessoas
• Controle e monitoração• As normas de segurança descritas na política de segurança
devem ser seguidas por toda a organização, e para que se meça a aderência e obediência às normas é necessário que haja monitoração das ações previstas.
• A monitoração não deverá ser utilizada como fonte de ameaças e punições, mas sim para correções e ajustes das normas, dos comportamentos e das tecnologias aplicadas.
• Se deixe claro que o controle e a monitoração são para proteger as informações e os recursos da organização e não para ‘bisbilhotar’ as ações dos funcionários, deixando claro que a privacidade será preservada, desde que não coloque a segurança em risco, e tais ações se darão por meio de processos transparentes estabelecidos pela organização.
Segurança de pessoas
• Causas de incidentes não intencionais:• Falta de treinamento, desatenção, falta de comprometimento,
imperícia ou imprudência, negligência, dentre outros.
• Causas de incidentes intencionais: • Sabotagens, facilitações, espionagens, ataques hackers,
engenharia social, etc.
• Incidentes com causas não humanas, que podem ser tecnológicas e naturais: • Falhas de sistemas, falhas de hardware, falhas de infra-
estrutura, tempestades, alagamentos, raios etc.
Segurança de Pessoas
• Deve ser protegida durante todo seu ciclo de vida.
• Os requisitos de segurança podem variar de acordo com a realidade.
Ciclo de Vida da Informação
• Manipulação• Todo ato de manuseio da informação durante os processos de
criação, alteração e processamento.
• É onde ocorre a maioria das falhas de segurança.
• Armazenamento• Armazenamento e arquivamento da informação em meios
digitais, magnéticos ou qualquer outro que a suporte.
• A informação deve estar salvaguardada dos riscos a que está sujeita, tendo preservadas a Confidencialidade, Integridade e Disponibilidade, de acordo com a necessidade de cada tipo de informação.
Fases do Ciclo
• Transporte• Todos os atos de movimentação e transferência da informação,
seja entre processos, mídias ou entidades internas ou externas.
• Requer atenção especial devido estarem fora do perímetro de segurança do ambiente.
• Muito importante, o diálogo falado, pois ao falar, transporta-se a informação pelo ambiente (ar), do locutor ao interlocutor, e pode-se deixar vazar informações valiosas neste momento.
• Descarte• Refere-se às ações de descarte e destruição das informações
no meio em que se encontram.
Fases do Ciclo
• Alinhar as ações em segurança da informação com as estratégias de negócio;
• Explicitar a visão da alta direção em relação à segurança da informação;
• Exprimir o comprometimento da alta direção com a manutenção da segurança da informação;
• Normatizar as ações referentes à segurança da informação;
• Alinhar as ações em segurança da informação com as Leis e Regulamentações pertinentes;
• Buscar conformidade com Normas externas e cláusulas contratuais;
Objetivos da Política de Seugrança
• Instruir sobre procedimentos relativos à segurança da informação;
• Delegar responsabilidades;
• Definir requisitos de Conscientização, Educação e Treinamentos;
• Definir ações disciplinares;
• Alinhar ações em segurança da informação com a continuidade do negócio;
• Ser o pilar de sustentação da segurança da informação; dentre outros.
Objetivos da Políticas de Segurança
• Política de Segurança • É o conjunto de todos os documentos;
• Carta do Presidente• Pode ser do Conselho, da Diretoria ou outra, mas deve ser do
alto escalão da empresa, demonstrando o comprometimento com a questão e esclarecendo os motivos para tal;
• Diretrizes para Segurança da Informação • Sintetização do que a Empresa espera que seja feito em relação
ao assunto. São diretriz de alto nível, aplicáveis em qualquer ambiente da empresa e sem termos técnicos.
Documentos de uma Política de Segurança
• Exemplos: • Todos os usuários de sistemas e informações deverão ter
acesso gerenciado por identidade;
• Todas as informações deverão ser classificadas e ter medidas de proteção de acordo com a classificação e risco;
• Os recursos de informação deverão ter sua continuidade preservada;
• Normas de Segurança da Informação• Podem ser gerais (para quem usa) ou específicas (para quem
cuida).
• São as determinações a serem seguidas por todos ou por aqueles que participam de determinados processos.
Documentos de uma Política de Segurança
• Procedimentos • Explica como as Normas devem ser seguidas, podendo detalhar
os procedimentos relevantes do processo normatizado, visando facilitar o entendimento e aplicação das mesmas.
• Nos procedimentos devem ter informações do tipo: Como, quando, quem, onde e porque. Procedimentos são mandatórios.
• Exemplos: • Os backups de bancos de dados deverão ser realizados com
periodicidade mínima diária, utilizando tecnologias e processos que preservem a confidencialidade, disponibilidade e integridade das informações;
Documentos de uma Política de Segurança
• Instruções • São os documentos mas detalhados, normalmente técnicos, de
como configurar, manipular ou administrar recursos tecnológicos, ou então manuais de processos operacionais.
• Exemplos:• Para criação de novos usuários, usar o tamplate ‘New_User’;
• Guide lines (guias)• São explicações de tarefas que fazem parte de procedimentos e
processos normatizados.
Documentos de uma Política de Segurança
- Diretivas de Segurança da Informação;
- Norma de Gestão de Segurança da Informação (GSI);
- Norma de Contratação e Demissão de Colaboradores;
- Norma de Contratação de Serviços de Terceiros;
- Norma de Conscientização, Educação e Treinamento em Segurança da Informação;
- Norma de Utilização de Sistemas de Comunicação (e-mail, MSN. ICQ, etc.);
- Norma de Acesso à Internet e Redes de Terceiros;
- Norma de Controle de Acesso e Administração de Usuários;
NormaNBR ISO/IEC 17799:2005 (ou 27001
e 27002)
- Norma de Classificação da Informação;
- Norma de Classificação de Ativos;
- Norma de Classificação de Ambientes;
- Norma de Segurança e Gerenciamento de Mídias;
- Norma de Segurança Física e de Ambiente;
- Norma de Gerenciamento de Ativos, Configuração e Controle de Mudanças;
- Norma de Auditoria e Análise Crítica;
- Norma de Backup e Recuperação de Informações e Sistemas;
- Norma para Análise de Riscos e Avaliação de Impactos;
- Norma de Gestão de Continuidade Operacional; dentre outras normas que forem necessárias.
NormaNBR ISO/IEC 17799:2005 (ou 27001
e 27002)