Recomendações de Segurança para Serviços Eletrônicos do Governo do Estado de São Paulo

Manual de Segurança

Fábio R. N. Fernandesfnfernandes@sp.gov.br

Marcos Tadeu Yazakimyazaki@sp.gov.br

www.prodesp.sp.gov.br

Pauta

• Apresentação do Manual de Segurança

• Introdução• Segurança física• Segurança lógica• Hospedagem• Monitoramento• Modelo organizacional• Considerações finais

Introdução

• Manual é um conjunto de recomendações básicas de segurança, baseado nas melhores práticas do mercado– Comitê Gestor da Internet no Brasil– ISO/IEC 17799– Documentos de Governança

• A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação

Informação

• A importância da Informação– Um dos bens mais valiosos do governo– Informações de terceiros custodiadas– Imagem do governo

• Armazenada em diversos meios• Transita por diversos meios

CidadãoEmpresas

E-MailsArquivos

ConversasDocumentos

Apresentações

PapelEletrônico

Deve ser devidamente protegida !!!

Rede Complexa

INTERNET

SecretariasÓrgãos

Empresas

Redes Privadas

Redes Públicas

Rede do Governo

G2BG2BG2CG2C

G2GG2G

G2EG2E G2EG2E

Riscos

• Indisponibilidade• Vazamento de informação• Violação da integridade• Fraude• Acesso não autorizado• Uso indevido• Sabotagem• Roubo de informações• Ameaças programadas (vírus, worms, trojans)• Espionagem

Número Atuais

7.27

1.29

9

7.77

6.22

1

5.73

8.06

2

3.91

0.10

6

3.95

5.25

5

5.33

0.79

9

6.17

6.94

2

7.26

0.40

7

6.32

7.64

0

6.90

4.85

0

5.71

2.66

2

3.46

9.64

0

0

1.000.000

2.000.000

3.000.000

4.000.000

5.000.000

6.000.000

7.000.000

8.000.000

set/04 out/04 nov/04 dez/04 jan/05 fev/05 mar/05 abr/05 mai/05 jun/05 jul/05 ago/05

Tentativas de Ataque ao Ambiente

Pilares da Segurança

Confidencialidade

Integridade Disponibilidade

Legalidade, Auditabilidade, Transparência, Não Repudio

Ações da Segurança

TecnologiaTecnologia

ProcessosProcessos

PessoasPessoas

Funcionários Fornecedores Clientes Parceiros Consultorias Cidadão

Segurança Física

• Ambiente• Sala dos servidores• CPD• Datacenter

• Equipamentos• Microcomputadores• Roteadores• Switches

1o) Terreno: muro, controle de acesso: guarita, seguranças1o) Terreno: muro, controle de acesso: guarita, seguranças

PRODESP

Perímetros

2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas

3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança

4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria

5o) Racks com chave, cameras5o) Racks com chave, cameras6o) Sala cofre6o) Sala cofre

Segurança dos Ambientes

• Recomendações– Paredes sólidas– Portas e janelas protegidas– Alarme– Mecanismos de controle de acesso

• Prever riscos como– Fogo– Inundação– Explosão– Manifestações

• Levar em conta riscos dos prédios vizinhos

Segurança dos Equipamentos

• Proteger contra:• acesso não autorizado• Roubo / perda (notebook)• Violações

• Considerar:• Equipamento próprios• Equipamentos alienados• Equipamentos externos

• Proteger a infraestrutura:• Cabines de fornecimento de energia elétrica• Salas de distribuição dos cabeamentos lógicos

(rede/telecomunicação)• contra falhas ou anomalias de energia (estabilizadores, no-breaks,

geradores)• Manutenção preventiva

• Manter contingência dos sistemas críticos

Segurança Lógica

InternetInternet WAN, MANWAN, MAN

ACLACLVPNVPNFirewallFirewallVLAN´sVLAN´sIPS/IDSIPS/IDSAutenticaçãoAutenticaçãoCriptografiaCriptografiaCertificado DigitalCertificado DigitalSistema OperacionalSistema Operacional

LANLAN

InformaçãoInformação

• Regras de controle de acessos (quem, o que, quando, como)

• Auditoria: logs• Premissa: Tudo deve

ser proibido a menos que seja expressamente permitido

• Proteger pontos de rede

• Proteger dispositivos de rede (switches, routers)

• Segmentar rede

• Deve-se definir uma política de backup• As mídias devem ser:

• Controladas• fisicamente protegidas contra roubo, furto e

desastres naturais (fogo, inundação)• armazenadas em locais adequados (cofres,

controle de humidade)

• Os Data Centers podem ser utilizados para espelhamento dos sistemas críticos

Backup

Outros

• Manutenção preventiva e periódica• Deve-se adotar uma política de aplicação das

correções de segurança dos sistema operacionais e softwares

• Deve-se analisar as vulnerabilidades• Deve-se utilizar softwares antivírus• Recomenda-se a utilização de anti-spywares• Deve-se ter cuidado com o descarte das

informações• Atenção com fotocopiadoras, gravadores de CD,

FAX, filmadoras, câmeras em áreas críticas

Hospedagem

• Todos os órgãos e entidades da Administração Pública Estadual devem utilizar os “Data Centers” do Governo (Resolução CC-9, de 25/02/2005)

– Hospedagem– Publicação de informações– Serviços eletrônicos via Internet

• Modalidades:

– Colocation– Hosting

Hospedagem dos servidores

Hospedagem de conteúdo, aplicativos e serviços

Hospedagem

Colocation HostingAcesso Restrito e Controlado X XAntivírus Opcional XBackup Opcional XMonitoramento 24x7 X XSegurança física e lógica X XAplicação de Patches Opcional XRedundância X XGerenciamento Remoto X XUpgrades Hardware/Softw. N.A. XInfraestruturaLink com a InternetLink com a IntranetHardwareSoftwareTreinamentoManutençãoEquipe de profissionaisClimatização

XXX

X

XX

XXXXXXXXX

Redução de CustosRedução de Custos

SegurançaSegurança

Confiabilidade

Disponibilidade

Monitoramento

• Garantir a continuidade dos serviços• Identificar anomalias e incidentes de segurança• Acompanhar tendência de crescimento (capacity planning)

• Outros: alimentação elétrica, climatização, no-breaks, conectividade

•Disco•Processamento•Memória•Segurança (patches, antivírus)•Conectividadade (rede local, switches, roteadores, etc.)

Equipamentos

•Login (usuário, data e hora, terminal)•Acessos ao sistema•Tentativas de acessos indevidos

Serviços

Modelo Organizacional

• Definição e adoção de um Modelo Organizacional, baseado na criação de um Grupo de Resposta à Incidentes

• Interno Distribuído• Interno Centralizado• Combinado• Coordenador

• É importante o relacionamento do grupo de resposta à incidentes com áreas não técnicas, como Recursos Humanos e Jurídico

• Terceirização deve ser feita com cautela uma vez que envolve riscos

• Não existe um modelo mais indicado. Deve-se buscar implementar o que for melhor para a empresa.

Modelos Organizacionais• Interno Distribuído

• Modelo inicial• Possui um Coordenador para responder aos incidentes em conjunto com as

áreas envolvidas• O Coordenador não precisa ser um especialista em Segurança, mas alguém

que se preocupe não somente em resolver o incidente como também procurar as causas e trabalhar para que não ocorra novamente.

• Interno Centralizado• Existência de uma área de Segurança• Funcionários exclusivos• Serviços pró-ativos e reativos• Atuação direta na resolução de problemas e manutenção das informações

necessárias para investigação das causas e propostas de solução.• Combinado (Distribuído e Centralizado)• Coordenador

• Modelo para entidades que possuem órgãos ligados diretamente.• A entidade organiza um grupo que coordena os demais grupos de segurança

dos órgãos

Considerações Finais

• Política de Segurança• Uma vez que o ambiente não conte com uma

infra-estrutura física ou lógica adequada, deve-se utilizar os Data Centers do Estado

• Consultar outras instituições e sites• As recomendações devem ser selecionadas e

usadas de acordo com a legislação e regulamentações vigentes

• A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação

Links para Consultas

• Comitê Gestor da Internet no Brasilhttp://www.cg.org.br/

• NIC BR Security Officehttp://www.nbso.nic.br

• CAIS-Centro de Atendimento a Incidentes de Segurançahttp://www.rnp.br/cais/

Fábio R. N. Fernandesfnfernandes@sp.gov.brwww.prodesp.sp.gov.br

Perguntas ?

FIM