s eguranÇa, c ontrole e a uditoria de d ados 9 – segurança da informação

SEGURANÇA, CONTROLE E AUDITORIA DE DADOS9 – Segurança da Informação

SEGURANÇA DA INFORMAÇÃO

O que quer se proteger?

Contra que ou quem?

Quais as ameaças mais prováveis?

Qual a importância de cada recurso?

Qual o grau de proteção desejado?


Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os objetivos de segurança desejados?

Quais as expectativas dos usuários e clientes em relação à segurança da informação?

Quais as conseqüências para a instituição se seus sistemas e informações forem corrompidas ou roubadas?


Ao responder essas perguntas, define-se a política de segurança;

Cada serviço ou medida preventiva (e corretiva) deve ser definido para atender o objetivo de segurança;

Porém, deve haver um equilíbrio entre necessidade de segurança e custo.


O primeiro passo, é o reconhecimento da necessidade de ter segurança;

A alta gerencia deve ter comprometimento com a causa;

A visão de “inibidor” e “camisa de força” é o principal impedimento;

Deve ter a imagem de protetor da disponibilidade e qualidade das informações;


A política deve ser resumida, clara e objetiva;

Os detalhes devem estar somente em documentos específicos, e não da política;

A política é o primeiro documento de todos os que virão depois;

Esses que vêm depois são os que detalharão os procedimentos e padrões a serem aplicados;


Existem vários grupos de pesquisa;

Seus estudos algumas vezes viram padrões;

Padrões podem virar, inclusive, leis;

Padrões são internacionais, leis são nacionais, mas podem existir semelhanças entre leis de países diferentes;


É importante consultar a legislação vigente para ter certeza da adequação das políticas;

Outro fator que deve ser conferido é se as políticas está de acordo com os padrões recomendados pelas organizações competentes;


Projeto de Lei do Senado, por Renan Calheiros, de 2000: define e tipifica os delitos de informática;

Projeto de lei 84/1999: dispõe sobre os crimes cometidos na área de informática e suas penalidades;

Lei 9.609/1998: dispõe sobre a proteção da propriedade intelectual de programa de computador e sua comercialização no pais;


Lei 9.610/1998: altera, atualiza e consolida a legislação sobre direitos autorais;

Lei 9.296/1996: regulamenta o inciso XII, parte final, do art. 5º, da Constituição Federal. Aplica-se à interceptação do fluxo de informação em sistemas de informática e telemática;

Projeto de Lei do Senado 234/1996: dispõe sobre os crimes contra a inviolabilidade da comunicação de dados de computador;


Projeto de Lei da Câmara dos Deputados 1.713/1996: dispõe sobre o acesso, a responsabilidade e os crimes cometidos nas redes integradas de computadores;

Decreto 96.036/1988: regulamenta a Lei 7.646/1987, revogada pela Lei 9.609/1998;

Decreto 79.099/1977: aprova o regulamento para salvaguarda de assuntos sigilosos.


Instituições:

International Organization for Standardization (ISO)

International Electrotechnical Comission (IEC)

International Telecommunications Union (ITU)

Comité Européen de Normalisation (CEN)

Comité Européen de Normalisation

Eléctrotechnique (CENELEC)

European Telecommunications Standards Institute

(ETSI)


Instituições:

Institute of Electrical and Electronics Engineers

(IEEE)

National Institute for Standards and Technology

(NIST)

American National Standards Institute (ANSI)

Tribunal de Contas da União (TCU)


A política é um mecanismo preventivo de proteção;

Pode ser usado para medir a qualidade e a segurança dos sistemas utilizados;

Contém princípios organizacionais de como a instituição irá se proteger, controlar e monitorar seus recursos informacionais;


Define também a responsabilidade das funções relacionadas com a segurança;

Discrimina as principais ameaças, riscos e impactos envolvidos;

Lista as principais medidas preventivas e corretivas para cada um dos itens de risco.


Porém, não deve limitar-se a questões informacionais;

Deve estar integrada com políticas institucionais de segurança em geral;

Alinhamento com as metas de negócio e ao plano estratégico da organização.


A política de segurança de informação gera impactos sobre todos os projetos de informática, sejam estes: Planos de desenvolvimentos de novos sistemas; Planos de contingências; Planejamento de capacidade.

Não somente o setor de informática está envolvido, mas toda e qualquer fonte, e consumidor, de informação serão afetados.


É necessário que ela seja aprovada e reforçada pela alta gerencia;

A política deve estar difundida por toda a organização;

Todos os controles e medidas posteriores serão criadas com base na política;


Apresenta os responsáveis pela implantação, sua linha gerencial e os instrumentos de controle e supervisão de seu trabalho.

Orienta sobre análise e gerencia de riscos, princípios de conformidade dos sistemas computacionais, classificação das informações (pública, interna, confidencial e secreta) e padrões mínimos de qualidade.


Contem, normalmente, princípios legais e éticos que devem ser atendidos, como: Direitos de propriedade de produção intelectual; Direitos sobre software e normas legais

correlatas aos sistemas desenvolvidos; Princípios de implementação da segurança de

informações; Políticas de controle de acesso a recursos e

sistemas computacionais; e Princípios de supervisão constante das tentativas

de violação da segurança de informações.


Geralmente conta com outras “sub-políticas”, como: Política de senhas; Política de backup; Política de contratação, instalação de

equipamentos e softwares; etc.

Aliada também a definições de procedimentos e práticas, com regras mais específicas de como será feita a implementação, administração e verificação de conformidade à políticas.


Independente da quantidade de documentos envolvidos, todos eles devem ser divulgados, completos ou em partes, às pessoas envolvidas ou atingidas pela política de segurança;

Isso visa prover a todos de orientação básica de como agir corretamente, de modo a atender às regras, e saber quais as medidas (preventivas ou corretivas) podem ser tomadas, e quais as consequencias de uso inadequado.


É recomendável que tenham introdução, para facilitar a leitura, e introduzir o leitor ao texto.

PROCESSO DE IMPLANTAÇÃO

A política, para ser implantada, passa por um processo relativamente longo;

Esse processo deve ser flexível o suficiente para permitir modificações na política conforme as necessidades sejam descobertas;

O processo é dividido em fases;


Identificação dos recursos críticos;

Classificação das informações;

Definição, em linhas gerais, dos objetivos de segurança a serem atingidos;

Análise das necessidades de segurança (identificação de possíveis ameaças, análise de risco e impactos);


Elaboração da proposta de política;

Discussão abertas com os envolvidos;

Apresentação de documento formal à gerencia superior;

Aprovação;


Implementação;

Avaliação da política e identificação da mudanças necessárias;

Revisão.

IDENTIFICANDO OS RECURSOS

Aqui se identificam todos os recursos que estão sob algum tipo de risco.

O que precisa ser protegido?

Quais são os recursos mais importantes?

Sob que formas a informação estão armazenadas? (papel, disquete, CD/DVD, HD)


Hardware: processadores, placas, teclados, terminações, estações de trabalho, computadores pessoais, impressoras, unidades de disco, linhas de comunicação, servidores, roteadores;

Software: utilitários, programas de diagnóstico, sistemas operacionais, programas de comunicação, aplicativos sob demanda;

Suprimentos: papel, formulários, fitas, disquetes, CD-ROMs;


Dados: em processamento, em trânsito nos dispositivos e linhas de comunicação, armazenados on-line e off-line, backups, log de auditoria, base de dados;

Pessoas: usuários e funcionários necessários para o funcionamento dos sistemas;

Documentação: sobre programas, hardware, sistemas, procedimentos administrativos.

CLASSIFICAÇÃO DAS INFORMAÇÕES

Cada tipo de informação tem seu valor, e por isso deve ser cuidado de modo diferente;

Cada informação tem um proprietário, e é este que deverá classificá-la, pois é o que o que tem mais condições de aferir o real valor da mesma;

Com sistemas de classes diferentes, toda informação deve ser tratada com a maior delas, com a que exige maior segurança;


A classificação mais comum é:

Pública: informações onde pouca ou nenhuma segurança é exigida, podendo ser divulgadas a qualquer pessoa sem que haja implicações para a instituição.

Exemplos: Serviços de informação ao público geral; Informações divulgadas à imprensa ou pela

Internet.


Internas ou de uso interno: estas informações não devem sair da instituição. Porém, se isso ocorrer, as conseqüências não serão críticas.

Exemplos: Serviços de informação interna; Documentos de trabalho corriqueiros, que

somente interessam aos funcionários.


Confidenciais: informações são protegidas contra acesso externo. Somente se terá acesso a estes documento se estritamente necessário, e se forem fundamentais para o desempenho satisfatório do seu trabalho. O acesso não autorizado pode causar danos financeiros ou perda de mercado.

Exemplos: Dados de clientes e/ou fornecedores; Senhas; Balanços; Vulnerabilidades dos sistemas.


Secretas: extremamente críticos para a organização. O número de pessoas com acesso deve ser restrito, e o controle sobre o uso dessas informações total.

Exemplos: Dados militares; Segurança nacional.

CLASSIFICAÇÃO DOS SISTEMAS

Por ser extenso, o ideal é dividir o ambiente de sistemas de informação em níveis, e implementar controles de segurança por nível.

Aplicativos Serviços

SO Hardware

CLASSIFICAÇÃO DOS SISTEMAS

Aplicativos: projetados para atender as necessidades específicas do usuário;

Serviços: utilizados pelos aplicativos, como por exemplo os serviços prestados por um SGBD;

SO: fornece serviços de baixo nível, como gerenciamento de arquivos;

Hardware: processador e memória.

ANÁLISE DE RISCOS

Risco é geralmente confundido com ameaça;

O risco, na verdade, é composto pela ameaça, vulnerabilidade e impacto;

A análise de riscos busca por componentes críticos e avalia o custo potencial ao usuário do sistema;

É ponto chave da política de segurança;

ANÁLISE DE RISCOS

Se analisam as ameaças e as probabilidades desta se concretizar;

Caso se concretizem, quais os impactos e severidade da perda;

Em alguns casos, o custo de evitar um risco é maior que a perda;

ANÁLISE DE RISCOS

Riscos serão somente reduzidos, é impossível eliminá-los por completo;

A idéia é analisar as medidas de mitigação de riscos;

Sempre equilibrando custos com impacto e probabilidade de ocorrência;

ANÁLISE DE RISCOS

Quebra de segurança sempre irá ocorrer, é tudo questão de tempo e recursos técnicos e econômicos envolvidos;

Conhecer as ameaças com antecedência ajuda a compreender como elas se relacionam, e como mitigando uma pode vir a eliminar outra, cortando custos.

ANÁLISE DE AMEAÇAS

Todo elemento que pode explorar fragilidades de segurança para impedir o funcionamento do sistema ou a disponibilidade de informação é considerado ameaça ou vulnerabilidade;

Ameaça é o evento ou atitude que remove, desabilita, danifica ou destrói um recurso;

A vulnerabilidade é a fraqueza ou deficiência que pode ser explorada pela ameaça;


Ameaças podem ser acidental, ou deliberada;

Pessoas e idéias também podem ser ameaças;

Elas podem ainda ser divididas em passivas ou ativas: Ativas: são as que modificam ou corrompem as

informações ou serviços; Passivas: apenas acessam as informações ou

serviços, sem danificá-los.


Vazamentos de informações;

Violação de integridade;

Indisponibilidade de serviços;

Acesso e uso não autorizado.


Mascaramento;

Desvio de controle;

Violação autorizada;

Ameaças programadas.

ANÁLISE DE AMEAÇASAmeaça | Recurso | Confidencialidade | Integridade | Disponibilidade

s eguranÇa, c ontrole e a uditoria de d ados 9 – segurança da informação

Documents