Transcript
BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
CONTEÚDO Introdução à Segurança da Informação II. Cenário da Segurança da Informação 1. Segurança Física 2. Pessoas 3. Tecnologia da Informação 4. Aspectos Legais III. Boas Práticas de Segurança da Informação 1. Série ABNT NBR ISO/IEC 27000 2. Política de Segurança da Informação 3. Organização 4. Classificação da Informação 5. Gestão de Risco 6. PCN 7. Desenvolvimento de Pessoas IV. Gestão da Segurança - Ciclo PDCA I.
2
Parte I
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO 3
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Informação e Segurança “Em um mundo onde existe uma riqueza de informação, existe freqüentemente uma pobreza de atenção.” Ken Mehlman
4
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO O bem mais valioso de uma organização pode não ser o produzido
pela sua linha de produção ou pelo serviço prestado, mas as informações relacionadas com esse bem de consumo ou serviço.
Exemplos: nº
de casos de dengue por município Cadastro de servidores (agentes públicos) Mapeamento e descrição dos processos de negócio Censo escolar Indicadores da segurança pública Imagens de satélite 5
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Uma informação pode ser armazenada sob diversos meios: • Papel (escrita)
• Dispositivos digitais • Memória Humana (volátil)
6
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Uma informação pode se transmitida por diversos meios:
7
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO É fato: Uma organização pode ter prejuízos incalculáveis ou até mesmo ser descontinuada por um incidente envolvendo informações. Não existe 100% de segurança. É preciso cercar o ambiente de informações com medidas que garantam sua segurança efetiva a um custo aceitável.
8
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO O que é segurança da informação?
Segurança da informação é a proteção da informação
contra
vários tipos de ameaças para garantir a
continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.
9
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Segurança da informações na administração pública Fraudes marcam a distribuição de ações. Gaeco apura vazamento de informação sobre operação em MT
Vazamento de informação prejudicou operação no Rio, diz delegado
Prejuízo com o vazamento da prova do Enem pode chegar a R$ 34 milhões
Polícia investiga fraude no sistema da Nota Fiscal Paulista
Autoescolas corrompem sistema digital e oferecem esquema para renovar CNH em SP FRAUDE NA PREVIDÊNCIA CHEGA A R$ 1,6 BILHÃO - MEIO MILHÃO DE MORTOS-VIVOS
Confirmada fraude no concurso público do Governo do Mato Grosso. MPF/AP denuncia servidor público por fraude ao sistema de Dívida Ativa da União - Os prejuízos aos cofres públicos foram estimados em R$ 11 milhões.
10
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Dimensões de proteção da informação
Disponibilidade
Integridade
Confidencialidade
Segurança da Informação
Autenticidade
Não Repúdio
11
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Confidencialidade
É uma característica da informação que diz respeito ao direito de acesso.
Medidas de segurança devem garantir que a informação esteja acessível apenas para quem tem permissão de acesso, evitando, assim, revelação não autorizada.
12
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Confidencialidade Balancete contábil Secretaria (pública – acesso a todos os interessados) Informações táticas de operação policial a ser realizada (apenas os envolvidos no plano) Senha da conta bancária (somente o correntista) Gabarito de Prova não realizada (apenas os elaboradores da prova) Lista dos aprovados em concurso público (pública - todos os interessados)
13
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Integridade
É uma característica da informação que diz respeito à sua exatidão. Medidas de segurança devem garantir que a informação seja
alterada
somente
por
pessoas
e/ou
ativos
associados
autorizados e em situações que efetivamente demandem a alteração legítima.
14
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Integridade
Plano de Vôo
Dados preenchidos em cheque Conteúdo de um Edital a ser publicado
Prescrição médica para paciente internado
15
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Disponibilidade
Medidas de segurança devem garantir que a informação esteja disponível, sempre que necessário, aos usuários e/ou sistemas associados que tenham direito de acesso a ela.
16
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Disponibilidade Extrato bancário Dados gerenciais para tomada de decisão
índice de mortalidade infantil por município tamanho das áreas devastadas por queimadas
nº de aposentadorias previstas para 2013 Dados para operacionalização de procedimentos
ramal de telefones atualizado na recepção declaração de rendimentos para IRPF 17
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Autenticidade
Diz respeito à certeza da origem da informação. Medidas de segurança devem garantir que a informação provem da fonte anunciada e que não foi alvo de mutação ao longo de sua transmissão.
18
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Autenticidade Página web do banco para digitar nº da conta e senha Certificado de Registro de Veículo para transferência de proprietário Atestado médico para justificar falta de funcionário
19
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Não repúdio
Ou irretratabilidade, diz respeito à garantia de que o autor de determinada ação não possa negar tal ação. Medidas de segurança devem garantir meios que identifique inequivocamente o autor de uma ação.
20
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Não repúdio
Notificação judicial (entrega em mãos por alguém de fé pública) Notificação extrajudicial (registradas)
Posse de um processo (controle de assinatura do receptor, data e hora do recebimento).
Acesso a determinado ambiente crítico (sistema por biometria).
21
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Dimensões da segurança da informação:
Confidencialidade
Integridade
Autenticidade
Disponibilidade
Não Repúdio
22
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Segurança da Informação Proteção
suportam manipuladas
Negócio Informações Ativos
Ativos:
A própria informação
Infraestrutura física
Tecnologia da Informação
Pessoas 24
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Proteção: Medidas / Controles de Segurança da Informação
25
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO “ Segurança da Informação é como uma corrente cuja força é medida pelo seu elo mais fraco.”
Nenhuma corrente é tão forte quanto o seu elo mais fraco.
26
II. CENÁRIO Segurança Física
27
CENÁRIO SEGURANÇA FÍSICA
Pouca consideração com a localização das Instalações
28
29
Mega explosão do depósito de combustíveis de Buncefield Uma mega explosão no depósito de, um grande terminal de distribuição de combustível, que armazena óleo, gasolina e querosene, foi ouvida a 322 km de distância. A interrupção dos negócios foi sentida por todas as empresas de Maylands 48 horas após o incidente, sendo que a maioria foi afetada por longo tempo e muitas ainda estão sofrendo dos efeitos pós-incidente. Cerca de 90 empresas foram severamente afetadas pelo incidente com destruição total ou parcial de suas instalações e outros ativos. A maioria delas ainda está sofrendo os efeitos do incidente.
30
CENÁRIO SEGURANÇA FÍSICA
Barreiras e Controle de Acesso Físico
31
CENÁRIO SEGURANÇA FÍSICA
32
CENÁRIO SEGURANÇA FÍSICA
33
CENÁRIO SEGURANÇA FÍSICA
Infraestrutura de Utilidades :
Energia elétrica,
Abastecimento de água,
Sistema de climatização
34
CENÁRIO SEGURANÇA FÍSICA
35
CENÁRIO SEGURANÇA FÍSICA
Equipamentos
36
CENÁRIO SEGURANÇA FÍSICA
37
CENÁRIO SEGURANÇA FÍSICA
Prevenção e combate a incêndio
38
CENÁRIO SEGURANÇA FÍSICA
39
CENÁRIO SEGURANÇA FÍSICA
40
II. CENÁRIO PESSOAS
41
CENÁRIO PESSOAS Incidentes de Segurança provocados por Pessoas
Ignorância
Negligência
Má-fé
42
CENÁRIO PESSOAS
44
CENÁRIO PESSOAS
45
CENÁRIO PESSOAS A Engenharia Social
46
CENÁRIO PESSOAS A Engenharia Social "É a ciência que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de Engenharia Social são amplamente utilizadas por
detetives (para obter informação) e magistrados (para comprovar se um declarante fala a verdade). Também é utilizada para lograr todo tipo de fraudes, inclusive
invasão de sistemas eletrônicos." Mário Peixoto em Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006. 47
CENÁRIO PESSOAS Objetivos do Engenheiro Social Espionagem industrial, Obter informações privilegiadas para obter vantagem, Obter informações confidenciais para cometer alguma fraude ou extorsão,
Roubo de senhas de bancos ou cartões de crédito, Invadir sistemas por pura diversão o suficiente.
48
CENÁRIO PESSOAS
http://pharma.msc.edu.eg/ATC.asp Egito
49
CENÁRIO PESSOAS Subject: Parabéns você ganhou uma TV LCD Philips Grátis. From:
[email protected] Date: Mon, 21 Mar 2011 21:31:20 -0700
50
CENÁRIO PESSOAS Por que as pessoas são vulneráveis a manipulações? • Seis tendências básicas da natureza humana facilitam ataques de engenharia social:
Autoridade
Afabilidade
Reciprocidade
Validação Social
Escassez 51
CENÁRIO PESSOAS Por que as pessoas são vulneráveis a manipulações? • Outros aspectos humanos também devem ser considerados, como Ambição Vaidade Carência afetiva
Curiosidade Etc
52
CENÁRIO PESSOAS
“Eu consegui porque entrei e ninguém me perguntou nada e nem pediu nenhuma identificação…”.
53
CENÁRIO PESSOAS
“As pessoas acabam caindo nas minhas mentiras porque eu mexo com a ambição delas. Sou quem eles quiserem que eu seja”. Marcelo Rocha 54
CENÁRIO PESSOAS
55
II. CENÁRIO Segurança na Tecnologia da Informação
56
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
CENÁRIO DAS ORGANIZAÇÕES 57
CENÁRIO TECNOLOGIA DA INFORMAÇÃO • Negócios dependentes cada vez mais dos sistemas de informação e da
Internet • Problemas: Infecção por vírus, Acesso não autorizado, Ataques denial of service contra redes e sistemas, Furto de informação proprietária, Invasão de sistemas, fraudes internas e externas, Espionagem sobre as redes, entre outras.
58
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
59
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
60
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
61
CENÁRIO TECNOLOGIA DA INFORMAÇÃO Motivadores • A difusão da Internet • O aumento do número de vulnerabilidades nos sistemas existentes • Esforço e custo para mitigar tais vulnerabilidades com a aplicação de correções do sistema
•A complexidade e a sofisticação dos ataques também contribuem de maneira direta para o aumento dos incidentes.
62
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
Quem são os atacantes?
63
CENÁRIO TECNOLOGIA DA INFORMAÇÃO Hacker e Cracker
Fascínio pelo poder do controle; Alto conhecimento técnico de protocolos de redes
e de sistemas operacionais;
hacker britânico Gary McKinnon
Cracker são os maiores responsáveis pelos danos de dados roubados e
de fraudes em sistemas; Muitas organizações contratam hackers (“éticos”) para testarem a
segurança de suas organizações.
64
CENÁRIO TECNOLOGIA DA INFORMAÇÃO Script Kiddie • Crackers inexperientes (geralmente das camadas etárias mais novas); • Utilizam o trabalho intelectual dos verdadeiros especialistas técnicos; • Almejam fama ou outros tipos de lucros pessoais. • Utilizam exploits, trojans e ferramentas de cracking construídos por terceiros
para alcançar seus objetivos. • Ações mais comuns: defacement (alteração do conteúdo original de páginas web), fraudes com cartões de crédito e fraudes bancárias.
65
CENÁRIO TECNOLOGIA DA INFORMAÇÃO Atacantes Internos • Possuem autorização legítima para acesso e uso de informação, sistema, rede. • Fazem mau uso dos privilégios que possuem Legitimamente.
Ex-servidora da Previdência Jorgina de Freitas
• Tentam obter de maneira ilícita acessos com mais poderes.
• Motivações: vingança ((ex)funcionário insatisfeito), ganho financeiro (fraude, roubo de informação privilegiada), desafio.
80% dos incidentes de segurança em uma organização são causados por usuários internos. 66
67
CENÁRIO TECNOLOGIA DA INFORMAÇÃO Alta
SOFISTICAÇÃO DOS ATAQUES Rootkits DoS /DDoS
Scanners de vulnerabilidades
Spoofing de pacotes IP
Baixa 1980
Exploits
Ataques Web
Port Scanners
Sniffers
Backdoors
Desativação de auditoria
Overflow / Worm
Exploração de vulnerabilidades conhecidas
Código auto-replicáveis Programas password cracking
Advinhação de senhas
1985
1990
1995
2000 2002
2005
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
68
CENÁRIO TECNOLOGIA DA INFORMAÇÃO Alto
PERFIL DOS ATACANTES
Especialistas, estudiosos
Richard Skrenta Criador 1º virus
Conhecimento Técnico Script Kiddies Baixo 1980
1985
1990
1995
2000 2002
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
2005 69
CENÁRIO TECNOLOGIA DA INFORMAÇÃO Alto
Sofisticação das ferramentas
Nível de Conhecimento Baixo 1980
1985
1990
1995
2000 2002
2005
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
70
CENÁRIO TECNOLOGIA DA INFORMAÇÃO Problemática dos ambientes de TI
Ambientes mais complexos e heterogêneos
Diversos fornecedores Necessidade de pessoal com formações especializadas Complexidade na administração dos ambientes Muita demanda de serviços via TI e urgências
71
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
72
2. CENÁRIO TECNOLOGIA DA INFORMAÇÃO
73
II. CENÁRIO
ASPECTOS LEGAIS
74
ASPECTOS LEGAIS Cenário no ambiente de trabalho
•
Problemas mais comuns:
Uso dos recursos de Tecnologia da Informação (TI) da organização para interesses pessoais
•
Uso malicioso ou negligente dos recursos de Tecnologia da Informação (TI) da organização
ASPECTOS LEGAIS Cenário no ambiente de trabalho
Pesquisa com 1,6 mil pessoas realizada por empresa de consultoria em produtividade: 80% gastam até três horas do tempo de trabalho com atividades que
não contribuem para o serviço, e boa parte está ligada à internet; 36% afirmam que acessam Internet sem o foco do trabalho; 40% dizem repassar correntes e também piadas por email; 20% curtem joguinhos online; 56% fazem compras pela internet e; 11% veem pornografia no computador.
Tudo em plena hora de trabalho! 76
ASPECTOS LEGAIS Cenário no ambiente de trabalho
Quem paga a conta? Salário + encargos; Banda Internet; Armazenamento dos downloads; Trabalho dos administradores de TI; Atrasos nas entregas do trabalho e desdobramentos; Ataques de códigos maliciosos na rede da organização; Outros custos diretos e indiretos É um problema ético do empregado e da organização permissiva. 77
ASPECTOS LEGAIS Responsabilidade Civil dos Executivos , Gestores e Profissionais em geral • Executivos, gestores e profissionais de TI respondem legalmente pelos
danos causados através dos meios eletrônicos. • O Código Civil prevê que o empregador é responsável por tudo o que os trabalhadores fazem usando as conexões e os equipamentos da empresa. Isso significa que, se um funcionário cometer um crime por meio do computador do trabalho, a empresa responde judicialmente pelo caso. O funcionário também poderá responder pelo crime, mas os prejudicados costumam processar as empresas por conta de elas terem mais poder e dinheiro em caso de indenizações. 78
ASPECTOS LEGAIS Por ter praticado ou deixado como estava
Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito. Não ter tomado os devidos cuidados
79
ASPECTOS LEGAIS TRT-RS: ao deixar de tomar providências para apuração de envio de e-mails de conteúdo ofensivo, o empregador é responsável pela indenização dos danos morais. TRT-SP: Empregado que assediava colegas por e-mail é demitido por justa causa
STJ - Demissão que ocorre por empregado ceder sua senha eletrônica para burlar sistema eletrônico é legal
TST admite que banco investigue e-mail de trabalho do empregado TJ-SC: Banco Itaú indenizará correntista que foi vítima da ação de hackers
Para TRT-SP, copiar documento sigiloso sem autorização dá justa causa TRT-MG: Advogado acusa escritório de monitorar empregados e indenização é rejeitada
80
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
SÉRIE NBR ISO/IEC 27000 Para que reinventar a roda?
84
SÉRIE NBR ISO/IEC 27000
ISO 27001
Define os requisitos para um sistemas de gestão de segurança da informação
ISO 27002
ISO 27003
ISO 27004
ISO 27005 85
SÉRIE NBR ISO/IEC 27000
ISO 27001
ISO 27002
Boas práticas para a gestão de segurança da informação
ISO 27003
ISO 27004
ISO 27005 86
SÉRIE NBR ISO/IEC 27000
ISO 27001
ISO 27002
ISO 27003
Guia para a implantação de um sistema de gestão de segurança da informação (metodologia)
ISO 27004
ISO 27005 87
SÉRIE NBR ISO/IEC 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
Define métricas e meios de medição para avaliar a eficácia de um sistema de gestão de segurança da informação
ISO 27005 88
SÉRIE NBR ISO/IEC 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
Fornece as diretrizes para o processo de gestão de riscos de segurança da informação 89
SÉRIE NBR ISO/IEC 27000 ISO 27002 – Código de práticas para a gestão de segurança da informação
Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativos Classificação da Informação
Segurança em Recursos Humanos Segurança Física e do Ambiente
Controle de Acesso Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Conformidade
Gestão das Operações e Comunicações
90
SÉRIE NBR ISO/IEC 27000 Segurança em Recursos Humanos Antes da contratação papéis e responsabilidades definidos e documentados
seleção (referências, verificação das informações do currículo, qualificações acadêmicas e profissionais, verificações financeiras e criminais) Termos e condições
Durante a contratação Responsabilidades da direção conscientização, educação e treinamento
Processo disciplinar Encerramento ou mudança de contratação Encerramento de atividades Devolução de ativos Retirada de direitos de acesso 91
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Política de Segurança da Informação Gosto não se discute, mas política de segurança se deve discutir, e muito!
92
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO O que são políticas de segurança da informação?
“Uma Política de Segurança da Informação é um documento que deve descrever as práticas que a organização espera que sejam seguidas por todos os empregados para proteger seus ativos de informação.”
Scott Barman
93
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Políticas são importantes para:
Comunicar os objetivos e as diretrizes da segurança da informação;
Garantir a implementação apropriada de controles de segurança;
Demonstrar o compromisso e apoio da alta administração;
Evitar problemas legais (indenizações, multas);
Alcançar um nível de segurança consistente evitando esforços segmentados.
94
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Desafio
95
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Motivos de resistência
Pessoas, naturalmente, não gostam de regras e vêem políticas como controles;
Consideram um impedimento à produtividade;
Diferentes visões sobre necessidades de segurança;
Dificuldades de seguir e implementar.
96
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Objetivo – ISO 27002
Uma política de segurança da informação tem como objetivo prover uma orientação e apoio da alta administração para a
segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes.
• ANVISA
• Pesquisa e clínica média
• CRM
• Administração pública
• Sarbane-Oxley
• Indústria Alimentícia
• Banco Central
• Seguradora
• ANATEL
• Financeiras
• ANAC
• Telefonia ...
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Fatores Críticos de Sucesso
???
Implementável e aplicável
Concisa e de fácil entendimento por todos
Equilibrar proteção e produtividade
Revisada periodicamente
COMUNICADA, DIVULGADA, DISSEMINADA
98
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Documentos que compõem um Política de Segurança
Os documentos que compõem uma política de segurança de informação variam bastante em cada organização, porém a grande maioria segue a estrutura:
Carta de comprometimento da alta administração
Diretrizes ou Política de Segurança
Normas de Segurança
Procedimentos e Instruções
99
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Fonte: Segurança e Auditoria de Sistemas – UNIBAN - Thiago Bordini
100
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO No Poder Executivo da Administração Pública do Estado de Mato Grosso, através de resoluções do COSINT: Políticas e Diretrizes da Segurança da Informação Estadual
(Res. 003/2010)
Norma de Segurança Estadual para Acesso à Informação
(Res. 008/2010)
Procedimento para concessão e bloqueio de acesso Procedimento para manter Termo de Responsabilidade e Sigilo Norma de Segurança para Uso do Correio Eletrônico Corporativo Norma de Segurança de Acesso à Internet
(Res. 009/2011)
(Res. 010/2011)
Norma de Segurança para Administração de Senhas
(Res. 011/2011) 102
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Organização da Segurança da Informação
103
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO Em que nível se enquadra a segurança da informação em uma organização?
Estratégico Tático Operacional
104
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO Um modelo ...
Alta Administração Comitê Multidisciplinar Gestor Segurança Informação
Gestores Colaboradores 105
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Comitê Multidisciplinar
Recursos Humanos
Assessoria Jurídica
Exemplo de formação de um Comitê de Segurança
106
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Alta Administração
Gestor Segurança da Informação
Gestores
Colaboradores
Comitê Multidisciplinar
Gestores
Gestores
Colaboradores
Colaboradores 107
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Classificação da Informação
108
CLASSIFICAÇÃO DA INFORMAÇÃO
“A informação sempre tem valor. Se você não o souber, sempre há alguém que imagina o quanto ela vale; e você pode ficar sabendo somente quando for tarde demais.” Caruso&Steffen
109
CLASSIFICAÇÃO DA INFORMAÇÃO
• A Classificação da Informação permite identificar o grau de proteção necessário baseado no valor da informação.
•Tal proteção designa-se a evitar destruição, modificação e/ou revelação não autorizada.
Disponibilidade
Integridade
Confidencialidade
110
CLASSIFICAÇÃO DA INFORMAÇÃO O que é? É o processo de identificar os níveis apropriados de proteção à informação, a partir de critérios bem definidos, garantindo a sua
confidencialidade, integridade e disponibilidade. Por que? Permite a proteção adequada às informações. A Classificação da informação formalizada e instituída evita equívocos por subjetividade nas
medidas de proteção das informações de uma organização.
111
CLASSIFICAÇÃO DA INFORMAÇÃO Exemplo Níveis de Confidencialidade ou Sensibilidade: Nível
Critérios
Confidencial informações que, em razão de lei, interesse público ou para a preservação de direitos individuais, devam ser de conhecimento reservado e, portanto, requeiram medidas especiais de segurança e salvaguarda. Restrita
informações que, por sua natureza, só podem ser divulgadas a grupo restrito de pessoas;
Uso interno
informações que, por sua natureza, são de interesse exclusivo da organização;
Pública
Todas as demais informações.
112
CLASSIFICAÇÃO DA INFORMAÇÃO A proteção da informação deve considerar todos os aspectos de manipulação, tais como: Controle de cópia Armazenamento
Transporte interno Transporte externo Transmissão via linha telefônica ou fax Transmissão por redes de comunicação Descarte
113
CLASSIFICAÇÃO DA INFORMAÇÃO É BOM LEMBRAR .....
Valor da Informação
Custo da Proteção
Custo X Benefício 114
CLASSIFICAÇÃO DA INFORMAÇÃO Instrumentos para instituição da Classificação da Informação:
Diretrizes
Normas
Procedimentos
• Política e Diretrizes para Classificação da Informação • Norma de Segurança para Classificação da Informação
• Instruções para Proteção da Informação
115
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Gestão de Risco
116
GESTÃO DE RISCOS
“O maior risco é crer que não há riscos.” Caruso&Steffen
117
GESTÃO DE RISCOS
Prática preventiva;
Consiste em:
Reconhecer os potenciais riscos sobre determinado objeto (contexto) que se quer proteger,
Mensurar a capacidade desses riscos em causar danos e a severidade dos possíveis danos,
Tratar esses riscos preventivamente, modificando-o para um nível
aceitável.
Referência: ABNT NBR ISO 31000 Gestão de riscos – Princípios e diretrizes 118
GESTÃO DE RISCOS
Ambiente, Sistema, Projeto, Serviço
Determinar o contexto
Acompanhamento dos riscos
Analisar os riscos
Ameaças, Vulnerabilidades, Controles, Impactos, Probabilidade
• Grandeza (Quantitativa ou Qualitativa) • Urgência
Tratar os riscos
Avaliar os riscos
• Aceitar • Evitar • Minimizar o impacto • Diminuir a probabilidade • Transferir ou compartilhar
119
carpete
120
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Plano de Continuidade do Negócio
121
PLANO DE CONTINUIDADE DO NEGÓCIO
“… depois, não adianta chorar o leite desrramado”. 122
PLANO DE CONTINUIDADE DO NEGÓCIO FATOS ... Dentre as empresas que sofrem grandes incidentes sem possuir um plano:
40% não sobrevivem 40% encerram suas atividades em 18 meses
12% encerram suas atividades em 5 anos 8 % sobrevivem Fonte: Safetynet/Guardian IT
123
PLANO DE CONTINUIDADE DO NEGÓCIO PCN é um conjunto de planos que se complementam, oferecendo uma solução completa para a continuidade dos
negócios essenciais numa situaçao de falha ou interupção nos componentes que suportam os principais processos. Modulo Security
Tem o foco na continuidade das funções vitais do negócio; Geralmente contém o plano de recuperação de desastres e o plano
de contingência TI; Convém ter o plano de gerenciamento de crise Fonte: ABNT NBR 15999-1 e 2 Gestão de Continuidade de Negócio 124
PLANO DE CONTINUIDADE DO NEGÓCIO
Plano de Contingência
Plano de Recuperação de Desastre
Garante a continuidade
Recupera / restaura os
Operacional dos Processos
componentes que suportam os
de Negócios Vitais
Processos de Negócios
Gerenciamento de Crise
Coordena ações, minimiza perdas, salva vidas, estabelece portavoz, ...
125
PLANO DE CONTINUIDADE DO NEGÓCIO
126
PLANO DE CONTINUIDADE DO NEGÓCIO
Tinha PCN ???
127
PLANO DE CONTINUIDADE DO NEGÓCIO Um bom PCN evita a falsa sensação de segurança.
128
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Desenvolvimento de Pessoas
Segurança da Informação começa e termina em pessoas. 129
DESENVOLVIMENTO DE PESSOAS
130
DESENVOLVIMENTO DE PESSOAS
Só existe uma maneira de manter seguros os negócios de uma organização:
Ter uma força de trabalho consciente e treinada.
COMO? Desenvolvendo uma estratégia para aumentar o nível de consciência da segurança da informação e a habilidade de aplicar os princípios e
conceitos às atividades funcionais É crítico empreender os dois princípios de aprendizagem: CONSCIÊNCIA e CAPACITAÇÃO. 131
DESENVOLVIMENTO DE PESSOAS CONSCIENTIZAÇÃO
Que comportamento a organização espera dos colaboradores ?
CAPACITAÇÃO
Que habilidade(s) a organização quer que seja desenvolvida? 132
DESENVOLVIMENTO DE PESSOAS RESULTADO …
Conscientização
Um profissional que, envolvido com a segurança da informação, se comporta de maneira a proteger informações e ativos e planeja e aplica técnicas de proteção adequadas.
Capacitação
Tudo isso seguindo os princípios e diretrizes de segurança estabelecidos pela organização. 133
Políticas de Segurança
DESENVOLVIMENTO DE PESSOAS Alguns recursos úteis para programas de Conscientização: • Identificação visual (mascote, lema) •Palestras • Gincanas com premiações
• Banners (físicos e digitais) • E-mails • Cartilhas
• Faixas • Brindes com mensagens • e-Boletins…
134
DESENVOLVIMENTO DE PESSOAS
“Uma boa ação pode gerar uma reação em
cadeia até que … uma má ação a anule.” “A segurança da informação começa e termina em PESSOAS.”
135
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Ferramentas de Segurança “Segurança não é um produto que se pode comprar de prateleira, mas que consiste de
políticas, pessoas, processos e tecnologia“ (Kevin Mitinik) 136
FERRAMENTAS DE SEGURANÇA
Tecnologias de Apoio Autenticação
Criptografia
Tecnologias Preventivas e Detectivas Firewall Anti-Malwares IDS VPN
137
FERRAMENTAS DE SEGURANÇA Autenticação É um processo que verifica, a partir de uma identidade digital, se o usuário possui o direito de acesso a
um sistema, um
computador ou um ambiente. Pode ser baseada em um ou na combinação dos seguintes fatores: Algo que o usuário conhece. Algo que o usuário tem
Algo que o usuário é Onde o usuário está 138
FERRAMENTAS DE SEGURANÇA Algumas recomendações para uma boa senha (ISO/IEC 27001): manter a confidencialidade das senhas; evitar anotar senhas; alterar senha sempre que existir qualquer indicação de comprometimento de sua confidencialidade; Selecionar senhas de qualidade
139
FERRAMENTAS DE SEGURANÇA
140
FERRAMENTAS DE SEGURANÇA
As forças armadas dos Estados Unidos utilizaram a senha „00000000‟ para proteger esses computadores durante oito anos (de 1968 a 1976).
Para a sorte dos norte-americanos, na época não havia nenhum hacker esperto o bastante para utilizar um robô de força bruta para quebrar os códigos e causar uma
catástrofe.
141
FERRAMENTAS DE SEGURANÇA Outras Ferramentas de Autenticação
Biometria 142
FERRAMENTAS DE SEGURANÇA Criptografia
• Usada para ”embaralhar” uma determinada informação que deve ser mantida em segredo, protegendo-a do acesso por terceiros não autorizados. • Somente as pessoas autorizadas conseguirão ”desembaralha-la” para ter o conhecimento de seu teor.
143
FERRAMENTAS DE SEGURANÇA
• Uso da tecnologia de criptografia Cifragem / Decifragem ou criptografia/decriptografia Certificação digital
Assinatura Digital
144
FERRAMENTAS DE SEGURANÇA
• Cifragem / Decifragem ou criptografia/decriptografia • dados no computador • dados em pendrive • conteúdos e anexos em e-mails • dados a serem trafegados em redes inseguras (internet)
confidencialidade 145
FERRAMENTAS DE SEGURANÇA http://www.com.br
146
FERRAMENTAS DE SEGURANÇA https://www2.bancobrasil.com.br
147
FERRAMENTAS DE SEGURANÇA • Certificação Digital
autenticidade
Identidade digital de pessoa, organização, equipamento; Emitido por instituição reconhecida como confiável entre as partes; Utilizado para autenticar a identidade das partes em um transação digital
148
FERRAMENTAS DE SEGURANÇA
• Assinatura Digital
Autenticidade e integridade
• Utiliza o certificado digital do signatário • A assinatura digital garantia a integridade do conteúdo e autenticidade
do signatário. Vincula o conteúdo do arquivo com a assinatura.
• A assinatura digital gerada através de certificado digital emitido por entidade da ICP-Brasil tem validade legal.
149
FERRAMENTAS DE SEGURANÇA
Indicador de Assinatura Digital Para Criptografar basta clicar
150
FERRAMENTAS DE SEGURANÇA
Outras ferramentas de segurança:
Firewall
Anti-malware
IDS – Sistema de Detecção de Intrusão
VPN – Virtual Private Network
151
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Segurança Física
152
SEGURANÇA FÍSICA Perímetros de Segurança
Consiste em isolar áreas com diferentes níveis de risco e criticidade
Segurança em camadas
Deve-se considerar os riscos de fora para dentro
Controle de Acesso Físico
Prover segurança de acesso a áreas delimitadas
salas de computadores, almoxarifado, sala de máquinas, arquivo geral, ...
153
SEGURANÇA FÍSICA
154
SEGURANÇA FÍSICA Recomendações sobre controle de Acesso Físico:
A entrada de pessoas em áreas de segurança deve ser
controlada para que apenas pessoas autorizadas tenham acesso.
Controles: •
Registro da data e hora da entrada e saída de visitantes
•
As permissões de acesso devem ser concedidas somente para finalidades específicas e autorizadas
•
O acesso a áreas em que são processadas ou armazenadas informações sensíveis deve ser restrito às pessoas autorizadas;
•
Funcionários, fornecedores e terceiros, e todos os visitantes, devem possuir alguma forma visível de identificação 155
SEGURANÇA FÍSICA Infraestrutura de Utilidades
Energia elétrica, abastecimento de água, tratamento de esgotos e ar-
condicionado;
Exige manutenções regulares para assegurar seu funcionamento correto;
Recomenda-se o uso de UPS (Uninterruptible Power Supply) para
suportar as paradas e desligamento dos equipamentos. O sistema mais comum é o no-break.
Deve ser considerado o emprego de um gerador de emergência caso seja
necessário para o negócio.
156
SEGURANÇA FÍSICA Circuito Fechado de TV O sistema de circuito fechado de TV mantém a vigilância constante sobre os pontos mais críticos.
Para realização do monitoramento sem riscos legais:
Manter sempre aviso em especial na entrada do recinto
Conteúdo das filmagens só poderá ser transcrito e utilizado em face de
investigação
Conteúdo das filmagens deve ter controle de acesso rígido.
Treinamento específico aos responsáveis pela análise das imagens
Também se deve observar para que não haja exposição do colaborador ao ridículo, tampouco gerar algum tipo de perseguição (colocar a câmera vigiando apenas determinada pessoa e não todo o ambiente). 157
SEGURANÇA FÍSICA Segurança Física em Equipamentos
Algumas considerações:
Posicionamento do monitor de maneira a evitar visualização de informações por pessoas não autorizadas;
Controles contra furtos e sabotagens;
Inibir comidas ou bebidas próximas a equipamentos;
Condições ambientais: temperatura, umidade, poeira, gazes;
Cabos de segurança para laptops. 158
SEGURANÇA FÍSICA Segurança contra Fogo
Precauções:
Somente equipamentos em funcionamento devem ser mantidos ligados;
Não se deve permitir qualquer atividade que produza fumaça ou qualquer gás em recinto de instalação sensível;
Antes da saída de pessoal de instalação sensível:
Fechar todas as portas e aberturas entre os diversos compartimentos;
Papéis e sucatas de papel devem ser recolhidos e removidos;
Retirar da energia equipamentos que não necessitam ficar ligados;
Verificar se sistema de combate e prevenção de incidente está
operante;
Plano e Treinamento contra incêndio. 159
SEGURANÇA FÍSICA Segurança contra Fogo
9.
Classes de Incêndio: Classe A – combustíveis sólidos comuns; queimam em superfície e em profundidade. Ex.: papel,madeira, tecido, fibras. Classe B – combustíveis inflamáveis derivados do petróleo e outras fontes; queimam na superfície.Ex.: gasolina, alcool, querosene, parafina, acetileno. Classe C – equipamentos elétricos e eletrônicos com energia.Ex.: máquinas, motores, instalações elétricas. Classe D – metais pirofóricos; requerem agentes extintores específicos; se inflamam em contato com o ar. Ex.: magnésio, sódio, potássio, pó de zinco. 160
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
ASPECTOS LEGAIS
161
ASPECTOS LEGAIS Melhores Práticas • Educação • Políticas, normas e termos de responsabilidade
• Monitoramento • Os recursos de TI são do empregador • Deve estar claro aos empregados de que não há privacidade no uso dos recursos da empresa (e-mails corporativos, acesso Internet) • Os empregados devem estar cientes dos monitoramentos a que
estão submetidos (Internet, e-mails, filmagem, ...) • Medidas disciplinares
162
IV. GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Ciclo PDCA
163
PLANEJAR
AGIR
Planos de Segurança: • Revisão Política e Normas • Programa de educação / capacitação • Implementação controles de segurança • Definição das metas e indicadores • Planejar monitoramento da conformidade, gestão de risco e gerenciamento dos incidentes
• Tratar Incidentes • Identificar causas • Responsabilizar • Tratar riscos urgentes • Tratar desvios nos indicadores
Gestão da Segurança da Informação • Classificar incidentes • Analisar e Avaliar Riscos • Analisar medidas dos indicadores • Analisar desvios de conformidade • Novos requisitos de segurança? • Novos requisitos legais?
VERIFICAR
Execução dos Planos
164 EXECUTAR
OBRIGADA! SORAIA DE FELICE
[email protected] [email protected]
165