Baixe o app para aproveitar ainda mais
Prévia do material em texto
30/7/2010 1 Professor - Ricardo Leocádio 1Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Políticas de Segurança da Informação • Neste capítulo iremos ver o conceito sobre as políticas de segurança da informação, importância e relação com o negocio . Objetivos • Apostila de acompanhamento da disciplina, das páginas 33 a 42 Documentos Professor - Ricardo Leocádio 2Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas O que é Política de Segurança Política de segurança é o conjunto de decisões que coletivamente determinam a postura de uma organização em relação à segurança. Mais precisamente, uma política de segurança determina os limites aceitáveis de comportamento e as medidas a serem tomadas no caso da sua violação. Uma política de segurança basicamente define o que é permitido e o que é proibido tanto no acesso aos dados quanto na utilização dos serviços oferecidos. • É um conjunto de critérios e soluções para problemas tecnológicos e humanos. • É o primeiro passo efetivo para resolver qualquer esforço de segurança da informação. • Existe para evitar problemas. • É o ponto de partida para a implementação das medidas de segurança e controles necessários à proteção dos ativos de informação. Leitura obrigatória desse conteúdo. Página 33 30/7/2010 2 Professor - Ricardo Leocádio 3Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Políticas de segurança, o que fazem Políticas de segurança Diretrizes Normas Procedimentos e instruções operacionais Políticas de segurança Atribuem direitos e responsabilidades às pessoas responsáveis por lidar com as informações da corporação. É uma hierarquia de documentos que abordarão e orientarão as ações de implementações futuras de negócios, baseados em tecnologias, processos e pessoas . Leitura obrigatória desse conteúdo. Página 34 Professor - Ricardo Leocádio 4Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Elaborar Diretrizes e Normas, gerando, desta forma, mecanismos tais como procedimentos, padrões e controles, que respaldem e orientem os funcionários da instituição, quanto ao tratamento ideal a ser dado as informações e os ativos que suportam as mesmas, garantindo dessa forma a confidencialidade, integridade e disponibilidade das informações da organização. As Diretrizes e Normas elaboradas devem estar em conformidade com as definições de segurança da NBR/IEC 27002 ou outra metodologia escolhida. Políticas de segurança - Objetivos 30/7/2010 3 Professor - Ricardo Leocádio 5Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Políticas de segurança - Objetivos Professor - Ricardo Leocádio 6Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas • Obter sucesso na proteção de seus ativos. • Obter conformidade legal • Adquirir "domínio tecnológico da segurança", sendo capaz de estabelecer regras para especificar, projetar e padronizar produtos e rotinas, além de assegurar de que o que está sendo executado pelas pessoas corresponde ao que está registrado (treinamento e auditoria), e • Assegurar os objetivos da segurança quanto à monitoração e ao gerenciamento. • Obter comprometimento gerencial • Permitir o uso mais racional da tecnologia • Disseminar a cultura de Segurança • Formalizar processos • Incrementar o nível de segurança do ambiente Políticas de segurança – Valor agregado 30/7/2010 4 Professor - Ricardo Leocádio 7Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Diretrizes Normas Gerais e Normas Específicas Procedimentos e Instruções de Trabalho •Regras de alto nível •Poucas mudanças • Vinculadas a: •Estrutura organizacional •Processos •Tecnologia • Algumas mudanças •Etapas operacionais para alcançar uma meta •Muitas mudanças Políticas de segurança - Estrutura Professor - Ricardo Leocádio 8Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Diretrizes: São regras de alto nível que devem ser seguidas, para que o principal patrimônio - a informação - tenha o nível de segurança exigido. Normas: São descrições gerais do que fazer para se cumprir a política. Podem ser separadas por ambiente operacional e direcionadas para gestores e usuários. Procedimentos e Instruções: São instruções de como operacionalizar as normas, padronizando as ações e orientando a cada um o que fazer. Diretrizes, Normas, Procedimentos e Instruções 30/7/2010 5 Professor - Ricardo Leocádio 9Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Diretrizes, Normas, Procedimentos e Instruções Leitura obrigatória desse conteúdo. Página 35 Professor - Ricardo Leocádio 10Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Políticas de segurança - Diretrizes Uma Diretriz é tipicamente um documento que descreve requerimentos específicos ou regras que devem ser seguidas. Por exemplo, uma Diretriz de uso de recursos computacionais deveria cobrir as regulamentações necessárias para uso apropriado de recursos de tecnologia da informação e suas facilidades. 30/7/2010 6 Professor - Ricardo Leocádio 11Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Diretrizes (exemplo) • Os funcionários devem ter acesso físico e lógico liberado somente aos locais e recursos necessários ao desempenho de suas atividades e de conformidade com os interesses da empresa. • Somente é permitido o uso de recursos homologados, protegidos, inventariados e autorizados pela empresa. Professor - Ricardo Leocádio 12Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Políticas de segurança - Normas Uma Norma é tipicamente uma coleção sistematizada de procedimentos específicos ou requerimentos que devem ser seguidos por quaisquer indivíduos numa organização. Abordam os detalhes das diretrizes. São descrições ou indicações de uma conduta aceitável para estabelecimento de melhores práticas. As normas devem conter as punições aplicáveis em caso de desobediência às condutas aceitáveis. 30/7/2010 7 Professor - Ricardo Leocádio 13Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Políticas de segurança - Normas • Podem ser elaboradas para cada ambiente existente e direcionadas para dois públicos: – Normas para quem cuida – Normas para quem usa • Na elaboração as regras devem ser numeradas de forma concatenada (1., 1.1, 1.1.1, etc) para facilitar a pesquisa. Professor - Ricardo Leocádio 14Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Normas (Exemplo: SEGURANÇA LÓGICA) Técnicos (Quem cuida) 1 – Segurança Lógica 1.1 Acesso Remoto 1.1.1 - O acesso remoto deve ser controlado e registrado em arquivo de log Usuários (Quem usa) 1 – Segurança Lógica 1.1 Acesso Remoto 1.1.1 - A liberação do uso de aplicações remotas e transmissões de dados, só será efetivada após aprovação do Gestor da Informação, com prévio conhecimento da Diretoria de Informática. 30/7/2010 8 Professor - Ricardo Leocádio 15Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Procedimentos ou instruções operacionais Os Procedimentos são tipicamente recomendações de como fazer. Eles existem para que todos possam cumprir aquilo que foi estabelecido nas diretrizes e para que administradores de sistemas possam configurar seus sistemas de acordo com as necessidades do negócio. Por exemplo, deve haver um procedimento específico que descreva como e quais os requisitos necessários para implementar e proteger um sistema Windows num segmento específico de rede. Profissionais incumbidos desta tarefa deverão seguir estritamente o que rege este documento no momento da instalação de um sistema Windows na Internet, por exemplo. Professor - Ricardo Leocádio 16Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Procedimentosou instruções Operacionais • Traduzem ações em situações interdepartamentais e/ou inter-pessoais. • Seus objetivos são unificar (será sempre feito da mesma forma) e clarear (cada um sabe o que fazer). • Pode ser baseado no método 5W1H (who, what, where, when, why, how). 30/7/2010 9 Professor - Ricardo Leocádio 17Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Diretrizes Normas Procedimentos Instruções Estratégico “poucas mudanças” •Mandatória (“cumpra-se”) •Regras de alto nível •Definem o curso de ação Tático “Algumas mudanças” Dependem de: •Estrutura organizacional •Processos •Tecnologia Operacional “muitas mudanças” Etapas operacionais para alcançar uma meta. Professor - Ricardo Leocádio 18Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Uso da Política Usada como referência para: – Definir controle em aplicativos – Estabelecer direitos de acesso – Realizar análise de riscos – Conduzir investigação de crimes por computador – Disciplinar usuários sobre violações de segurança Como causa impactos, deve ser: – Clara – Concisa – De acordo com a realidade prática – Aderente a cultura da empresa – Revisada periodicamente 30/7/2010 10 Professor - Ricardo Leocádio 19Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Segundo ISO/IEC 27002, uma política deve conter: – Definição de segurança da Informação – Intenção gerencial – Definição de responsabilidades – Explicação sucinta dos princípios, padrões, requerimentos: • Legislativo e contratual • Educação de segurança • Continuidade de negócios • Conseqüências de violação à política Professor - Ricardo Leocádio 20Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Políticas - Considerações de conteúdo • Políticas definem comportamentos apropriados internamente à organização • Políticas estabelecem o grau de necessidades de uma organização quanto à ferramentas e procedimentos necessários para chegar ao grau de proteção necessário • Políticas definem e comunicam consenso interno • Políticas estabelecem base para ações de correção e resposta a comportamentos inadequados 30/7/2010 11 Professor - Ricardo Leocádio 21Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Políticas - Considerações de conteúdo • Deve tratar aspectos humanos, culturais e tecnológicos • Deve ser desenvolvida em conjunto com os usuários • Ela é sempre “Taylor Made”, ou seja particular para cada contexto • Deve-se considerar sua aplicação levando em consideração as tecnologias disponíveis para a proteção dos recursos ou informações a serem protegidos • Deve ser tratado o grau de confiança que a corporação está disposta a ter com seus pares Professor - Ricardo Leocádio 22Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Políticas - Considerações de impacto • Pessoas vêem políticas como um fator complicador de produtividade e como medidas de controle de comportamento. • Pessoas tem diferentes visões acerca da necessidade de controles de segurança. • Políticas afetam todos na organização. • Pessoas temem que as políticas sejam difíceis de seguir. 30/7/2010 12 Professor - Ricardo Leocádio 23Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas • O apoio à Política de Segurança da Informação é um aspecto fundamental. Deve existir o comprometimento da alta direção para que as regras façam efeito na rotina diária. • Deve ser feito um documento - denominada de Carta do Presidente - onde a alta administração se compromete com a Segurança da Informação e solicita que os empregados e prestadores de serviço a executem. Professor - Ricardo Leocádio 24Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Dez Principais Preocupações na Elaboração da Política de Segurança 1. Estar de acordo com a Cultura Organizacional da Empresa 2. Saber exatamente o que deve ser protegido 3. Quais os riscos em que os ativos estejam vulneráveis 4. Elaborar um documento único que irá nortear toda a Política 5. Indicar uma área ou uma pessoa que será responsável pela elaboração deste documento 30/7/2010 13 Professor - Ricardo Leocádio 25Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Dez Principais Preocupações na Elaboração da Política de Segurança 6. Indicar a periodicidade da Política de Segurança 7. Quais as responsabilidades de cada um na empresa, quanto a Política de Segurança 8. Relação de Custo/Benefício da Política de Segurança 9. Elaborar uma Campanha de Divulgação da Política, conscientizando e treinando cada usuário 10. Ter um bom relacionamento com os usuários da empresa. Professor - Ricardo Leocádio 26Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas • Para uma política ser implementada, ela necessita ser aceita pelas autoridades competentes da organização. No melhor caso, pode ser frustrante a tentativa de implementar uma política de segurança se os gerentes e diretores não se identificarem e reconhecerem os benefícios desta política. • Entender que a responsabilidade pela Segurança é de todos de forma indistinta; • Disseminar e garantir o envolvimento de todos subordinados; • Eliminar as resistências internas, na elaboração e aplicação das políticas e procedimentos; • Fomentar sempre entre os pares, a necessidade das auditorias como uma oportunidade de aprimoramento; • Estabelecer avaliações internas permanentes; • Encaminhar voluntariamente contribuições para aprimoramento dos processos; • Estabelecer a cumplicidade plena. Postura do corpo Gerencial frente à Política 30/7/2010 14 Professor - Ricardo Leocádio 27Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Antes de elaborar a Política • Definir a informação ou recursos a serem protegidos • Especificar as ameaças às quais os recursos estão sujeitos • Especificar as vulnerabilidades que podem ser exploradas pelas ameaças • Definir abrangência e escopo de atuação • Definir quem tem autoridade para sancionar, implementar e fiscalizar o cumprimento da Política • Definir meios de distribuição e forma de divulgação • Definir freqüência de revisão Professor - Ricardo Leocádio 28Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Dicas na elaboração • Políticas devem ser de uso fácil por todos os afetados – Exatidão, clareza e concisão no texto – Frases curtas – Optar pela simplicidade – Evitar informação irrelevante • Políticas devem ser fáceis de ser encontradas e consultadas no dia-a-dia. • Detalhar o que afeta o dia-a-dia do leitor • O texto deve formar uma cadeia lógica • O texto deve fluir, não avançar aos arrancos. 30/7/2010 15 Professor - Ricardo Leocádio 29Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas A prática • A consistência é a chave do sucesso da política. Ela assegura que os usuários não irão considerar a política ilógica ou irracional. A idéia central da sua política de segurança deve refletir o ponto de vista da sua organização em relação ao que são práticas aceitáveis de segurança no âmbito geral da organização. • As discussões sobre política de segurança tendem a ser um assunto dirigido. Estabelecer um foco principal é a maneira mais fácil de identificar – e esclarecer – cada ponto que se deseje abordar. Em alguns casos pode ser aceitável dizer simplesmente: "não é permitido utilizar a Internet para fins que não tenham relação com trabalho…", aqueles que necessitam aderir à política necessitam saber o que "não relativo a trabalho" realmente significa. Professor - Ricardo Leocádio 30Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Impacto nos controles • Um ponto importante que deve estar alinhado com o produto final da política são os controles e métricas necessários à sua implementação e gestão. Este impacto podeser forte na TI dependendo do grau de implementação dos controles em cada empresa e uma avaliação de impactos deve ser feita antes da implantação definitiva das políticas. • Talvez seja necessário implantá-la aos poucos a medidas que amadurecem os controles e métricas necessárias para sua gestão. • Para que a política de segurança receba os seus méritos ela precisa ser implementada. Diretivas como: "cada usuário da rede deve trocar a sua senha a cada 90 dias" não terá efeito até que o sistema operacional seja configurado para expirar e bloquear as contas que excedam o limite estabelecido. 30/7/2010 16 Professor - Ricardo Leocádio 31Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Impacto nos controles • Em uma política de segurança podem ser definidos comportamentos que não podem ser verificados quanto ao seu cumprimento. Criar diretiva como esta, embora seja um ato legal, se ele não puder ser implementado, deve ser evitado. • Os usuários da rede não devem ficar com a impressão de que nada lhes acontecerá se ignorarem a política de segurança por falta de verificação do seu cumprimento pelo organismo responsável. • Se não houver verificação não há como saber se a política está ou não sendo cumprida. Por exemplo, se não houver guardas de trânsito para fiscalizar as rodovias, quantos de nós respeitariam os limites de velocidade ? Professor - Ricardo Leocádio 32Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Impacto nos controles • A incompatibilidade com algumas das diretivas da política de segurança por parte dos funcionários pode levar a um "efeito dominó", onde os empregados podem simplesmente ignorar a existência da política de segurança. Caso seja a primeira vez que você esta implementando uma política de segurança, você deve tomar especial cuidado com as batalhas que escolhe travar. Ou seja, você não necessita verificar 100% do tempo o cumprimento da política – mas deve se certificar que tem a sua disposição os métodos para reportar e monitorar a implementação da política de segurança para saber se ela está sendo cumprida. • Algumas vezes não é suficiente monitorar ativamente todos os aspectos relativos ao cumprimento da política. Tomar cuidados para disseminar tais informações também é um ponto importante. Por exemplo, uma política de segurança é tipicamente considerada privada, por somente afetar aquela determinada instituição. Contudo, ela pode muitas vezes afetar indivíduos fora da organização. Estes pontos da política devem ser tornados públicos, de forma a assegurar o seu cumprimento. Indivíduos e empresas como: fornecedores, clientes e empresas terceirizadas ou contratadas para uma tarefa específica fazem parte desta categoria. 30/7/2010 17 Professor - Ricardo Leocádio 33Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Exemplos de normas para Gestão da Segurança – Diretrizes de Segurança – Carta do Líder – Termo de confidencialidade – Termo de recebimento e uso de senhas – Norma para Acesso à Internet e e-Mail – Norma para Gerenciamento da Rede – Norma para Gerenciamento de Acessos a Usuários – Norma para Controle de Acessos à Rede, à Sistemas Operacionais – Norma para Controle de Acessos à Aplicações e Sistemas – Norma para Gerenciamento de Computação Móvel e Tele-trabalho – Norma para Auditoria de Sistemas – Norma para uso e descarte de informações e mídias – Normas para acessos físicos à áreas críticas Professor - Ricardo Leocádio 34Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Exemplo de normas para Técnicos – Norma Geral para Técnicos – Norma para Administração de Servidores Windows – Norma para Administração de Servidores Unix – Norma para Administração de Roteadores – Norma para Administração de Switches – Norma para Administração de Firewall – Norma para Administração de Estações de Trabalho – Norma para Controle de Informação em Mídias – Norma para Administração da Infra-estrutura – Norma para Administração de Banco de Dados 30/7/2010 18 Professor - Ricardo Leocádio 35Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas • Iniciar a política sem apoiadores nas altas esferas da organização. • Falha no alinhamento da política com os objetivos de controles do negócio e com os controles específicos na TI. Deve-se Alinhar a elaboração das políticas ao negócio, à TI e aos usuário através da criação de um grupo multidisciplinar no projeto. • Ausência de divulgação, comunicação e treinamento aos usuários • Falha na adoção de políticas no início de projetos. A partir do seu estabelecimento, as políticas devem fazer parte da rotina de projetos de TI e impactos devem ser mensurados sempre. Em novas implantações os principais usuários afetados pelas políticas devem ser comunicados. • Ineficiência na gestão das políticas. Ausência de métricas e falta de validação da política ao seu objetivo. Políticas - Erros comuns Professor - Ricardo Leocádio 36Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas As métricas da Política são os indicadores de desempenho da utilização destas e precisam ser especificadas no seu planejamento para que tenhamos uma forma de avaliar se os objetivos de controle estão sendo cumpridos e se os controles estão aderentes ao que se planejou. São utilizadas para definir metas a serem alcançadas e avaliarmos medidas a serem adotadas em caso de não conformidade. Muitas vezes em virtude dos resultados obtidos com estas métricas, precisaremos flexibilização ou tornar mais rígida a política. Métricas da Política 30/7/2010 19 Professor - Ricardo Leocádio 37Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Métricas da Política Os resultados da efetividade das políticas são melhor avaliados quando as métricas são extraídas de processos automatizados de controle. Com eles as organizações garantem um processo repetitivo e menos sujeito a erros. A automação destes processos deve ser feito preferencialmente via ferramentas que traduzem menor possibilidade de erros humanos no trato dos indicadores de segurança. Exemplo: A política é a regra do jogo. Se a regra do jogo cita a necessidade de um árbitro, ele é necessário. Se não houver um árbitro, vira bagunça. A necessidade do árbitro é um objetivo de controle da política, o árbitro é o controle. O resultado da atuação do árbitro é a métrica. A métrica define a necessidade ou não de mudança no controle e este deve indicar as punições necessárias em caso de descumprimento. Professor - Ricardo Leocádio 38Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Acompanhamento e gestão • Cultura – O treinamento de todas as pessoas deve ser constante, de tal forma a atualizar as pessoas da empresa nos conceitos e normas da segurança, bem como sedimentar a consciência da segurança na cabeça das pessoas. • Recursos – Humanos, financeiros e ferramentas de automação. Parte da segurança pode ser automatizada ou melhor controlada com ferramentas específicas, tais como backup obrigatório programado, controle de acesso com log de execução, etc. 30/7/2010 20 Professor - Ricardo Leocádio 39Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Acompanhamento e gestão • Administração – A implementação da Política de Segurança deve ser constantemente monitorada. – É necessário efetuar um ciclo de manutenção para acertos na padronização decorrentes de problemas encontrados, reclamações de funcionários ou resultados de auditoria. – É necessário efetuar um ciclo de melhorias para adaptar a segurança às novas tecnologias, às mudanças administrativas e ao aparecimento de novas ameaças. Professor - Ricardo Leocádio 40Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Uso aceitável de E-mail • Exponha com clareza as implicações legais do uso não permitido do e-Mail • Não devem haver exceções quanto ao usoaceitável. Se for necessário deixe claro quem está fora destas regras. • Perdas de funcionalidades soam como restrição pessoal. A comunicação é primordial antes da implementação de qualquer limitação. • Todos devem atestar seu “De acordo” com as normas de uso aceitável. 30/7/2010 21 Professor - Ricardo Leocádio 41Contato- antonio.gomes@prof.unibh.br Auditoria e Segurança de Sistemas Ter somente a Política de Segurança escrita não funciona! Tem que haver compromisso de todos os funcionários
Compartilhar