Baixe o app para aproveitar ainda mais
Prévia do material em texto
GESTÃO DE SEGURANÇA DA INFORMAÇÃO Prof. Renato GuimarãesProf. Renato Guimarães Aula 1: Aula 1: Introdução à Segurança da Informação GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação CONTEÚDO PROGRAMÁTICO • Introdução • Princípios fundamentais da Segurança da Informação Fatores que impactam na segurança GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação DEFINIÇÃO • Segurança de Informações: Trata-se da proteção, dispensada aos dados e informações, contra ações não autorizadas relativas à divulgação, transferência, modificação ou destruição destes, sejam estas ações intencionais ou acidentais. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação OUTRA DEFINIÇÃO • Condição em que pessoas, instalações, equipamentos, sistemas básicos, sistemas aplicativos, dados, informações e outros recursos significativos encontram-se a salvo de desastres ou ameaças naturais, bem como de desastres ou ameaças causados pelo homem. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação SOBRE O PRISMA ORGANIZACIONAL • Segurança de Informações está relacionada à proteção dos ativos. Todas as informações processadas por uma organização, bem como os equipamentos e sistemas utilizados para o processamento destas, representam ativos valiosos, no sentido em que a continuidade do funcionamento da organização pode depender da preservação destes ativos. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação SOBRE O PRISMA LEGAL • Garantir a exatidão, a integridade e a disponibilidade das informações da organização (ex: para o fisco); • Garantir a confidencialidade e a privacidade dos dados mantidos relativos a seus clientes, fornecedores e funcionários (ex: bancos) GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação ATIVOS • Um ativo é qualquer coisa que tenha valor para a organização ou em uma outra visão são aqueles que produzem, processam, transmitem ou armazenam informações. Classificação: -Tangíveis: Aplicativos, Equipamentos, Usuários -Intangíveis: Marca, Imagem, Confiabilidade GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação PROTEÇÃO Classificação: -Prevenção: Evita que acidentes ocorram -Desencorajamento: Desencoraja a prática de ações -Monitoramento: Monitora estado e funcionamento -Detecção: Detecta a ocorrência de incidentes GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação PROTEÇÃO -Limitação: Diminui danos causados -Reação: Reage a determinados incidentes -Correção: Repara falhas existentes -Recuperação: Repara danos causados por incidentes GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação PRINCÍPIOS • Confidencialidade - Trata-se da manutenção do segredo, do sigilo ou da privacidade das informações; - Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação • Integridade - Trata-se da manutenção das informações tal e qual tenham sido geradas; - Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada. PRINCÍPIOS GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação • Disponibilidade - Trata-se da possibilidade de acesso contínuo, ininterrupto, constante e atemporal às informações; - Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. PRINCÍPIOS GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação FATORES QUE IMPACTAM NA SEGURANÇA Valor: Importância do ativo para a organização. Ameaça: Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação Vulnerabilidade: A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. São as vulnerabilidades que permitem que as ameaças se concretizem. O que irá determinar se uma invasão de computador pode ou não afetar os negócios de uma empresa é a ausência ou existência de mecanismos de prevenção, detecção e eliminação, além do correto funcionamento destes mecanismos. FATORES QUE IMPACTAM NA SEGURANÇA GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação Impacto: Tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas , que a concretização de uma determinada ameaça causará; Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça. FATORES QUE IMPACTAM NA SEGURANÇA GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação • Exemplo – assalto a residência Ativos: Objetos existentes na casa. Vulnerabilidade: Porta com fechadura simples. Ameaça: Pode haver um arrombamento e assalto. Impactos: Perda de conforto, necessidade de comprar tudo de novo. Contra-medidas: Fechadura quádrupla, portas e janelas blindadas, alarme, cachorro, vigia, seguro, etc. FATORES QUE IMPACTAM NA SEGURANÇA GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 1: Introdução à Segurança da InformaçãoAula 1: Introdução à Segurança da Informação • Desastres naturais: tempestades, inundações, incêndio, etc. • Operação incorreta : erro do usuário ou administrador do sistema. • Ataque ao sistema: visando algum lucro. TIPOS DE PROBLEMAS DE SEGURANÇA GESTÃO DE SEGURANÇA DA INFORMAÇÃO Prof. Renato GuimarãesProf. Renato Guimarães Aula 2: O ciclo de vida da InformaçãoAula 2: O ciclo de vida da Informação GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação CONTEÚDO PROGRAMÁTICO • Por que proteger a Informação? • Quando proteger a Informação? O ciclo de vida da Informação Classificação do nível de segurança GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação VALOR DA INFORMAÇÃO Dados: São compostos por fatos básicos, como o nome e a quantidade de horas em uma semana de um funcionário. Informação: É um conjunto de fatos organizados de modo a terem valor adicional, além do valor dos fatos propriamente ditos. Conhecimento: É a consciência e entendimento de um conjunto de informações e formas de torná-las úteis para apoiar uma tarefa específica ou tomar uma decisão. GESTÃO DESEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação VALOR DA INFORMAÇÃO Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação CONCEITO DE VALOR - Valor de uso : Baseia-se na utilização final que se fará com a informação; - Valor de troca : É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda); - Valor de propriedade : Reflete o custo substitutivo de um bem; - Valor de restrição : Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação UM EXEMPLO Desenvolvimento de programa para gerenciamento de folha de pagamento. - Valor de uso - gerenciar dados da folha de pagamento dos funcionários de uma empresa; - Valor de troca - Troca do trabalho pela experiência adquirida; - Valor de Propriedade - Aquisição do programa para a empresa; - Valor de restrição - Restringir o uso do programa ao departamento financeiro da empresa GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação POR QUE PROTEGER? • Todas as Empresas Precisam de Segurança de Informações O que está em jogo: –Perda de patrimônio (destruição de ativos); –Perda de operações (transações não efetuadas); –Danos à imagem corporativa (sensação de insegurança para seus clientes). GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação • Dados importantes para a organização podem ser: - Divulgados indevidamente (deixando de ser confidenciais), destruídos (deixando de estar disponíveis) ou corrompidos (deixando de ser íntegros); - Roubados por outras organizações, visando compartilhar a vantagem competitiva representada por estes; - Apagados ou modificados por outras organizações, de forma a anular esta vantagem competitiva. POR QUE PROTEGER? GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação • A importância aumenta para organizações que: -Lidam com informações confidenciais, tais como bancos ou indústria química; governos etc; -Lidem com informações que permitam a distribuição eletrônica de fundos e de ativos, tais como empresas de cartão de crédito; -Apresentam ativos muito líquidos, tais como instituições financeiras em geral. POR QUE PROTEGER? GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação QUANDO PROTEGER? Armazename nto Manuseio Transporte Descarte No Ciclo de vida da Informação GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação QUANDO PROTEGER? • Manuseio: Momento em que a informação é criada e manipulada, seja ao folhear um maço de papéis, ao digitar informações recém geradas em uma aplicação internet, ou ainda, ao utilizar sua senha de acesso para autenticação. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação QUANDO PROTEGER? • Armazenamento: Momento em que a informação é armazenada, seja em um banco de dados compartilhado, em uma anotação de papel posteriormente colocado em um arquivo de metal, ou ainda, em um pendrive depositado em uma gaveta, por exemplo. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação QUANDO PROTEGER? • Transporte: Momento em que a informação é transportada, seja ao encaminhar informações por correio eletrônico (e-mail), ao postar um documento via aparelho de fax, ou ainda, ao falar ao telefone uma informação confidencial, por exemplo. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação QUANDO PROTEGER? • Descarte: Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador de mesa, ou ainda, ao descartar um CD-ROm usado que apresentou falha na leitura. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação ONDE PROTEGER? FÍSICOS TECNOLÓGIC OS HUMANOS Agenda Sistema Funcionário Sala E-mail Parceiro Arquivo Servidor Secretária Cofre Notebook Porteiro Nos Ativos: GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação DO QUE PROTEGER? FÍSICAS TECNOLÓGIC AS HUMANAS Incêndio Vírus Sabotagem Inundação Bug software Fraude Curto circuito Defeito técnico Erro humano Apagão Invasão Web Descuido Ameaças: GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação CLASSIFICAÇÃO NÍVEL SEGURANÇA Informação sem interesse Lixo Vantagem competitiva Informação potencial Informação mínima Gestão Informação crítica Sobrevivência GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação Informação crítica: Destina-se à sobrevivência da organização para atender prioritariamente às áreas operacionais.Ganha força a crença de que a ciência é a expressão de uma verdade absoluta, aumentando a confiança na ciência como fonte, senão única, privilegiada, do saber “verdadeiro e universal”. CLASSIFICAÇÃO GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação Informação mínima: é destinada originalmente aos gerentes de nível intermediário para a realização de atividades de gestão organizacional. Informação potencial: é dirigida principalmente para a direção da organização, apontando possíveis vantagens competitivas a serem conquistadas. CLASSIFICAÇÃO GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação Informação sem interesse, ou lixo: É considerada uma parcela negativa inversamente proporcional à sua quantidade, em uma hipotética equação de valor para a finalidade da informação organizacional, e pode ser associada ao conceito de sobrecarga de informação. A relevância se manifesta através do impacto que a presença ou ausência da informação pode gerar no ambiente. CLASSIFICAÇÃO GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação Irrestrita: A informação é pública, podendo ser utilizada por todos sem causar danos à organização. Interna: Esta informação é aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado. Entretanto, caso esta informação seja disponibilizada ela não causa danos sérios à organização. NÍVEL DE SEGURANÇA GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação Confidencial: Informação interna da organização cuja divulgação pode causar danos financeiros ou à imagem da organização. Essa divulgação pode gerar vantagens a eventuais concorrentese perda de clientes. Secreta: Informação interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro. Esta é a informação considerada vital para a companhia. NÍVEL DE SEGURANÇA GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 2: O ciclo de vida da informaçãoAula 2: O ciclo de vida da informação Para definir o nível de segurança da informação de cada setor da organização a pessoa mais indicada é o próprio responsável (Custodiante) daquele setor. Ele é quem certamente conhece melhor as informações do seu setor assim como as necessidades de confidencialidade, integridade e disponibilidade do setor. QUEM DEFINE O NÍVEL DE SEGURANÇA GESTÃO DE SEGURANÇA DA INFORMAÇÃO Prof. Renato GuimarãesProf. Renato Guimarães Aula 3: Vulnerabilidades de Aula 3: Vulnerabilidades de Segurança GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança CONTEÚDO PROGRAMÁTICO • O que são Vulnerabilidades • Classificação das Vulnerabilidades Análise das Vulnerabilidades Teste de Vulnerabilidades GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança IMPORTANTE O profissional da área de Tecnologia da Informação atua diretamente no planejamento, implementação e implantação de soluções de TI nas organizações. Desta forma, é imprescindível que entenda o que é vulnerabilidade dentro do contexto organizacional, os principais tipos existentes e as principais ferramentas de análise de vulnerabilidade de segurança. Afinal segurança 100% não existe. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança O QUE SÃO VULNERABILIDADES Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança Fragilidade presente ou associada a ativos que manipula ou processam informações que, ao ser explorada por ameaças, permitem a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios de segurança da informação(CID). Uma ameaça é um possível perigo que pode explorar uma vulnerabilidade. O QUE SÃO VULNERABILIDADES GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança CLASSIFICAÇÃO • Físicas: - Instalações prediais fora dos padrões de engenharia; - Salas de servidores mal planejadas; - Falta de extintores, detectores de fumaça e de outros recursos para detecção e combate a incêndio. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança • Naturais: - Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia); - Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura). CLASSIFICAÇÃO GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança • Dados importantes para a organização podem ser: - Divulgados indevidamente (deixando de ser confidenciais), destruídos (deixando de estar disponíveis) ou corrompidos (deixando de ser íntegros); - Roubados por outras organizações, visando compartilhar a vantagem competitiva representada por estes; - Apagados ou modificados por outras organizações, de forma a anular esta vantagem competitiva. CLASSIFICAÇÃO GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança • Hardware: -Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso); -Erros durante a instalação; -A ausência de atualizações de acordo com as orientações dos fabricantes dos programas utilizados; -A conservação inadequada dos equipamentos. CLASSIFICAÇÃO GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança • Software: - Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários; - A configuração e a instalação indevidas dos programas de computador/sistemas operacionais, podem levar ao uso abusivo dos recursos por parte de usuários mal-intencionados. CLASSIFICAÇÃO GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança • Mídias de armazenamento: - Discos, fitas, relatórios e impressos em geral podem ser perdidos ou danificados; - Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas; - Erro de fabricação. CLASSIFICAÇÃO GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança • Comunicações: -Acessos não autorizados ou perda de comunicação; -A ausência de sistemas de criptografia nas comunicações ; -A má escolha dos sistemas de comunicação para envio de mensagens de alta prioridade da empresa. CLASSIFICAÇÃO GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança • Humanas: - Falta de treinamento; - Compartilhamento de informações confidenciais; - Falta de execução de rotinas de segurança; - Erros ou omissões; - Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.). CLASSIFICAÇÃO GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança Vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando para tanto de um agente causador ou uma condição favorável que são as ameaças. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança ANÁLISE DAS VULNERABILIDADES A Análise das vulnerabilidades tem por objetivo verificar a existência de falhas de segurança no ambiente de TI das empresas. Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informação das empresas. É realizada através de um levantamento detalhado do ambiente computacional da empresa, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços que fornece ou desempenha. Esta análise compreende todos os ativos da informação da empresa. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança ANÁLISE DAS VULNERABILIDADES Tecnologias: -Software e hardware usados em servidores, estações de trabalho e outros equipamentos pertinentes, como sistemas de telefonia, rádio e gravadores; GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança ANÁLISE DAS VULNERABILIDADES Processos: -Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a informação é compartilha entre os setores da organização. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança ANÁLISE DAS VULNERABILIDADES Pessoas: -As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidadesde SegurançaAula 3: Vulnerabilidades de Segurança ANÁLISE DAS VULNERABILIDADES Ambientes: -É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia. Este item é responsável pela análise de áreas físicas. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança TESTE DE VULNERABILIDADE -As portas do protocolo TCP/IP que encontram-se desprotegidas (abertas); -Os sistemas operacionais utilizados; -Patches e service packs (se for o caso) aplicados; -Aplicativos instalados; GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança TESTE DE VULNERABILIDADE -Bugs específicos dos sistemas operacionais/ aplicativos; -Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos; -Falhas nos softwares dos equipamentos de comunicações; GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança TESTE DE VULNERABILIDADE -Fraquezas nas implementações de segurança dos equipamentos de comunicação; -Fraqueza de segurança/falhas nos scripts que executam nos servidores web; -Falhas nas implementações de segurança nos compartilhamentos de rede entre os sistemas e pastas de arquivos. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança IMPORTÂNCIA TESTE DE VULNERABILIDADE -Identificar e corrigir vulnerabilidades de rede; -Proteger a rede de ser atacada por invasores; -Obter informações que auxiliam a prevenir os problemas de segurança; -Obter informações sobre vírus; GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 3: Vulnerabilidades de SegurançaAula 3: Vulnerabilidades de Segurança IMPORTÂNCIA TESTE DE VULNERABILIDADE -Conhecer as fragilidades de redes de computadores; -Conhecer os alertas de segurança antes de um ataque de rede; -Conhecer como recuperar uma rede após um ataque. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Prof. Renato GuimarãesProf. Renato Guimarães Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação Conteúdo programático Introdução as ameaças de segurança Principais tipos de ameaças Ameaças ativas x passivas GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação O QUE SÃO AMEAÇAS ? - Representam perigo para os ativos; - Oferecem riscos potenciais ao ambiente de TI e á continuidade dos negócios; - Podem afetar aspectos básicos da segurança. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação O QUE SÃO AMEAÇAS ? Potencial para violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação CLASSIFICAÇÃO Naturais: Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação CLASSIFICAÇÃO Involuntárias: Danos involuntários - quase sempre internos - são uma das maiores ameaças ao ambiente; Podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação CLASSIFICAÇÃO Intencionais: Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação EXEMPLOS DE AMEAÇAS Funcionários insatisfeitos; Vírus; Acessos locais indevidos; Pirataria e pornografia; Divulgação indevida; Alteração indevida; Fraudes; Roubo ou furto; Lixo informático; Falhas de energia; Descoberta de senhas; Vazamento de dados; Sabotagem e vandalismo; Espionagem industrial; Acessos remotos indevidos. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação TIPOS DE AMEAÇAS Códigos Maliciosos: Tratam-se de programas para computador com comportamento malicioso, maligno ou mal- intencionado, cujo funcionamento, em geral, se dá com a intenção de causar dano ou roubo de informações. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação TIPOS DE AMEAÇAS Vírus: São provavelmente os mais representativos dos códigos maliciosos , tendo se popularizado a partir dos anos 80, quando a massificação dos PCs lhes deu um novo e grande playground, o sistema operacional DOS. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação Vírus: Tratados mais comumente como “vírus” visto que, à imagem destes seres vivos biologicamente primários e primitivos, apresentam dois objetivos básicos: - Sobreviver - Reproduzir TIPOS DE AMEAÇAS GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação TIPOS DE AMEAÇAS VÍRUS: Vírus sobrevivem infectando um “hospedeiro” (“host” - exemplo: um programa ou sistema), a partir do qual se replicam, copiam ou se espalham (exemplo: para um outro programa ou sistema). Além da capacidade de se replicar (espalhar ou copiar), vírus em geral possuem como parte de seu código um “payload” (carga, no caso, indesejada), seja, a capacidade de executar determinadas funções “maléficas”, tais como destruir ou modificar arquivos, ou mesmo formatar uma unidade de disco sendo utilizada. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação COMO UMA MÁQUINA PODE SER INFECTADA? É preciso que um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como: - Abrir arquivos anexados aos e-mails; - Abrir arquivos do Word, Excel, etc; - Abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos; GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação - Instalar programas de procedência duvidosa ou desconhecida, obtidos pela Internet, de pen drives, CDs, DVDs, etc; - Ter alguma mídia removível (infectada) conectada ou inserida no computador, quando ele é ligado. COMO UMA MÁQUINA PODE SER INFECTADA? GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação - Vírus de email: Propagado por email; -Vírus de macro: Explora a facilidade de automatização de determinados aplicativos (word, execel, access, powerpoint). Uma macro é um conjunto de comandos que são armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Exemplos: Melissa e ILoveYou / LoveLetter / IhateYou. EXEMPLODE VÍRUS GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação TIPOS DE AMEAÇAS - Cavalos de Tróia: Não são considerados vírus, visto que não conseguem replicar-se, ainda que tenham funções especiais maliciosas como o de um vírus, apresentando-se em geral como programas utilitários (exemplo: anti-vírus); A fim de funcionar (causar dano), um cavalo de tróia precisa: - Ser introduzido no hospedeiro (i.e. email com .exe anexo) - Ser processado por um usuário do hospedeiro Exemplos: NetBus e BackOriffice. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação TIPOS DE AMEAÇAS - Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia: • instalação keyloggers ou screenloggers; • furto de senhas e outras informações sensíveis, como números de cartões de crédito; • inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador; • alteração ou destruição de arquivos. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação - Worms: Ao contrário de um cavalo de tróia, este tipo de virus em geral apenas conseguem replicar-se, não tendo uma função especiais mal-intencionada como o de um vírus normal; Seu principal impacto nos sistemas é a indisponibilidade, em função de sua capacidade de distribuir múltiplas cópias de si mesmo; Exemplo: Internet Worm TIPOS DE AMEAÇAS GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação NOMENCLATURA DOS ATACANTES - Hacker: Uma pessoa intensivamente interessada em pesquisar sistemas operacionais; constantemente buscam por novos conhecimentos, os compartilham e nunca causam destruição. - Cracker: Pessoa que invade ou viola sistemas com má intenção. - Phreaker: É o Cracker especializado em telefonia. - Script Kiddies: São as pessoas que utilizam receitas de bolos para crackear. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação ATAQUES Ataque: Um ataque à segurança do sistema, derivado de uma ameaça inteligente, ou seja, um ato inteligente que é uma tentativa deliberada de burlar os serviços de segurança e violar a política de segurança de um sistema. -Passivo: Possuem a natureza de bisbilhotar ou monitora transmissões; - Ativo: Envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação COMO REDUZIR OS RISCOS - Não abra ou execute imediatamente os arquivos anexados às mensagens que você recebe. Verifique antes com um antivírus; - Os browsers, como qualquer software, possuem bugs. Utilize, sempre que possível, a última versão do browser com as devidas atualizações; - Se usar um site provedor de e-mails, o cuidado também deve ser grande. Evite clicar em links que aparecerem no conteúdo das mensagens. Eles não são 100% seguros; GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação COMO REDUZIR OS RISCOS • Desconfie de mensagens que mostrem muitas vantagens no campo “assunto”. Trata-se apenas de uma armadilha via e-mail; • Quando estiver em sites de trocas de mensagens instantâneas (bate-papo ou sites de relacionamentos, tipo Facebook), evite divulgar informações pessoais. Quadrilhas de bandidos usam esses sites para fazer amizade com os internautas, saber mais de suas vidas e, depois, ameaçar ou cometer outros crimes; GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 4: Ameaça aos Sistemas de InformaçãoAula 4: Ameaça aos Sistemas de Informação COMO REDUZIR OS RISCOS • Evite baixar programas de sites desconhecidos. Muitos sites de peer-to-peer (compartilhamentos de programas e arquivos de música, filmes etc, como Kazaa e o eMule) podem conter programas pirateados com vírus e outras ameaças digitais; • Evite navegar na Internet em uma estação desconhecida. Neste caso, nunca acesse sites que contenham informações confidenciais; • Tenha backup de seus dados. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Prof. Renato GuimarãesProf. Renato Guimarães Aula 5: Ataques à segurançaAula 5: Ataques à segurança GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança Conteúdo programático O Planejamento de um ataque Principais tipos de ataques GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança RECEITA DE UM ATAQUE Levantamento das Informações 1 Exploração das Informações 2 Camuflagem das Evidências 5 Obtenção de Acesso 3 Manutenção do Acesso 4 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança RECEITA DE UM ATAQUE Levantamento das informações A fase de reconhecimento é uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o “alvo em avaliação” antes do lançamento do ataque. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança RECEITA DE UM ATAQUE Existem duas formas de realizar o reconhecimento: ativo e passivo. - O reconhecimento passivo envolve a aquisição de informação sem interação direta com o “alvo”. - O reconhecimento ativo envolve interação direta com o alvo através de algum meio, como por exemplo, contato telefônico por meio do help desk ou departamento técnico. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança RECEITA DE UM ATAQUE Exploração das informações (scanning) Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Esta fase apresenta um alto risco para os negócios de uma empresas, pois além de ser considerado uma fase de pré- ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e network mapping. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança RECEITA DE UM ATAQUE Obtenção do acesso Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet, da rede local, fraude ou roubo. Os fatores que irão influenciar nos métodos utilizados pelo atacante serão: a arquitetura e configuração do “alvo” escolhido, o grau de conhecimento do atacante e o nível de acesso obtido. Nesta fase o atacante poderá obter acesso a nível de: sistema operacional, aplicação e rede. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança RECEITA DE UM ATAQUE Manutenção do acesso Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protegê-lo de outros atacantes através da utilização de “acessos exclusivos” obtidos através de rootkits, backdoors ou trojans. Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da máquina atacada. Nesta fase o sistema atacado poderá ficar comprometido. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança RECEITA DE UM ATAQUE Camuflagem das evidências Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizadoscom o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança CLASSIFICAÇÃO DE ATAQUES - Ataques para obtenção de informações - Ataques ao Sistema operacional - Ataques à aplicação - Ataques de códigos pré- fabricados - Ataques de configuração mal feita. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança CLASSIFICAÇÃO DE ATAQUES Ataques para obtenção de informações Neste tipo de ataque é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança CLASSIFICAÇÃO DE ATAQUES Ataques a Sistemas Operacionais Os sistemas operacionais atuais apresentam uma natureza muito complexa devido a implementação de vários serviços, portas abertas por padrão, além de diversos programas instalados. Muitas vezes a aplicação de patches não é tarefa tão trivial devido a essa complexidade seja dos sistemas ou da própria redes de computadores ou ainda pela falta de conhecimento e perfil do profissional de TI. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança CLASSIFICAÇÃO DE ATAQUES Ataques à aplicação Na maioria das vezes para conseguir entregar os produtos no prazo acordado, os desenvolvedores de software tem um tempo de desenvolvimento do produto muito curto. Apesar de muitas organizações utilizarem metodologias baseadas na engenharia de software, as aplicações muitas vezes são desenvolvidas com um grande número de funcionalidades e recursos e seja para cumprir prazos ou por falta de profissionais qualificados, não realizam testes antes de liberar seus produtos. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança CLASSIFICAÇÃO DE ATAQUES Ataques de códigos pré- fabricados Por que reinventar a roda se existem uma série de exemplos de códigos já prontos para serem executados? Quando um administrador de sistemas instala um sistema operacional ou uma aplicação, normalmente já existem uma série de scripts prontos, que acompanham a instalação e que tornam o trabalho dos administradores mais fácil e mais ágil. Normalmente o problema na utilização destes script, é que não passaram por um processo de refinamento e customização quanto as reais necessidades de cada administrador. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança CLASSIFICAÇÃO DE ATAQUES Ataques de configuração mal feita Muitos sistemas que deveriam estar fortemente seguros, apresentam vulnerabilidades pois não foram configurados corretamente. Com a complexidade dos sistemas atuais os administradores podem não ter os conhecimentos e recursos necessários para corrigir ou perceber um problema de segurança. Normalmente para agilizar e simplificar o trabalho, os administradores criam configurações simples. Para aumentar a probabilidade de configurar um sistema corretamente os administradores devem remover qualquer serviço ou software que não sejam requeridos pelo sistema operacional. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança PRINCIPAIS TIPOS DE ATAQUE Engenharia Social Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. É um dos meios mais utilizados de obtenção de informações sigilosas e importantes. Para atingir seu objetivo o atacante pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança PRINCIPAIS TIPOS DE ATAQUE Phishing Scam É um método de ataque que se dá através do envio de mensagem não solicitada (spam) com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança PRINCIPAIS TIPOS DE ATAQUE GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança PRINCIPAIS TIPOS DE ATAQUE GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança PRINCIPAIS TIPOS DE ATAQUE Ataque de Negação de Serviço (DOS) Um ataque de negação de serviço (também conhecido como DoS é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. Normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedades nestes servidores indisponíveis. Neste tipo de ataque não ocorre uma invasão no sistema mas a sua invalidação por sobrecarga. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança PRINCIPAIS TIPOS DE ATAQUE Ataques Coordenados (DDOS) Semelhante ao ataque DOS, porém ocorre de forma distribuída. Neste tipo de ataque distribuído de negação de serviço, também conhecido como DDoS, um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis) que terão a tarefa de ataque de negação de serviço. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança PRINCIPAIS TIPOS DE ATAQUE SQL Injection É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança PIRÂMIDE DAS AMEAÇAS Ultra agressivas Centenas Agressivas Milhares Moderadas Dezenas de Milhares Scripts ou Usuários de Browsers Milhões Sofisticação Ocorrências GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 5: Ataques à segurançaAula 5: Ataques à segurança EQUAÇÃO DA SEGURANÇA NO DESENVOLVIMENTO Segurança Produtividade Prazo Custo = = Funcionalidade GESTÃO DE SEGURANÇA DA INFORMAÇÃO Prof. Renato GuimarãesProf. Renato Guimarães Aula 6: Gestão de Riscos em Segurança da Aula 6: Gestão de Riscos em Segurança da InformaçãoInformação GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação Conteúdo programático - O estabelecimento do contexto e as etapas da gestão do risco; - Análise e avaliação do risco; - Tratamento, aceitação e comunicação do risco; - Monitoramento e revisão dos riscos. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação O QUE É RISCO? Probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente. Sua escala é dada por dois fatores: Probabilidade de ocorrência da ameaça medida através da combinação da suafrequência com a avaliação das vulnerabilidades; Consequências trazidas pela ocorrência do incidente (impacto). GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação RISCO E IMPACTO Assalto à casa: a) Rico da cidade “Na cidade, acontecem muitos assaltos. Porém, se minha casa for assaltada, mando comprar tudo de novo. Neste caso, mesmo havendo risco alto, o impacto é baixo.”. b) Pobre da cidade “Na cidade, acontecem muitos assaltos. Se minha casa for assaltada, vai ser muito difícil comprar tudo de novo. Neste caso, o risco e o impacto são altos.”. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação RISCO E IMPACTO Assalto à casa: c) Rico do interior “Na minha cidadezinha não acontecem assaltos. Se mesmo assim minha casa for assaltada, mando comprar tudo de novo. Neste caso, tanto o risco quanto o impacto são baixos.” d) Pobre do interior “Na minha cidadezinha não ocorrem assaltos. Mas, se minha casa fosse assaltada, seria muito difícil comprar tudo de novo. Neste caso, o risco é baixo, porém o impacto é alto.” GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação IMPACTO NOS NEGÓCIOS • Impactos financeiros: - Perdas de receitas / vendas / juros / descontos; - Pagamento de multas contratuais; - Cancelamento de ordens de vendas por atraso; - Indisponibilidade de fundos; - Despesas extraordinárias com serviços externos, funcionários temporários, compras de emergência, etc. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação IMPACTO NOS NEGÓCIOS • Impactos operacionais: - Interrupção dos negócios; - Perda da capacidade de atendimento a clientes externos e internos (i.e. alta gerência); - Problemas de imagem; - Problemas de perda de confiança (de clientes, de entidades reguladoras, etc.). GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação GESTÃO DO RISCO • Principais benefícios em sua utilização: - Entender os riscos associados com o negócio e a gestão da informação; - Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações; - Melhorar a eficácia no controle de riscos; GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação GESTÃO DO RISCO • Principais benefícios em sua utilização: - Manter a reputação e imagem da organização. - Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios - Minimizar as possibilidades de furto de informação e maximizar a proteção de dados. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação ETAPAS DA GESTÃO DO RISCO GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação ANÁLISE E AVALIAÇÃO DOS RISCOS Cobre todo o processo de identificação das ameaças e estimativa de risco: - Método quantitativo: A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras. Os métodos quantitativos costuma ser vistos com cautela pelos estudiosos devido à dificuldade de obtenção de resultados representativos e pela sua complexidade. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação ANÁLISE E AVALIAÇÃO DOS RISCOS - Método qualitativo: Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. O que torna o processo mais rápido. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação TRATAMENTO DOS RISCOS - Medidas preventivas: Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação TRATAMENTO DOS RISCOS - Medidas corretivas ou reativas: Reduzem o impacto de um ataque/incidente. São medidas tomadas durante ou após a ocorrência do evento. - Métodos detectivos: Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação ACEITAÇÃO DOS RISCOS Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Aceitar um risco é uma das maneiras de tratá-lo. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação COMUNICAÇÃO DOS RISCOS Divulgação de informações sobre os riscos que foram identificados, tenham eles sido tratados ou não, a todas as partes envolvidas que precisem ter conhecimento a respeito deles. Uma das melhores formas de se comunicar os riscos de maneira genérica, com o intuito de notificar os colaboradores a respeito deles, é desenvolver e manter campanha de conscientização de segurança. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação MONITORAÇÃO DOS RISCOS A gestão do risco precisa ser desenvolvida de forma permanente e interativa, para que mudanças nos sistemas e na forma como são uados, no perfil dos usuários, no ambiente, na tecnologia, nas ameaças, nas vulnerabilidades e em outras variáveis pertinentes não tornem obsoletos os requisitos de segurança estabelecidos. Esta etapa consiste na verificação contínua, supervisão, observação crítica ou determinação da situação visando identificar alteração no nível de desempenho requerido ou esperado dos riscos. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação BARREIRA DOS RISCOS - Barreira1: desencorajar Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmara de vídeo, mesmo falsa, de um aviso de existência de alarmes, já são efetivos nesta fase. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação BARREIRA DOS RISCOS - Barreira2: Dificultar O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, porexemplo. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação BARREIRA DOS RISCOS - Barreira 3: Discriminar Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computador e banco de dados. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação BARREIRA DOS RISCOS - Barreira 4: Detectar Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação - Barreira 5: Deter Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos. BARREIRA DOS RISCOS GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação BARREIRA DOS RISCOS - Barreira 6: Diagnosticar Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo. Devido a estes fatores é a barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação ANÁLISE DE RISCOS EM 10 LIÇÕES 1 - Determinação do que proteger; 2 - Identificação das vulnerabilidades existentes e ameaças potenciais; 3 - Determinação da probabilidade de ocorrência; 4 - Cálculo das possíveis perdas; 5 - Avaliação da necessidade de proteção; GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 6: Gestão de Riscos em Segurança da InformaçãoAula 6: Gestão de Riscos em Segurança da Informação ANÁLISE DE RISCOS EM 10 LIÇÕES 6 - Documentação do processo de análise; 7 - Seleção das medidas de proteção; 8 - Implementação das medidas de proteção; 9 - Auditoria dos resultados; 10 - Revisões e atualizações periódicas. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Prof. Renato GuimarãesProf. Renato Guimarães Aula 7: Aula 7: Segurança da Informação segundo a NBR ISO 27002 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 Conteúdo programático - Segurança da Informação Segundo a NBR ISO 27002 (antiga ISO 17799). GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 O QUE É ISO? ISO é uma palavra derivada do grego isos (igual), que aparece como prefixo em termos tais como: isometria (qualidade de medidas e dimensões), isonomia (igualdade das pessoas perante à lei). Por decorrência, associa-se iso (igual) a "padrão", o que levou a uma linha de pensamento que redundou na escolha de ISO como identificação mundial da International Organization for Standardization, para evitar a infinidade de siglas resultantes da tradução em diversas línguas dessa Organização Não Governamental criada em 1947 e sediada em Genebra, na Suíça. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 COMO O BRASIL PARTICIPA DA ISO? • Através da ABNT - Associação Brasileira de Normas Técnicas, que é uma sociedade privada sem fins lucrativos. a ABNT (Associação Brasileira de Normas Técnicas), foi fundada em 1940 para fornecer a base necessária ao desenvolvimento tecnológico brasileiro e é o órgão responsável pela normalização técnica no país. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27000 • Esta norma apresenta a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. http://www.iso.org/iso/iso_catalogue/catalogu e_tc/catalogue_detail.htm? csnumber=41933 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27001 • Esta norma define os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI). Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização, permitindo que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27002 • Esta norma estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27003 • Esta norma fornece orientação para um sistema de gestão de segurança da informação com objetivos mais amplos que a norma ISO 27001, especificamente no que tange à melhoria do desempenho global de uma organização e sua eficiência, assim como sua eficácia. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27004 • Esta norma define métricas e medições para avaliar a eficácia de um SGSI. Fornece orientações para elaboração, tabulação e acompanhamento de indicadores do sistema de gestão de segurança da informação, visando o acompanhamento dos objetivos de segurança previstos para o sistema de gestão por meio da medição da eficácia dos controles de segurança implementados e permitindo aos gestores avaliar se os controles alcançam de forma satisfatória os objetivos de controle planejados. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27005 • Fornece diretrizes para o processo de gestão de riscos de segurança da informação. Contém a descrição do processo de gestão de riscos de segurança da informação e das suas atividades. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurançada Informação segundo a NBR ISSO 2700227002 ISO 27006 • Guia para o processo de acreditação de entidades certificadoras. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27007 • Orientações para Gestão de Auditoria de Sistemas de Segurança da Informação. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27002 - Política de Segurança da Informação; - Organizando a Segurança da Informação; - Gestão de Ativos; - Segurança em Recursos Humanos; - Segurança Física e do Ambiente; - Gestão das Operações e Comunicações; GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27002 - Controle de Acesso; - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; - Gestão de Incidentes de Segurança da Informação; - Gestão da Continuidade do Negócio; - Conformidade; GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27002 Análise de Risco Requisito de Negócio Requisitos Legais GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27002 • Análise de Risco: A partir da análise/avaliação de riscos levando-se em conta os objetivos e estratégias globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. È realizada ainda uma estimativa de ocorrência das ameaças e do impacto potencial ao negócio. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27002 • Requisito de Negócio: Uma outra fonte é o conjunto de princípios, objetivos e os requisitos de negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27002 • Requisitos legais: Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 POLÍTICA DE SEGURANÇA A norma NBR ISO 27002 provê uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação: A direção da organização deve estabelecer a orientação da política alinhada com os objetivos do negócio. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 POLÍTICA DE SEGURANÇA A norma NBR ISO 27002 provê uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação: A direção da organização deve estabelecer a orientação da política alinhada com os objetivos do negócio. A direção deve demonstrar seu apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 POLÍTICA DE SEGURANÇA GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27002 Segurança em recursos humanos: A norma NBR ISO 27002 orienta que a organização assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27002 Segurança física e do ambiente: A norma NBR ISO 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. As áreas críticas ou sensíveis deverão ser mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados de forma a não permitir o acesso não autorizado, danos ou interferências. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 UniCERT Brasil Nível 5 Nível 4 Nível 3 Nível 2 • Cofres duais, classe 5, com duas chaves • Chave Privada dividida, uma parte em cada cofre Nível 1 Funcionários • Treinamento Contínuo • Políticas Operacionais • Investigação do passado e situação financeira Prédio • Guarda 7x24 • Controle Central • Crachá com Foto • Circuito de TV Estrutura da Facilidade • Controle de Acesso • Controle de Intrusos • Auto-Suficiência em energia Sala Segura • Paredes com malha metálica • Controle de acesso biométrico • Circuito fechado de TV • Alarme de Movimento ISO 27002 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 Gerenciamento das operações e comunicações: A norma NBR ISO 27002 orienta que a organização deve garantir a operação segura e correta dos recursos de processamento da informação. Para isso deverá implementar procedimentos e responsabilidades operacionais assim como a documentação dos procedimentos de operação. ISO 27002 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27002 Controle de Acesso: A norma NBR ISO 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 Web Server Firewall Rede Corporativ a Rotead or DNSDMZ E-Mail ID S Proxy Server SSL VPN Antivírus Antivírus Certificad o Digital ISO 27002 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 Desenvolvimento e Manutenção de Sistemas: A norma NBR ISO 27002 orienta que a organização deve garantir que segurança é parte integrante de sistemas de informação seja na aquisição, desenvolvimento ou manutenção de Sistemas de Informação. Desta forma os requisitos de segurança devem ser identificados e acordados antes do desenvolvimento ou implementação de sistemas de informação na fase de definição de requisitos de negócios. ISO 27002 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundoa NBR ISSO 2700227002 ISO 27002 Gestão de incidentes de segurança da informação: A norma NBR ISO 27002 orienta que a organização deve assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27002 Gestão da Continuidade do Negócio: A norma NBR ISO 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ISO 27002 Conformidade: A norma NBR ISO 27002 orienta que a organização deve evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 7: Segurança da Informação segundo a NBR ISSO Aula 7: Segurança da Informação segundo a NBR ISSO 2700227002 ETAPAS DE UMA POLÍTICA - Análise de Riscos - Plano de Continuidade dos Negócios - Implementação de segurança: Segurança Administrativa Segurança Física Segurança Lógica Segurança de Aplicação - Conscientização e Treinamento - Gerenciamento de Problemas, Mudanças, Configuração... - Revisão e Auditoria GESTÃO DE SEGURANÇA DA INFORMAÇÃO Prof. Renato GuimarãesProf. Renato Guimarães Aula 8: Aula 8: Segurança da Informação segundo a NBR ISO 27001 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 2700127001 Conteúdo programático - Gestão de Segurança da Informação Segundo a NBR ISO/IEC 27001 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 2700127001 IMPORTANTE Diferentemente da norma NBR ISO 27002 que estabelece as melhores práticas em segurança da informação, a norma NBR ISO 27001 tem como objetivo especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 2700127001 GESTÃO DO SGSI A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 2700127001 GESTÃO DO SGSI GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 2700127001 ISO 27001 • A abordagem de processo utilizada nesta norma fará com que a organização enfatize a importância de: - Entendimento dos requisitos de segurança da informação e a necessidade de estabelecer uma política e objetivos para a segurança da informação. - Implementação e operação de controles para gerenciar os riscos de segurança da informação no contexto dos risco globais da organização. - Monitoração e análise crítica do desempenho da eficácia do SGSI. - Melhoria continua baseada em medições objetivas. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 2700127001 ISO 27001 • Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 2700127001 ISO 27001 • Caso a organização queira estar em conformidade com a norma os itens, deverá implementar os seguintes itens obrigatórios: GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 2700127001 PDCA • Plan (estabelecer o SGSI): Para estabelecer o SGSI a organização deve definir: - O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia; - A política do SGSI; - A abordagem de análise/avaliação de risco da organização; - Identificar os riscos; - Analisar e avaliar os riscos; - Identificar e avaliar as opções para o tratamento de riscos; - Selecionar objetivos de controle e controles para o tratamento de riscos; GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 2700127001 - Obter aprovação da direção dos riscos residuais propostos; - Obter autorização da direção para implementar e operar o SGSI; - Preparar uma declaração de Aplicabilidade; (Declaração de Aplicabilidade): Documento exigido pela NBR ISO 27001 no qual a empresa tem que relacionar quais controles são aplicáveis e justificar os que não são aplicáveis ao seu SGSI. (Controles): São pontos específicos que definem o que deve ser feito para assegurar aquele item. PDCA GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 2700127001 PDCA • Do(Implementar e operar o SGSI): - Nesta fase a organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas . Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 2700127001 PDCA • Check (monitorar e analisar criticamente o SGSI): - A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. - Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados. GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aula 8: Segurança da Informação segundo a NBR ISSO Aula 8: Segurança da Informação segundo a NBR ISSO 2700127001 • Act (Manter e melhorar o SGSI): - A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas
Compartilhar