Baixe o app para aproveitar ainda mais
Prévia do material em texto
GESTÃO DE SEGURANÇA DA INFORMAÇÃO (CCT0185/2252333) 9001 Aula 1: Introdução à Segurança da Informação O ambiente corporativo e a necessidade de segurança: Apoio às Operações e aos processos, Apoio à tomada de decisão empresarial, Apoio às Estratégias para vantagem competitiva. - Dado: é qualquer elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação. - Informação: é o dado trabalhado, que permite ao executivo tomar decisões. É a matéria-prima para o processo administrativo da tomada de decisão. - Informação Pública: informação que pode vir ao público sem quaisquer consequências prejudiciais a empresa; - Informação Interna: informação que deveria ter o livre acesso evitado, porém não haverá consequências danosas provenientes do acesso não autorizado; - Informação Confidencial: informação que é restrita aos limites da empresa e se divulgada livremente acarretará eventuais perdas financeiras ou de confiabilidade; - Informação Secreta: informação muito crítica para as atividades da empresa e cujo acesso deve ser restrito. Além disto, a segurança é crucial para a empresa. - Conhecimento: Laudon 1999: É o conjunto de ferramentas conceituais e categorias usadas pelos seres humanos para criar, colecionar, armazenar e compartilhar a informação. Chiavenato 2004: É um conjunto organizado e estruturado de informações a respeito do mundo; Requer intervenção humana e inteligente; Proporciona comparações. DADO – INFORMAÇÃO – CONHECIMENTO. - Tecnologia: Técnicas, processos, métodos, meios e instrumentos de um ou mais ofícios ou domínios da atividade humana (Ex.: indústria, ciência etc.). - Sistema: Qualquer conjunto natural constituído de partes e elementos interdependentes; inter-relação das partes, elementos ou unidades que fazem funcionar uma estrutura organizada. - Segurança: É estar livre de perigos e incertezas; É um estado ou condição que se aplica a tudo aquilo que tem valor para a organização que é chamado de ativo. - Ativos Tangível: Informações impressas ou digitais (Sistemas, Móveis, Pessoas, etc.) - Ativos Intangível: Marca de um produto, imagem de uma empresa, confiabilidade de um banco, Qualidade do Serviço, etc. - Proteção: São medidas que visam livrar os ativos de situações que possam trazer prejuízo. Elas podem ser: Físicas, Lógicas, Administrativas. Podemos classificar as proteções de acordo com a sua ação e o momento na qual ela ocorre. E podem ser: Preventivas, Desencorajamento, Monitoramento, Detecção, Limitação, Reação, Correção, Recuperação. - Segurança da Informação: Visa à proteção de ativos de uma empresa que contêm informações. - Ativos de Informação: São aqueles que produzem, processam, transmitem ou armazenam informações. Cada empresa ao tratar segurança da informação e independência de sai área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais de segurança conhecido como a Tríade CID, ou em inglês AIC ou CIA (Availability, Integrity, Confidentiality) Confiabilidade, Integridade e Disponibilidade. Fatores que impactam na segurança de uma organização: Valor, Ameaça, Vulnerabilidade, Impacto, Risco. Podemos concluir que um Problema de segurança é: A perda de qualquer aspecto de segurança importante para minha organização. E pode ser de diferentes tipos: Desastres Naturais, Operação Incorreta, Ataque ao Sistema. A NBR ISO/IEC 27002 estabelece as diretrizes e os princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Saiba mais Site com notícias sobre segurança: http://www.seginfo.com.br Site do centro de estudo, respostas e incidentes de segurança no Brasil: http://www.cert.br Aula 2: O Ciclo de Vida da Informação Dado: É a coleta de matéria prima bruta, dispersa dos documentos. Informação: É o tratamento do dado, transformando em informação. Pressupõe uma estrutura de dados organizada e formal. Conhecimento: É o conteúdo informacional contido nos documentos, nas várias fontes de informação e na bagagem pessoal de cada indivíduo. Inteligência: É combinação destes três elementos resultante do processo de análise e validação por especialista. É a informação com valor agregado. Atualmente, a informação é considerada um recurso básico e essencial para todas as organizações, sendo gerada e utilizada em todas as suas etapas de produção pelos representantes dos diversos níveis hierárquicos, além de perpassar toda a cadeia de valor, envolvendo fornecedores, clientes e parceiros. Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Apresentamos a seguir quatro tipos possíveis de valor da informação: - Valor de uso: baseia-se na utilização final que se fará com a informação; - Valor de troca: é o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda); - Valor de propriedade: reflete o custo substituído de um bem; - Valor de restrição: surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas. O ciclo de vida da informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco: Armazenamento, Transporte, Descarte, Manuseio. Quando devemos proteger a informação? Devemos proteger a informação durante todo este ciclo de vida. Onde proteger as informações? Nos ativos que as custodiam: Físicos, Tecnológicos, Humanos. A gestão do ciclo de vida da informação tem se tornado um elemento fundamental para a gestão dos negócios. Sendo essencial a utilização do Gerenciamento do ciclo de vida da informação, de forma a operacionalizar a informação e os dados, organizar em meios físicos e com registros, categorizando-os para garantir a segurança e privacidade. (ILM - Information Lifecycle Management). - Informação sem Interesse (Lixo): é considerada uma parcela negativa inversamente proporcional a sua quantidade; - Informação Potencial (Vantagem Competitiva): é dirigida principalmente para a direção da organização, apontando possíveis vantagens a serem conquistadas; - Informação Mínima (Gestão): é destinada aos gerentes de nível intermediário para a realização de atividades de gestão organizacional; - Informação Critica (Sobrevivência): destina-se a sobrevivência da organização para atender prioritariamente as áreas operacionais. Classificação da Informação: O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas. Cinco Pilares: - Confidencialidade: a informação só é acessada pelos indivíduos autorizados; - Integridade: a informação é atual, completa e mantida por pessoas autorizadas; - Disponibilidade: a informação está sempre disponível quando necessária às pessoas autorizadas; - Não repúdio: assegura que nem o emissor nem o receptor de uma informação possam negar o fato; - Autenticidade: informação é proveniente da fonte anunciada. - Irrestrito: Esta informação é pública, podendo ser utilizada por todos sem causar danos a organização. - Interna: Esta informação é aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado. - Confidencial: Informação interna da organização cuja divulgação pode causar danos financeiros ou a imagem da organização. Esta divulgação pode gerar vantagens a concorrentes e perda de clientes. - Secreta: Informação interna, restrita a um grupo seleto dentro da organização. Suaintegridade deve ser preservada a qualquer custo e o acesso limitado e seguro. Esta é a informação vital para a companhia. OBS: onde devemos proteger as informações? R: Nos Ativos Aula 3: Vulnerabilidade de Segurança - Vulnerabilidade: é a fragilidade presente ou associada a ativos que manipulam ou processam informações que, ao ser explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios de segurança da informação, ou seja, a: Disponibilidade, Integridade, Confidencialidade. (Agentes ameaçadores - Exploram - vulnerabilidades - Possibilitam - incidente de segurança – Afetam - Negócios - Impactam - Clientes e produtos) - As vulnerabilidades podem ser: - Físicas: são aqueles presentes nos ambientes em que estão sendo armazenadas ou gerenciadas as informações. Ao serem explorados por ameaças afetam principalmente a disponibilidade. Ex.: Instalações prediais fora do padrão, Salas de CPD mal planejadas, Falta de extintores e detectores de fumaça, Risco de explosões, vazamentos ou incêndios. - Naturais: são aqueles relacionados ás condições da natureza que podem colocar em risco as informações. A probabilidade de estar expostos às ameaças naturais é fundamental na escolha e na preparação de um ambiente. Ex.: Incêndios, Enchentes, Terremotos, Tempestade, Falta de energia. - Hardware: são os possíveis defeitos de fabricação ou configuração dos equipamentos das empresas que podem permitir o ataque ou alteração dos mesmos. Ex.: A ausência de atualizações de acordo com as orientações dos fabricantes dos programas utilizados, A conservação inadequada dos equipamentos, Erros durante a instalação. - Software: podem ser classificados como vulnerabilidade de aplicativos ou de sistema operacional. Neste caso os pontos fracos ocorrem quando os mesmos permitem acessos indevidos aos sistemas de computador, inclusive sem o conhecimento de um usuário ou administrador de rede. Ex.: A configuração e a instalação indevidas dos programas de computador/sistemas operacionais, podem levar ao uso abusivo dos recursos por parte de usuários mal intencionados, Erros na instalação ou na configuração. – Mídias: são as formas de utilização inadequadas dos dispositivos de armazenamento das informações que que podem deixar seu conteúdo vulnerável a uma série de fatores que podem afetar a integridade, a disponibilidade e a confidencialidade das informações. Ex.: Uso incorreto das mídias de armazenamento, Disco, fitas, relatórios e impressos podem ser extraviados, Local de armazenamento, Defeito de fabricação. – Comunicação: abrange todo o tráfego de informações, onde quer que transitem, seja por cabo, satélite, fibra óptica ou ondas de rádio. Abrange qualquer falha na comunicação que faça com que uma informação fique indisponível para seus usuários, ou pelo contrário, fique disponível para quem não possua diretos de acesso. – Humanas: relaciona-se aos danos que as pessoas podem causar as informações e ao ambiente tecnológico que lhes oferece suporte, podendo ser intencional ou não e interna ou externa. Ex.: Falta de treinamento, Compartilhamento de informações confidenciais, Não execução de rotinas de segurança, Ameaça de bomba. - Análise de Vulnerabilidade: tem por objetivo verificar a existência de falhas de segurança no ambiente de TI das empresas. Esta análise é uma ferramenta importante para a implementação de controles de segurança eficientes sobre os ativos de informação das empresas. A análise de vulnerabilidade permite que os profissionais de segurança e TI da empresa possam ter maior conhecimento do ambiente de TI e seus problemas, assim como a possibilidade de tratamento das vulnerabilidades, com base nas informações geradas. Esta análise compreende todos os ativos da informação da empresa que abrange: Tecnologias; Ambiente; Processos; Pessoas. Podemos classificar em diferentes tipos: Bugs específicos dos sistemas operacionais/ aplicativos; Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos; Falhas nos softwares dos equipamentos de comunicações; Fraquezas nas implementações de segurança dos equipamentos de comunicação; Fraqueza de segurança/falhas nos servidores; Falhas nas implementações de segurança dos recursos de rede. Exemplos de software de análise: Nmap: um software livre que realiza coleta de informações sobre as portas do protocolo TCP/IP; Nessus: um programa de verificação de falhas/vulnerabilidades de segurança, sendo composto por cliente e servidor; Languard: registra os eventos e pesquisa vulnerabilidades de segurança em uma rede. - Pesquisa de Vulnerabilidade: Significa descobrir as falhas e deficiências em um produto ou aplicação que podem comprometer a segurança. - Exploit: é um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das vulnerabilidades de um sistema computacional. São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas. Saiba mais http://www.microsoft.com/brasil/security/default.mspx http://www.microsoft.com/brasil/security/msrc/managing_vulnerabilities.mspx#EWB Aula 4: Ameaças aos Sistemas de Informação Os incidentes de segurança da informação vêm aumentando consideravelmente ao longo dos últimos anos motivados não só pela difusão da Internet, O aumento do número de vulnerabilidades nos sistemas existentes, como, por exemplo, as brechas de segurança nos sistemas operacionais utilizados em servidores e estações de trabalho. - Ameaça: Segundo a definição da RFC 2828, é um potencial pra violação da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade. Segundo Marcos Sêmola, as ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades, provocando perdas de: Confidencialidade, Integridade, Disponibilidade, causando impacto ao negócio. Quando classificadas quanto a sua intencionalidade as ameaças podem ser: Naturais, Involuntárias, Voluntárias. Quanto a sua origem: Interna, Externa, Ela pode ser interna, pois nem sempre o principal “inimigo” está fora da nossa empresa, como um hacker ou um cracker, mas sim dentro dela, como um funcionário mal intencionado ou muito insatisfeito, que geralmente possui livre acesso aos recursos disponíveis e que podem comprometer a integridade e a privacidade de informações estratégicas da empresa. - Natural (enchentes, terremotos, tornados, deslizamento de terra, tempestades de raios, etc.); - Humana (atos dolosos, negligentes, imperitos ou imprudentes de uso de programas maliciosos, de acesso a dados sigilosos, de mau uso dos sistemas, etc.). - Ambiental (falta de energia, poluição, substâncias químicas, etc.). - Ataque Passivo: Possuem a natureza de bisbilhotar ou monitora transmissões. O objetivo dos ataques é obter informações que estão sendo transmitidas. - Ataque Ativo: Envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso, e podem ser subdivididos em quatro categorias: Disfarce, Modificação de mensagem, Repetição e negação de serviço. - Malware: é proveniente do inglês malicious software, é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações (confidenciais ou não). Vírus de computador, worms, trojan horses (cavalos de troia), backdoors, keyloggers, bots, rootkits e spywaressão considerados malware. Também pode ser considerada malware uma aplicação legal que por uma falha de programação (intencional ou não) execute funções que se enquadrem na definição supra citada. - Vírus: é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. Para se tornar ativo e dar continuidade no processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro. Normalmente o vírus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de “feliz aniversário”, até alterar ou destruir programas e arquivos do disco. Como uma máquina pode ser infectada? É preciso que um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como: abrir arquivos anexados aos e-mails; Abrir arquivos do Word, Excel, etc; Abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos; Instalar programas de procedência duvidosa ou desconhecida, obtidos pela Internet, de disquetes, pen drives, CDs, DVDs, etc; Ter alguma mídia removível (infectada) conectada ou inserida no computador, quando ele é ligado. - Worms: Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. Geralmente o worm não tem como consequência mesmos danos gerados por um vírus, mas são notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar. - Cavalo de Tróia: São programas que parecem úteis mas tem código destrutivo embutido. Além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Normalmente é um programa, normalmente recebido como um “presente”, que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia: instalação keyloggers ou screenloggers; furto de senhas e outras informações sensíveis, como números de cartões de crédito; inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador; alteração ou destruição de arquivos. - Adware (Advertising software): É um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador. Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou de retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos. - Spyware: Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Existem adwares que também são considerados um tipo de spyware, pois são projetados para monitorar os hábitos do usuário durante a navegação na Internet, direcionando as propagandas que serão apresentadas. Listamos abaixo algumas funcionalidades implementadas em spywares e podem ter relação com o uso legítimo ou malicioso: Monitoramento de URLs acessadas enquanto o usuário navega na Internet; Alteração da página inicial apresentada no browser do usuário; Varredura dos arquivos armazenados no disco rígido do computador; Monitoramento e captura de informações inseridas em outros programas, como processadores de texto; Instalação de outros programas spyware; Monitoramento de teclas digitadas pelo usuário ou regiões da tela próximas ao clique do mouse; Captura de senhas bancárias e números de cartões de crédito; Captura de outras senhas usadas em sites de comércio eletrônico. - Blackdoors: Nome dado a programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou modificados para este fim sem precisar recorrer aos métodos utilizados na invasão. Na maioria dos casos, é intenção do atacante poder retornar ao computador comprometido sem ser notado. - Keyloggers: Programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. As informações capturadas podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito. Sua ativação está condicionada a uma ação prévia do usuário e normalmente contém mecanismos que permitem o envio automático das informações capturadas para terceiros (Ex.: através de e-mails). A contaminação por Keylogger, geralmente vem acompanhada de uma infecção por outros tipos de vírus, em geral, os Trojans. - Screenloggers: Formas mais avançadas de keyloggers que além de serem capazes de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, também são capazes de armazenar a região que circunda a posição onde o mouse é clicado. - Rootkits: Conjunto de programas que fornecem mecanismos para esconder e assegurar a presença de um invasor. O nome rootkit não indica que o conjunto de ferramentas que o compõem são usadas para obter acesso privilegiado (root ou Adm) em um computador, mas sim para mantê-lo. Significa que o invasor, após instalar o rootkit, terá acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador. - Bots e Botnets: Uma botnet é uma coleção de agentes de software ou bots que executam autonomamente e automaticamente. O termo é geralmente associado com o uso de software malicioso, mas também pode se referir a uma rede de computadores utilizando software de computação distribuída. - Phishing: termo oriundo do inglês (fishing) que quer dizer pesca, é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas, dados financeiros como número de cartões de crédito e outros dados pessoais. O ato consiste em um fraudador se fazer passar por uma pessoa ou empresa confiável enviando uma comunicação eletrônica oficial. Isto ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, entre outros. - Potenciais atacantes: 1.Hackers: Pessoa com amplo conhecimento de programação e noções de rede e internet. Não desenvolvem vulnerabilidade, apenas copiam vulnerabilidades publicadas em sites especializados; 2.White-hats: Exploram os problemas de segurança para divulgá-los abertamente; 3.Crackers: Pessoas que invadem sistemas em rede ou computadores apenas por desafio; 4.Black-hats: Usam suas descobertas e habilidades em benefício próprio, extorsão, fraudes, etc. 5.Pheakres: Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação; 6.Wannabes: Ou script-kiddies são aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos; 7.Defacers: São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web emodificá-las; 8.Lammer (Otário): utiliza código de outros programadores para fazer seus ataques, pois não tem muito conhecimento técnico; 9.Carder: um hacker especializado em falsificar, copiar cartões de crédito ou outro tipo. - Criptografia: Garantir privacidade, autenticidade, integridade, não repúdio e controle; Emissor embaralha a mensagem de forma que só o receptor desejado saiba desembaralhar. Dois tipos: Simétrica: Chave única, Simples e rápido. Necessidade do emissor e receptor conhecer a chave – problema da distribuição de chaves; Assimétrica: Duas chaves: pública e privada. Chave pública disponível para todos que precisem enviar uma mensagem. Chave privada guarda por quem irá receber a mensagem. A palavra criptografia vem das palavras gregas que significam “escrita secreta”. - Cifra de César: substituição de letras do alfabeto, avançando três casas Ex.: o “A” se torna “D” o “B” se torna “E”. - Assinatura Digital: Permite comprovar que a mensagem ou arquivo não foi alterado; que foi assinado pela entidade ou pessoa que possui a chave criptográfica (chave privada) utilizada na assinatura; utiliza o conceito de hash (resumo) e criptografia; é enviada junto à mensagem para garantir sua autenticidade e origem. Aula 5: Ataques à Segurança O ataque ira seguir normalmente os seguintes passos: 1. Levantamento das Informações: onde o atacante procura coletar o maior número possível de informações sobre o alvo antes do lançamento do ataque. Existem duas formas: Ativo: envolve interação direta com o alvo através de algum meio, Ex.: contato telefônico; Passivo: não tem interação direta com o alvo; 2. Exploração das Informações: onde o ataque explora a rede baseado nas informações obtidas na fase anterior. É uma fase de alto risco pois além de ser considerada um pré-ataque envolve a utilização de diferentes técnicas e softwares. Ex.: utilização de port scan, scanner de vulnerabilidade e network mapping; 3. Obtenção de Acesso: consiste na penetração do sistema propriamente dita. São exploradas as vulnerabilidades encontradas no sistema. Ocorre através da internet, da rede local, fraude ou roubo. Os fatores que vão influenciar nos métodos de ataque são: arquitetura e configuração do alvo, o grau de conhecimento do atacante e o nível de acesso obtido. Nesta fase o atacante poderá obter acesso a nível de: sistema operacional, aplicação e rede; 4. Manutenção do Acesso: o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de acessos exclusivos obtidos através de rootkits, backdoors ou trojans. Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da máquina atacada. O sistema atacado poderá ficar comprometido; 5. Camuflagem das Evidências: consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Podemos citar como técnica utilizada a esteganografia (é o ramo particular da criptologia que consiste em fazer com que uma forma escrita seja camuflada em outra a fim de mascarar seu verdadeiro sentido), o tunelamento e a alteração dos arquivos de log. Tipos de Ataque: Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema, os ataques podem ser classificados como: - Ataque para Obtenção de Informações: é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador; - Ataques aos Sistemas Operacionais: os atacantes procuram e exploram as vulnerabilidades existentes nos sistemas Operacionais para obter acesso para o sistema de rede da organização, devido as portas abertas por padrão dos sistema operacionais; - Ataques à Aplicação: normalmente as características de segurança da aplicação são oferecidas posteriormente ou muitas das vezes como um componente add-on (refere-se a modulo de hardware ou software que suplementam ou aumentam as ferramentas e possibilidades de uso ou características originais onde são utilizados). A não existência de controles de erros nas aplicações podem levar a ataques Ex.: buffer overflow; - Ataques de Códigos pré-fabricados (shirink wrap code): quando um administrador de sistemas instala um sistema operacional ou uma aplicação, normalmente já existem uma série de scripts prontos, que acompanham a instalação e que tornam o trabalho dos administradores mais fácil e mais ágil. Normalmente o problema na utilização destes scripts, é que não passaram por um processo de refinamento e customização quanto as reais necessidades de cada administrador e quando utilizado em sua versão padrão podem então conduzir a um ataque do tipo shrink wrap code, ou seja o atacante utiliza possível falhas de segurança nestes scripts para realizar o ataque; - Ataques de configuração mal feita (misconfiguration): com a complexidade dos sistemas atuais os administradores podem não ter os conhecimentos e recursos necessários para corrigir ou perceber um problema de segurança. Normalmente para agilizar e simplificar o trabalho, os administradores criam configurações simples. Para aumentar a probabilidade de configurar um sistema adequadamente os administradores devem remover qualquer serviço ou software que não sejam requeridos pelo sistema operacional, evitando que algum serviço ou software não necessário possa ser explorado. - Packet Sniffing: Consiste na captura de informações valiosas diretamente pelo fluxo de pacotes transmitido na rede. Este tipo de ataque também é conhecido como espionagem passiva e sua utilização diminuiu muito com a utilização de switches no lugar dos hubs. Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas dos protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta. Evite a utilização de serviços que possuem senhas abertas, tais como telnet, FTP, POP, pois podem ser facilmente capturadas pela rede dessa forma. Um dos métodos de se implementar um port scanning é a partir do protocolo TCP e através da primitiva connect() onde a system call connect() é utilizada para abrir uma conexão nas portas do alvo. Se a porta estiver aberta, a system call retornará com sucesso. - Scanning de Vulnerabilidade: Após mapear os sistemas que podem ser atacados e os serviços que são executados, o atacante irá mapear as vulnerabilidades específicas para cada serviço através da utilização de um software de scanning de vulnerabilidades. Estes softwares possuem diversos padrões e testes para detectar vulnerabilidades. Seu principal alvo são aplicativos desatualizados, Ex.: A versão de algum software utilizado na sua organização na qual foram achadas falhas críticas de segurança mas que a equipe técnica, por não saber dessas falhas não atualizou a versão do mesmo. - Ip Spoofing: Nesta técnica o endereço IP real do atacante é alterado, evitando assim que ele seja encontrado. Sistemas que possuem a segurança baseada em lista de endereço IP são o principal alvo desse tipo de ataque, onde o atacante se passa por um usuário legítimo. A melhor forma de tentar se proteger desse tipo de ataque é com a aplicação de filtros, de acordo com as interfaces de rede onde os IPs são validados e as interfaces de rede por onde trafegam também. - SYN Flooding: Este tipo de ataque explora a metodologia de estabelecimento de conexões do protocolo TCP, baseado no three-way-handshake. Desta forma um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneiraque o servidor não seja capaz de responder a todas elas. A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema. - Three-way-handshake: O protocolo TCP é um protocolo confiável, pertencente a pilha de protocolos TCP/IP. Para que ocorra troca de dados entre dois computadores é necessário que as duas máquinas estabeleçam uma conexão. Essa conexão é virtual e é conhecida como uma sessão e ocorre através de um processo chamado handshake de três vias, pois ocorre em três etapas. Esse processo sincroniza os números de sequência e fornece outras informações necessárias para estabelecer a sessão. - Fragmentação de pacotes IP: Os pacotes do protocolo TCP/IP possuem um campo MTU (maximum transfer unit) que especifica a quantidade máxima de dados que podem passar em um pacote por um meio físico da rede. Este tipo de ataque utiliza-se dessa característica devido ao modo como a fragmentação e o reagrupamento são implementados. Os sistemas não tentam processar o pacote até que todos os fragmentos sejam recebidos e reagrupados, isso cria a possibilidade de ocorrer um overflow na pilha do protocolo TCP quando há o reagrupamento dos pacotes. Este tipo de ataque não pode ser evitado por meio da implementação de filtros de pacotes, apenas com aplicação de correções no kernel do Sistema operacional. - Fraggle: Consiste em evitar um excessivo número de pacotes PING para o domínio de broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do domínio de broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, ficando desabilitada de suas funções normais. - Smurf: É idêntico ao ataque Fraggle, alterando o fato que utiliza-se de pacotes do protocolo UDP. - SQL Injection: um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação da entrada de dados de uma aplicação. - Buffer Overflow: Consequência direta de péssimos hábitos de programação. Consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados. - Ataques Físicos: Muitas vezes as organizações investem em equipamentos do tipo firewalls e anti-vírus e pensam que estão protegidos e esquecem que os ataque não ocorrem somente pela rede de computadores. As salas aonde ficam os servidores e os equipamentos de rede devem ter um controle rígido de acesso, assim como os arquivos com dados sigilosos ou sensíveis. Um ataque físico também pode ocorrer em instâncias menores como roubo da fita magnética de backup, através da conexão de dispositivos USB, ou ainda por acesso as informações sigilosas. - Dumpster diving ou Trashing: Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos, senhas e dados importantes) sejam trituradas ou destruídas de alguma forma. - Engenharia Social: Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. É um dos meios mais utilizados de obtenção de informações sigilosas e importantes. Para atingir seu objetivo o atacante pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. - Phishing Scam: é um método de ataque que se dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular. - Ataque de negação de serviço (DoS): É uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. Normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis. Neste tipo de ataque não ocorre uma invasão no sistema mas a sua invalidação por sobrecarga. Estes tipos de ataques podem ser realizados de duas formas: -Forçando o sistema alvo a reinicializar ou consumir todos os seus recursos (como memória ou processamento) de forma a não poder mais fornecer seu serviço. -Obstruindo a mídia de comunicação entre os clientes e o sistema alvo de forma a não comunicarem-se adequadamente. - Ataques coordenados (DDoS): Semelhante ao ataque DoS, porém ocorre de forma distribuída. Neste tipo de ataque distribuído de negação de serviço, também conhecido como DDoS, um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis) que terão a tarefa de ataque de negação de serviço. Consiste em fazer com que os Zumbis se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. Passada essa fase, na determinada hora, todos os zumbis (ligados e conectados à rede) acessarão ao mesmo recurso do mesmo servidor. Como servidores web possuem um número limitado de usuários que pode atender simultaneamente, o grande e repentino número de requisições de acesso faz com que o servidor não seja capaz de atender a mais nenhum pedido. Dependendo do recurso atacado, o servidor pode chegar a reiniciar ou até mesmo ficar travado. - Ping of Death: Envio de pacote com mais de 65507 bytes. - Sequestro de Conexões: As conexões do protocolo TCP são definidas por quatro informações essenciais: endereço IP de origem; porta TCP de origem; endereço IP do destino; porta TCP do destino. Todo byte enviado por um host é identificado com um número de sequência que é conhecido pelo receptor. O número de sequência do primeiro byte é definido durante a abertura da conexão e é diferente para cada uma delas. Neste tipo de ataque um terceiro host, do atacante, cria os pacotes com números de sequencias válidos, colocando-se entre os dois hosts e enviando os pacotes válidos para ambos. - Source Routing: Mecanismo legítimo que foi especificado para o protocolo IP, mas que pode ser explorado de forma ilícita. Neste tipo de ataque define-se uma rota reversa para o tráfego de resposta, em vez de utilizar algum protocolo de roteamento padrão. A melhor forma de evitar esse tipo de ataque é bloqueando a utilização da opção source routing, visto que normalmente não é utilizada. Revisão - Aula 1 a 5 O valor da informação: - Utilização da informação: Ampliar o conhecimento, Aumentar a capacidade de resposta, Aperfeiçoar as comunicações, Melhorar as estratégias; - Danos Potenciais: Perda de informação, Informações imprecisas, Acesso indevido às informações, Conluio; - Respostas Possíveis: Autorregulação, Defesa, Educação, Incentivos, Registros, Certificações. - Princípios da Segurança da Informação (Cinco Pilares): - Integridade: informações confiáveis, corretas e dispostas em formato compatível com o de utilização. - Disponibilidade: informação esteja sempre disponível quando solicitada. - Não repúdio: assegura que nem o emissor nem o receptor de uma informação possam negar o fato. - Autenticidade: informação é provenienteda fonte anunciada. - Confidencialidade: terá acesso à informação apenas quem foi autorizado para tal. - Informação X Segurança: POR QUE proteger as informações? Por seu valor, Pelo impacto de sua ausência, Pelo impacto resultante de seu uso por terceiros, Pela importância de sua existência, Pela relação de dependência com a sua atividade. QUANDO proteger as informações? Durante seu ciclo de vida, Manuseio, Armazenamento, Transporte, Descarte. - Vulnerabilidades: Fragilidades associadas às informações e seus ativos, no qual os mesmos são suscetíveis a ataques. Usadas para invadir os sistemas. Principais tipos de Vulnerabilidades: - Físicas: Instalações prediais, Data Center, Recursos de segurança, Controle de acesso; - Naturais: Incêndios, Enchentes, Terremotos, Tempestades; - Humanas: Treinamento, Vandalismo, Sabotagem, Imperícia; - Hardware: Conservação, Falha na instalação, Qualidade, Especificação; - Software: Atualização, Configuração, Falha, Instalação, Indisponibilidade; - Mídias: Utilização, Tecnologia, Armazenamento, Vida Útil, Qualidade; - Comunicação: Meio, Operação, Protocolo, Tecnologia. - Análise de Vulnerabilidade: Bugs específicos dos sistemas operacionais/ aplicativos; Fraqueza nas implementações de segurança dos sistemas operacionais/aplicativos; Falhas nos softwares dos equipamentos de comunicações; Fraquezas nas implementações de segurança dos equipamentos de comunicação; Fraqueza de segurança/falhas nos servidores; Falhas nas implementações de segurança dos recursos de rede. - Criptografia de Dados: Técnicas através dos quais se torna possível transformar informações em sua forma original para outra forma irreconhecível/ilegível. Reconhecida/lida por seu destinatário devido. Converter em mensagem cifrada ou código. Garantir privacidade, autenticidade, integridade, não repúdio e controle; Emissor embaralha a mensagem de forma que só o receptor desejado saiba desembaralhar Dois tipos: Simétrica – chave única. Assimétrica – chave priva e pública. - Assinatura Digital: Aplicação da criptografia. Utiliza Chave privada. Hash (resumo da mensagem) - Certificação Digital: Assinatura Digital emitida por um órgão certificador. ICP – Brasil. - Assinatura Digital Hash: Resumo da mensagem, geralmente de 128 a 256 bits. Criptografado e enviado junto com a mensagem. - Identificação de ameaças: - Natural (enchentes, terremotos, tornados, deslizamento de terra, tempestades de raios, etc.); - Humana (atos dolosos, negligentes, imperitos ou imprudentes de uso de programas maliciosos, de acesso a dados sigilosos, de mau uso dos sistemas, etc.); - Ambiental (falta de energia, poluição, substâncias químicas, etc.). - Malware: Malicious software. Software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações. - Virus: programa ou parte de um programa de computador, se propaga inserindo cópias de si mesmo, em outros programas. - Worms: propagar automaticamente através de redes, não embute cópias de si mesmo em outros programas e não precisa ser executado Cavalo de Tróia: parecem úteis mas tem código destrutivo embutido, geralmente utilizado para obter informações. - Adware: apresentar propagandas de forma indevida. - Spyware: monitorar atividades de um sistema e enviar as informações coletadas para terceiros. - Backdoors: permite o acesso do invasor ao sistema (ambiente). - Keylogger: captura e armazena tudo que é digitado no computador. - Screenloggers: captura a tela e posição do cursor de forma indevida. - Rootkits: conjunto de programas ou soluções utilizadas para acessos indevidos ou roubo de informações. - Bots e Botnets: coleção de agentes ou softwares que executam tarefas automaticamente sem prévia autorização. - Ameaça Passivo: Possuem a natureza de bisbilhotar ou monitorar transmissões. O objetivo dos ataques passivos é obter informações que estão sendo transmitidas. - Ameaça Ativo: Envolvem alguma modificação do fluxo de dados ou criação de um fluxo falso. Os ataques ativos envolvem alguma modificação do fluxo de ados ou a criação de um fluxo falso e podem ser subdivididos em quatro categorias: disfarce, modificação de mensagem, repetição e negação de serviço. OBS: As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como: R: Voluntárias Aula 6: Gestão de Riscos e Segurança da Informação Risco: é inerente a qualquer atividade, na vida pessoal, profissional ou nas organizações e pode envolver perdas e oportunidades. (IBGC: Instituto Brasileiro de Governança Corporativa). Potencial de uma ameaça (evento) se concretizar, através de uma vulnerabilidade e causar impactos. Segundo a norma ABNT NBR ISO 31000:2009- Gestão de Risco, o efeito que essa incerteza tem sobre os objetivos da organização é chamado de risco. Dizem respeito a todo e qualquer tipo de situação ou evento que constitui oportunidade de favorecer ou prejudicar o sucesso de um empreendimento. Risco é a probabilidade de uma ameaça explorar uma ou várias vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente. Sua escala é dada por dois fatores: Probabilidade de ocorrência da ameaça medida através da combinação da sua frequência com a avaliação das vulnerabilidades; Consequências trazidas pela ocorrência do incidente (impacto); Alvo – Agentes – Ameaças – Vulnerabilidade – Impactos. - Ativo: Tudo aquilo que tenha valor e que necessita de algum tipo de proteção ou cuidado. - Escopo: Conjunto de ativos que será coberto pelo processo de gestão de risco. - Parte envolvida: Indivíduos, grupos, organizações que são afetados diretamente por determinado risco. - Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Ambiental ou humana. - Incidente: Quando uma ameaça se concretiza. - Vulnerabilidades: Criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo. - Análise de vulnerabilidades: Processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções. - Avaliação das vulnerabilidades: quando esses dados são combinados com uma lista de possíveis ameaças, gerando dados que indiquem a real probabilidade de uma ameaça se concretizar explorando as vulnerabilidades existentes. Gestão de Riscos: é utilizada com o intuito de prevenir incidentes e melhorar o nível de segurança das informações sob o escopo do Sistema de Gestão de Segurança da Informação (SGSI), sendo um dos componentes mais importantes. É por meio deste processo que os riscos são identificados e tratados de forma sistemática e contínua. Benefícios: Entender os riscos associados com o negócio e a gestão da informação; Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações; Melhorar a eficácia no controle de riscos; Manter a reputação e imagem da organização; Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios; Minimizar as possibilidades de furto de informação e maximizar a proteção de dados. É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Esse propósito pode ser: Suporte a um Sistema de Gestão de Segurança da Informação (SGSI); Conformidade legal e a evidência da realização dos procedimentos corretos; Preparação de um plano de continuidade de negócios; Preparação de um plano de resposta a incidentes; Descrição dos requisitos de segurança da informaçãopara um produto, um serviço ou um mecanismo. A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco e utiliza o ciclo do PDCA, que nos permite entender a gestão do Risco como um processo contínuo: Identificar e avaliar os riscos; Selecionar, implementar e operar controles para tratar os riscos; verificar e analisar criticamente os riscos; Manter e melhorar os controles. - Análise e avaliação dos riscos: - Método Quantitativo: A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco. O risco é representando em termos de possíveis perdas financeiras. Costuma ser vistos com cautela pelos estudiosos devido à dificuldade de obtenção de resultados representativos e pela sua complexidade. - Método Qualitativo: Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. O que torna o processo mais rápido. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. Vários métodos de avaliação qualitativa do risco utilizam questionários e matrizes de risco. - Tratamento dos riscos: Fase em que selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. Existem várias classificações disponíveis para as medidas de proteção. Segundo Beal, uma classificação possível é: - Medidas Preventivas: Controles que conduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo, sistema, reduzindo assim a probabilidade de um ataque e ou sua capacidade de gerar afeitos na organização; - Medidas Corretivas ou Reativas: Reduzem o impacto de um ataque/incidente. São medidas tomadas durante ou após a ocorrência do evento; - Métodos Detectives: Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. - Aceitação do Risco: Ocorre quando o custo de proteção contra um risco não vale a pena. Aceitar o risco é uma das maneiras de trata-lo. - Comunicação do Risco: Divulgação de informações sobre o risco que foram identificados, tenham eles sido tratados ou não, a todas as partes envolvidas que precisam ter conhecimento a respeito deles. Riscos, medidas de segurança e o ciclo de segurança: Segundo Sêmola, para um melhor entendimento da amplitude e complexidade da segurança, é comum estudarmos os desafios em camadas ou fases para tornar mais claro o entendimento de cada uma delas. Estas fases são chamadas de barreiras e foram divididas em seis. Cada uma delas tem uma participação importante no objetivo maior de reduzir os riscos, e por isso, deve ser dimensionada adequadamente para proporcionar a mais perfeita integração e interação: - Desencorajar: Esta é a primeira das cinco barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmara de vídeo, mesmo falsa, de um aviso de existência de alarmes, já são efetivos nesta fase; - Dificultar: O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico; - Discriminar: Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computador e banco de dados; - Detectar: Esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem e instrumentem os gestores da segurança na detecção de situações de risco. Seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo; - Deter: Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos; - Diagnosticar: Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo. Devido a estes fatores é a barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos. Equação do risco: Cada negócio, independentemente de seu segmento de mercado possui dezenas ou centenas de variáveis que se relacionam direta e indiretamente com a definição de seu nível de risco. R = V x A x I / M --- R: Risco, V:Vulnerabilidade, A:Ameaças, I:Impactos, M:Medidas de segurança. OBS: Afeta especificamente um dos três elementos da tríade da SI. R: DoS/DDoS Aula 7: Segurança da Informação Segundo a NBR ISO/IEC 27002 (Antiga ISO 17799) ISO: É uma instituição cujo objetivo é propor e monitorar normas que representem e traduzam o consenso de diferentes países para a normalização de procedimentos, medidas e materiais em todos os domínios da atividade produtiva. Como o Brasil participa da ISO? Através da ABNT (Associação Brasileira de Normas Técnicas), foi fundada em 1940 para fornecer a base necessária ao desenvolvimento tecnológico brasileiro e é o órgão responsável pela normalização técnica no país. Existem vários grupos participantes da ABNT sobre os mais variados temas. No caso da informática o grupo responsável pela discussão das normas é o CB-21 (Computadores e Processamento de Dados) ISO/IEC 27000 - Termos e Vocabulário: Proporciona terminologia e correspondência entre as normas 27000; ISO/IEC 27001 - Requisitos SGSI: Proporciona os fundamentos de um SGSI; ISO/IEC 27002 - Código de Práticas: Proporciona as melhores práticas de controle para a implementação do SGSI; ISO/IEC 27003 - Guia para Implantação: Proporciona diretrizes detalhadas para a implantação de um SGSI (27001) utilizando exemplos e estudos de caso; ISO/IEC 27004 - Medição: Proporciona a metodologia para a medição da efetividade do SGSI (27001) e dos controles (27002); ISO/IEC 27005 - Gestão de Risco: Proporciona uma metodologia para uso do SGSI (27001); ISO/IEC 27006 - Requisitos para Acreditação: Proporciona os requisitos para a acreditação de organismos de certificação e de auditores para fins de certificação de SGSI (27001); ISO/IEC 27007 – Orientações para Gestão de Auditoria de Sistemas de Segurança da Informação; ISO/IEC 27008 - Orientações para Auditores de Sistema de Segurança da Informação. Segundo a NBR ISO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: - Requisitos de Negócio; Analise de Risco; Requisitos Legais. Segundo a NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação. Já a norma Segundo a NBR ISO/IEC 27001 orienta como uma organização deve se relacionar com a gestão de risco ao estabelecer seu Sistema de Gestão de Segurança da Informação – SGSI. A norma Segundo a NBR ISO/IEC 27002 provê uma orientaçãode como a organização deve proceder para estabelecer a política de segurança da informação: A direção da organização deve estabelecer a orientação da política alinhada com os objetivos do negócio; A direção deve demonstrar seu apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. - Diretrizes: são regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da lata direção. Serve como base para a criação das normas e procedimentos. - Normas: especificam no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes. - Procedimentos: detalham no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas pela norma. A norma NBR ISO/IEC 27002 provê uma orientação de como a organização deve proceder para gerenciar a segurança da informação na organização. - Internamente: Através do comprometimento da direção, Através do estabelecimento da coordenação da segurança da informação, Da atribuição de responsabilidade para a segurança da informação; - Externamente: Identificação dos riscos relacionados com partes externas, Identificação da segurança antes de conceder aos clientes o acesso aos ativos da organização, Identificação da segurança nos acordos com terceiros. A norma NBR ISO/IEC 27002 orienta que a organização deve realizar e manter a proteção adequada dos ativos da organização, além de assegurar que a informação receba um nível adequado de proteção. O Proprietário de um ativo pode ser designado para: Um processo de negócios, Um conjunto de atividades definidas, Uma aplicação, Um conjunto de dados definido. A norma NBR ISO/IEC 27002 orienta que a organização deve garantir que a segurança é parte integrante de sistemas de informação seja na aquisição, desenvolvimento ou manutenção de Sistemas de Informação. – Validação dos dados de entrada: Entrada duplicada, valores fora de faixa ou caracteres inválidos, Dados incompletos ou faltantes, Volume de dados excedendo limites superiores ou inferiores, Procedimento para tratar erros de validação; - Controle do processamento interno: Garantia de que os riscos de falhas de processamento que levem à perda de integridade sejam minimizados, Procedimentos para evitar que programas rodem na ordem errada ou após uma falha de processamento, Implementação de técnicas de consistência (hash) para registros e arquivos, Proteção contra ataques usando buffer overflow; - Validação dos dados de saída: Verificações de plausibilidade (Qualidade de ser plausível, de ser admissível) para testar se os dados de saída são razoáveis, Procedimentos para responder aos testes de validação dos dados de saída, Criação de um registro de atividades de validação dos dados de saída. A norma NBR ISO/IEC 27002 orienta que a organização deve assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados permitindo a tomada de ação corretiva em tempo hábil. A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil se for o caso. Como implementar? Identificação dos processos críticos, Realização de uma análise de impacto dos negócios, através da medição das consequências de desastres, das falhas de segurança, das perdas de serviços e disponibilidade dos serviços, Realização de análise de risco. A norma NBR ISO/IEC 27002 orienta que a organização deve evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. ISO Guide 73: Risco: Qualquer tipo de situação (ou evento) que constitui oportunidade de favorecer ou prejudicar o sucesso de um empreendimento. Comércio/Indústria: o risco baseada estimadas e custo de concorrência. Área de saúde: o risco é visto como a possibilidade de danos à dimensão física, psíquica, moral, intelectual, social, cultural. OBS: Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: R: Aceitação de risco. Aula 8: Gestão de Segurança da Informação Segundo a NBR ISO/IEC 27001 Diferentemente da norma NBR ISO/IEC 27002 que estabelece as melhores práticas em segurança da informação, a norma NBR ISO/IEC 27001 tem como objetivo especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos da organização. A norma adota uma abordagem de processo, a identificação e iterações de um sistema de processos, e sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA). Caso a organização queira estar em conformidade com a norma os itens, deverá implementar os seguintes itens obrigatórios: Sistema de Gestão de Segurança da Informação, Responsabilidade da Direção, Análise Crítica do SGSI pela Direção, Melhoria do SGSI. - Plan: O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. - Do: A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI. – Check: A Organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de procedimentos, identificar as tentativas e violações de segurança bem-sucedida, e os incidentes de segurança da informação. – Act: A Organização deve implementar as melhorias identificadas no SGSI. Auditoria: Um exame sistemático e independente para determinar se as atividades e seus resultados estão de acordo com as disposições planejadas, se estas foram implementadas com a eficácia e se são adequadas à consecução dos objetivos. Auditorias internas do SGSI: A organização deve realizar auditorias internas do SGSI em intervalos regulares para determinar se os objetivos de controles, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001 e a legislação ou regulamentações pertinentes. Uma boa fonte de consulta para a compreensão do processo de auditoria é a norma NBR ISO 19011 - Diretrizes para auditoria de sistema de gestão da qualidade e ou ambiental. Melhorias do SGSI: Estas ações ocorrem através do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações corretivas ou preventivas. – Ações Corretivas: Devem ser executadas ações para eliminar as causas da não conformidade com os requisitos do SGSI de forma a evitar a sua repetição, neste sentido é necessário identificar as não conformidades e determinar suas causas. Avaliar a necessidade de implementar ações para assegurar que não se repitam, ou seja, implementar e analisar criticamente as ações corretivas documentando os resultados. – Ações Preventivas: Devem ser estabelecidas ações para eliminar as causas de não conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrência. Desta forma é necessário a identificação das não conformidades potenciais e suas causas. Avaliar a necessidade de implementar ações preventivas para assegurar que não ocorram, ou seja, implementar a analisar criticamente ações preventivas documentado os resultados. As Certificações de organizações que implementaram a NBRISO/IEC 27001 é um meio de garantir que a organização certificada implementou um sistema para gerencia da segurança da informação de acordo com os padrões. O Processo de certificação ocorre em um processo de auditoria de 2 etapas: 1. Auditoria da Documentação: revisão da existência e completude de documentações e informações do SGSI, 2. Auditoria de Certificação: auditoria envolvendo a existência de controle de segurança do SGSI, bem como a documentação de suporte. - Análise de probabilidades: Índice que indique as chances de uma vulnerabilidade ser explorada deriva da capacidade e do estímulo das fontes de ameaças. Deve-se considerar: experiências passadas; Estatísticas históricas de ocorrência de ameaças; motivações e ferramentas disponíveis para realizar atos intencionais; fatores climáticos e geográficos. Altas - quando a fonte de ameaça está altamente estimulada, é capaz de exercer a ameaça e não existem controles preventivos, ou se existem não são efetivos. Médias - quando a fonte de ameaça está motivada, é capaz de exercer a ameaça, mas os controles utilizados são efetivos, ou seja, não permitem o sucesso da fonte de ameaça. Baixas - quando as fontes de ameaças carecem de motivação e os controles são efetivos na prevenção da exploração da vulnerabilidade. - Análise de impacto: Quantitativamente: utilizando-se uma unidade de medida conhecida como perda de desempenhos, custos de manutenção ou tempo gasto para corrigir problema; Qualitativamente: como alto, médio ou baixo impacto, classificados conforme grandeza dos custos pela perda dos ativos ou recursos, significância do dano em relação à missão ou reputação da empresa, ou prejuízos à vida humana. - Mitigação do risco: é a redução (ou adequação) do risco a valores aceitáveis, sabendo-se que no que se refere à mitigação, o que se deseja evitar não é a ocorrência do fator gerador de risco, mas sua consequência. - Suposição de riscos: aceitar o risco potencial e continuar operacionalizando o sistema informatizado ou implementar controles para diminuir o risco para um nível aceitável. - Prevenção de riscos: evitar o risco, eliminando sua causa de risco e/ou consequência (Ex.: abrir mão de certas funções do sistema ou desligar o sistema quando os riscos são identificados). - Limitação de riscos: limitar o risco implementando controles que minimizam o impacto negativo de uma ameaça, influenciar uma vulnerabilidade (Ex.: o uso de controles de apoio, prevenção, etc.). - Planejamento de riscos: gerenciar riscos através do desenvolvimento de um planejamento de mitigação de riscos que prioriza, implementa e mantém controles. - Pesquisa e reconhecimento: para diminuir o risco de perda, reconhecendo a vulnerabilidade ou falha e pesquisar controles para corrigir a vulnerabilidade. - Transferência de risco: transferir o risco usando outras opções para compensar a perda, por exemplo, a compra de seguros. - Melhoria contínua: Reavaliação periódica do ambiente e dos riscos, Revisão periódica dos critérios para mensurar os riscos. Saiba mais Certificação ISO 27001: http://www.iso27001certificates.com/ OBS: Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para: R: Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. Aula 9: Gestão da Continuidade do Negócio Segundo a NBR ISO/IEC 15999 Desastre: é sempre um incidente, mas só podemos definir se um incidente se tornou um desastre depois de avaliarmos suas consequências. A diferença entre estes termos é que o incidente é um evento imprevisto e indesejável que poderia ter resultado em algum tipo de dano à pessoa, ao patrimônio ou ainda algum tipo de impacto ao meio ambiente, mas não resultou. O desastre é um evento que efetivamente gerou danos humanos, materiais e ambientais. - Tipos de Desastres: Distúrbios Civis, Invasões, Roubo, Sabotagem, Apagões, Incêndio, Terremotos, Fenômenos Meteorológicos: Ciclones, enchentes, chuvas de granizo, etc. A norma NBR ISO/IEC 15999, é a norma que trata da continuidade de negócios e é dividida em duas partes: ABNT NBR 15999-1 – Gestão da continuidade de negócios – Parte1: Código de prática: A parte 1 da norma é um código de prática da gestão da continuidade de negócios; ABNT NBR 15999-2 – Gestão da continuidade de negócios – Parte2: Requisitos: A parte 2 especifica os requisitos para estabelecer um Sistema de Gestão de continuidade de negócio (SGCN) eficaz definido por um programa de Gestão de Continuidade de Negócio (GCN) - Objetivo e Escopo: A norma NBR ISSO/IEC 15999:1 orienta as organizações na estruturação e implementação da continuidade de negócio. Foi elaborada para fornecer um sistema baseado nas boas práticas de gestão da continuidade de negócios. Serve como referência única para a maior parte das situações que envolve a continuidade de negócio, podendo ser usada por organizações de grande, médio e pequeno portes, nos setores industriais, comerciais, públicos e de caráter voluntário. - Termos e Definições: Alta Direção: Pessoa ou grupo de pessoas que dirige e controla uma organização em seu nível mais alto; Continuidade de negócios: Capacidade estratégica e tática da organização de se planejar e responder a incidentes e interrupções de negócios, para conseguir continuar suas operações em um nível aceitável previamente definido; Estratégia de continuidade de negócio: abordagem de um organização que garante a sua recuperação e continuidade, ao se defrontar com um desastre, ou outro incidente maior ou interrupção de negócios; Impacto: consequência avaliada de um evento em particular; Incidente: situação que pode representar ou levar a uma interrupção de negócios, perdas, emergências ou crises; Interrupção: evento, seja previsto (por exemplo, uma greve ou furação) ou não (por exemplo, um blecaute ou terremoto) que cause desvio negativo imprevisto na entrega e execução de produtos ou serviços da organização de acordo com seus objetivos; Período máximo de interrupção tolerável: Duração a partir da qual a viabilidade de uma organização será ameaçada de forma inevitável, caso a entrega de produtos ou serviços não possa ser reiniciada; Planejamento de emergência: desenvolvimento e manutenção de procedimentos acordado de forma a prevenir, reduzir, controlar, mitigar e escolher ações a serem tomadas no caso de uma emergência civil; Plano de continuidade de negócio(PCN): Documentação de procedimentos e informações desenvolvidas e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido; Plano de gerenciamento de incidentes: Plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes; Programa de gestão de continuidade de negócio: Processos contínuos de gestão e governança que são suportados pela alta direção e que recebem os recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de recuperação viáveis e garantir a continuidade de fornecimento de produtos e serviços por meio de treinamentos, testes, manutenção e análise críticas; Resiliência: capacidade de uma organização de resistir aos efeitos de um incidente. - Visão geral da Gestão da Continuidade de Negócios (GCN): A gestão de continuidade de negócio permite uma visão total da organização e facilita o relacionamento comas diversas áreas. É um processo da organização que estabelece uma estrutura estratégica e operacional adequada para: Melhorar proativamente a resiliência da organização contra possíveis interrupções de sua capacidade em atingir seus objetivos; Prover uma prática para reestabelecer a capacidade de uma organização fornecer seus principais produtos e serviços, em um nível previamente acordado, dentro de um tempo previamente determinado após uma interrupção; Obter reconhecida capacidade de gerenciar uma interrupção no negócio, de forma a proteger a marca e reputação da organização. O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. - Entendendo a organização: Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los; - Determinando a estratégia de continuidade de negócios: permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção; Desenvolvendo e implementando uma resposta de GCN: resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações; Testando, mantendo e analisando criticamente os preparativos de GCN: A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. - Gestão do programa de GCN: - Atribuição de responsabilidades: A organização deverá nomear um ou mais pessoas para implementar ou manter o programa de GCN e documentar os papéis e responsabilidades nas descrições de trabalho e grupos de habilidades da organização. - Implementação da continuidade de negócios na organização: incluem as fases de: planejamento, desenvolvimento e implementação do programa. Nesta fase é importante que a organização comunique as partes interessadas de forma que todos os envolvidos tenham acesso as informações sintam-se envolvidos pelo processo. Realize capacitação da equipe envolvida e ainda teste a capacidade de continuidade de negócios da organização. - Gestão contínua da continuidade de negócios: Esta atividade deve assegurar que a continuidade de negócios seja incorporada na cultura e atividade da organização. O processo se dá através da realização da análise crítica, do exercício e da atualização de cada componente envolvido neste processo. Para que seja realizada a manutenção continua e independentemente de como sejam alocados os recursos para a continuidade de negócio na organização, algumas atividades desse ser executadas: Definição dos escopo, papéis e responsabilidades; Nomeação de uma ou mais pessoas para gerenciar o GCN; Manutenção do programa de GCN através da implementação das melhores práticas utilizadas; Promoção da continuidade de negócios por toda a organização de forma ampla; Administração do programa de testes; Análise crítica e atualização da capacidade de continuidade de negócios, análise de riscos e nálise de impacto de negócio (BIA); Manutenção da documentação do GCN; Gerenciamento dos custos associados à GCN; Estabelecimento e monitoramento do gerenciamento de mudanças. - Política de gestão da continuidade de negócios: Segundo a norma NBR ISO/IEC 15999 os propósitos de se estabelecer uma política de continuidade de negócio são: Garantir que todas as atividades de GCN sejam conduzidas e implementadas de modo controlado e conforme o combinado; Alcançar uma capacidade de continuidade de negócios que vá ao encontro das necessidades do negócio e que seja apropriada ao tamanho, complexidade e natureza da organização; e implementar uma estrutura claramente definida para a capacidade contínua de GCN. A política de GCN deverá estabelecer os processos para: As atividades de preparação para se estabelecer o GCN: Especificação, Planejamento, Criação, Implementação, Testes. - Análise do Impacto do negócio (BIA): É imprescindível que a equipe responsável pela elaboração e implementação da continuidade de negócio defina e documente o impacto das atividades que suportam seus produtos e serviços. A esse processo damos o nome de análise de impacto nos negócios e que é conhecido mundialmente por BIA. O objetivo desta análise é levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização e dentro do escopo do programa de GCN. Deve ser mapeado os ativos físicos, tecnológicos e humanos, assim como quaisquer atividades interdependentes que também precisem ser mantidos continuamente ou recuperados ao longo do tempo de cada processo ou atividade, para então apurar os impactos quantitativos que poderiam ser gerados com a sua paralisação total ou parcial. - Identificação das atividades críticas: Após a realização do levantamento e da análise do impacto do negócio, a organização deve categorizar suas atividades de acordo com suas prioridades recuperação. Atividades cuja perda, baseado no resultado do BIA, teriam o maior impacto no menor tempo e que necessitem ser recuperadas mais rapidamente devem ser chamadas de atividades críticas. A organização deve considerar também que existem outras não consideradas críticas mas que devem ser recuperadas dentro do seu período máximo de interrupção tolerável. A organização deverá estimar os recursos que cada atividade necessitará durante sua recuperação: Recursos de pessoal (quantidade, habilidades e conhecimento); Localização dos trabalhos e instalações necessárias; Tecnologia, equipamentos e plantas que suportam o negócio; Informação sobre trabalhos anteriores ou trabalhos atualmente em progresso, de forma a permitir que as atividades continuem no nível acordado; Serviços e fornecedores externos. - Determinando a estratégia de continuidade de negócios: A organização deve definir uma estratégia de resposta a incidente que permita uma resposta efetiva e uma recuperação pós-incidente e também a implementação de uma estrutura que caso ocorra um acidente possa rapidamente ser formada. Esta equipe pode receber a denominação de equipe de gerenciamento de incidente ou equipe de gerenciamento de crise. A estrutura implementada deve possuir: planos, processos e procedimentos de gerenciamento de incidentes, ferramentas de continuidade de negócio, planos para ativação, operação, coordenação e comunicação de resposta ao incidente. No caso de um incidente a organização deverá ser capaz de: Confirmar a natureza e extensão do incidente; Tomar controle da situação; Controlar o incidente; Comunicar-se com as partes interessadas. Os planos elaborados, sejam de gerenciamento de incidentes, continuidade ou de recuperação de negócios, devem ser concisos, de fácil leitura e compreensão e estar acessíveis à todos que tenham responsabilidades
Compartilhar