Introdução a Política de Segurança

Prévia do material em texto

1
PPPPOLITICAS DE SEGURANÇAOLITICAS DE SEGURANÇAOLITICAS DE SEGURANÇAOLITICAS DE SEGURANÇA
SEGURANÇA DA INFORMAÇÃOSEGURANÇA DA INFORMAÇÃOSEGURANÇA DA INFORMAÇÃOSEGURANÇA DA INFORMAÇÃO
Prof. Alexandre Murakami
1
Qual a abrangência da GSI?
• Dois aspectos devem ser considerados como 
parâmetros “de entrada” para a definição do 
escopo da GSI
1. Análise da organização
2. Identificação dos ativos
Fonte: ISO ABNT 27005
Escopo da GSI
1. Análise da organização: o entendimento 
completo da organização permite 
– Orientar as atividades de segurança
– Definir os critérios (limites, orientações, 
políticas) que vão ser utilizados em várias das 
fases de desenvolvimento da GSI
Escopo da GSI: entendendo a organização
1. Análise da organização: elementos 
considerados
– Propósito principal da organização, ou seja, a 
razão pela qual a empresa existe (área de 
atividade, segmento de mercado)
– Técnicas e know-how de seus funcionários 
que viabilizam o cumprimento de suas metas
– Valores aplicados na rotina do negócio
– A estrutura da organização: organograma, 
estrutura dos recursos (departamental, 
matriz, etc)
– Restrições que afetam o negócio: legais, 
territoriais, qualificação, etc.
2. Identificação dos ativos
– Ativos são quaisquer recursos ou bens que 
possuem VALOR dentro de uma empresa
– Dar valor a esses ativos é um passo 
fundamental para o estabelecimento da GSI.
– Para conseguir valorar ativos, uma empresa 
precisa primeiros identificá-los num nível de 
detalhamento adequado.
– Existem dois tipos básicos de ativos
• Ativos primários
• Ativos de suporte e infra-estrutura
Escopo da GSI: entendendo a organização
Escopo da GSI: ativos primários
SUPORTE OU INFRA-
ESTRUTURA
(elementos sobre os quais
os ativos primários se
apóiam)
• Processos e atividades do 
negócio
• Informação
• Hardware
• Software
• Recursos humanos
• Instalações físicas
• Rede de comunicação
PRIMÁRIOS
• Identificação feita (geralmente) por um 
grupo de funcionários (equipe 
multidisciplinar)
• Dois tipos:
a) Processos e atividades de negócio
• Processos cuja interrupção, mesmo que parcial, 
torna impossível cumprir a missão da organização
• Procedimentos secretos ou que envolvam 
tecnologia proprietária
• Processos que, se alterados, prejudicam 
fortemente a empresa
• Requisitos de conformidade legal ou contratual
Escopo da GSI: ativos primários
b) Informação: 
– Informação vital para o cumprimento da 
missão ou negócio
– Informações de caráter pessoal (respeito à 
privacidade)
– Informação estratégica, necessária para o 
alcance de objetivos determinados por 
direcionamento estratégico
– Informação de alto custo, cuja coleta e 
armazenamento demanda alto custo
Escopo da GSI: ativos primários
Escopo da GSI: ativos primários
• Mais especificamente, no caso dos ativos 
de informação, quais são os aspectos que 
devem ser protegidos?
• São três:
– Confidencialidade
– Integridade
– Disponibilidade 
Escopo da GSI: ativos primários
1. Confidencialidade
• Questão básica: preservar o sigilo
– Garantir que apenas as pessoas que devem ter 
conhecimento a seu respeito poderão ter 
acesso à ela.
• Existem vários níveis de sigilo que podem 
ser atribuídos a uma informação
• Pública: acesso não controlado
• Restrita: acesso controlado em vários níveis, do 
mais leve (por exemplo, lista de premiados do 
“Funcionário do Mês”) ao mais alto (fórmula da 
Coca-Cola).
Escopo da GSI: ativos primários
2. Integridade
• Questão básica: proteger a informação 
contra alterações indevidas, tanto 
intencionais quanto acidentais
– Alterar um salário (sem permissão) é uma 
ameaça intencional à integridade da 
informação
– Um erro causado por uma falha de transmissão 
compromete a integridade de maneira 
acidental
Escopo da GSI: ativos primários
3. Disponibilidade
• Uma informação disponível é aquela que 
pode ser obtida e usada por quem precisa 
dela no momento em que a necessita.
– Novamente, uma informação pode ficar 
indisponível por acidente ou por um ato 
malicioso (mal intencionado)
• Os ativos primários se apóiam em outros 
recursos para poderem exercer suas 
atividades
• Esses recursos também têm que ser 
mapeados e reconhecidos por apresentar 
vulnerabilidades que podem ser 
exploradas por ameaças.
Escopo da GSI: ativos de suporte
Escopo da GSI: tipos de ativos de suporte
Tipo Exemplos
Hardware • Servidores
• Laptops
• Periféricos
• Mídia
• Storage
Software • Sistema operacional
• ERPs
• Aplicações dedicadas
Rede • Cabeamento
• Elementos de rede
Recursos 
Humanos
• Usuários
• Desenvolvedores
• Tomadores de decisão
• Pessoal de 
manutenção
Escopo da GSI: tipos de ativos de suporte
Tipo Exemplos
Instalações 
físicas
• Prédios
• Escritórios
Comunica-
ção
• PABX
• Linhas telefônicas
• Rádio
Utilidades • Água
• Luz
• Transporte
Prestadores 
e Terceiros
• Autoridades
• Subcontratos
• Fornecedores
Ameaças e vulnerabilidades
• Vamos voltar a uma frase dita há pouco
– Ativos de suporte também têm que ser mapeados e 
reconhecidos por apresentar vulnerabilidades que 
podem ser exploradas por ameaças.Aqui estão dois 
termos muito importantes que merecem uma 
atenção maior
– AMEAÇAS: são atividades cujo objetivo é 
comprometer os ativos (ou seja, diminuir seu valor)
– VULNERABILIDADES: são situações ou propriedades 
específicas de ativos que representam falhas (ou 
ausência) de segurança 
Ameaças: origens
Natural
Acidental
Intencional
- Ação humana não 
intencional
- Ação humana 
maliciosa, intencional
- Ameaças não 
causadas por ação 
humana
Ameaças: exemplos (ISO 27005) 
Tipo Ameaças Origem
Dano físico • Fogo A,I,N
• Água A,I,N
•Poluição A,I,N
Eventos 
naturais
• Terremoto N
• Furacão N
• Inundação N
Paralização 
de serviços 
essenciais
• Falha no ar condicionado A,I
• Interrupção na energia A,I,N
• Falha em sistema de comunicação A,I
Comprometi
mento da 
informação
• Intercepção de sinais I
• Espionagem I
• Alteração de software A,I
Ameaças: exemplos (ISO 27005)
Tipo Ameaças Origem
Comprometi-
mento da 
informação
• Furto de equipamentos I
• Recuperação de mídia descartada I
• Divulgação indevida A,I
• Fontes não confiáveis A,I
• Alteração de hardware I
• Determinação da localização I
Falhas 
técnicas
• Falha no equipamento A
• Defeito de software A
• Saturação do sistema A,I
Ações não 
autorizadas
• Uso não autorizado de equip. I
• Uso de cópias ilegais de software A,I
• Processamento ilegal de dados I
Ameaças: motivações (ISO 27005)
• É importante que se dê especial atenção 
às motivações das fontes de ameaças 
representadas por seres humanos
• Com isso, proteções mais eficientes 
poderão ser planejadas
Ameaças: motivações (ISO 27005)
Origem das 
ameaças Motivações
Possíveis 
consequências
Hacker, 
cracker
• Desafio
• Ego
• Rebeldia
• Status
• Dinheiro
• Engenharia social
• Invasão de sistemas
• Destruição de dados
Criminoso 
digital
• Destruição de informações
• Ganho monetário
• Divulgação ilegal de 
informações
• Fraude (uso indevido 
de credenciais)
• Suborno
• Chantagem
Terrorista • Destruição
• Vingança
• Ganho político
• Guerra de informações
• Alteração de sistema
• Interrupção de 
funcionamento
Ameaças: motivações (ISO 27005)
Origem das 
ameaças Motivações
Possíveis 
consequências
Espionagem 
industrial
•Vantagem competitiva
• Espionagem econômica
• Engenharia social
• Furto de informação
• Garantir vantagem 
econômica
• Chantagem
• Sabotagem
Pessoal 
interno
• Curiosidade
• Ganho monetário
• Vingança
• Erros e omissõesnão 
intencionais
• Agressão a funcionário
• Uso impróprio de 
informações em 
benefício próprio
• Alteração de dados 
• Sabotagem
• Venda de informações
Vulnerabilidades
Permitem que as ameaças se concretizem
Causadas pela ausência (ou falhas) de 
mecanismos de proteção: 
Alguém já ouviu falar em “falhas de segurança do 
windows”?
Portas abertas
Papéis deixados em cima das mesas
“Inocência” dos usuários
Desconhecimento de procedimentos e normas: falta 
de treinamento
A norma 27005 traz extensa lista de 
vulnerabilidades que pode ser usada como 
referência para se criar cenários 
relevantes para a análise da empresa. 
Vulnerabilidades: exemplos (ISO 27005)
Tipos Vulnerabilidades Ameaças
Hardware • Inexistência de controle eficiente 
de configuração
Erro durante o uso
• Falta de cuidado durante 
descarte de mídia 
Furto de mídia
• Realização não controlada de 
cópias
Furto de informação
• Sensibilidade à umidade, poeira Destruição de 
equipamento, perda de 
informação
Software • Não execução de logout Acesso indevido, roubo 
de informação
• Interface HM complicada Erro durante o uso
• Documentação inexistente Erro durante o uso
• Configuração errada Erro durante uso
• Atribuição errônea de direitos de 
acesso
Abuso de direitos
Vulnerabilidades: exemplos (ISO 27005)
Tipos Vulnerabilidades Ameaças
Rede • Inexistência de mecanismo de 
autenticação
Forjamento de direitos 
(fraude)
• Gerenciamento de senhas mal 
feito
Forjamento de direitos
• Inexistência de relatórios de uso Uso não autorizado
• Linhas de comunicação 
desprotegidas
Escuta não autorizada
Recursos 
humanos
• Procedimentos de recrutamento 
inadequados
Destruição de 
equipamentos
• Uso incorreto de software Erro durante uso
• Trabalho não supervisionado Furto
• Inexistência de política de uso Uso não autorizado de 
equipamentos
• Treinamento insuficiente em 
segurança
Erro durante o uso
Vulnerabilidades: exemplos (ISO 27005)
Tipos Vulnerabilidades Ameaças
Organi-
zação
• Inexistência de política de uso 
de equipamentos móveis
Furto de equipamentos
• Inexistência de política de mesa 
limpa
Furto de informação
• Inexistência de política de uso 
de e-mail
Divulgação indevida, uso 
indevido de 
equipamentos
• Inexistência de procedimentos 
para manipulação de informações 
classificadas
Erro durante o uso
• Inexistência de procedimento 
formal para controle de 
documentação
Comprometimento dos 
dados
Vulnerabilidades
• Existem várias técnicas que permitem 
testar sistemas com o objetivo de se 
identificar possíveis vulnerabilidades
– Ferramentas automatizadas
– Testes de invasão
– Análise crítica de código
• É essencial que qualquer análise de 
segurança tenha um quadro atualizado e 
preciso das vulnerabilidades envolvidas.
Proteções
• São implantadas para
– evitar que ameaças se concretizem 
ou
– Que vulnerabilidades sejam exploradas
Empresas implementam PROTEÇÕES
– Preventivas ou 
– Reparadoras
• A opção por qual técnica será empregada 
vai depender do processo de análise de 
risco (que veremos em outra aula)
Tipos de proteção
PREVENTIVA
REPARADORA
Ações e mecanismos para 
evitar que as ameaças se 
concretizem, ou seja, ações 
para diminuir o RISCO das 
ameaças
Ações e mecanismos 
para minimizar os 
impactos de ameaças 
concretizadas
Tipos de proteção
PREVENTIVA
REPARADORA
- Cercas, portões
- Ferramentas anti-virus
- Controle de acesso
- Ferramentas de back-up
- Ferramentas de 
recuperação de back-up
- Sites de contingência
- Equipes de emergência
Agentes
• Não falamos nada até agora, mas é óbvio, 
existem dois elementos essenciais nesse 
quadro todo, os AGENTES:
– Proprietários: usuários ou os detentores do 
ativos
– Ameaçadores: interessados em explorar as 
vulnerabilidades
A interação entre todos
• Agentes, ameaças, ativos e vulnerabilidades interagem
– Continuamente
– Dinamicamente
• Essa interação é medida por RISCOS, que é a 
probabilidade (possibilidade) de uma determinada 
ameaça explorar vulnerabilidades de um ativo.
• Exemplos:
– Mudanças no clima geram ameaças antes inexistentes.
– Novos proprietários podem ter percepções muito diferentes de 
riscos e valor para os ativos
– Novas versões de produtos geram novas vulnerabilidades 
– Expansões da empresa (novos mercados, aquisições) alteram o 
quadro de ativos e trazem novos riscos, novas ameaças. 
O cenário da Gestão da Segurança da Informação
Proprietário
s
Proprietário
s
Proteções
Vulnerabilidade
s
Vulnerabilidade
s
Agentes
s
Agentes
ameaçadore
s
Riscos
Ameaças
Ativos
podem ter ciência das
impõem
querem minimizar os
atribuem valor aos
criam
querem fazer uso indevido e/ou causar danos aos
que 
exploram
aumentam
aos
para minimizar os
aos
reduzidas por
gerando
que podem
ter
Fonte: Trusted Computer System Evaluation Criteria
A Gestão da Segurança da 
Informação
• Premissa fundamental: não existe segurança perfeita
• Por melhores e mais complexas que possam ser as 
proteções, não há como se atingir uma segurança absoluta 
e completa
• Por uma razão muito simples:
– Segurança tem preço, e ele é ALTO
– Chega um momento que a proteção pode custar mais que o ativo. 
Nesse momento, a proteção perde seu sentido
• Consequência: 
– GSI é resultado de um compromisso, uma avaliação criteriosa 
que contrabalança investimentos e resultados esperados
Propósitos básicos da GSI
• Como vimos na primeira aula, mas agora 
com mais detalhes:
1. Garantir a continuidade do negócio da 
organização e
2. Minimizar o impacto causados por 
incidentes de segurança pelo:
• Afastamento de ameaças
• Não (ou diminuição da possibilidade) exploração 
de vulnerabilidades
• Diminuição dos riscos
Implantação da SI
• Dado esse cenário complexo, como atingir 
esses propósitos de maneira eficiente?
• Usar o conhecimento e a experiência 
acumulados de muitos profissionais e 
empresas na forma das normas de 
segurança
• ISO 17799
• ISO 27001 e 27005
• ISO 15999
As normas ISO de segurança
• Normas internacionais cobrindo cada aspecto da 
Segurança da Informação: RH, equipamentos, 
instalações físicas, etc.
• ISO 17799: conjunto de controles e recomendações 
baseados nas melhores práticas confirmadas por 
amplo espectro de usuários
• ISO 27001: modelo de implementação de um 
Sistema de Gestão de Segurança da Informação 
(SGSI)
• ISO 27005: conjunto de técnicas para a realização 
da Gestão de Riscos de segurança da informação
• ISO 15999: base para desenvolver e implementar 
um processo de continuidade de negócios.
As normas ISO de segurança
• Qualidades das normas
• Padrões internacionais
• Práticas comprovadas
• Conhecimento público
• Baseados em processos adaptáveis
• Ampla disponibilidade de ferramentas e 
especialistas
O modelo da norma ISO 27001
• Confiança crescente no mercado
• Selo de confiança 
• Garantia de qualidade
• Modelo de melhoria contínua
• Metodologia estruturada que obteve 
reconhecimento internacional
• Compatível com os modelos propostos pelas 
normas ISO 9000 e 14000
• Conhecido como PDCA
• PLAN-DO-CHECK-ACT
O modelo da norma ISO 27001
PLAN
DO
CHECK
ACT
Planejar – estabelecer: definir os 
objetivos e os recursos do SGSI 
Fazer: implantar e operar o SGSI, 
pela alocação de recursos físicos e 
humanos e estabelecimento dos 
processos 
Checar – monitorar – avaliar: 
medir, auditar e analisar 
criticamente a execução do SGSI
Agir: manter e melhorar o SGSI 
com base nas análises 
executadas na fase anterior
O modelo da norma ISO 27001
PLAN
DO
CHECK
ACT
Omodelo da norma ISO 27001
PLAN
DO
CHECK
ACT
Melhoria
contínua
PLAN
DO
CHECK
ACT
• Usando as técnicas 
de Gerenciamento 
de Risco (27005)
• Definir prioridades
• Desenvolver Política 
de Segurança –PS 
(17799)
• Desenvolver Plano 
de Continuidade de 
Negócios (15999)
O modelo da norma ISO 27001
O modelo da norma ISO 27001
PLAN
DO
CHECK
ACT
• Seguindo o que foi 
definido pelos PS e 
PC:
• Instalar recursos
• Estabelecer/treinar 
equipes programadas
• Implantar processos
O modelo da norma ISO 27001
PLAN
DO
CHECK
ACT
• Monitorar os controles 
estabelecidos para 
acompanhar a 
execução da PS e o 
PC
• Executar auditorias: 
internas ou 
independentes
• Analisar resultados
O modelo da norma ISO 27001
PLAN
DO
CHECK
ACT
• Com o resultado das 
análises executadas
• Estabelece novas 
diretrizes e parâmetros 
que serão usados para 
realizar um novo ciclo
• Recomeça tudo de 
novo
Resumindo
Proprietário
s
Proprietário
s
Proteções
Vulnerabilidade
s
Vulnerabilidade
s
Agentes
s
Agentes
ameaçadore
s
Riscos
Ameaças
Ativos
podem ter ciência das
impõem
querem minimizar os
atribuem valor aos
criam
querem fazer uso indevido e/ou causar danos aos
que 
exploram
aumentam
aos
para minimizar os
aos
reduzidas por
gerando
que podem
ter
Fonte: Trusted Computer System Evaluation Criteria
Resumindo
PROPÓSITOS
GARANTIR 
CONTINUIDADE 
DO 
NEGÓCIO
DIMINUIR IMPACTO DE
AMEAÇAS REALIZADAS
1. DIMINUINDO RISCO DAS 
AMEAÇAS
2. REDUZINDO 
VULNERABILIDADES
Como? 
Gestão
de Risco
Política da
Segurança
Gestão da
Continuidade
do negócio
Pelo estabelecimento da Gestão de Segurança da Informação,
definida pela norma 27001
ISO 27005 ISO 17799 ISO 15999 
GSI
O processo geral (27001)
PLAN
DO
CHECK
ACT
Melhoria
contínua