RESUMO DO CONTEÚDO SEGURANÇA EM SISTEMAS DE INFORMAÇÃO

Prévia do material em texto

AULA 1: 			FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Segurança da Informação
De acordo com a norma ABNT NBR ISO/IEC 27002:2103:
A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação sejam atendidos.
Os incidentes, isto é, as ocorrências que transformam a possibilidade do risco em um acontecimento, um fato, podem comprometer uma ou mais das características da segurança da informação, geralmente referenciadas pelo acrônimo CID: Confidencialidade, Integridade e Disponibilidade. Estes são os aspectos básicos da segurança da informação. Geralmente são acrescidos mais dois atributos: a autenticidade, e a irretratabilidade ou não repúdio. Alguns autores acrescentam também a legalidade, a privacidade e a auditabilidade, enquanto os demais defendem que tais princípios estão incluídos nos três principais.
A confidencialidade diz respeito ao uso autorizado da informação, isto é, decorre da classificação da informação e do controle do acesso à mesma. A integridade refere-se à manutenção do valor e das características originais da informação ou sua atualização por meio de alterações permitidas, controladas e identificadas, evitando-se a alteração indevida ou a perda de valor. A disponibilidade implica em prover a informação a tempo, no meio adequado e no local em que for necessária.
A autenticidade visa garantir que a informação é real, verdadeira, legal e legítima, fazendo com que se possa confiar nela. Irretratabilidade ou não repúdio objetiva garantir a autoria e a responsabilidade pela informação e pelo seu manuseio, evitando que possa haver negativa ou revogação de ações promovidas com a informação.
A segurança da informação compreende áreas distintas e interdependentes entre si, cuja ênfase estará relacionada diretamente com o negócio da organização. Essas áreas são:
A segurança física, cuidando do acesso de pessoas aos locais e à infraestrutura de suporte à informação, delimitando o perímetro e utilizando dispositivos de alerta e proteção contra eventos naturais ou incidentes provocados pelos seres vivos em geral;
A segurança da infraestrutura que suporta a informação, incluindo, mas não se limitando à energia, computadores, redes, dispositivos de armazenamento e transporte;
A segurança do software, às vezes denominada segurança lógica, que responde às ameaças e riscos que afetam os programas de computador – incluindo-se o sistema operacional e o software de rede, sistemas de autenticação e criptografia, segurança no processo de desenvolvimento, na aquisição e na manutenção e atualização do software.
Vulnerabilidades e risco
O risco é a probabilidade de que uma ameaça venha a explorar ou agir contra uma vulnerabilidade, gerando um incidente de segurança da informação.
.
Gestão de riscos
Pode-se considerar quatro atividades essenciais ao processo de gestão de riscos, dispostas de forma sequencial e executadas de maneira cíclica, com base no modelo PDCA (Plan, Do, Check, Act ou seja, planejar, fazer, avaliar, corrigir).
AULA 2: A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Marcos regulatórios
O maior impacto global na segurança da informação e de sistemas foi gerado pela lei SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos. É uma lei voltada para as finanças. Estabelece a criação de mecanismos de auditoria e segurança com base na governança e responsabiliza civil e criminalmente os gestores das organizações no caso de falhas.
Outros marcos importantes que geraram impacto global:
HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e Responsabilidade de Seguros de Saúde).
FISMA (Federal Information Security Management Act ou Lei de Gerenciamento da Segurança da Informação Federal).
IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios Financeiros).
Os acordos de Basiléia I, II e III, atos de compromisso dos bancos centrais de diversos países para resguardar os clientes e os mercados dos riscos devido a problemas com bancos em geral. 
Política de Segurança da Informação
A PSI (Política de Segurança da Informação) é um conjunto de orientações, regras, padrões e práticas que os membros da organização e aqueles que com ela se relacionam devem observar com vistas a garantir a segurança da informação adequada à organização. A PSI deve ser do conhecimento de todos – inclusive parceiros comerciais e clientes.
 
Estratégias de segurança da informação
Princípio do menor privilégio implica em dar condições de acesso, ferramental e material minimamente suficiente para a execução das atividades pertinentes à função.
Defesa em profundidade significa prover diferentes mecanismos de forma combinada, de modo que são necessárias ações distintas para conseguir superar as defesas
Ponto de estrangulamento é a estratégia de reduzir ao mínimo indispensável os pontos de conexão e tráfego entre os ambientes internos e externos da organização, ou entre áreas de menor e maior proteção e segurança.
O elo mais fraco é o elemento de maior vulnerabilidade na escala de riscos e, portanto, requer a maior proteção. Pode ser também o elemento mais visado para eventuais ataques ou tentativas de uso indevido.
Posição à prova de falhas corresponde à redução do perímetro de defesa para alvos de ataques em potencial, ou seja, os mais vulneráveis ou mais visados.
Permissão ou negação padrão é uma estratégia ligada ao controle de acesso e privilégios, ao monitoramento e ao processo de auditoria. Trata do uso de listas conhecidas como black listou white list.
Participação universal é a estratégia de atuação em conjunto de todos os envolvidos nos processos de segurança da informação e dos sistemas.
Diversidade da defesa consiste em empregar mecanismos diferentes, no mesmo nível de proteção, reforçando os aspectos mais efetivos e reduzindo as deficiências de cada um.
Simplicidade é uma estratégia que prima pela facilidade do aprendizado e uso frequente. 
Obscuridade é a estratégia que prima pelo segredo, segundo o ditado que diz “o que os olhos não veem, o coração não sente”. 
Governança e compliance
No plano da TIC e mais especificamente existem dois frameworks ou conjuntos de práticas que denotam este esforço: o ITIL e o COBIT. E diversas normas, mas em especial as do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para assegurar o atingimento das metas de segurança da informação e de sistemas.
O COBIT (Control Objectives for Information and Related Technology) é um conjunto de ferramentas que propõe o nível de excelência na gestão de TIC. É um guia para a gestão de TI recomendado pelo ISACA/ISACF (Information Systems Audit and Control Foundation), formatado para apoiar os gestores que necessitam constantemente avaliar o risco e controlar os investimentos de TIC em uma organização.
AULA 3 OS MEIOS PARA PROVER A SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS
Gerenciamento de Identidade e Acesso
O processo de identidade e autorização é parte importante da proteção, especialmente no que diz respeito à autenticação do usuário remoto – aquele que pleiteia o acesso à rede, aos recursos computacionais e à informação, estando fora do perímetro de segurança da organização. O processo de identificação precisa ser completado com a verificação, com base em algo que o indivíduo:
sabe – sua identidade (PIN: Personal Identification Number) e as senhas
possui – um token, chave criptográfica ou física, ou um smart card
é – biometria estática, como a digital ou a íris
faz – a biometria dinâmica, como o padrão de voz, caligrafia e taxa de digitação
Infraestrutura de Segurança da Informação e de Sistemas
Proxy é (softwaremais hardware) – também chamados de servidor proxy. Executa executando operações de autenticação e identificação, filtragem de informações, log de acessos e tradução de endereços internos para externos, função conhecida como NAT (Network Address Translation).
Sua principal função, de tradução de endereços, é uma medida de segurança que impede a identificação de endereços da rede interna aos elementos da rede externa.
Firewall: Permite a aplicação de regras de política de tráfego de informação pela rede interna e para fora. Os principais tipos são: 
- Filtro de pacote = Analisa e filtro os endereços IPs.
- Stateful Inspection = Analisa os pacotes e também controla as conexões. 
- Application Proxy Gateway = Exige autenticação e analisa as solicitações da aplicação.
IDS – Intrusion Detection System: São dispositivos que analisam o uso e o tráfego de informações nas redes, buscando identificar desvios de comportamento ou anomalias que possam sinalizar falhas ou tentativas de fraudes. Eles apenas analisam, não reprimem ou previnem.
Os principais problemas de um IDS, além da necessidade de alta capacidade de processamento do volume do tráfego de rede, são: Pontos negativos: pode gerar um alerta sem que realmente seja um alerta e também não é capaz de identificar todos os ataques possíveis. 
Incidentes de Segurança da Informação
Os meios para atingir a confiabilidade necessária aos sistemas podem ser agrupados em:
Prevenção de falhas, isto é, as formas de prevenir as ocorrências ou a introdução de falhas.
Tolerância a falhas, ou seja, evitar a falha dos serviços mesmo na ocorrência de falhas no sistema.
Remoção de falhas, o que significa reduzir o número e a gravidade das falhas.
Segurança de Redes
O meio de comunicação exige que a informação seja protegida durante o processo de transporte, o que é feito também com uso da criptografia. Como em VPN (Virtual Privative Network), o tráfego protegido por SSL, SSH e HTTPS, e o uso de certificados digitais. O SSL é um conjunto de serviços de comunicação criptográfica, que opera sobre redes TCP, de forma especial para a comunicação na web, em conjunto com navegadores e servidores web. O SSH é um protocolo de segurança simples e ágil, que permite a conexão e o logon remoto seguro. O HTTPS é uma combinação do HTTP com o SSL, utilizado para a navegação segura na internet, que inclui a autenticação e a identificação do requisitante, e a criptografia do tráfego.
Segurança no Desenvolvimento de Software
A norma ISO/IEC 15.408 é um padrão internacional para o desenvolvimento de software seguro, contemplando os três aspectos citados: a segurança do software, a segurança do ambiente de desenvolvimento e a garantia de segurança do software desenvolvido.
AULA 4 - ASPECTOS PRÁTICOS DA SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS
Ok
AULA 5 - SEGURANÇA DA INFORMAÇÃO E SISTEMAS E A CONTINUIDADE DOS NEGÓCIOS
Gestão da Continuidade do Negócio
Seu objetivo é evitar a interrupção ou reduzir a interferência dos incidentes nos processos críticos e nas informações vitais para a preservação da organização e de seus negócios.
A Gestão da Continuidade dos Negócios deve prover a resposta e apontar o direcionamento das ações e providências para as ocorrências que, uma vez não podendo ser evitadas, comprometam as operações da organização e gerem impacto. O planejamento das medidas a serem adotadas compõe o Plano de Continuidade dos Negócios (PCN), ou o Business Continuity Plan (BCP).
- RTO - Recovery Time Objective > Quanto tempo foi perdido. 
- RPO – Recovery Point Objective > Qual o valor da perda. 
Análise de impacto nos negócios
 
A análise de impacto nos negócios ou Business Impact Analisys (BIA) é uma ferramenta essencial para a Gestão da Continuidade dos Negócios. O propósito da BIA é o conhecimento dos processos de negócio e a avaliação dos mesmos quanto às possibilidades de incidentes que possam interrompê-los, considerando o tempo de interrupção, o tempo para a retomada à normalidade e os recursos necessários para isso.
Os dois insumos básicos para a BIA são:
O mapeamento dos processos do negócio da organização – geralmente obtidos por meio de atividades do Business Process Management (BPM) ou gerenciamento dos processos de negócio;
A análise de riscos do negócio, parte do processo de gerenciamento de riscos.
É bom ressaltar que a análise de riscos aqui trata das perdas ou interrupções da capacidade produtiva da organização, isto é, da sua incapacidade de entregar produtos e serviços devido a incidentes, e não das ameaças em si, que devem ser devidamente abordadas pelos processos de gerenciamento de riscos.
Riscos de negócios, portanto, não são necessariamente as ameaças, mas a possibilidade de perda de recursos requeridos para a entrega de produtos e serviços, por exemplo, pessoal, instalações, equipamentos, fornecedores e tecnologia.
Plano de Continuidade dos Negócios
O Plano de Continuidade dos Negócios (PCN), ou Business Continuity Plan (BCP), é um documento ou conjunto de documentos que estabelece as estratégias e planos de ação para o enfrentamento de situações de emergência que afetem a operação normal da organização. Do ponto de vista da segurança da informação e dos sistemas o PCN aborda os sistemas críticos e seus componentes, além dos processos de negócio dos quais fazem parte.
Crise é a situação a partir da ocorrência de um incidente que afeta de modo significativo a operação normal da organização ou de uma de suas áreas críticas. “Que impede ou dificulta que a organização atinja seus objetivos”.
Contingência é ativação de processos e recursos em resposta ao incidente para garantir a continuidade operacional durante a ocorrência.
Gestão de Crises
A sequência de atividades conduzida pelo grupo de gestão de crise inclui, geralmente:
Providenciar a primeira resposta – resposta de emergência – frente à situação de desastre ou incidente;
Identificar, avaliar, classificar e declarar o cenário ou situação de desastre;
Prover as informações relacionadas ao incidente / desastre para os interessados (comunicação da crise);
Tomar a decisão de fazer a declaração de desastre e ativar o BCP.
Recuperação de desastres
A recuperação de desastres é o conjunto de procedimentos que, após um incidente, visa restabelecer a normalidade da operação da organização no menor espaço de tempo possível e minimizando os danos. A regra é retomar a normalidade o quanto antes e com o menor prejuízo possível.
Para que isto seja possível é necessário a elaboração de um Plano de Recuperação de Desastres, ou Disaster Recovery Plan (DRP), com base em um questionamento bem simples: o que fazer se...?
Os principais benefícios de um DRP bem elaborado, como é típico de medidas de segurança em geral, são:
Prover uma melhor sensação de segurança, o que reforça a tranquilidade necessária para enfrentar situações críticas;
Minimizar o tempo de resposta aos incidentes e desastres;
Garantir a confiabilidade dos mecanismos e sistemas em stand-by ou prontidão;
Propiciar padrões para os testes necessários para garantir a confiabilidade no plano;
Minimizar a necessidade da tomada de decisão durante um incidente ou operação de contingência;
Reduzir os potenciais riscos de responsabilização legal;
Diminuir o já elevado estresse do ambiente de trabalho, especialmente durante as crises.
AULA 6 - SEGURANÇA DOS SISTEMAS E DO SOFTWARE EM GERAL
Nos dias atuais, a segurança da informação é totalmente dependente da segurança dos sistemas e do software, em geral.
Desenvolvimento e testes
É necessário que haja especial atenção aos procedimentos que garantirão a qualidade do software:
Testes a serem realizados durante todo o processo
Padronização e uso de métodos, técnicas e ferramentas, como nível adequado de maturidade requerido pelo software
Automação de tarefas e atividades padronizadas, reduzindo a interferência humana e, por conseguinte, a possibilidade de geração de problemas.
Modelos de Desenvolvimento 
Modelo cascata:Do ponto de vista da segurança da informação, as principais vantagens são o planejar antes de fazer, definindo prazos e resultados esperados – os artefatos entregáveis – para cada etapa, e o uso de documentação formal. Por outro lado, alterações ou mudanças não são bem-vindas, mesmo perante uma expectativa de requisitos acurados que não é realista.
O software só é avaliado de forma efetiva e totalmente na fase de integração e testes, quando é tarde para identificar os problemas – especialmente se houve algum atraso nas etapas iniciais que acaba sendo compensado nesta etapa.
Modelo iterativo: Uma das vantagens do modelo iterativo é que este facilita a identificação de problemas com a especificação de requisitos e permite correções e mudanças durante praticamente todo o projeto. Por outro lado, é muito difícil dividir um sistema – especialmente um projeto de pequeno porte – de modo a permitir iterações ou ciclos que entreguem funcionalidades completas. Também pode-se considerar que o modelo iterativo é a base das metodologias ágeis. Sob o aspecto de segurança da informação, o mais crítico é que possíveis revisões, mudanças ou falhas nas integrações entre as entregas das iterações resultem na incorporação de erros ou falhas de segurança no software.
Modelo Ágil RAD – Rapid Application Development A necessidade de profissionais altamente especializados pode representar um problema na medida em que restringe o conhecimento daqueles às áreas específicas, ou impacta fortemente nos custos ao prover especialistas de diversas áreas – incluindo-se a segurança da informação – para compor a equipe do projeto. A excessiva simplificação pode deixar falhas latentes, além da pressão por resultados. 
Modelo do processo unificado (RUP): O uso de componentes de software reduz o risco e simplifica o teste. Software mais complexos podem apresentar falhas na integração. 
Modelo em Espiral: É um processo bastante natural, na medida em que há uma evolução na maturidade tanto do cliente do software quanto da equipe de projeto, reduzindo os riscos de insatisfação. Em função disso, o fato de adicionar novos requisitos ou promover mudanças somente a partir do momento em que estes estão em um elevado nível de maturidade, juntamente com o software em desenvolvimento, representa um diferencial positivo.
Entretanto há a necessidade de um envolvimento maior do cliente e a sua contínua evolução, bem como o aprimoramento do relacionamento destes com os desenvolvedores. Estes dois aspectos tornam necessário um forte componente de gestão para evitar que o processo entre em uma espiral infinita, jamais apresentando o software por completo.
A incorporação da análise de risco a cada iteração reforça a qualidade e o software, e é entregue de forma recorrente, desde muito cedo. Grandes projetos de missão crítica são bem atendidos por este modelo. Porém, a segurança da informação pode ser comprometida com as sucessivas mudanças – a gestão de mudanças torna-se um fator de risco, e o custo aumenta. A análise de riscos requer expertise e especialistas, e é fator determinante do sucesso do projeto.
Teste de software: O início das atividades de teste deve ser o mais antecipado possível dentro do SDLC, independentemente do modelo e das técnicas empregadas. Os requisitos de segurança, que serão a base para a definição dos casos de teste, devem fazer parte do processo formal e serem definidos juntamente com o processo de especificação funcional do software a ser desenvolvido. A partir daí, a produção e o refinamento de casos de teste devem ter sequência a cada iteração, fase ou ciclo do SDLC, de modo que, ao chegar à etapa de testes de homologação ou aceitação pelo usuário, tais requisitos tenham sido atendidos satisfatoriamente e a segurança implícita – que faz parte da expectativa do usuário – seja efetiva e comprovada.
Como já visto, para que isso aconteça é necessário que se inicie o SDLC analisando o risco inerente ao uso da informação para a qual o software está sendo projetado. Desta forma, são estabelecidos os valores de cada informação manipulada ou produzida pelo software, e a prioridade de tratamento da segurança da informação de acordo com esse valor. Em seguida, deverá ser analisada a exposição dessas informações ao risco, isto é, as vulnerabilidades e as ameaças que possam explorar essas vulnerabilidades.
A abordagem tradicional, na qual os procedimentos de teste de segurança são tratados em sua plenitude somente após os ciclos de desenvolvimento, fomenta uma prática pouco recomendável de recompor o cronograma e efetuar ajustes de esforço ou de custos reduzindo-se as atividades de teste, comprometendo, assim, a qualidade do software. Além disso, uma abordagem tardia impede a implementação de um processo cíclico de teste, interagindo com o desenvolvimento e com a análise de riscos constantemente atualizada e revista, o que só é possível conseguir com uma abordagem proativa e assertiva da questão da segurança da informação no processo de desenvolvimento de software.
Operação e manutenção
Registros de ocorrências de falhas do sistema ou anomalias. 
Gestão de configuração e de mudanças
Gestão de configuração 
Inclui, mas não se limita a, a rastreabilidade das alterações e versões e o controle de mudanças. A gestão de configuração também se ocupa do ambiente – as mudanças que impactam no software e também as mudanças que o software exige ou provoca no ambiente.
Gestão de mudanças 
É um processo que tem por finalidade reduzir o impacto das alterações e evoluções do software, uma vez que é sabido que estas intervenções tendem a gerar problemas, falhas e interrupções.
AULAS e atividades
 PRÁTICAS
GESTÃO DE RISCOS
Abordagem reativa: é ação a partir da ocorrência do incidente, quando a vulnerabilidade se concretizo Ordem para tratamento:
Proteger a vida e garantir a segurança
Conter/cessar os danos
Avaliar os danos
Determinar as causas dos danos
Corrigir os danos 
Analisar os resultados.
Abordagem proativa: é a forma de prevenir os incidentes.
Identificar os ativos 
Calcular os possíveis danos de um incidente
Identificar as vulnerabilidades (Possibilidades de falha)
Planejar e atuar para minimizar os riscos de incidentes
Implementar e manter os controles apropriados 
Análise Quantitativa: Calcular valores numéricos (objetivo) Estimar:
O valor real de cada ativo em termos do custo da substituição
Custo associado à perda de produtividade
Custo representado pela reputação
O valor geral do ativo para a organização
O impacto financeiro imediato da perda de ativo
O impacto indireto nos negócios causados pela perda do ativo
Outros valores comerciais diretos ou indiretos.
Retorno do investimento (ROI): é calculado com base em:
EPA antes do controle
EPA após o controle
Custo anual do controle
ROI: (EPA antes do controle) – (EPA depois do controle) – (Custo anual do controle)
Daí poderemos chegar a conclusão se o investimento vale a pena ou em até quanto tempo teremos o retorno do valor investido.