Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA DA INFORMAÇÃO Prof. Rêmulo Maia Aves Roteiro de Apresentação 1. Conceitos básicos de Segurança da Informação 2. Gestão de Riscos 3. Política de Segurança da Informação 4. Ciclo de Vida e Classificação da Informação 5. Gestão da Continuidade do Negócio 6. Tipos de Segurança da Informação (virtual) 7. Aspectos Legais na Segurança da Informação (virtual) Contexto Organizacional Papel crescente das informações nos negócios Mercados globais Avanço da Internet FALSA IMPRESSÃO DE SEGURANÇA É COMO SE FOSSE UM JOGO DE GATO E RATO Segurança - definição Estado, qualidade ou condição de uma pessoa ou coisa que está livre de perigos, de incertezas, assegurada de danos e riscos eventuais, afastada de todo mal (Dicionário Houaiss). Segurança da Informação - definição Área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade (SÊMOLA, 2003). Ativos: recursos, pessoas, bens e serviços que a empresa possui e que geram receitas. Aplicação de controles que visam à proteção de ativos que contêm informação (RAMOS et al., 2006). Objetivos da Segurança da Informação Confidencialidade Sigilo das informações Integridade Proteção contra alterações indevidas Disponibilidade Pessoas ou aplicações certas no momento certo Autenticidade Não-repúdio Legalidade Autenticidade Não-repúdio Objetivos da Segurança da Informação Problemas de Segurança Natural; Fenômenos meteorológicos Acidental; Erros de usuários Falhas de sistemas Falta de energia elétrica Intencional Invasões Espionagem Extorsão Terrorismo Fatores humanos Pecados praticados em relação à gestão da segurança da informação Atribuir exclusivamente à área tecnológica a SI; Posicionar hierarquicamente esta equipe abaixo da diretoria de TI; Definir investimentos subestimados e limitados à abrangência desta diretoria; Elaborar planos de ação orientados a reatividade; Não perceber a interferência direta da segurança com o negócio; Tratar as atividades como despesa e não como investimento; Adotar ferramentas pontuais como medida paliativa; Satisfazer-se com a sensação de segurança provocadas por ações isoladas; Não cultivar corporativamente a mentalidade de segurança; Tratar a segurança como um projeto e não como um processo. Fonte: Gestão da Segurança da Informação – uma visão executiva. Marcos Sêmola Componentes Básicos de Segurança Valor Importância da informação Ameaça Evento que pode comprometer os objetivos de uma organização Vulnerabilidade Consiste na ausência ou falha de mecanismo de proteção Impacto Prejuízo decorrente da concretização de uma ameaça Risco Probabilidade de uma ameaça se concretizar juntamente com o impacto que estas ameaças trarão Fonte: ISO/IEC 17799:2005 Tipos de Controles Utilizados na SI Administrativos Políticas de segurança da informação Conscientização; Gestão de riscos; Planos de contingência; Gestão de pessoas Lógicos Autenticação; Criptografia; Scanners de vírus; Controles de acesso Físicos Controle e prevenção de incêndio; Controles de acesso físico; Armazenamento off-side Abrangência dos Controles Ativos de informação Bases de dados; Arquivos; Documentação de sistemas; Informações em geral Ativos de software Aplicativos; Sistemas operacionais; Ferramentas de desenvolvimento Ativos físicos Equipamentos computacionais; Equipamentos de comunicação; Mídias; Acomodações; Equipamentos técnicos Serviços Comunicação; Processamento de informações; Armazenamento de informações Pessoas Indivíduos que utilizam a infra-estrutura tecnológica CONTROLES NA NORMA NBR 27002:2005 FORMATO DE APRESENTAÇÃO A norma contém: 11 seções de controles de segurança da informação; 39 categorias principais de segurança Cada categoria possui: Objetivo de Controle; Um ou mais Controles (que podem ser aplicados para se alcançar o objetivo de controle) Estrutura básica Objetivo Controle(s) Diretrizes para implementação Informações adicionais. 16 17 GESTÃO DE RISCOS GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO 20 Fonte: ABNT NBR ISSO/IEC 27005:2008 D P Risco - conceito Probabilidade de uma ameaça se concretizar, causando prejuízos e/ou impedindo o alcance de objetivos. “Probabilidade de insucesso, de malogro de determinada coisa, em função de acontecimento eventual, incerto, cuja ocorrência não depende exclusivamente da vontade dos interessados” (Dicionário Houaiss). Riscos – Relacionamento com o negócio Adaptado de Moreira (2001, p. 21) Gestão de Riscos - Definição Processo de identificação e tratamento de risco, de forma sistemática e contínua (CISSP, 2004). Certified Information Systems Security Professional Série de atividades que se relacionam à forma como a organização lida com os riscos, abrangendo todo o ciclo de vida do tratamento de riscos. Reconhecer as ameaças e saber que o risco pode ser minorado, contido ou controlado. Etapas da Gestão de Riscos Análise e avaliação de riscos Gerar listas detalhadas de vulnerabilidades, riscos e eventos que possam causar impacto aos objetivos da organização; Tratamento de riscos Identificação de controles, desenvolvimento do plano de ação e implantação do plano de ação. Aceitação de riscos Eliminar todos os riscos nem sempre é possível. Sendo assim, a aceitação de riscos implica em saber que este risco existe e que não foi resolvido. Comunicação de riscos Conscientização dos usuários a respeito dos riscos residuais envolvidos na execução de determinadas atividades. Equação do Risco Onde: R: risco V: vulnerabilidades A: ameaças I: impacto M: medidas de segurança Fonte: Sêmola (2003). R = V x A x I M POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Definição Conjunto de documentos que expressam uma generalização das necessidades de segurança da empresa. Resume os princípios de segurança que uma organização reconhece como sendo importante e que devem estar presentes no dia-a-dia de suas atividades (Ramos et al., 2006). Princípios básicos A política de segurança deve estabelecer: Objetivos e práticas de segurança; Responsabilidades; Processos; Definição de níveis aceitáveis de risco Política de Segurança e as Organizações Tático Operacional Estratégico Nível em que as DIRETRIZES da organização são definidas. Nível em que as NORMAS da organização são descritas conforme as diretrizes definidas no nível superior. Nível em que os PROCEDIMENTOS são estabelecidos com base nas normas definidas no nível acima. P.S. = DIRETRIZES + NORMAS + PROCEDIMENTOS CLASSIFICAÇÃO DA INFORMAÇÃO Conceito Identificar as informações por níveis de relevância para o negócio e aplicar os controles adequados a cada um desses níveis, garantindo a proteção necessária e somente a necessária. Proteção da informação Analisa as demandas de segurança de acordo com as necessidades de cada ativo. Economia Quanto maior o nível de proteção, maiores são os custos. Objetivos Ciclo de Vida da Informação A Política de Segurança estabelece padrões, responsabilidades e critérios para o manuseio, armazenamento, transporte e descarte das informações dentro do nível de segurança estabelecido. Transporte Armazena- mento Manuseio Descarte INFORMAÇÃO Disponibilidade Autenticidade Legalidade Fonte: Sêmola (2003). GESTÃO DA CONTINUIDADE DO NEGÓCIO Conceito Avaliação de uma variedade de riscos e a criação de políticas, planos e procedimentos que minimizem os impactos provocados pela concretização de desastres ou falhas de segurança. A Gestão da Continuidade do negócio tem por objetivo não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falha ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso. (ABNT NBR ISO/IEC 27002:2005, item 14.1). Objetivo Plano de Continuidade de Negócios X Plano de Recuperação de Desastres Plano de recuperação – foco na recuperação de ativos de TI; Plano de continuidade – foco nos negócios (incluindo a TI) Plano de continuidade é uma evolução de Plano de recuperação Componentes Básicos do PCN Planejamento; Análise de impacto nos negócios; Plano de contingência; Treinamento e testes; Manutenção e atualizações. TIPOS DE SEGURANÇA DA INFORMAÇÃO Segurança Física e de Ambientes Segurança Lógica Segurança Administrativa S E G U R A N Ç A D A I N F O R M A Ç Ã O SEGURANÇA FÍSICA E DE AMBIENTES Conceito Trata de todos os ativos que suportam o tratamento de informações em uma organização. Prevenir acesso não autorizado, dano e interferência às informações e instalações físicas da organização (NBR 17.799). Objetivo Segurança Física Exemplos de controles Controle de acesso físico ao ambiente da empresa; Controle de Incêndios; Instalações elétricas; Manutenção preventiva em equipamentos; Etc. Roubo Incêndio Sabotagem e vandalismo Água (chuva e enchentes) Atividades sísmicas (terremotos, vulcões) Explosões Materiais tóxicos Ameaças: SEGURANÇA LÓGICA Conceito Refere-se a todas as normas, procedimentos, ferramentas e técnicas que visam proteger um sistema contra ameaças que podem comprometer diretamente as informações da empresa, principalmente aquelas armazenadas e/ou transportadas eletronicamente. Abrangência Segurança de Software Controles de Acessos Redes (parte lógica) Segurança de Softwares Objetivos Garantir o funcionamento dos diversos tipos de softwares e proteger a integridade e confidencialidade das informações armazenadas/processadas por eles. Ameaças Funcionários insatisfeitos Falhas de software Pragas virtuais Controle de Acesso Objetivos Gerenciar o modo de interação entre sujeitos (entidades que requisitam informações) e objetos (entidades passivas, que fornecem informações a sujeitos), definindo: Quais recursos estão disponíveis para acesso; Quais operações podem ser executadas; Quais os componentes autorizados a executar tais operações Ameaças Crackers Funcionários Modelos de Controle de Acesso DAC (Discretionary Access Control) O proprietário do recurso é quem tem a responsabilidade de atribuir as permissões de acesso. MAC (Mandatory Access Control) Classificação de sujeitos e objetos em um sistema, a quem são atribuídos níveis de segurança. RBAC (Role-based Access Control) O controle de acesso é definido a partir dos papéis que os usuários cumprem dentro de uma organização. Outros controles de segurança lógica Criptografia Assinatura Digital Certificados Digitais Firewall Intrusion Detection System (IDS) SEGURANÇA ADMINISTRATIVA Gestão de Pessoas em Segurança da Informação Ser humano = ponto mais crítico de ser gerenciado Iniciativas de segurança devem levar em conta o fator humano Objetivos Reduzir o risco de erro humano, roubo, fraude ou uso indevido de informações; Tornar usuários cientes de ameaças e questões envolvendo segurança; Subsidiar pessoas para apoiar políticas de segurança Procedimentos de Pessoal em Segurança da Informação Inclusão da segurança nas responsabilidades de trabalho; Contratação de funcionários; Acordos de confidencialidade; Termos e condições de trabalho; Treinamento e educação de pessoas; Desligamento de funcionários. ASPECTOS LEGAIS E SEGURANÇA DA INFORMAÇÃO Histórico da Legislação sobre Segurança da Informação 1967 – Documento intitulado “Security Control for Computer System: Report of Defense Science Boad Task Force on computer Security" início do processo oficial de criação de um conjunto de regras para segurança de computadores. 1972 – elaboração de vários relatórios que deram origem ao documento conhecido como “Doctrine”, que é a base de vários trabalhos na área de segurança. 1977 – o departamento de Defesa dos EUA criou o "DoD Computer Security Initiative“ que ficou conhecido como “Orange Book”. 2000 – norma internacional de segurança da informação ISO/IEC-17799:2000. Fonte: Coppe/UFRJ. Evolução das Normas BS7799-1 ISO/IEC17799 BS7799-2 NBR27001 NBR27005 ISO/IEC17799 1995 2000 2007 2002 2005 2008 NBR17799 2001 2004 NBR27002 2006 ISO/IEC 27002 BS7799-3 Requisitos Legais Novo código civil Lei 10.406/02 Lei 11.638/07 Altera a lei das SAs Resolução 3380 do Banco Central Gerenciamento de risco operacional nas Instituições Financeiras Agências regulatórias Basiléia II CVM Marcos regulatórios Sarbanes-Oxley Legislação no Brasil Decreto no. 3505, de 13 de junho de 2000 Instituição da Política de Segurança da Informação em entidades públicas brasileiras. PL 84/99 que se trasformou em PL 89/03 Projeto de lei sobre crimes tecnológicos. (me parece que ainda tramita) ICP-Brasil Regulamenta a utilização de certificação digital no Brasil. Site com todos os projetos de lei referentes à segurança eletrônica http://www.internetlegal.com.br/legis/ Considerações finais Dificuldade da percepção da importância da Segurança pelos gestores das empresas. Só se repara na segurança quando algum desastre acontece. A implementação de segurança da informação deve ser um processo e não um projeto As rápidas mudanças tecnológicas tornam alguns controles obsoletos. A combinação de diversos controles deve ser usada para aumentar o nível de proteção. A Segurança das Informações de uma empresa não deve ser responsabilidade apenas da equipe de TI, mas de todos os membros da empresa. Resumindo, as normas podem ser aplicadas de forma conjunta na busca pela excelência nos serviços de TI. Dúvidas !?!
Compartilhar