Resumo Gestão de Segurança da Informação Parte 2

Prévia do material em texto

Resumo Gestão de Segurança da Informação Parte 2
ABNT NBR ISO 31000:2009- Gestão de Risco, Princípios e Diretrizes
Todas as atividades de uma organização envolvem risco.
Alguns termos e definições:
Ativo: Tudo aquilo que tenha valor e que necessita de algum tipo de proteção ou cuidado.
Escopo: Conjunto de ativos que será coberto pelo processo de gestão de risco.
Parte envolvida: Indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco.
Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Podem ser: Ambiental ou humana.
Incidente: Quando uma ameaça se concretiza.
Vulnerabilidades: Criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo.
Análise de vulnerabilidades: Processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções.
Avaliação das vulnerabilidades: quando esses dados são combinados com uma lista de possíveis ameaças, gerando dados que indiquem a real probabilidade de uma ameaça se concretizar explorando as vulnerabilidades existentes.
Risco:
Probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente. 
Sua escala é dada por dois fatores:
- Probabilidade de ocorrência da ameaça medida através da combinação da sua freqüência com a avaliação das vulnerabilidades;
- Conseqüências trazidas pela ocorrência do incidente (impacto);
Ameaça é um elemento do risco ao qual se pode associar uma probabilidade de manifestação, cujo valor compõe o cálculo da estimativa do risco.  Em muitos casos, a probabilidade associada a uma ameaça é calculada com base na frequência de ocorrência; em outros, quando dados de frequência não estão disponíveis, a probabilidade pode ser estimada com base no grau de confiança atribuído a ocorrência.
**Os risco não podem ser completamente eliminados e a porção do risco existente após todas as medidas de tratamento terem sido tomadas é chamada de risco residual.**
Gestão de risco
Uma das premissas básicas da segurança é o fato de que não existe segurança total ou completa.
→ Entender os riscos associados com o negócio e a gestão da informação.
→ Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações.
→ Melhorar a eficácia no controle de riscos
→ Manter a reputação e imagem da organização.
→ Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios
→ Minimizar as possibilidades de furto de informação e maximizar a proteção de dados.
É essencial determinar o propósito da gestão de riscos a ser implementada na organização. Esse propósito pode ser:
- Suporte a um Sistema de Gestão de Segurança da Informação (SGSI);
- Conformidade legal e a evidência da realização dos procedimentos corretos;
- Preparação de um plano de continuidade de negócios;
- Preparação de um plano de resposta a incidentes;
- Descrição dos requisitos de segurança da informação para um produto, um serviço ou um mecanismo.
Definição de gestão de risco segundo a norma NBR ISO 27002: 
 “Conjunto de práticas, procedimentos e elementos de suporte que utilizamos para gerenciar o risco”.
Etapas da Gestão de Risco:
Identificar e avaliar riscos → Selecionar, implementar e operar controles para tratar riscos → verificar e analisar criticamente os riscos → manter e melhorar os controles
Existem várias metodologias desenvolvidas para a realização de análise e avaliação do risco, que costumam ser classificadas como:
- Método Quantitativo:  
A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco. O risco é representando em termos de possíveis perdas financeiras.
- Método Qualitativo: 
 Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. O que torna o processo mais rápido. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados.
Tratamento dos riscos 
Fase em que selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. Existem várias classificações disponíveis para as medidas de proteção. Segundo Beal, uma classificação possível é:
Medidas preventivas: Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização.
Medidas corretivas ou reativas: Reduzem o impacto de um ataque/incidente. São medidas tomadas durante ou após a ocorrência do evento.
Métodos detectivos: Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.
Aceitação do risco: Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Aceitar um risco é uma das maneiras de tratá-lo.
Comunicação do risco: Divulgação de informações sobre os riscos que foram identificados tenham eles sido tratados ou não, a todas as partes envolvidas que precisem ter conhecimento a respeito deles.  
Riscos, medidas de segurança e o ciclo de segurança
Barreira1: Desencorajar
Esta é a primeira das cinco barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmara de vídeo, mesmo falsa, de um aviso de existência de alarmes já são efetivos nesta fase.
Barreira 02: Dificultar
O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, por exemplo.
Barreira 03: Discriminar
Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computador e banco de dados.
Barreira 04: Detectar
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem e instrumentem os gestores da segurança na detecção de situações de risco. Seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo.
Barreira 05: Deter
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos.
Barreira 06: Diagnosticar
Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo com a primeira barreira, criando um movimento cíclico e contínuo.  Devido a estes fatores é a barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos.
Equação do risco
R = V x A x I 		R – RISCO				A – AMEAÇAS	M–MEDIDAS DE
	M		V – VULNERABILIDADES		I – IMPACTOS		SEGURANÇA
Segurança da Informação Segundo a NBR ISO/IEC 27002
Segundo a NBR ISO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
→ Requisitos de Negócios: Uma fonte é o conjunto de princípios, objetivose os requisitos de negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
→ Requisitos Legais: Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviços tem que atender.
→ Análise de Risco: A partir da análise/avaliação de riscos levando-se em conta os objetivos e estratégias globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ameaças e do impacto potencial ao negócio.
Gestão de Risco segundo a norma ISO/IEC 27001:
A organização deve identificar os riscos, nesta fase deverão ser identificados: Os ativos e seus proprietários dentro do escopo do SGSI; As ameaças e vulnerabilidades destes ativos; Os impactos e as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.
Após a fase de identificação deverão ser analisados e avaliados os riscos levantados. Assim será possível: Avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança; Avaliar a probabilidade real da ocorrência de falhas de segurança em relação as ameaças e vulnerabilidades identificadas, o impacto decorrente e os controles atualmente implementados; Estimar os níveis de riscos e determinar se são aceitáveis ou requerem algum tipo de tratamento.
Na próxima etapa a organização deverá identificar e avaliar as opções para tratamento dos riscos que incluem: Aplicar os controles apropriados; Aceitar os riscos desde que satisfaçam as políticas da organização e aos critérios de aceitação do risco; Evitar os riscos; Transferir os riscos associados ao negócio a outras partes (fazer um seguro por exemplo).
E finalmente selecionar os objetivos de controles e controles para o tratamento dos riscos: Os objetivos de controles e controles devem atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de tratamento de riscos; A seleção deve considerar os critérios para aceitação de riscos como também os requisitos legais, regulamentares e contratuais.
A norma NBR ISO/IEC 27002 orienta que a organização deve realizar e manter a proteção adequada dos ativos da organização, além de assegurar que a informação receba um nível adequado de proteção.
												
Gestão de Segurança da Informação segundo a NBR ISO/IEC 27001
Diferentemente da norma NBR ISO/IEC 27002 que estabelece as melhores práticas em segurança da informação, a norma NBR ISO/IEC 27001 tem como objetivo especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um SGSI dentro do contexto dos riscos de negócio da organização.
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações.
Caso a organização queira estar em conformidade com a norma, deverá implementar os seguintes itens obrigatórios:
→ Sistema de Gestão de Segurança da Informação (SGSI)
→ Responsabilidade da Direção
→ Análise Crítica do SGSI pela Direção
→ Melhoria do SGSI
Gestão da CONTINUIDADE DO NEGÓCIO segundo a NBR ISO/IEC 15999
Incidente é um evento imprevisto e indesejável que poderia ter resultado em algum tipo de dano à pessoa, ao patrimônio ou ainda algum tipo de impacto ao meio ambiente, mas não resultou. O desastre é um evento que efetivamente gerou danos humanos, materiais e ambientais.
Tipos de desastres:
Distúrbios civis
Invasões
Roubo
Sabotagem
Apagões
Incêndios
Terremotos
Fenômenos Meteorológicos: ciclones, enchentes, chuvas de granizo, etc.
NBR ISO/IEC 15999:1
A norma NBR ISSO/IEC 15999:1 orienta as organizações na estruturação e implementação da continuidade de negócio. Foi elaborada para fornecer um sistema baseado nas boas práticas de gestão da continuidade de negócios.  Serve como referência única para a maior parte das situações que envolvem a continuidade de negócio, podendo ser usada por organizações de grande, médio e pequeno porte, nos setores industriais, comerciais, públicos e de caráter voluntário.
Estratégias de proteção
Uma destas estratégias é a implementação de um modelo de proteção em camadas.
Perímetro de segurança e seus componentes
Cada rede que compões a topologia da organização precisa ser classificada em um dos três tipos de redes:
- Redes confiáveis: Localizadas no perímetro de segurança da rede, portanto necessitam de proteção.
- Redes não confiáveis: Estão fora do perímetro de segurança, portanto não possuem controle da administração ou das políticas de segurança.
- Redes desconhecidas: São as redes desconhecidas, pois não é possível informar, de modo explícito, se a rede é confiável ou não confiável.
Roteador de borda
É o roteador do perímetro exterior, ou seja, é o último roteador que se pode controlar antes da rede não-confiável. Em uma corporação que acessa a Internet, todo o tráfego de rede que possui origem ou destino à internet passa por este roteador. Funciona como a primeira e última linha de defesa de uma rede através da filtragem de pacotes iniciais e final.
Firewall
Isola a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo:
Ataques de negação de serviço;
Modificações e acessos ilegais aos dados internos;
Permite apenas acesso autorizado à rede interna.
Sistema de Detector de Intrusos (IDS)
Tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. Caso detecte alguma anomalia suspeita ou ilegal, gera uma notificação para alertar o administrador da rede e / ou automaticamente disparar contramedidas.
Zona Desmilitarizada (DMZ) 
São pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo. Muitos autores apresentam o conceito de DMZ suja e DMZ protegida ou também conhecida por screened subnets.  
Cuidados com senhas
Segundo a cartilha de segurança para internet, produzida pelo CERT, a senha utilizada pelos usuários tanto para acessar a  Internet quanto aos sistemas computacionais da organização é utilizada no processo de verificação da identidade do usuário, assegurando que este é realmente quem diz ser, ou seja, é utilizada no processo de autenticação.
Educação dos usuários
Para que a implementação da política de segurança seja efetiva deve ser claramente comunicada às pessoas de uma organização. Segundo a norma ISO/IEC 27001 no item que trata sobre Conscientização, educação e treinamento em segurança da informação:
- A organização deve assegurar que os usuários e demais envolvidos no SGSI estejam cientes das ameaças e das preocupações de segurança da informação e equipados para apoiar a aplicação da política de segurança da organização durante a execução normal do seu trabalho.
- Devem ser treinados nos procedimentos de segurança e no uso correto das instalações de processamento da informação, de forma a minimizar possíveis riscos de segurança.
Controle de acessos
# O que deve ser controlado em uma organização?
TODOS os ativos da organização (Pessoas, tecnologia, ambiente e processos).
# E por que devemos controlar?
Para limitar os impactos causados nos ativos de informação;
Para reduzir as vulnerabilidades.
Backups (cópia de segurança)
Os Backups ou cópias de seguranças são itens muitos importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada.  
Plano de continuidade de negócios
Tem como objetivo garantir a continuidade de processo e informações vitais à sobrevivência da empresa, no menor espaço detempo possível, com o objetivo de minimizar os impactos do desastre.
Criptografia
A eficiência e eficácia dos serviços de segurança em ambientes de redes, como a privacidade, autencidade, integridade, não repúdio e controle de acesso, está diretamente relaciona às técnicas de criptografia utilizadas. A criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código.  
Assinatura digital
A assinatura digital consiste na criação  de um código, através da utilização de uma chave privada, de modo que a pessoa ou entidade que receber uma mensagem contendo este código possa verificar se o remetente é mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada.
Certificação Digital
O certificado digital é um arquivo assinado eletronicamente por um entidade confiável chamada Autoridade Certificadora (CA). Um certificado tem como objetivo um dos objetivos associar a chave pública a uma pessoa física ou jurídica, servindo como um mecanismo para a divulgação da chave pública. A autoridade Certifcadora verifica a identidade do sujeito e emite o certificado digital.