20/05/2010

Maio de 2010

Wincius Ferraz Neres winiciusf@gmail.com http://secureconnection.blogspot.com

Gesto da Segurana

20/05/2010

Gesto da Segurana
Na dcada de 80 os sistemas computacionais, em sua maioria, eram centralizados. Eventualmente um sistema necessitava de um arquivo de outro sistema, portanto j existia o conceito de cliente-servidor. O tema segurana da informao era tratado com relativa tranqilidade, pois o sistema quase que todo centralizado facilitava bastante. Grande preocupao com segurana fsica e a segurana lgica era formada basicamente pelos backups.

Gesto da Segurana
Houve a mudana de um paradigma e com isso as redes interconectadas ganharam mais fora. Criao dos sistemas em camadas. Negcio inevitavelmente mais dependente dos recursos computacionais e como conseqncia exposio riscos que no existiam antes. Incremento no nmero de ameaas em busca de vulnerabilidades.
Lgicas Humanas Fsicas

20/05/2010

Gesto da Segurana
Por segurana da informao entende-se: O estado de estar livre de riscos no aceitveis.
Confidencialidade Integridade Disponibilidade Autenticidade (Para alguns autores e governo brasileiro)

As empresas do o devido valor a Segurana da Informao?

Quem cuida da Segurana da Informao na sua empresa?

Gesto da Segurana
A gesto da segurana para ser efetiva deve ser permanente, cclica e baseada em processos tcnicos e organizacionais. O modelo PDCA til para fornecer uma viso das etapas que devem compor a gesto de segurana. Modelo aplicvel a vrios processos de gesto. Explicado na norma NBR ISO 27001.

20/05/2010

Gesto da Segurana
Modelo PDCA:

Gesto da Segurana
Planejamento da segurana (P)
Planejar, estabelecer objetivos, metas e meios de alcan-los. O planejamento da SI deve comear no nvel mais alto, de identificao dos processos crticos para o negcio. Deve-se analisar processos, fluxos de informaes e em seguida os servios de TI.

20/05/2010

Gesto da Segurana
Planejamento da segurana (P)
A ISO 27002 sugere como principais fontes para identificao dos requisitos de segurana:
Avaliao de risco. Legislao vigente (Inclusive PSI). Conjunto de princpios, objetivos e requisitos.

Gesto da Segurana
Implantao da segurana (D)
Esta etapa est associada as atividades necessrias para se colocar em prtica que foi planejado. Exemplo: Divulgao da PSI, treinamento, conscientizao dos usurios, definio de normas, procedimentos e implantao de controles.

20/05/2010

Gesto da Segurana
Avaliao (C)
Na fase de avaliao (C) a organizao deve coletar informaes (estatsticas e pesquisas) para averiguar se a segurana implantada atende aos objetivos previamente estabelecidos na fase de planejamento.

Gesto da Segurana
Agir (Atualizao) (A)
Nesta fase o objetivo e atualizar, corrigir, e reduzir os pontos deficientes levantados na fase de avaliao.

20/05/2010

Gesto da Segurana
Devemos observar que alguns investimentos so essenciais e devem estar de acordo com a necessidade da empresa. No existe uma Segurana da Informao adequada para todos.
Quanto vale sua informao? Quem so as vulnerabilidade? Quem so as ameaas?

Para a correta implantao de controles necessrio alguns estudos, por exemplo, a Anlise de Risco.

Gesto do Risco

20/05/2010

Gesto do Risco
Relembrando conceitos:
Ativo: Tudo que direta ou indiretamente manipula informao, inclusive ela mesma. Ameaas: Eventos que podem comprometer a disponibilidade, confidencialidade, integridade e autenticidade das informaes. Risco: Combinao da probabilidade de um evento e de suas conseqncias. Impacto: Valor da importncia do ativo para o negcio.

Eq. Risco = (V x A x I) / M.Prev.

Vulnerabilidade Ameaa Impacto

Gesto do Risco
Tipos de ataques:
Interrupo: Ataque na disponibilidade do sistema. Ex.: Ataque de DDoS. Interceptao: Ataque na confidencialidade do sistema. Ex.: Anlise de rede (sniffer). Modificao: Ataque na integridade do sistema. Ex.: Modificao nas mensagens trafegadas, por exemplo, vrus. Fabricao: Ataque na autenticidade do sistema. Ex.: Ataque de spoofing.

20/05/2010

Gesto do Risco

Gesto do Risco
Concluses sobre o modelo:
Quanto mais ativos, maior o risco. Quanto maior o impacto (importncia), maior o risco. Quanto maior as vulnerabilidades, maior o risco. Quanto mais ameaas, maior o risco. Quanto mais medidas de proteo (salva guarda), menor o risco.

20/05/2010

Gesto do Risco
Por que realizar Gesto do Risco?

Gesto do Risco
Importncia da Gesto de Risco
Ajuda a conhecer ativos, ameaas, vulnerabilidades e impactos aos quais esto sujeitos os sistema de informao. Ajudar o focar naquilo que mais importante, ou seja, priorizar. Tendo em vista a complexidade e o alto custo para manter os sistema de informao seguros importante insumos para justificar. Oficializar para a alta direo a atual situao do ambiente.

10

20/05/2010

Gesto do Risco
O que Gesto do Risco?
Processo de identificao, controle e minimizao ou eliminao dos riscos de segurana que podem afetar os sistemas de informao a um custo aceitvel. NBR ISO 27002 o conjunto de processos que permite s organizaes identificar e implantar as medidas de proteo necessrias para diminuir os riscos a que esto sujeitos os seus ativos de informao, e equilibr-los com os custos operacionais e financeiros envolvidos. Adriana Beal

Gesto do Risco
Fases do Gerenciamento do Risco

11

20/05/2010

Gesto do Risco
Fases do Gerenciamento do Risco

Inspeo
Etapa inicial. Completa vistoria do ambiente. Inspeo crtica do ambiente. Busca de vulnerabilidades e ameaas. Identificao das protees de forma inicial.

Gesto do Risco
Fase do Gerenciamento do Risco
Inspeo
Passos para identificao dos riscos Pessoas: Determinar quais pessoas faro parte da anlise e envolv-las, de acordo com o escopo. Processos: Refere-se aos processos e atividades relacionadas com o escopo da anlise. Informaes: Abrange a informao e a manipulao dela dentro do escopo da anlise. Tecnologia: Engloba toda a infraestrutura de TI envolvida no escopo da anlise.

12

20/05/2010

Gesto do Risco
Fase do Gerenciamento do Risco
Inspeo
Ferramentas Software de varredura Consultoria especializada Checklist manual

Gesto do Risco
Fases do Gerenciamento do Risco

Avaliao
Avaliao das vulnerabilidades, ameaas, impactos e riscos. Fase para valorao e ponderao dos fatores de risco. Necessita do apoio dos gestores. Inicia-se, indiretamente, j na fase de inspeo.

13

20/05/2010

Gesto do Risco
Fases do Gerenciamento do Risco
Avaliao dos riscos
Categorias: Empricos Qualitativo Quantitativos

Gesto do Risco
Fases do Gerenciamento do Risco
Avaliao dos riscos
Mtodos empricos Experincia pessoal Feeling Chute cientfico

14

20/05/2010

Gesto do Risco
Fases do Gerenciamento do Risco
Avaliao dos riscos
Mtodos qualitativos Mtodo de Mosler ( um mtodo subjetivo e portanto, s deve ser utilizado quando a empresa no tiver dados histricos, que possam ser matematicamente empregados. Geralmente dependem de consultoria especializada.

Gesto do Risco
Fases do Gerenciamento do Risco
Avaliao dos riscos
Mtodos quantitativos Mtodos de avaliao matemticos e estatsticos. Depende da srie histrica. Considera probabilidade, desvio padro, custo do risco.

15

20/05/2010

Gesto do Risco
Fases do Gerenciamento do Risco

Anlise
Criao do plano de aes e justificativas para elas. No existe receita, por isso conhea o negcio!

Gesto do Risco
Fases do Gerenciamento do Risco
Anlise dos riscos
Formas de encarar os riscos: Evitar Reduzir Assumir Transferir

16

20/05/2010

Gesto do Risco
Fases do Gerenciamento do Risco
Anlise dos riscos Estabelecendo estratgia
Evitar Alterar forma de trabalho ou operao para contornar o problema. Implantar servios, recursos, equipamentos ou processos. Estratgia de preveno!

Gesto do Risco
Fases do Gerenciamento do Risco
Anlise dos riscos Estabelecendo estratgia
Reduzir Alterar forma de trabalho ou operao para contornar o problema. Implantar servios, recursos, equipamentos ou processos. Propositalmente, apenas reduz os riscos! Estratgia de preveno!

17

20/05/2010

Gesto do Risco
Fases do Gerenciamento do Risco
Anlise dos riscos Estabelecendo estratgia
Assumir Aceitar os riscos e possveis prejuzos. Normalmente tratam os pequenos riscos que necessitam de medidas de proteo com alto custo. A relao custo/benefcio justifica o assumir risco. Estratgia de financiamento!

Gesto do Risco
Fases do Gerenciamento do Risco
Anlise dos riscos Estabelecendo estratgia
Transferir Contratao de seguros. Contratos de manuteno elevados. Estratgia de financiamento!

com

SLAs

18

20/05/2010

Gesto do Risco
Fases do Gerenciamento do Risco

Implantao
Implantao das medidas de controles j escolhidas. Podem ser por tecnologia ou implantao de procedimentos. Monitorao da implantao dos controles.

Gesto do Risco
Gerenciamento do Risco x Avaliao de Risco
Avaliao/Anlise de Riscos: Avaliao das vulnerabilidades, ameaas, impactos e probabilidade de ocorrncia de um evento dentro de um escopo definido. Gerenciamento de Riscos: Processo de identificao; controle, minimizao ou eliminao dos riscos que podem afetar um sistema.

19

20/05/2010

Gesto do Risco
Quando se aplica?
Antes ou durante o processo de implantao de segurana. Antes: Para detectar vulnerabilidades e priorizar as suas correes. Depois: Como parte do processo de gerenciamento de riscos a fim de identificar a existncia de novas vulnerabilidades nos ativos em perodos determinados.

Gesto do Risco
Sugestes para uma boa Anlise de Risco:
Convm que as anlises/avaliaes de riscos tambm sejam realizadas periodicamente. Essas anlises/avaliaes de riscos devem ser realizadas de forma metdica, capaz de gerar resultados comparveis e reproduzveis. A anlise/avaliao de riscos deve ter um escopo claramente definido. Tenha ateno a tudo que possa impactar no escopo da anlise.

20

20/05/2010

Poltica de Segurana

Poltica de Segurana
O que Poltica Informao? de Segurana da

um documento que registra os princpios e as diretrizes de segurana adotados pela organizao, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informao e processos corporativos. Adriana Beal

21

20/05/2010

Poltica de Segurana
O que Poltica Informao? de Segurana da

Documento que tem como objetivo prover direo uma orientao e apoio para a segurana da informao. ISO27002 o conjunto de normatizaes e documentaes que estabelecem o direcionamento da segurana da informao dentro de uma organizao.

Poltica de Segurana
Estrutura da PSI

Diretrizes

Normas

Procedimentos

22

20/05/2010

Poltica de Segurana
Filosofias para uma PSI
Fechada: Tudo proibido, expressamente permitido. Aberta: Tudo permitido, expressamente proibido. exceto o

exceto

Poltica de Segurana
Os sete mandamentos da PSI:
1. Deve ser clara e concisa. 2. Deve ser direcionada ao pblico alvo. 3. Deve ser concebida em conjunto. 4. Deve estar em acordo com a cultura, negcio, 5. 6. 7. 8.

objetivo e misso da organizao. Deve citar as punies claramente. Deve ser revisada periodicamente. Deve ser divulgada amplamente e periodicamente. Deve ter o apoio da alta direo da empresa.

23

20/05/2010

Poltica de Segurana
O que uma PSI deve conter?
No h receita, mas sugere-se que ela abranja:
Organizao da segurana: Definies sobre a estrutura de gesto adotada. Classificao dos ativos de informao: Orientaes sobre realizao de inventrio dos ativos informacionais. Aspectos humanos da segurana: Definies sobre a poltica de segurana de pessoal, incluindo comportamento. Segurana do ambiente fsico: Diretrizes para a proteo dos recursos e instalaes.

Poltica de Segurana
O que uma PSI deve conter?
No h receita, mas sugere-se que ela abranja:
Segurana do ambiente lgico: Diretrizes para garantir a correta operao dos recursos computacionais. Preveno e tratamento de incidentes: Recomendaes para deteco, preveno, notificao e tratamento dos incidentes de segurana. Desenvolvimento/aquisio de sistemas: Diretrizes para o desenvolvimento seguro de aplicaes e procedimentos para aquisies de sistemas seguros.

24

20/05/2010

Poltica de Segurana
O que uma PSI deve conter?
No h receita, mas sugere-se que ela abranja:
Gesto da continuidade do negcio: Recomendaes para que a organizao se prepare para o pior e mantenha-se em operao. Conformidade: Diretrizes para a preservao da conformidade com requisitos legais (Leis e outras normas as quais a empresa esteja submetida).

Poltica de Segurana
Benefcios de uma PSI
Descreve-se o que est sendo protegido e porqu. Define prioridades. Permite formalizar acordos entre as reas. Fornece sustentao para se dizer NO.

25

20/05/2010

Nvel de Maturidade na Gesto de SI

Nvel 1: Inicial
Problemas de segurana so tratados de forma pontual na iniciativa individual. Pouca em nenhuma documentao dos procedimentos. A SI no dispem de um responsvel formal.

Nvel de Maturidade na Gesto de SI

Nvel 2: Reativo
A organizao possui uma PSI e desenvolve planos de proteo e contingncia dos ativos mais importantes. Os problemas so tratados na medida que surgem. No existe processos de monitoramento e avaliao dos controles.

26

20/05/2010

Nvel de Maturidade na Gesto de SI

Nvel 3: Proativo
Os controles so implantados de forma consistente. H aes de treinamento e conscientizao. Os principais ativos esto inventariados e classificados. H processos de monitoramento e testes de invaso regulares.

Nvel de Maturidade na Gesto de SI

Nvel 4: Adio de valor
A SI vista como parte integrante do negcio da empresa e no apenas da TI. Investimentos relacionados a segurana so fundamentados com anlises de riscos profundas. Possui processos de gesto de risco, plano de continuidade do negcio. Possui indicadores que permitem antecipar os problemas.

27

20/05/2010

Exerccios

Exerccio 1 Anlise de Risco

28

20/05/2010

Exerccio 1 Anlise de Risco

Exerccio 1 Anlise de Risco

29

20/05/2010

Exerccio 1 Anlise de Risco

Exerccio 1 Anlise de Risco

30

20/05/2010

Exerccio 1 Anlise de Risco

Ativo Vulnerabilidade Ameaa Aspecto afetado bsico Pontuao Estratgia definida Sistema da empresa Informar a senha pessoal Acesso indevido ao Confidencialidade sistema Alto Reduzir

CPD

Funcionrio fumando

Incndio

Disponibilidade

Alto

Reduzir

Sistema da empresa

Senha anotada na porta

Acesso indevido ao Confidencialidade sistema

Alto

Reduzir

CPD/Informao

Pessoa no autorizada Roubo de no CPD informaes

Confidencialidade

Alto

Reduzir

Exerccio 2 Anlise de Risco

31

20/05/2010

Exerccio 2 Anlise de Risco

Exerccio 2 Anlise de Risco

32

20/05/2010

Exerccio 2 Anlise de Risco

Exerccio 2 Anlise de Risco

33

20/05/2010

Exerccio 2 Anlise de Risco

Exerccio 2 Anlise de Risco

34

20/05/2010

Exerccio Anlise de Risco

Ativo Vulnerabilidade Ameaa Aspecto afetado Computador Cabeamento exposto no centro do CPD Planilha de oramento Computador desbloqueado Possvel queda do computador Algum no autorizado ter acesso a planilha de oramento Fitas de backup Backup no armazenado de forma correta Computador Caf sobre o computador Queda do caf sobre o computador Arquivos da gaveta Gaveta destrancada e Algum no aberta autorizado ter acesso aos arquivos Confidencialidade Disponibilidade Mdio Reduzir Disponibilidade Mdio Reduzir Danificao ou roubo das fitas Disponibilidade Confidencialidade Alto Evitar Confidencialidade Integridade Alto Evitar Disponibilidade Mdio bsico Pontuao Estratgia definida Evitar

35