Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Gesto da Segurana da
Informao
Ps-graduao Ruy Barbosa
Prof(a) Gabriela Mota
Apresentao
Objetivos da Disciplina
05/07/2016
Expectativas
Assiduidade e pontualidade
Concentrao nas aulas
Desenvolvimento das atividades prticas em sala de
aula
13/06
14/06
15/06
16/06
17/06
Contedo Programtico
Avaliao
05/07/2016
Agenda
Operacionalizao da Gesto da
Segurana da Informao
(PRIMEIRO DIA)
Retomando...
05/07/2016
05/07/2016
05/07/2016
05/07/2016
05/07/2016
Segregao de Funes
05/07/2016
05/07/2016
Consideraes (1/2)
Consideraes (2/2)
10
05/07/2016
NBR-ISO/IEC 27001
NBR-ISO/IEC 27001
NBR-ISO/IEC 27001
11
05/07/2016
NBR-ISO/IEC 27001
Controles de criptografia
NBR-ISO/IEC 27001
NBR-ISO/IEC 27001
12
05/07/2016
NBR-ISO/IEC 27002
Segundo a norma NBR-ISO/IEC 27002, captulo 12
Aquisio, desenvolvimento e manuteno de
sistemas de informao:
12.2 Processamento correto nas aplicaes
12.2.1 Validao dos dados de entrada
12.2.2 Controle do processamento interno
NBR-ISO/IEC 27002
Segundo a norma NBR-ISO/IEC 27002, captulo 12
Aquisio, desenvolvimento e manuteno de
sistemas de informao (continuao):
NBR-ISO/IEC 27002
12.2 Processamento correto nas aplicaes
Objetivo: Prevenir a ocorrncia de erros, perdas, modificao no
autorizada ou mau uso de informaes em aplicaes.
Convm que controles apropriados sejam incorporados no projeto
das aplicaes, inclusive aquelas desenvolvidas pelos usurios,
para assegurar o processamento correto. Convm que esses
controles incluam a validao dos dados de entrada, do
processamento interno e dos dados de sada.
13
05/07/2016
NBR-ISO/IEC 27002
12.2.1 Validao dos dados de entrada
Controle:
Convm que os dados de entrada de aplicaes sejam validados
para garantir que so corretos e apropriados.
Diretrizes para implementao
a) entrada duplicada ou outros tipos de verificao, tais como
checagem de limites ou campos limitando
as faixas especficas de dados de entrada, para detectar os
seguintes erros:
1) valores fora de faixa;
2) caracteres invlidos em campos de dados;
3) dados incompletos ou faltantes;
4) volumes de dados excedendo limites superiores ou
inferiores;
5) dados de controle inconsistentes ou no autorizados;
NBR-ISO/IEC 27002
12.2.2 Controle do processamento interno
Controle:
Convm que sejam incorporadas, nas aplicaes, checagens de
validao com o objetivo de detectar qualquer corrupo de
informaes, por erros ou por aes deliberadas.
Diretrizes para implementao
a) o uso das funes, como incluir, modificar e remover para
implementao de alteraes nos dados;
b) procedimentos para evitar que programas rodem na ordem
errada ou continuem rodando aps uma falha de processamento;
c) o uso de programas apropriados para recuperao de falhas,
para assegurar o processamento correto dos dados;
d) proteo contra ataques usando buffer overrun/overflow;
NBR-ISO/IEC 27002
12.4 Segurana dos arquivos do sistema
Objetivo: Garantir a segurana de arquivos de sistema.
Convm que o acesso aos arquivos de sistema e aos programas
de cdigo fonte seja controlado e que atividades de projeto de
tecnologia da informao e de suporte sejam conduzidas de forma
segura.
Convm que cuidados sejam tomados para evitar a exposio de
dados sensveis em ambientes de teste.
14
05/07/2016
NBR-ISO/IEC 27002
12.4.1 Controle de software operacional
Controle
Convm que procedimentos para controlar a instalao de
software em sistemas operacionais sejam implementados.
Diretrizes para implementao
NBR-ISO/IEC 27002
12.4.1 Controle de software operacional
Diretrizes para implementao (continuao)
NBR-ISO/IEC 27002
12.4.2 Proteo dos dados para teste de sistema
Controle
Convm que os dados de teste sejam selecionados com cuidado,
protegidos e controlados.
Diretrizes para implementao
a) os procedimentos de controle de acesso, aplicveis aos
aplicativos de sistema em ambiente operacional, sejam tambm
aplicados aos aplicativos de sistema em ambiente de teste;
b) seja obtida autorizao cada vez que for utilizada uma cpia da
informao operacional para uso de um aplicativo em teste;
c) a informao operacional seja apagada do aplicativo em teste
imediatamente aps completar o teste;
d) a cpia e o uso de informao operacional sejam registrados de
forma a prover uma trilha para auditoria.
15
05/07/2016
NBR-ISO/IEC 27002
12.4.3 Controle de acesso ao cdigo-fonte de programa
Controle
Convm que o acesso ao cdigo-fonte de programa seja restrito.
Diretrizes para implementao
a) quando possvel, seja evitado manter as bibliotecas de programa-fonte
no mesmo ambiente dos sistemas operacionais;
b) seja implementado o controle do cdigo-fonte de programa e das
bibliotecas de programa-fonte, conforme procedimentos estabelecidos;
c) o pessoal de suporte no tenha acesso irrestrito s bibliotecas de
programa-fonte;
d) a atualizao das bibliotecas de programa-fonte e itens associados e a
entrega de fontes de programas a programadores seja apenas efetuada
aps o recebimento da autorizao pertinente;
e) as listagens dos programas sejam mantidas num ambiente seguro;
f) seja mantido um registro de auditoria de todos os acessos a cdigo-fonte
de programa;
NBR-ISO/IEC 27002
12.5 Segurana em processos de desenvolvimento e de suporte
Objetivo: Manter a segurana de sistemas aplicativos e da
informao.
Convm que os ambientes de projeto e de suporte sejam
estritamente controlados.
Convm que os gerentes responsveis pelos sistemas aplicativos
sejam tambm responsveis pela segurana dos ambientes de
projeto ou de suporte. Convm que eles assegurem que mudanas
propostas sejam analisadas criticamente para verificar que no
comprometam a segurana do sistema ou do ambiente
operacional.
NBR-ISO/IEC 27002
Controle
Convm que a implementao de mudanas seja controlada utilizando
procedimentos formais de controle de mudanas.
Diretrizes para implementao
a) a manuteno de um registro dos nveis acordados de autorizao;
b) a garantia de que as mudanas sejam submetidas por usurios
autorizados;
c) a anlise crtica dos procedimentos de controle e integridade para
assegurar que as mudanas no os comprometam;
d) a identificao de todo software, informao, entidades em bancos de
dados e hardware que precisam de emendas;
e) a obteno de aprovao formal para propostas detalhadas antes da
implementao;
f) a garantia da aceitao das mudanas por usurios autorizados, antes
da implementao;
16
05/07/2016
NBR-ISO/IEC 27002
12.5.1 Procedimentos para controle de mudanas
Diretrizes para implementao (continuao)
g) a garantia da atualizao da documentao do sistema aps
concluso de cada mudana e de que a documentao antiga seja
arquivada ou descartada;
h) a manuteno de um controle de verso de todas as
atualizaes de softwares;
i) a manuteno de uma trilha para auditoria de todas as mudanas
solicitadas;
j) a garantia de que toda a documentao operacional e
procedimentos dos usurios sejam alterados conforme necessrio
e que se mantenham apropriados;
k) a garantia de que as mudanas sejam implementadas em
horrios apropriados, sem a perturbao dos processos de
negcios cabveis.
NBR-ISO/IEC 27002
12.5.4 Vazamento de informaes
Controle
Convm que oportunidades para vazamento de informaes sejam
prevenidas.
Diretrizes para implementao
a) a varredura do envio de mdia e comunicaes para verificar a presena de
informao oculta;
b) o mascaramento e a modulao do comportamento dos sistemas e das
comunicaes para reduzir a possibilidade de terceiros deduzirem
informaes a partir do comportamento dos sistemas;
c) a utilizao de sistemas e software reconhecidos como de alta integridade,
por exemplo utilizando produtos avaliados (ver ISO/IEC 15408);
d) o monitoramento regular das atividades do pessoal e do sistema, quando
permitido pela legislao ou regulamentao vigente;
e) o monitoramento do uso de recursos de sistemas de computao.aar
NBR-ISO/IEC 27002
12.5.5 Desenvolvimento terceirizado de software
Controle
Convm que a organizao supervisione e monitore o desenvolvimento
terceirizado de software.
Diretrizes para implementao
Convm que sejam considerados os seguintes itens quando do
desenvolvimento de software terceirizado:
a) acordos de licenciamento, propriedade do cdigo e direitos de
propriedade intelectual;
b) certificao da qualidade e exatido do servio realizado;
c) provises para custdia no caso de falha da terceira parte;
d) direitos de acesso para auditorias de qualidade e exatido do servio
realizado;
e) requisitos contratuais para a qualidade e funcionalidade da segurana
do cdigo;
f) testes antes da instalao para detectar a presena de cdigo malicioso
17
05/07/2016
Falhas de Segurana
Principais falhas de segurana em aplicaes:
Buffer Overflow
Data tampering
Script Injection
SQL Injection
CrossSite
Scripting
Falhas de Segurana
Buffer overflow:
Falhas de Segurana
Data Tampering:
Envia-se um valor diferente do esperado pela aplicao
Este valor induz a aplicao a fazer uma operao diferente da que
faria normalmente, dando acesso a dados que deveriam estar ocultos
Ou ento o valor coloca a aplicao em loop, ou provoca erros mais
adiante (como diviso por zero) efetivamente derrubando a aplicao
em um ataque DoS Denial of Service
18
05/07/2016
Falhas de Segurana
Data Tampering (exemplo):
Uma pgina lista registros visveis pelo usurio, filtrados pelo nome do
usurio autenticado pelo servidor.
A pgina seguinte um formulrio de edio, que recebe da pgina com
a lista o id ou pk (chave primria) do registro a editar.
O cracker chama diretamente a pgina de edio, fornecendo o id de um
registro que no apareceria para ele na pgina de listagem e assim
editando dados que ele no estaria autorizado
Falhas de Segurana
Script Injection:
uma forma de data tampering que insere cdigo para execuo
pelo interpretador de scripts presente no servidor ou no cliente.
Este cdigo pode ser HTML, Javascript, SQL, PHP, VBA ou
qualquer outra linguagem de macros.
O cracker insere o cdigo como parte dos dados enviados para a
aplicao.
Este cdigo poder ser executado imediatamente pelo servidor,
ou pelo cliente (navegador) como parte da pgina de resposta.
Falhas de Segurana
Cross-Site Scripting (XSS):
19
05/07/2016
Falhas de Segurana
SQL Injection:
1. SQL Injection, uma tcnica que consiste em 'injetar'
cdigo malicioso em uma
2. instruo SQL atravs de uma falha do programador.
A mais comum a que vou descrever agora, onde
possvel logar em um site sem ter a senha.
Basicamente o SQL utilizado em uma simples tela de login
o seguinte:
Falhas de Segurana
SQL Injection (exemplo):
Atividade 1
20
05/07/2016
Material de apoio
http://www.microsoft.com/brasil/security/guidance/default.mspx
Modelagem de ameaas
http://www.microsoft.com/brasil/security/guidance/topics/devsec/secmod76.
mspx
http://www.microsoft.com/brasil/security/guidance/topics/devsec/secmod97.
mspx
http://www.microsoft.com/brasil/security/guidance/topics/devsecapps.mspx
http://www.msdn.microsoft.com/practices
Gesto de Incidentes de
Segurana da Informao
(SEGUNDO DIA)
63
21
05/07/2016
ISO 27035
Consiste em um guia detalhado para a gesto de
incidentes de segurana da informao, cobrindo o
processo de mapeamento de eventos, incidentes e
vulnerabilidades em de segurana.
Gesto de Incidentes
O Gerenciamento de Incidentes o processo reativo da
Operao de Servios de TI e tem como seu principal
objetivo restaurar o servio final do usurio o mais
rpido possvel. Para que o impacto seja minimizado
e incidentes sejam tratados da forma adequada a
cada caso, so necessrias precaues em seu
desenho e monitoramento.
Gerenciamento de Eventos
Gerenciamento de Eventos
Um evento pode ser definido como qualquer mudana
de estado que tem importncia para a gesto de um
item de configurao (IC) ou servio de TI. Em outras
palavras, qualquer ocorrncia dentro do escopo de TI
que tenha relevncia para a gesto dos servios
entregues ao(s) cliente(s).
22
05/07/2016
Gerenciamento de Eventos
Exemplos de eventos:
Um usurio logou no sistema;
Gerenciamento de Eventos
Um evento tem diversas naturezas, portanto devem ser
categorizados por nomenclaturas como: normal; no
usual, exceo, alerta, ou quaisquer outras
classificaes relevantes.
Gerenciamento de Incidentes
Um "incidente" definido pela ITIL como uma
23
05/07/2016
Gerenciamento de Incidentes
Gerenciamento de incidentes o processo responsvel
por gerenciar o ciclo de vida de todos os incidentes.
Incidentes podem ser identificados equipe tcnica,
detectado e relatado por ferramentas de
Diviso de Responsabilidades
Matriz de responsabilidades R.A.C.I
Diviso de Responsabilidades
RACI uma ferramenta utilizada para atribuio de
responsabilidades, dentro de um determinado
24
05/07/2016
Diviso de Responsabilidades
A Sigla RACI significa:
R: Responsvel por executar uma atividade
A: Autoridade, quem deve responder pela atividade,
o dono (apenas uma autoridade pode ser atribuda
por atividade);
C: Consultado, quem deve ser consultado e
participar da deciso ou atividade no momento que
for executada;
I: Informado, quem deve receber a informao de
que uma atividade foi executada.
Evento
Evento de SI
Incidente de SI
25
05/07/2016
26
05/07/2016
27
05/07/2016
28
05/07/2016
Certs
Cert.br
O Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurana no Brasil mantido pelo
NIC.br, do Comit Gestor da Internet no Brasil, e
atende a qualquer rede brasileira conectada
Internet.
Certs
Certs.br
Certs
29
05/07/2016
Certs
Certs
Certs
30
05/07/2016
Certs
Certs
Tratamento de Incidentes
O processo de tratamento de incidentes de
segurana consiste na implementao de
procedimentos e etapas bem definidas que
conduziro a equipe para a resoluo de um
incidente de segurana.
O conjunto de etapas definidas permite determinar
um fluxo lgico especificando aes a serem
realizadas nas diferentes etapas do processo.
31
05/07/2016
Tratamento de Incidentes
Alm de guiar a equipe para a resoluo de
incidentes, a utilizao de procedimentos evita que a
equipe cometa falhas.
Isso essencialmente importante, sobretudo na
resposta a incidentes, onde consequncias de aes
implementadas pela equipe podem afetar a
organizao como um todo
Tratamento de Incidentes
Tratamento de Incidentes
Aspectos do processo de resposta a incidentes
Estrutura e organizao: geralmente um CSIRT est
envolvido com diferentes incidentes, onde a
complexidade, muitas vezes, tende a aumentar com a
evoluo da investigao. Ter uma metodologia definida
garante que os incidentes sejam tratados de forma
estrutura (segundo as etapas) e organizada de forma
padronizada;
32
05/07/2016
Tratamento de Incidentes
Aspectos do processo de resposta a incidentes
Eficincia: utilizar uma metodologia bem definida e
assertiva para solucionar incidentes impede que aes
desnecessrias sejam implementadas;
Consideraes legais: alguns incidentes so necessrios
colaborao com as foras da lei. A utilizao de uma
metodologia estabelecida pode auxiliar na preservao de
provas e tambm proteger o CSIRT de possveis
questionamentos.
Tratamento de Incidentes
No contexto especfico de resposta a incidentes
podem ser observadas algumas metodologias
descritas pela literatura.
Uma das principais metodologias de resposta a
incidentes denominada PDCERF foi definida pelo
Instituto de Engenharia de Software de Pittsburgh,
Pensilvnia, nos Estados Unidos, no ano de 1989.
Tratamento de Incidentes
33
05/07/2016
Tratamento de Incidentes
1. Preparao: gerenciar as ferramentas para anlise
de incidentes, incluindo o conhecimento de todo o
ambiente utilizado;
2. Deteco: detectar o incidente, determinar o
escopo e as partes envolvidas com o incidente;
3. Conteno: conter o incidente de maneira a
atenuar os danos e evitar que demais recursos sejam
comprometidos;
Tratamento de Incidentes
4. Erradicao: eliminar as causas do incidente,
removendo todos os eventos relacionados;
5. Recuperao: restaurar o sistema ao seu estado
normal;
6. Avaliao: avaliar as aes realizadas para resolver
o incidente, documentando detalhes, e discutir lies
aprendidas.
Atividade 2
34
05/07/2016
Gesto da continuidade do
negcio
(TERCEIRO DIA)
103
35
05/07/2016
36
05/07/2016
Conceitos
Conceitos
A Segurana Organizacional composta
pela segurana eletrnica, segurana
fsica,
segurana
de
instalaes,
vigilncia, proteo contra incndios,
segurana patrimonial, segurana lgica,
que se complementam formando assim a
poltica de segurana organizacional.
Objetivos
O objetivo da Segurana Organizacional
a total proteo de pessoas, bens e
instalaes, assegurando atravs de
tcnicas,
conhecimentos,
sistemas,
processos, produtos ou meios, a
integridade e a continuidade dos negcios,
das pessoas e dos bens existentes.
37
05/07/2016
Objetivos
Benefcios
Benefcios
Estabilidade na conduo dos negcios;
Aumento de disponibilidade;
Contingenciamento;
Eficincia na recuperao;
Agilidade nas aes;
Respeito aos clientes, aumentando a confiana na
organizao;
Melhoria da reputao;
Melhor relao com investidores;
Reduo do espao para aes diretas dos concorrentes.
38
05/07/2016
Como a continuidade de
negcios se encaixa na gesto?
Definio de cenrios
39
05/07/2016
40
05/07/2016
Documentos
41
05/07/2016
42
05/07/2016
significa
PLANO DE CONTINUIDADE
43
05/07/2016
Plano de Continuidade de
Negcios (PCN)
Plano de Recuperao de
Desastres
Plano de Contingncia
44
05/07/2016
45
05/07/2016
PCN - Limitao
Fases do PCN
Fase 1 - Levantamento de dados: Anlise de documentao, inspeo
fsica e levantamento das Ameaas/ Vulnerabilidades /Impactos;
Fase 2 - Anlise de Impacto nos Negcios: fornece o custo da parada
dos processos de negcios crticos e vitais bem como o Custo da
Recuperao dos componentes crticos e vitais;
Fase 3 - Estratgia de Recuperao / Continuidade: So analisadas as
estratgias de recuperao e continuidade que sero adotadas e a
necessidade de existncia ou no de um site alternativo. Neste
momento gerado o Relatrio de Estratgias;
Fase 4 - Desenvolvimento dos Planos: implantao das estratgias
analisadas;
Fase 5 - Testes / Simulaes dos Planos: Nesta fase definida a
estratgia para o escopo dos testes/ simulaes. Os testes/simulaes
realizados iro gerar as evidncias, possibilitando aprimorar e/ou
correo dos Planos.
Contedo do Plano
46
05/07/2016
Contedo do Plano
Contedo do Plano
Definio do backup-site
Benefcios
47
05/07/2016
Produtos
Gesto da Continuidade;
Anlise de Riscos;
Desenvolvimento do Plano de Continuidade;
Estrutura do Plano de Continuidade;
Teste e Manuteno do Plano de Continuidade;
48
05/07/2016
Documento NIST
Desktops;
Servers;
WebSites;
LAN e WAN;
Sistemas Distribudos;
Mainframes;
Documento NIST
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspeci
alpublication800-34r1.pdf
Atividade 3
49
05/07/2016
Material complementar
ABRAPP. Guia de boas prticas para Planos de
Continuidade de Negcios:
http://www.abrapp.org.br/Documentos%20Pblicos/guia
boaspraticas.pdf
KPMG. Continuidade de Negcio: Assegurar a resilincia
na adversidade.
http://www.kpmg.com/PT/pt/IssuesAndInsights/Docume
nts/continuidade-negocio2010.pdf
Artigo 2: 27001 Academy. Como ferramentas online
esto revolucionando a implementao da ISO 27001 e
ISO 22301 (ao final do mdulo)
Projeto de implantao de um
SGSI
(QUARTO DIA)
149
Retomando
50
05/07/2016
Processo proposto
Processo proposto
51
05/07/2016
Estabelecer
Estabelecer
Estabelecer
52
05/07/2016
Implementar e operar
Implementar e operar
Monitorar a analisar
53
05/07/2016
Monitorar a analisar
Manter e operar
Manter e operar
54
05/07/2016
Manter e operar
Atividade 4
Material complementar
55
05/07/2016
Concluses (1/2)
Concluses (2/2)
Links importantes
56
05/07/2016
Referncias (1/2)
Referncias (2/2)
57