Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura...

Faculdade de Tecnologia SENAI Porto Alegre

Segurança em Desenvolvimento de SI

Aula 1

Prof. Me. Humberto Mourahumberto@humbertomoura.com.br

Evolução da TI

Postura TI

Princípios de TI (papel da TI perante o negócio) Arquitetura de TI (definição de requisitos de padronização e

integração) Infraestrutura de TI (parte física, entregue em forma de serviços para

prover suporte aos sistemas), Necessidades de aplicações de negócio (preocupação com as

aplicações empresariais que devem ser adquiridas ou desenvolvidas internamente)

Investimentos em TI (decisões de como e onde investir em TI).

Níveis de TI

Grupos de decisões: Monarquia de negócio (altos gestores)Monarquia de TI (especialistas em TI) Feudalismo (cada unidade de negócio toma suas decisões) Federalismo (combinação entre o centro corporativo e as unidades de negócios)Duopólio de TI (o grupo de TI e algum outro grupo)Anarquia (tomada de decisão individual ou em pequenos grupos de forma isolada).

Resumo - Família ISO 27000

ISO 27000:2012 Termos, definições e vocabulário utilizados ao longo da série 27000ISO 27001:2006 Estabelecer, implementar, operar, manter, monitorar, melhorar um SGSIISO 27002:2005 Controle de segurança da Informação e boas práticasISO 27003:2011 Especificação e projeto do SGSI.ISO 27004:2010 Medir, informar e melhorar a eficiência e a eficácia de um SGSIISO 27005:2011 Diretrizes para a gestão de riscos (análise, avaliação, tratamento, aceitação...)ISO 27006:2011 Requisitos Gerais para serem creditadas em certificar SGSIISO 27007:2011 Gerenciamento e Execução de Auditorias de um SGSI

Vantagem do Uso de Normas

Metodologia estruturada de segurança que está alcançando reconhecimento internacional

Maior confiança mútua entre parceiros comerciais

Custos possivelmente menores para seguros de riscos computacionais

Melhores práticas de privacidade e conformidade com leis de privacidade.

Informação

"É um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e consequentemente necessita ser adequadamente protegida”. Tipos:

 Impressa ou escrita em papel Armazenada eletronicamente  Transmitida pelo correio ou por meios eletronicos  Exibida em vídeos Verbal – falada em conversações

Informação

Internas a companhia informação que você não gostaria que a concorrência soubesse

Clientes e fornecedores informação que eles não gostariam que você divulgasse

Parceiros informação que necessita ser compartilhada com outros parceiros comerciais

A Informação Pode ser:

Criada; Transmitida; Processada; Usada; Armazenada; Corrompida; Perdida; Destruída.

Segurança da Informação

"É a proteção da informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos

negócios e maximizar o retorno dos investimentos e as oportunidades de negócio".

Obter Segurança da Informação

Implementando Controles para garantir que os objetivos de segurança sejam alcançados."

Políticas Práticas

Aspectos da Informação Confidencialidade: assegurar que a informação é acessível

somente as pessoas autorizadas Integridade: proteger a exatidão e a completude da

informação e dos métodos de processamento. Disponibilidade: assegurar que os usuários autorizados

tenham acesso a informação e ativos associados quando necessário.

Ativos

Devem ser aqueles relevantes ao escopo do Sistema de Gestão de Segurança da Informação;

Um ativo é algo a que a organização atribui valor, por exemplo: Informação eletronica, Documentos em papel, Software, hardware, Instalações, Pessoas, imagem e reputação da companhia, Serviços.

Exercícios

Considere-se um consultor na área de SI que deseja implantar o SGSI na sua empresa conforme a norma ISO27001.

Reunam-se em grupo de até 5 colegas e desenvolvam as seguintes tarefas:

Exercícios

1) Identifique, do seu ponto de vista os possíveis ativos da informação dentro do processo principal de sua empresa, considere: informações de entrada, informações de saída, equipamentos, registros, recursos humanos, comunicação, software básico e utilitário e outros, conforme o modelo 1.

Informações de Entrada Informações de Saída Equipamentos

- Contrato comercial- Contrato técnico

- Treinamento, Manuais, slides, Apresentações, apostilas, Metodologia, Padrões de relatório

Modem, Firewall, Router, Hub, 1 servidor, 2 desktop, 2 notebook

Registros Recursos Humanos Comunicações

- Análise crítica de projeto, - verificações de projeto,

alterações de projeto, lições aprendidas

- 5 Pessoas - 1 fax, 5 telefones, link de Internet

Outros Software Básico Software Utilitário

- Instalações físicas - Mac OSX- Windows 2000- Linux

- Anti-vírus- Lan Guard

Exercícios

2) Selecione ao menos 5 destes ativos com base na perda da confidencialidade, disponibilidade e integridade e classifique cdd acordo com o impacto para a empresa: verde (baixo), amarelo (médio) e vermelho (alto).

Vulnerabilidades Vulnerabilidades são fraquezas associadas aos ativos da

organização Consultores: Contratação inadequada, Falta Instalação: Falta de mecanismo de

monitoramento, Proteção física inadequada, Energia elétrica instável

Banco de dados: Falta de backup, Armazenamento inadequado

Ameaças

Funcionários descontentes ou desmotivados;Baixa conscientização nos assuntos de segurança; Inexistência de planos de recuperação a desastres;Desastres naturais, incêndio, inundação, terremoto, terrorismo; Falta de políticas e procedimentos implementados.

Impactos

Perda de clientes e contratos;

Danos a imagem;

Perda de produtividade;

Aumento no custo do trabalho para conter, reparar e recuperar;

Aumento de seguros;

Penalidades e multas.

Exercício

Para os ativos listados no exercício anterior identifique pelo menos para 3 ativos: suas vulnerabilidades, as ameaças que podem atingi-los e a probabilidade desta ocorrer.

Também considere cores para identificar a probabilidade de ocorrer verde (baixa), amarelo (média), vermelho (alta).

Exemplo de Modelo

Riscos de Segurança

Um risco de segurança é o potencial que uma dada ameaça irá explorar vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos

Definições Gerenciamento de riscos :Conjunto de atividades coordenadas para direcionar e

controlar um organização com relação a riscos de SI Análise de riscos :Uso sistemático da informação para identificar as fontes de

riscos e para estimar o risco Avaliação de riscos :Processo de comparar os riscos estimados com

determinados critérios de riscos para determinar a significancia dos riscos Estimativa de riscos :Processo global de análise e avaliação de riscos Tratamento de riscos :Processo de seleção e implementação de medidas para

modificar o risco Aceitação de riscos :Decisão de aceitar um risco

`

Processo Sistema de Gestão da Segurança da InformaçãiProcesso

Processo de Gerenciamento de Risco de Segurança da Informação

Plan - Estabelecer o Contexto- Avaliação de Risco- Desenvolver Plano de Tratamento de Risco- Aceite do Risco

Do Implementação do Plano de Tratamento de Risco

Check Monitoramento Contínuo e Revisão dos Riscos

Act Manter e Melhorar o Processo de Gerenciamento de Risco de segurança da Informação.

Alinhamento SGSI e Gestão de Riscos

Exemplo de Riscos Interrupção da continuidade do negócio Indisponibilidade da informação Perda da integridade dos dados Perda / roubo de informação Perda do controle do serviço Perda de credibilidade / imagem Perda da confidencialidade de dados

Exercício• identifique os riscos de segurança para os ativos dos quais você

identificou as vulnerabilidades, ameaças e probabilidades.

Controles A segurança eficaz normalmente requer:

Detecção Desencorajamento Prevenção Limitação Correção Recuperação Monitoramento Conscientização

ControlesApós a identificação dos riscos é necessário identificar os controles já existentes na organização e verificar se o risco resultante após a utilização destes controles é aceitável e só então deve-se avaliar a necessidade de novos controles.

Exemplo de Controles (ISO 27001 )A.11.5 Controle de Acesso ao sistema operacional

Procedimentos seguros de login; Identificação e autenticação de usuário; Sistema de gerenciamento de senha; Uso de utilitários de sistema; Desconexão de terminal por inatividade; Limitação de horário de conexão;

Avaliação de Riscos e Controles

Avaliação dos Riscos Identificação e valorização dos ativos Identificação das vulnerabilidades Identificação das ameaças Avaliação de impactos que a perda de confidencialidade,

integridade e disponibilidade nos ativos pode causar Análise e avaliação dos riscos Priorização dos riscos

Tratamento do Risco Definição do grau de garantia; Revisão de controles existentes; Identificação de novos controles; Implementação dos novos controles; Aceitação do risco residual.

ExercícioIdentifique controles que poderiam ser utilizados de forma a minimizar ou eliminar cada um dos riscos.