GESTÃO DA SEGURANÇA DA INFORMAÇÃO · Não se trata de hipnose ou controle da mente, as...

BOAS PRÁTICAS DE SEGURANÇA DA

INFORMAÇÃO

CONTEÚDO

I. Introdução à Segurança da Informação

II. Cenário da Segurança da Informação

1. Segurança Física

2. Pessoas

3. Tecnologia da Informação

4. Aspectos Legais

III. Boas Práticas de Segurança da Informação

1. Série ABNT NBR ISO/IEC 27000

2. Política de Segurança da Informação

3. Organização

4. Classificação da Informação

5. Gestão de Risco

6. PCN

7. Desenvolvimento de Pessoas

IV. Gestão da Segurança - Ciclo PDCA2

INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

Parte I

3

4

Informação e Segurança

“Em um mundo onde existe uma riqueza de

informação, existe freqüentemente uma

pobreza de atenção.”

Ken Mehlman

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

O bem mais valioso de uma organização pode não ser o produzido

pela sua linha de produção ou pelo serviço prestado, mas as

informações relacionadas com esse bem de consumo ou serviço.

Exemplos:

nº de casos de dengue por município

Cadastro de servidores (agentes públicos)

Mapeamento e descrição dos processos de negócio

Censo escolar

Indicadores da segurança pública

Imagens de satélite

5

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

6

Uma informação pode ser armazenada sob diversos meios:

• Papel (escrita)

• Dispositivos digitais

• Memória Humana (volátil)

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

7

Uma informação pode se transmitida por diversos meios:

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

8

É fato:

Uma organização pode ter prejuízos incalculáveis ou até mesmo ser

descontinuada por um incidente envolvendo informações.

Não existe 100% de segurança.

É preciso cercar o ambiente de informações com medidas que

garantam sua segurança efetiva a um custo aceitável.

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

9

Segurança da informação é a proteção da informação

contra vários tipos de ameaças para garantir a

continuidade do negócio, minimizar o risco ao

negócio, maximizar o retorno sobre os investimentos

e as oportunidades de negócio.

O que é segurança da informação?

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

10

Segurança da informações na administração pública

Fraudes marcam a distribuição de ações.

Gaeco apura vazamento de informação

sobre operação em MT

Vazamento de informação prejudicou

operação no Rio, diz delegado

Prejuízo com o vazamento da prova do

Enem pode chegar a R$ 34 milhões

FRAUDE NA PREVIDÊNCIA

CHEGA A R$ 1,6 BILHÃO - MEIO

MILHÃO DE MORTOS-VIVOS

MPF/AP denuncia servidor público por fraude ao sistema

de Dívida Ativa da União - Os prejuízos aos cofres públicos

foram estimados em R$ 11 milhões.

Confirmada fraude no concurso público do

Governo do Mato Grosso.

Polícia investiga fraude no sistema

da Nota Fiscal Paulista

Autoescolas corrompem sistema

digital e oferecem esquema para

renovar CNH em SP

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

11

Dimensões de proteção da informação

Con

fiden

cia

lidade

Segurança da

InformaçãoIn

tegri

dade

Dis

pon

ibil

idade

Autenticidade

Não Repúdio

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

12

É uma característica da informação que diz respeito ao

direito de acesso.

Medidas de segurança devem garantir que a informação

esteja acessível apenas para quem tem permissão de

acesso, evitando, assim, revelação não autorizada.

• Confidencialidade

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

13

• Confidencialidade

Balancete contábil Secretaria (pública – acesso a todos os interessados)

Informações táticas de operação policial a ser realizada (apenas os

envolvidos no plano)

Senha da conta bancária (somente o correntista)

Gabarito de Prova não realizada (apenas os elaboradores da prova)

Lista dos aprovados em concurso público (pública - todos os interessados)

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

14

É uma característica da informação que diz respeito à sua

exatidão.

Medidas de segurança devem garantir que a informação seja

alterada somente por pessoas e/ou ativos associados

autorizados e em situações que efetivamente demandem a

alteração legítima.

• Integridade

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

15

• Integridade

Plano de Vôo

Dados preenchidos em cheque

Conteúdo de um Edital a ser publicado

Prescrição médica para paciente internado

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

16

Medidas de segurança devem garantir que a informação esteja

disponível, sempre que necessário, aos usuários e/ou sistemas

associados que tenham direito de acesso a ela.

• Disponibilidade

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

17

• Disponibilidade

Extrato bancário

Dados gerenciais para tomada de decisão

índice de mortalidade infantil por município

tamanho das áreas devastadas por queimadas

nº de aposentadorias previstas para 2013

Dados para operacionalização de procedimentos

ramal de telefones atualizado na recepção

declaração de rendimentos para IRPF

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

18

Diz respeito à certeza da origem da informação.

Medidas de segurança devem garantir que a informação provem

da fonte anunciada e que não foi alvo de mutação ao longo de

sua transmissão.

• Autenticidade

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

19

• Autenticidade

Página web do banco para digitar nº da conta e senha

Certificado de Registro de Veículo para transferência de proprietário

Atestado médico para justificar falta de funcionário

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

20

Ou irretratabilidade, diz respeito à garantia de que o autor de

determinada ação não possa negar tal ação.

Medidas de segurança devem garantir meios que identifique

inequivocamente o autor de uma ação.

• Não repúdio

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

21

• Não repúdio

Notificação judicial (entrega em mãos por alguém de fé

pública)

Notificação extrajudicial (registradas)

Posse de um processo (controle de assinatura do

receptor, data e hora do recebimento).

Acesso a determinado ambiente crítico (sistema por

biometria).

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

22

Confidencialidade Integridade Disponibilidade

Autenticidade Não Repúdio

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

Dimensões da segurança da informação:

24

Segurança da Informação Proteção

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

Ativos:

A própria informação

Infraestrutura física

Tecnologia da Informação

Pessoas

Negócio

Informações

Ativos

suportam

manipuladas

25

Proteção: Medidas / Controles de Segurança da Informação

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

26

“ Segurança da Informação é como uma corrente cuja força é medida pelo

seu elo mais fraco.”

Nenhuma corrente é tão forte quanto o seu elo mais fraco.

I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

II. CENÁRIO

27

Segurança Física

CENÁRIO SEGURANÇA FÍSICA

Pouca consideração com a localização das

Instalações

28

29

30

Uma mega explosão no depósito de, umgrande terminal de distribuição decombustível, que armazena óleo, gasolina equerosene, foi ouvida a 322 km de distância.A interrupção dos negócios foi sentida portodas as empresas de Maylands 48 horasapós o incidente, sendo que a maioria foiafetada por longo tempo e muitas ainda estãosofrendo dos efeitos pós-incidente.Cerca de 90 empresas foram severamenteafetadas pelo incidente com destruição totalou parcial de suas instalações e outros ativos.A maioria delas ainda está sofrendo os efeitos do incidente.

Mega explosão do depósito de combustíveis de Buncefield

Barreiras e Controle de Acesso Físico

31

CENÁRIO SEGURANÇA FÍSICA

CENÁRIO SEGURANÇA FÍSICA

32

33

CENÁRIO SEGURANÇA FÍSICA

Infraestrutura de Utilidades :

Energia elétrica,

Abastecimento de água,

Sistema de climatização

34

CENÁRIO SEGURANÇA FÍSICA

35

CENÁRIO SEGURANÇA FÍSICA

Equipamentos

36

CENÁRIO SEGURANÇA FÍSICA

37

CENÁRIO SEGURANÇA FÍSICA

Prevenção e combate a incêndio

CENÁRIO SEGURANÇA FÍSICA

38

CENÁRIO SEGURANÇA FÍSICA

39

CENÁRIO SEGURANÇA FÍSICA

40

II. CENÁRIO

41

PESSOAS

42

CENÁRIO PESSOAS

Ignorância

Má-féNegligência

Incidentes de Segurança provocados por Pessoas

CENÁRIO PESSOAS

44

CENÁRIO PESSOAS

45

46

A Engenharia Social

CENÁRIO PESSOAS

47

A Engenharia Social

"É a ciência que estuda como o conhecimento do comportamento

humano pode ser utilizado para induzir uma pessoa a atuar

segundo seu desejo. Não se trata de hipnose ou controle da mente,

as técnicas de Engenharia Social são amplamente utilizadas por

detetives (para obter informação) e magistrados (para comprovar se

um declarante fala a verdade).

Também é utilizada para lograr todo tipo de fraudes, inclusive

invasão de sistemas eletrônicos."

Mário Peixoto em Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.

CENÁRIO PESSOAS

Espionagem industrial,

Obter informações privilegiadas para obter vantagem,

Obter informações confidenciais para cometer alguma fraude ou

extorsão,

Roubo de senhas de bancos ou cartões de crédito,

Invadir sistemas por pura diversão o suficiente.

48

Objetivos do Engenheiro Social

CENÁRIO PESSOAS

http://pharma.msc.edu.eg/ATC.asp

Egito

CENÁRIO PESSOAS

49

Subject: Parabéns você ganhou uma TV LCD Philips

Grátis.

From: promocao@casasbahia.com.br

Date: Mon, 21 Mar 2011 21:31:20 -0700

CENÁRIO PESSOAS

50

51

Por que as pessoas são vulneráveis a manipulações?

• Seis tendências básicas da natureza humana facilitam ataques de

engenharia social:

Autoridade

Afabilidade

Reciprocidade

Validação Social

Escassez

CENÁRIO PESSOAS

52

Por que as pessoas são vulneráveis a manipulações?

• Outros aspectos humanos também devem ser considerados, como

Ambição

Vaidade

Carência afetiva

Curiosidade

Etc

CENÁRIO PESSOAS

53

“Eu consegui porque entrei e ninguém

me perguntou nada e nem pediu

nenhuma identificação…”.

CENÁRIO PESSOAS

54

CENÁRIO PESSOAS

“As pessoas acabam caindo nas minhas

mentiras porque eu mexo com a ambição

delas. Sou quem eles quiserem que eu

seja”. Marcelo Rocha

55

CENÁRIO PESSOAS

II. CENÁRIO

56

Segurança na Tecnologia da Informação

57

CENÁRIO DAS ORGANIZAÇÕES

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

58

• Negócios dependentes cada vez mais dos sistemas de informação e da

Internet

• Problemas:

Infecção por vírus,

Acesso não autorizado,

Ataques denial of service contra redes e sistemas,

Furto de informação proprietária,

Invasão de sistemas, fraudes internas e externas,

Espionagem sobre as redes,

entre outras.

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

59

60

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

61

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

62

Motivadores

• A difusão da Internet

• O aumento do número de vulnerabilidades nos sistemas existentes

• Esforço e custo para mitigar tais vulnerabilidades com a aplicação

de correções do sistema

•A complexidade e a sofisticação dos ataques também contribuem de

maneira direta para o aumento dos incidentes.

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

63

Quem são os atacantes?

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

64

Hacker e Cracker

Fascínio pelo poder do controle;

Alto conhecimento técnico de protocolos de redes

e de sistemas operacionais;

Cracker são os maiores responsáveis pelos danos de dados roubados e

de fraudes em sistemas;

Muitas organizações contratam hackers (“éticos”) para testarem a

segurança de suas organizações.

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

hacker britânico

Gary McKinnon

65

• Crackers inexperientes (geralmente das camadas etárias mais novas);

• Utilizam o trabalho intelectual dos verdadeiros especialistas técnicos;

• Almejam fama ou outros tipos de lucros pessoais.

• Utilizam exploits, trojans e ferramentas de cracking construídos por terceiros

para alcançar seus objetivos.

• Ações mais comuns: defacement (alteração do

conteúdo original de páginas web), fraudes

com cartões de crédito e fraudes bancárias.

Script Kiddie

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

66

• Possuem autorização legítima para

acesso e uso de informação, sistema, rede.

• Fazem mau uso dos privilégios que possuem

Legitimamente.

• Tentam obter de maneira ilícita acessos com mais poderes.

• Motivações: vingança ((ex)funcionário insatisfeito), ganho financeiro (fraude,

roubo de informação privilegiada), desafio.

Atacantes Internos

Ex-servidora da Previdência Jorgina de

Freitas

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

80% dos incidentes de segurança em uma organização são causados por usuários internos.

67

68

SOFISTICAÇÃO DOS ATAQUES

Código auto-replicáveis

Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software

engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.

Alta

Baixa

1985 1990 1995 200520001980 2002

Advinhação de senhas

Programas password cracking

Exploração de vulnerabilidades conhecidas

Desativação de

auditoria

Overflow / Worm

Backdoors

Sniffers

Port Scanners

Spoofing de pacotes IP

Scanners de vulnerabilidades

DoS /DDoS

Ataques Web

Rootkits Exploits

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

69Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software

engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.

Conhecimento Técnico

Alto

Baixo

1985 1990 1995 200520001980 2002

Especialistas, estudiosos

Script Kiddies

Richard Skrenta

Criador 1º virus

PERFIL DOS ATACANTES

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

70

Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software

engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.

Alto

Baixo

1985 1990 1995 200520001980 2002

Sofisticação das ferramentas

Nível de Conhecimento

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

71

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

Ambientes mais complexos e heterogêneos

Diversos fornecedores

Necessidade de pessoal com formações especializadas

Complexidade na administração dos ambientes

Muita demanda de serviços via TI e urgências

Problemática dos ambientes de TI

72

CENÁRIO TECNOLOGIA DA INFORMAÇÃO

73

2. CENÁRIO TECNOLOGIA DA INFORMAÇÃO

II. CENÁRIO

74

ASPECTOS LEGAIS

Cenário no ambiente de trabalho

Problemas mais comuns:

• Uso dos recursos de Tecnologia da Informação (TI) da

organização para interesses pessoais

• Uso malicioso ou negligente dos recursos de Tecnologia da

Informação (TI) da organização

ASPECTOS LEGAIS

76

ASPECTOS LEGAIS

Pesquisa com 1,6 mil pessoas realizada por empresa de consultoria em produtividade:

80% gastam até três horas do tempo de trabalho com atividades que

não contribuem para o serviço, e boa parte está ligada à internet;

36% afirmam que acessam Internet sem o foco do trabalho;

40% dizem repassar correntes e também piadas por email;

20% curtem joguinhos online;

56% fazem compras pela internet e;

11% veem pornografia no computador.

Tudo em plena hora de trabalho!

Cenário no ambiente de trabalho

77

ASPECTOS LEGAIS

Quem paga a conta?

Salário + encargos;

Banda Internet;

Armazenamento dos downloads;

Trabalho dos administradores de TI;

Atrasos nas entregas do trabalho e desdobramentos;

Ataques de códigos maliciosos na rede da organização;

Outros custos diretos e indiretos

É um problema ético do empregado e da organização permissiva.

Cenário no ambiente de trabalho

Responsabilidade Civil dos Executivos , Gestores e Profissionais

em geral

• Executivos, gestores e profissionais de TI respondem legalmente pelos

danos causados através dos meios eletrônicos.

• O Código Civil prevê que o empregador é responsável por tudo o que os

trabalhadores fazem usando as conexões e os equipamentos da empresa.

78

Isso significa que, se um funcionário cometer um crime por meio

do computador do trabalho, a empresa responde judicialmente

pelo caso. O funcionário também poderá responder pelo crime,

mas os prejudicados costumam processar as empresas por conta

de elas terem mais poder e dinheiro em caso de indenizações.

ASPECTOS LEGAIS

79

Art. 186. Aquele que, por ação ou omissão

voluntária, negligência ou imprudência, violar direito

e causar dano a outrem, ainda que exclusivamente

moral, comete ato ilícito.

Por ter praticado oudeixado como estava

Não ter tomado os devidos cuidados

ASPECTOS LEGAIS

80

ASPECTOS LEGAIS

STJ - Demissão que ocorre por empregado ceder sua senha eletrônica para burlar sistema eletrônico é legal

TRT-SP: Empregado que assediava colegas por e-mail é demitido por justa causa

Para TRT-SP, copiar documento sigiloso sem autorização dá justa causa

TST admite que banco investigue e-mail de trabalho do empregado

TRT-RS: ao deixar de tomar providências para apuração de envio de e-mails de conteúdo ofensivo, o empregador é responsável pela indenização dos danos morais.

TJ-SC: Banco Itaú indenizará correntista que foi vítima da ação de hackers

TRT-MG: Advogado acusa escritório de monitorar empregados e indenização é rejeitada

III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

84

SÉRIE NBR ISO/IEC 27000

Para que reinventar a roda?

SÉRIE NBR ISO/IEC 27000

85

ISO 27001

Define os requisitos para um sistemas de

gestão de segurança da informação

ISO 27002

ISO 27003

ISO 27004

ISO 27005

SÉRIE NBR ISO/IEC 27000

86

ISO 27001

Boas práticas para a gestão de segurança da

informaçãoISO 27002

ISO 27003

ISO 27004

ISO 27005

SÉRIE NBR ISO/IEC 27000

87

ISO 27001

Guia para a implantação de um sistema de

gestão de segurança da informação

(metodologia)

ISO 27002

ISO 27003

ISO 27004

ISO 27005

SÉRIE NBR ISO/IEC 27000

88

ISO 27001

Define métricas e meios de medição para

avaliar a eficácia de um sistema de gestão

de segurança da informação

ISO 27002

ISO 27003

ISO 27004

ISO 27005

SÉRIE NBR ISO/IEC 27000

89

ISO 27001

Fornece as diretrizes para o processo de

gestão de riscos de segurança da informação

ISO 27002

ISO 27003

ISO 27004

ISO 27005

SÉRIE NBR ISO/IEC 27000

ISO 27002 – Código de práticas para a gestão de segurança da informação

Política de Segurança da Informação

Organizando a Segurança da

Informação

Gestão de Ativos

Classificação da Informação

Segurança em Recursos Humanos

Segurança Física e do Ambiente

Gestão das Operações e Comunicações

Controle de Acesso

Aquisição, Desenvolvimento e

Manutenção de Sistemas de Informação

Gestão de Incidentes de Segurança da

Informação

Gestão da Continuidade do Negócio

Conformidade

90

SÉRIE NBR ISO/IEC 27000

Segurança em Recursos Humanos

Antes da contratação

papéis e responsabilidades definidos e documentados

seleção (referências, verificação das informações do currículo, qualificações

acadêmicas e profissionais, verificações financeiras e criminais)

Termos e condições

Durante a contratação

Responsabilidades da direção

conscientização, educação e treinamento

Processo disciplinar

Encerramento ou mudança de contratação

Encerramento de atividades

Devolução de ativos

Retirada de direitos de acesso91

III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

92

Política de Segurança da Informação

Gosto não se discute, mas política de segurança se

deve discutir, e muito!

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

O que são políticas de segurança da informação?

93

“Uma Política de Segurança da Informação é um documento que deve

descrever as práticas que a organização espera que sejam seguidas

por todos os empregados para proteger seus ativos de informação.”

Scott Barman

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Políticas são importantes para:

Comunicar os objetivos e as diretrizes da segurança da informação;

Garantir a implementação apropriada de controles de segurança;

Demonstrar o compromisso e apoio da alta administração;

Evitar problemas legais (indenizações, multas);

Alcançar um nível de segurança consistente evitando esforços

segmentados.

94

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Desafio

95

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Motivos de resistência

Pessoas, naturalmente, não gostam de regras e vêem políticas como

controles;

Consideram um impedimento à produtividade;

Diferentes visões sobre necessidades de segurança;

Dificuldades de seguir e implementar.

96

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Objetivo – ISO 27002

Uma política de segurança da informação tem como objetivo

prover uma orientação e apoio da alta administração para a

segurança da informação de acordo com os requisitos do negócio

e com as leis e regulamentações pertinentes.

• Pesquisa e clínica média

• Administração pública

• Indústria Alimentícia

• Seguradora

• Financeiras

• Telefonia ...

• ANVISA

• CRM

• Sarbane-Oxley

• Banco Central

• ANATEL

• ANAC

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Fatores Críticos de Sucesso

Implementável e aplicável

Concisa e de fácil entendimento por todos

Equilibrar proteção e produtividade

Revisada periodicamente

COMUNICADA, DIVULGADA, DISSEMINADA

98

???

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Documentos que compõem um Política de Segurança

Os documentos que compõem uma política de segurança de informação

variam bastante em cada organização, porém a grande maioria segue a

estrutura:

Carta de comprometimento da alta administração

Diretrizes ou Política de Segurança

Normas de Segurança

Procedimentos e Instruções

99

100

Fonte: Segurança e Auditoria de Sistemas – UNIBAN - Thiago

Bordini

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

102

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

No Poder Executivo da Administração Pública do Estado de Mato Grosso, através de resoluções do COSINT:

Políticas e Diretrizes da Segurança da Informação Estadual (Res. 003/2010)

Norma de Segurança Estadual para Acesso à Informação (Res. 008/2010)

Procedimento para concessão e bloqueio de acesso

Procedimento para manter Termo de Responsabilidade e Sigilo

Norma de Segurança para Uso do Correio Eletrônico Corporativo (Res. 009/2011)

Norma de Segurança de Acesso à Internet (Res. 010/2011)

Norma de Segurança para Administração de Senhas (Res. 011/2011)

III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

103

Organização da Segurança da Informação

104

Em que nível se enquadra a segurança da informação em uma organização?

Estratégico

Tático

Operacional

A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO

105

Alta Administração

Comitê Multi-disciplinar

Gestores

Colaboradores

A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO

Um modelo ...

Gestor SegurançaInformação

106

ComitêMultidisciplinar

Exemplo de formação de um Comitê de Segurança

A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO

Asse

sso

ria

Ju

ríd

ica

Re

cu

rso

sH

um

an

os

107

Alta Administração

ComitêMultidisciplinar

Gestores

Gestor Segurança daInformação

Gestores Gestores

Colaboradores Colaboradores Colaboradores

A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO

III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

108

Classificação da Informação

109

CLASSIFICAÇÃO DA INFORMAÇÃO

“A informação sempre tem valor.

Se você não o souber, sempre há

alguém que imagina o quanto ela

vale; e você pode ficar sabendo

somente quando for tarde demais.”

Caruso&Steffen

110

• A Classificação da Informação permite identificar o grau de proteção

necessário baseado no valor da informação.

•Tal proteção designa-se a evitar destruição, modificação e/ou revelação

não autorizada.

CLASSIFICAÇÃO DA INFORMAÇÃO

DisponibilidadeIntegridade

Confidencialidade

CLASSIFICAÇÃO DA INFORMAÇÃO

111

O que é?

É o processo de identificar os níveis apropriados de proteção à

informação, a partir de critérios bem definidos, garantindo a sua

confidencialidade, integridade e disponibilidade.

Por que?

Permite a proteção adequada às informações. A Classificação da

informação formalizada e instituída evita equívocos por subjetividade nas

medidas de proteção das informações de uma organização.

CLASSIFICAÇÃO DA INFORMAÇÃO

112

Exemplo

Níveis de Confidencialidade ou Sensibilidade:

Nível Critérios

Confidencial informações que, em razão de lei, interesse público ou

para a preservação de direitos individuais, devam ser de

conhecimento reservado e, portanto, requeiram medidas

especiais de segurança e salvaguarda.

Restrita informações que, por sua natureza, só podem ser

divulgadas a grupo restrito de pessoas;

Uso interno informações que, por sua natureza, são de interesse

exclusivo da organização;

Pública Todas as demais informações.

113

A proteção da informação deve considerar todos os aspectos de

manipulação, tais como:

Controle de cópia

Armazenamento

Transporte interno

Transporte externo

Transmissão via linha telefônica ou fax

Transmissão por redes de comunicação

Descarte

CLASSIFICAÇÃO DA INFORMAÇÃO

CLASSIFICAÇÃO DA INFORMAÇÃO

É BOM LEMBRAR .....

Valor da

InformaçãoCusto da Proteção

Custo X Benefício114

Diretrizes

Normas

Procedimentos

CLASSIFICAÇÃO DA INFORMAÇÃO

115

Instrumentos para instituição da Classificação da Informação:

• Política e Diretrizes para Classificação da

Informação

• Norma de Segurança para Classificação da

Informação

• Instruções para Proteção da

Informação

III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

116

Gestão de Risco

GESTÃO DE RISCOS

117

“O maior risco é crer

que não há riscos.”

Caruso&Steffen

Prática preventiva;

Consiste em:

Reconhecer os potenciais riscos sobre determinado objeto (contexto)

que se quer proteger,

Mensurar a capacidade desses riscos em causar danos e a severidade

dos possíveis danos,

Tratar esses riscos preventivamente, modificando-o para um nível

aceitável.

Referência: ABNT NBR ISO 31000 Gestão de riscos – Princípios e

diretrizes

118

GESTÃO DE RISCOS

Determinar o contexto

Analisar os riscos

Avaliar os riscosTratar os riscos

Acompanhamento dos riscos

Ambiente,

Sistema,

Projeto,

Serviço

Ameaças,

Vulnerabilidades,

Controles,

Impactos,

Probabilidade

• Grandeza

(Quantitativa ou Qualitativa)

• Urgência

• Aceitar

• Evitar

• Minimizar o impacto

• Diminuir a probabilidade

• Transferir ou compartilhar

GESTÃO DE RISCOS

119

120carpete

III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

121

Plano de Continuidade do Negócio

122

“… depois, não adianta chorar o leite desrramado”.

PLANO DE CONTINUIDADE DO NEGÓCIO

FATOS ...

Dentre as empresas que sofrem grandes incidentes sem possuir um

plano:

40% não sobrevivem

40% encerram suas atividades em 18 meses

12% encerram suas atividades em 5 anos

8 % sobrevivem

Fonte: Safetynet/Guardian IT

123

PLANO DE CONTINUIDADE DO NEGÓCIO

124

PCN é um conjunto de planos que se complementam,

oferecendo uma solução completa para a continuidade dos

negócios essenciais numa situaçao de falha ou interupção nos

componentes que suportam os principais processos.

Modulo Security

Tem o foco na continuidade das funções vitais do negócio;

Geralmente contém o plano de recuperação de desastres e o plano

de contingência TI;

Convém ter o plano de gerenciamento de crise

Fonte: ABNT NBR 15999-1 e 2 Gestão de Continuidade de Negócio

PLANO DE CONTINUIDADE DO NEGÓCIO

Garante a continuidade

Operacional dos Processos

de Negócios Vitais

Recupera / restaura os

componentes que suportam os

Processos de Negócios

Plano de

Contingência

Plano de

Recuperação de

Desastre

Gerenciamento de

Crise

Coordena ações,

minimiza perdas, salva

vidas, estabelece porta-

voz, ...

PLANO DE CONTINUIDADE DO NEGÓCIO

125

126

PLANO DE CONTINUIDADE DO NEGÓCIO

127

PLANO DE CONTINUIDADE DO NEGÓCIO

Tinha PCN ???

128

Um bom PCN evita a falsa sensação de segurança.

PLANO DE CONTINUIDADE DO NEGÓCIO

III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

129

Desenvolvimento de Pessoas

Segurança da Informação começa e

termina em pessoas.

130

DESENVOLVIMENTO DE PESSOAS

131

Só existe uma maneira de manter seguros os negócios de uma organização:

Ter uma força de trabalho consciente e treinada.

COMO?

Desenvolvendo uma estratégia para aumentar o nível de consciência

da segurança da informação e a habilidade de aplicar os princípios e

conceitos às atividades funcionais

É crítico empreender os dois princípios de aprendizagem:

CONSCIÊNCIA e CAPACITAÇÃO.

DESENVOLVIMENTO DE PESSOAS

132

Que comportamento a organizaçãoespera dos colaboradores ?

Que habilidade(s) a organização querque seja desenvolvida?

CONSCIENTIZAÇÃO

CAPACITAÇÃO

DESENVOLVIMENTO DE PESSOAS

133

Um profissional que, envolvido com a segurança da

informação, se comporta de maneira a proteger

informações e ativos e planeja e aplica técnicas de

proteção adequadas.

Tudo isso seguindo os princípios e diretrizes de

segurança estabelecidos pela organização.

Conscientização

Capacitação

RESULTADO …

Políticas de Segurança

DESENVOLVIMENTO DE PESSOAS

134

Alguns recursos úteis para programas de Conscientização:

• Identificação visual (mascote, lema)

•Palestras

• Gincanas com premiações

• Banners (físicos e digitais)

• E-mails

• Cartilhas

• Faixas

• Brindes com mensagens

• e-Boletins…

DESENVOLVIMENTO DE PESSOAS

135

“Uma boa ação pode gerar uma reação em

cadeia até que … uma má ação a anule.”

“A segurança da informação começa e termina

em PESSOAS.”

DESENVOLVIMENTO DE PESSOAS

III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

136

Ferramentas de Segurança

“Segurança não é um produto que se pode

comprar de prateleira, mas que consiste de

políticas, pessoas, processos e tecnologia“

(Kevin Mitinik)

Tecnologias de Apoio

Autenticação

Criptografia

Tecnologias Preventivas e

Detectivas

Firewall

Anti-Malwares

IDS

VPN

137

FERRAMENTAS DE SEGURANÇA

Autenticação

138

É um processo que verifica, a partir de uma identidade digital, se

o usuário possui o direito de acesso a um sistema, um

computador ou um ambiente.

FERRAMENTAS DE SEGURANÇA

Pode ser baseada em um ou na combinação dos seguintes fatores:

Algo que o usuário conhece.

Algo que o usuário tem

Algo que o usuário é

Onde o usuário está

139

Algumas recomendações para uma boa senha (ISO/IEC 27001):

manter a confidencialidade das senhas;

evitar anotar senhas;

alterar senha sempre que existir qualquer indicação de comprometimento

de sua confidencialidade;

Selecionar senhas de qualidade

FERRAMENTAS DE SEGURANÇA

140

FERRAMENTAS DE SEGURANÇA

141

FERRAMENTAS DE SEGURANÇA

As forças armadas dos Estados Unidos utilizaram a senha

„00000000‟ para proteger esses computadores

durante oito anos (de 1968 a 1976).

Para a sorte dos norte-americanos, na época não havia

nenhum hacker esperto o bastante para utilizar um robô

de força bruta para quebrar os códigos e causar uma

catástrofe.

Outras Ferramentas de Autenticação

142

Biometria

FERRAMENTAS DE SEGURANÇA

Criptografia

143

• Usada para ”embaralhar” uma determinada informação que deve

ser mantida em segredo, protegendo-a do acesso por terceiros não

autorizados.

• Somente as pessoas autorizadas conseguirão ”desembaralha-la”

para ter o conhecimento de seu teor.

FERRAMENTAS DE SEGURANÇA

144

• Uso da tecnologia de criptografia

Cifragem / Decifragem ou criptografia/decriptografia

Certificação digital

Assinatura Digital

FERRAMENTAS DE SEGURANÇA

• Cifragem / Decifragem ou criptografia/decriptografia

• dados no computador

• dados em pendrive

• conteúdos e anexos em e-mails

• dados a serem trafegados em redes inseguras (internet)

FERRAMENTAS DE SEGURANÇA

145

confidencialidade

146

FERRAMENTAS DE SEGURANÇA

http://www.com.br

147

FERRAMENTAS DE SEGURANÇA

https://www2.bancobrasil.com.br

148

Identidade digital de pessoa, organização, equipamento;

Emitido por instituição reconhecida como confiável entre as partes;

Utilizado para autenticar a identidade das partes em um transação

digital

• Certificação Digital

FERRAMENTAS DE SEGURANÇA

autenticidade

149

• Assinatura Digital

• Utiliza o certificado digital do signatário

• A assinatura digital garantia a integridade do conteúdo e autenticidade

do signatário.

Vincula o conteúdo do arquivo com a assinatura.

• A assinatura digital gerada através de certificado digital emitido por

entidade da ICP-Brasil tem validade legal.

FERRAMENTAS DE SEGURANÇA

Autenticidade e integridade

150

Indicador deAssinatura

Digital

Para Criptografar basta clicar

FERRAMENTAS DE SEGURANÇA

151

Firewall

Anti-malware

IDS – Sistema de Detecção de Intrusão

VPN – Virtual Private Network

Outras ferramentas de segurança:

FERRAMENTAS DE SEGURANÇA

III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

152

Segurança Física

Perímetros de Segurança

Consiste em isolar áreas com diferentes níveis de risco e

criticidade

Segurança em camadas

Deve-se considerar os riscos de fora para dentro

Controle de Acesso Físico

Prover segurança de acesso a áreas delimitadas

salas de computadores, almoxarifado, sala de máquinas,

arquivo geral, ...

153

SEGURANÇA FÍSICA

SEGURANÇA FÍSICA

154

Recomendações sobre controle de Acesso Físico:

A entrada de pessoas em áreas de segurança deve ser

controlada para que apenas pessoas autorizadas tenham acesso.

Controles:

• Registro da data e hora da entrada e saída de visitantes

• As permissões de acesso devem ser concedidas somente para

finalidades específicas e autorizadas

• O acesso a áreas em que são processadas ou armazenadas informações

sensíveis deve ser restrito às pessoas autorizadas;

• Funcionários, fornecedores e terceiros, e todos os visitantes, devem

possuir alguma forma visível de identificação

155

SEGURANÇA FÍSICA

Infraestrutura de Utilidades

Energia elétrica, abastecimento de água, tratamento de esgotos e ar-

condicionado;

Exige manutenções regulares para assegurar seu funcionamento correto;

Recomenda-se o uso de UPS (Uninterruptible Power Supply) para

suportar as paradas e desligamento dos equipamentos. O sistema mais

comum é o no-break.

Deve ser considerado o emprego de um gerador de emergência caso seja

necessário para o negócio.

156

SEGURANÇA FÍSICA

Circuito Fechado de TV

O sistema de circuito fechado de TV mantém a vigilância constante sobre

os pontos mais críticos.

Para realização do monitoramento sem riscos legais:

Manter sempre aviso em especial na entrada do recinto

Conteúdo das filmagens só poderá ser transcrito e utilizado em face de

investigação

Conteúdo das filmagens deve ter controle de acesso rígido.

Treinamento específico aos responsáveis pela análise das imagens

Também se deve observar para que não haja exposição do colaborador

ao ridículo, tampouco gerar algum tipo de perseguição (colocar a

câmera vigiando apenas determinada pessoa e não todo o ambiente).

157

SEGURANÇA FÍSICA

Segurança Física em Equipamentos

Algumas considerações:

Posicionamento do monitor de maneira a evitar visualização de informações

por pessoas não autorizadas;

Controles contra furtos e sabotagens;

Inibir comidas ou bebidas próximas a equipamentos;

Condições ambientais: temperatura, umidade, poeira, gazes;

Cabos de segurança para laptops.

158

SEGURANÇA FÍSICA

Segurança contra Fogo

Precauções:

Somente equipamentos em funcionamento devem ser mantidos ligados;

Não se deve permitir qualquer atividade que produza fumaça ou qualquer

gás em recinto de instalação sensível;

Antes da saída de pessoal de instalação sensível:

Fechar todas as portas e aberturas entre os diversos compartimentos;

Papéis e sucatas de papel devem ser recolhidos e removidos;

Retirar da energia equipamentos que não necessitam ficar ligados;

Verificar se sistema de combate e prevenção de incidente está

operante;

Plano e Treinamento contra incêndio.159

SEGURANÇA FÍSICA

9. Segurança contra Fogo

Classes de Incêndio:

Classe A – combustíveis sólidos

comuns; queimam em superfície e em

profundidade. Ex.: papel,madeira,

tecido, fibras.

Classe B – combustíveis inflamáveis

derivados do petróleo e outras fontes;

queimam na superfície.Ex.: gasolina,

alcool, querosene, parafina, acetileno.

Classe C – equipamentos elétricos e

eletrônicos com energia.Ex.: máquinas,

motores, instalações elétricas.

Classe D – metais pirofóricos; requerem

agentes extintores específicos; se

inflamam em contato com o ar. Ex.:

magnésio, sódio, potássio, pó de zinco.

SEGURANÇA FÍSICA

160

III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

161

ASPECTOS LEGAIS

Melhores Práticas

• Educação

• Políticas, normas e termos de responsabilidade

• Monitoramento

• Os recursos de TI são do empregador

• Deve estar claro aos empregados de que não há privacidade no uso

dos recursos da empresa (e-mails corporativos, acesso Internet)

• Os empregados devem estar cientes dos monitoramentos a que

estão submetidos (Internet, e-mails, filmagem, ...)

• Medidas disciplinares

162

ASPECTOS LEGAIS

IV. GESTÃO DA SEGURANÇA DA INFORMAÇÃO

163

Ciclo PDCA

164

Gestão da

Segurança

da

Informação

AGIR PLANEJAR

EXECUTARVERIFICAR

Planos de Segurança:

• Revisão Política e Normas

• Programa de educação / capacitação

• Implementação controles de segurança

• Definição das metas e indicadores

• Planejar monitoramento da

conformidade, gestão de risco e

gerenciamento dos incidentes

Execução dos

Planos

• Classificar incidentes

• Analisar e Avaliar Riscos

• Analisar medidas dos

indicadores

• Analisar desvios de

conformidade

• Novos requisitos de segurança?

• Novos requisitos legais?

• Tratar Incidentes

• Identificar

causas

• Responsabilizar

• Tratar riscos

urgentes

• Tratar desvios

nos indicadores

165

OBRIGADA!

SORAIA DE FELICE

soraia.felice@sefaz.mt.gov.br

soraia.felice@gmail.com