Embed Size (px)
Citation preview
Faculdade de Tecnologia SENAI Porto Alegre
Segurança em Desenvolvimento de SI
Aula 1
Prof. Me. Humberto [email protected]
Evolução da TI
Postura TI
Princípios de TI (papel da TI perante o negócio) Arquitetura de TI (definição de requisitos de padronização e
integração) Infraestrutura de TI (parte física, entregue em forma de serviços para
prover suporte aos sistemas), Necessidades de aplicações de negócio (preocupação com as
aplicações empresariais que devem ser adquiridas ou desenvolvidas internamente)
Investimentos em TI (decisões de como e onde investir em TI).
Níveis de TI
Grupos de decisões: Monarquia de negócio (altos gestores)Monarquia de TI (especialistas em TI) Feudalismo (cada unidade de negócio toma suas decisões) Federalismo (combinação entre o centro corporativo e as unidades de negócios)Duopólio de TI (o grupo de TI e algum outro grupo)Anarquia (tomada de decisão individual ou em pequenos grupos de forma isolada).
Resumo - Família ISO 27000
ISO 27000:2012 Termos, definições e vocabulário utilizados ao longo da série 27000ISO 27001:2006 Estabelecer, implementar, operar, manter, monitorar, melhorar um SGSIISO 27002:2005 Controle de segurança da Informação e boas práticasISO 27003:2011 Especificação e projeto do SGSI.ISO 27004:2010 Medir, informar e melhorar a eficiência e a eficácia de um SGSIISO 27005:2011 Diretrizes para a gestão de riscos (análise, avaliação, tratamento, aceitação...)ISO 27006:2011 Requisitos Gerais para serem creditadas em certificar SGSIISO 27007:2011 Gerenciamento e Execução de Auditorias de um SGSI
Vantagem do Uso de Normas
Metodologia estruturada de segurança que está alcançando reconhecimento internacional
Maior confiança mútua entre parceiros comerciais
Custos possivelmente menores para seguros de riscos computacionais
Melhores práticas de privacidade e conformidade com leis de privacidade.
Informação
"É um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e consequentemente necessita ser adequadamente protegida”. Tipos:
Impressa ou escrita em papel Armazenada eletronicamente Transmitida pelo correio ou por meios eletronicos Exibida em vídeos Verbal – falada em conversações
Informação
Internas a companhia informação que você não gostaria que a concorrência soubesse
Clientes e fornecedores informação que eles não gostariam que você divulgasse
Parceiros informação que necessita ser compartilhada com outros parceiros comerciais
A Informação Pode ser:
Criada; Transmitida; Processada; Usada; Armazenada; Corrompida; Perdida; Destruída.
Segurança da Informação
"É a proteção da informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos
negócios e maximizar o retorno dos investimentos e as oportunidades de negócio".
Obter Segurança da Informação
Implementando Controles para garantir que os objetivos de segurança sejam alcançados."
Políticas Práticas
Aspectos da Informação Confidencialidade: assegurar que a informação é acessível
somente as pessoas autorizadas Integridade: proteger a exatidão e a completude da
informação e dos métodos de processamento. Disponibilidade: assegurar que os usuários autorizados
tenham acesso a informação e ativos associados quando necessário.
Ativos
Devem ser aqueles relevantes ao escopo do Sistema de Gestão de Segurança da Informação;
Um ativo é algo a que a organização atribui valor, por exemplo: Informação eletronica, Documentos em papel, Software, hardware, Instalações, Pessoas, imagem e reputação da companhia, Serviços.
Exercícios
Considere-se um consultor na área de SI que deseja implantar o SGSI na sua empresa conforme a norma ISO27001.
Reunam-se em grupo de até 5 colegas e desenvolvam as seguintes tarefas:
Exercícios
1) Identifique, do seu ponto de vista os possíveis ativos da informação dentro do processo principal de sua empresa, considere: informações de entrada, informações de saída, equipamentos, registros, recursos humanos, comunicação, software básico e utilitário e outros, conforme o modelo 1.
Informações de Entrada Informações de Saída Equipamentos
- Contrato comercial- Contrato técnico
- Treinamento, Manuais, slides, Apresentações, apostilas, Metodologia, Padrões de relatório
Modem, Firewall, Router, Hub, 1 servidor, 2 desktop, 2 notebook
Registros Recursos Humanos Comunicações
- Análise crítica de projeto, - verificações de projeto,
alterações de projeto, lições aprendidas
- 5 Pessoas - 1 fax, 5 telefones, link de Internet
Outros Software Básico Software Utilitário
- Instalações físicas - Mac OSX- Windows 2000- Linux
- Anti-vírus- Lan Guard
Exercícios
2) Selecione ao menos 5 destes ativos com base na perda da confidencialidade, disponibilidade e integridade e classifique cdd acordo com o impacto para a empresa: verde (baixo), amarelo (médio) e vermelho (alto).
Vulnerabilidades Vulnerabilidades são fraquezas associadas aos ativos da
organização Consultores: Contratação inadequada, Falta Instalação: Falta de mecanismo de
monitoramento, Proteção física inadequada, Energia elétrica instável
Banco de dados: Falta de backup, Armazenamento inadequado
Ameaças
Funcionários descontentes ou desmotivados;Baixa conscientização nos assuntos de segurança; Inexistência de planos de recuperação a desastres;Desastres naturais, incêndio, inundação, terremoto, terrorismo; Falta de políticas e procedimentos implementados.
Impactos
Perda de clientes e contratos;
Danos a imagem;
Perda de produtividade;
Aumento no custo do trabalho para conter, reparar e recuperar;
Aumento de seguros;
Penalidades e multas.
Exercício
Para os ativos listados no exercício anterior identifique pelo menos para 3 ativos: suas vulnerabilidades, as ameaças que podem atingi-los e a probabilidade desta ocorrer.
Também considere cores para identificar a probabilidade de ocorrer verde (baixa), amarelo (média), vermelho (alta).
Exemplo de Modelo
Riscos de Segurança
Um risco de segurança é o potencial que uma dada ameaça irá explorar vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos
Definições Gerenciamento de riscos :Conjunto de atividades coordenadas para direcionar e
controlar um organização com relação a riscos de SI Análise de riscos :Uso sistemático da informação para identificar as fontes de
riscos e para estimar o risco Avaliação de riscos :Processo de comparar os riscos estimados com
determinados critérios de riscos para determinar a significancia dos riscos Estimativa de riscos :Processo global de análise e avaliação de riscos Tratamento de riscos :Processo de seleção e implementação de medidas para
modificar o risco Aceitação de riscos :Decisão de aceitar um risco
`
Processo Sistema de Gestão da Segurança da InformaçãiProcesso
Processo de Gerenciamento de Risco de Segurança da Informação
Plan - Estabelecer o Contexto- Avaliação de Risco- Desenvolver Plano de Tratamento de Risco- Aceite do Risco
Do Implementação do Plano de Tratamento de Risco
Check Monitoramento Contínuo e Revisão dos Riscos
Act Manter e Melhorar o Processo de Gerenciamento de Risco de segurança da Informação.
Alinhamento SGSI e Gestão de Riscos
Exemplo de Riscos Interrupção da continuidade do negócio Indisponibilidade da informação Perda da integridade dos dados Perda / roubo de informação Perda do controle do serviço Perda de credibilidade / imagem Perda da confidencialidade de dados
Exercício• identifique os riscos de segurança para os ativos dos quais você
identificou as vulnerabilidades, ameaças e probabilidades.
Controles A segurança eficaz normalmente requer:
Detecção Desencorajamento Prevenção Limitação Correção Recuperação Monitoramento Conscientização
ControlesApós a identificação dos riscos é necessário identificar os controles já existentes na organização e verificar se o risco resultante após a utilização destes controles é aceitável e só então deve-se avaliar a necessidade de novos controles.
Exemplo de Controles (ISO 27001 )A.11.5 Controle de Acesso ao sistema operacional
Procedimentos seguros de login; Identificação e autenticação de usuário; Sistema de gerenciamento de senha; Uso de utilitários de sistema; Desconexão de terminal por inatividade; Limitação de horário de conexão;
Avaliação de Riscos e Controles
Avaliação dos Riscos Identificação e valorização dos ativos Identificação das vulnerabilidades Identificação das ameaças Avaliação de impactos que a perda de confidencialidade,
integridade e disponibilidade nos ativos pode causar Análise e avaliação dos riscos Priorização dos riscos
Tratamento do Risco Definição do grau de garantia; Revisão de controles existentes; Identificação de novos controles; Implementação dos novos controles; Aceitação do risco residual.
ExercícioIdentifique controles que poderiam ser utilizados de forma a minimizar ou eliminar cada um dos riscos.
