Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
BOAS PRÁTICAS DE SEGURANÇA DA
INFORMAÇÃO
CONTEÚDO
I. Introdução à Segurança da Informação
II. Cenário da Segurança da Informação
1. Segurança Física
2. Pessoas
3. Tecnologia da Informação
4. Aspectos Legais
III. Boas Práticas de Segurança da Informação
1. Série ABNT NBR ISO/IEC 27000
2. Política de Segurança da Informação
3. Organização
4. Classificação da Informação
5. Gestão de Risco
6. PCN
7. Desenvolvimento de Pessoas
IV. Gestão da Segurança - Ciclo PDCA2
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Parte I
3
4
Informação e Segurança
“Em um mundo onde existe uma riqueza de
informação, existe freqüentemente uma
pobreza de atenção.”
Ken Mehlman
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
O bem mais valioso de uma organização pode não ser o produzido
pela sua linha de produção ou pelo serviço prestado, mas as
informações relacionadas com esse bem de consumo ou serviço.
Exemplos:
nº de casos de dengue por município
Cadastro de servidores (agentes públicos)
Mapeamento e descrição dos processos de negócio
Censo escolar
Indicadores da segurança pública
Imagens de satélite
5
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
6
Uma informação pode ser armazenada sob diversos meios:
• Papel (escrita)
• Dispositivos digitais
• Memória Humana (volátil)
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
7
Uma informação pode se transmitida por diversos meios:
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
8
É fato:
Uma organização pode ter prejuízos incalculáveis ou até mesmo ser
descontinuada por um incidente envolvendo informações.
Não existe 100% de segurança.
É preciso cercar o ambiente de informações com medidas que
garantam sua segurança efetiva a um custo aceitável.
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
9
Segurança da informação é a proteção da informação
contra vários tipos de ameaças para garantir a
continuidade do negócio, minimizar o risco ao
negócio, maximizar o retorno sobre os investimentos
e as oportunidades de negócio.
O que é segurança da informação?
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
10
Segurança da informações na administração pública
Fraudes marcam a distribuição de ações.
Gaeco apura vazamento de informação
sobre operação em MT
Vazamento de informação prejudicou
operação no Rio, diz delegado
Prejuízo com o vazamento da prova do
Enem pode chegar a R$ 34 milhões
FRAUDE NA PREVIDÊNCIA
CHEGA A R$ 1,6 BILHÃO - MEIO
MILHÃO DE MORTOS-VIVOS
MPF/AP denuncia servidor público por fraude ao sistema
de Dívida Ativa da União - Os prejuízos aos cofres públicos
foram estimados em R$ 11 milhões.
Confirmada fraude no concurso público do
Governo do Mato Grosso.
Polícia investiga fraude no sistema
da Nota Fiscal Paulista
Autoescolas corrompem sistema
digital e oferecem esquema para
renovar CNH em SP
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
11
Dimensões de proteção da informação
Con
fiden
cia
lidade
Segurança da
InformaçãoIn
tegri
dade
Dis
pon
ibil
idade
Autenticidade
Não Repúdio
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
12
É uma característica da informação que diz respeito ao
direito de acesso.
Medidas de segurança devem garantir que a informação
esteja acessível apenas para quem tem permissão de
acesso, evitando, assim, revelação não autorizada.
• Confidencialidade
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
13
• Confidencialidade
Balancete contábil Secretaria (pública – acesso a todos os interessados)
Informações táticas de operação policial a ser realizada (apenas os
envolvidos no plano)
Senha da conta bancária (somente o correntista)
Gabarito de Prova não realizada (apenas os elaboradores da prova)
Lista dos aprovados em concurso público (pública - todos os interessados)
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
14
É uma característica da informação que diz respeito à sua
exatidão.
Medidas de segurança devem garantir que a informação seja
alterada somente por pessoas e/ou ativos associados
autorizados e em situações que efetivamente demandem a
alteração legítima.
• Integridade
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
15
• Integridade
Plano de Vôo
Dados preenchidos em cheque
Conteúdo de um Edital a ser publicado
Prescrição médica para paciente internado
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
16
Medidas de segurança devem garantir que a informação esteja
disponível, sempre que necessário, aos usuários e/ou sistemas
associados que tenham direito de acesso a ela.
• Disponibilidade
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
17
• Disponibilidade
Extrato bancário
Dados gerenciais para tomada de decisão
índice de mortalidade infantil por município
tamanho das áreas devastadas por queimadas
nº de aposentadorias previstas para 2013
Dados para operacionalização de procedimentos
ramal de telefones atualizado na recepção
declaração de rendimentos para IRPF
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
18
Diz respeito à certeza da origem da informação.
Medidas de segurança devem garantir que a informação provem
da fonte anunciada e que não foi alvo de mutação ao longo de
sua transmissão.
• Autenticidade
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
19
• Autenticidade
Página web do banco para digitar nº da conta e senha
Certificado de Registro de Veículo para transferência de proprietário
Atestado médico para justificar falta de funcionário
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
20
Ou irretratabilidade, diz respeito à garantia de que o autor de
determinada ação não possa negar tal ação.
Medidas de segurança devem garantir meios que identifique
inequivocamente o autor de uma ação.
• Não repúdio
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
21
• Não repúdio
Notificação judicial (entrega em mãos por alguém de fé
pública)
Notificação extrajudicial (registradas)
Posse de um processo (controle de assinatura do
receptor, data e hora do recebimento).
Acesso a determinado ambiente crítico (sistema por
biometria).
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
22
Confidencialidade Integridade Disponibilidade
Autenticidade Não Repúdio
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Dimensões da segurança da informação:
24
Segurança da Informação Proteção
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Ativos:
A própria informação
Infraestrutura física
Tecnologia da Informação
Pessoas
Negócio
Informações
Ativos
suportam
manipuladas
25
Proteção: Medidas / Controles de Segurança da Informação
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
26
“ Segurança da Informação é como uma corrente cuja força é medida pelo
seu elo mais fraco.”
Nenhuma corrente é tão forte quanto o seu elo mais fraco.
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
II. CENÁRIO
27
Segurança Física
CENÁRIO SEGURANÇA FÍSICA
Pouca consideração com a localização das
Instalações
28
29
30
Uma mega explosão no depósito de, umgrande terminal de distribuição decombustível, que armazena óleo, gasolina equerosene, foi ouvida a 322 km de distância.A interrupção dos negócios foi sentida portodas as empresas de Maylands 48 horasapós o incidente, sendo que a maioria foiafetada por longo tempo e muitas ainda estãosofrendo dos efeitos pós-incidente.Cerca de 90 empresas foram severamenteafetadas pelo incidente com destruição totalou parcial de suas instalações e outros ativos.A maioria delas ainda está sofrendo os efeitos do incidente.
Mega explosão do depósito de combustíveis de Buncefield
Barreiras e Controle de Acesso Físico
31
CENÁRIO SEGURANÇA FÍSICA
CENÁRIO SEGURANÇA FÍSICA
32
33
CENÁRIO SEGURANÇA FÍSICA
Infraestrutura de Utilidades :
Energia elétrica,
Abastecimento de água,
Sistema de climatização
34
CENÁRIO SEGURANÇA FÍSICA
35
CENÁRIO SEGURANÇA FÍSICA
Equipamentos
36
CENÁRIO SEGURANÇA FÍSICA
37
CENÁRIO SEGURANÇA FÍSICA
Prevenção e combate a incêndio
CENÁRIO SEGURANÇA FÍSICA
38
CENÁRIO SEGURANÇA FÍSICA
39
CENÁRIO SEGURANÇA FÍSICA
40
II. CENÁRIO
41
PESSOAS
42
CENÁRIO PESSOAS
Ignorância
Má-féNegligência
Incidentes de Segurança provocados por Pessoas
CENÁRIO PESSOAS
44
CENÁRIO PESSOAS
45
46
A Engenharia Social
CENÁRIO PESSOAS
47
A Engenharia Social
"É a ciência que estuda como o conhecimento do comportamento
humano pode ser utilizado para induzir uma pessoa a atuar
segundo seu desejo. Não se trata de hipnose ou controle da mente,
as técnicas de Engenharia Social são amplamente utilizadas por
detetives (para obter informação) e magistrados (para comprovar se
um declarante fala a verdade).
Também é utilizada para lograr todo tipo de fraudes, inclusive
invasão de sistemas eletrônicos."
Mário Peixoto em Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.
CENÁRIO PESSOAS
Espionagem industrial,
Obter informações privilegiadas para obter vantagem,
Obter informações confidenciais para cometer alguma fraude ou
extorsão,
Roubo de senhas de bancos ou cartões de crédito,
Invadir sistemas por pura diversão o suficiente.
48
Objetivos do Engenheiro Social
CENÁRIO PESSOAS
http://pharma.msc.edu.eg/ATC.asp
Egito
CENÁRIO PESSOAS
49
Subject: Parabéns você ganhou uma TV LCD Philips
Grátis.
From: [email protected]
Date: Mon, 21 Mar 2011 21:31:20 -0700
CENÁRIO PESSOAS
50
51
Por que as pessoas são vulneráveis a manipulações?
• Seis tendências básicas da natureza humana facilitam ataques de
engenharia social:
Autoridade
Afabilidade
Reciprocidade
Validação Social
Escassez
CENÁRIO PESSOAS
52
Por que as pessoas são vulneráveis a manipulações?
• Outros aspectos humanos também devem ser considerados, como
Ambição
Vaidade
Carência afetiva
Curiosidade
Etc
CENÁRIO PESSOAS
53
“Eu consegui porque entrei e ninguém
me perguntou nada e nem pediu
nenhuma identificação…”.
CENÁRIO PESSOAS
54
CENÁRIO PESSOAS
“As pessoas acabam caindo nas minhas
mentiras porque eu mexo com a ambição
delas. Sou quem eles quiserem que eu
seja”. Marcelo Rocha
55
CENÁRIO PESSOAS
II. CENÁRIO
56
Segurança na Tecnologia da Informação
57
CENÁRIO DAS ORGANIZAÇÕES
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
58
• Negócios dependentes cada vez mais dos sistemas de informação e da
Internet
• Problemas:
Infecção por vírus,
Acesso não autorizado,
Ataques denial of service contra redes e sistemas,
Furto de informação proprietária,
Invasão de sistemas, fraudes internas e externas,
Espionagem sobre as redes,
entre outras.
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
59
60
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
61
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
62
Motivadores
• A difusão da Internet
• O aumento do número de vulnerabilidades nos sistemas existentes
• Esforço e custo para mitigar tais vulnerabilidades com a aplicação
de correções do sistema
•A complexidade e a sofisticação dos ataques também contribuem de
maneira direta para o aumento dos incidentes.
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
63
Quem são os atacantes?
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
64
Hacker e Cracker
Fascínio pelo poder do controle;
Alto conhecimento técnico de protocolos de redes
e de sistemas operacionais;
Cracker são os maiores responsáveis pelos danos de dados roubados e
de fraudes em sistemas;
Muitas organizações contratam hackers (“éticos”) para testarem a
segurança de suas organizações.
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
hacker britânico
Gary McKinnon
65
• Crackers inexperientes (geralmente das camadas etárias mais novas);
• Utilizam o trabalho intelectual dos verdadeiros especialistas técnicos;
• Almejam fama ou outros tipos de lucros pessoais.
• Utilizam exploits, trojans e ferramentas de cracking construídos por terceiros
para alcançar seus objetivos.
• Ações mais comuns: defacement (alteração do
conteúdo original de páginas web), fraudes
com cartões de crédito e fraudes bancárias.
Script Kiddie
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
66
• Possuem autorização legítima para
acesso e uso de informação, sistema, rede.
• Fazem mau uso dos privilégios que possuem
Legitimamente.
• Tentam obter de maneira ilícita acessos com mais poderes.
• Motivações: vingança ((ex)funcionário insatisfeito), ganho financeiro (fraude,
roubo de informação privilegiada), desafio.
Atacantes Internos
Ex-servidora da Previdência Jorgina de
Freitas
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
80% dos incidentes de segurança em uma organização são causados por usuários internos.
67
68
SOFISTICAÇÃO DOS ATAQUES
Código auto-replicáveis
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
Alta
Baixa
1985 1990 1995 200520001980 2002
Advinhação de senhas
Programas password cracking
Exploração de vulnerabilidades conhecidas
Desativação de
auditoria
Overflow / Worm
Backdoors
Sniffers
Port Scanners
Spoofing de pacotes IP
Scanners de vulnerabilidades
DoS /DDoS
Ataques Web
Rootkits Exploits
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
69Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
Conhecimento Técnico
Alto
Baixo
1985 1990 1995 200520001980 2002
Especialistas, estudiosos
Script Kiddies
Richard Skrenta
Criador 1º virus
PERFIL DOS ATACANTES
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
70
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
Alto
Baixo
1985 1990 1995 200520001980 2002
Sofisticação das ferramentas
Nível de Conhecimento
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
71
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
Ambientes mais complexos e heterogêneos
Diversos fornecedores
Necessidade de pessoal com formações especializadas
Complexidade na administração dos ambientes
Muita demanda de serviços via TI e urgências
Problemática dos ambientes de TI
72
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
73
2. CENÁRIO TECNOLOGIA DA INFORMAÇÃO
II. CENÁRIO
74
ASPECTOS LEGAIS
Cenário no ambiente de trabalho
Problemas mais comuns:
• Uso dos recursos de Tecnologia da Informação (TI) da
organização para interesses pessoais
• Uso malicioso ou negligente dos recursos de Tecnologia da
Informação (TI) da organização
ASPECTOS LEGAIS
76
ASPECTOS LEGAIS
Pesquisa com 1,6 mil pessoas realizada por empresa de consultoria em produtividade:
80% gastam até três horas do tempo de trabalho com atividades que
não contribuem para o serviço, e boa parte está ligada à internet;
36% afirmam que acessam Internet sem o foco do trabalho;
40% dizem repassar correntes e também piadas por email;
20% curtem joguinhos online;
56% fazem compras pela internet e;
11% veem pornografia no computador.
Tudo em plena hora de trabalho!
Cenário no ambiente de trabalho
77
ASPECTOS LEGAIS
Quem paga a conta?
Salário + encargos;
Banda Internet;
Armazenamento dos downloads;
Trabalho dos administradores de TI;
Atrasos nas entregas do trabalho e desdobramentos;
Ataques de códigos maliciosos na rede da organização;
Outros custos diretos e indiretos
É um problema ético do empregado e da organização permissiva.
Cenário no ambiente de trabalho
Responsabilidade Civil dos Executivos , Gestores e Profissionais
em geral
• Executivos, gestores e profissionais de TI respondem legalmente pelos
danos causados através dos meios eletrônicos.
• O Código Civil prevê que o empregador é responsável por tudo o que os
trabalhadores fazem usando as conexões e os equipamentos da empresa.
78
Isso significa que, se um funcionário cometer um crime por meio
do computador do trabalho, a empresa responde judicialmente
pelo caso. O funcionário também poderá responder pelo crime,
mas os prejudicados costumam processar as empresas por conta
de elas terem mais poder e dinheiro em caso de indenizações.
ASPECTOS LEGAIS
79
Art. 186. Aquele que, por ação ou omissão
voluntária, negligência ou imprudência, violar direito
e causar dano a outrem, ainda que exclusivamente
moral, comete ato ilícito.
Por ter praticado oudeixado como estava
Não ter tomado os devidos cuidados
ASPECTOS LEGAIS
80
ASPECTOS LEGAIS
STJ - Demissão que ocorre por empregado ceder sua senha eletrônica para burlar sistema eletrônico é legal
TRT-SP: Empregado que assediava colegas por e-mail é demitido por justa causa
Para TRT-SP, copiar documento sigiloso sem autorização dá justa causa
TST admite que banco investigue e-mail de trabalho do empregado
TRT-RS: ao deixar de tomar providências para apuração de envio de e-mails de conteúdo ofensivo, o empregador é responsável pela indenização dos danos morais.
TJ-SC: Banco Itaú indenizará correntista que foi vítima da ação de hackers
TRT-MG: Advogado acusa escritório de monitorar empregados e indenização é rejeitada
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
84
SÉRIE NBR ISO/IEC 27000
Para que reinventar a roda?
SÉRIE NBR ISO/IEC 27000
85
ISO 27001
Define os requisitos para um sistemas de
gestão de segurança da informação
ISO 27002
ISO 27003
ISO 27004
ISO 27005
SÉRIE NBR ISO/IEC 27000
86
ISO 27001
Boas práticas para a gestão de segurança da
informaçãoISO 27002
ISO 27003
ISO 27004
ISO 27005
SÉRIE NBR ISO/IEC 27000
87
ISO 27001
Guia para a implantação de um sistema de
gestão de segurança da informação
(metodologia)
ISO 27002
ISO 27003
ISO 27004
ISO 27005
SÉRIE NBR ISO/IEC 27000
88
ISO 27001
Define métricas e meios de medição para
avaliar a eficácia de um sistema de gestão
de segurança da informação
ISO 27002
ISO 27003
ISO 27004
ISO 27005
SÉRIE NBR ISO/IEC 27000
89
ISO 27001
Fornece as diretrizes para o processo de
gestão de riscos de segurança da informação
ISO 27002
ISO 27003
ISO 27004
ISO 27005
SÉRIE NBR ISO/IEC 27000
ISO 27002 – Código de práticas para a gestão de segurança da informação
Política de Segurança da Informação
Organizando a Segurança da
Informação
Gestão de Ativos
Classificação da Informação
Segurança em Recursos Humanos
Segurança Física e do Ambiente
Gestão das Operações e Comunicações
Controle de Acesso
Aquisição, Desenvolvimento e
Manutenção de Sistemas de Informação
Gestão de Incidentes de Segurança da
Informação
Gestão da Continuidade do Negócio
Conformidade
90
SÉRIE NBR ISO/IEC 27000
Segurança em Recursos Humanos
Antes da contratação
papéis e responsabilidades definidos e documentados
seleção (referências, verificação das informações do currículo, qualificações
acadêmicas e profissionais, verificações financeiras e criminais)
Termos e condições
Durante a contratação
Responsabilidades da direção
conscientização, educação e treinamento
Processo disciplinar
Encerramento ou mudança de contratação
Encerramento de atividades
Devolução de ativos
Retirada de direitos de acesso91
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
92
Política de Segurança da Informação
Gosto não se discute, mas política de segurança se
deve discutir, e muito!
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
O que são políticas de segurança da informação?
93
“Uma Política de Segurança da Informação é um documento que deve
descrever as práticas que a organização espera que sejam seguidas
por todos os empregados para proteger seus ativos de informação.”
Scott Barman
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Políticas são importantes para:
Comunicar os objetivos e as diretrizes da segurança da informação;
Garantir a implementação apropriada de controles de segurança;
Demonstrar o compromisso e apoio da alta administração;
Evitar problemas legais (indenizações, multas);
Alcançar um nível de segurança consistente evitando esforços
segmentados.
94
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Desafio
95
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Motivos de resistência
Pessoas, naturalmente, não gostam de regras e vêem políticas como
controles;
Consideram um impedimento à produtividade;
Diferentes visões sobre necessidades de segurança;
Dificuldades de seguir e implementar.
96
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Objetivo – ISO 27002
Uma política de segurança da informação tem como objetivo
prover uma orientação e apoio da alta administração para a
segurança da informação de acordo com os requisitos do negócio
e com as leis e regulamentações pertinentes.
• Pesquisa e clínica média
• Administração pública
• Indústria Alimentícia
• Seguradora
• Financeiras
• Telefonia ...
• ANVISA
• CRM
• Sarbane-Oxley
• Banco Central
• ANATEL
• ANAC
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Fatores Críticos de Sucesso
Implementável e aplicável
Concisa e de fácil entendimento por todos
Equilibrar proteção e produtividade
Revisada periodicamente
COMUNICADA, DIVULGADA, DISSEMINADA
98
???
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Documentos que compõem um Política de Segurança
Os documentos que compõem uma política de segurança de informação
variam bastante em cada organização, porém a grande maioria segue a
estrutura:
Carta de comprometimento da alta administração
Diretrizes ou Política de Segurança
Normas de Segurança
Procedimentos e Instruções
99
100
Fonte: Segurança e Auditoria de Sistemas – UNIBAN - Thiago
Bordini
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
102
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
No Poder Executivo da Administração Pública do Estado de Mato Grosso, através de resoluções do COSINT:
Políticas e Diretrizes da Segurança da Informação Estadual (Res. 003/2010)
Norma de Segurança Estadual para Acesso à Informação (Res. 008/2010)
Procedimento para concessão e bloqueio de acesso
Procedimento para manter Termo de Responsabilidade e Sigilo
Norma de Segurança para Uso do Correio Eletrônico Corporativo (Res. 009/2011)
Norma de Segurança de Acesso à Internet (Res. 010/2011)
Norma de Segurança para Administração de Senhas (Res. 011/2011)
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
103
Organização da Segurança da Informação
104
Em que nível se enquadra a segurança da informação em uma organização?
Estratégico
Tático
Operacional
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
105
Alta Administração
Comitê Multi-disciplinar
Gestores
Colaboradores
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Um modelo ...
Gestor SegurançaInformação
106
ComitêMultidisciplinar
Exemplo de formação de um Comitê de Segurança
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Asse
sso
ria
Ju
ríd
ica
Re
cu
rso
sH
um
an
os
107
Alta Administração
ComitêMultidisciplinar
Gestores
Gestor Segurança daInformação
Gestores Gestores
Colaboradores Colaboradores Colaboradores
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
108
Classificação da Informação
109
CLASSIFICAÇÃO DA INFORMAÇÃO
“A informação sempre tem valor.
Se você não o souber, sempre há
alguém que imagina o quanto ela
vale; e você pode ficar sabendo
somente quando for tarde demais.”
Caruso&Steffen
110
• A Classificação da Informação permite identificar o grau de proteção
necessário baseado no valor da informação.
•Tal proteção designa-se a evitar destruição, modificação e/ou revelação
não autorizada.
CLASSIFICAÇÃO DA INFORMAÇÃO
DisponibilidadeIntegridade
Confidencialidade
CLASSIFICAÇÃO DA INFORMAÇÃO
111
O que é?
É o processo de identificar os níveis apropriados de proteção à
informação, a partir de critérios bem definidos, garantindo a sua
confidencialidade, integridade e disponibilidade.
Por que?
Permite a proteção adequada às informações. A Classificação da
informação formalizada e instituída evita equívocos por subjetividade nas
medidas de proteção das informações de uma organização.
CLASSIFICAÇÃO DA INFORMAÇÃO
112
Exemplo
Níveis de Confidencialidade ou Sensibilidade:
Nível Critérios
Confidencial informações que, em razão de lei, interesse público ou
para a preservação de direitos individuais, devam ser de
conhecimento reservado e, portanto, requeiram medidas
especiais de segurança e salvaguarda.
Restrita informações que, por sua natureza, só podem ser
divulgadas a grupo restrito de pessoas;
Uso interno informações que, por sua natureza, são de interesse
exclusivo da organização;
Pública Todas as demais informações.
113
A proteção da informação deve considerar todos os aspectos de
manipulação, tais como:
Controle de cópia
Armazenamento
Transporte interno
Transporte externo
Transmissão via linha telefônica ou fax
Transmissão por redes de comunicação
Descarte
CLASSIFICAÇÃO DA INFORMAÇÃO
CLASSIFICAÇÃO DA INFORMAÇÃO
É BOM LEMBRAR .....
Valor da
InformaçãoCusto da Proteção
Custo X Benefício114
Diretrizes
Normas
Procedimentos
CLASSIFICAÇÃO DA INFORMAÇÃO
115
Instrumentos para instituição da Classificação da Informação:
• Política e Diretrizes para Classificação da
Informação
• Norma de Segurança para Classificação da
Informação
• Instruções para Proteção da
Informação
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
116
Gestão de Risco
GESTÃO DE RISCOS
117
“O maior risco é crer
que não há riscos.”
Caruso&Steffen
Prática preventiva;
Consiste em:
Reconhecer os potenciais riscos sobre determinado objeto (contexto)
que se quer proteger,
Mensurar a capacidade desses riscos em causar danos e a severidade
dos possíveis danos,
Tratar esses riscos preventivamente, modificando-o para um nível
aceitável.
Referência: ABNT NBR ISO 31000 Gestão de riscos – Princípios e
diretrizes
118
GESTÃO DE RISCOS
Determinar o contexto
Analisar os riscos
Avaliar os riscosTratar os riscos
Acompanhamento dos riscos
Ambiente,
Sistema,
Projeto,
Serviço
Ameaças,
Vulnerabilidades,
Controles,
Impactos,
Probabilidade
• Grandeza
(Quantitativa ou Qualitativa)
• Urgência
• Aceitar
• Evitar
• Minimizar o impacto
• Diminuir a probabilidade
• Transferir ou compartilhar
GESTÃO DE RISCOS
119
120carpete
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
121
Plano de Continuidade do Negócio
122
“… depois, não adianta chorar o leite desrramado”.
PLANO DE CONTINUIDADE DO NEGÓCIO
FATOS ...
Dentre as empresas que sofrem grandes incidentes sem possuir um
plano:
40% não sobrevivem
40% encerram suas atividades em 18 meses
12% encerram suas atividades em 5 anos
8 % sobrevivem
Fonte: Safetynet/Guardian IT
123
PLANO DE CONTINUIDADE DO NEGÓCIO
124
PCN é um conjunto de planos que se complementam,
oferecendo uma solução completa para a continuidade dos
negócios essenciais numa situaçao de falha ou interupção nos
componentes que suportam os principais processos.
Modulo Security
Tem o foco na continuidade das funções vitais do negócio;
Geralmente contém o plano de recuperação de desastres e o plano
de contingência TI;
Convém ter o plano de gerenciamento de crise
Fonte: ABNT NBR 15999-1 e 2 Gestão de Continuidade de Negócio
PLANO DE CONTINUIDADE DO NEGÓCIO
Garante a continuidade
Operacional dos Processos
de Negócios Vitais
Recupera / restaura os
componentes que suportam os
Processos de Negócios
Plano de
Contingência
Plano de
Recuperação de
Desastre
Gerenciamento de
Crise
Coordena ações,
minimiza perdas, salva
vidas, estabelece porta-
voz, ...
PLANO DE CONTINUIDADE DO NEGÓCIO
125
126
PLANO DE CONTINUIDADE DO NEGÓCIO
127
PLANO DE CONTINUIDADE DO NEGÓCIO
Tinha PCN ???
128
Um bom PCN evita a falsa sensação de segurança.
PLANO DE CONTINUIDADE DO NEGÓCIO
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
129
Desenvolvimento de Pessoas
Segurança da Informação começa e
termina em pessoas.
130
DESENVOLVIMENTO DE PESSOAS
131
Só existe uma maneira de manter seguros os negócios de uma organização:
Ter uma força de trabalho consciente e treinada.
COMO?
Desenvolvendo uma estratégia para aumentar o nível de consciência
da segurança da informação e a habilidade de aplicar os princípios e
conceitos às atividades funcionais
É crítico empreender os dois princípios de aprendizagem:
CONSCIÊNCIA e CAPACITAÇÃO.
DESENVOLVIMENTO DE PESSOAS
132
Que comportamento a organizaçãoespera dos colaboradores ?
Que habilidade(s) a organização querque seja desenvolvida?
CONSCIENTIZAÇÃO
CAPACITAÇÃO
DESENVOLVIMENTO DE PESSOAS
133
Um profissional que, envolvido com a segurança da
informação, se comporta de maneira a proteger
informações e ativos e planeja e aplica técnicas de
proteção adequadas.
Tudo isso seguindo os princípios e diretrizes de
segurança estabelecidos pela organização.
Conscientização
Capacitação
RESULTADO …
Políticas de Segurança
DESENVOLVIMENTO DE PESSOAS
134
Alguns recursos úteis para programas de Conscientização:
• Identificação visual (mascote, lema)
•Palestras
• Gincanas com premiações
• Banners (físicos e digitais)
• E-mails
• Cartilhas
• Faixas
• Brindes com mensagens
• e-Boletins…
DESENVOLVIMENTO DE PESSOAS
135
“Uma boa ação pode gerar uma reação em
cadeia até que … uma má ação a anule.”
“A segurança da informação começa e termina
em PESSOAS.”
DESENVOLVIMENTO DE PESSOAS
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
136
Ferramentas de Segurança
“Segurança não é um produto que se pode
comprar de prateleira, mas que consiste de
políticas, pessoas, processos e tecnologia“
(Kevin Mitinik)
Tecnologias de Apoio
Autenticação
Criptografia
Tecnologias Preventivas e
Detectivas
Firewall
Anti-Malwares
IDS
VPN
137
FERRAMENTAS DE SEGURANÇA
Autenticação
138
É um processo que verifica, a partir de uma identidade digital, se
o usuário possui o direito de acesso a um sistema, um
computador ou um ambiente.
FERRAMENTAS DE SEGURANÇA
Pode ser baseada em um ou na combinação dos seguintes fatores:
Algo que o usuário conhece.
Algo que o usuário tem
Algo que o usuário é
Onde o usuário está
139
Algumas recomendações para uma boa senha (ISO/IEC 27001):
manter a confidencialidade das senhas;
evitar anotar senhas;
alterar senha sempre que existir qualquer indicação de comprometimento
de sua confidencialidade;
Selecionar senhas de qualidade
FERRAMENTAS DE SEGURANÇA
140
FERRAMENTAS DE SEGURANÇA
141
FERRAMENTAS DE SEGURANÇA
As forças armadas dos Estados Unidos utilizaram a senha
„00000000‟ para proteger esses computadores
durante oito anos (de 1968 a 1976).
Para a sorte dos norte-americanos, na época não havia
nenhum hacker esperto o bastante para utilizar um robô
de força bruta para quebrar os códigos e causar uma
catástrofe.
Outras Ferramentas de Autenticação
142
Biometria
FERRAMENTAS DE SEGURANÇA
Criptografia
143
• Usada para ”embaralhar” uma determinada informação que deve
ser mantida em segredo, protegendo-a do acesso por terceiros não
autorizados.
• Somente as pessoas autorizadas conseguirão ”desembaralha-la”
para ter o conhecimento de seu teor.
FERRAMENTAS DE SEGURANÇA
144
• Uso da tecnologia de criptografia
Cifragem / Decifragem ou criptografia/decriptografia
Certificação digital
Assinatura Digital
FERRAMENTAS DE SEGURANÇA
• Cifragem / Decifragem ou criptografia/decriptografia
• dados no computador
• dados em pendrive
• conteúdos e anexos em e-mails
• dados a serem trafegados em redes inseguras (internet)
FERRAMENTAS DE SEGURANÇA
145
confidencialidade
146
FERRAMENTAS DE SEGURANÇA
http://www.com.br
147
FERRAMENTAS DE SEGURANÇA
https://www2.bancobrasil.com.br
148
Identidade digital de pessoa, organização, equipamento;
Emitido por instituição reconhecida como confiável entre as partes;
Utilizado para autenticar a identidade das partes em um transação
digital
• Certificação Digital
FERRAMENTAS DE SEGURANÇA
autenticidade
149
• Assinatura Digital
• Utiliza o certificado digital do signatário
• A assinatura digital garantia a integridade do conteúdo e autenticidade
do signatário.
Vincula o conteúdo do arquivo com a assinatura.
• A assinatura digital gerada através de certificado digital emitido por
entidade da ICP-Brasil tem validade legal.
FERRAMENTAS DE SEGURANÇA
Autenticidade e integridade
150
Indicador deAssinatura
Digital
Para Criptografar basta clicar
FERRAMENTAS DE SEGURANÇA
151
Firewall
Anti-malware
IDS – Sistema de Detecção de Intrusão
VPN – Virtual Private Network
Outras ferramentas de segurança:
FERRAMENTAS DE SEGURANÇA
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
152
Segurança Física
Perímetros de Segurança
Consiste em isolar áreas com diferentes níveis de risco e
criticidade
Segurança em camadas
Deve-se considerar os riscos de fora para dentro
Controle de Acesso Físico
Prover segurança de acesso a áreas delimitadas
salas de computadores, almoxarifado, sala de máquinas,
arquivo geral, ...
153
SEGURANÇA FÍSICA
SEGURANÇA FÍSICA
154
Recomendações sobre controle de Acesso Físico:
A entrada de pessoas em áreas de segurança deve ser
controlada para que apenas pessoas autorizadas tenham acesso.
Controles:
• Registro da data e hora da entrada e saída de visitantes
• As permissões de acesso devem ser concedidas somente para
finalidades específicas e autorizadas
• O acesso a áreas em que são processadas ou armazenadas informações
sensíveis deve ser restrito às pessoas autorizadas;
• Funcionários, fornecedores e terceiros, e todos os visitantes, devem
possuir alguma forma visível de identificação
155
SEGURANÇA FÍSICA
Infraestrutura de Utilidades
Energia elétrica, abastecimento de água, tratamento de esgotos e ar-
condicionado;
Exige manutenções regulares para assegurar seu funcionamento correto;
Recomenda-se o uso de UPS (Uninterruptible Power Supply) para
suportar as paradas e desligamento dos equipamentos. O sistema mais
comum é o no-break.
Deve ser considerado o emprego de um gerador de emergência caso seja
necessário para o negócio.
156
SEGURANÇA FÍSICA
Circuito Fechado de TV
O sistema de circuito fechado de TV mantém a vigilância constante sobre
os pontos mais críticos.
Para realização do monitoramento sem riscos legais:
Manter sempre aviso em especial na entrada do recinto
Conteúdo das filmagens só poderá ser transcrito e utilizado em face de
investigação
Conteúdo das filmagens deve ter controle de acesso rígido.
Treinamento específico aos responsáveis pela análise das imagens
Também se deve observar para que não haja exposição do colaborador
ao ridículo, tampouco gerar algum tipo de perseguição (colocar a
câmera vigiando apenas determinada pessoa e não todo o ambiente).
157
SEGURANÇA FÍSICA
Segurança Física em Equipamentos
Algumas considerações:
Posicionamento do monitor de maneira a evitar visualização de informações
por pessoas não autorizadas;
Controles contra furtos e sabotagens;
Inibir comidas ou bebidas próximas a equipamentos;
Condições ambientais: temperatura, umidade, poeira, gazes;
Cabos de segurança para laptops.
158
SEGURANÇA FÍSICA
Segurança contra Fogo
Precauções:
Somente equipamentos em funcionamento devem ser mantidos ligados;
Não se deve permitir qualquer atividade que produza fumaça ou qualquer
gás em recinto de instalação sensível;
Antes da saída de pessoal de instalação sensível:
Fechar todas as portas e aberturas entre os diversos compartimentos;
Papéis e sucatas de papel devem ser recolhidos e removidos;
Retirar da energia equipamentos que não necessitam ficar ligados;
Verificar se sistema de combate e prevenção de incidente está
operante;
Plano e Treinamento contra incêndio.159
SEGURANÇA FÍSICA
9. Segurança contra Fogo
Classes de Incêndio:
Classe A – combustíveis sólidos
comuns; queimam em superfície e em
profundidade. Ex.: papel,madeira,
tecido, fibras.
Classe B – combustíveis inflamáveis
derivados do petróleo e outras fontes;
queimam na superfície.Ex.: gasolina,
alcool, querosene, parafina, acetileno.
Classe C – equipamentos elétricos e
eletrônicos com energia.Ex.: máquinas,
motores, instalações elétricas.
Classe D – metais pirofóricos; requerem
agentes extintores específicos; se
inflamam em contato com o ar. Ex.:
magnésio, sódio, potássio, pó de zinco.
SEGURANÇA FÍSICA
160
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
161
ASPECTOS LEGAIS
Melhores Práticas
• Educação
• Políticas, normas e termos de responsabilidade
• Monitoramento
• Os recursos de TI são do empregador
• Deve estar claro aos empregados de que não há privacidade no uso
dos recursos da empresa (e-mails corporativos, acesso Internet)
• Os empregados devem estar cientes dos monitoramentos a que
estão submetidos (Internet, e-mails, filmagem, ...)
• Medidas disciplinares
162
ASPECTOS LEGAIS
IV. GESTÃO DA SEGURANÇA DA INFORMAÇÃO
163
Ciclo PDCA
164
Gestão da
Segurança
da
Informação
AGIR PLANEJAR
EXECUTARVERIFICAR
Planos de Segurança:
• Revisão Política e Normas
• Programa de educação / capacitação
• Implementação controles de segurança
• Definição das metas e indicadores
• Planejar monitoramento da
conformidade, gestão de risco e
gerenciamento dos incidentes
Execução dos
Planos
• Classificar incidentes
• Analisar e Avaliar Riscos
• Analisar medidas dos
indicadores
• Analisar desvios de
conformidade
• Novos requisitos de segurança?
• Novos requisitos legais?
• Tratar Incidentes
• Identificar
causas
• Responsabilizar
• Tratar riscos
urgentes
• Tratar desvios
nos indicadores