89
Informação Interna 0 Belo Horizonte, abril de 2013 0 Afonso Kalil, III, CISA, CGEIT Segurança da Informação em Ambientes Colaborativos A sua estratégia ou da sua organização está realmente correta? Conscientização e Comprometimento

Segurança da Informação em Ambientes Colaborativos2013.edocconsultoria.com.br/wp-content/uploads/2013/04/Afonso... · BYOD - Bring Your Own Device AMBIENTE DE ... ISO 27001 ISO

  • Upload
    vankhue

  • View
    213

  • Download
    1

Embed Size (px)

Citation preview

Informação Interna 0 Belo Horizonte, abril de 2013 0 Afonso Kalil, III, CISA, CGEIT

Segurança da Informação

em Ambientes Colaborativos

A sua estratégia ou da sua organização

está realmente correta?

Conscientização e Comprometimento

Informação Interna 1 Belo Horizonte, abril de 2013 1 Afonso Kalil, III, CISA, CGEIT

Conscientizar todos os envolvidos sobre a importância de boas práticas de Segurança da Informação, principalmente as mais básicas e elementares (que, infelizmente, na maioria das vezes, é relegada a um segundo plano).

Envolvê-los de tal modo que todos estejam realmente COMPROMETIDOS!

OBJETIVO

Por quê? – Para minimizar ocorrências que tragam prejuízos

à Organização (ou à sua vida particular) e consolidar os

fundamentos mais importantes desta Disciplina.

Informação Interna 2 Belo Horizonte, abril de 2013 2 Afonso Kalil, III, CISA, CGEIT

Introdução

Princípios da Classificação da Informação

Mesa Limpa e Tela Limpa

Senha Forte

Impressão Segura

Regras básicas de comportamento – dentro/fora da organização.

Controle de Acessos – Separação de Responsabilidades (SOD)

Desenvolvimento de Novas Aplicações, incluindo WEB

Política de Segurança da Informação, Código de Conduta

Exemplo de um Programa de Comprometimento Gerencial .

AGENDA

Informação Interna 3 Belo Horizonte, abril de 2013 3 Afonso Kalil, III, CISA, CGEIT

Introdução

Informação Interna 4 Belo Horizonte, abril de 2013 4 Afonso Kalil, III, CISA, CGEIT

O QUE É INFORMAÇÃO?

Informação é o resultado de um processamento de dados que

agrega conhecimento à pessoa que a recebe.

INTRODUÇÃO

A informação é um ativo essencial para os negócios de uma

organização e necessita ser adequadamente protegida,

independentemente do tipo de mídia em que estiver.

Informação Interna 5 Belo Horizonte, abril de 2013 5 Afonso Kalil, III, CISA, CGEIT

Documentos

Impressos e

Eletrônicos

Correspondências

e E-mail

Sons, Músicas e

Gravações

Desenhos

Técnicos e

Projetos

Vídeos,

Propagandas,

Filmes

Dados,

Sistemas e

Aplicações

Informação

COMO A INFORMAÇÃO SE APRESENTA?

INTRODUÇÃO

Nuvem

Conversas

Flip-charts

Palestras

DATA CENTER

DESENVOLVIMENTO

E

MANUTENÇÃO DE

SISTEMAS

SUPORTE TÉCNICO

/

INFRA-ESTRUTURA

RECEPÇÃO /

DIGITAÇÃO /

PREPARAÇÃO

OPERAÇÃO

/

PRODUÇÃO

QUALIDADE

/

EXPEDIÇÃO

SEGURANÇA E

/

GERÊNCIA SISTEMAS

C L I E N T E S E D E P A R T A M E N T O S U S U Á R I O S

ADMINISTRATIVO

FINANCEIRO

O a

mb

ien

te -

AN

TIG

O -

CP

D

A evolução da TIC ao longo dos anos

O a

mb

ien

te -

AN

TIG

O -

CP

D

A evolução da TIC ao longo dos anos

DATA CENTER

DESENVOLVIMENTO

E

MANUTENÇÃO DE

SISTEMAS

SUPORTE TÉCNICO

/

INFRA-ESTRUTURA

RECEPÇÃO /

DIGITAÇÃO /

PREPARAÇÃO

OPERAÇÃO

/

PRODUÇÃO

QUALIDADE

/

EXPEDIÇÃO

SEGURANÇA E

/

GERÊNCIA SISTEMAS

C L I E N T E S E D E P A R T A M E N T O S U S U Á R I O S

ADMINISTRATIVO

FINANCEIRO

DATA CENTER

DESENVOLVIMENTO

E

MANUTENÇÃO DE

SISTEMAS

SUPORTE TÉCNICO

/

INFRA-ESTRUTURA

RECEPÇÃO /

DIGITAÇÃO /

PREPARAÇÃO

OPERAÇÃO

/

PRODUÇÃO

QUALIDADE

/

EXPEDIÇÃO

SEGURANÇA E

/

GERÊNCIA SISTEMAS

C L I E N T E S E D E P A R T A M E N T O S U S U Á R I O S

ADMINISTRATIVO

FINANCEIRO

DATA CENTER

Firewall Firewall

Estação Local

DATA CENTER

OP-PROD

SUP

GERSIS

ADM-F

DES/M REDES

O A

mb

ien

te –

Atu

al

– S

I –

TI -

TIC

A evolução da TI-TIC ao longo dos anos

Firewall

Internet

Firewall

Intranet

Estação Local Provedor de

Acesso

Remoto

Firewall

DATA CENTER

Funcionário em Trânsito

Home Office

Parceiro de

Negócios

GESTÃO DE

RISCOS

GESTÃO DA

SEGURANÇA

DA INFORM

GESTÃO SLM

NÍVEIS DE

SERVIÇO

HELP DESK

CALL CENTER

SUPORTE

GESTÃO DE CONFORMIDADE

LEGAL, SOX,

BASILÉIA

GESTÃO DE

CRISES E

CONTINUIDADE

DE NEGÓCIOS

GESTÃO

DATA CENTER

(MF, CL/SRV

REDE)

CLIENTE / SERVIDOR

OP-PROD

SUP

GERSIS

ADM-F

DES/M

DES/M

REDES

REDES

O A

mb

ien

te –

Atu

al

– S

I –

TI -

TIC

DC 2

DC 3

A evolução da TI-TIC ao longo dos anos

CLOUD

COMPUTING

VIRTUALI-

ZAÇÃO

OUTSOUR-

CING

REDES SOCIAIS

CONSUMERIZAÇÃO

BYOD - Bring Your Own Device

AMBIENTE DE

COLABORAÇÃO

BIG DATA TRANSPARÊNCIA

Informação Interna 10 Belo Horizonte, abril de 2013 10 Afonso Kalil, III, CISA, CGEIT

Legalidade

Auditabilidade

Integridade

Disponibilidade

Acessibilidade

Confidencialidade

Segurança

da

Informação

Autenticidade

INTRODUÇÃO

PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Informação Interna 11 Belo Horizonte, abril de 2013 11 Afonso Kalil, III, CISA, CGEIT

Legalidade

Confiabilidade

Auditabilidade

Integridade

Disponibilidade

Acessibilidade

Confidencialidade

Segurança

da

Informação

Autenticidade

Básico

INTRODUÇÃO

PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Informação Interna 12 Belo Horizonte, abril de 2013 12 Afonso Kalil, III, CISA, CGEIT

Legalidade

Confiabilidade

Auditabilidade

Integridade

Disponibilidade

Acessibilidade

Confidencialidade

Segurança

da

Informação

Autenticidade

INTRODUÇÃO

PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Segurança em Arquivologia

Preservação e conservação.

Procedimentos e rotinas arquivísticas.

Entendimento da segurança em sentido amplo.

Proteção

Estabilidade

Inviolabilidade

Cautela

Compromisso

Eficácia

Eficiência

Confiança

Garantia dos resultados

Durante as 3 fases do ciclo de vida dos documentos: Corrente, Intermediária e Permanente (tradicional ou digital).

Prudência

Informação Interna 13 Belo Horizonte, abril de 2013 13 Afonso Kalil, III, CISA, CGEIT

Legalidade

Confiabilidade

Auditabilidade

Integridade

Disponibilidade

Acessibilidade

Confidencialidade

Segurança

da

Informação

Autenticidade

INTRODUÇÃO

PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Segurança em Arquivologia

Câmara Técnica Documentos Eletrônicos - CTDE

Autenticidade (credibilidade).

Integridade (completo sem corrupção).

Confiabilidade (fidedignidade).

Acessibilidade (facilidade acesso).

Estes elementos, conjuntamente, podem garantir segurança administrativa, fiscal, legal e probatória ao documento arquivístico.

Informação Interna 14 Belo Horizonte, abril de 2013 14 Afonso Kalil, III, CISA, CGEIT

Legalidade

Confiabilidade

Auditabilidade

Integridade

Disponibilidade

Acessibilidade

Confidencialidade

Segurança

da

Informação

Autenticidade

INTRODUÇÃO

PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Segurança em Arquivologia

Desafios para documentos digitais:

Acessibilidade no tempo.

Variação de formato e estrutura.

Compatibilidade com HW e SW usados na produção.

Cópias de Segurança.

Conservação dos elementos.

O reconhecimento de um documento arquivístico digitalizado como substituto do original ainda carece de melhor legislação.

Informação Interna 15 Belo Horizonte, abril de 2013 15 Afonso Kalil, III, CISA, CGEIT

Legalidade

Confiabilidade

Auditabilidade

Integridade

Disponibilidade

Acessibilidade

Confidencialidade

Segurança

da

Informação

Autenticidade

INTRODUÇÃO

PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Auditabilidade

Trilhas de AUDITORIA

Não é “log” nem “histórico”.

Somente atualizações sensíveis.

Data e hora, como estava, como ficou, quem modificou, a partir de que ponto da rede.

Aprovadas previamente.

Documentadas, incluindo meios de acesso, quem pode acessar, abrangência no tempo, etc. Protegidas e legíveis (sempre), com

exemplos para extração de relatórios.

Informação Interna 16 Belo Horizonte, abril de 2013 16 Afonso Kalil, III, CISA, CGEIT

Ambiente para Negócios – Situação do Brasil – 142 países:

138ª. posição – Complexidade processual p/criar uma empresa.

130ª. posição – Cobrança de altos impostos.

86ª. posição – Disponibilidade de profissionais qualificados.

33ª. posição – Uso de TI.

31ª. posição – Níveis avançados em capacidade tecnológica.

Global Information Technology Report – World Economic Forum

PANORAMA ATUAL

Informação Interna 17 Belo Horizonte, abril de 2013 17 Afonso Kalil, III, CISA, CGEIT

Rede - Comitê Gestor para a Internet

PANORAMA ATUAL

Grupo de Resposta a Incidentes de Segurança p/ Internet Brasileira

85 milhões de internautas (BR) (Mundo: 2,2 bilhões)

Aumenta a importância e a quantidade de ataques.

Plano Nacional de Banda Larga – para todos...

Exige maior conscientização sobre os riscos e proteção.

Cartilha de Segurança para Internet (cartilha.cert.br).

Informação Interna 18 Belo Horizonte, abril de 2013 18 Afonso Kalil, III, CISA, CGEIT

Rede - Comitê Gestor para a Internet

PANORAMA ATUAL

Grupo de Resposta a Incidentes de Segurança p/ Internet Brasileira

O desenvolvimento de novas tecnologias, facilidade de

conexão, armazenamento, rotatividade do pessoal, etc.

provoca:

Aumento dos impactos diretos à Segurança da Informação.

Exigência de maior conhecimento do ambiente de negócios.

Exigência de novas Políticas e/ou adaptação das já existentes.

Definição do comportamento esperado de cada um e o

tratamento dos desvios.

Informação Interna 19 Belo Horizonte, abril de 2013 19 Afonso Kalil, III, CISA, CGEIT

PANORAMA ATUAL

Benefícios

Consumerização e “BYOD” “Bring Your Own Device”

Possível aumento de produtividade.

Redução com custos de equipamento.

Desvantagens

Dificuldade de suportar dispositivos de diversos

fabricantes e com diferentes versões de sistemas

operacionais e aplicativos.

Dificuldade no tratamento de direitos e deveres.

(equipamentos, aplicativos, acesso à Internet, etc.)

Informação Interna 20 Belo Horizonte, abril de 2013 20 Afonso Kalil, III, CISA, CGEIT

PANORAMA ATUAL

A importância da informação para o Negócio

Tempo

100 % Incidente Nível de Serviço

Tempo

100 %

Nível do Negócio

100 %

Tempo

Perda de clientes

Perda de oportunidades

Horas de trabalho improdutivas

Penalidades / Multas

Publicidade negativa

Nível do Controle

Documentação, Versões de SW,

Acessos, Retorno à normalidade, etc.

Informação Interna 21 Belo Horizonte, abril de 2013 21 Afonso Kalil, III, CISA, CGEIT

PANORAMA ATUAL - TENDÊNCIAS

Cibercriminosos mais ágeis, na exploração de falhas de segurança.

2013 e 2014: Ameaças mais dinâmicas, diversificadas e custosas.

“Botnets” ganham mais sofisticação.

“Ransomware” (malwares” que cobram resgate) em ascenção.

“NFC” e infra-estrutura tornam-se os alvos principais. (Near Field Commun.)

Convergência da indústria de segurança e consolidação.

“BYOD” direciona o controle de acesso de rede.

A mídia social é cada vez mais atraente para os atacantes.

Surgimento de sistemas operacionais mais robustos para “móveis”.

Informação Interna 22 Belo Horizonte, abril de 2013 22 Afonso Kalil, III, CISA, CGEIT

PANORAMA ATUAL

Principais preocupações e questionamentos dos Gestores

QUE GRAU DE RISCO

ESTOU DISPOSTO A

ACEITAR ?

A IMPLEMENTAÇÃO

(OU APERFEIÇOAMENTO)

PODE SER FEITA (O) AOS

POUCOS ?

PRECISAMOS NOS

PREOCUPAR COM

ESTES ASSUNTOS ?

AFINAL, QUAIS SÃO AS

MELHORES PRÁTICAS

UTILIZADAS NO MERCADO ?

AS PRÁTICAS PODEM SER

ADAPTADAS À NOSSA

REALIDADE ?

QUE CONTROLES

ESSENCIAIS PRECISO TER

(OU MELHORAR) AGORA ?

E DEPOIS ?

ONDE ESTOU AGORA ?

QUAL MINHA MATURIDADE?

AONDE QUERO CHEGAR ?

CUSTOS? PRAZOS? QUAIS RECURSOS?

COMO? QUEM? QUANDO?

? ?

? ? ?

?

? ?

Informação Interna 23 Belo Horizonte, abril de 2013 23 Afonso Kalil, III, CISA, CGEIT

PANORAMA ATUAL

Melhores práticas

ISO 27001 ISO 27002

Padrão de especificação para um

SGSI (Sistema Gerencial de

Segurança da Informação).

Novo padrão para a atual ISO

17799 (originalmente BS7799-1)

ISO 27003 ISO 27004

Guia para a implementação de um

SGSI.  

Padrão de medição e métricas de

SGSI.

ISO 27005 ISO 27006

Padrão para Gestão de Risco de

Segurança.

Guias para organizações

certificadoras de Certificação

SGSI.

FAMÍLIA ISO 27000 - Segurança da Informação

COBIT, ITIL, DAMA-DMBok, ... (boas práticas de Governança de TI)

Objet. Ctrl de Inf e Tec Relacionada - Bibl Infra para TI Data Manag Assoc

NBR ISO/IEC 17.799 – Associação Brasileira de Normas Técnicas

Informação Interna 24 Belo Horizonte, abril de 2013 24 Afonso Kalil, III, CISA, CGEIT

Introdução

Princípios da Classificação da Informação

Mesa Limpa e Tela Limpa

Senha Forte

Impressão Segura

Regras básicas de comportamento – dentro/fora da organização.

Controle de Acessos – Separação de Responsabilidades (SOD)

Desenvolvimento de Novas Aplicações, incluindo WEB

Política de Segurança da Informação, Código de Conduta

Exemplo de um Programa de Comprometimento Gerencial .

AGENDA

Informação Interna 25 Belo Horizonte, abril de 2013 25 Afonso Kalil, III, CISA, CGEIT

Classificação

da

Informação

Informação Interna 26 Belo Horizonte, abril de 2013 26 Afonso Kalil, III, CISA, CGEIT

É o processo de definir níveis e

critérios de proteção adequados para

as informações. Este processo deve

proporcionar segurança de acordo

com a importância da informação

para a organização.

Reservada

Controles

e

Cuidados

Interna

Pública

Confidencial

Valor

da

Informação

CLASSIFICAÇÃO DA INFORMAÇÃO

O QUE É?

Exemplos

Informação Interna 27 Belo Horizonte, abril de 2013 27 Afonso Kalil, III, CISA, CGEIT

• Mitigar riscos de perda, furto, roubo ou divulgação indevida;

• Priorizar investimentos em segurança e controle;

• Padronização e eficiência no tratamento da informação.

CLASSIFICAÇÃO DA INFORMAÇÃO

POR QUE CLASSIFICAR AS INFORMAÇÕES?

Sem um modelo de “rotulagem”, como saber se uma informação é

confidencial ou não? Como garantir o seu manuseio dentro desta

premissa e o cumprimento da cláusula de confidencialidade, que

em muitos casos, traz penalidades se demonstrada a omissão ou

negligência da parte envolvida na obrigação contratual?

Informação Interna 28 Belo Horizonte, abril de 2013 28 Afonso Kalil, III, CISA, CGEIT

CLASSIFICAÇÃO DA INFORMAÇÃO

POR QUE CLASSIFICAR AS INFORMAÇÕES?

Problema no desligamento do empregado: o que pode retirar de

informações dos dispositivos usados no trabalho? Alguns cenários:

Uso de equipamento da empresa – fixo.

Uso de equipamento da empresa – móvel.

Uso de equipamento próprio em benefício da empresa (uso dentro

da empresa ou com acesso remoto para trabalhar de sua residência).

Se a empresa estiver sujeita as regras da Administração Pública

Federal precisa atender aos requisitos do Decreto 4553.

Informação Interna 29 Belo Horizonte, abril de 2013 29 Afonso Kalil, III, CISA, CGEIT

A atividade de classificação cabe à pessoa que

cria a informação. Para dados armazenados em

aplicativos, esta atividade cabe ao responsável

pelo processo de negócio.

CLASSIFICAÇÃO DA INFORMAÇÃO

QUEM DEVE CLASSIFICAR?

Informação Interna 30 Belo Horizonte, abril de 2013 30 Afonso Kalil, III, CISA, CGEIT

A atividade de classificação consiste em:

Definição do nível de segurança a ser aplicado;

Rotulação das mídias onde a informação está armazenada;

Tratamento adequado da informação classificada.

CLASSIFICAÇÃO DA INFORMAÇÃO

COMO CLASSIFICAR?

Informação Interna 31 Belo Horizonte, abril de 2013 31 Afonso Kalil, III, CISA, CGEIT

Dano

Econômico

Dano à

Imagem

Dano às

Atividades

Pública Nulo Nulo Nulo

Interna Baixo - Médio Baixo - Médio Baixo - Médio

Reservada Médio - Alto Médio - Alto Médio - Alto

Confidencial Alto Alto Alto

CLASSIFICAÇÃO DA INFORMAÇÃO

CRITÉRIOS PARA DEFINIR O NÍVEL DE SEGURANÇA

COMO CLASSIFICAR?

Informação Interna 32 Belo Horizonte, abril de 2013 32 Afonso Kalil, III, CISA, CGEIT

Rótulos

Informações em mídia eletrônica

CLASSIFICAÇÃO DA INFORMAÇÃO

COMO CLASSIFICAR?

Info Pública

Info Interna

Info Reservada

Info Confidencial

ROTULAÇÃO DE MÍDIAS

Informação Interna 33 Belo Horizonte, abril de 2013 33 Afonso Kalil, III, CISA, CGEIT

Pode-se usar carimbos ou etiquetas auto-colantes para indicar o

nível de segurança a que aquela informação está submetida.

Pública

Interna

Reservada

Confidencial

CLASSIFICAÇÃO DA INFORMAÇÃO

COMO CLASSIFICAR?

Informações em mídia não eletrônica

ROTULAÇÃO DE MÍDIAS

Informação Interna 34 Belo Horizonte, abril de 2013 34 Afonso Kalil, III, CISA, CGEIT

Para cada nível de segurança, a Política de Classificação da

Informação traz detalhes sobre como realizar as atividades abaixo:

Armazenamento

Rotulação

Backup

Acesso

Transmissão

Cópia

Impressão

Modificação

Apresentação

Cancelamento

Recebimento

Transporte

CLASSIFICAÇÃO DA INFORMAÇÃO

COMO CLASSIFICAR?

TRATAMENTO DA INFORMAÇÃO CLASSIFICADA

Informação Interna 35 Belo Horizonte, abril de 2013 35 Afonso Kalil, III, CISA, CGEIT

Tra

tam

en

to d

a in

form

ão

cla

ss

ific

ad

a

Permitido para qualquer

empregado, para uso

exclusivamente interno,

conforme a necessidade

de negócio.

CLASSIFICAÇÃO DA INFORMAÇÃO

Informação Interna 36 Belo Horizonte, abril de 2013 36 Afonso Kalil, III, CISA, CGEIT

INFORMAÇÃO EM MEIOS NÃO ELETRÔNICOS

NÍVEL/ATIVIDADE PUBLICO INTERNO RESERVADO SECRETO

ROTULAÇÃO O nível de classificação deve ser indicado no documento.

Não obrigatória. Na falta de um rótulo, este é o nível de classificação associado ao documento.

O nível de classificação deve ser indicado em todas as páginas do documento (no cabeçalho ou rodapé) e deve ter uma capa com a classificação em destaque após o titulo do documento.

O nível de classificação deve ser indicado em todas as páginas do documento (no cabeçalho ou rodapé) e deve ter uma capa com a classificação em destaque após o titulo do documento.

ACESSO Não há restrições. Permitido de acordo com os direitos de acesso e premissas do negócio.

Permitido para as pessoas identificadas pelo proprietário.

Permitido somente para as pessoas identificadas pelo proprietário, cuja lista deve ser indicada no documento. Se aplicável, os acessos se darão através de identificação.

CÓPIA / REPRODUÇÃO Sem restrições. A pessoa que copia torna-se proprietária da cópia.

Permitida para qualquer empregado, para uso exclusivamente interno, conforme necessidade de negócio.

Permitido sob autorização formal do proprietário, com o registro do destinatário da cópia e do nível de classificação.

Permitida somente para o proprietário da informação. Toda cópia deve conter a classificação da informação e deve ser numerada seqüencialmente de tal modo que o proprietário saiba com quem está cada cópia. Este número permite que uma cópia adicional, sem o controle e aprovação do proprietário possa identificar de “qual” número foi obtida a cópia não autorizada. Os mecanismos de proteção de acesso à cópia devem ser os mesmos do arquivo original. Se for cópia “backup” também é obrigatória a numeração. Com exceção do proprietário, é proibida a reprodução de todo ou parte do documento, além da lista de distribuição que consta no original por parte de qualquer outro colaborador.

MODIFICAÇÃO Sem restrições. A pessoa que modifica torna-se proprietária do documento.

Permitido para qualquer empregado. A pessoa que modifica torna-se proprietária do documento, que permanece como “interno”.

Permitida sob autorização do proprietário, com registro de quem é autorizado a modificar o documento. Pode-se autorizar uma pessoa, uma entidade ou um grupo de pessoas.

Permitida somente com autorização formal (por escrito) do proprietário. A autorização é individual. As modificações devem ser documentadas (autor, data, motivo).

Confidencial

Permitida somente para o proprietário da

da informação. Toda cópia deve conter a

classificação da informação e deve ser numerada

sequencialmente de tal modo que o proprietário

saiba com quem está cada cópia. Este número

permite que uma cópia adicional sem o controle e

aprovação do proprietário possa identificar de qual

número” foi obtida a cópia não autorizada.

Os mecanismos de proteção de acesso à cópia .....

Informação Interna 37 Belo Horizonte, abril de 2013 37 Afonso Kalil, III, CISA, CGEIT

Observações importantes

A classificação de uma informação não é necessariamente

constante no tempo. informações que o compõem.

CLASSIFICAÇÃO DA INFORMAÇÃO

Uma classificação superestimada ou subestimada pode

ocasionar despesas desnecessárias ou proteção insuficiente.

Um conjunto de informações recebe o nível de segurança mais

alto entre aqueles definidos para as informações que o compõem.

É fundamental a inserção de rótulos nos e-mails com explicações

sobre “disclaimer”.

Informação Interna 38 Belo Horizonte, abril de 2013 38 Afonso Kalil, III, CISA, CGEIT

Lista os tipos de informações, mídias, processos de

origem e destino e sua classificação de segurança.

Auxilia no levantamento de informações importantes e entendimento do ciclo

de vida das informações.

CLASSIFICAÇÃO DA INFORMAÇÃO

TRATAMENTO DA INFORMAÇÃO CLASSIFICADA

Exemplo de Inventário de Informações Classificadas

Fluxo do Processo

Informação Interna 39 Belo Horizonte, abril de 2013 39 Afonso Kalil, III, CISA, CGEIT

Mesa Limpa

e

Tela Limpa

Informação Interna 40 Belo Horizonte, abril de 2013 40 Afonso Kalil, III, CISA, CGEIT

Uma política de mesa limpa, incluindo tela limpa e lixo limpo, reduz o risco

de acesso não autorizado, perda, furto e dano da informação durante e

fora do horário normal de trabalho. ABNT NBR ISO/IEC 27000 (17799)

Responsabilidade:

Manter as áreas de

trabalho organizadas.

MESA LIMPA E TELA LIMPA

O QUE É?

Informação Interna 41 Belo Horizonte, abril de 2013 41 Afonso Kalil, III, CISA, CGEIT

As informações críticas do negócio devem ser

guardadas em lugar seguro quando não em uso,

principalmente quando o escritório está desocupado.

Lista de

tarefas Planejamentos Agendas Post it’s

Quadro de

avisos Flip chart

Documentos

sobre a mesa

Pastas e

bolsas

Pratique o Armazenamento Seguro

MESA LIMPA E TELA LIMPA

PRINCÍPIOS BÁSICOS

Informação Interna 42 Belo Horizonte, abril de 2013 42 Afonso Kalil, III, CISA, CGEIT

Mantê-los desligados ou protegidos com

mecanismos de travamento de tela controlados

por senha ou mecanismo de autenticação similar

quando estiverem sem vigilância visual ou sem

uso.

Atenção especial para o cabo de segurança dos

notebooks!

MESA LIMPA E TELA LIMPA

PRINCÍPIOS BÁSICOS

Computadores, Dispositivos Móveis, etc.

Informação Interna 43 Belo Horizonte, abril de 2013 43 Afonso Kalil, III, CISA, CGEIT

Habitue-se a usar a combinação de teclas abaixo para

proteção:

+ L

MESA LIMPA E TELA LIMPA

PRINCÍPIOS BÁSICOS

Proteção de Sessão de Uso

Informação Interna 44 Belo Horizonte, abril de 2013 44 Afonso Kalil, III, CISA, CGEIT

Documentos com informações sensíveis: recolhê-los

imediatamente, a fim de impedir que uma pessoa não

autorizada tenha acesso à informação.

Pontos de entrada e saída de correspondência e

máquinas de fac-símile: protegê-los e monitorá-los.

Fotocopiadoras e outras tecnologias de reprodução

(scanners, máquinas fotográficas digitais, etc.): evitar o

uso não autorizado.

MESA LIMPA E TELA LIMPA

PRINCÍPIOS BÁSICOS

Cuidados com Impressão e FAX

Informação Interna 45 Belo Horizonte, abril de 2013 45 Afonso Kalil, III, CISA, CGEIT

Todo lixo que contenha informação reservada ou

secreta deve ser eliminado através de “máquina

picotadora” ou similar.

Caso não exista, certifique-se que o descarte é de

maneira correta e que impossibilita qualquer tentativa

de reconstrução.

Verifique sempre o que está na sua “lata de lixo”.

Muitos “espiões” gostam de saber o que você está

jogando fora. “O seu lixo mostra os seus hábitos”.

MESA LIMPA E TELA LIMPA

PRINCÍPIOS BÁSICOS

Cuidados com o LIXO

Informação Interna 46 Belo Horizonte, abril de 2013 46 Afonso Kalil, III, CISA, CGEIT

O comprometimento das pessoas é

de vital importância para o sucesso

da política de mesa limpa e

tela limpa.

MESA LIMPA E TELA LIMPA

“O Bob é um

bom exemplo do

sucesso de nossa

política de mesa

limpa”

Informação Interna 47 Belo Horizonte, abril de 2013 47 Afonso Kalil, III, CISA, CGEIT

MESA LIMPA E TELA LIMPA

Exemplos de Inspeções

Informação Interna 48 Belo Horizonte, abril de 2013 48 Afonso Kalil, III, CISA, CGEIT

MESA LIMPA E TELA LIMPA

Informação Interna 49 Belo Horizonte, abril de 2013 49 Afonso Kalil, III, CISA, CGEIT

MESA LIMPA E TELA LIMPA

Informação Interna 50 Belo Horizonte, abril de 2013 50 Afonso Kalil, III, CISA, CGEIT

MESA LIMPA E TELA LIMPA

Informação Interna 51 Belo Horizonte, abril de 2013 51 Afonso Kalil, III, CISA, CGEIT

MESA LIMPA E TELA LIMPA

Informação Interna 52 Belo Horizonte, abril de 2013 52 Afonso Kalil, III, CISA, CGEIT

Conscientização das pessoas

Vamos identificar

algumas

Violações da

Política de Mesa

Limpa e Tela

Limpa?

Informação Interna 53 Belo Horizonte, abril de 2013 53 Afonso Kalil, III, CISA, CGEIT

Introdução

Princípios da Classificação da Informação

Mesa Limpa e Tela Limpa

Senha Forte

Impressão Segura

Regras básicas de comportamento – dentro/fora da organização.

Controle de Acessos – Separação de Responsabilidades (SOD)

Desenvolvimento de Novas Aplicações, incluindo WEB

Política de Segurança da Informação, Código de Conduta

Exemplo de um Programa de Comprometimento Gerencial .

AGENDA

Informação Interna 54 Belo Horizonte, abril de 2013 54 Afonso Kalil, III, CISA, CGEIT

Senha

Forte

Informação Interna 55 Belo Horizonte, abril de 2013 55 Afonso Kalil, III, CISA, CGEIT

A senha de acesso é o mecanismo de

autenticação mais utilizado em sistemas

corporativos.

Há vários tipos de ameaças que procuram

formas de acessar informações restritas

através da captura de senha de uma pessoa

autorizada.

SENHA FORTE

O QUE É?

Informação Interna 56 Belo Horizonte, abril de 2013 56 Afonso Kalil, III, CISA, CGEIT

• Programas de “força bruta”.

• Captura de senhas durante a digitação.

•Ataques através de tentativa e erro.

•Compartilhamento de senha entre usuários.

Exemplo

SENHA FORTE

AMEAÇAS MAIS COMUNS

Informação Interna 57 Belo Horizonte, abril de 2013 57 Afonso Kalil, III, CISA, CGEIT

Ao usar uma senha forte, os usuários dificultam

consideravelmente o trabalho dos sistemas de força bruta,

aumentando a segurança da informação.

Para ser considerada FORTE, a senha deve seguir algumas

regras, recomendadas pelos manuais de melhores práticas e

normas de segurança da informação.

SENHA FORTE

POR QUE USAR?

Informação Interna 58 Belo Horizonte, abril de 2013 58 Afonso Kalil, III, CISA, CGEIT

SENHA FORTE

O QUE TORNA UMA SENHA FORTE?

• Regras de confecção da senha:

Limite mínimo de caracteres.

Combinação de letras (maiúsculas e minúsculas),

números e caracteres especiais.

Diferente de parte do “userid”.

Conjuntos consecutivos não permitidos.

Informação Interna 59 Belo Horizonte, abril de 2013 59 Afonso Kalil, III, CISA, CGEIT

SENHA FORTE

O QUE TORNA UMA SENHA FORTE?

• Regras de confecção da senha:

Limite mínimo de caracteres.

Combinação de letras (maiúsculas e minúsculas), números e caracteres especiais.

Diferente de parte do “userid”.

Conjuntos consecutivos não permitidos.

• Regras de administração da senha:

Tempo limite de validade.

Diferentes das senhas anteriores.

Quantidade limite de tentativas erradas.

Intervalo mínimo entre alterações.

Desbloqueio automático e/ou por Administrador.

Fornecimento de Senhas: já vencidas...

Informação Interna 60 Belo Horizonte, abril de 2013 60 Afonso Kalil, III, CISA, CGEIT

1º. Passo: escolha uma expressão ou frase da qual você se

lembra com facilidade. Algo que você goste.

Eu gosto de Futebol. Então vou escolher a seguinte frase:

“Brasil hexa em cima da Argentina.“

COMO CRIAR UMA SENHA FORTE?

SENHA FORTE

Informação Interna 61 Belo Horizonte, abril de 2013 61 Afonso Kalil, III, CISA, CGEIT

2º. Passo: trabalhe a expressão ou frase, de forma a extrair dela

uma senha. Exemplo: destaque as iniciais de cada palavra.

Brasil hexa em cima da Argentina

Brasil hexa em cima da Argentina.

BhecdA

SENHA FORTE

COMO CRIAR UMA SENHA FORTE?

Informação Interna 62 Belo Horizonte, abril de 2013 62 Afonso Kalil, III, CISA, CGEIT

3º. Passo: aumente a complexidade da senha.

Exemplo: inclua alguns caracteres especiais e/ou algarismos.

BhecdA

BhecdA6*

SENHA FORTE

COMO CRIAR UMA SENHA FORTE?

Informação Interna 63 Belo Horizonte, abril de 2013 63 Afonso Kalil, III, CISA, CGEIT

Outro exemplo:

Fórmula 1 - “Alonso e Massa correm pela Ferrari.“

COMO CRIAR UMA SENHA FORTE?

SENHA FORTE

Alonso e Massa correm pela Ferrari.“

AeMcpF

AeMcpF@0

Informação Interna 64 Belo Horizonte, abril de 2013 64 Afonso Kalil, III, CISA, CGEIT

Eu não tenho hobby algum. Entha#01

É, “tô” precisando de férias urgente: Etpdfu$9

Agora, vou pedir aumento de 20%: Avpad20%

SENHA FORTE

COMO CRIAR UMA SENHA FORTE?

Outros exemplos:

Informação Interna 65 Belo Horizonte, abril de 2013 65 Afonso Kalil, III, CISA, CGEIT

Impressão Segura

Informação Interna 66 Belo Horizonte, abril de 2013 66 Afonso Kalil, III, CISA, CGEIT

As impressoras mais modernas permitem a configuração de

uma senha de proteção da impressão.

Primeiro, o usuário precisa configurar sua senha. Em seguida,

sempre que enviar um trabalho de impressão, o usuário deverá se

dirigir até a impressora e digitar a mesma senha para que o trabalho

de impressão inicie.

IMPRESSÃO SEGURA

COMO PROTEGER OS DOCUMENTOS DURANTE A IMPRESSÃO

Exemplos de tutoriais:

Informação Interna 67 Belo Horizonte, abril de 2013 67 Afonso Kalil, III, CISA, CGEIT

Regras básicas de

comportamento

(dentro e fora da organização)

Cuidados e Alertas

Informação Interna 68 Belo Horizonte, abril de 2013 68 Afonso Kalil, III, CISA, CGEIT

Conjunto de atitudes / comportamentos cuidadosos que devem

ser observados – dentro e fora da organização – com foco na

proteção das informações corporativas.

É fundamental que o profissional seja reservado e cuidadoso

nas suas opiniões, conversas, participações em eventos,

principalmente quando em contato com a

imprensa e/ou a concorrência.

REGRAS BÁSICAS DE COMPORTAMENTO

O QUE É?

Informação Interna 69 Belo Horizonte, abril de 2013 69 Afonso Kalil, III, CISA, CGEIT

Táxi, ônibus, trem, avião, etc.

Aeroportos e dentro do avião.

Hotel, clubes, academia, festas.

Restaurante, bar, etc.

Eventos sociais, de negócios ou não.

Congressos, seminários, cursos.

E ... uma infinidade de situações que devem ser avaliadas.

Os cuidados também

devem ser praticados

dentro da própria

empresa.

REGRAS BÁSICAS DE COMPORTAMENTO

ALGUMAS SITUAÇÕES / LOCAIS QUE DEMANDAM CUIDADO

Informação Interna 70 Belo Horizonte, abril de 2013 70 Afonso Kalil, III, CISA, CGEIT

Introdução

Princípios da Classificação da Informação

Mesa Limpa e Tela Limpa

Senha Forte

Impressão Segura

Regras básicas de comportamento – dentro/fora da organização.

Controle de Acessos – Separação de Responsabilidades (SOD)

Desenvolvimento de Novas Aplicações, incluindo WEB

Política de Segurança da Informação, Código de Conduta

Exemplo de um Programa de Comprometimento Gerencial .

AGENDA

Informação Interna 71 Belo Horizonte, abril de 2013 71 Afonso Kalil, III, CISA, CGEIT

Controle de Acessos –

Separação de

Responsabilidades (SOD)

Informação Interna 72 Belo Horizonte, abril de 2013 72 Afonso Kalil, III, CISA, CGEIT

Necessidade de Negócio.

Aprovação do Líder / Administrador.

Documentação adequada e atualizada.

CONTROLE DE ACESSO - SEPARAÇÃO DE RESPONSABILIDADES

Avaliação “SoD” (“Separation of Duties”).

Se há conflito mas precisa do aceso: controle de compensação.

não precisa: retira o acesso

Documentado, Monitorado c/evidências.

Riscos avaliados periodicamente e adequadamente aprovados.

Procedimentos específicos para “Superusuários”.

Revisão periódica pelo Gestor Processo / Administrador.

Revisão constante dos controles de compensação.

Re-certificação Anual conduzida por pessoal independente.

Re-certificação Trimestral para “Superusuários”.

Informação Interna 73 Belo Horizonte, abril de 2013 73 Afonso Kalil, III, CISA, CGEIT

Desenvolvimento de Novas

Aplicações, incluindo WEB

Informação Interna 74 Belo Horizonte, abril de 2013 74 Afonso Kalil, III, CISA, CGEIT

Interação com Time de Segurança (desde o início do projeto).

Controles Internos – definidos, aprovados e documentados.

Controle de Acesso – administração e aprovação.

Mecanismos de autenticação (sempre usar senha forte)

Criptografia onde necessário.

Trilha de Auditoria - definida pelo Proprietário da Aplicação.

Controle de backup – para fins de contingência (se for o caso).

Sempre considerar:

DESENVOLVIMENTO DE NOVAS APLICAÇÕES – INCLUINDO WEB APPLs.

Informação Interna 75 Belo Horizonte, abril de 2013 75 Afonso Kalil, III, CISA, CGEIT

Introdução

Princípios da Classificação da Informação

Mesa Limpa e Tela Limpa

Senha Forte

Impressão Segura

Regras básicas de comportamento – dentro/fora da organização.

Controle de Acessos – Separação de Responsabilidades (SOD)

Desenvolvimento de Novas Aplicações, incluindo WEB

Política de Segurança da Informação, Código de Conduta

Exemplo de um Programa de Comprometimento Gerencial .

AGENDA

Informação Interna 76 Belo Horizonte, abril de 2013 76 Afonso Kalil, III, CISA, CGEIT

Documento de alto nível que expressa a visão da empresa, seus

compromissos e expectativas em relação à Segurança da

Informação.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

O QUE É?

Informação Interna 77 Belo Horizonte, abril de 2013 77 Afonso Kalil, III, CISA, CGEIT

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA – Nível estratégico.

ORGANIZAÇÃO (+ utilizada)

NORMAS – Nível tático.

PROCEDIMENTOS – Nível Operacional.

Contém os Princípios Mandatórios - referenciam as Normas.

Ex: “Todas as informações devem ser classificadas”

Mais detalhes com referências aos procedimentos.

Ex: “A classificação da informação se baseia em premissas de negócios e,

conforme as atividades e os tipos de mídias, existem procedimentos ...

Maior nível de detalhamento.

Ex: “Tabelas sobre uso correto da Informação Classificada”.

Informação Interna 78 Belo Horizonte, abril de 2013 78 Afonso Kalil, III, CISA, CGEIT

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

FATORES CRÍTICOS DE SUCESSO

Aderência às Normas – família ISO 27000.

Aprovação pela Alta Direção e Diretorias (cf. o caso)

Revisão periódica.

Disponibilidade para todos os envolvidos (a qualquer hora).

Divulgação do “link” para acesso à rede interna.

Atendimento para esclarecer dúvidas e outras considerações.

Comprometimento: evidências de que:

Todos tomaram conhecimento e entenderam.

Atestados periódicos (a cada 2 anos, pelo menos).

Informação Interna 79 Belo Horizonte, abril de 2013 79 Afonso Kalil, III, CISA, CGEIT

Documento de referência para todos os “stakeholders” sobre os

princípios éticos e morais na condução dos negócios da

organização.

Código de Conduta Geral.

Código de Conduta para Fornecedores e Terceiros.

Código de Conduta para Usuários de TIC.

CÓDIGO DE CONDUTA

O QUE É?

Informação Interna 80 Belo Horizonte, abril de 2013 80 Afonso Kalil, III, CISA, CGEIT

Pesquisa realizada entre os gerentes e líderes da empresa para

mensurar os níveis de compreensão e maturidade relacionados às

melhores práticas de Segurança da Informação.

Pontos de atenção:

Controle de acesso a dados e transações;

Proteção das informações nos departamentos;

Periodicidade dos debates sobre Segurança da Informação.

PROGRAMA DE COMPROMETIMENTO GERENCIAL

O QUE É?

Informação Interna 81 Belo Horizonte, abril de 2013 81 Afonso Kalil, III, CISA, CGEIT

Pesquisa em formulários ou “on line” (melhor), com perguntas

objetivas e cujas respostas podem ser tabuladas de diversas

maneiras.

Pesquisa geral ou setorial (departamento, tipos de usuários).

Possibilidade de Análise de Progresso / Tendências.

PROGRAMA DE COMPROMETIMENTO GERENCIAL

COMO PODE SER FEITO?

Informação Interna 82 Belo Horizonte, abril de 2013 82 Afonso Kalil, III, CISA, CGEIT

Você, como gerente, está confortável de que:

... todos as pessoas sob sua responsabilidade possuem os direitos de

acesso alinhados às respectivas necessidades de negócio?

PROGRAMA DE COMPROMETIMENTO GERENCIAL

EXEMPLO DE PERGUNTA

Se não entender a pergunta, o Gerente poderá:

No ambiente “on line”: solicitar ajuda, teclando “help”.

Consultar Política, Manuais, etc.

Em qualquer caso, pode solicitar ajuda à Central de Suporte.

Informação Interna 83 Belo Horizonte, abril de 2013 83 Afonso Kalil, III, CISA, CGEIT

Você, como gerente, está confortável de que:

... todos as pessoas sob sua responsabilidade possuem os direitos de

acesso alinhados às respectivas necessidades de negócio?

PROGRAMA DE COMPROMETIMENTO GERENCIAL

EXEMPLO DE PERGUNTA

O ser humano é o elo principal da corrente de segurança pois a ele cabe a

responsabilidade de conhecer a Política e os procedimentos de segurança da

informação e aplicá-los corretamente nas suas atividades de negócios. É

fundamental que o usuário saiba onde estão as "regras do jogo" e possa

acessá-las sempre que necessário. Para garantir que todos ... ... ... ... ...

Se, ainda assim, continua a dúvida ou questionamento, tecla um botão e um e-mail é, imediatamente, direcionado para o Grupo Suporte Seg.Inform.

Informação Interna 84 Belo Horizonte, abril de 2013 84 Afonso Kalil, III, CISA, CGEIT

Você, como gerente, está confortável de que:

... todos as pessoas sob sua responsabilidade possuem os direitos de

acesso alinhados às respectivas necessidades de negócio?

PROGRAMA DE COMPROMETIMENTO GERENCIAL

EXEMPLO DE PERGUNTA E RESPOSTAS POSSÍVEIS

SIM – Deve estar baseado em documentação auditável.

NÃO – É obrigatório possuir um Plano de Ação para corrigir o problema.

Em progresso – É obrigatório possuir um Plano de Ação com

informações sobre o que já foi providenciado e as etapas futuras para

corrigir o problema.

Informação Interna 85 Belo Horizonte, abril de 2013 85 Afonso Kalil, III, CISA, CGEIT

RESUMINDO ...

SEGURANÇA DA INFORMAÇÃO NÃO É PREOCUPAÇÃO TECNOLÓGICA MAS SIM, GERENCIAL.

VOCÊ É O ELO MAIS IMPORTANTE DA CORRENTE!

COMPROMETA-SE E AJA DE ACORDO COM AS NORMAS.

SEJA UM INSTRUMENTO DE MUDANÇA PROATIVA, DE ATITUDES QUE SEJAM EXEMPLOS DIGNOS PARA SEUS COLEGAS.

NÃO É NECESSÁRIA ATITUDE NEURÓTICA, BASTA ABSORVER OS CONHECIMENTOS COMO NOVA CULTURA.

UTILIZE OS PRINCÍPIOS NA SUA VIDA PARTICULAR, JUNTO AOS SEUS PARENTES E AMIGOS.

Informação Interna 86 Belo Horizonte, abril de 2013 86 Afonso Kalil, III, CISA, CGEIT

RESUMINDO ...

SEGURANÇA DA INFORMAÇÃO NÃO É PREOCUPAÇÃO TECNOLÓGICA MAS SIM, GERENCIAL.

VOCÊ É O ELO MAIS IMPORTANTE DA CORRENTE!

COMPROMETA-SE E AJA DE ACORDO COM AS NORMAS.

SEJA UM INSTRUMENTO DE MUDANÇA PROATIVA, DE ATITUDES QUE SEJAM EXEMPLOS DIGNOS PARA SEUS COLEGAS.

NÃO É NECESSÁRIA ATITUDE NEURÓTICA, BASTA ABSORVER OS CONHECIMENTOS COMO NOVA CULTURA.

UTILIZE OS PRINCÍPIOS NA SUA VIDA PARTICULAR, JUNTO AOS SEUS PARENTES E AMIGOS.

FAÇA SUA PARTE, ADAPTE AS MELHORES

PRÁTICAS EM SUA EMPRESA E NA SUA VIDA

PARTICULAR, ELABORE BONS PROCEDIMENTOS

DE CONDUTA, ESTIMULE SEUS COLEGAS NO

CUMPRIMENTO DAS NORMAS.

ENFIM, COLOQUE “CORES” PARA AJUDAR A

COMPREENSÃO DE TODOS E BUSCAR O

COMPROMETIMENTO DE TODO O GRUPO.

LEMBRE-SE DO “CADERNO MÁGICO”

Informação Interna 87 Belo Horizonte, abril de 2013 87 Afonso Kalil, III, CISA, CGEIT

Obrigado!

Afonso F. Kalil Filho, III, CISA, CGEIT

(31-3344-4616 e 31-9973-8091)

[email protected]

Informação Interna 88 Belo Horizonte, abril de 2013 88 Afonso Kalil, III, CISA, CGEIT

O ARQUIVO EXCEL está no Desktop.

a) Acesse o arquivo Excel no Desktop, tecle em Ferramentas e, depois, em Opções.

b) No quadro a seguir, tecle em Aba (em cima, último à direita na tela).

c) Digite a senha de proteção e tecle em OK. (experimente o “abcdef”

d) Via vir nova telinha pedindo para re-digitar a senha. Faça isto e tecle em OK.

e) Vai voltar ao Excel. NÃO SE ESQUEÇA DE SALVAR.

f) Saia e, se desejar, comprove que o Excel está protegido. Tecle uma outra senha diferente e

depois tecle a senha correta.

g) Agora vem a demonstração do CRACKER!

h) Entre o arquivo Excel, com a senha “abcdef”, retire a senha de proteção.

i) Agora, você vai entrar com uma nova senha, feita pelos presentes (cuidado é bom).

j) Repita os itens “a” até “f”, com esta nova senha feita pelo público.

k) Demonstre que, realmente, agora não adianta teclar “abcdef” ou qualquer outra diferente

daquela que o público definiu.

l) Vá na tela principal e tecle no Excel Cracker.

m) No campo Name, acesse o Desktop e assinale o arquivo que se pretende descobrir a senha.

n) Posicione os campos do quadrado “Brute Force” (somente letras e posicionamento de

tamanho possível de senha – coloque “6”¨em ambos os campos (minimo e máximo).

o) Coloque o reloginho disponível para contar o tempo gasto na tentativa de descobrimento da

senha.

p) Inicie o “Start Attack”.

q) Enfatize a quantidade de tentativas por segundo.

Dicas para demonstração