Upload
allan-piter-pressi
View
12.615
Download
1
Embed Size (px)
Citation preview
ALLAN PITER [email protected]
1
SEGURANÇA E SEGURANÇA E AUDITORIA DE AUDITORIA DE
SISTEMAS.SISTEMAS.
@allanpitter@allanpitter
07/09/201007/09/2010
ALLAN PITER [email protected]
3
Não foi o medo que tomou conta Não foi o medo que tomou conta dele apenas uma noção dele apenas uma noção
ampliada das coisas...ampliada das coisas...
Leonidas Leonidas
ALLAN PITER [email protected] / [email protected] /@allanpitter
5
1. Conceitos de Segurança da Informação1. Conceitos de Segurança da Informação
• Confidencialidade – garantir acesso ao sistema a apenas quem de fato tem acesso;• Integridade – A informação estar no estado em que foi armazenada;• Disponibilidade – A informação estar acessível sempre que solicitado;• Autenticação – Garantir que um usuário é de fato quem alega ser;• Não-repúdio – capacidade do sistema provar que um usuário executou uma determinada ação;• Legalidade – Garantir que o sistema esteja dentro legislação vigente;• Privacidade – Capacidade de um sistema de manter anonimato de seus usuários;• Auditoria – Capacidade que um sistema possui para que possa ser auditado suas operações.
ALLAN PITER [email protected] / [email protected] /@allanpitter
6
1. Conceitos de Segurança da Informação1. Conceitos de Segurança da Informação
• Incidente de segurança – Ocorrência de um evento que possa causar interrupções nos processos de negócios em consequencia de violação de algum aspecto;• Ativo de informação – Todos os elementos que suportam uma informação;• Ataque – Incidente de segurança caracterizado pela existência de um agente que busca obter algum tipo de retorno, buscando como alvo um ativo de valor;• Vulnerabilidade – Ativos que possuem algum tipo de fraqueza que pode gerar intencionalmente ou não indisponibilidade de um ativo de informação;• Ameaça – Ataque a potencial a um ativo de informação realizado por um agente externo;• Probabilidade – Possibilidade de ocorrência de uma falha, deve-se levar em conta as vulnerabilidades e ameaças.
ALLAN PITER [email protected] / [email protected] /@allanpitter
7
1. Conceitos de Segurança da Informação1. Conceitos de Segurança da Informação
• Impacto – conseqüência que pode causar a um ativo de informação após um incidente de segurança;• Controle – Medidas que visam proteger um ativo de informação visando minimizar ou mitigar o grau de exposição de um ativo;
ALLAN PITER [email protected] / [email protected] /@allanpitter
8
2. Ciclo de Vida da Informação2. Ciclo de Vida da Informação
Meio Externo
Meio Interno
Identificação das necessidades e requisitos
ALLAN PITER [email protected] / [email protected] /@allanpitter
9
2. Ciclo de Vida da Informação2. Ciclo de Vida da Informação• Obtenção – Procedimentos para captura e recepção da informação;•Tratamento – Forma com que a informação é tratada antes de ser consumida;• Distribuição – Levar a informação até seus consumidores;• Uso – A informação é usada para gerar valor para a organização;• Armazenamento – Assegurar a conservação da informação para uso futuro;• Descarte – Quando uma informação torna-se obsoleta ou perde a utilidade para organização, ela deve ser objeto de processo de descarte que obedeça as normas legais.
ALLAN PITER [email protected] / [email protected] /@allanpitter
10
3. Classificação e controle de Ativos de 3. Classificação e controle de Ativos de InformaçãoInformação
Ativos de Informação
Software Físico Serviços Pessoas Documentos em Papel
Informação
ALLAN PITER [email protected] / [email protected] /@allanpitter
11
3. Classificação e controle de Ativos de 3. Classificação e controle de Ativos de InformaçãoInformação
• Classificação – atribuir o grau de sigilo a um ativo da informação;• Proprietário – Responsável pelo ativo da informação;• Custodiante – Responsável pela guarda do ativo da informação assegura que o ativo da informação está sendo protegido;
• Informação Pública – são informação que se divulgadas não trarão impactos a empresa;• Informação Interna – são informação de uso interno a uma empresa como uma lista de telefones, etc;• Confidencial – Informação de acesso restrito dentro da empresa;• Secreta – informações críticas para a organização, são informações vitais aos rumos do negócio;
ALLAN PITER [email protected] / [email protected] /@allanpitter
12
3. Classificação e controle de Ativos de 3. Classificação e controle de Ativos de InformaçãoInformação
• Classificação quanto a disponibilidade – defini a criticidade de uma informação e determina o seu grau de disponibilidade que a mesma deve ter minuto, horas, dias, não é crítica;• Classificação quanto a integridade – defini a forma de armazenar as informações dado o seu grau de importância, visando a exclusão e/ou adulteração indevida da mesma;• Monitoramento contínuo, criar procedimentos para revisar periodicamente a classificação e estado das informações para garantir que os mesmos estão classificados adequadamentes;
ALLAN PITER [email protected] / [email protected] /@allanpitter
13
4. Aspectos Humanos da Segurança da 4. Aspectos Humanos da Segurança da informaçãoinformação
• Security Officer – Coordenação, planejamento, indicadores de segurança corporativa, base de conhecimento, treinamento, capacitação, BCP, Investigação de Segurança, Análise de Risco, GRC, etc;
• Engenharia Social – Arte de utilzar o comportamento humano para quebrar a segurança sem que a vítima sequer perceba que foi manipulada;
• Física e Psicologica
• Sempre representa o elo mais fraco;• Segurança no trabalho;• Segurança no processo de seleção de pessoal;• Treinamento de Usuários;
ALLAN PITER [email protected] / [email protected] /@allanpitter
14
5. Segurança no ambiente físico5. Segurança no ambiente físico
• Combinar medidas de prevenção, detecção e reação a possíveis incidentes;• Criar barreiras de segurança, medidas preventivas que impeçam ataques aos ativos da informação;
• Medidas físicas (muros, câmeras, catracas);• Lógicas (Senhas, toquens, biometria);
• Proteger os perímetros do ambiente;• Segurança em escritórios, salas e instalações de ativos de informação;• Segurança de equipamentos;• Segurança de documentos em papel e eletrônicos;• Segurança de mídias de computador;• Segurança no cabeamento.
ALLAN PITER [email protected] / [email protected] /@allanpitter
15
6. Segurança no ambiente lógico6. Segurança no ambiente lógico
• Segurança em Redes, deve abranger problemas de autenticação de usuários e equipamentos, interfaces de segurança entre o ambiente externo e externo;• diversos mecanismo de proteção, dentro os quais podemos citar firewalls, IDS, IPS, mecanismo de gerência de rede e controle de trafego, estabelecer roteamento estatíco, etc.;• outros controles podem ser implementados utilizando técnicas de criptográfia, tokens, VPNs, antivírus, etc.• firewall: controle de acesso a rede, sua função é examinar o trafégo de rede que deve ser observado a política de segurança;• perímetro lógico, conhecido como DMZ , permite proteger um computador ou segmento de rede ficando entre a rede interna e externa, funcionando como uma área neutra;
ALLAN PITER [email protected] / [email protected] /@allanpitter
16
6. Segurança no ambiente lógico6. Segurança no ambiente lógico
• VPN: representa outra alternativa, minimizando o impacto sobre o uso de redes públicas para transmissão de dados privados, softwares podem criar redes privadas (túneis criptográfico) entre pontos autorizados para transferência de informações de forma segura;• Antivírus: sua função é analisar os programas de forma a identificar vírus, worms, ameaças em geral;• criptografia: utilização de códigos encriptados com o próposito de criar restrições para acesso não autorizado;• Esteganografia: técnica de ocultar uma informação dentro de outra, usando o principio de camuflagem;• Assinatura e certificado digital: garantir a autenticidade, integridade e não repúdio ou irretratabilidade;•IDS e IPS: sistemas que monitora e analisa os eventos de uma rede em busca de anormalidades no tráfego de rede.
ALLAN PITER [email protected] / [email protected] /@allanpitter
17
7. Controle de Acesso7. Controle de Acesso
• Todo o acesso a informação deve ser controlado;• O controle de acesso pode ser dividido em lógico e físico;• Controle de acesso lógico:
• Identificação e autenticação do usuário• O que você é?• O que você tem?• O que você sabe?
• Administração dos privilégios de usuários;• Monitoração do uso e acesso ao sistema;
• Controle de acesso físico.
ALLAN PITER [email protected] / [email protected] /@allanpitter
18
8. A organização da segurança8. A organização da segurança
Modelo de segurança corporativa é composto pela seguintes etapas:
• Comite corporativo de segurança da informação;• Mapeamento da Segurança;• Planejamento de Segurança;• Implementação de Segurança;• Administração de Segurança;• Segurança na cadeia produtiva.
ALLAN PITER [email protected] / [email protected] /@allanpitter
19
8. A organização da segurança8. A organização da segurança
Comite corporativo de segurança da informação:
• Orientar as ações corporativa de segurança;• Alinhar o plano de ação as diretrizes estratégicas do negócios;• Coordenar as equipes de segurança;• Garantir o sucesso da implantação do modelo de gestão de segurança;• Promover a consolidação do modelo de gestão de segurança.
ALLAN PITER [email protected] / [email protected] /@allanpitter
20
8. A organização da segurança8. A organização da segurança
Mapeamento de segurança:
• Identificar o grau de importância dos diversos processos de negócios, perímetros e infra-estrutura;• Inventariar ativos de informação;• Identificar o cenário atual de ameaças, vulnerabilidades e impactos;• Mapear as necessidades e as relações da empresa ao manuseio da informação;• Organizar as demandas de segurança do negócio.
ALLAN PITER [email protected] / [email protected] /@allanpitter
21
8. A organização da segurança8. A organização da segurança
Estratégia de segurança
• Definir o plano de ação considerando todos os pontos inerentes ao negócios;• Criar sinergia entre o plano atual e desejado em sintonia com alta direção.
ALLAN PITER [email protected] / [email protected] /@allanpitter
22
8. A organização da segurança8. A organização da segurança
Planejamento de Segurança
• Organizar os comitês de seguranças;• Capacitar executivos e técnicos;• Elaborar a política de segurança da informação, considerando os diversos pontos;•Realizar ações corretivas emergenciais em função de risco iminente percebidos no mapeamento.
ALLAN PITER [email protected] / [email protected] /@allanpitter
23
8. A organização da segurança8. A organização da segurança
Implementação de Segurança
•Divulgar a política de segurança da informação;• Capacitar e conscientizar os usuários quanto as melhores práticas de segurança da informação;• Implementar mecanismos de controles (físicos, tecnológicos, humanos, etc.).
ALLAN PITER [email protected] / [email protected] /@allanpitter
24
8. A organização da segurança8. A organização da segurança
Administração de Segurança
• Monitorar e administrar os controles implementados;• Projetar a situação de ROI;• Garantir a adequação e conformidade do negócio com normas associadas;• Manter plano de PCN para garantir a continuidade dos negócios
ALLAN PITER [email protected] / [email protected] /@allanpitter
25
8. A organização da segurança8. A organização da segurança
Segurança na cadeia produtiva:
• Equalizar as medidas de segurança adotadas aos processos de negócios comuns que interagem com outros atores do ambiente (clientes, fornecedores, governos, funcionários, etc.)
ALLAN PITER [email protected] / [email protected] /@allanpitter
26
8. A organização da segurança8. A organização da segurança
Comitês de Seguranças
• Aprovação das políticas, normas e procedimentos;• Aprovação de novos controles;• Apoio à implantação de soluções para minimizar os riscos;• Deliberação sobre incidentes de segurança corporativas;• Comitês departamentais agilizam o processo dessas políticas sendo um elemento importante neste processo.
ALLAN PITER [email protected] / [email protected] /@allanpitter
27
8. A organização da segurança8. A organização da segurança
Comitês de Seguranças
• Aprovação das políticas, normas e procedimentos;• Aprovação de novos controles;• Apoio à implantação de soluções para minimizar os riscos;• Deliberação sobre incidentes de segurança corporativas;• Comitês departamentais agilizam o processo dessas políticas sendo um elemento importante neste processo.
ALLAN PITER [email protected] / [email protected] /@allanpitter
28
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
COBIT - Controle Objectives for Information and Related Technology
• Framework para a gestão da tecnologia de informação;• Recomendado pelo ISACA (Information System Audit and Control Foundation);• Modelo de gestão de TI
• Framework;• controle de objetivos;• mapas de auditoria;• ferramentas para sua implementação;• guia de técnicas de gerenciamento.
• Meio para otimizar o investimento (ROI);• fornece métricas para avaliação de resultados.
ALLAN PITER [email protected] / [email protected] /@allanpitter
29
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
Planejar e Organizar
• Definir o plano estratégico de TI e orientações;• Definir a arquitetura de informações;• Determinar o gerenciamento tecnológico• Definir os processos de TI, organização e relacionamentos;• Gerenciar o investimento em TI;• Comunicar os objetivos de gerenciamento e orientar;• Gerenciar os recursos humanos de TI;• Gerenciar a qualidade;• Estimar e gerenciar os riscos de TI;• Gerenciar projetos.
ALLAN PITER [email protected] / [email protected] /@allanpitter
30
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
Adquirir e Implementar
• Identificar soluções automatizadas;• Adquirir e manter software de aplicação;• Adquirir e manter infra-estrutura de tecnologia;• Habilitar operações e uso;• Obter recursos de TI;• Gerenciar mudanças;• Instalar e credenciar soluções e mudanças.
ALLAN PITER [email protected] / [email protected] /@allanpitter
31
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
Entregar e Dar suporte
• Definir e gerenciar níveis de serviço;• Gerenciar Serviços de Terceiros;• Gerenciar performance e capacidade;• assegurar serviço contínuo;• assegurar segurança de sistemas;• Identificar e alocar recursos;• Treinar usuários;• Gerenciar serviços de escritório e incidentes;• Gerenciar a configuração;• Gerenciar problemas;• Gerenciar dados;• Gerenciar o ambiente físico;• Gerenciar operações.
ALLAN PITER [email protected] / [email protected] /@allanpitter
32
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
Monitorar e avaliar
• Monitorar os processos;• Assegurar avaliação dos controles internos;• Obter avaliação independente;• Prover auditoria independente.
ALLAN PITER [email protected] / [email protected] /@allanpitter
33
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
ITIL – Information technology infrastructure library
• Modelo de gerenciamento mais aceito mundialmente;• desenvolvido a partir de pesquisas pela Secretaria de Comércio;• Hoje é a norma BS-15000, sendo um anexo da ISO/IEC 9000/2000;• Foco é descrever processos necessários para gerenciar infra-estrutura de TI eficientemente e garantir o nível de serviço para clientes internos e externos.
ALLAN PITER [email protected] / [email protected] /@allanpitter
34
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
ITIL – Information technology infrastructure library
Processos que fazem parte do modelo:
Planejamento de serviços, gerenciamento de incidentes, problemas, mudanças, configuração, operações, segurança, capacidade, disponibilidade, custos, entrada em produção e testes;
Gerar valor de TI para o negócio e provar esse valor de maneira adequada, através de processos corretos.
ALLAN PITER [email protected] / [email protected] /@allanpitter
35
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
ITIL – Information technology infrastructure library
Possui disciplinas Táticas e operacionais
Disciplinas Táticas:
• Service Level Management;• IT Service Continuit Management;• Financial Management;• Capacity Management;• Availability Management.
ALLAN PITER [email protected] / [email protected] /@allanpitter
36
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
Service Level Management
• Planejar;• Coodernar;• Monitorar Acordo de SLA;• Requirementos de Qualidade;• Custos
ALLAN PITER [email protected] / [email protected] /@allanpitter
37
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
IT Service Continuity Management
• Gerenciamento de recursos organizacionais;• Manutenção dos serviços que suportam os negócios;• garantir o suporte mínimo aos processos de negócios;• ciclo continuo de avaliação de riscos;• Garantia do uso de PCN.
ALLAN PITER [email protected] / [email protected] /@allanpitter
38
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
Financial Management
• Gerenciamento do Budget de TI e Serviços
Capacity Management
• Monitorar, análise e planejamento do uso dos recursos computacionais, concentrando em métricas e condições ótimas de operação.
Availability Management
• Otimizar a capacidade de infra-estrutura de TI, suporte e serviços, custo efetivo, nível de disponibilidade.
ALLAN PITER [email protected] / [email protected] /@allanpitter
39
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
Disciplinas Operacionais
• Incidente Management;• Reduzir o tempo de indisponibilidade dos serviços.
• Problem Management;• Minimizar o impacto ao negócio ocasionado pelas diversas causas (erros, problemas, infra, riscos, etc.)
• Configuration Management;• Gerenciar e controlar ativos de TI e itens de configuração.
• Change Management;• Controle das mudanças ao ambiente, evitando problemas e erros ocasionados por essas mudanças.
• Release Management.• Previne a indisponibilidade do serviço, garantindo que as instalç~eos de versões de hardware e software estejam seguras, autorizadas e devidamente testadas.
ALLAN PITER [email protected] / [email protected] /@allanpitter
40
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
ALLAN PITER [email protected] / [email protected] /@allanpitter
41
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de TITI
ALLAN PITER [email protected]
43
Informações para contato:Informações para contato:
Allan Piter PressiAllan Piter [email protected]@[email protected]@dnainfo.com.br@allanpitter@allanpitterhttp://www.dnainfo.com.br/http://www.dnainfo.com.br/