530 likes | 583 Views
Politica de Segurança e Ética. Politica de Segurança. Ameaça. Causa potencial de um incidente, que caso se concretize pode resultar em dano. Vulnerabilidade. Falha (ou conjunto) que pode ser explorada por ameaças. Insidente.
E N D
Politica de Segurança e Ética Politica de Segurança
Ameaça Causa potencial de um incidente, que caso se concretize pode resultar em dano.
Vulnerabilidade Falha (ou conjunto) que pode ser explorada por ameaças
Insidente • Evento que comprometa operação do negócio ou cause dano aos ativos da organização.
Impacto • Resultado dos incidentes
Análise de Riscos Transfere Mitiga Impacto Aceita Reduz Probabilidade
Ativo Inatingivél? Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)” Fonte: http://www.cpc.org.br
Assinatura Digital • Método de autenticação de informação digital tipicamente tratada como análoga à assinatura física em papel. • Assinatura eletrônica, por vezes confundido, tem um significado diferente: refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem eletrônica. • A legislação pode validar tais assinaturas eletrônicas como endereços Telex e cabo, bem como a transmissão por fax de assinaturas manuscritas em papel.
Tempo • Certifica a autenticidade temporal(data e hora) de arquivos eletrônicos • Sincronizado a “Hora LegalBrasileira”
Caracteristicas • Que características deve se conter uma política de segurança.
Confidencialidade • Pode ser manipulada por um número reduzido de pessoas ou um setor da empresa
Tipos de Confidencialidade • Restrita – Informação restrita pode ser manipulada por contingente maior de pessoas ou um nível hierárquico, como por exemplo o plano estratégico da empresa que pode ser visto até no nível hierárquico de diretoria; • Interna – Este tipo de informação deve ser limitado à da empresa, como as listas de ramais, memorandos internos, norma internas, manuais, etc.; • Pública – Estas informações podem também ser divulgadas ao público ou publicadas em revistas, sites, etc. Informações públicas podem também ser conhecidas como ‘não classificadas’, pois entende-se que se não foi classificada é porque é pública. • Isso pode trazer sérios problemas para a empresa, pois uma falha de classificação pode expor informações confidenciais ao público. O mais seguro seria adotar que tudo o que não é classificado é interna.
Integridade • Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento
Integridade • Garantia de que as informações serão protegidas contra alterações não autorizadas e mantidas a exatidão das mesmas, tal qual como foi armazenada e disponibilizada. • Deve permanecer integra para quando for recuperado. Para que isso seja verdadeiro não poderá sofrer interferência alguma que o modifique, seja por falhas intencionais ou não. • Os métodos de processamento, normalmente sistemas, devem também ter a integridade preservada, pois uma alteração num sistema pode comprometer as informações resultantes do processamento. • Este conceito não garante que os dados estejam corretos, pois se forem armazenados errados, assim permanecerão até que uma entidade autorizada os corrija.
Disponibilidade • A informação deve esta disponível sempre que necessário, mas apenas para aqueles que tem permissão e para uso devido.
Disponibilidade • Garantia de que as informações estarão disponíveis onde e quando as entidades autorizadas necessitarem, com total segurança. • A informação não tem valor para a empresa caso não esteja disponível quando for requisitada. • Ataques tentam derrubar este pilar da segurança por meio da negação de serviço. • A manutenção deste pilares da segurança da informação só será atingida se houver a integração entre segurança física e do ambiente, tecnológica e em pessoas como já foi apresentado.
Autenticação • Processo de autenticar uma entidade como sendo aquela que se apresenta. • Entende-se por entidade, pessoas, sistemas, redes ou qualquer outra parte que necessite de identificação para que possa manipular as informações. • Este aspecto é de suma importância para a manutenção da segurança da informação, pois se não for possível autenticar a entidade toda a cadeia de segurança estará comprometida, seja por permitir acesso à entidade falsa ou negar acesso à entidade legítima. • Pode-se dizer que a negação de serviço é melhor que a autorização indevida, mas isso deve ser muito bem resolvido pela empresa, pois nem sempre isso pode ser verdadeiro.
Autorização • Processo de concessão de direitos para que uma entidade autenticada acesse as informações somente com as permissões a ela atribuída. (ler, gravar, modificar, apagar, executar, visualizar). • Dependente da autenticação, pois se for autenticada uma entidade falsa como verdadeira, esta receberá todas as permissões atribuídas à verdadeira como se ela fosse. • Utilizar o preceito de mínimo privilegio, • Realmente é necessário que a entidade tenha acesso a determinadas informações ou sistemas para cumprir suas funções, em caso negativo o acesso deve ser negado.
Auditoria • Processo de registrar as ações realizadas pelas entidades durante a interação com as informações e sistemas. • Determinar com precisão quem, quando e o que foi feito nos sistemas de informações e repositórios de dados. • Responsabilizar violação de normas e quebras de segurança. Registro de trilhas de auditoria deve se dar em todos os ambientes da empresa, tanto físicos quanto lógicos. • Coleta de ‘logs’, arquivos que registram todos os eventos configurados para serem registrados e com a riqueza de detalhes que for necessário à empresa. • Criação de um manual de acesso a determinadas dependências da empresa também pode ser considerado trilha de auditoria, assim como câmeras de vigilância e outros dispositivos de monitoração. • Utilizar a sigla AAA, de Autenticação, Autorização e Auditoria
Autenticidade • Processo que certifica a legitimidade das informações, quer seja de credenciais de acesso que autenticam as entidades ou que as informações por estas entidades transmitidas são autênticas, assim como a entidade remetente ou destinatária como legítima. • Os certificados digitais, que inclusive já tem valor jurídico e provê a irrevogabilidade, vêm sendo utilizados principalmente em assinatura de documentos, cifração em trocas de mensagens e autenticação de entidades. • A biometria vem ganhando espaço principalmente para controle de acesso e autenticação de usuários.
Não repudio • Característica das informações que garante o não repúdio, seja referente à autenticidade de documentos ou transações financeiras e comerciais. • Mais uma vez o certificado digital (assinatura eletrônica), juntamente com as certificadoras de tempo, estão se apresentando como as tecnologias mais adequadas à esta tarefa, muitas vezes já com garantia jurídica nos processo.
Legabilidade • Característica das informações estarem em conformidade legal, assim como os processos que as manipulam e provê validade jurídica. • As informações devem ser mantidas dentro das determinações legais. • As assinaturas digitais de documentos, que só terão efeito legal se forem feitas com certificados digitais fornecidos por Entidades Certificadoras. • Transações comerciais e financeiras entre o Sistema Financeiro ou Órgãos Governamentais é obrigatório que as ACs sejam integrantes do ICP Brasil.
Auditabilidade • Deve haver informação relativa às ações de alteração ou consulta de dados
Divisão • Segurança Física e do Ambiente; • Segurança Tecnológica; • Segurança em Pessoas.
Segurança Física e do Ambiente • Segurança pessoal • Medidas a serem tomadas para garantir a segurança dos funcionários, prestadores de serviços e pessoas chave da organização; • Segurança patrimonial • Controles a serem implementados para garantir a segurança do patrimônio da organização, principalmente daqueles necessários à continuidade operacional; • Segurança das edificações • Cada tipo de atividade requer edificações apropriadas para tal, com níveis de segurança estrutural e monitoração apropriada ao negócio ou atividade realizada na edificação. Processos de manutenção, brigadas de incêndio, controle ambiental e controle de pestes podem ser considerados escopos da segurança das edificações;
Segurança Física e do Ambiente • Segurança de infra-estruturas • Infra-estrutura de cabeamento lógico (backbone de rede), elétrica, de água, de condicionamento de ar, de exaustão, de controle do ar, de detecção e combate a fogo, dentre outros, devem ser protegidas e controladas. Devemos atentar para a infra-estrutura interna e externa, esta última um pouco mais complicada de gerenciar por estar, na maioria dos casos, fora do controle da organização, mas nem por isso deve ser ignorada; • Classificação de perímetros de segurança • Áreas diferentes abrigam equipamentos e processos diferentes, devendo, portanto, serem classificadas de acordo com suas características, podendo ser: restrito, controlado e público, ou outra classificação que atenda as necessidades de segurança;
Segurança Física e do Ambiente • Controles de acessos • O acesso às instalações da organização deve ser controlado e monitorado para que a segurança seja efetiva. • Quando falamos em segurança física e de ambiente, boa parte das ações serão tomadas para limitar o acesso às dependências a serem protegidas. Sem o devido controle de acesso, seja este administrativo e simples ou tecnológico e complexo, a segurança será falha.
Segurança Física e do Ambiente • Eventos naturais • A natureza é bela e perfeita, não podemos contestar isso, mas em muitas situações acaba por colocar em risco a segurança das organizações. Raios, enchentes, chuvas de granizo, temporais, ventanias, terremotos; maremotos; calor; etc. podem afetar a continuidade operacional da organização caso esta não mesure os riscos e implemente as medidas necessárias de segurança. • Eventos sociais • Muitos eventos sociais podem acabar por afetar a segurança das empresas, em diversos níveis e situações. A disponibilidade a pode ser afetada caso haja, por exemplo, uma mobilização social nas imediações da empresa, podem ter suas dependências invadidas. Mesmo ações individuais, seja por imprudência ou sabotagem, podem levar a empresa a situações como as acima apresentadas.
Segurança Lógica e Sistêmica • Perímetro lógico de segurança • A composição lógica das redes da organização pode ser composta por várias redes. • Requerem níveis diferentes de segurança. Não se pode dar a mesma atenção para a rede onde estão alocados os servidores de produção e a rede onde estão os servidores públicos. • O firewall é a ferramenta mais utilizada para segmentação de perímetros lógicos de segurança. • Regras de permissão e / ou negação de acesso, regras estas que definem quem pode entrar em qual rede e utilizando que tipo de protocolo ou serviço. • Roteadores têm a capacidade de auxiliar na segurança de perímetro por meio de implementação de listas de acessos, determinar regras de acesso (endereço IP e protocolos) às redes por trás deles.
Segurança Lógica e Sistemica • Redes • Devem ser providas de mecanismos de monitoração, detecção e proteção contra códigos maliciosos, assim como contra ataques e intrusões. Para monitoração podem ser utilizadas ferramentas Sniffer, que capturam tráfego da rede para estudo e monitoração. • Segurança de sistemas e Hosts • Deve ser prevista e implementada desde a concepção e projeto dos sistemas e aplicativos, pois é quase impossível e inviável economicamente a implementação posterior. • Softwares especialistas de terceiros, como Host IDS, antivírus, sistemas de controle de acesso, etc. • Cuidado no processo de desenvolvimento, implementando a segregação de ambientes e funções, assim como controle eficiente de homologações, versões e atualizações dos sistemas de produção.
Segurança Lógica e Sistemica • Controle de acesso • Parte de extrema importância da segurança. • Funcionalidades: Autenticação, Autorização e Auditoria. • Bancos de dados não passam, simplificadamente falando, de repositórios de dados. • Acessos a estes dados deve ser previsto desde a concepção e estruturação do banco de dados, podendo, e devendo, ser feito de maneira integrada aos sistemas que farão a interação entre os usuários e o banco de dados.
Segurança de Pessoas • Engenharia social • Técnica que é utilizada em larga escala por engenheiros sociais, hackers e crackers, espiões, curiosos, estelionatários, dentre outros. A maioria das espionagens industriais e comerciais se dá por engenharia social, e quando esta não é a principal técnica empregada pelos espiões, é utilizada no mínimo como auxiliar para outras técnicas. • Acompanhamento de pessoal • As organizações são compostas fundamentalmente por pessoas, às quais estão sujeitas a alterações de comportamento de acordo com diversos fatores, tais como humor, problemas familiares, financeiros, com drogas, com doenças, chantagem, dentre outras tantas.
Segurança de Pessoas • Conscientização • Peça chave na implementação da segurança da informação. • As pessoas devem estar cientes e conscientes da necessidade da segurança das informações, bem como do valor dessas informações, assim como o risco e o impacto que a violação da segurança poderá causar à organização e consequentemente para as pessoas que nela trabalham. • Se as pessoas não entenderem e aceitarem os argumentos apresentados pela organização a segurança poderá não ser efetiva.
Segurança de Pessoas • Educação • É muito comum as empresas desenvolverem Política de Segurança, tomarem muitas das medidas necessárias à segurança da informação sem dar a devida atenção e o devido investimento à educação de seus funcionários. • Abrir uma enorme lacuna de segurança se alguns cuidados não forem tomados para certificar que as informações apresentadas são realmente verdadeiras e confiáveis. • A engenharia social nada mais é do que uma técnica para explorar algumas características humanas como ego, vaidade, ambição, confiança, medo, bondade, reciprocidade, corporativismo, coleguismo, dentre outras. • Pessoas não forem educadas em como agir nas situações que podem causar incidentes de segurança e colocar as informações em risco, com certeza a segurança será violada e a organização será prejudicada.
Segurança de Pessoas • Gerência de mudança • A implementação da segurança da informação comumente provoca inúmeras e profundas mudanças nas organizações. • Mudanças devem ser acompanhadas e gerenciadas por uma pessoa que tenha bom relacionamento pessoal e interdepartamental e com liderança e autoridade suficiente para contornar problemas que surgirão em decorrência dessas mudanças. • Resistência por parte do pessoal, quer seja por perda de direitos nos sistemas, maior monitoração e controle, falta de entendimento dos objetivos da maior segurança, etc., mas tal resistência deve ser contornada com medidas de conscientização e em último caso com medidas de reforço - prêmios e ou punições.
Segurança de Pessoas • Quebra de paradigma social • Um dos paradigmas a serem quebrados é o da posse. • Este comportamento fará com que as pessoas apresentem resistência às mudanças que acabarão por aumentar o controle e a monitoração, e ninguém gosta de ter ‘suas’ coisas monitoradas por terceiros. • Deve-se reforçar, durante a conscientização e educação, que os bens, ferramentas e informações pertencem à organização, que têm real valor para esta e por isso necessitam de monitoração e controle, o que acabará por proteger, por consequência, também os interesses dos funcionários
Segurança de pessoas • Controle e monitoração • As normas de segurança descritas na política de segurança devem ser seguidas por toda a organização, e para que se meça a aderência e obediência às normas é necessário que haja monitoração das ações previstas. • A monitoração não deverá ser utilizada como fonte de ameaças e punições, mas sim para correções e ajustes das normas, dos comportamentos e das tecnologias aplicadas. • Se deixe claro que o controle e a monitoração são para proteger as informações e os recursos da organização e não para ‘bisbilhotar’ as ações dos funcionários, deixando claro que a privacidade será preservada, desde que não coloque a segurança em risco, e tais ações se darão por meio de processos transparentes estabelecidos pela organização.
Segurança de Pessoas • Causas de incidentes não intencionais: • Falta de treinamento, desatenção, falta de comprometimento, imperícia ou imprudência, negligência, dentre outros. • Causas de incidentes intencionais: • Sabotagens, facilitações, espionagens, ataques hackers, engenharia social, etc. • Incidentes com causas não humanas, que podem ser tecnológicas e naturais: • Falhas de sistemas, falhas de hardware, falhas de infra-estrutura, tempestades, alagamentos, raios etc.
Ciclo de Vida da Informação • Deve ser protegida durante todo seu ciclo de vida. • Os requisitos de segurança podem variar de acordo com a realidade.
Fases do Ciclo • Manipulação • Todo ato de manuseio da informação durante os processos de criação, alteração e processamento. • É onde ocorre a maioria das falhas de segurança. • Armazenamento • Armazenamento e arquivamento da informação em meios digitais, magnéticos ou qualquer outro que a suporte. • A informação deve estar salvaguardada dos riscos a que está sujeita, tendo preservadas a Confidencialidade, Integridade e Disponibilidade, de acordo com a necessidade de cada tipo de informação.
Fases do Ciclo • Transporte • Todos os atos de movimentação e transferência da informação, seja entre processos, mídias ou entidades internas ou externas. • Requer atenção especial devido estarem fora do perímetro de segurança do ambiente. • Muito importante, o diálogo falado, pois ao falar, transporta-se a informação pelo ambiente (ar), do locutor ao interlocutor, e pode-se deixar vazar informações valiosas neste momento. • Descarte • Refere-se às ações de descarte e destruição das informações no meio em que se encontram.
Objetivos da Política de Seugrança • Alinhar as ações em segurança da informação com as estratégias de negócio; • Explicitar a visão da alta direção em relação à segurança da informação; • Exprimir o comprometimento da alta direção com a manutenção da segurança da informação; • Normatizar as ações referentes à segurança da informação; • Alinhar as ações em segurança da informação com as Leis e Regulamentações pertinentes; • Buscar conformidade com Normas externas e cláusulas contratuais;
Objetivos da Políticas de Segurança • Instruir sobre procedimentos relativos à segurança da informação; • Delegar responsabilidades; • Definir requisitos de Conscientização, Educação e Treinamentos; • Definir ações disciplinares; • Alinhar ações em segurança da informação com a continuidade do negócio; • Ser o pilar de sustentação da segurança da informação; dentre outros.
Documentos de uma Política de Segurança • Política de Segurança • É o conjunto de todos os documentos; • Carta do Presidente • Pode ser do Conselho, da Diretoria ou outra, mas deve ser do alto escalão da empresa, demonstrando o comprometimento com a questão e esclarecendo os motivos para tal; • Diretrizes para Segurança da Informação • Sintetização do que a Empresa espera que seja feito em relação ao assunto. São diretriz de alto nível, aplicáveis em qualquer ambiente da empresa e sem termos técnicos.
Documentos de uma Política de Segurança • Exemplos: • Todos os usuários de sistemas e informações deverão ter acesso gerenciado por identidade; • Todas as informações deverão ser classificadas e ter medidas de proteção de acordo com a classificação e risco; • Os recursos de informação deverão ter sua continuidade preservada; • Normas de Segurança da Informação • Podem ser gerais (para quem usa) ou específicas (para quem cuida). • São as determinações a serem seguidas por todos ou por aqueles que participam de determinados processos.
Documentos de uma Política de Segurança • Procedimentos • Explica como as Normas devem ser seguidas, podendo detalhar os procedimentos relevantes do processo normatizado, visando facilitar o entendimento e aplicação das mesmas. • Nos procedimentos devem ter informações do tipo: Como, quando, quem, onde e porque. Procedimentos são mandatórios. • Exemplos: • Os backups de bancos de dados deverão ser realizados com periodicidade mínima diária, utilizando tecnologias e processos que preservem a confidencialidade, disponibilidade e integridade das informações;
Documentos de uma Política de Segurança • Instruções • São os documentos mas detalhados, normalmente técnicos, de como configurar, manipular ou administrar recursos tecnológicos, ou então manuais de processos operacionais. • Exemplos: • Para criação de novos usuários, usar o tamplate ‘New_User’; • Guide lines (guias) • São explicações de tarefas que fazem parte de procedimentos e processos normatizados.