Politica de Segurança e Ética
Politica de Segurança
Ameaça
Causa potencial de um incidente, que caso se
concretize pode resultar em dano.
Vulnerabilidade
Falha (ou conjunto) que pode ser explorada por ameaças
Insidente
Evento
que
comprometa
operação do
negócio ou
cause dano aos ativos da
organização.
Impacto
• Resultado dos incidentes
Impacto
Análise de Riscos
Transfere
Mitiga
Aceita
Reduz
Probabilidade
Análise dos Riscos
Ativo Inatingivél?
Um ativo intangível é um
ativo não monetário
identificável sem
substância física ou,
então, o ágio pago por
expectativa de
rentabilidade futura
(goodwill)”
Fonte: http://www.cpc.org.br
Assinatura Digital
• Método de autenticação de informação digital
tipicamente tratada como análoga à assinatura física em
papel.
• Assinatura eletrônica, por vezes confundido, tem um
significado diferente: refere-se a qualquer mecanismo,
não necessariamente criptográfico, para identificar o
remetente de uma mensagem eletrônica.
• A legislação pode validar tais assinaturas eletrônicas
como endereços Telex e cabo, bem como a transmissão
por fax de assinaturas manuscritas em papel.
Assinatura Digital
Assinatura Digital
Tempo
• Certifica a autenticidade
temporal(data e hora) de
arquivos eletrônicos
• Sincronizado a “Hora
LegalBrasileira”
Caracteristicas
• Que características deve se conter uma política de
segurança.
Confidencialidade
• Pode ser manipulada por
um número reduzido de
pessoas ou um setor da
empresa
Tipos de Confidencialidade
• Restrita – Informação restrita pode ser manipulada por contingente
maior de pessoas ou um nível hierárquico, como por exemplo o
plano estratégico da empresa que pode ser visto até no nível
hierárquico de diretoria;
• Interna – Este tipo de informação deve ser limitado à da empresa,
como as listas de ramais, memorandos internos, norma internas,
manuais, etc.;
• Pública – Estas informações podem também ser divulgadas ao
público ou publicadas em revistas, sites, etc. Informações públicas
podem também ser conhecidas como ‘não classificadas’, pois
entende-se que se não foi classificada é porque é pública.
• Isso pode trazer sérios problemas para a empresa, pois uma falha
de classificação pode expor informações confidenciais ao público. O
mais seguro seria adotar que tudo o que não é classificado é
interna.
Integridade
• Qualquer alteração da
mensagem faz com que
a assinatura não
corresponda mais ao
documento
Integridade
• Garantia de que as informações serão protegidas contra alterações
não autorizadas e mantidas a exatidão das mesmas, tal qual como
foi armazenada e disponibilizada.
• Deve permanecer integra para quando for recuperado. Para que
isso seja verdadeiro não poderá sofrer interferência alguma que o
modifique, seja por falhas intencionais ou não.
• Os métodos de processamento, normalmente sistemas, devem
também ter a integridade preservada, pois uma alteração num
sistema pode comprometer as informações resultantes do
processamento.
• Este conceito não garante que os dados estejam corretos, pois se
forem armazenados errados, assim permanecerão até que uma
entidade autorizada os corrija.
Disponibilidade
• A informação deve esta disponível sempre que
necessário, mas apenas para aqueles que tem
permissão e para uso devido.
Disponibilidade
•
Garantia de que as informações estarão disponíveis onde e quando as
entidades autorizadas necessitarem, com total segurança.
•
A informação não tem valor para a empresa caso não esteja disponível
quando for requisitada.
•
Ataques tentam derrubar este pilar da segurança por meio da negação de
serviço.
•
A manutenção deste pilares da segurança da informação só será atingida
se houver a integração entre segurança física e do ambiente, tecnológica e
em pessoas como já foi apresentado.
Autenticação
• Processo de autenticar uma entidade como sendo aquela que
se apresenta.
• Entende-se por entidade, pessoas, sistemas, redes ou qualquer
outra parte que necessite de identificação para que possa
manipular as informações.
• Este aspecto é de suma importância para a manutenção da
segurança da informação, pois se não for possível autenticar a
entidade toda a cadeia de segurança estará comprometida,
seja por permitir acesso à entidade falsa ou negar acesso à
entidade legítima.
• Pode-se dizer que a negação de serviço é melhor que a
autorização indevida, mas isso deve ser muito bem resolvido
pela empresa, pois nem sempre isso pode ser verdadeiro.
Autorização
• Processo de concessão de direitos para que uma entidade
autenticada acesse as informações somente com as permissões a
ela atribuída. (ler, gravar, modificar, apagar, executar, visualizar).
• Dependente da autenticação, pois se for autenticada uma entidade
falsa como verdadeira, esta receberá todas as permissões
atribuídas à verdadeira como se ela fosse.
• Utilizar o preceito de mínimo privilegio,
• Realmente é necessário que a entidade tenha acesso a
determinadas informações ou sistemas para cumprir suas funções,
em caso negativo o acesso deve ser negado.
Auditoria
•
Processo de registrar as ações realizadas pelas entidades durante a
interação com as informações e sistemas.
•
Determinar com precisão quem, quando e o que foi feito nos sistemas de
informações e repositórios de dados.
•
Responsabilizar violação de normas e quebras de segurança. Registro de
trilhas de auditoria deve se dar em todos os ambientes da empresa, tanto
físicos quanto lógicos.
•
Coleta de ‘logs’, arquivos que registram todos os eventos configurados para
serem registrados e com a riqueza de detalhes que for necessário à
empresa.
•
Criação de um manual de acesso a determinadas dependências da
empresa também pode ser considerado trilha de auditoria, assim como
câmeras de vigilância e outros dispositivos de monitoração.
•
Utilizar a sigla AAA, de Autenticação, Autorização e Auditoria
Autenticidade
• Processo que certifica a legitimidade das informações,
quer seja de credenciais de acesso que autenticam as
entidades ou que as informações por estas entidades
transmitidas são autênticas, assim como a entidade
remetente ou destinatária como legítima.
• Os certificados digitais, que inclusive já tem valor
jurídico e provê a irrevogabilidade, vêm sendo utilizados
principalmente em assinatura de documentos, cifração
em trocas de mensagens e autenticação de entidades.
• A biometria vem ganhando espaço principalmente para
controle de acesso e autenticação de usuários.
Não repudio
• Característica
das
informações que garante o
não repúdio, seja referente à
autenticidade de documentos
ou transações financeiras e
comerciais.
• Mais uma vez o certificado
digital (assinatura eletrônica),
juntamente
com
as
certificadoras de tempo, estão
se apresentando como as
tecnologias mais adequadas à
esta tarefa, muitas vezes já
com garantia jurídica nos
processo.
Legabilidade
• Característica
das
informações
estarem
em
conformidade legal, assim como os processos que as
manipulam e provê validade jurídica.
• As informações devem ser mantidas dentro das
determinações legais.
• As assinaturas digitais de documentos, que só terão
efeito legal se forem feitas com certificados digitais
fornecidos por Entidades Certificadoras.
• Transações comerciais e financeiras entre o Sistema
Financeiro ou Órgãos Governamentais é obrigatório que
as ACs sejam integrantes do ICP Brasil.
Auditabilidade
Deve haver informação relativa às ações de alteração ou
consulta de dados
Divisão
• Segurança Física e do Ambiente;
• Segurança Tecnológica;
• Segurança em Pessoas.
Física e
Ambiente
Tecnológica
Pessoas
Segurança Física e do
Ambiente
• Segurança pessoal
• Medidas a serem tomadas para garantir a segurança dos
funcionários, prestadores de serviços e pessoas chave da
organização;
• Segurança patrimonial
• Controles a serem implementados para garantir a segurança do
patrimônio
da
organização,
principalmente
daqueles
necessários à continuidade operacional;
• Segurança das edificações
• Cada tipo de atividade requer edificações apropriadas para tal,
com níveis de segurança estrutural e monitoração apropriada ao
negócio ou atividade realizada na edificação. Processos de
manutenção, brigadas de incêndio, controle ambiental e controle
de pestes podem ser considerados escopos da segurança das
edificações;
Segurança Física e do
Ambiente
• Segurança de infra-estruturas
• Infra-estrutura de cabeamento lógico (backbone de rede),
elétrica, de água, de condicionamento de ar, de exaustão, de
controle do ar, de detecção e combate a fogo, dentre outros,
devem ser protegidas e controladas. Devemos atentar para a
infra-estrutura interna e externa, esta última um pouco mais
complicada de gerenciar por estar, na maioria dos casos, fora do
controle da organização, mas nem por isso deve ser ignorada;
• Classificação de perímetros de segurança
• Áreas diferentes abrigam equipamentos e processos diferentes,
devendo, portanto, serem classificadas de acordo com suas
características, podendo ser: restrito, controlado e público, ou
outra classificação que atenda as necessidades de segurança;
Segurança Física e do
Ambiente
• Controles de acessos
• O acesso às instalações da organização deve ser controlado e
monitorado para que a segurança seja efetiva.
• Quando falamos em segurança física e de ambiente, boa parte
das ações serão tomadas para limitar o acesso às
dependências a serem protegidas. Sem o devido controle de
acesso, seja este administrativo e simples ou tecnológico e
complexo, a segurança será falha.
Segurança Física e do
Ambiente
• Eventos naturais
• A natureza é bela e perfeita, não podemos contestar isso, mas
em muitas situações acaba por colocar em risco a segurança
das organizações. Raios, enchentes, chuvas de granizo,
temporais, ventanias, terremotos; maremotos; calor; etc. podem
afetar a continuidade operacional da organização caso esta não
mesure os riscos e implemente as medidas necessárias de
segurança.
• Eventos sociais
• Muitos eventos sociais podem acabar por afetar a segurança
das empresas, em diversos níveis e situações. A disponibilidade
a pode ser afetada caso haja, por exemplo, uma mobilização
social nas imediações da empresa, podem ter suas
dependências invadidas. Mesmo ações individuais, seja por
imprudência ou sabotagem, podem levar a empresa a situações
como as acima apresentadas.
Segurança Lógica e
Sistêmica
• Perímetro lógico de segurança
• A composição lógica das redes da organização pode ser
composta por várias redes.
• Requerem níveis diferentes de segurança. Não se pode dar a
mesma atenção para a rede onde estão alocados os servidores
de produção e a rede onde estão os servidores públicos.
• O firewall é a ferramenta mais utilizada para segmentação de
perímetros lógicos de segurança.
• Regras de permissão e / ou negação de acesso, regras estas
que definem quem pode entrar em qual rede e utilizando que
tipo de protocolo ou serviço.
• Roteadores têm a capacidade de auxiliar na segurança de
perímetro por meio de implementação de listas de acessos,
determinar regras de acesso (endereço IP e protocolos) às
redes por trás deles.
• Redes
Segurança Lógica e
Sistemica
• Devem ser providas de mecanismos de monitoração, detecção
e proteção contra códigos maliciosos, assim como contra
ataques e intrusões. Para monitoração podem ser utilizadas
ferramentas Sniffer, que capturam tráfego da rede para estudo e
monitoração.
• Segurança de sistemas e Hosts
• Deve ser prevista e implementada desde a concepção e projeto
dos sistemas e aplicativos, pois é quase impossível e inviável
economicamente a implementação posterior.
• Softwares especialistas de terceiros, como Host IDS, antivírus,
sistemas de controle de acesso, etc.
• Cuidado no processo de desenvolvimento, implementando a
segregação de ambientes e funções, assim como controle
eficiente de homologações, versões e atualizações dos sistemas
de produção.
Segurança Lógica e
Sistemica
• Controle de acesso
• Parte de extrema importância da segurança.
• Funcionalidades: Autenticação, Autorização e Auditoria.
• Bancos de dados não passam, simplificadamente falando, de
repositórios de dados.
• Acessos a estes dados deve ser previsto desde a concepção e
estruturação do banco de dados, podendo, e devendo, ser feito
de maneira integrada aos sistemas que farão a interação entre
os usuários e o banco de dados.
Segurança de Pessoas
• Engenharia social
• Técnica que é utilizada em larga escala por engenheiros sociais,
hackers e crackers, espiões, curiosos, estelionatários, dentre
outros. A maioria das espionagens industriais e comerciais se
dá por engenharia social, e quando esta não é a principal
técnica empregada pelos espiões, é utilizada no mínimo como
auxiliar para outras técnicas.
• Acompanhamento de pessoal
• As organizações são compostas fundamentalmente por
pessoas, às quais estão sujeitas a alterações de comportamento
de acordo com diversos fatores, tais como humor, problemas
familiares, financeiros, com drogas, com doenças, chantagem,
dentre outras tantas.
Segurança de Pessoas
• Conscientização
• Peça chave na implementação da segurança da informação.
• As pessoas devem estar cientes e conscientes da necessidade
da segurança das informações, bem como do valor dessas
informações, assim como o risco e o impacto que a violação da
segurança poderá causar à organização e consequentemente
para as pessoas que nela trabalham.
• Se as pessoas não entenderem e aceitarem os argumentos
apresentados pela organização a segurança poderá não ser
efetiva.
Segurança de Pessoas
• Educação
• É muito comum as empresas desenvolverem Política de
Segurança, tomarem muitas das medidas necessárias à
segurança da informação sem dar a devida atenção e o devido
investimento à educação de seus funcionários.
• Abrir uma enorme lacuna de segurança se alguns cuidados não
forem tomados para certificar que as informações apresentadas
são realmente verdadeiras e confiáveis.
• A engenharia social nada mais é do que uma técnica para
explorar algumas características humanas como ego, vaidade,
ambição,
confiança,
medo,
bondade,
reciprocidade,
corporativismo, coleguismo, dentre outras.
• Pessoas não forem educadas em como agir nas situações que
podem causar incidentes de segurança e colocar as
informações em risco, com certeza a segurança será violada e a
organização será prejudicada.
Segurança de Pessoas
• Gerência de mudança
• A implementação da segurança da informação comumente
provoca inúmeras e profundas mudanças nas organizações.
• Mudanças devem ser acompanhadas e gerenciadas por uma
pessoa que tenha bom relacionamento pessoal e
interdepartamental e com liderança e autoridade suficiente para
contornar problemas que surgirão em decorrência dessas
mudanças.
• Resistência por parte do pessoal, quer seja por perda de direitos
nos sistemas, maior monitoração e controle, falta de
entendimento dos objetivos da maior segurança, etc., mas tal
resistência deve ser contornada com medidas de
conscientização e em último caso com medidas de reforço prêmios e ou punições.
Segurança de Pessoas
• Quebra de paradigma social
• Um dos paradigmas a serem quebrados é o da posse.
• Este comportamento fará com que as pessoas apresentem
resistência às mudanças que acabarão por aumentar o controle
e a monitoração, e ninguém gosta de ter ‘suas’ coisas
monitoradas por terceiros.
• Deve-se reforçar, durante a conscientização e educação, que os
bens, ferramentas e informações pertencem à organização, que
têm real valor para esta e por isso necessitam de monitoração e
controle, o que acabará por proteger, por consequência,
também os interesses dos funcionários
Segurança de pessoas
• Controle e monitoração
• As normas de segurança descritas na política de segurança
devem ser seguidas por toda a organização, e para que se
meça a aderência e obediência às normas é necessário que
haja monitoração das ações previstas.
• A monitoração não deverá ser utilizada como fonte de ameaças
e punições, mas sim para correções e ajustes das normas, dos
comportamentos e das tecnologias aplicadas.
• Se deixe claro que o controle e a monitoração são para proteger
as informações e os recursos da organização e não para
‘bisbilhotar’ as ações dos funcionários, deixando claro que a
privacidade será preservada, desde que não coloque a
segurança em risco, e tais ações se darão por meio de
processos transparentes estabelecidos pela organização.
Segurança de Pessoas
• Causas de incidentes não intencionais:
• Falta de treinamento, desatenção, falta de comprometimento,
imperícia ou imprudência, negligência, dentre outros.
• Causas de incidentes intencionais:
• Sabotagens, facilitações,
engenharia social, etc.
espionagens,
ataques
hackers,
• Incidentes com causas não humanas, que podem ser
tecnológicas e naturais:
• Falhas de sistemas, falhas de hardware, falhas de infraestrutura, tempestades, alagamentos, raios etc.
Ciclo de Vida da Informação
• Deve ser protegida durante todo seu ciclo de vida.
• Os requisitos de segurança podem variar de acordo com
a realidade.
Fases do Ciclo
• Manipulação
• Todo ato de manuseio da informação durante os processos de
criação, alteração e processamento.
• É onde ocorre a maioria das falhas de segurança.
• Armazenamento
• Armazenamento e arquivamento da informação em meios
digitais, magnéticos ou qualquer outro que a suporte.
• A informação deve estar salvaguardada dos riscos a que está
sujeita, tendo preservadas a Confidencialidade, Integridade e
Disponibilidade, de acordo com a necessidade de cada tipo de
informação.
Fases do Ciclo
• Transporte
• Todos os atos de movimentação e transferência da informação,
seja entre processos, mídias ou entidades internas ou externas.
• Requer atenção especial devido estarem fora do perímetro de
segurança do ambiente.
• Muito importante, o diálogo falado, pois ao falar, transporta-se a
informação pelo ambiente (ar), do locutor ao interlocutor, e
pode-se deixar vazar informações valiosas neste momento.
• Descarte
• Refere-se às ações de descarte e destruição das informações
no meio em que se encontram.
Objetivos da Política de
Seugrança
• Alinhar as ações em segurança da informação com as
estratégias de negócio;
• Explicitar a visão da alta direção em relação à
segurança da informação;
• Exprimir o comprometimento da alta direção com a
manutenção da segurança da informação;
• Normatizar as ações referentes à segurança da
informação;
• Alinhar as ações em segurança da informação com as
Leis e Regulamentações pertinentes;
• Buscar conformidade com Normas externas e cláusulas
contratuais;
Objetivos da Políticas de
Segurança
• Instruir sobre procedimentos relativos à segurança da
informação;
• Delegar responsabilidades;
• Definir requisitos de Conscientização, Educação e
Treinamentos;
• Definir ações disciplinares;
• Alinhar ações em segurança da informação com a
continuidade do negócio;
• Ser o pilar de sustentação da segurança da informação;
dentre outros.
Documentos de uma Política
de Segurança
• Política de Segurança
• É o conjunto de todos os documentos;
• Carta do Presidente
• Pode ser do Conselho, da Diretoria ou outra, mas deve ser do
alto escalão da empresa, demonstrando o comprometimento
com a questão e esclarecendo os motivos para tal;
• Diretrizes para Segurança da Informação
• Sintetização do que a Empresa espera que seja feito em relação
ao assunto. São diretriz de alto nível, aplicáveis em qualquer
ambiente da empresa e sem termos técnicos.
Documentos de uma Política
de Segurança
• Exemplos:
• Todos os usuários de sistemas e informações deverão ter
acesso gerenciado por identidade;
• Todas as informações deverão ser classificadas e ter medidas
de proteção de acordo com a classificação e risco;
• Os recursos de informação deverão ter sua continuidade
preservada;
• Normas de Segurança da Informação
• Podem ser gerais (para quem usa) ou específicas (para quem
cuida).
• São as determinações a serem seguidas por todos ou por
aqueles que participam de determinados processos.
Documentos de uma Política
de Segurança
• Procedimentos
• Explica como as Normas devem ser seguidas, podendo detalhar
os procedimentos relevantes do processo normatizado, visando
facilitar o entendimento e aplicação das mesmas.
• Nos procedimentos devem ter informações do tipo: Como,
quando, quem, onde e porque. Procedimentos são mandatórios.
• Exemplos:
• Os backups de bancos de dados deverão ser realizados com
periodicidade mínima diária, utilizando tecnologias e processos
que preservem a confidencialidade, disponibilidade e integridade
das informações;
Documentos de uma Política
de Segurança
• Instruções
• São os documentos mas detalhados, normalmente técnicos, de
como configurar, manipular ou administrar recursos
tecnológicos, ou então manuais de processos operacionais.
• Exemplos:
• Para criação de novos usuários, usar o tamplate ‘New_User’;
• Guide lines (guias)
• São explicações de tarefas que fazem parte de procedimentos e
processos normatizados.
Norma
NBR ISO/IEC 17799:2005 (ou 27001
e 27002)
- Diretivas de Segurança da Informação;
- Norma de Gestão de Segurança da Informação (GSI);
- Norma de Contratação e Demissão de Colaboradores;
- Norma de Contratação de Serviços de Terceiros;
- Norma de Conscientização, Educação e Treinamento em Segurança
da Informação;
- Norma de Utilização de Sistemas de Comunicação (e-mail, MSN.
ICQ, etc.);
- Norma de Acesso à Internet e Redes de Terceiros;
- Norma de Controle de Acesso e Administração de Usuários;
Norma
NBR ISO/IEC 17799:2005 (ou 27001
e 27002)
- Norma de Classificação da Informação;
- Norma de Classificação de Ativos;
- Norma de Classificação de Ambientes;
- Norma de Segurança e Gerenciamento de Mídias;
- Norma de Segurança Física e de Ambiente;
- Norma de Gerenciamento de Ativos, Configuração e Controle de
Mudanças;
- Norma de Auditoria e Análise Crítica;
- Norma de Backup e Recuperação de Informações e Sistemas;
- Norma para Análise de Riscos e Avaliação de Impactos;
- Norma de Gestão de Continuidade Operacional; dentre outras
normas que forem necessárias.
Fim