Segurança na Web
Cap. 2: Políticas de Segurança e Respostas
Prof. Roberto Franciscatto
4º Free
Semestre
- TSITemplates
- CAFW
Powerpoint
Page 1
Introdução
• Estar derrotado é sempre uma condição
temporária. Desistir é o que o torna permanente
Marlene vos Savant
Free Powerpoint Templates
Page 2
Políticas de Segurança e Respostas
• Possuir políticas de segurança é o primeiro e
mais essencial passo em proteger e assegurar a
sua rede.
• As políticas fornecem a base para se definir:
• o que é aceitável e
• o comportamento apropriado
empresa e rede.
dentro da sua
• No nível mais fundamental, as políticas formam a
‘regra da lei’ contra as quais todos os demais são
julgados
Free Powerpoint Templates
Page 3
Políticas de Segurança e Respostas
• Utilidades de uma política de segurança:
• Define as expectativas para procedimentos
• Define o comportamento apropriado
• Fornece a base para ações de RH caso
ocorram comportamentos inaceitáveis
• Define regras e responsabilidades para cada
grupo na proteção da empresa
• Embasa ações de processo legal caso ocorra
comportamento inaceitável
Free Powerpoint Templates
Page 4
Políticas de Segurança e Respostas
• Utilidades de uma política de segurança:
• Permite que as ferramentas exigidas sejam
definidas, justificando-se os investimentos na
segurança de redes
Free Powerpoint Templates
Page 5
Políticas de Segurança e Respostas
• Possuir uma política de segurança permite e
capacita a todos na empresa:
• compreender claramente quem é responsável pelo que
e define políticas e processos para cada departamento
dentro da sua organização.
Free Powerpoint Templates
Page 6
Políticas de Segurança e Respostas
• A partir da política de segurança o time de TI,
saberá:
•
•
•
•
•
o que configurar nos servidores
as ferramentas que precisam
as regras para o firewall
as definições de redes privadas virtuais (VPN)
etc...
Free Powerpoint Templates
Page 7
Políticas de Segurança e Respostas
• Políticas de segurança mais comuns
• SANS – Security Policy Project
(http://www.sans.org/resources/policies)
• Criptografia aceitável
• Fornece um guia que limita o uso da criptografia
aqueles algoritmos que tenham recebido revisão pública
substancial.
Free Powerpoint Templates
Page 8
Políticas de Segurança e Respostas
• Uso aceitável
• Descreve
quem
pode
usar
computadores
equipamentos de rede possuídos pela empresa.
e
• Auditoria
• Fornece a autoridade para que membros do time do
Departamento de Segurança da Informação para
conduzir um auditoria de segurança
• Encaminhamento automático de e-mail
• Impede o envio não autorizado ou inadvertido de
informações sensíveis da empresa
Free Powerpoint Templates
Page 9
Políticas de Segurança e Respostas
• Extranet
• Descreve a política sob a qual organizações externas se
conectam as redes da empresa para fins de transações
comerciais
• Anti-vírus
• Estabelece exigências que devem ser cumpridas por
todos os computadores conectados às redes da empresa
para garantir a detecção e prevenção efetiva de vírus
Free Powerpoint Templates
Page 10
Políticas de Segurança e Respostas
• Senha
• Estabelecem um padrão para a criação de senhas
seguras, aproteção destas senhas e a frequência efetiva
de vírus.
• Acesso Remoto
• Define os padrões para se conectar a rede da empresa
apartir de qualquer ponto.
• Comunicação sem fio
• Estabelece padrões para acesso a rede da empresa via
mecanismos de comunicação sem fio (wireless)
Free Powerpoint Templates
Page 11
Políticas de Segurança e Respostas
• Impacto das Políticas de Segurança:
• Usuário Genérico: devido aos usuários acessarem
recursos de rede sua política terá maior impacto neles.
• Time de Gerenciamento: este grupo é responsável
em proteger os recursos e dados da empresa enquanto
faz o monitoramento
• Outros...
Free Powerpoint Templates
Page 12
Políticas de Segurança e Respostas
• Descrição genérica do conteúdo de uma Política
de Segurança
1.
Visão Geral: justifica a razão para a política e
identifica riscos que a política contempla
2.
Propósito: explica por que a política existe e a meta
que foi escrita para obtê-la
3.
Abrangência: define as pessoas cobertas pela
política. Isto pode variar de um simples grupo de um
departamento a toda a empresa
Free Powerpoint Templates
Page 13
Políticas de Segurança e Respostas
• Descrição genérica do conteúdo de uma Política
de Segurança
4. Política: esta é a própria política. É normalmente
quebrada em diversas subseções. Exemplos são
sempre usados para ilustrar os pontos ou facilitar a
compreensão do usuário.
5. Obrigações: Define a penalidade por falha em seguir
a política, de forma que uma série de sanções pode
ser aplicada. A demissão é normalmente a penalidade
mais severa, mas em alguns casos, o processo
criminal deverá ser listado como uma opção.
Free Powerpoint Templates
Page 14
Políticas de Segurança e Respostas
• Descrição genérica do conteúdo de uma Política
de Segurança
6. Definições: quaisquer termos que possam estar
pouco claros ou ambíguos devem ser listados e
definidos aqui.
7. Revisão histórica: Datas, alterações e razões são
listadas aqui. Isso se amarra às obrigações, no
sentido que a infração deve ser medida contra as
regras impostas no momento em que ocorreram, não
necessariamente quando foi descoberta.
Free Powerpoint Templates
Page 15
Políticas de Segurança e Respostas
• Membros do Time de Revisão Política
Segurança (do SANS Security Policy Project)
de
• Alta Administração: alguém que possa aplicar a
política. Este é normalmente um membro sênior da
equipe de RH.
• Departamento de Segurança da Informação:
alguém que possa prover informações e detalhes técnicos
• Áreas de usuários: alguem que possa ver as políticas
da forma que um usuário as vê.
• Publicações: alguém que possa fazer sugestões para
se comunicar as políticas para os membros da
organização e fazerFree
com
que eles
as comprem.
Powerpoint
Templates
Page 16
Políticas de Segurança e Respostas
• Política de senhas
• Disponível em: http://www.sans.org
• Visão Geral
• Senhas são um aspecto importante da segurança da
informação.
• Elas são a primeira linhade proteção para as contas
de usuário.
• Uma senha mal escolhida pode resultar
comprometimento de toda a rede corporativa.
no
• Demais aspectos que compreendem a visão geral
acerca do assunto
Free Powerpoint Templates
Page 17
Políticas de Segurança e Respostas
• Política de senhas
• Propósito
• Objetivos claros
• Ex.: o propósito desta política é estabelecer um
padrão para a criação de senhas robustas, a proteção
destas senhas, e para definir a frequencia com que
elas devem ser alteradas.
Free Powerpoint Templates
Page 18
Políticas de Segurança e Respostas
• Política de senhas
• Abrangência
• A abrangência desta política inclui todo o pessoal
que possui ou é responsável por uma conta
• A abrangência desta conta diz respeito a qualquer
sistema que resida em qualquer instalação da
‘Empresa A’
• Ex.: conta para diversos serviços (www, FTP,
SSH, mail, etc...)
Free Powerpoint Templates
Page 19
Políticas de Segurança e Respostas
• Política de senhas
• Política Geral
• Todas as senhas a níveis de sistema (por exemplo,
raiz, NT admin, contas de administração de
aplicativos e assim por diante)
• devem ser
trimestrais
alteradas
pelo
menos
Free Powerpoint Templates
em
bases
Page 20
Políticas de Segurança e Respostas
• Política de senhas
• Política Geral
• Todas as senhas em nível de produção devem ser
parte do BD global de senhas, administrados pelo
Time de Segurança Corporativa
• Todas as senhas em nível de usuário devem ser
alteradas pelo menos a cada seis meses
• O intervalo de alteração recomendado é a cada
quatro meses
Free Powerpoint Templates
Page 21
Políticas de Segurança e Respostas
• Política de senhas
• Política Geral
• As contas de usuário que possuem privilégios em
nível de sistema fornecido por pertencer a grupos ou
programas como administrador devem ser diferentes
de todas as demais senhas possuídas pelo usuário.
• As senhas não devem ser inseridas em mensagens
de e-mail nem em outras formas de comunicação
eletrônica.
Free Powerpoint Templates
Page 22
Políticas de Segurança e Respostas
• Política de senhas
• Política Geral
• Onde for usado o SNMP, as ‘community strings’
devem ser definidas para algo diferente dos valores
padrão ‘public’, ‘private’ e ‘system’
• e por sua vez, devem ser diferentes das senhas
usadas para se conectar interativamente.
• Problemas aqui (ou solução -) ):
www.cirt.net/passwords
Free Powerpoint Templates
Page 23
Políticas de Segurança e Respostas
• Política de senhas
• Diretrizes gerais para construção de senhas
• Senhas são usadas para diversos propósitos junto a
‘Empresa A’.
• Alguns dos usos mais comuns, incluem:
•
•
•
•
•
Contas em nível de usuário
Contas da web
Contas de e-mail
Protetor de tela
Correio de voz, etc...
• Devido a poucos sistemas suportarem uma única
senha, é necessário
criar um senha
robusta
Free Powerpoint
Templates
Page 24
Políticas de Segurança e Respostas
• Política de senhas
• Diretrizes gerais para construção de senhas
• Senhas fracas
característica:
e
pobres
possuem
a
seguinte
• a senha contém menos de 08 caracteres
• a senha é uma palavra encontrada em
dicionário (inglês ou estrangeiro)
• a senha é uma palavra de uso comum
Free Powerpoint Templates
Page 25
Políticas de Segurança e Respostas
• Política de senhas
• Diretrizes gerais para construção de senhas
• Dica: uma lista de palavras é simplesmente uma
lista de palavras como:
•
•
•
•
palavras de um dicionário
times esportivos,
termos industriais
palavras de gírias, nomes, etc...
• todas estas listas estão disponíveis em diversas
línguas diferentes na internet
Free Powerpoint Templates
Page 26
Políticas de Segurança e Respostas
• Política de senhas
• Diretrizes gerais para construção de senhas
• os atacantes usam estas listas de palavras como
base para um ataque, esperando que alguém use
uma derivação de uma palavra encontrada em uma
destas listas
• Ex.: http://wordlist.sourceforge.net
Free Powerpoint Templates
Page 27
Políticas de Segurança e Respostas
• Política de senhas
• Diretrizes gerais para construção de senhas
• Exemplos
de senhas
fracas ou
vulneráveis
Free Powerpoint Templates
Page 28
Políticas de Segurança e Respostas
• Política de senhas
• Diretrizes gerais para construção de senhas
• Os números das senhas fracas ou vulneráveis
Free Powerpoint Templates
Page 29
Políticas de Segurança e Respostas
• Política de senhas
• Diretrizes gerais para construção de senhas
• Os números
das senhas
fracas ou
vulneráveis
Free Powerpoint Templates
Page 30
Políticas de Segurança e Respostas
• Política de senhas
• Diretrizes gerais para
construção de senhas
• Como criar uma
senha segura
Free Powerpoint Templates
Page 31
Políticas de Segurança e Respostas
• Política de senhas
• Padrões de proteção de senhas
• Não use a mesma senha para contas da ‘Empresa A’
ou para acesso fora da ‘Empresa A’
• Não compartilhe senha com ninguém, incluindo
assistentes administrativos ou secretárias.
• Todas as senhas devem ser tratadas como sensíveis
e informação confidencial da ‘Empresa A’
Free Powerpoint Templates
Page 32
Políticas de Segurança e Respostas
• Política de senhas
• Padrões de proteção de senhas
• Segue uma lista de ‘não faça jamais’:
• não forneça a senha pelo telefone a NINGUÉM
• não forneça a senha em uma msm de e-mail
• não fale sobre a sua senha na frente dos outros
• não dê dica do formato de senha
• não compartilhe a senha com membros familiares
• não forneça a senha para colegas enquanto estiver
de férias
Free Powerpoint Templates
Page 33
Políticas de Segurança e Respostas
• Política de senhas
• Penalidades
• Qualquer funcionário encontrado em violação destas
políticas estará sujeito a senções disciplinares, incluindo
a demissão do emprego.
Free Powerpoint Templates
Page 34
Políticas de Segurança e Respostas
• Política de senhas
• Conclusão
• Toda a política de segurança termina com poucos
elementos comuns.
• Estes elementos esclarecem toda a confusão ou má
comunicação por parte do usuário.
• agora que ele compreende o que é permitido e o que
não é.
Free Powerpoint Templates
Page 35
Políticas de Segurança e Respostas
• Política de senhas
• Conclusão
1.
Penalidades – o elemento mais importante é a
penalidade e as ramificações para um funcionário na
eventualidade desta políticas serem violadas
2.
Definições – nem todo funcionário ou usuário
compreende algumas das terminologias usadas
nesta política
•
Portanto, é sempre uma boa ideia se fornecer
ainda outro nível de esclarecimento
Free Powerpoint Templates
Page 36
Políticas de Segurança e Respostas
• Política de senhas
• Conclusão
3. Revisões – sempre se faz alterações a este tipo de
políticas
•
A origem destas alterações mudam com o tempo
•
Entretanto, pode haver uma alteração na
gerência, novas leis, ou talvez uma explicação
para leis antigas, etc...
•
Todos estes fatores podem provocar alteração na
política, e é aconselhável se documentar estas
alterações
Free Powerpoint Templates
Page 37
Políticas de Segurança e Respostas
• Certificação ISO e segurança
• A ISO oferece muitos padrões e todos são valiosos por si só.
• ISO 17799 (Segurança da Informação – www.iso.org)
• Plano de continuidade de negócios
• Controle de acesso ao sistema
• Desenvolvimento e manutenção de sistemas
• Segurança física e ambiental
• Segurança pessoal
• Organização de segurança
• Gerenciamento de computadores e operações
Free Powerpoint
Templates
• Classificação e controle
de bens
Page 38
Políticas de Segurança e Respostas
• Amostras de políticas de segurança na
internet
• http://www.security.kirion.net/securitypolicy/
• http://www.network-and-it-security-policies.com/
• http://www.sans.org/security-resources/policies/
Free Powerpoint Templates
Page 39
Políticas de Segurança e Respostas
• Exercícios
• Em
duplas, projetar
laboratórios do CAFW
uma
política
de
utilização
dos
• horários, quem pode utilizar, o que pode fazer, o que
não pode, penalizações, entre outros aspectos que a
dupla julgar relevante
• Contemplar no projeto os seis pilares principais:
• visão geral, propósito, abrangência,
obrigações, definições e revisão histórica
política,
Enviar por email para: [email protected]
Free Powerpoint Templates
Page 40
Políticas de Segurança e Respostas
• Exercícios (2)
1. Quão importante é envolver outros departamentos
funcionários na criação das políticas de segurança?
e
2. Verdadeiro ou falso: é um fato bem sabido que os usuários
contornam as políticas de segurança que são muito restritivas.
Explique sua resposta
3. Quais são as três coisas que você deve ter em mente quando
escrever ou revisar a política de segurança?
4. Por que é importante incluir uma seção de penalidades em
cada política de segurança?
5. Uma Política de Uso Aceitável define que tipo de expectativas
dos usuários?
6. Quão frequentemente as políticas de segurança devem ser
Free Powerpoint Templates
atualizadas ou revisadas?
Page 41