Politica de Segurança e Ética Politica de Segurança Ameaça Causa potencial de um incidente, que caso se concretize pode resultar em dano. Vulnerabilidade Falha (ou conjunto) que pode ser explorada por ameaças Insidente Evento que comprometa operação do negócio ou cause dano aos ativos da organização. Impacto • Resultado dos incidentes Impacto Análise de Riscos Transfere Mitiga Aceita Reduz Probabilidade Análise dos Riscos Ativo Inatingivél? Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)” Fonte: http://www.cpc.org.br Assinatura Digital • Método de autenticação de informação digital tipicamente tratada como análoga à assinatura física em papel. • Assinatura eletrônica, por vezes confundido, tem um significado diferente: refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem eletrônica. • A legislação pode validar tais assinaturas eletrônicas como endereços Telex e cabo, bem como a transmissão por fax de assinaturas manuscritas em papel. Assinatura Digital Assinatura Digital Tempo • Certifica a autenticidade temporal(data e hora) de arquivos eletrônicos • Sincronizado a “Hora LegalBrasileira” Caracteristicas • Que características deve se conter uma política de segurança. Confidencialidade • Pode ser manipulada por um número reduzido de pessoas ou um setor da empresa Tipos de Confidencialidade • Restrita – Informação restrita pode ser manipulada por contingente maior de pessoas ou um nível hierárquico, como por exemplo o plano estratégico da empresa que pode ser visto até no nível hierárquico de diretoria; • Interna – Este tipo de informação deve ser limitado à da empresa, como as listas de ramais, memorandos internos, norma internas, manuais, etc.; • Pública – Estas informações podem também ser divulgadas ao público ou publicadas em revistas, sites, etc. Informações públicas podem também ser conhecidas como ‘não classificadas’, pois entende-se que se não foi classificada é porque é pública. • Isso pode trazer sérios problemas para a empresa, pois uma falha de classificação pode expor informações confidenciais ao público. O mais seguro seria adotar que tudo o que não é classificado é interna. Integridade • Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento Integridade • Garantia de que as informações serão protegidas contra alterações não autorizadas e mantidas a exatidão das mesmas, tal qual como foi armazenada e disponibilizada. • Deve permanecer integra para quando for recuperado. Para que isso seja verdadeiro não poderá sofrer interferência alguma que o modifique, seja por falhas intencionais ou não. • Os métodos de processamento, normalmente sistemas, devem também ter a integridade preservada, pois uma alteração num sistema pode comprometer as informações resultantes do processamento. • Este conceito não garante que os dados estejam corretos, pois se forem armazenados errados, assim permanecerão até que uma entidade autorizada os corrija. Disponibilidade • A informação deve esta disponível sempre que necessário, mas apenas para aqueles que tem permissão e para uso devido. Disponibilidade • Garantia de que as informações estarão disponíveis onde e quando as entidades autorizadas necessitarem, com total segurança. • A informação não tem valor para a empresa caso não esteja disponível quando for requisitada. • Ataques tentam derrubar este pilar da segurança por meio da negação de serviço. • A manutenção deste pilares da segurança da informação só será atingida se houver a integração entre segurança física e do ambiente, tecnológica e em pessoas como já foi apresentado. Autenticação • Processo de autenticar uma entidade como sendo aquela que se apresenta. • Entende-se por entidade, pessoas, sistemas, redes ou qualquer outra parte que necessite de identificação para que possa manipular as informações. • Este aspecto é de suma importância para a manutenção da segurança da informação, pois se não for possível autenticar a entidade toda a cadeia de segurança estará comprometida, seja por permitir acesso à entidade falsa ou negar acesso à entidade legítima. • Pode-se dizer que a negação de serviço é melhor que a autorização indevida, mas isso deve ser muito bem resolvido pela empresa, pois nem sempre isso pode ser verdadeiro. Autorização • Processo de concessão de direitos para que uma entidade autenticada acesse as informações somente com as permissões a ela atribuída. (ler, gravar, modificar, apagar, executar, visualizar). • Dependente da autenticação, pois se for autenticada uma entidade falsa como verdadeira, esta receberá todas as permissões atribuídas à verdadeira como se ela fosse. • Utilizar o preceito de mínimo privilegio, • Realmente é necessário que a entidade tenha acesso a determinadas informações ou sistemas para cumprir suas funções, em caso negativo o acesso deve ser negado. Auditoria • Processo de registrar as ações realizadas pelas entidades durante a interação com as informações e sistemas. • Determinar com precisão quem, quando e o que foi feito nos sistemas de informações e repositórios de dados. • Responsabilizar violação de normas e quebras de segurança. Registro de trilhas de auditoria deve se dar em todos os ambientes da empresa, tanto físicos quanto lógicos. • Coleta de ‘logs’, arquivos que registram todos os eventos configurados para serem registrados e com a riqueza de detalhes que for necessário à empresa. • Criação de um manual de acesso a determinadas dependências da empresa também pode ser considerado trilha de auditoria, assim como câmeras de vigilância e outros dispositivos de monitoração. • Utilizar a sigla AAA, de Autenticação, Autorização e Auditoria Autenticidade • Processo que certifica a legitimidade das informações, quer seja de credenciais de acesso que autenticam as entidades ou que as informações por estas entidades transmitidas são autênticas, assim como a entidade remetente ou destinatária como legítima. • Os certificados digitais, que inclusive já tem valor jurídico e provê a irrevogabilidade, vêm sendo utilizados principalmente em assinatura de documentos, cifração em trocas de mensagens e autenticação de entidades. • A biometria vem ganhando espaço principalmente para controle de acesso e autenticação de usuários. Não repudio • Característica das informações que garante o não repúdio, seja referente à autenticidade de documentos ou transações financeiras e comerciais. • Mais uma vez o certificado digital (assinatura eletrônica), juntamente com as certificadoras de tempo, estão se apresentando como as tecnologias mais adequadas à esta tarefa, muitas vezes já com garantia jurídica nos processo. Legabilidade • Característica das informações estarem em conformidade legal, assim como os processos que as manipulam e provê validade jurídica. • As informações devem ser mantidas dentro das determinações legais. • As assinaturas digitais de documentos, que só terão efeito legal se forem feitas com certificados digitais fornecidos por Entidades Certificadoras. • Transações comerciais e financeiras entre o Sistema Financeiro ou Órgãos Governamentais é obrigatório que as ACs sejam integrantes do ICP Brasil. Auditabilidade Deve haver informação relativa às ações de alteração ou consulta de dados Divisão • Segurança Física e do Ambiente; • Segurança Tecnológica; • Segurança em Pessoas. Física e Ambiente Tecnológica Pessoas Segurança Física e do Ambiente • Segurança pessoal • Medidas a serem tomadas para garantir a segurança dos funcionários, prestadores de serviços e pessoas chave da organização; • Segurança patrimonial • Controles a serem implementados para garantir a segurança do patrimônio da organização, principalmente daqueles necessários à continuidade operacional; • Segurança das edificações • Cada tipo de atividade requer edificações apropriadas para tal, com níveis de segurança estrutural e monitoração apropriada ao negócio ou atividade realizada na edificação. Processos de manutenção, brigadas de incêndio, controle ambiental e controle de pestes podem ser considerados escopos da segurança das edificações; Segurança Física e do Ambiente • Segurança de infra-estruturas • Infra-estrutura de cabeamento lógico (backbone de rede), elétrica, de água, de condicionamento de ar, de exaustão, de controle do ar, de detecção e combate a fogo, dentre outros, devem ser protegidas e controladas. Devemos atentar para a infra-estrutura interna e externa, esta última um pouco mais complicada de gerenciar por estar, na maioria dos casos, fora do controle da organização, mas nem por isso deve ser ignorada; • Classificação de perímetros de segurança • Áreas diferentes abrigam equipamentos e processos diferentes, devendo, portanto, serem classificadas de acordo com suas características, podendo ser: restrito, controlado e público, ou outra classificação que atenda as necessidades de segurança; Segurança Física e do Ambiente • Controles de acessos • O acesso às instalações da organização deve ser controlado e monitorado para que a segurança seja efetiva. • Quando falamos em segurança física e de ambiente, boa parte das ações serão tomadas para limitar o acesso às dependências a serem protegidas. Sem o devido controle de acesso, seja este administrativo e simples ou tecnológico e complexo, a segurança será falha. Segurança Física e do Ambiente • Eventos naturais • A natureza é bela e perfeita, não podemos contestar isso, mas em muitas situações acaba por colocar em risco a segurança das organizações. Raios, enchentes, chuvas de granizo, temporais, ventanias, terremotos; maremotos; calor; etc. podem afetar a continuidade operacional da organização caso esta não mesure os riscos e implemente as medidas necessárias de segurança. • Eventos sociais • Muitos eventos sociais podem acabar por afetar a segurança das empresas, em diversos níveis e situações. A disponibilidade a pode ser afetada caso haja, por exemplo, uma mobilização social nas imediações da empresa, podem ter suas dependências invadidas. Mesmo ações individuais, seja por imprudência ou sabotagem, podem levar a empresa a situações como as acima apresentadas. Segurança Lógica e Sistêmica • Perímetro lógico de segurança • A composição lógica das redes da organização pode ser composta por várias redes. • Requerem níveis diferentes de segurança. Não se pode dar a mesma atenção para a rede onde estão alocados os servidores de produção e a rede onde estão os servidores públicos. • O firewall é a ferramenta mais utilizada para segmentação de perímetros lógicos de segurança. • Regras de permissão e / ou negação de acesso, regras estas que definem quem pode entrar em qual rede e utilizando que tipo de protocolo ou serviço. • Roteadores têm a capacidade de auxiliar na segurança de perímetro por meio de implementação de listas de acessos, determinar regras de acesso (endereço IP e protocolos) às redes por trás deles. • Redes Segurança Lógica e Sistemica • Devem ser providas de mecanismos de monitoração, detecção e proteção contra códigos maliciosos, assim como contra ataques e intrusões. Para monitoração podem ser utilizadas ferramentas Sniffer, que capturam tráfego da rede para estudo e monitoração. • Segurança de sistemas e Hosts • Deve ser prevista e implementada desde a concepção e projeto dos sistemas e aplicativos, pois é quase impossível e inviável economicamente a implementação posterior. • Softwares especialistas de terceiros, como Host IDS, antivírus, sistemas de controle de acesso, etc. • Cuidado no processo de desenvolvimento, implementando a segregação de ambientes e funções, assim como controle eficiente de homologações, versões e atualizações dos sistemas de produção. Segurança Lógica e Sistemica • Controle de acesso • Parte de extrema importância da segurança. • Funcionalidades: Autenticação, Autorização e Auditoria. • Bancos de dados não passam, simplificadamente falando, de repositórios de dados. • Acessos a estes dados deve ser previsto desde a concepção e estruturação do banco de dados, podendo, e devendo, ser feito de maneira integrada aos sistemas que farão a interação entre os usuários e o banco de dados. Segurança de Pessoas • Engenharia social • Técnica que é utilizada em larga escala por engenheiros sociais, hackers e crackers, espiões, curiosos, estelionatários, dentre outros. A maioria das espionagens industriais e comerciais se dá por engenharia social, e quando esta não é a principal técnica empregada pelos espiões, é utilizada no mínimo como auxiliar para outras técnicas. • Acompanhamento de pessoal • As organizações são compostas fundamentalmente por pessoas, às quais estão sujeitas a alterações de comportamento de acordo com diversos fatores, tais como humor, problemas familiares, financeiros, com drogas, com doenças, chantagem, dentre outras tantas. Segurança de Pessoas • Conscientização • Peça chave na implementação da segurança da informação. • As pessoas devem estar cientes e conscientes da necessidade da segurança das informações, bem como do valor dessas informações, assim como o risco e o impacto que a violação da segurança poderá causar à organização e consequentemente para as pessoas que nela trabalham. • Se as pessoas não entenderem e aceitarem os argumentos apresentados pela organização a segurança poderá não ser efetiva. Segurança de Pessoas • Educação • É muito comum as empresas desenvolverem Política de Segurança, tomarem muitas das medidas necessárias à segurança da informação sem dar a devida atenção e o devido investimento à educação de seus funcionários. • Abrir uma enorme lacuna de segurança se alguns cuidados não forem tomados para certificar que as informações apresentadas são realmente verdadeiras e confiáveis. • A engenharia social nada mais é do que uma técnica para explorar algumas características humanas como ego, vaidade, ambição, confiança, medo, bondade, reciprocidade, corporativismo, coleguismo, dentre outras. • Pessoas não forem educadas em como agir nas situações que podem causar incidentes de segurança e colocar as informações em risco, com certeza a segurança será violada e a organização será prejudicada. Segurança de Pessoas • Gerência de mudança • A implementação da segurança da informação comumente provoca inúmeras e profundas mudanças nas organizações. • Mudanças devem ser acompanhadas e gerenciadas por uma pessoa que tenha bom relacionamento pessoal e interdepartamental e com liderança e autoridade suficiente para contornar problemas que surgirão em decorrência dessas mudanças. • Resistência por parte do pessoal, quer seja por perda de direitos nos sistemas, maior monitoração e controle, falta de entendimento dos objetivos da maior segurança, etc., mas tal resistência deve ser contornada com medidas de conscientização e em último caso com medidas de reforço prêmios e ou punições. Segurança de Pessoas • Quebra de paradigma social • Um dos paradigmas a serem quebrados é o da posse. • Este comportamento fará com que as pessoas apresentem resistência às mudanças que acabarão por aumentar o controle e a monitoração, e ninguém gosta de ter ‘suas’ coisas monitoradas por terceiros. • Deve-se reforçar, durante a conscientização e educação, que os bens, ferramentas e informações pertencem à organização, que têm real valor para esta e por isso necessitam de monitoração e controle, o que acabará por proteger, por consequência, também os interesses dos funcionários Segurança de pessoas • Controle e monitoração • As normas de segurança descritas na política de segurança devem ser seguidas por toda a organização, e para que se meça a aderência e obediência às normas é necessário que haja monitoração das ações previstas. • A monitoração não deverá ser utilizada como fonte de ameaças e punições, mas sim para correções e ajustes das normas, dos comportamentos e das tecnologias aplicadas. • Se deixe claro que o controle e a monitoração são para proteger as informações e os recursos da organização e não para ‘bisbilhotar’ as ações dos funcionários, deixando claro que a privacidade será preservada, desde que não coloque a segurança em risco, e tais ações se darão por meio de processos transparentes estabelecidos pela organização. Segurança de Pessoas • Causas de incidentes não intencionais: • Falta de treinamento, desatenção, falta de comprometimento, imperícia ou imprudência, negligência, dentre outros. • Causas de incidentes intencionais: • Sabotagens, facilitações, engenharia social, etc. espionagens, ataques hackers, • Incidentes com causas não humanas, que podem ser tecnológicas e naturais: • Falhas de sistemas, falhas de hardware, falhas de infraestrutura, tempestades, alagamentos, raios etc. Ciclo de Vida da Informação • Deve ser protegida durante todo seu ciclo de vida. • Os requisitos de segurança podem variar de acordo com a realidade. Fases do Ciclo • Manipulação • Todo ato de manuseio da informação durante os processos de criação, alteração e processamento. • É onde ocorre a maioria das falhas de segurança. • Armazenamento • Armazenamento e arquivamento da informação em meios digitais, magnéticos ou qualquer outro que a suporte. • A informação deve estar salvaguardada dos riscos a que está sujeita, tendo preservadas a Confidencialidade, Integridade e Disponibilidade, de acordo com a necessidade de cada tipo de informação. Fases do Ciclo • Transporte • Todos os atos de movimentação e transferência da informação, seja entre processos, mídias ou entidades internas ou externas. • Requer atenção especial devido estarem fora do perímetro de segurança do ambiente. • Muito importante, o diálogo falado, pois ao falar, transporta-se a informação pelo ambiente (ar), do locutor ao interlocutor, e pode-se deixar vazar informações valiosas neste momento. • Descarte • Refere-se às ações de descarte e destruição das informações no meio em que se encontram. Objetivos da Política de Seugrança • Alinhar as ações em segurança da informação com as estratégias de negócio; • Explicitar a visão da alta direção em relação à segurança da informação; • Exprimir o comprometimento da alta direção com a manutenção da segurança da informação; • Normatizar as ações referentes à segurança da informação; • Alinhar as ações em segurança da informação com as Leis e Regulamentações pertinentes; • Buscar conformidade com Normas externas e cláusulas contratuais; Objetivos da Políticas de Segurança • Instruir sobre procedimentos relativos à segurança da informação; • Delegar responsabilidades; • Definir requisitos de Conscientização, Educação e Treinamentos; • Definir ações disciplinares; • Alinhar ações em segurança da informação com a continuidade do negócio; • Ser o pilar de sustentação da segurança da informação; dentre outros. Documentos de uma Política de Segurança • Política de Segurança • É o conjunto de todos os documentos; • Carta do Presidente • Pode ser do Conselho, da Diretoria ou outra, mas deve ser do alto escalão da empresa, demonstrando o comprometimento com a questão e esclarecendo os motivos para tal; • Diretrizes para Segurança da Informação • Sintetização do que a Empresa espera que seja feito em relação ao assunto. São diretriz de alto nível, aplicáveis em qualquer ambiente da empresa e sem termos técnicos. Documentos de uma Política de Segurança • Exemplos: • Todos os usuários de sistemas e informações deverão ter acesso gerenciado por identidade; • Todas as informações deverão ser classificadas e ter medidas de proteção de acordo com a classificação e risco; • Os recursos de informação deverão ter sua continuidade preservada; • Normas de Segurança da Informação • Podem ser gerais (para quem usa) ou específicas (para quem cuida). • São as determinações a serem seguidas por todos ou por aqueles que participam de determinados processos. Documentos de uma Política de Segurança • Procedimentos • Explica como as Normas devem ser seguidas, podendo detalhar os procedimentos relevantes do processo normatizado, visando facilitar o entendimento e aplicação das mesmas. • Nos procedimentos devem ter informações do tipo: Como, quando, quem, onde e porque. Procedimentos são mandatórios. • Exemplos: • Os backups de bancos de dados deverão ser realizados com periodicidade mínima diária, utilizando tecnologias e processos que preservem a confidencialidade, disponibilidade e integridade das informações; Documentos de uma Política de Segurança • Instruções • São os documentos mas detalhados, normalmente técnicos, de como configurar, manipular ou administrar recursos tecnológicos, ou então manuais de processos operacionais. • Exemplos: • Para criação de novos usuários, usar o tamplate ‘New_User’; • Guide lines (guias) • São explicações de tarefas que fazem parte de procedimentos e processos normatizados. Norma NBR ISO/IEC 17799:2005 (ou 27001 e 27002) - Diretivas de Segurança da Informação; - Norma de Gestão de Segurança da Informação (GSI); - Norma de Contratação e Demissão de Colaboradores; - Norma de Contratação de Serviços de Terceiros; - Norma de Conscientização, Educação e Treinamento em Segurança da Informação; - Norma de Utilização de Sistemas de Comunicação (e-mail, MSN. ICQ, etc.); - Norma de Acesso à Internet e Redes de Terceiros; - Norma de Controle de Acesso e Administração de Usuários; Norma NBR ISO/IEC 17799:2005 (ou 27001 e 27002) - Norma de Classificação da Informação; - Norma de Classificação de Ativos; - Norma de Classificação de Ambientes; - Norma de Segurança e Gerenciamento de Mídias; - Norma de Segurança Física e de Ambiente; - Norma de Gerenciamento de Ativos, Configuração e Controle de Mudanças; - Norma de Auditoria e Análise Crítica; - Norma de Backup e Recuperação de Informações e Sistemas; - Norma para Análise de Riscos e Avaliação de Impactos; - Norma de Gestão de Continuidade Operacional; dentre outras normas que forem necessárias. Fim