BOAS PRÁTICAS DE SEGURANÇA DA
INFORMAÇÃO
CONTEÚDO
Introdução à Segurança da Informação
II.
Cenário da Segurança da Informação
1.
Segurança Física
2.
Pessoas
3.
Tecnologia da Informação
4.
Aspectos Legais
III. Boas Práticas de Segurança da Informação
1.
Série ABNT NBR ISO/IEC 27000
2.
Política de Segurança da Informação
3.
Organização
4.
Classificação da Informação
5.
Gestão de Risco
6.
PCN
7.
Desenvolvimento de Pessoas
IV.
Gestão da Segurança - Ciclo PDCA
I.
2
Parte I
INTRODUÇÃO À SEGURANÇA DA
INFORMAÇÃO
3
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Informação e Segurança
“Em um mundo onde existe uma riqueza de
informação, existe freqüentemente uma
pobreza de atenção.”
Ken Mehlman
4
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
O bem mais valioso de uma organização pode não ser o produzido
pela sua linha de produção ou pelo serviço prestado, mas as
informações relacionadas com esse bem de consumo ou serviço.
Exemplos:
nº
de casos de dengue por município
Cadastro de servidores (agentes públicos)
Mapeamento e descrição dos processos de negócio
Censo escolar
Indicadores da segurança pública
Imagens de satélite
5
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Uma informação pode ser armazenada sob diversos meios:
• Papel (escrita)
• Dispositivos digitais
• Memória Humana (volátil)
6
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Uma informação pode se transmitida por diversos meios:
7
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
É fato:
 Uma organização pode ter prejuízos incalculáveis ou até mesmo ser
descontinuada por um incidente envolvendo informações.
 Não existe 100% de segurança.
 É preciso cercar o ambiente de informações com medidas que
garantam sua segurança efetiva a um custo aceitável.
8
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
O que é segurança da informação?
Segurança da informação é a proteção da informação
contra
vários tipos de ameaças para garantir a
continuidade do negócio, minimizar o risco ao
negócio, maximizar o retorno sobre os investimentos
e as oportunidades de negócio.
9
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Segurança da informações na administração pública
Fraudes marcam a distribuição de ações.
Gaeco apura vazamento de informação
sobre operação em MT
Vazamento de informação prejudicou
operação no Rio, diz delegado
Prejuízo com o vazamento da prova do
Enem pode chegar a R$ 34 milhões
Polícia investiga fraude no sistema
da Nota Fiscal Paulista
Autoescolas corrompem sistema
digital e oferecem esquema para
renovar CNH em SP
FRAUDE NA PREVIDÊNCIA
CHEGA A R$ 1,6 BILHÃO - MEIO
MILHÃO DE MORTOS-VIVOS
Confirmada fraude no concurso público do
Governo do Mato Grosso.
MPF/AP denuncia servidor público por fraude ao sistema
de Dívida Ativa da União - Os prejuízos aos cofres públicos
foram estimados em R$ 11 milhões.
10
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Dimensões de proteção da informação
Disponibilidade
Integridade
Confidencialidade
Segurança da
Informação
 Autenticidade
 Não Repúdio
11
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Confidencialidade
É uma característica da informação que diz respeito ao
direito de acesso.
Medidas de segurança devem garantir que a informação
esteja acessível apenas para quem tem permissão de
acesso, evitando, assim, revelação não autorizada.
12
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Confidencialidade
Balancete contábil Secretaria (pública – acesso a todos os interessados)
Informações táticas de operação policial a ser realizada (apenas os
envolvidos no plano)
Senha da conta bancária (somente o correntista)
Gabarito de Prova não realizada (apenas os elaboradores da prova)
Lista dos aprovados em concurso público (pública - todos os interessados)
13
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Integridade
É uma característica da informação que diz respeito à sua
exatidão.
Medidas de segurança devem garantir que a informação seja
alterada
somente
por
pessoas
e/ou
ativos
associados
autorizados e em situações que efetivamente demandem a
alteração legítima.
14
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Integridade
 Plano de Vôo
 Dados preenchidos em cheque
 Conteúdo de um Edital a ser publicado
 Prescrição médica para paciente internado
15
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Disponibilidade
Medidas de segurança devem garantir que a informação esteja
disponível, sempre que necessário, aos usuários e/ou sistemas
associados que tenham direito de acesso a ela.
16
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Disponibilidade
 Extrato bancário
 Dados gerenciais para tomada de decisão
 índice de mortalidade infantil por município
 tamanho das áreas devastadas por queimadas
 nº de aposentadorias previstas para 2013
 Dados para operacionalização de procedimentos
 ramal de telefones atualizado na recepção
 declaração de rendimentos para IRPF
17
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Autenticidade
Diz respeito à certeza da origem da informação.
Medidas de segurança devem garantir que a informação provem
da fonte anunciada e que não foi alvo de mutação ao longo de
sua transmissão.
18
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Autenticidade
 Página web do banco para digitar nº da conta e senha
 Certificado de Registro de Veículo para transferência de proprietário
 Atestado médico para justificar falta de funcionário
19
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Não repúdio
Ou irretratabilidade, diz respeito à garantia de que o autor de
determinada ação não possa negar tal ação.
Medidas de segurança devem garantir meios que identifique
inequivocamente o autor de uma ação.
20
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
• Não repúdio
Notificação judicial (entrega em mãos por alguém de fé
pública)
 Notificação extrajudicial (registradas)
 Posse de um processo (controle de assinatura do
receptor, data e hora do recebimento).
 Acesso a determinado ambiente crítico (sistema por
biometria).
21
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Dimensões da segurança da informação:
Confidencialidade
Integridade
Autenticidade
Disponibilidade
Não Repúdio
22
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Segurança da Informação  Proteção
suportam
manipuladas
Negócio
Informações
Ativos
Ativos:

A própria informação

Infraestrutura física

Tecnologia da Informação

Pessoas
24
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Proteção: Medidas / Controles de Segurança da Informação
25
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
“ Segurança da Informação é como uma corrente cuja força é medida pelo
seu elo mais fraco.”
Nenhuma corrente é tão forte quanto o seu elo mais fraco.
26
II. CENÁRIO
Segurança Física
27
CENÁRIO SEGURANÇA FÍSICA
Pouca consideração com a localização das
Instalações
28
29
Mega explosão do depósito de combustíveis de Buncefield
Uma mega explosão no depósito de, um
grande
terminal
de
distribuição
de
combustível, que armazena óleo, gasolina e
querosene, foi ouvida a 322 km de distância.
A interrupção dos negócios foi sentida por
todas as empresas de Maylands 48 horas
após o incidente, sendo que a maioria foi
afetada por longo tempo e muitas ainda estão
sofrendo
dos
efeitos
pós-incidente.
Cerca de 90 empresas foram severamente
afetadas pelo incidente com destruição total
ou parcial de suas instalações e outros ativos.
A maioria delas ainda está sofrendo os efeitos
do incidente.
30
CENÁRIO SEGURANÇA FÍSICA
Barreiras e Controle de Acesso Físico
31
CENÁRIO SEGURANÇA FÍSICA
32
CENÁRIO SEGURANÇA FÍSICA
33
CENÁRIO SEGURANÇA FÍSICA
Infraestrutura de Utilidades :

Energia elétrica,

Abastecimento de água,

Sistema de climatização
34
CENÁRIO SEGURANÇA FÍSICA
35
CENÁRIO SEGURANÇA FÍSICA
Equipamentos
36
CENÁRIO SEGURANÇA FÍSICA
37
CENÁRIO SEGURANÇA FÍSICA
Prevenção e combate a incêndio
38
CENÁRIO SEGURANÇA FÍSICA
39
CENÁRIO SEGURANÇA FÍSICA
40
II. CENÁRIO
PESSOAS
41
CENÁRIO PESSOAS
Incidentes de Segurança provocados por Pessoas
Ignorância
Negligência
Má-fé
42
CENÁRIO PESSOAS
44
CENÁRIO PESSOAS
45
CENÁRIO PESSOAS
A Engenharia Social
46
CENÁRIO PESSOAS
A Engenharia Social
"É a ciência que estuda como o conhecimento do comportamento
humano pode ser utilizado para induzir uma pessoa a atuar
segundo seu desejo. Não se trata de hipnose ou controle da mente,
as técnicas de Engenharia Social são amplamente utilizadas por
detetives (para obter informação) e magistrados (para comprovar se
um declarante fala a verdade).
Também é utilizada para lograr todo tipo de fraudes, inclusive
invasão de sistemas eletrônicos."
Mário Peixoto em Engenharia Social e Segurança da Informação na Gestão Corporativa.
Rio de Janeiro: Brasport, 2006.
47
CENÁRIO PESSOAS
Objetivos do Engenheiro Social
 Espionagem industrial,
 Obter informações privilegiadas para obter vantagem,
 Obter informações confidenciais para cometer alguma fraude ou
extorsão,
 Roubo de senhas de bancos ou cartões de crédito,
 Invadir sistemas por pura diversão o suficiente.
48
CENÁRIO PESSOAS
http://pharma.msc.edu.eg/ATC.asp
Egito
49
CENÁRIO PESSOAS
Subject: Parabéns você ganhou uma TV LCD Philips
Grátis.
From: [email protected]
Date: Mon, 21 Mar 2011 21:31:20 -0700
50
CENÁRIO PESSOAS
Por que as pessoas são vulneráveis a manipulações?
• Seis tendências básicas da natureza humana facilitam ataques de
engenharia social:

Autoridade

Afabilidade

Reciprocidade

Validação Social

Escassez
51
CENÁRIO PESSOAS
Por que as pessoas são vulneráveis a manipulações?
• Outros aspectos humanos também devem ser considerados, como
 Ambição
 Vaidade
 Carência afetiva
 Curiosidade
 Etc
52
CENÁRIO PESSOAS
“Eu consegui porque entrei e ninguém
me perguntou nada e nem pediu
nenhuma identificação…”.
53
CENÁRIO PESSOAS
“As pessoas acabam caindo nas minhas
mentiras porque eu mexo com a ambição
delas. Sou quem eles quiserem que eu
seja”.
Marcelo Rocha
54
CENÁRIO PESSOAS
55
II. CENÁRIO
Segurança na Tecnologia da Informação
56
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
CENÁRIO DAS ORGANIZAÇÕES
57
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
• Negócios dependentes cada vez mais dos sistemas de informação e da
Internet
• Problemas:
 Infecção por vírus,
 Acesso não autorizado,
 Ataques denial of service contra redes e sistemas,
 Furto de informação proprietária,
 Invasão de sistemas, fraudes internas e externas,
 Espionagem sobre as redes,
 entre outras.
58
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
59
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
60
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
61
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
Motivadores
• A difusão da Internet
• O aumento do número de vulnerabilidades nos sistemas existentes
• Esforço e custo para mitigar tais vulnerabilidades com a aplicação
de correções do sistema
•A complexidade e a sofisticação dos ataques também contribuem de
maneira direta para o aumento dos incidentes.
62
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
Quem são os atacantes?
63
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
Hacker e Cracker
 Fascínio pelo poder do controle;
 Alto conhecimento técnico de protocolos de redes
e de sistemas operacionais;
hacker britânico
Gary McKinnon
 Cracker são os maiores responsáveis pelos danos de dados roubados e
de fraudes em sistemas;
 Muitas organizações contratam hackers (“éticos”) para testarem a
segurança de suas organizações.
64
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
Script Kiddie
• Crackers inexperientes (geralmente das camadas etárias mais novas);
• Utilizam o trabalho intelectual dos verdadeiros especialistas técnicos;
• Almejam fama ou outros tipos de lucros pessoais.
• Utilizam exploits, trojans e ferramentas de cracking construídos por terceiros
para alcançar seus objetivos.
• Ações mais comuns: defacement (alteração do
conteúdo original de páginas web), fraudes
com cartões de crédito e fraudes bancárias.
65
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
Atacantes Internos
• Possuem autorização legítima para
acesso e uso de informação, sistema, rede.
• Fazem mau uso dos privilégios que possuem
Legitimamente.
Ex-servidora da Previdência Jorgina de
Freitas
• Tentam obter de maneira ilícita acessos com mais poderes.
• Motivações: vingança ((ex)funcionário insatisfeito), ganho financeiro (fraude,
roubo de informação privilegiada), desafio.
80% dos incidentes de segurança em uma
organização são causados por usuários internos.
66
67
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
Alta
SOFISTICAÇÃO DOS ATAQUES
Rootkits
DoS /DDoS
Scanners de vulnerabilidades

Spoofing de pacotes IP



Baixa
1980



Exploits
Ataques Web
Port Scanners
Sniffers

Backdoors
Desativação de
auditoria






Overflow / Worm
Exploração de vulnerabilidades conhecidas
Código auto-replicáveis
Programas password cracking
Advinhação de senhas
1985
1990
1995
2000 2002
2005
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
68
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
Alto
PERFIL DOS ATACANTES
Especialistas, estudiosos
Richard Skrenta
Criador 1º virus
Conhecimento Técnico
Script Kiddies
Baixo
1980
1985
1990
1995
2000 2002
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
2005
69
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
Alto
Sofisticação das ferramentas
Nível de Conhecimento
Baixo
1980
1985
1990
1995
2000 2002
2005
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
70
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
Problemática dos ambientes de TI
 Ambientes mais complexos e heterogêneos
 Diversos fornecedores
 Necessidade de pessoal com formações especializadas
 Complexidade na administração dos ambientes
 Muita demanda de serviços via TI e urgências
71
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
72
2. CENÁRIO TECNOLOGIA DA INFORMAÇÃO
73
II. CENÁRIO
ASPECTOS LEGAIS
74
ASPECTOS LEGAIS
Cenário no ambiente de trabalho

•
Problemas mais comuns:
Uso dos recursos de Tecnologia da Informação (TI) da
organização para interesses pessoais
•
Uso malicioso ou negligente dos recursos de Tecnologia da
Informação (TI) da organização
ASPECTOS LEGAIS
Cenário no ambiente de trabalho
Pesquisa com 1,6 mil pessoas realizada por empresa de consultoria em
produtividade:
 80% gastam até três horas do tempo de trabalho com atividades que
não contribuem para o serviço, e boa parte está ligada à internet;
 36% afirmam que acessam Internet sem o foco do trabalho;
 40% dizem repassar correntes e também piadas por email;
 20% curtem joguinhos online;
 56% fazem compras pela internet e;
 11% veem pornografia no computador.
Tudo em plena hora de trabalho!
76
ASPECTOS LEGAIS
Cenário no ambiente de trabalho
 Quem paga a conta?
 Salário + encargos;
 Banda Internet;
 Armazenamento dos downloads;
 Trabalho dos administradores de TI;
 Atrasos nas entregas do trabalho e desdobramentos;
 Ataques de códigos maliciosos na rede da organização;
 Outros custos diretos e indiretos
É um problema ético do empregado e da organização permissiva.
77
ASPECTOS LEGAIS
Responsabilidade Civil dos Executivos , Gestores e Profissionais
em geral
• Executivos, gestores e profissionais de TI respondem legalmente pelos
danos causados através dos meios eletrônicos.
• O Código Civil prevê que o empregador é responsável por tudo o que os
trabalhadores fazem usando as conexões e os equipamentos da empresa.
Isso significa que, se um funcionário cometer um crime por meio
do computador do trabalho, a empresa responde judicialmente
pelo caso. O funcionário também poderá responder pelo crime,
mas os prejudicados costumam processar as empresas por conta
de elas terem mais poder e dinheiro em caso de indenizações.
78
ASPECTOS LEGAIS
Por ter praticado ou
deixado como estava
Art. 186. Aquele que, por ação ou omissão
voluntária, negligência ou imprudência, violar direito
e causar dano a outrem, ainda que exclusivamente
moral, comete ato ilícito.
Não ter tomado os devidos cuidados
79
ASPECTOS LEGAIS
TRT-RS: ao deixar de tomar providências para apuração de
envio de e-mails de conteúdo ofensivo, o empregador é
responsável pela indenização dos danos morais.
TRT-SP: Empregado que assediava
colegas por e-mail é demitido por
justa causa
STJ - Demissão que ocorre por
empregado ceder sua senha
eletrônica para burlar sistema
eletrônico é legal
TST admite que banco
investigue e-mail de trabalho
do empregado
TJ-SC: Banco Itaú indenizará
correntista que foi vítima da
ação de hackers
Para TRT-SP, copiar documento sigiloso sem
autorização dá justa causa
TRT-MG: Advogado acusa escritório de monitorar
empregados e indenização é rejeitada
80
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
SÉRIE NBR ISO/IEC 27000
Para que reinventar a roda?
84
SÉRIE NBR ISO/IEC 27000
ISO 27001
Define os requisitos para um sistemas de
gestão de segurança da informação
ISO 27002
ISO 27003
ISO 27004
ISO 27005
85
SÉRIE NBR ISO/IEC 27000
ISO 27001
ISO 27002
Boas práticas para a gestão de segurança da
informação
ISO 27003
ISO 27004
ISO 27005
86
SÉRIE NBR ISO/IEC 27000
ISO 27001
ISO 27002
ISO 27003
Guia para a implantação de um sistema de
gestão de segurança da informação
(metodologia)
ISO 27004
ISO 27005
87
SÉRIE NBR ISO/IEC 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
Define métricas e meios de medição para
avaliar a eficácia de um sistema de gestão
de segurança da informação
ISO 27005
88
SÉRIE NBR ISO/IEC 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
Fornece as diretrizes para o processo de
gestão de riscos de segurança da informação
89
SÉRIE NBR ISO/IEC 27000
ISO 27002 – Código de práticas para a gestão de segurança da informação
 Política de Segurança da Informação
 Organizando a Segurança da
Informação
 Gestão de Ativos
 Classificação da Informação
 Segurança em Recursos Humanos
 Segurança Física e do Ambiente
 Controle de Acesso
 Aquisição, Desenvolvimento e
Manutenção de Sistemas de Informação
 Gestão de Incidentes de Segurança da
Informação
 Gestão da Continuidade do Negócio
 Conformidade
 Gestão das Operações e Comunicações
90
SÉRIE NBR ISO/IEC 27000
 Segurança em Recursos Humanos
 Antes da contratação
 papéis e responsabilidades definidos e documentados
 seleção (referências, verificação das informações do currículo, qualificações
acadêmicas e profissionais, verificações financeiras e criminais)
 Termos e condições
 Durante a contratação
 Responsabilidades da direção
 conscientização, educação e treinamento
 Processo disciplinar
 Encerramento ou mudança de contratação
 Encerramento de atividades
 Devolução de ativos
 Retirada de direitos de acesso
91
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Política de Segurança da Informação
Gosto não se discute, mas política de segurança se
deve discutir, e muito!
92
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
O que são políticas de segurança da informação?
“Uma Política de Segurança da Informação é um documento que deve
descrever as práticas que a organização espera que sejam seguidas
por todos os empregados para proteger seus ativos de informação.”
Scott Barman
93
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Políticas são importantes para:

Comunicar os objetivos e as diretrizes da segurança da informação;

Garantir a implementação apropriada de controles de segurança;

Demonstrar o compromisso e apoio da alta administração;

Evitar problemas legais (indenizações, multas);

Alcançar um nível de segurança consistente evitando esforços
segmentados.
94
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Desafio
95
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Motivos de resistência

Pessoas, naturalmente, não gostam de regras e vêem políticas como
controles;

Consideram um impedimento à produtividade;

Diferentes visões sobre necessidades de segurança;

Dificuldades de seguir e implementar.
96
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Objetivo – ISO 27002
Uma política de segurança da informação tem como objetivo
prover uma orientação e apoio da alta administração para a
segurança da informação de acordo com os requisitos do negócio
e com as leis e regulamentações pertinentes.
• ANVISA
• Pesquisa e clínica média
• CRM
• Administração pública
• Sarbane-Oxley
• Indústria Alimentícia
• Banco Central
• Seguradora
• ANATEL
• Financeiras
• ANAC
• Telefonia ...
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Fatores Críticos de Sucesso

???
Implementável e aplicável

Concisa e de fácil entendimento por todos

Equilibrar proteção e produtividade

Revisada periodicamente

COMUNICADA, DIVULGADA, DISSEMINADA
98
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Documentos que compõem um Política de Segurança
Os documentos que compõem uma política de segurança de informação
variam bastante em cada organização, porém a grande maioria segue a
estrutura:

Carta de comprometimento da alta administração

Diretrizes ou Política de Segurança

Normas de Segurança

Procedimentos e Instruções
99
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Fonte: Segurança e Auditoria de Sistemas – UNIBAN - Thiago
Bordini
100
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
No Poder Executivo da Administração Pública do Estado de Mato Grosso,
através de resoluções do COSINT:
Políticas e Diretrizes da Segurança da Informação Estadual
(Res. 003/2010)
Norma de Segurança Estadual para Acesso à Informação
(Res. 008/2010)
 Procedimento para concessão e bloqueio de acesso
 Procedimento para manter Termo de Responsabilidade e Sigilo
Norma de Segurança para Uso do Correio Eletrônico Corporativo
Norma de Segurança de Acesso à Internet
(Res. 009/2011)
(Res. 010/2011)
Norma de Segurança para Administração de Senhas
(Res. 011/2011)
102
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Organização da Segurança da Informação
103
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Em que nível se enquadra a segurança da informação em uma organização?
Estratégico
Tático
Operacional
104
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Um modelo ...
Alta Administração
Comitê Multidisciplinar
Gestor Segurança
Informação
Gestores
Colaboradores
105
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Comitê
Multidisciplinar
Recursos
Humanos
Assessoria
Jurídica
Exemplo de formação de um Comitê de Segurança
106
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Alta Administração
Gestor Segurança da
Informação
Gestores
Colaboradores
Comitê
Multidisciplinar
Gestores
Gestores
Colaboradores
Colaboradores
107
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Classificação da Informação
108
CLASSIFICAÇÃO DA INFORMAÇÃO
“A informação sempre tem valor.
Se você não o souber, sempre há
alguém que imagina o quanto ela
vale; e você pode ficar sabendo
somente quando for tarde demais.”
Caruso&Steffen
109
CLASSIFICAÇÃO DA INFORMAÇÃO
• A Classificação da Informação permite identificar o grau de proteção
necessário baseado no valor da informação.
•Tal proteção designa-se a evitar destruição, modificação e/ou revelação
não autorizada.
Disponibilidade
Integridade
Confidencialidade
110
CLASSIFICAÇÃO DA INFORMAÇÃO
O que é?
É o processo de identificar os níveis apropriados de proteção à
informação, a partir de critérios bem definidos, garantindo a sua
confidencialidade, integridade e disponibilidade.
Por que?
Permite a proteção adequada às informações. A Classificação da
informação formalizada e instituída evita equívocos por subjetividade nas
medidas de proteção das informações de uma organização.
111
CLASSIFICAÇÃO DA INFORMAÇÃO
Exemplo
Níveis de Confidencialidade ou Sensibilidade:
Nível
Critérios
Confidencial informações que, em razão de lei, interesse público ou
para a preservação de direitos individuais, devam ser de
conhecimento reservado e, portanto, requeiram medidas
especiais de segurança e salvaguarda.
Restrita
informações que, por sua natureza, só podem ser
divulgadas a grupo restrito de pessoas;
Uso interno
informações que, por sua natureza, são de interesse
exclusivo da organização;
Pública
Todas as demais informações.
112
CLASSIFICAÇÃO DA INFORMAÇÃO
A proteção da informação deve considerar todos os aspectos de
manipulação, tais como:
 Controle de cópia
 Armazenamento
Transporte interno
Transporte externo
 Transmissão via linha telefônica ou fax
Transmissão por redes de comunicação
 Descarte
113
CLASSIFICAÇÃO DA INFORMAÇÃO
É BOM LEMBRAR .....
Valor da
Informação
Custo da Proteção
Custo X Benefício
114
CLASSIFICAÇÃO DA INFORMAÇÃO
Instrumentos para instituição da Classificação da Informação:
Diretrizes
Normas
Procedimentos
• Política e Diretrizes para Classificação da
Informação
• Norma de Segurança para Classificação da
Informação
• Instruções para Proteção da
Informação
115
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Gestão de Risco
116
GESTÃO DE RISCOS
“O maior risco é crer
que não há riscos.”
Caruso&Steffen
117
GESTÃO DE RISCOS

Prática preventiva;

Consiste em:

Reconhecer os potenciais riscos sobre determinado objeto (contexto)
que se quer proteger,

Mensurar a capacidade desses riscos em causar danos e a severidade
dos possíveis danos,

Tratar esses riscos preventivamente, modificando-o para um nível
aceitável.

Referência: ABNT NBR ISO 31000 Gestão de riscos – Princípios e
diretrizes
118
GESTÃO DE RISCOS
Ambiente,
Sistema,
Projeto,
Serviço
Determinar o
contexto
Acompanhamento
dos riscos
Analisar os riscos
Ameaças,
Vulnerabilidades,
Controles,
Impactos,
Probabilidade
• Grandeza
(Quantitativa ou Qualitativa)
• Urgência
Tratar os riscos
Avaliar os riscos
• Aceitar
• Evitar
• Minimizar o impacto
• Diminuir a probabilidade
• Transferir ou compartilhar
119
carpete
120
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Plano de Continuidade do Negócio
121
PLANO DE CONTINUIDADE DO NEGÓCIO
“… depois, não adianta chorar o leite desrramado”.
122
PLANO DE CONTINUIDADE DO NEGÓCIO
FATOS ...
Dentre as empresas que sofrem grandes incidentes sem possuir um
plano:
40% não sobrevivem
40% encerram suas atividades em 18 meses
12% encerram suas atividades em 5 anos
8 % sobrevivem
Fonte: Safetynet/Guardian IT
123
PLANO DE CONTINUIDADE DO NEGÓCIO
PCN é um conjunto de planos que se complementam,
oferecendo uma solução completa para a continuidade dos
negócios essenciais numa situaçao de falha ou interupção nos
componentes que suportam os principais processos.
Modulo Security
 Tem o foco na continuidade das funções vitais do negócio;
 Geralmente contém o plano de recuperação de desastres e o plano
de contingência TI;
 Convém ter o plano de gerenciamento de crise
Fonte: ABNT NBR 15999-1 e 2 Gestão de Continuidade de Negócio
124
PLANO DE CONTINUIDADE DO NEGÓCIO
Plano de
Contingência

Plano de
Recuperação de
Desastre

Garante a continuidade
Recupera / restaura os
Operacional dos Processos
componentes que suportam os
de Negócios Vitais
Processos de Negócios
Gerenciamento de
Crise
Coordena ações,
minimiza perdas, salva
vidas, estabelece portavoz, ...
125
PLANO DE CONTINUIDADE DO NEGÓCIO
126
PLANO DE CONTINUIDADE DO NEGÓCIO
Tinha PCN ???
127
PLANO DE CONTINUIDADE DO NEGÓCIO
Um bom PCN evita a falsa sensação de segurança.
128
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Desenvolvimento de Pessoas
Segurança da Informação começa e
termina em pessoas.
129
DESENVOLVIMENTO DE PESSOAS
130
DESENVOLVIMENTO DE PESSOAS
Só existe uma maneira de manter seguros os negócios de uma
organização:
Ter uma força de trabalho consciente e treinada.
COMO?
Desenvolvendo uma estratégia para aumentar o nível de consciência
da segurança da informação e a habilidade de aplicar os princípios e
conceitos às atividades funcionais
É crítico empreender os dois princípios de aprendizagem:
CONSCIÊNCIA e CAPACITAÇÃO.
131
DESENVOLVIMENTO DE PESSOAS
CONSCIENTIZAÇÃO
Que comportamento a organização
espera dos colaboradores ?
CAPACITAÇÃO
Que habilidade(s) a organização quer
que seja desenvolvida?
132
DESENVOLVIMENTO DE PESSOAS
RESULTADO …
Conscientização
Um profissional que, envolvido com a segurança da
informação, se comporta de maneira a proteger
informações e ativos e planeja e aplica técnicas de
proteção adequadas.
Capacitação
Tudo isso seguindo os princípios e diretrizes de
segurança estabelecidos pela organização.
133
Políticas de Segurança
DESENVOLVIMENTO DE PESSOAS
Alguns recursos úteis para programas de Conscientização:
• Identificação visual (mascote, lema)
•Palestras
• Gincanas com premiações
• Banners (físicos e digitais)
• E-mails
• Cartilhas
• Faixas
• Brindes com mensagens
• e-Boletins…
134
DESENVOLVIMENTO DE PESSOAS
“Uma boa ação pode gerar uma reação em
cadeia até que … uma má ação a anule.”
“A segurança da informação começa e termina
em PESSOAS.”
135
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Ferramentas de Segurança
“Segurança não é um produto que se pode
comprar de prateleira, mas que consiste de
políticas, pessoas, processos e tecnologia“
(Kevin Mitinik)
136
FERRAMENTAS DE SEGURANÇA

Tecnologias de Apoio
 Autenticação
 Criptografia

Tecnologias Preventivas e
Detectivas
 Firewall
 Anti-Malwares
 IDS
 VPN
137
FERRAMENTAS DE SEGURANÇA
Autenticação
É um processo que verifica, a partir de uma identidade digital, se
o usuário possui o direito de acesso a
um sistema, um
computador ou um ambiente.
Pode ser baseada em um ou na combinação dos seguintes fatores:
 Algo que o usuário conhece.
 Algo que o usuário tem
 Algo que o usuário é
 Onde o usuário está
138
FERRAMENTAS DE SEGURANÇA
Algumas recomendações para uma boa senha (ISO/IEC 27001):
 manter a confidencialidade das senhas;
 evitar anotar senhas;
 alterar senha sempre que existir qualquer indicação de comprometimento
de sua confidencialidade;
 Selecionar senhas de qualidade
139
FERRAMENTAS DE SEGURANÇA
140
FERRAMENTAS DE SEGURANÇA
As forças armadas dos Estados Unidos utilizaram a senha
„00000000‟ para proteger esses computadores
durante oito anos (de 1968 a 1976).
Para a sorte dos norte-americanos, na época não havia
nenhum hacker esperto o bastante para utilizar um robô
de força bruta para quebrar os códigos e causar uma
catástrofe.
141
FERRAMENTAS DE SEGURANÇA
Outras Ferramentas de Autenticação
Biometria
142
FERRAMENTAS DE SEGURANÇA
Criptografia
• Usada para ”embaralhar” uma determinada informação que deve
ser mantida em segredo, protegendo-a do acesso por terceiros não
autorizados.
• Somente as pessoas autorizadas conseguirão ”desembaralha-la”
para ter o conhecimento de seu teor.
143
FERRAMENTAS DE SEGURANÇA
• Uso da tecnologia de criptografia
 Cifragem / Decifragem ou criptografia/decriptografia
 Certificação digital
 Assinatura Digital
144
FERRAMENTAS DE SEGURANÇA
• Cifragem / Decifragem ou criptografia/decriptografia
• dados no computador
• dados em pendrive
• conteúdos e anexos em e-mails
• dados a serem trafegados em redes inseguras (internet)
confidencialidade
145
FERRAMENTAS DE SEGURANÇA
http://www.com.br
146
FERRAMENTAS DE SEGURANÇA
https://www2.bancobrasil.com.br
147
FERRAMENTAS DE SEGURANÇA
• Certificação Digital
autenticidade
 Identidade digital de pessoa, organização, equipamento;
 Emitido por instituição reconhecida como confiável entre as partes;
 Utilizado para autenticar a identidade das partes em um transação
digital
148
FERRAMENTAS DE SEGURANÇA
• Assinatura Digital
Autenticidade e integridade
• Utiliza o certificado digital do signatário
• A assinatura digital garantia a integridade do conteúdo e autenticidade
do signatário.
 Vincula o conteúdo do arquivo com a assinatura.
• A assinatura digital gerada através de certificado digital emitido por
entidade da ICP-Brasil tem validade legal.
149
FERRAMENTAS DE SEGURANÇA
Indicador de
Assinatura
Digital
Para
Criptografar
basta clicar
150
FERRAMENTAS DE SEGURANÇA
Outras ferramentas de segurança:

Firewall

Anti-malware

IDS – Sistema de Detecção de Intrusão

VPN – Virtual Private Network
151
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
Segurança Física
152
SEGURANÇA FÍSICA
Perímetros de Segurança

Consiste em isolar áreas com diferentes níveis de risco e
criticidade

Segurança em camadas

Deve-se considerar os riscos de fora para dentro
Controle de Acesso Físico

Prover segurança de acesso a áreas delimitadas

salas de computadores, almoxarifado, sala de máquinas,
arquivo geral, ...
153
SEGURANÇA FÍSICA
154
SEGURANÇA FÍSICA
Recomendações sobre controle de Acesso Físico:

A entrada de pessoas em áreas de segurança deve ser
controlada para que apenas pessoas autorizadas tenham acesso.

Controles:
•
Registro da data e hora da entrada e saída de visitantes
•
As permissões de acesso devem ser concedidas somente para
finalidades específicas e autorizadas
•
O acesso a áreas em que são processadas ou armazenadas informações
sensíveis deve ser restrito às pessoas autorizadas;
•
Funcionários, fornecedores e terceiros, e todos os visitantes, devem
possuir alguma forma visível de identificação
155
SEGURANÇA FÍSICA
Infraestrutura de Utilidades

Energia elétrica, abastecimento de água, tratamento de esgotos e ar-
condicionado;

Exige manutenções regulares para assegurar seu funcionamento correto;

Recomenda-se o uso de UPS (Uninterruptible Power Supply) para
suportar as paradas e desligamento dos equipamentos. O sistema mais
comum é o no-break.

Deve ser considerado o emprego de um gerador de emergência caso seja
necessário para o negócio.
156
SEGURANÇA FÍSICA
Circuito Fechado de TV
 O sistema de circuito fechado de TV mantém a vigilância constante sobre
os pontos mais críticos.

Para realização do monitoramento sem riscos legais:

Manter sempre aviso em especial na entrada do recinto

Conteúdo das filmagens só poderá ser transcrito e utilizado em face de
investigação

Conteúdo das filmagens deve ter controle de acesso rígido.

Treinamento específico aos responsáveis pela análise das imagens

Também se deve observar para que não haja exposição do colaborador
ao ridículo, tampouco gerar algum tipo de perseguição (colocar a
câmera vigiando apenas determinada pessoa e não todo o ambiente).
157
SEGURANÇA FÍSICA
Segurança Física em Equipamentos
Algumas considerações:

Posicionamento do monitor de maneira a evitar visualização de informações
por pessoas não autorizadas;

Controles contra furtos e sabotagens;

Inibir comidas ou bebidas próximas a equipamentos;

Condições ambientais: temperatura, umidade, poeira, gazes;

Cabos de segurança para laptops.
158
SEGURANÇA FÍSICA
Segurança contra Fogo

Precauções:

Somente equipamentos em funcionamento devem ser mantidos ligados;

Não se deve permitir qualquer atividade que produza fumaça ou qualquer
gás em recinto de instalação sensível;

Antes da saída de pessoal de instalação sensível:

Fechar todas as portas e aberturas entre os diversos compartimentos;

Papéis e sucatas de papel devem ser recolhidos e removidos;

Retirar da energia equipamentos que não necessitam ficar ligados;

Verificar se sistema de combate e prevenção de incidente está
operante;

Plano e Treinamento contra incêndio.
159
SEGURANÇA FÍSICA
Segurança contra Fogo
9.

Classes de Incêndio:
Classe A – combustíveis sólidos
comuns; queimam em superfície e em
profundidade.
Ex.:
papel,madeira,
tecido, fibras.
Classe B – combustíveis inflamáveis
derivados do petróleo e outras fontes;
queimam na superfície.Ex.: gasolina,
alcool, querosene, parafina, acetileno.
Classe C – equipamentos elétricos e
eletrônicos com energia.Ex.: máquinas,
motores, instalações elétricas.
Classe D – metais pirofóricos; requerem
agentes extintores específicos; se
inflamam em contato com o ar. Ex.:
magnésio, sódio, potássio, pó de zinco.
160
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
ASPECTOS LEGAIS
161
ASPECTOS LEGAIS
Melhores Práticas
• Educação
• Políticas, normas e termos de responsabilidade
• Monitoramento
• Os recursos de TI são do empregador
• Deve estar claro aos empregados de que não há privacidade no uso
dos recursos da empresa (e-mails corporativos, acesso Internet)
• Os empregados devem estar cientes dos monitoramentos a que
estão submetidos (Internet, e-mails, filmagem, ...)
• Medidas disciplinares
162
IV. GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Ciclo PDCA
163
PLANEJAR
AGIR
Planos de Segurança:
• Revisão Política e Normas
• Programa de educação / capacitação
• Implementação controles de segurança
• Definição das metas e indicadores
• Planejar monitoramento da
conformidade, gestão de risco e
gerenciamento dos incidentes
• Tratar Incidentes
• Identificar
causas
• Responsabilizar
• Tratar riscos
urgentes
• Tratar desvios
nos indicadores
Gestão da
Segurança
da
Informação
• Classificar incidentes
• Analisar e Avaliar Riscos
• Analisar medidas dos
indicadores
• Analisar desvios de
conformidade
• Novos requisitos de segurança?
• Novos requisitos legais?
VERIFICAR
Execução dos
Planos
164
EXECUTAR
OBRIGADA!
SORAIA DE FELICE
[email protected]
[email protected]
165
Download

O que é segurança da informação? - Sefaz