BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO CONTEÚDO Introdução à Segurança da Informação II. Cenário da Segurança da Informação 1. Segurança Física 2. Pessoas 3. Tecnologia da Informação 4. Aspectos Legais III. Boas Práticas de Segurança da Informação 1. Série ABNT NBR ISO/IEC 27000 2. Política de Segurança da Informação 3. Organização 4. Classificação da Informação 5. Gestão de Risco 6. PCN 7. Desenvolvimento de Pessoas IV. Gestão da Segurança - Ciclo PDCA I. 2 Parte I INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO 3 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Informação e Segurança “Em um mundo onde existe uma riqueza de informação, existe freqüentemente uma pobreza de atenção.” Ken Mehlman 4 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO O bem mais valioso de uma organização pode não ser o produzido pela sua linha de produção ou pelo serviço prestado, mas as informações relacionadas com esse bem de consumo ou serviço. Exemplos: nº de casos de dengue por município Cadastro de servidores (agentes públicos) Mapeamento e descrição dos processos de negócio Censo escolar Indicadores da segurança pública Imagens de satélite 5 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Uma informação pode ser armazenada sob diversos meios: • Papel (escrita) • Dispositivos digitais • Memória Humana (volátil) 6 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Uma informação pode se transmitida por diversos meios: 7 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO É fato: Uma organização pode ter prejuízos incalculáveis ou até mesmo ser descontinuada por um incidente envolvendo informações. Não existe 100% de segurança. É preciso cercar o ambiente de informações com medidas que garantam sua segurança efetiva a um custo aceitável. 8 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO O que é segurança da informação? Segurança da informação é a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. 9 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Segurança da informações na administração pública Fraudes marcam a distribuição de ações. Gaeco apura vazamento de informação sobre operação em MT Vazamento de informação prejudicou operação no Rio, diz delegado Prejuízo com o vazamento da prova do Enem pode chegar a R$ 34 milhões Polícia investiga fraude no sistema da Nota Fiscal Paulista Autoescolas corrompem sistema digital e oferecem esquema para renovar CNH em SP FRAUDE NA PREVIDÊNCIA CHEGA A R$ 1,6 BILHÃO - MEIO MILHÃO DE MORTOS-VIVOS Confirmada fraude no concurso público do Governo do Mato Grosso. MPF/AP denuncia servidor público por fraude ao sistema de Dívida Ativa da União - Os prejuízos aos cofres públicos foram estimados em R$ 11 milhões. 10 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Dimensões de proteção da informação Disponibilidade Integridade Confidencialidade Segurança da Informação Autenticidade Não Repúdio 11 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Confidencialidade É uma característica da informação que diz respeito ao direito de acesso. Medidas de segurança devem garantir que a informação esteja acessível apenas para quem tem permissão de acesso, evitando, assim, revelação não autorizada. 12 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Confidencialidade Balancete contábil Secretaria (pública – acesso a todos os interessados) Informações táticas de operação policial a ser realizada (apenas os envolvidos no plano) Senha da conta bancária (somente o correntista) Gabarito de Prova não realizada (apenas os elaboradores da prova) Lista dos aprovados em concurso público (pública - todos os interessados) 13 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Integridade É uma característica da informação que diz respeito à sua exatidão. Medidas de segurança devem garantir que a informação seja alterada somente por pessoas e/ou ativos associados autorizados e em situações que efetivamente demandem a alteração legítima. 14 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Integridade Plano de Vôo Dados preenchidos em cheque Conteúdo de um Edital a ser publicado Prescrição médica para paciente internado 15 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Disponibilidade Medidas de segurança devem garantir que a informação esteja disponível, sempre que necessário, aos usuários e/ou sistemas associados que tenham direito de acesso a ela. 16 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Disponibilidade Extrato bancário Dados gerenciais para tomada de decisão índice de mortalidade infantil por município tamanho das áreas devastadas por queimadas nº de aposentadorias previstas para 2013 Dados para operacionalização de procedimentos ramal de telefones atualizado na recepção declaração de rendimentos para IRPF 17 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Autenticidade Diz respeito à certeza da origem da informação. Medidas de segurança devem garantir que a informação provem da fonte anunciada e que não foi alvo de mutação ao longo de sua transmissão. 18 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Autenticidade Página web do banco para digitar nº da conta e senha Certificado de Registro de Veículo para transferência de proprietário Atestado médico para justificar falta de funcionário 19 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Não repúdio Ou irretratabilidade, diz respeito à garantia de que o autor de determinada ação não possa negar tal ação. Medidas de segurança devem garantir meios que identifique inequivocamente o autor de uma ação. 20 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO • Não repúdio Notificação judicial (entrega em mãos por alguém de fé pública) Notificação extrajudicial (registradas) Posse de um processo (controle de assinatura do receptor, data e hora do recebimento). Acesso a determinado ambiente crítico (sistema por biometria). 21 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Dimensões da segurança da informação: Confidencialidade Integridade Autenticidade Disponibilidade Não Repúdio 22 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Segurança da Informação Proteção suportam manipuladas Negócio Informações Ativos Ativos: A própria informação Infraestrutura física Tecnologia da Informação Pessoas 24 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Proteção: Medidas / Controles de Segurança da Informação 25 I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO “ Segurança da Informação é como uma corrente cuja força é medida pelo seu elo mais fraco.” Nenhuma corrente é tão forte quanto o seu elo mais fraco. 26 II. CENÁRIO Segurança Física 27 CENÁRIO SEGURANÇA FÍSICA Pouca consideração com a localização das Instalações 28 29 Mega explosão do depósito de combustíveis de Buncefield Uma mega explosão no depósito de, um grande terminal de distribuição de combustível, que armazena óleo, gasolina e querosene, foi ouvida a 322 km de distância. A interrupção dos negócios foi sentida por todas as empresas de Maylands 48 horas após o incidente, sendo que a maioria foi afetada por longo tempo e muitas ainda estão sofrendo dos efeitos pós-incidente. Cerca de 90 empresas foram severamente afetadas pelo incidente com destruição total ou parcial de suas instalações e outros ativos. A maioria delas ainda está sofrendo os efeitos do incidente. 30 CENÁRIO SEGURANÇA FÍSICA Barreiras e Controle de Acesso Físico 31 CENÁRIO SEGURANÇA FÍSICA 32 CENÁRIO SEGURANÇA FÍSICA 33 CENÁRIO SEGURANÇA FÍSICA Infraestrutura de Utilidades : Energia elétrica, Abastecimento de água, Sistema de climatização 34 CENÁRIO SEGURANÇA FÍSICA 35 CENÁRIO SEGURANÇA FÍSICA Equipamentos 36 CENÁRIO SEGURANÇA FÍSICA 37 CENÁRIO SEGURANÇA FÍSICA Prevenção e combate a incêndio 38 CENÁRIO SEGURANÇA FÍSICA 39 CENÁRIO SEGURANÇA FÍSICA 40 II. CENÁRIO PESSOAS 41 CENÁRIO PESSOAS Incidentes de Segurança provocados por Pessoas Ignorância Negligência Má-fé 42 CENÁRIO PESSOAS 44 CENÁRIO PESSOAS 45 CENÁRIO PESSOAS A Engenharia Social 46 CENÁRIO PESSOAS A Engenharia Social "É a ciência que estuda como o conhecimento do comportamento humano pode ser utilizado para induzir uma pessoa a atuar segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicas de Engenharia Social são amplamente utilizadas por detetives (para obter informação) e magistrados (para comprovar se um declarante fala a verdade). Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de sistemas eletrônicos." Mário Peixoto em Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006. 47 CENÁRIO PESSOAS Objetivos do Engenheiro Social Espionagem industrial, Obter informações privilegiadas para obter vantagem, Obter informações confidenciais para cometer alguma fraude ou extorsão, Roubo de senhas de bancos ou cartões de crédito, Invadir sistemas por pura diversão o suficiente. 48 CENÁRIO PESSOAS http://pharma.msc.edu.eg/ATC.asp Egito 49 CENÁRIO PESSOAS Subject: Parabéns você ganhou uma TV LCD Philips Grátis. From: [email protected] Date: Mon, 21 Mar 2011 21:31:20 -0700 50 CENÁRIO PESSOAS Por que as pessoas são vulneráveis a manipulações? • Seis tendências básicas da natureza humana facilitam ataques de engenharia social: Autoridade Afabilidade Reciprocidade Validação Social Escassez 51 CENÁRIO PESSOAS Por que as pessoas são vulneráveis a manipulações? • Outros aspectos humanos também devem ser considerados, como Ambição Vaidade Carência afetiva Curiosidade Etc 52 CENÁRIO PESSOAS “Eu consegui porque entrei e ninguém me perguntou nada e nem pediu nenhuma identificação…”. 53 CENÁRIO PESSOAS “As pessoas acabam caindo nas minhas mentiras porque eu mexo com a ambição delas. Sou quem eles quiserem que eu seja”. Marcelo Rocha 54 CENÁRIO PESSOAS 55 II. CENÁRIO Segurança na Tecnologia da Informação 56 CENÁRIO TECNOLOGIA DA INFORMAÇÃO CENÁRIO DAS ORGANIZAÇÕES 57 CENÁRIO TECNOLOGIA DA INFORMAÇÃO • Negócios dependentes cada vez mais dos sistemas de informação e da Internet • Problemas: Infecção por vírus, Acesso não autorizado, Ataques denial of service contra redes e sistemas, Furto de informação proprietária, Invasão de sistemas, fraudes internas e externas, Espionagem sobre as redes, entre outras. 58 CENÁRIO TECNOLOGIA DA INFORMAÇÃO 59 CENÁRIO TECNOLOGIA DA INFORMAÇÃO 60 CENÁRIO TECNOLOGIA DA INFORMAÇÃO 61 CENÁRIO TECNOLOGIA DA INFORMAÇÃO Motivadores • A difusão da Internet • O aumento do número de vulnerabilidades nos sistemas existentes • Esforço e custo para mitigar tais vulnerabilidades com a aplicação de correções do sistema •A complexidade e a sofisticação dos ataques também contribuem de maneira direta para o aumento dos incidentes. 62 CENÁRIO TECNOLOGIA DA INFORMAÇÃO Quem são os atacantes? 63 CENÁRIO TECNOLOGIA DA INFORMAÇÃO Hacker e Cracker Fascínio pelo poder do controle; Alto conhecimento técnico de protocolos de redes e de sistemas operacionais; hacker britânico Gary McKinnon Cracker são os maiores responsáveis pelos danos de dados roubados e de fraudes em sistemas; Muitas organizações contratam hackers (“éticos”) para testarem a segurança de suas organizações. 64 CENÁRIO TECNOLOGIA DA INFORMAÇÃO Script Kiddie • Crackers inexperientes (geralmente das camadas etárias mais novas); • Utilizam o trabalho intelectual dos verdadeiros especialistas técnicos; • Almejam fama ou outros tipos de lucros pessoais. • Utilizam exploits, trojans e ferramentas de cracking construídos por terceiros para alcançar seus objetivos. • Ações mais comuns: defacement (alteração do conteúdo original de páginas web), fraudes com cartões de crédito e fraudes bancárias. 65 CENÁRIO TECNOLOGIA DA INFORMAÇÃO Atacantes Internos • Possuem autorização legítima para acesso e uso de informação, sistema, rede. • Fazem mau uso dos privilégios que possuem Legitimamente. Ex-servidora da Previdência Jorgina de Freitas • Tentam obter de maneira ilícita acessos com mais poderes. • Motivações: vingança ((ex)funcionário insatisfeito), ganho financeiro (fraude, roubo de informação privilegiada), desafio. 80% dos incidentes de segurança em uma organização são causados por usuários internos. 66 67 CENÁRIO TECNOLOGIA DA INFORMAÇÃO Alta SOFISTICAÇÃO DOS ATAQUES Rootkits DoS /DDoS Scanners de vulnerabilidades Spoofing de pacotes IP Baixa 1980 Exploits Ataques Web Port Scanners Sniffers Backdoors Desativação de auditoria Overflow / Worm Exploração de vulnerabilidades conhecidas Código auto-replicáveis Programas password cracking Advinhação de senhas 1985 1990 1995 2000 2002 2005 Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html. 68 CENÁRIO TECNOLOGIA DA INFORMAÇÃO Alto PERFIL DOS ATACANTES Especialistas, estudiosos Richard Skrenta Criador 1º virus Conhecimento Técnico Script Kiddies Baixo 1980 1985 1990 1995 2000 2002 Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html. 2005 69 CENÁRIO TECNOLOGIA DA INFORMAÇÃO Alto Sofisticação das ferramentas Nível de Conhecimento Baixo 1980 1985 1990 1995 2000 2002 2005 Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html. 70 CENÁRIO TECNOLOGIA DA INFORMAÇÃO Problemática dos ambientes de TI Ambientes mais complexos e heterogêneos Diversos fornecedores Necessidade de pessoal com formações especializadas Complexidade na administração dos ambientes Muita demanda de serviços via TI e urgências 71 CENÁRIO TECNOLOGIA DA INFORMAÇÃO 72 2. CENÁRIO TECNOLOGIA DA INFORMAÇÃO 73 II. CENÁRIO ASPECTOS LEGAIS 74 ASPECTOS LEGAIS Cenário no ambiente de trabalho • Problemas mais comuns: Uso dos recursos de Tecnologia da Informação (TI) da organização para interesses pessoais • Uso malicioso ou negligente dos recursos de Tecnologia da Informação (TI) da organização ASPECTOS LEGAIS Cenário no ambiente de trabalho Pesquisa com 1,6 mil pessoas realizada por empresa de consultoria em produtividade: 80% gastam até três horas do tempo de trabalho com atividades que não contribuem para o serviço, e boa parte está ligada à internet; 36% afirmam que acessam Internet sem o foco do trabalho; 40% dizem repassar correntes e também piadas por email; 20% curtem joguinhos online; 56% fazem compras pela internet e; 11% veem pornografia no computador. Tudo em plena hora de trabalho! 76 ASPECTOS LEGAIS Cenário no ambiente de trabalho Quem paga a conta? Salário + encargos; Banda Internet; Armazenamento dos downloads; Trabalho dos administradores de TI; Atrasos nas entregas do trabalho e desdobramentos; Ataques de códigos maliciosos na rede da organização; Outros custos diretos e indiretos É um problema ético do empregado e da organização permissiva. 77 ASPECTOS LEGAIS Responsabilidade Civil dos Executivos , Gestores e Profissionais em geral • Executivos, gestores e profissionais de TI respondem legalmente pelos danos causados através dos meios eletrônicos. • O Código Civil prevê que o empregador é responsável por tudo o que os trabalhadores fazem usando as conexões e os equipamentos da empresa. Isso significa que, se um funcionário cometer um crime por meio do computador do trabalho, a empresa responde judicialmente pelo caso. O funcionário também poderá responder pelo crime, mas os prejudicados costumam processar as empresas por conta de elas terem mais poder e dinheiro em caso de indenizações. 78 ASPECTOS LEGAIS Por ter praticado ou deixado como estava Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito. Não ter tomado os devidos cuidados 79 ASPECTOS LEGAIS TRT-RS: ao deixar de tomar providências para apuração de envio de e-mails de conteúdo ofensivo, o empregador é responsável pela indenização dos danos morais. TRT-SP: Empregado que assediava colegas por e-mail é demitido por justa causa STJ - Demissão que ocorre por empregado ceder sua senha eletrônica para burlar sistema eletrônico é legal TST admite que banco investigue e-mail de trabalho do empregado TJ-SC: Banco Itaú indenizará correntista que foi vítima da ação de hackers Para TRT-SP, copiar documento sigiloso sem autorização dá justa causa TRT-MG: Advogado acusa escritório de monitorar empregados e indenização é rejeitada 80 III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO SÉRIE NBR ISO/IEC 27000 Para que reinventar a roda? 84 SÉRIE NBR ISO/IEC 27000 ISO 27001 Define os requisitos para um sistemas de gestão de segurança da informação ISO 27002 ISO 27003 ISO 27004 ISO 27005 85 SÉRIE NBR ISO/IEC 27000 ISO 27001 ISO 27002 Boas práticas para a gestão de segurança da informação ISO 27003 ISO 27004 ISO 27005 86 SÉRIE NBR ISO/IEC 27000 ISO 27001 ISO 27002 ISO 27003 Guia para a implantação de um sistema de gestão de segurança da informação (metodologia) ISO 27004 ISO 27005 87 SÉRIE NBR ISO/IEC 27000 ISO 27001 ISO 27002 ISO 27003 ISO 27004 Define métricas e meios de medição para avaliar a eficácia de um sistema de gestão de segurança da informação ISO 27005 88 SÉRIE NBR ISO/IEC 27000 ISO 27001 ISO 27002 ISO 27003 ISO 27004 ISO 27005 Fornece as diretrizes para o processo de gestão de riscos de segurança da informação 89 SÉRIE NBR ISO/IEC 27000 ISO 27002 – Código de práticas para a gestão de segurança da informação Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativos Classificação da Informação Segurança em Recursos Humanos Segurança Física e do Ambiente Controle de Acesso Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Conformidade Gestão das Operações e Comunicações 90 SÉRIE NBR ISO/IEC 27000 Segurança em Recursos Humanos Antes da contratação papéis e responsabilidades definidos e documentados seleção (referências, verificação das informações do currículo, qualificações acadêmicas e profissionais, verificações financeiras e criminais) Termos e condições Durante a contratação Responsabilidades da direção conscientização, educação e treinamento Processo disciplinar Encerramento ou mudança de contratação Encerramento de atividades Devolução de ativos Retirada de direitos de acesso 91 III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO Política de Segurança da Informação Gosto não se discute, mas política de segurança se deve discutir, e muito! 92 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO O que são políticas de segurança da informação? “Uma Política de Segurança da Informação é um documento que deve descrever as práticas que a organização espera que sejam seguidas por todos os empregados para proteger seus ativos de informação.” Scott Barman 93 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Políticas são importantes para: Comunicar os objetivos e as diretrizes da segurança da informação; Garantir a implementação apropriada de controles de segurança; Demonstrar o compromisso e apoio da alta administração; Evitar problemas legais (indenizações, multas); Alcançar um nível de segurança consistente evitando esforços segmentados. 94 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Desafio 95 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Motivos de resistência Pessoas, naturalmente, não gostam de regras e vêem políticas como controles; Consideram um impedimento à produtividade; Diferentes visões sobre necessidades de segurança; Dificuldades de seguir e implementar. 96 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Objetivo – ISO 27002 Uma política de segurança da informação tem como objetivo prover uma orientação e apoio da alta administração para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes. • ANVISA • Pesquisa e clínica média • CRM • Administração pública • Sarbane-Oxley • Indústria Alimentícia • Banco Central • Seguradora • ANATEL • Financeiras • ANAC • Telefonia ... POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Fatores Críticos de Sucesso ??? Implementável e aplicável Concisa e de fácil entendimento por todos Equilibrar proteção e produtividade Revisada periodicamente COMUNICADA, DIVULGADA, DISSEMINADA 98 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Documentos que compõem um Política de Segurança Os documentos que compõem uma política de segurança de informação variam bastante em cada organização, porém a grande maioria segue a estrutura: Carta de comprometimento da alta administração Diretrizes ou Política de Segurança Normas de Segurança Procedimentos e Instruções 99 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Fonte: Segurança e Auditoria de Sistemas – UNIBAN - Thiago Bordini 100 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO No Poder Executivo da Administração Pública do Estado de Mato Grosso, através de resoluções do COSINT: Políticas e Diretrizes da Segurança da Informação Estadual (Res. 003/2010) Norma de Segurança Estadual para Acesso à Informação (Res. 008/2010) Procedimento para concessão e bloqueio de acesso Procedimento para manter Termo de Responsabilidade e Sigilo Norma de Segurança para Uso do Correio Eletrônico Corporativo Norma de Segurança de Acesso à Internet (Res. 009/2011) (Res. 010/2011) Norma de Segurança para Administração de Senhas (Res. 011/2011) 102 III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO Organização da Segurança da Informação 103 A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO Em que nível se enquadra a segurança da informação em uma organização? Estratégico Tático Operacional 104 A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO Um modelo ... Alta Administração Comitê Multidisciplinar Gestor Segurança Informação Gestores Colaboradores 105 A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO Comitê Multidisciplinar Recursos Humanos Assessoria Jurídica Exemplo de formação de um Comitê de Segurança 106 A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO Alta Administração Gestor Segurança da Informação Gestores Colaboradores Comitê Multidisciplinar Gestores Gestores Colaboradores Colaboradores 107 III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO Classificação da Informação 108 CLASSIFICAÇÃO DA INFORMAÇÃO “A informação sempre tem valor. Se você não o souber, sempre há alguém que imagina o quanto ela vale; e você pode ficar sabendo somente quando for tarde demais.” Caruso&Steffen 109 CLASSIFICAÇÃO DA INFORMAÇÃO • A Classificação da Informação permite identificar o grau de proteção necessário baseado no valor da informação. •Tal proteção designa-se a evitar destruição, modificação e/ou revelação não autorizada. Disponibilidade Integridade Confidencialidade 110 CLASSIFICAÇÃO DA INFORMAÇÃO O que é? É o processo de identificar os níveis apropriados de proteção à informação, a partir de critérios bem definidos, garantindo a sua confidencialidade, integridade e disponibilidade. Por que? Permite a proteção adequada às informações. A Classificação da informação formalizada e instituída evita equívocos por subjetividade nas medidas de proteção das informações de uma organização. 111 CLASSIFICAÇÃO DA INFORMAÇÃO Exemplo Níveis de Confidencialidade ou Sensibilidade: Nível Critérios Confidencial informações que, em razão de lei, interesse público ou para a preservação de direitos individuais, devam ser de conhecimento reservado e, portanto, requeiram medidas especiais de segurança e salvaguarda. Restrita informações que, por sua natureza, só podem ser divulgadas a grupo restrito de pessoas; Uso interno informações que, por sua natureza, são de interesse exclusivo da organização; Pública Todas as demais informações. 112 CLASSIFICAÇÃO DA INFORMAÇÃO A proteção da informação deve considerar todos os aspectos de manipulação, tais como: Controle de cópia Armazenamento Transporte interno Transporte externo Transmissão via linha telefônica ou fax Transmissão por redes de comunicação Descarte 113 CLASSIFICAÇÃO DA INFORMAÇÃO É BOM LEMBRAR ..... Valor da Informação Custo da Proteção Custo X Benefício 114 CLASSIFICAÇÃO DA INFORMAÇÃO Instrumentos para instituição da Classificação da Informação: Diretrizes Normas Procedimentos • Política e Diretrizes para Classificação da Informação • Norma de Segurança para Classificação da Informação • Instruções para Proteção da Informação 115 III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO Gestão de Risco 116 GESTÃO DE RISCOS “O maior risco é crer que não há riscos.” Caruso&Steffen 117 GESTÃO DE RISCOS Prática preventiva; Consiste em: Reconhecer os potenciais riscos sobre determinado objeto (contexto) que se quer proteger, Mensurar a capacidade desses riscos em causar danos e a severidade dos possíveis danos, Tratar esses riscos preventivamente, modificando-o para um nível aceitável. Referência: ABNT NBR ISO 31000 Gestão de riscos – Princípios e diretrizes 118 GESTÃO DE RISCOS Ambiente, Sistema, Projeto, Serviço Determinar o contexto Acompanhamento dos riscos Analisar os riscos Ameaças, Vulnerabilidades, Controles, Impactos, Probabilidade • Grandeza (Quantitativa ou Qualitativa) • Urgência Tratar os riscos Avaliar os riscos • Aceitar • Evitar • Minimizar o impacto • Diminuir a probabilidade • Transferir ou compartilhar 119 carpete 120 III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO Plano de Continuidade do Negócio 121 PLANO DE CONTINUIDADE DO NEGÓCIO “… depois, não adianta chorar o leite desrramado”. 122 PLANO DE CONTINUIDADE DO NEGÓCIO FATOS ... Dentre as empresas que sofrem grandes incidentes sem possuir um plano: 40% não sobrevivem 40% encerram suas atividades em 18 meses 12% encerram suas atividades em 5 anos 8 % sobrevivem Fonte: Safetynet/Guardian IT 123 PLANO DE CONTINUIDADE DO NEGÓCIO PCN é um conjunto de planos que se complementam, oferecendo uma solução completa para a continuidade dos negócios essenciais numa situaçao de falha ou interupção nos componentes que suportam os principais processos. Modulo Security Tem o foco na continuidade das funções vitais do negócio; Geralmente contém o plano de recuperação de desastres e o plano de contingência TI; Convém ter o plano de gerenciamento de crise Fonte: ABNT NBR 15999-1 e 2 Gestão de Continuidade de Negócio 124 PLANO DE CONTINUIDADE DO NEGÓCIO Plano de Contingência Plano de Recuperação de Desastre Garante a continuidade Recupera / restaura os Operacional dos Processos componentes que suportam os de Negócios Vitais Processos de Negócios Gerenciamento de Crise Coordena ações, minimiza perdas, salva vidas, estabelece portavoz, ... 125 PLANO DE CONTINUIDADE DO NEGÓCIO 126 PLANO DE CONTINUIDADE DO NEGÓCIO Tinha PCN ??? 127 PLANO DE CONTINUIDADE DO NEGÓCIO Um bom PCN evita a falsa sensação de segurança. 128 III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO Desenvolvimento de Pessoas Segurança da Informação começa e termina em pessoas. 129 DESENVOLVIMENTO DE PESSOAS 130 DESENVOLVIMENTO DE PESSOAS Só existe uma maneira de manter seguros os negócios de uma organização: Ter uma força de trabalho consciente e treinada. COMO? Desenvolvendo uma estratégia para aumentar o nível de consciência da segurança da informação e a habilidade de aplicar os princípios e conceitos às atividades funcionais É crítico empreender os dois princípios de aprendizagem: CONSCIÊNCIA e CAPACITAÇÃO. 131 DESENVOLVIMENTO DE PESSOAS CONSCIENTIZAÇÃO Que comportamento a organização espera dos colaboradores ? CAPACITAÇÃO Que habilidade(s) a organização quer que seja desenvolvida? 132 DESENVOLVIMENTO DE PESSOAS RESULTADO … Conscientização Um profissional que, envolvido com a segurança da informação, se comporta de maneira a proteger informações e ativos e planeja e aplica técnicas de proteção adequadas. Capacitação Tudo isso seguindo os princípios e diretrizes de segurança estabelecidos pela organização. 133 Políticas de Segurança DESENVOLVIMENTO DE PESSOAS Alguns recursos úteis para programas de Conscientização: • Identificação visual (mascote, lema) •Palestras • Gincanas com premiações • Banners (físicos e digitais) • E-mails • Cartilhas • Faixas • Brindes com mensagens • e-Boletins… 134 DESENVOLVIMENTO DE PESSOAS “Uma boa ação pode gerar uma reação em cadeia até que … uma má ação a anule.” “A segurança da informação começa e termina em PESSOAS.” 135 III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO Ferramentas de Segurança “Segurança não é um produto que se pode comprar de prateleira, mas que consiste de políticas, pessoas, processos e tecnologia“ (Kevin Mitinik) 136 FERRAMENTAS DE SEGURANÇA Tecnologias de Apoio Autenticação Criptografia Tecnologias Preventivas e Detectivas Firewall Anti-Malwares IDS VPN 137 FERRAMENTAS DE SEGURANÇA Autenticação É um processo que verifica, a partir de uma identidade digital, se o usuário possui o direito de acesso a um sistema, um computador ou um ambiente. Pode ser baseada em um ou na combinação dos seguintes fatores: Algo que o usuário conhece. Algo que o usuário tem Algo que o usuário é Onde o usuário está 138 FERRAMENTAS DE SEGURANÇA Algumas recomendações para uma boa senha (ISO/IEC 27001): manter a confidencialidade das senhas; evitar anotar senhas; alterar senha sempre que existir qualquer indicação de comprometimento de sua confidencialidade; Selecionar senhas de qualidade 139 FERRAMENTAS DE SEGURANÇA 140 FERRAMENTAS DE SEGURANÇA As forças armadas dos Estados Unidos utilizaram a senha „00000000‟ para proteger esses computadores durante oito anos (de 1968 a 1976). Para a sorte dos norte-americanos, na época não havia nenhum hacker esperto o bastante para utilizar um robô de força bruta para quebrar os códigos e causar uma catástrofe. 141 FERRAMENTAS DE SEGURANÇA Outras Ferramentas de Autenticação Biometria 142 FERRAMENTAS DE SEGURANÇA Criptografia • Usada para ”embaralhar” uma determinada informação que deve ser mantida em segredo, protegendo-a do acesso por terceiros não autorizados. • Somente as pessoas autorizadas conseguirão ”desembaralha-la” para ter o conhecimento de seu teor. 143 FERRAMENTAS DE SEGURANÇA • Uso da tecnologia de criptografia Cifragem / Decifragem ou criptografia/decriptografia Certificação digital Assinatura Digital 144 FERRAMENTAS DE SEGURANÇA • Cifragem / Decifragem ou criptografia/decriptografia • dados no computador • dados em pendrive • conteúdos e anexos em e-mails • dados a serem trafegados em redes inseguras (internet) confidencialidade 145 FERRAMENTAS DE SEGURANÇA http://www.com.br 146 FERRAMENTAS DE SEGURANÇA https://www2.bancobrasil.com.br 147 FERRAMENTAS DE SEGURANÇA • Certificação Digital autenticidade Identidade digital de pessoa, organização, equipamento; Emitido por instituição reconhecida como confiável entre as partes; Utilizado para autenticar a identidade das partes em um transação digital 148 FERRAMENTAS DE SEGURANÇA • Assinatura Digital Autenticidade e integridade • Utiliza o certificado digital do signatário • A assinatura digital garantia a integridade do conteúdo e autenticidade do signatário. Vincula o conteúdo do arquivo com a assinatura. • A assinatura digital gerada através de certificado digital emitido por entidade da ICP-Brasil tem validade legal. 149 FERRAMENTAS DE SEGURANÇA Indicador de Assinatura Digital Para Criptografar basta clicar 150 FERRAMENTAS DE SEGURANÇA Outras ferramentas de segurança: Firewall Anti-malware IDS – Sistema de Detecção de Intrusão VPN – Virtual Private Network 151 III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO Segurança Física 152 SEGURANÇA FÍSICA Perímetros de Segurança Consiste em isolar áreas com diferentes níveis de risco e criticidade Segurança em camadas Deve-se considerar os riscos de fora para dentro Controle de Acesso Físico Prover segurança de acesso a áreas delimitadas salas de computadores, almoxarifado, sala de máquinas, arquivo geral, ... 153 SEGURANÇA FÍSICA 154 SEGURANÇA FÍSICA Recomendações sobre controle de Acesso Físico: A entrada de pessoas em áreas de segurança deve ser controlada para que apenas pessoas autorizadas tenham acesso. Controles: • Registro da data e hora da entrada e saída de visitantes • As permissões de acesso devem ser concedidas somente para finalidades específicas e autorizadas • O acesso a áreas em que são processadas ou armazenadas informações sensíveis deve ser restrito às pessoas autorizadas; • Funcionários, fornecedores e terceiros, e todos os visitantes, devem possuir alguma forma visível de identificação 155 SEGURANÇA FÍSICA Infraestrutura de Utilidades Energia elétrica, abastecimento de água, tratamento de esgotos e ar- condicionado; Exige manutenções regulares para assegurar seu funcionamento correto; Recomenda-se o uso de UPS (Uninterruptible Power Supply) para suportar as paradas e desligamento dos equipamentos. O sistema mais comum é o no-break. Deve ser considerado o emprego de um gerador de emergência caso seja necessário para o negócio. 156 SEGURANÇA FÍSICA Circuito Fechado de TV O sistema de circuito fechado de TV mantém a vigilância constante sobre os pontos mais críticos. Para realização do monitoramento sem riscos legais: Manter sempre aviso em especial na entrada do recinto Conteúdo das filmagens só poderá ser transcrito e utilizado em face de investigação Conteúdo das filmagens deve ter controle de acesso rígido. Treinamento específico aos responsáveis pela análise das imagens Também se deve observar para que não haja exposição do colaborador ao ridículo, tampouco gerar algum tipo de perseguição (colocar a câmera vigiando apenas determinada pessoa e não todo o ambiente). 157 SEGURANÇA FÍSICA Segurança Física em Equipamentos Algumas considerações: Posicionamento do monitor de maneira a evitar visualização de informações por pessoas não autorizadas; Controles contra furtos e sabotagens; Inibir comidas ou bebidas próximas a equipamentos; Condições ambientais: temperatura, umidade, poeira, gazes; Cabos de segurança para laptops. 158 SEGURANÇA FÍSICA Segurança contra Fogo Precauções: Somente equipamentos em funcionamento devem ser mantidos ligados; Não se deve permitir qualquer atividade que produza fumaça ou qualquer gás em recinto de instalação sensível; Antes da saída de pessoal de instalação sensível: Fechar todas as portas e aberturas entre os diversos compartimentos; Papéis e sucatas de papel devem ser recolhidos e removidos; Retirar da energia equipamentos que não necessitam ficar ligados; Verificar se sistema de combate e prevenção de incidente está operante; Plano e Treinamento contra incêndio. 159 SEGURANÇA FÍSICA Segurança contra Fogo 9. Classes de Incêndio: Classe A – combustíveis sólidos comuns; queimam em superfície e em profundidade. Ex.: papel,madeira, tecido, fibras. Classe B – combustíveis inflamáveis derivados do petróleo e outras fontes; queimam na superfície.Ex.: gasolina, alcool, querosene, parafina, acetileno. Classe C – equipamentos elétricos e eletrônicos com energia.Ex.: máquinas, motores, instalações elétricas. Classe D – metais pirofóricos; requerem agentes extintores específicos; se inflamam em contato com o ar. Ex.: magnésio, sódio, potássio, pó de zinco. 160 III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO ASPECTOS LEGAIS 161 ASPECTOS LEGAIS Melhores Práticas • Educação • Políticas, normas e termos de responsabilidade • Monitoramento • Os recursos de TI são do empregador • Deve estar claro aos empregados de que não há privacidade no uso dos recursos da empresa (e-mails corporativos, acesso Internet) • Os empregados devem estar cientes dos monitoramentos a que estão submetidos (Internet, e-mails, filmagem, ...) • Medidas disciplinares 162 IV. GESTÃO DA SEGURANÇA DA INFORMAÇÃO Ciclo PDCA 163 PLANEJAR AGIR Planos de Segurança: • Revisão Política e Normas • Programa de educação / capacitação • Implementação controles de segurança • Definição das metas e indicadores • Planejar monitoramento da conformidade, gestão de risco e gerenciamento dos incidentes • Tratar Incidentes • Identificar causas • Responsabilizar • Tratar riscos urgentes • Tratar desvios nos indicadores Gestão da Segurança da Informação • Classificar incidentes • Analisar e Avaliar Riscos • Analisar medidas dos indicadores • Analisar desvios de conformidade • Novos requisitos de segurança? • Novos requisitos legais? VERIFICAR Execução dos Planos 164 EXECUTAR OBRIGADA! SORAIA DE FELICE [email protected] [email protected] 165