Edilberto Silva - www.edilms.eti.br
Sumário
Fontes das Necessidades de Segurança
Risk Assessment
Necessidades legais e contratuais
Necessidades organizacionais
Security Policy
Baseado no material dos profs.:
• Márcio D avila / FUMEC
• Mauro Sobrinho / Unieuro
• Mehran Misaghi / SOCIESC
Risk Assessment
O processo de proteção de ativos deve ser
precedido pela avaliação dos riscos, objetivando:
Identificar as vulnerabilidades existentes no ambiente
Classificar o grau de risco para cada ativo
Definir a prioridade de implementação de correções
Implementar correções “on the fly” em
vulnerabilidades gravíssimas
Edilberto Silva
[email protected] / www.edilms.eti.br
http://www.edilms.eti.br
Necessidades Legais e Contratuais
Controles exigidos pela Legislação Internacional, Federal, Estadual
ou Municipal
IATA (International Air Transport Association)
Banco Central do Brasil
Agências Governamentais
Secretarias Estaduais e Municipais
Contratos com clientes, parceiros comerciais e/ou fornecedores
Respeito aos direitos intelectuais e propriedade industrial
Confidencialidade nas transações
Prof. Edilberto Silva - [email protected] - PGSI
Necessidades Organizacionais
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
Security Policy
Mudança Organizacional
Fusão com empresa controladora
Aquisição de empresa menor de importância estratégica
Orientações da Matriz
A Security Policy é um elemento fundamental para
implementar, administrar e auditar periodicamente a
segurança da informação em uma organização
Mudança Mercadológica
Entrada em novos mercados
Migração para o e-commerce
Novas parcerias comerciais
Após sua definição os controles presentes devem
ser seguidos, possibilitando atingir o grau
estabelecido previamente como adequado
Integridade de dados de uso comum
Disponibilidade de informações estratégicas
Aspectos inerentes a responsabilidade civil
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
1
Edilberto Silva - www.edilms.eti.br
Modelos de Proteção
Princípio do “menor privilégio”
Correção de vulnerabilidades
Definição do modelo ideal
O administrador do ativo em questão poderá:
Não existe um modelo ideal aplicável a todos os
ambientes, mas um bom exemplo deve ter:
Possíveis vulnerabilidades corrigidas
Aplicação do princípio do “menor privilégio”
Uso de ferramamentas de proteção
Planos de respostas a ataques
Privilégio é qualquer função ou direito que um usuário ou
programa tenha acesso
Desabilitar os serviços desnecessários
Implementar uma política de user ids e senhas confiável
Corrigir os bugs de segurança
Implementar os patches e hot-fixes recomendados
Implementar testes de segurança, preventivos e reativos
De acordo com o princípio, todos os elementos existentes
devem apenas ter os privilégios e direitos de acesso
necessários para que executem suas funções
A aplicação deste princípio não elimina os riscos ou impede
os ataques, mas reduz uma série de ameaças que são
possíveis por erros de configuração no perfil de acesso de
usuários e programas
Uma das principais falhas é da generalização, normalmente
utilizada para “facilitar” o gerenciamento
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
Uso de ferramentas de proteção
A arquitetura de um site Internet seguro deve incluir
as ferramentas de proteção listadas abaixo:
Segmentação de Rede
Firewalls
Autenticação
Criptografia
Detecção de Intrusos
Segurança interna nos servidores
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
Modelo de Topologia Segura
Sua rede interna está
corretamente configurada ?
Existe uma política de senhas
e usuários sendo cumprida ?
Seus parceiros comerciais
seguem alguma política de
segurança ? E os parceiros
deles ?
Você tem um firewall,
roteadores e proxy servers,
mas eles estão configurados
corretamente ?
http://www.edilms.eti.br
Hackers podem utilizar
a Internet contra a sua
rede
Funcionários acessam a
rede de casa, mas quem
controla os equipamentos
fora do ambiente de
trabalho ?
Risk Assessment
As filiais tendem a ter menos
controle da Matriz. O
administrador da rede foi
corretamente treinado ?
Prof. Edilberto Silva - [email protected] - PGSI
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
2
Edilberto Silva - www.edilms.eti.br
O que é risco ?
Probabilidade de uma ameaça explorar vulnerabilidades para
causar perdas ou danos a um ativo ou grupo de ativos da
organização.
Implementando um Risk Assessment
1.
2.
3.
São determinados pela combinação de:
Ameaças
4.
5.
Identificar o escopo da análise
Analisar as vulnerabilidades existentes
Definir a criticidade dos riscos
Desenhar um Plano de Ação
Implementar as correções
Vulnerabilidades
Identificar o escopo da análise
Quais são as partes mais importantes dos negócios da
organização ?
Como os negócios são suportados pelo uso de tecnologia e
quão essencial é este suporte?
Quais decisões essenciais dependem da atualização,
precisão, disponibilidade e integridade das informações?
Quais informações necessitam ser protegidas?
Valores dos ativos
Quais são as implicações de incidentes de segurança para os
negócios e para a organização?
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
Analisar as vulnerabilidades existentes
Vulnerabilidades técnicas
Inexistência de controle de acesso
Inexistência de uma política de senhas
Aplicações sem patches de segurança
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
Como identificar as vulnerabilidades ?
Vulnerabilidades técnicas
Uso de softwares
Análise técnica dos equipamentos
Conexões inadequadas para redes externas
Deficiências em protocolos de comunicação
Vulnerabilidades processuais
Inexistência de Termo de Sigilo e Responsabilidade
Armazenamento desprotegido de documentos
Vulnerabilidades processuais
Análise de documentos
Entrevistas com usuários
Análise física dos ambientes
Destruição inadequada de mídias
Treinamento inadequado
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
Definir a criticidade dos riscos
Gerar uma Matriz de Classificação possibilita que o processo
de tomada de decisão seja feito conforme a criticidade dos
riscos
Isso facilita responder a algumas perguntas:
Para onde direcionar o orçamento?
Duas vulnerabilidades ocorrem em ativos idênticos, qual é
o mais importante?
Os funcionários não usam as senhas corretas. A
organização tem um documento que defina como deveriam
ser feitas?
Se existe, esse documento foi divulgado ?
Se foi divulgado, o uso é auditado ?
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
3
Edilberto Silva - www.edilms.eti.br
Gerando um Matriz de Classificação
Definir uma métrica para pontuar os ativos e as vulnerabilidades
Inexistente, baixo, médio, alto, muito alto
Desenhar um Plano de Ação
Com as vulnerabilidades classificadas, deve ser criado um Plano de
Ação para implementar as correções necessárias.
0 (baixo) até 10 (alto)
Reduzir as vulnerabilidades para alguns padrões que possam ser
extendidos a todos os eventos
Não cumprimento da Security Policy
Queda de performance
Quebra de confidencialidade
Queda do sistema e/ou aplicações
Perda financeira
Ameaça ambiental
Implementar as correções
A implementação das correções é um passo intermediário, que
possibilita à organização adequar seus processos ao Ciclo de
Segurança
Exploram
Objetivos:
Ameaças
Vulnerabilidades
Minimizar possíveis impactos no andamento das atividades
Maximizar a relação custo/benefício, agrupando vulnerabilidades
Reduzir o tempo para implementação
Adequar os perfis dos profissionais envolvidos no processo
Protegem contra
Controles
de Segurança
Aumentam
Riscos de Segurança
Implementadas
com
Indicam
Necessidades
de Segurança
http://www.edilms.eti.br
Prof. Edilberto Silva - [email protected] - PGSI
http://www.edilms.eti.br
Expõe
Aumentam
Ativos
Possuem
Valores e Impactos
Prof. Edilberto Silva - [email protected] - PGSI
4
Download

Módulo II - Prof. Edilberto Silva