Edilberto Silva - www.edilms.eti.br Sumário Fontes das Necessidades de Segurança Risk Assessment Necessidades legais e contratuais Necessidades organizacionais Security Policy Baseado no material dos profs.: • Márcio D avila / FUMEC • Mauro Sobrinho / Unieuro • Mehran Misaghi / SOCIESC Risk Assessment O processo de proteção de ativos deve ser precedido pela avaliação dos riscos, objetivando: Identificar as vulnerabilidades existentes no ambiente Classificar o grau de risco para cada ativo Definir a prioridade de implementação de correções Implementar correções “on the fly” em vulnerabilidades gravíssimas Edilberto Silva [email protected] / www.edilms.eti.br http://www.edilms.eti.br Necessidades Legais e Contratuais Controles exigidos pela Legislação Internacional, Federal, Estadual ou Municipal IATA (International Air Transport Association) Banco Central do Brasil Agências Governamentais Secretarias Estaduais e Municipais Contratos com clientes, parceiros comerciais e/ou fornecedores Respeito aos direitos intelectuais e propriedade industrial Confidencialidade nas transações Prof. Edilberto Silva - [email protected] - PGSI Necessidades Organizacionais http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI Security Policy Mudança Organizacional Fusão com empresa controladora Aquisição de empresa menor de importância estratégica Orientações da Matriz A Security Policy é um elemento fundamental para implementar, administrar e auditar periodicamente a segurança da informação em uma organização Mudança Mercadológica Entrada em novos mercados Migração para o e-commerce Novas parcerias comerciais Após sua definição os controles presentes devem ser seguidos, possibilitando atingir o grau estabelecido previamente como adequado Integridade de dados de uso comum Disponibilidade de informações estratégicas Aspectos inerentes a responsabilidade civil http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI 1 Edilberto Silva - www.edilms.eti.br Modelos de Proteção Princípio do “menor privilégio” Correção de vulnerabilidades Definição do modelo ideal O administrador do ativo em questão poderá: Não existe um modelo ideal aplicável a todos os ambientes, mas um bom exemplo deve ter: Possíveis vulnerabilidades corrigidas Aplicação do princípio do “menor privilégio” Uso de ferramamentas de proteção Planos de respostas a ataques Privilégio é qualquer função ou direito que um usuário ou programa tenha acesso Desabilitar os serviços desnecessários Implementar uma política de user ids e senhas confiável Corrigir os bugs de segurança Implementar os patches e hot-fixes recomendados Implementar testes de segurança, preventivos e reativos De acordo com o princípio, todos os elementos existentes devem apenas ter os privilégios e direitos de acesso necessários para que executem suas funções A aplicação deste princípio não elimina os riscos ou impede os ataques, mas reduz uma série de ameaças que são possíveis por erros de configuração no perfil de acesso de usuários e programas Uma das principais falhas é da generalização, normalmente utilizada para “facilitar” o gerenciamento http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI Uso de ferramentas de proteção A arquitetura de um site Internet seguro deve incluir as ferramentas de proteção listadas abaixo: Segmentação de Rede Firewalls Autenticação Criptografia Detecção de Intrusos Segurança interna nos servidores http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI Modelo de Topologia Segura Sua rede interna está corretamente configurada ? Existe uma política de senhas e usuários sendo cumprida ? Seus parceiros comerciais seguem alguma política de segurança ? E os parceiros deles ? Você tem um firewall, roteadores e proxy servers, mas eles estão configurados corretamente ? http://www.edilms.eti.br Hackers podem utilizar a Internet contra a sua rede Funcionários acessam a rede de casa, mas quem controla os equipamentos fora do ambiente de trabalho ? Risk Assessment As filiais tendem a ter menos controle da Matriz. O administrador da rede foi corretamente treinado ? Prof. Edilberto Silva - [email protected] - PGSI http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI 2 Edilberto Silva - www.edilms.eti.br O que é risco ? Probabilidade de uma ameaça explorar vulnerabilidades para causar perdas ou danos a um ativo ou grupo de ativos da organização. Implementando um Risk Assessment 1. 2. 3. São determinados pela combinação de: Ameaças 4. 5. Identificar o escopo da análise Analisar as vulnerabilidades existentes Definir a criticidade dos riscos Desenhar um Plano de Ação Implementar as correções Vulnerabilidades Identificar o escopo da análise Quais são as partes mais importantes dos negócios da organização ? Como os negócios são suportados pelo uso de tecnologia e quão essencial é este suporte? Quais decisões essenciais dependem da atualização, precisão, disponibilidade e integridade das informações? Quais informações necessitam ser protegidas? Valores dos ativos Quais são as implicações de incidentes de segurança para os negócios e para a organização? http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI Analisar as vulnerabilidades existentes Vulnerabilidades técnicas Inexistência de controle de acesso Inexistência de uma política de senhas Aplicações sem patches de segurança http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI Como identificar as vulnerabilidades ? Vulnerabilidades técnicas Uso de softwares Análise técnica dos equipamentos Conexões inadequadas para redes externas Deficiências em protocolos de comunicação Vulnerabilidades processuais Inexistência de Termo de Sigilo e Responsabilidade Armazenamento desprotegido de documentos Vulnerabilidades processuais Análise de documentos Entrevistas com usuários Análise física dos ambientes Destruição inadequada de mídias Treinamento inadequado http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI Definir a criticidade dos riscos Gerar uma Matriz de Classificação possibilita que o processo de tomada de decisão seja feito conforme a criticidade dos riscos Isso facilita responder a algumas perguntas: Para onde direcionar o orçamento? Duas vulnerabilidades ocorrem em ativos idênticos, qual é o mais importante? Os funcionários não usam as senhas corretas. A organização tem um documento que defina como deveriam ser feitas? Se existe, esse documento foi divulgado ? Se foi divulgado, o uso é auditado ? http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI 3 Edilberto Silva - www.edilms.eti.br Gerando um Matriz de Classificação Definir uma métrica para pontuar os ativos e as vulnerabilidades Inexistente, baixo, médio, alto, muito alto Desenhar um Plano de Ação Com as vulnerabilidades classificadas, deve ser criado um Plano de Ação para implementar as correções necessárias. 0 (baixo) até 10 (alto) Reduzir as vulnerabilidades para alguns padrões que possam ser extendidos a todos os eventos Não cumprimento da Security Policy Queda de performance Quebra de confidencialidade Queda do sistema e/ou aplicações Perda financeira Ameaça ambiental Implementar as correções A implementação das correções é um passo intermediário, que possibilita à organização adequar seus processos ao Ciclo de Segurança Exploram Objetivos: Ameaças Vulnerabilidades Minimizar possíveis impactos no andamento das atividades Maximizar a relação custo/benefício, agrupando vulnerabilidades Reduzir o tempo para implementação Adequar os perfis dos profissionais envolvidos no processo Protegem contra Controles de Segurança Aumentam Riscos de Segurança Implementadas com Indicam Necessidades de Segurança http://www.edilms.eti.br Prof. Edilberto Silva - [email protected] - PGSI http://www.edilms.eti.br Expõe Aumentam Ativos Possuem Valores e Impactos Prof. Edilberto Silva - [email protected] - PGSI 4