Mobilidade e Políticas de Segurança da Informação: o caso da UFRGS Afonso Araújo Neto CPD/UFRGS Mobilidade e Política de Segurança da Informação: o caso da UFRGS Agenda • Mobilidade e suas consequências • Autonomia universitária e a gestão de segurança • A importância das políticas de segurança • Breve histórico da PSI-UFRGS • Do tratamento de incidentes de segurança da informação à gestão da segurança da informação 2 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Mobilidade • Mobilidade possui desafios em duas frentes • • • Expectativa dos usuários finais Responsabilidade dos provedores de serviços Preocupações típicas dos usuários • • • Conectividade ubíqua Aplicações compatíveis com múltiplos dispositivos Utilização simultânea de dispositivos pessoais e institucionais • • Dados universalmente acessíveis Segurança das informações • Usabilidade, em todas as suas vertentes: do desenho das interfaces à complexidade de configuração 3 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Mobilidade • Desafios típicos enfrentados pelos provedores de serviços • • • • • • • Gestão de identidades e privilégios de acesso Confiabilidade dos mecanismos de autenticação e processos de restauração de acesso Conformidade legal Tratamento de incidentes de segurança da informação e auditabilidade Gestão de configuração Suporte e atendimento aos usuários ... 4 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Mobilidade • Desafios típicos enfrentados pelos provedores de serviços • • • • • • • • Gestão de identidades e privilégios de acesso Confiabilidade dos mecanismos de autenticação e processos de restauração de acesso Conformidade legal Tratamento de incidentes de segurança da informação e auditabilidade Gestão de configuração Suporte e atendimento aos usuários … Tudo isto sob um orçamento pressionado 5 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Conformidade e Responsabilidades • Antigamente, as organizações tinham total liberdade na forma de entrega dos serviços de TI, incluindo conectividade e acesso a Internet: quem gostar, utiliza • Estamos em um tempo onde os serviços de TI estão deixando de ser opções de conveniência para terem um caráter de infraestrutura • O governo atual responde a esta transição impondo responsabilidades • Os gestores operam sob um conjunto de pressões políticas e regulatórias impostas • Por exemplo, hoje a forma da conectividade à Internet possui limitações impostas Conformidade não é opcional • Este peso é particularmente significativo no escopo público: proteção de informações críticas 6 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Conformidade e Responsabilidades • Qualquer organização que fornece conexão à internet para os seus usuários (e funcionários, por exemplo) pode ser classificada como um um provedor de acesso • Marco civil da internet impõe exigências • Art. 9o O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicação. • § 3o Na provisão de conexão à internet, onerosa ou gratuita, bem como na transmissão, comutação ou roteamento, é vedado bloquear, monitorar, filtrar ou analisar o conteúdo dos pacotes de dados, respeitado o disposto neste artigo. Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento. Art. 14. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os registros de acesso a aplicações de internet. • • 7 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Órgãos da Administração Pública Federal • Órgãos públicos que provêm serviços de TI hoje estão sujeitos a normativas específicas de segurança da informação • • • Instruções Normativas e Normas Complementares DSIC/GSIPR - Disciplinam a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta Lei 12.527/2011 - Regula o acesso a informações previsto no inciso XXXIII do art. 5º da Constituição Federal – Lei de Acesso a Informação Decreto 8.135/2013 e Portaria Interministerial MP/MC/MD nº 141 - Dispõe sobre as comunicações de dados da administração pública federal direta, autárquica e fundacional • O Decreto 8.135 em particular traz consequências para mobilidade de dados • Dados não podem ser armazenados em serviços privados de terceiros sem possibilidade de auditoria 8 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Universidades Federais – Autonomia Universitária • Constituição Federal de 1988: Art. 207. As universidades gozam de autonomia didáticocientífica, administrativa e de gestão financeira e patrimonial, e obedecerão ao princípio de indissociabilidade entre ensino, pesquisa e extensão. • Estatuto Geral da UFRGS: Art. 2º - A UFRGS, como Universidade Pública, é expressão da sociedade democrática e pluricultural, inspirada nos ideais de liberdade, de respeito pela diferença, e de solidariedade, constituindo-se em instância necessária de consciência crítica, na qual a coletividade possa repensar suas formas de vida e suas organizações sociais, econômicas e políticas. • Regimento Geral UFRGS: Art. 2º - A administração universitária, sob a coordenação e supervisão da Reitoria, far-se-á pela articulação entre esta, as Unidades Universitárias e demais órgãos da Universidade. 9 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Características da Autonomia Universitária • Hierarquia não é rígida, e a autonomia também é compreendida no nível das Unidades • Os servidores públicos federais têm garantias fundamentais preservadas exceto em caso de crimes ou ocorrências graves • A instituição é fundamentada em princípios democráticos, tolerando divergências e formas de ação alternativas • É consenso de que o ensino, pesquisa e extensão têm prioridade sobre necessidades administrativas, dado o objetivo da instituição • As necessidades da atividade docente precisam ser atendidas 10 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Na UFRGS • Os serviços de TI são para a comunidade acadêmica, que pode incluir parcerias nacionais e internacionais, ex-alunos e uma miríade de vínculos temporários diversos • Impacta: gestão de identidades e controle de acesso • Bring your own device é a regra para alunos e fundamental para docentes • Impacta: gestão de dispositivos e políticas de uso da rede • Mobilidade de dados: LAI e Decretos • Como diferenciar dados pessoais dos Institucionais? Os dados resultados das atividades de pesquisa e de docência são de quem? E os que os alunos geram em decorrência das aulas? • Proteção de informações que por princípio são públicas (LAI) 11 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Tecnologias: problemas reais e de difícil solução • Comunicações internas: quem pode enviar e-mail para quem? • Sites institucionais hospedados externamente: quem garante a veracidade das informações? • Quando os serviços de TI providos não atendem às expectativas, as unidades (ou servidores de forma independente) criam as suas próprias soluções: quem garante que estas atendem os requisitos de conformidade exigidos? (e.g., NAT e roteadores sem autenticação, etc...) • Tráfegos anômalos, serviços com vulnerabilidades e protocolos de rede problemáticos: o que fazer quando estes conflitam com atividades de docência? • Aplicativos móveis desenvolvidos por alunos e comunidade externa: aceitá-los pacificamente? E os riscos envolvidos? 12 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Políticas de Segurança da Informação (PSI) • Uma sólida política de segurança aparece como exigência fundamental em qualquer cenário em que se preze a segurança da informação • ABNT/ISO 27001 uma PSI é um controle claro e fundamental para a gestão de SI • No âmbito público federal, segurança da informação é requisito de conformidade imposto • DSIC/GSIPR • TCU e Ministério do Planejamento • No âmbito privado, além da conformidade, a não consideração destes aspectos coloca qualquer organização em cheque, é sempre uma questão de tempo 13 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Políticas de Segurança da Informação • PSI é um instrumento administrativo cujo papel fundamental é a atribuição de responsabilidades • Não existe uma PSI genérica, pois ela depende estritamente da organização a qual se aplica • No caso de instituições com autonomia administrativa ela precisa acompanhar a organização interna e os princípios e valores da mesma • Precisa ser sustentada pela alta gestão, ou é sem efeito • No caso da UFRGS, o Conselho Universitário tem esta prerrogativa, determinada pelo Estatuto e Regimento 14 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Uma boa PSI • Define explicitamente o que é segurança da informação e seus atributos, e quais os objetivos que se pretende obter com a sua promoção • Atribui explicitamente a todos os membros da organização a responsabilidade para com a segurança das informações da mesma • Define papeis e responsabilidades específicas para todas atividades das quais a segurança da informação depende • Define normas, princípios e procedimentos que permitem a resolução dos conflitos identificados anteriormente, entre outros • Deve estar ligada e conectada à gestão de TI, mas não unicamente 15 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Breve Histórico da PSI UFRGS • Antes de 2010, houveram diversas tentativas de desenvolvimento de uma Política de Segurança • Diversos fatores concorreram para o insucesso destas tentativas iniciais • Foco em tecnologia e políticas de uso de dispositivos de TI e rede • Falta das pressões externas que hoje existem • Falta de conhecimento da comunidade a respeito do assunto e da sua importância • A origem da PSI UFRGS remonta à criação do Comitê Gestor de TI da UFRGS em 2010 16 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Breve Histórico da PSI UFRGS • 2010 - criação do Comitê Gestor de TI e do Plano de Desenvolvimento Institucional da UFRGS • 2010/2011 – CGTI nomeia a ComPDTI, com o objetivo de traçar o plano de trabalho para desenvolvimento de um Plano de Desenvolvimento de TI • O PDTI 2011-2015 é criado com um GT específico de segurança da informação • GT de segurança define o desenvolvimento de um PSI como item prioritário • 2012 - o Reitor nomeia um grupo de servidores para o trabalho específico de desenvolvimento de uma proposta de PSI para a Universidade • 2013 - Após diversas reuniões, o grupo chega a uma proposta de PSI, que é entregue para análise do CGTI 17 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Breve Histórico da PSI UFRGS • 2013 - O CGTI envia a proposta de PSI para o CONSUN, onde é analisada por toda a comunidade acadêmica • 2014 - A PSI é aprovada pelo CONSUN • 2014 - O CPD cria o Departamento de Segurança da Informação, determinado explicitamente na PSI. O DSInf coordena o TRI, Time de Resposta a Incidentes de Segurança da Informação • 2015 - São nomeados os membros do Comitê de Segurança da Informação, que começam os trabalhos de normatização da PSI (atualmente em desenvolvimento) 18 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Responsabilidades atribuídas • Diferenciação clara entre os papeis de gestores e custodiantes da informação • Atribuição da responsabilidade a todos os membros da comunidade (incluindo alunos) • Isto significa que todas as atividades da UFRGS precisam explicitamente levar em conta requisitos de segurança informação adequados • Criação do Comitê de Segurança da Informação, responsável pela criação de normas • Criação do Departamento de Segurança da Informação, responsável pela execução de projetos de segurança e implementação de controles • Formalização do TRI (Time de Resposta a Incidentes de Segurança) como grupo responsável pelo tratamento de incidentes de segurança 19 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Tratamento de Incidentes de Segurança • Todas as instituições que possuem redes de dados precisam lidar com este problema, não existe infraestrutura de mobilidade sem um tratamento de incidentes adequado • Os grupos de segurança costumam começar como atividades de tempo parcial de equipes de suporte de infraestrutura de TI • Hoje, dedicação exclusiva costuma ser inevitável. Ocorrências mais comuns: • Infecções por vírus e propagação desordenada nas redes internas • Roubos de identidades e senhas • Invasão de servidores • Envio de spam • Violação de direitos autorais 20 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Na ausência de PSI • Os grupos de segurança podem detectar os problemas, mas não são capazes de induzir a adequação • Os grupos de segurança podem ter suas recomendações ignoradas por funcionários hierarquicamente superiores • Os grupos de segurança podem ter seu acesso a sistemas comprometidos negado, impossibilitando investigação adequada • Os grupos de segurança podem ver-se obrigados a não trazer a luz incidentes ou ocorrências de segurança envolvendo pessoas de alto escalão, ou que possam eventualmente causar prejuízos a terceiros 21 Mobilidade e Política de Segurança da Informação: o caso da UFRGS PSI como solução • Os grupos de segurança são nomeados como autoridades máximas no escopo da resolução de incidentes, sendo as partes obrigadas a fornecer a informação necessária • A atribuição da responsabilidade faz com que a investigação dos incidentes possa ir até o fim, independentemente dos envolvidos, e a notificação não é opcional • Estes grupos também atuam como representantes da organização frente a notificações externas PSI UFRGS, Art. 6°, § 2o - Os usuários internos, discentes e colaboradores são responsáveis por garantir a segurança das informações da Universidade a que tenham acesso e por reportar ao DSInf os incidentes em segurança da informação de que tenham conhecimento. 22 Mobilidade e Política de Segurança da Informação: o caso da UFRGS Conclusões • Mobilidade e serviços de TI de trazem diversos desafios de gestão, e são particularmente complexos para as questões de segurança da informação • Alguns cenários apresentam ainda mais desafios a esta gestão, como o das autarquias administrativamente autônomas como as Universidades • O desenvolvimento de boas políticas de segurança tem sido o mecanismo que permite o início da resolução dos desafios apresentados, e o que faz com que as comunidades destas organizações realmente tomem a questão da segurança como algo prioritário no conjunto de requisitos colocados às suas atividades • A UFRGS, ainda um caso ainda em construção, já colhe frutos positivos desta nova perspectiva 23 Afonso Araújo Neto Depto. de Segurança da Informação CPD - UFRGS [email protected]
Download
