Políticas de Segurança e Planos de Continuidade de Negócios Prof. MSc. Edilberto Silva [email protected] / http://edilms.eti.br Pós-Graduação Introdução e apresentação da disciplina • Ementa: – Conceitos e definições. Diretrizes, normas e procedimentos. Comitê gestor de segurança da informação. Campanhas de conscientização. Auditoria e controle. Atualização de políticas. Análise de impacto no Negócio. Estratégias de contingência: hot-site, warm-site, cold-site e alternate-site. Plano de Contingência. Plano de Administração de Crise. Plano de Continuidade Operacional. Plano de Recuperação de Desastres. Compliance. Políticas de segurança e planos de continuidade de negócios na Norma ISO/IEC 17799:2005. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Introdução e apresentação da disciplina • Competências pretendidas – Fazer análise de riscos em ambientes computacionais. – Elaborar políticas de segurança e planos de continuidade de negócio. – Elaborar análise de impacto no Negócio e – Planejar estratégias de contingência: Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Conceitos Básicos Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Conceitos básicos Ameaça • Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização [ISO/IEC 13335-1:2004] Análise de riscos • Uso sistemático de informações para identificar fontes e estimar o risco [ABNT ISO/IEC • Guia 73:2005] Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Conceitos básicos Avaliação de riscos • Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco [ABNT ISO/IEC Guia 73:2005]. Ativo • Qualquer coisa que tenha valor para a organização [ISO/IEC 13335-1:2004] Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Conceitos básicos Confidencialidade • Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados [ISO/IEC 13335-1:2004]. Disponibilidade • Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada • [ISO/IEC 13335-1:2004]. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Conceitos básicos Gestão de riscos • Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos [ABNT ISO/IEC Guia 73:2005] Impacto • Abrangência dos danos causados por um incidente de segurança sobre um ou mais processos de negócio. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Conceitos básicos Incidente • Fato (evento) decorrente de uma ação de uma ameaça, que explora uma ou mais vulnerabilidades, levando a perda de princípios da segurança da informação. Integridade • Propriedade de salvaguarda da exatidão e completeza de ativos [ISO/IEC 13335-1:2004]. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Conceitos básicos Risco • Probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade ou disponibilidade, causando impactos nos negócios. Equação do Risco: Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Conceitos básicos Tratamento do risco • Processo de seleção e implementação de medidas para modificar um risco [ABNT ISO/IEC Guia 73:2005] Vulnerabilidade • Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, normas e procedimentos. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos ISO/IEC 27001:2006 • Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos Estrutura da ISO 27001:2006 0. Introdução 5. Responsabilidades da direção 1. Objetivo (Comprometimento da direção / Gestão de recursos) 2. Referência normativa 6. Auditorias internas do SGSI 3. Termos e definições 4. Sistema de gestão de segurança da informação (Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação) 7. Análise crítica do SGSI pela direção (Geral / Entradas para a análise crítica / Saídas da Análise Crítica) 8. Melhoria do SGSI (Melhoria contínua / Ação corretiva / Ação preventiva) Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos Estrutura da ISO 27001:2006 0. Introdução 5. Responsabilidades da direção 1. Objetivo (Comprometimento da direção / Gestão de recursos) 2. Referência normativa 6. Auditorias internas do SGSI 3. Termos e definições 4. Sistema de gestão de segurança da informação (Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação) 7. Análise crítica do SGSI pela direção (Geral / Entradas para a análise crítica / Saídas da Análise Crítica) 8. Melhoria do SGSI (Melhoria contínua / Ação corretiva / Ação preventiva) Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos ISO/IEC 27002:2005 • Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. • Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos Estrutura da ISO 27002:2005 0. Introdução 9. Segurança física e do ambiente 1. Objetivo 10. Gerenciamento das operações e comunicações 2. Termos e definições 11. Controle de acessos 3. Estrutura da norma 12. Aquisição, desenvolvimento e manutenção de 4. Análise/avaliação e tratamento de riscos sistemas 5. Política de segurança da informação 13. Gestão de incidentes de segurança da 6. Organizando a segurança da informação 7. Gestão de ativos 8. Segurança em recursos humanos Prof. MSc. Edilberto Silva informação 14. Gestão da continuidade do negócio 15. Conformidade [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos ISO/IEC 27005:2008 • Esta norma fornece diretrizes para a segurança da informação da gestão de riscos, tendo como objetivo fornecer um guia para a implementação da abordagem de gerenciamento de riscos orientada ao processo, para auxiliar na execução e no cumprimento satisfatório da implementação da gestão de riscos da informação, baseado nos requisitos da norma ISO/IEC 27001. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos ISO/IEC 27005:2008 Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos ISO/IEC 27005:2008 Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos Estrutura da ISO 27005:2008 1. Introdução 8. Definição do Contexto 2. Escopo 9. Análise/Avaliação de Riscos de SI 3. Referências Normativas 10. Tratamento do Risco de SI 4. Termos e Definições 11. Aceitação do Risco de SI 5. Organização da Norma 12. Comunicação do Risco de SI 6. Contextualização 13. Monitoramento e Análise Crítica de Riscos 7. Visão Geral do Processo de Gestão de de SI Riscos de Segurança da Informação Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos PDCA na ISO 27005 Plan (planejar) Estabelecimento do Contexto (Contextualização) Análise/Avaliação do Risco Desenvolvimento do Planejamento de Risco Aceitação do Risco Do (fazer) Implementação do Tratamento de Risco Check (checar) Monitoração e Revisão dos Riscos Act (agir) Manutenção e melhoria do Processo de Gerenciamento de Risco da Segurança da Informação Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos COBIT 4.1 x ITIL v3 x ISO/IEC 27.002 • Em 2008 a ISACA (COBIT) e a OGC (ITIL) publicaram um trabalho muito importante para nossa disciplina • Trata-se do documento “Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit” que trata sobre o alinhamento do COBIT 4.1, ITIL V3 e ISO / IEC 27002 para Benefício Empresarial, traduzindo literalmente. Disponível em: http://www.isaca.org/KNOWLEDGE-CENTER/COBIT/Pages/Downloads.aspx Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos COBIT 4.1 • O COBIT fornece as melhores práticas e ferramentas para monitorar e gerenciar as atividades de TI, ajudando os executivos a compreender e gerir investimentos de TI em todo seu ciclo de vida. • Fornece um método para avaliar se os serviços de TI e novas iniciativas são susceptíveis de oferecer os benefícios esperados. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos COBIT 4.1 x ISO/IEC 27.002 • Quanto aos critérios da informação – Confidencialidade, Integridade e Disponibilidade. • No domínio Planejamento e Organização os processos: – P02 Definir a Arquitetura da Informação, PO4 Definir os Processos, Organização e os Relacionamentos de TI e PO9 Avaliar e Gerenciar os Riscos de TI. • No domínio Aquisição e Implementação o processo: – AI2 Adquirir e Manter Software Aplicativo. • No domínio Entrega e Suporte os processos – DS4 Assegurar Continuidade de Serviços, DS5 Assegurar a Segurança dos Serviços, DS7 Educar e Treinar os Usuários, DS8 Manage Service Desk and Incidents. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos ITIL V3 • O Gerenciamento de Serviços de TI é o conjunto de capacidades organizacionais (processos e métodos de trabalho, funções, papéis e atividades) realizadas para prover valor sob a forma de serviços. “O Gerenciamento de Serviços é um conjunto de habilidades da organização para fornecer valor para o cliente em forma de serviços” • O ITIL V3 tem um eixo (núcleo) de condução das atividades, o livro de Estratégia de Serviço, que norteia os demais livros / processos, que são: Desenho de Serviço, Transição de Serviço e Operação de Serviço. Circundando todos os processos está o livro de Melhoria Contínua de Serviço. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Diretrizes, Normas e Procedimentos ITIL V3 x ISO/IEC 27.002 Em relação à segurança especialmente no ITIL V3 • No Desenho de serviços: – ISM – Gerenciamento de Segurança da Informação – ITSCM - Gerenciamento de Continuidade dos serviços de TI • Na Transição de serviços: – Gerenciamento de Configuração e de Ativos de Serviço (SACM) especificamente na validação e testes de serviços. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Metodologia para Implantação de um SGSI Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Metodologia para Desenvolvimento de SGSI Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Metodologia de desenvolvimento de SGSI Passo 1 - Concepção • Envolve: Diagnóstico da situação atual e Planejamento do SGSI • Determinar a viabilidade do projeto • Realizar o planejamento inicial de suas fases e algumas estimativa Passo 2 - Estabelecimento de uma Política de SI • Documento que descreve as recomendações, as regras, as responsabilidades e as práticas de segurança Passo 3 - Análise de Risco • Diagnóstico da segurança para o escopo definido • Identificação dos ativos de informação envolvidos • Mapeamento de todas as ameaças relacionadas aos ativos Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Metodologia de desenvolvimento de SGSI Passo 4- Gerenciamento de Riscos • Identificar os ativos e as vulnerabilidades críticas • Priorizar esforços e os gastos com segurança • Utilização da ISO/IEC 27005:2008 Passo 5 - Seleção dos Controles e Declaração de Aplicabilidade • Identificar requisitos de segurança • Selecionar e Implementar controles • Assegurar que os riscos sejam reduzidos a um nível aceitável. Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Metodologia de desenvolvimento de SGSI Passo 6 - Implementação e Acompanhamento dos Indicadores • Produção de indicadores específicos que possibilitem visualizar as condições de funcionamento e desempenho do ambiente analisado. Passo 7- Auditoria do Sistema • Verificar, com base em evidências objetivas, se os sistemas atendem as regras estabelecidas Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Comitê de Segurança da Informação Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Comitê de Segurança da Informação Principais funções • Definir o nível de risco aceitável pela organização. • Permitir que o departamento de segurança esteja alinhado as decisões estratégicas • Sugere-se para algumas organizações a criação de um departamento de segurança da informação, sob responsabilidade do CSO. CSO - CSO – Chief Information Security Officer • Executivo responsável pela segurança da informação da organização inteira, tanto física como lógica • Supervisionar e coordenar os esforços de segurança em toda a empresa, incluindo as áreas de tecnologia da informação Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Plano de Continuidade de Negócio PCN Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br PCN Composto de • Análise de Impacto de negócios (AIN) • Planos de contingência – de Administração de Crises (PAC), – de Recuperação de Desastres (PRD) e – de Continuidade Operacional (PCO). Prof. MSc. Edilberto Silva [email protected] Objetivo • Garantir a continuidade de processos e informações vitais à sobrevivência da empresa, no menor espaço de tempo possível, com o objetivo de minimizar os impactos do desastre http://www.edilms.eti.br Desenvolvimento de um PCN 1. Iniciação do projeto (objetivos e pressupostos); 2. Requisitos funcionais (obtenção e análise dos fatos, as alternativas e as decisões de gestão) 3. Concepção e desenvolvimento (elaboração do plano) 4. Implantação (criação do plano) 5. Testes e exercícios (pós-implantação revisão do plano) 6. Manutenção e atualização (atualização do plano) 7. Execução (declarar desastre e executar as operações de recuperação) Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br AIN - Análise de Impacto de Negócios O que é • Parte essencial do PCN • Ajuda as organizações a identificarem as suas atividades e os recursos críticos • Permite mensurar o impacto da falha de recursos críticos na organização. PCN = AIN + (PAC + PCO + PRD) Plano de Contingência Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br PAC - Plano de Administração de Crise O que é • Define passo-a-passo o funcionamento das equipes antes, durante e depois da ocorrência do incidente. • Tem com objetivo definir os procedimentos a serem executados até o retorno normal das atividades. PCN = AIN + (PAC + PCO + PRD) Plano de Contingência Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br PCO - Plano de Continuidade Operacional O que é • Define os procedimentos para contingenciamento dos ativos • Tem como objetivo reduzir o tempo de indisponibilidade e os impactos potenciais ao negócio. PCN = AIN + (PAC + PCO + PRD) Plano de Contingência Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br PRD - Plano de Recuperação de Desastres O que é • Abrange a recuperação e restauração das funcionalidades dos ativos humanos, operacionais, tecnológicos que suportam o negócio. • Tem como objetivo restabelecer o ambiente as condições originais de operação PCN = AIN + (PAC + PCO + PRD) Plano de Contingência Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Etapas para elaboração 1. Identificação e Análise de Riscos de 2. 3. Desastres/Ameaças Classificação de Riscos Baseada em pesos relativos (Riscos Externos, sobre facilidades, sobre sistemas de dados, Departamentais e sobre Desktop) Construir a Avaliação de Risco Prof. MSc. Edilberto Silva [email protected] PRD Fases 1. Ativação 2. Execução 3. Reconstituição http://www.edilms.eti.br Estratégia de Contingência Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Estratégias de Contingência • In-House – Instalações nos moldes da principal • Contrato com terceiros – Uso temporário da instalação de outras empresas • Cold Site – Sala vazia tudo deve ser levado posteriormente pode ser fixed center ou mobile center Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Estratégias de Contingência • Warm site – Parcialmente vazio com alguns componentes • Hot Site – Local equipado com instalação substituta alimentada 24x7 – O tipo Fixed Center detém equipamentos dedicados para espelhar sistemas críticos • Local recíproco – Contrato assinado para compartilhar espaço Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Auditoria Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Auditoria • Definição – Atividade devidamente estruturada para examinar criteriosamente a situação de Controles por meio da análise de OA - Objetos de Auditoria e seus PC – Pontos de Controle • Controles – Submeter um ente a um determinado comportamento com objetivo de gerenciar • Objetos de Auditoria – Agrupamento de pontos de controle como por exemplo computadores, redes • Pontos de Controle – Produtos, processos, procedimentos, eventos Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Passos de uma auditoria 1. Gestão do Projeto ou Programa 2. Decisão do propósito da auditoria 3. Identificação do objeto e pontos de controle 4. 5. 6. 7. 8. 9. Definição de técnicas e evidências Montagem e roteirização da auditoria Coleta e registro de evidências Verificação e validação e avaliação Produção de pareceres Acompanhamento Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Classificação da Informação • Decreto 4553/2002 – dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, auxiliando os gestores na definição de critérios de classificação de dados nas organizações públicas Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Classificação da Informação Tipo Descrição Duração Sem classificação, cujo acesso pode ser franqueado a qualquer interessado; Dados ou informações cuja revelação não autorizada possa Reservados comprometer planos, operações ou objetivos neles previstos ou referidos. Dados ou informações que, no interesse do Poder Executivo e das partes, devam ser de conhecimento restrito e cuja revelação não Confidenciais autorizada possa frustrar seus objetivos ou acarretar dano à segurança da sociedade e do Estado. Ostensivos Máximo de 5 anos Máximo de 10 anos Dentre outros, dados ou informações referentes a sistemas, instalações, programas, projetos, planos ou operações de interesse da defesa nacional, a assuntos diplomáticos e de inteligência e a planos ou detalhes, programas ou instalações estratégicos, cujo conhecimento não autorizado possa acarretar DANO GRAVE à segurança da sociedade e do Estado. Máximo de 20 anos. Dentre outros, dados ou informações referentes à soberania e à integridade territorial nacionais, a planos e operações militares, às relações internacionais do País, a projetos de pesquisa e Ultra-Secretos desenvolvimento científico e tecnológico de interesse da defesa nacional e a programas econômicos, cujo conhecimento não autorizado possa acarretar DANO EXCEPCIONALMENTE GRAVE à segurança da sociedade e do Estado. Máximo de 30 anos Secretos Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br Muito obrigado!! Bons estudos =D Prof. MSc. Edilberto Silva • [email protected] • http://edilms.eti.br Prof. MSc. Edilberto Silva [email protected] http://www.edilms.eti.br