Segurança na Web Cap. 2: Políticas de Segurança e Respostas Prof. Roberto Franciscatto 4º Free Semestre - TSITemplates - CAFW Powerpoint Page 1 Introdução • Estar derrotado é sempre uma condição temporária. Desistir é o que o torna permanente Marlene vos Savant Free Powerpoint Templates Page 2 Políticas de Segurança e Respostas • Possuir políticas de segurança é o primeiro e mais essencial passo em proteger e assegurar a sua rede. • As políticas fornecem a base para se definir: • o que é aceitável e • o comportamento apropriado empresa e rede. dentro da sua • No nível mais fundamental, as políticas formam a ‘regra da lei’ contra as quais todos os demais são julgados Free Powerpoint Templates Page 3 Políticas de Segurança e Respostas • Utilidades de uma política de segurança: • Define as expectativas para procedimentos • Define o comportamento apropriado • Fornece a base para ações de RH caso ocorram comportamentos inaceitáveis • Define regras e responsabilidades para cada grupo na proteção da empresa • Embasa ações de processo legal caso ocorra comportamento inaceitável Free Powerpoint Templates Page 4 Políticas de Segurança e Respostas • Utilidades de uma política de segurança: • Permite que as ferramentas exigidas sejam definidas, justificando-se os investimentos na segurança de redes Free Powerpoint Templates Page 5 Políticas de Segurança e Respostas • Possuir uma política de segurança permite e capacita a todos na empresa: • compreender claramente quem é responsável pelo que e define políticas e processos para cada departamento dentro da sua organização. Free Powerpoint Templates Page 6 Políticas de Segurança e Respostas • A partir da política de segurança o time de TI, saberá: • • • • • o que configurar nos servidores as ferramentas que precisam as regras para o firewall as definições de redes privadas virtuais (VPN) etc... Free Powerpoint Templates Page 7 Políticas de Segurança e Respostas • Políticas de segurança mais comuns • SANS – Security Policy Project (http://www.sans.org/resources/policies) • Criptografia aceitável • Fornece um guia que limita o uso da criptografia aqueles algoritmos que tenham recebido revisão pública substancial. Free Powerpoint Templates Page 8 Políticas de Segurança e Respostas • Uso aceitável • Descreve quem pode usar computadores equipamentos de rede possuídos pela empresa. e • Auditoria • Fornece a autoridade para que membros do time do Departamento de Segurança da Informação para conduzir um auditoria de segurança • Encaminhamento automático de e-mail • Impede o envio não autorizado ou inadvertido de informações sensíveis da empresa Free Powerpoint Templates Page 9 Políticas de Segurança e Respostas • Extranet • Descreve a política sob a qual organizações externas se conectam as redes da empresa para fins de transações comerciais • Anti-vírus • Estabelece exigências que devem ser cumpridas por todos os computadores conectados às redes da empresa para garantir a detecção e prevenção efetiva de vírus Free Powerpoint Templates Page 10 Políticas de Segurança e Respostas • Senha • Estabelecem um padrão para a criação de senhas seguras, aproteção destas senhas e a frequência efetiva de vírus. • Acesso Remoto • Define os padrões para se conectar a rede da empresa apartir de qualquer ponto. • Comunicação sem fio • Estabelece padrões para acesso a rede da empresa via mecanismos de comunicação sem fio (wireless) Free Powerpoint Templates Page 11 Políticas de Segurança e Respostas • Impacto das Políticas de Segurança: • Usuário Genérico: devido aos usuários acessarem recursos de rede sua política terá maior impacto neles. • Time de Gerenciamento: este grupo é responsável em proteger os recursos e dados da empresa enquanto faz o monitoramento • Outros... Free Powerpoint Templates Page 12 Políticas de Segurança e Respostas • Descrição genérica do conteúdo de uma Política de Segurança 1. Visão Geral: justifica a razão para a política e identifica riscos que a política contempla 2. Propósito: explica por que a política existe e a meta que foi escrita para obtê-la 3. Abrangência: define as pessoas cobertas pela política. Isto pode variar de um simples grupo de um departamento a toda a empresa Free Powerpoint Templates Page 13 Políticas de Segurança e Respostas • Descrição genérica do conteúdo de uma Política de Segurança 4. Política: esta é a própria política. É normalmente quebrada em diversas subseções. Exemplos são sempre usados para ilustrar os pontos ou facilitar a compreensão do usuário. 5. Obrigações: Define a penalidade por falha em seguir a política, de forma que uma série de sanções pode ser aplicada. A demissão é normalmente a penalidade mais severa, mas em alguns casos, o processo criminal deverá ser listado como uma opção. Free Powerpoint Templates Page 14 Políticas de Segurança e Respostas • Descrição genérica do conteúdo de uma Política de Segurança 6. Definições: quaisquer termos que possam estar pouco claros ou ambíguos devem ser listados e definidos aqui. 7. Revisão histórica: Datas, alterações e razões são listadas aqui. Isso se amarra às obrigações, no sentido que a infração deve ser medida contra as regras impostas no momento em que ocorreram, não necessariamente quando foi descoberta. Free Powerpoint Templates Page 15 Políticas de Segurança e Respostas • Membros do Time de Revisão Política Segurança (do SANS Security Policy Project) de • Alta Administração: alguém que possa aplicar a política. Este é normalmente um membro sênior da equipe de RH. • Departamento de Segurança da Informação: alguém que possa prover informações e detalhes técnicos • Áreas de usuários: alguem que possa ver as políticas da forma que um usuário as vê. • Publicações: alguém que possa fazer sugestões para se comunicar as políticas para os membros da organização e fazerFree com que eles as comprem. Powerpoint Templates Page 16 Políticas de Segurança e Respostas • Política de senhas • Disponível em: http://www.sans.org • Visão Geral • Senhas são um aspecto importante da segurança da informação. • Elas são a primeira linhade proteção para as contas de usuário. • Uma senha mal escolhida pode resultar comprometimento de toda a rede corporativa. no • Demais aspectos que compreendem a visão geral acerca do assunto Free Powerpoint Templates Page 17 Políticas de Segurança e Respostas • Política de senhas • Propósito • Objetivos claros • Ex.: o propósito desta política é estabelecer um padrão para a criação de senhas robustas, a proteção destas senhas, e para definir a frequencia com que elas devem ser alteradas. Free Powerpoint Templates Page 18 Políticas de Segurança e Respostas • Política de senhas • Abrangência • A abrangência desta política inclui todo o pessoal que possui ou é responsável por uma conta • A abrangência desta conta diz respeito a qualquer sistema que resida em qualquer instalação da ‘Empresa A’ • Ex.: conta para diversos serviços (www, FTP, SSH, mail, etc...) Free Powerpoint Templates Page 19 Políticas de Segurança e Respostas • Política de senhas • Política Geral • Todas as senhas a níveis de sistema (por exemplo, raiz, NT admin, contas de administração de aplicativos e assim por diante) • devem ser trimestrais alteradas pelo menos Free Powerpoint Templates em bases Page 20 Políticas de Segurança e Respostas • Política de senhas • Política Geral • Todas as senhas em nível de produção devem ser parte do BD global de senhas, administrados pelo Time de Segurança Corporativa • Todas as senhas em nível de usuário devem ser alteradas pelo menos a cada seis meses • O intervalo de alteração recomendado é a cada quatro meses Free Powerpoint Templates Page 21 Políticas de Segurança e Respostas • Política de senhas • Política Geral • As contas de usuário que possuem privilégios em nível de sistema fornecido por pertencer a grupos ou programas como administrador devem ser diferentes de todas as demais senhas possuídas pelo usuário. • As senhas não devem ser inseridas em mensagens de e-mail nem em outras formas de comunicação eletrônica. Free Powerpoint Templates Page 22 Políticas de Segurança e Respostas • Política de senhas • Política Geral • Onde for usado o SNMP, as ‘community strings’ devem ser definidas para algo diferente dos valores padrão ‘public’, ‘private’ e ‘system’ • e por sua vez, devem ser diferentes das senhas usadas para se conectar interativamente. • Problemas aqui (ou solução -) ): www.cirt.net/passwords Free Powerpoint Templates Page 23 Políticas de Segurança e Respostas • Política de senhas • Diretrizes gerais para construção de senhas • Senhas são usadas para diversos propósitos junto a ‘Empresa A’. • Alguns dos usos mais comuns, incluem: • • • • • Contas em nível de usuário Contas da web Contas de e-mail Protetor de tela Correio de voz, etc... • Devido a poucos sistemas suportarem uma única senha, é necessário criar um senha robusta Free Powerpoint Templates Page 24 Políticas de Segurança e Respostas • Política de senhas • Diretrizes gerais para construção de senhas • Senhas fracas característica: e pobres possuem a seguinte • a senha contém menos de 08 caracteres • a senha é uma palavra encontrada em dicionário (inglês ou estrangeiro) • a senha é uma palavra de uso comum Free Powerpoint Templates Page 25 Políticas de Segurança e Respostas • Política de senhas • Diretrizes gerais para construção de senhas • Dica: uma lista de palavras é simplesmente uma lista de palavras como: • • • • palavras de um dicionário times esportivos, termos industriais palavras de gírias, nomes, etc... • todas estas listas estão disponíveis em diversas línguas diferentes na internet Free Powerpoint Templates Page 26 Políticas de Segurança e Respostas • Política de senhas • Diretrizes gerais para construção de senhas • os atacantes usam estas listas de palavras como base para um ataque, esperando que alguém use uma derivação de uma palavra encontrada em uma destas listas • Ex.: http://wordlist.sourceforge.net Free Powerpoint Templates Page 27 Políticas de Segurança e Respostas • Política de senhas • Diretrizes gerais para construção de senhas • Exemplos de senhas fracas ou vulneráveis Free Powerpoint Templates Page 28 Políticas de Segurança e Respostas • Política de senhas • Diretrizes gerais para construção de senhas • Os números das senhas fracas ou vulneráveis Free Powerpoint Templates Page 29 Políticas de Segurança e Respostas • Política de senhas • Diretrizes gerais para construção de senhas • Os números das senhas fracas ou vulneráveis Free Powerpoint Templates Page 30 Políticas de Segurança e Respostas • Política de senhas • Diretrizes gerais para construção de senhas • Como criar uma senha segura Free Powerpoint Templates Page 31 Políticas de Segurança e Respostas • Política de senhas • Padrões de proteção de senhas • Não use a mesma senha para contas da ‘Empresa A’ ou para acesso fora da ‘Empresa A’ • Não compartilhe senha com ninguém, incluindo assistentes administrativos ou secretárias. • Todas as senhas devem ser tratadas como sensíveis e informação confidencial da ‘Empresa A’ Free Powerpoint Templates Page 32 Políticas de Segurança e Respostas • Política de senhas • Padrões de proteção de senhas • Segue uma lista de ‘não faça jamais’: • não forneça a senha pelo telefone a NINGUÉM • não forneça a senha em uma msm de e-mail • não fale sobre a sua senha na frente dos outros • não dê dica do formato de senha • não compartilhe a senha com membros familiares • não forneça a senha para colegas enquanto estiver de férias Free Powerpoint Templates Page 33 Políticas de Segurança e Respostas • Política de senhas • Penalidades • Qualquer funcionário encontrado em violação destas políticas estará sujeito a senções disciplinares, incluindo a demissão do emprego. Free Powerpoint Templates Page 34 Políticas de Segurança e Respostas • Política de senhas • Conclusão • Toda a política de segurança termina com poucos elementos comuns. • Estes elementos esclarecem toda a confusão ou má comunicação por parte do usuário. • agora que ele compreende o que é permitido e o que não é. Free Powerpoint Templates Page 35 Políticas de Segurança e Respostas • Política de senhas • Conclusão 1. Penalidades – o elemento mais importante é a penalidade e as ramificações para um funcionário na eventualidade desta políticas serem violadas 2. Definições – nem todo funcionário ou usuário compreende algumas das terminologias usadas nesta política • Portanto, é sempre uma boa ideia se fornecer ainda outro nível de esclarecimento Free Powerpoint Templates Page 36 Políticas de Segurança e Respostas • Política de senhas • Conclusão 3. Revisões – sempre se faz alterações a este tipo de políticas • A origem destas alterações mudam com o tempo • Entretanto, pode haver uma alteração na gerência, novas leis, ou talvez uma explicação para leis antigas, etc... • Todos estes fatores podem provocar alteração na política, e é aconselhável se documentar estas alterações Free Powerpoint Templates Page 37 Políticas de Segurança e Respostas • Certificação ISO e segurança • A ISO oferece muitos padrões e todos são valiosos por si só. • ISO 17799 (Segurança da Informação – www.iso.org) • Plano de continuidade de negócios • Controle de acesso ao sistema • Desenvolvimento e manutenção de sistemas • Segurança física e ambiental • Segurança pessoal • Organização de segurança • Gerenciamento de computadores e operações Free Powerpoint Templates • Classificação e controle de bens Page 38 Políticas de Segurança e Respostas • Amostras de políticas de segurança na internet • http://www.security.kirion.net/securitypolicy/ • http://www.network-and-it-security-policies.com/ • http://www.sans.org/security-resources/policies/ Free Powerpoint Templates Page 39 Políticas de Segurança e Respostas • Exercícios • Em duplas, projetar laboratórios do CAFW uma política de utilização dos • horários, quem pode utilizar, o que pode fazer, o que não pode, penalizações, entre outros aspectos que a dupla julgar relevante • Contemplar no projeto os seis pilares principais: • visão geral, propósito, abrangência, obrigações, definições e revisão histórica política, Enviar por email para: [email protected] Free Powerpoint Templates Page 40 Políticas de Segurança e Respostas • Exercícios (2) 1. Quão importante é envolver outros departamentos funcionários na criação das políticas de segurança? e 2. Verdadeiro ou falso: é um fato bem sabido que os usuários contornam as políticas de segurança que são muito restritivas. Explique sua resposta 3. Quais são as três coisas que você deve ter em mente quando escrever ou revisar a política de segurança? 4. Por que é importante incluir uma seção de penalidades em cada política de segurança? 5. Uma Política de Uso Aceitável define que tipo de expectativas dos usuários? 6. Quão frequentemente as políticas de segurança devem ser Free Powerpoint Templates atualizadas ou revisadas? Page 41