Manual de Segurança Recomendações de Segurança para Serviços Eletrônicos do Governo do Estado de São Paulo Marcos Tadeu Yazaki [email protected] Fábio R. N. Fernandes [email protected] www.prodesp.sp.gov.br Pauta • Apresentação do Manual de Segurança • • • • • • • Introdução Segurança física Segurança lógica Hospedagem Monitoramento Modelo organizacional Considerações finais Introdução • Manual é um conjunto de recomendações básicas de segurança, baseado nas melhores práticas do mercado – Comitê Gestor da Internet no Brasil – ISO/IEC 17799 – Documentos de Governança • A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação Informação • A importância da Informação – Um dos bens mais valiosos do governo – Informações de terceiros custodiadas – Imagem do governo • Armazenada em diversos meios • Transita por diversos meios Deve ser devidamente protegida !!! Cidadão Empresas Papel Eletrônico E-Mails Arquivos Conversas Documentos Apresentações Rede Complexa INTERNET Redes Públicas Redes Privadas G2C G2G G2B Rede do Governo G2E G2E Empresas Secretarias Órgãos Riscos • • • • • • • • • Indisponibilidade Vazamento de informação Violação da integridade Fraude Acesso não autorizado Uso indevido Sabotagem Roubo de informações Ameaças programadas (vírus, worms, trojans) • Espionagem Número Atuais Tentativas de Ataque ao Ambiente 8.000.000 6.904.850 6.327.640 7.260.407 6.176.942 5.330.799 5.712.662 3.469.640 2.000.000 3.955.255 3.000.000 3.910.106 4.000.000 5.738.062 5.000.000 7.776.221 6.000.000 7.271.299 7.000.000 1.000.000 0 s et/04 out/04 nov /04 dez /04 jan/05 f ev /05 mar /05 abr /05 mai/05 jun/05 jul/05 ago/05 Pilares da Segurança Confidencialidade Integridade Disponibilidade Legalidade, Auditabilidade, Transparência, Não Repudio Ações da Segurança Processos Tecnologia Pessoas Funcionários Fornecedores Clientes Parceiros Consultorias Cidadão Segurança Física • Ambiente • Sala dos servidores • CPD • Datacenter • Equipamentos • Microcomputadores • Roteadores • Switches Perímetros 1o) Terreno: muro, controle de acesso: guarita, seguranças 2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas 3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança 4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria 5o) Racks com chave, cameras 6o) Sala cofre PRODESP Segurança dos Ambientes • Recomendações – – – – Paredes sólidas Portas e janelas protegidas Alarme Mecanismos de controle de acesso • Prever riscos como – – – – Fogo Inundação Explosão Manifestações • Levar em conta riscos dos prédios vizinhos Segurança dos Equipamentos • Proteger contra: • acesso não autorizado • Roubo / perda (notebook) • Violações • Considerar: • Equipamento próprios • Equipamentos alienados • Equipamentos externos • Proteger a infraestrutura: • Cabines de fornecimento de energia elétrica • Salas de distribuição dos cabeamentos lógicos (rede/telecomunicação) • contra falhas ou anomalias de energia (estabilizadores, no-breaks, geradores) • Manutenção preventiva • Manter contingência dos sistemas críticos Segurança Lógica LAN Internet • • • • WAN, MAN Proteger pontos de rede Proteger dispositivos de rede (switches, routers) Segmentar rede Regras de controle de acessos (quem, o que, quando, como) • • Auditoria: logs Premissa: Tudo deve ser proibido a menos que seja expressamente permitido Informação ACL VPN Firewall VLAN´s IPS/IDS Autenticação Criptografia Certificado Digital Sistema Operacional Backup • Deve-se definir uma política de backup • As mídias devem ser: • Controladas • fisicamente protegidas contra roubo, furto e desastres naturais (fogo, inundação) • armazenadas em locais adequados (cofres, controle de humidade) • Os Data Centers podem ser utilizados para espelhamento dos sistemas críticos Outros • Manutenção preventiva e periódica • Deve-se adotar uma política de aplicação das correções de segurança dos sistema operacionais e softwares • Deve-se analisar as vulnerabilidades • Deve-se utilizar softwares antivírus • Recomenda-se a utilização de anti-spywares • Deve-se ter cuidado com o descarte das informações • Atenção com fotocopiadoras, gravadores de CD, FAX, filmadoras, câmeras em áreas críticas Hospedagem • Todos os órgãos e entidades da Administração Pública Estadual devem utilizar os “Data Centers” do Governo (Resolução CC-9, de 25/02/2005) – Hospedagem – Publicação de informações – Serviços eletrônicos via Internet • Modalidades: – Colocation – Hosting Hospedagem dos servidores Hospedagem de conteúdo, aplicativos e serviços Hospedagem Colocation Acesso Restrito e Controlado Antivírus Backup Monitoramento 24x7 Segurança física e lógica Aplicação de Patches Redundância Gerenciamento Remoto Upgrades Hardware/Softw. Infraestrutura Link com a Internet Link com a Intranet Hardware Software Treinamento Manutenção Equipe de profissionais Climatização Hosting X Opcional Opcional X Segurança X Opcional X Confiabilidade X N.A. X Disponibilidade X X Redução de X X X X X X X X X X X X X X X CustosX X X X X X Monitoramento • • • • Garantir a continuidade dos serviços Identificar anomalias e incidentes de segurança Acompanhar tendência de crescimento (capacity planning) Outros: alimentação elétrica, climatização, no-breaks, conectividade Equipamentos •Disco •Processamento •Memória •Segurança (patches, antivírus) •Conectividadade (rede local, switches, roteadores, etc.) Serviços •Login (usuário, data e hora, terminal) •Acessos ao sistema •Tentativas de acessos indevidos Modelo Organizacional • Definição e adoção de um Modelo Organizacional, baseado na criação de um Grupo de Resposta à Incidentes • • • • Interno Distribuído Interno Centralizado Combinado Coordenador • É importante o relacionamento do grupo de resposta à incidentes com áreas não técnicas, como Recursos Humanos e Jurídico • Terceirização deve ser feita com cautela uma vez que envolve riscos • Não existe um modelo mais indicado. Deve-se buscar implementar o que for melhor para a empresa. Modelos Organizacionais • Interno Distribuído • Modelo inicial • Possui um Coordenador para responder aos incidentes em conjunto com as áreas envolvidas • O Coordenador não precisa ser um especialista em Segurança, mas alguém que se preocupe não somente em resolver o incidente como também procurar as causas e trabalhar para que não ocorra novamente. • Interno Centralizado • • • • Existência de uma área de Segurança Funcionários exclusivos Serviços pró-ativos e reativos Atuação direta na resolução de problemas e manutenção das informações necessárias para investigação das causas e propostas de solução. • Combinado (Distribuído e Centralizado) • Coordenador • Modelo para entidades que possuem órgãos ligados diretamente. • A entidade organiza um grupo que coordena os demais grupos de segurança dos órgãos Considerações Finais • Política de Segurança • Uma vez que o ambiente não conte com uma infra-estrutura física ou lógica adequada, devese utilizar os Data Centers do Estado • Consultar outras instituições e sites • As recomendações devem ser selecionadas e usadas de acordo com a legislação e regulamentações vigentes • A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação Links para Consultas • Comitê Gestor da Internet no Brasil http://www.cg.org.br/ • NIC BR Security Office http://www.nbso.nic.br • CAIS-Centro de Atendimento a Incidentes de Segurança http://www.rnp.br/cais/ FIM Perguntas ? Fábio R. N. Fernandes [email protected] www.prodesp.sp.gov.br