Upload
marcelo-alves
View
81
Download
4
Embed Size (px)
Citation preview
BOAS PRTICAS DE SEGURANA DA
INFORMAO
CONTEDO
I. Introduo Segurana da Informao
II. Cenrio da Segurana da Informao
1. Segurana Fsica
2. Pessoas
3. Tecnologia da Informao
4. Aspectos Legais
III. Boas Prticas de Segurana da Informao
1. Srie ABNT NBR ISO/IEC 27000
2. Poltica de Segurana da Informao
3. Organizao
4. Classificao da Informao
5. Gesto de Risco
6. PCN
7. Desenvolvimento de Pessoas
IV. Gesto da Segurana - Ciclo PDCA2
INTRODUO SEGURANA DA INFORMAO
Parte I
3
4Informao e Segurana
Em um mundo onde existe uma riqueza de
informao, existe freqentemente uma
pobreza de ateno.
Ken Mehlman
I. INTRODUO SEGURANA DA INFORMAO
O bem mais valioso de uma organizao pode no ser o produzido
pela sua linha de produo ou pelo servio prestado, mas as
informaes relacionadas com esse bem de consumo ou servio.
Exemplos:
n de casos de dengue por municpio
Cadastro de servidores (agentes pblicos)
Mapeamento e descrio dos processos de negcio
Censo escolar
Indicadores da segurana pblica
Imagens de satlite
5
I. INTRODUO SEGURANA DA INFORMAO
6Uma informao pode ser armazenada sob diversos meios:
Papel (escrita)
Dispositivos digitais
Memria Humana (voltil)
I. INTRODUO SEGURANA DA INFORMAO
7Uma informao pode se transmitida por diversos meios:
I. INTRODUO SEGURANA DA INFORMAO
8 fato:
Uma organizao pode ter prejuzos incalculveis ou at mesmo ser
descontinuada por um incidente envolvendo informaes.
No existe 100% de segurana.
preciso cercar o ambiente de informaes com medidas que
garantam sua segurana efetiva a um custo aceitvel.
I. INTRODUO SEGURANA DA INFORMAO
9Segurana da informao a proteo da informao
contra vrios tipos de ameaas para garantir a
continuidade do negcio, minimizar o risco ao
negcio, maximizar o retorno sobre os investimentos
e as oportunidades de negcio.
O que segurana da informao?
I. INTRODUO SEGURANA DA INFORMAO
10
Segurana da informaes na administrao pblica
Fraudes marcam a distribuio de aes.
Gaeco apura vazamento de informao
sobre operao em MT
Vazamento de informao prejudicou
operao no Rio, diz delegado
Prejuzo com o vazamento da prova do
Enem pode chegar a R$ 34 milhes
FRAUDE NA PREVIDNCIA
CHEGA A R$ 1,6 BILHO - MEIO
MILHO DE MORTOS-VIVOS
MPF/AP denuncia servidor pblico por fraude ao sistema
de Dvida Ativa da Unio - Os prejuzos aos cofres pblicos
foram estimados em R$ 11 milhes.
Confirmada fraude no concurso pblico do
Governo do Mato Grosso.
Polcia investiga fraude no sistema
da Nota Fiscal Paulista
Autoescolas corrompem sistema
digital e oferecem esquema para
renovar CNH em SP
I. INTRODUO SEGURANA DA INFORMAO
11
Dimenses de proteo da informao
Con
fiden
cia
lidade
Segurana da
InformaoIn
tegri
dade
Dis
pon
ibil
idade
Autenticidade
No Repdio
I. INTRODUO SEGURANA DA INFORMAO
12
uma caracterstica da informao que diz respeito ao
direito de acesso.
Medidas de segurana devem garantir que a informao
esteja acessvel apenas para quem tem permisso de
acesso, evitando, assim, revelao no autorizada.
Confidencialidade
I. INTRODUO SEGURANA DA INFORMAO
13
Confidencialidade
Balancete contbil Secretaria (pblica acesso a todos os interessados)
Informaes tticas de operao policial a ser realizada (apenas os
envolvidos no plano)
Senha da conta bancria (somente o correntista)
Gabarito de Prova no realizada (apenas os elaboradores da prova)
Lista dos aprovados em concurso pblico (pblica - todos os interessados)
I. INTRODUO SEGURANA DA INFORMAO
14
uma caracterstica da informao que diz respeito sua
exatido.
Medidas de segurana devem garantir que a informao seja
alterada somente por pessoas e/ou ativos associados
autorizados e em situaes que efetivamente demandem a
alterao legtima.
Integridade
I. INTRODUO SEGURANA DA INFORMAO
15
Integridade
Plano de Vo
Dados preenchidos em cheque
Contedo de um Edital a ser publicado
Prescrio mdica para paciente internado
I. INTRODUO SEGURANA DA INFORMAO
16
Medidas de segurana devem garantir que a informao esteja
disponvel, sempre que necessrio, aos usurios e/ou sistemas
associados que tenham direito de acesso a ela.
Disponibilidade
I. INTRODUO SEGURANA DA INFORMAO
17
Disponibilidade
Extrato bancrio
Dados gerenciais para tomada de deciso
ndice de mortalidade infantil por municpio
tamanho das reas devastadas por queimadas
n de aposentadorias previstas para 2013
Dados para operacionalizao de procedimentos
ramal de telefones atualizado na recepo
declarao de rendimentos para IRPF
I. INTRODUO SEGURANA DA INFORMAO
18
Diz respeito certeza da origem da informao.
Medidas de segurana devem garantir que a informao provem
da fonte anunciada e que no foi alvo de mutao ao longo de
sua transmisso.
Autenticidade
I. INTRODUO SEGURANA DA INFORMAO
19
Autenticidade
Pgina web do banco para digitar n da conta e senha
Certificado de Registro de Veculo para transferncia de proprietrio
Atestado mdico para justificar falta de funcionrio
I. INTRODUO SEGURANA DA INFORMAO
20
Ou irretratabilidade, diz respeito garantia de que o autor de
determinada ao no possa negar tal ao.
Medidas de segurana devem garantir meios que identifique
inequivocamente o autor de uma ao.
No repdio
I. INTRODUO SEGURANA DA INFORMAO
21
No repdio
Notificao judicial (entrega em mos por algum de f
pblica)
Notificao extrajudicial (registradas)
Posse de um processo (controle de assinatura do
receptor, data e hora do recebimento).
Acesso a determinado ambiente crtico (sistema por
biometria).
I. INTRODUO SEGURANA DA INFORMAO
22
Confidencialidade Integridade Disponibilidade
Autenticidade No Repdio
I. INTRODUO SEGURANA DA INFORMAO
Dimenses da segurana da informao:
24
Segurana da Informao Proteo
I. INTRODUO SEGURANA DA INFORMAO
Ativos:
A prpria informao
Infraestrutura fsica
Tecnologia da Informao
Pessoas
Negcio
Informaes
Ativos
suportam
manipuladas
25
Proteo: Medidas / Controles de Segurana da Informao
I. INTRODUO SEGURANA DA INFORMAO
26
Segurana da Informao como uma corrente cuja fora medida pelo
seu elo mais fraco.
Nenhuma corrente to forte quanto o seu elo mais fraco.
I. INTRODUO SEGURANA DA INFORMAO
II. CENRIO
27
Segurana Fsica
CENRIO SEGURANA FSICA
Pouca considerao com a localizao das
Instalaes
28
29
30
Uma mega exploso no depsito de, umgrande terminal de distribuio decombustvel, que armazena leo, gasolina equerosene, foi ouvida a 322 km de distncia.A interrupo dos negcios foi sentida portodas as empresas de Maylands 48 horasaps o incidente, sendo que a maioria foiafetada por longo tempo e muitas ainda estosofrendo dos efeitos ps-incidente.Cerca de 90 empresas foram severamenteafetadas pelo incidente com destruio totalou parcial de suas instalaes e outros ativos.A maioria delas ainda est sofrendo os efeitos do incidente.
Mega exploso do depsito de combustveis de Buncefield
Barreiras e Controle de Acesso Fsico
31
CENRIO SEGURANA FSICA
CENRIO SEGURANA FSICA
32
33
CENRIO SEGURANA FSICA
Infraestrutura de Utilidades :
Energia eltrica,
Abastecimento de gua,
Sistema de climatizao
34
CENRIO SEGURANA FSICA
35
CENRIO SEGURANA FSICA
Equipamentos
36
CENRIO SEGURANA FSICA
37
CENRIO SEGURANA FSICA
Preveno e combate a incndio
CENRIO SEGURANA FSICA
38
CENRIO SEGURANA FSICA
39
CENRIO SEGURANA FSICA
40
II. CENRIO
41
PESSOAS
42
CENRIO PESSOAS
Ignorncia
M-fNegligncia
Incidentes de Segurana provocados por Pessoas
CENRIO PESSOAS
44
CENRIO PESSOAS
45
46
A Engenharia Social
CENRIO PESSOAS
47
A Engenharia Social
" a cincia que estuda como o conhecimento do comportamento
humano pode ser utilizado para induzir uma pessoa a atuar
segundo seu desejo. No se trata de hipnose ou controle da mente,
as tcnicas de Engenharia Social so amplamente utilizadas por
detetives (para obter informao) e magistrados (para comprovar se
um declarante fala a verdade).
Tambm utilizada para lograr todo tipo de fraudes, inclusive
invaso de sistemas eletrnicos."
Mrio Peixoto em Engenharia Social e Segurana da Informao na Gesto Corporativa. Rio de Janeiro: Brasport, 2006.
CENRIO PESSOAS
Espionagem industrial,
Obter informaes privilegiadas para obter vantagem,
Obter informaes confidenciais para cometer alguma fraude ou
extorso,
Roubo de senhas de bancos ou cartes de crdito,
Invadir sistemas por pura diverso o suficiente.
48
Objetivos do Engenheiro Social
CENRIO PESSOAS
http://pharma.msc.edu.eg/ATC.asp
Egito
CENRIO PESSOAS
49
Subject: Parabns voc ganhou uma TV LCD Philips
Grtis.
From: [email protected]
Date: Mon, 21 Mar 2011 21:31:20 -0700
CENRIO PESSOAS
50
51
Por que as pessoas so vulnerveis a manipulaes?
Seis tendncias bsicas da natureza humana facilitam ataques de
engenharia social:
Autoridade
Afabilidade
Reciprocidade
Validao Social
Escassez
CENRIO PESSOAS
52
Por que as pessoas so vulnerveis a manipulaes?
Outros aspectos humanos tambm devem ser considerados, como
Ambio
Vaidade
Carncia afetiva
Curiosidade
Etc
CENRIO PESSOAS
53
Eu consegui porque entrei e ningum
me perguntou nada e nem pediu
nenhuma identificao.
CENRIO PESSOAS
54
CENRIO PESSOAS
As pessoas acabam caindo nas minhas
mentiras porque eu mexo com a ambio
delas. Sou quem eles quiserem que eu
seja. Marcelo Rocha
55
CENRIO PESSOAS
II. CENRIO
56
Segurana na Tecnologia da Informao
57
CENRIO DAS ORGANIZAES
CENRIO TECNOLOGIA DA INFORMAO
58
Negcios dependentes cada vez mais dos sistemas de informao e da
Internet
Problemas:
Infeco por vrus,
Acesso no autorizado,
Ataques denial of service contra redes e sistemas,
Furto de informao proprietria,
Invaso de sistemas, fraudes internas e externas,
Espionagem sobre as redes,
entre outras.
CENRIO TECNOLOGIA DA INFORMAO
CENRIO TECNOLOGIA DA INFORMAO
59
60
CENRIO TECNOLOGIA DA INFORMAO
61
CENRIO TECNOLOGIA DA INFORMAO
62
Motivadores
A difuso da Internet
O aumento do nmero de vulnerabilidades nos sistemas existentes
Esforo e custo para mitigar tais vulnerabilidades com a aplicao
de correes do sistema
A complexidade e a sofisticao dos ataques tambm contribuem de
maneira direta para o aumento dos incidentes.
CENRIO TECNOLOGIA DA INFORMAO
63
Quem so os atacantes?
CENRIO TECNOLOGIA DA INFORMAO
64
Hacker e Cracker
Fascnio pelo poder do controle;
Alto conhecimento tcnico de protocolos de redes
e de sistemas operacionais;
Cracker so os maiores responsveis pelos danos de dados roubados e
de fraudes em sistemas;
Muitas organizaes contratam hackers (ticos) para testarem a
segurana de suas organizaes.
CENRIO TECNOLOGIA DA INFORMAO
hacker britnico
Gary McKinnon
65
Crackers inexperientes (geralmente das camadas etrias mais novas);
Utilizam o trabalho intelectual dos verdadeiros especialistas tcnicos;
Almejam fama ou outros tipos de lucros pessoais.
Utilizam exploits, trojans e ferramentas de cracking construdos por terceiros
para alcanar seus objetivos.
Aes mais comuns: defacement (alterao do
contedo original de pginas web), fraudes
com cartes de crdito e fraudes bancrias.
Script Kiddie
CENRIO TECNOLOGIA DA INFORMAO
66
Possuem autorizao legtima para
acesso e uso de informao, sistema, rede.
Fazem mau uso dos privilgios que possuem
Legitimamente.
Tentam obter de maneira ilcita acessos com mais poderes.
Motivaes: vingana ((ex)funcionrio insatisfeito), ganho financeiro (fraude,
roubo de informao privilegiada), desafio.
Atacantes Internos
Ex-servidora da Previdncia Jorgina de
Freitas
CENRIO TECNOLOGIA DA INFORMAO
80% dos incidentes de segurana em uma organizao so causados por usurios internos.
67
68
SOFISTICAO DOS ATAQUES
Cdigo auto-replicveis
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponvel em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
Alta
Baixa
1985 1990 1995 200520001980 2002
Advinhao de senhas
Programas password cracking
Explorao de vulnerabilidades conhecidas
Desativao de
auditoria
Overflow / Worm
Backdoors Sniffers
Port ScannersSpoofing de pacotes IP
Scanners de vulnerabilidades
DoS /DDoS
Ataques Web
Rootkits Exploits
CENRIO TECNOLOGIA DA INFORMAO
69Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponvel em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
Conhecimento Tcnico
Alto
Baixo
1985 1990 1995 200520001980 2002
Especialistas, estudiosos
Script Kiddies
Richard Skrenta
Criador 1 virus
PERFIL DOS ATACANTES
CENRIO TECNOLOGIA DA INFORMAO
70
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponvel em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
Alto
Baixo
1985 1990 1995 200520001980 2002
Sofisticao das ferramentas
Nvel de Conhecimento
CENRIO TECNOLOGIA DA INFORMAO
71
CENRIO TECNOLOGIA DA INFORMAO
Ambientes mais complexos e heterogneos
Diversos fornecedores
Necessidade de pessoal com formaes especializadas
Complexidade na administrao dos ambientes
Muita demanda de servios via TI e urgncias
Problemtica dos ambientes de TI
72
CENRIO TECNOLOGIA DA INFORMAO
73
2. CENRIO TECNOLOGIA DA INFORMAO
II. CENRIO
74
ASPECTOS LEGAIS
Cenrio no ambiente de trabalho
Problemas mais comuns:
Uso dos recursos de Tecnologia da Informao (TI) da
organizao para interesses pessoais
Uso malicioso ou negligente dos recursos de Tecnologia da
Informao (TI) da organizao
ASPECTOS LEGAIS
76
ASPECTOS LEGAIS
Pesquisa com 1,6 mil pessoas realizada por empresa de consultoria em produtividade:
80% gastam at trs horas do tempo de trabalho com atividades que
no contribuem para o servio, e boa parte est ligada internet;
36% afirmam que acessam Internet sem o foco do trabalho;
40% dizem repassar correntes e tambm piadas por email;
20% curtem joguinhos online;
56% fazem compras pela internet e;
11% veem pornografia no computador.
Tudo em plena hora de trabalho!
Cenrio no ambiente de trabalho
77
ASPECTOS LEGAIS
Quem paga a conta?
Salrio + encargos;
Banda Internet;
Armazenamento dos downloads;
Trabalho dos administradores de TI;
Atrasos nas entregas do trabalho e desdobramentos;
Ataques de cdigos maliciosos na rede da organizao;
Outros custos diretos e indiretos
um problema tico do empregado e da organizao permissiva.
Cenrio no ambiente de trabalho
Responsabilidade Civil dos Executivos , Gestores e Profissionais
em geral
Executivos, gestores e profissionais de TI respondem legalmente pelos
danos causados atravs dos meios eletrnicos.
O Cdigo Civil prev que o empregador responsvel por tudo o que os
trabalhadores fazem usando as conexes e os equipamentos da empresa.
78
Isso significa que, se um funcionrio cometer um crime por meio
do computador do trabalho, a empresa responde judicialmente
pelo caso. O funcionrio tambm poder responder pelo crime,
mas os prejudicados costumam processar as empresas por conta
de elas terem mais poder e dinheiro em caso de indenizaes.
ASPECTOS LEGAIS
79
Art. 186. Aquele que, por ao ou omisso
voluntria, negligncia ou imprudncia, violar direito
e causar dano a outrem, ainda que exclusivamente
moral, comete ato ilcito.
Por ter praticado oudeixado como estava
No ter tomado os devidos cuidados
ASPECTOS LEGAIS
80
ASPECTOS LEGAIS
STJ - Demisso que ocorre por empregado ceder sua senha eletrnica para burlar sistema eletrnico legal
TRT-SP: Empregado que assediava colegas por e-mail demitido por justa causa
Para TRT-SP, copiar documento sigiloso sem autorizao d justa causa
TST admite que banco investigue e-mail de trabalho do empregado
TRT-RS: ao deixar de tomar providncias para apurao de envio de e-mails de contedo ofensivo, o empregador responsvel pela indenizao dos danos morais.
TJ-SC: Banco Ita indenizar correntista que foi vtima da ao de hackers
TRT-MG: Advogado acusa escritrio de monitorar empregados e indenizao rejeitada
III. BOAS PRTICAS DE SEGURANA DA INFORMAO
84
SRIE NBR ISO/IEC 27000
Para que reinventar a roda?
SRIE NBR ISO/IEC 27000
85
ISO 27001
Define os requisitos para um sistemas de
gesto de segurana da informao
ISO 27002
ISO 27003
ISO 27004
ISO 27005
SRIE NBR ISO/IEC 27000
86
ISO 27001
Boas prticas para a gesto de segurana da
informaoISO 27002
ISO 27003
ISO 27004
ISO 27005
SRIE NBR ISO/IEC 27000
87
ISO 27001
Guia para a implantao de um sistema de
gesto de segurana da informao
(metodologia)
ISO 27002
ISO 27003
ISO 27004
ISO 27005
SRIE NBR ISO/IEC 27000
88
ISO 27001
Define mtricas e meios de medio para
avaliar a eficcia de um sistema de gesto
de segurana da informao
ISO 27002
ISO 27003
ISO 27004
ISO 27005
SRIE NBR ISO/IEC 27000
89
ISO 27001
Fornece as diretrizes para o processo de
gesto de riscos de segurana da informao
ISO 27002
ISO 27003
ISO 27004
ISO 27005
SRIE NBR ISO/IEC 27000
ISO 27002 Cdigo de prticas para a gesto de segurana da informao
Poltica de Segurana da Informao
Organizando a Segurana da
Informao
Gesto de Ativos
Classificao da Informao
Segurana em Recursos Humanos
Segurana Fsica e do Ambiente
Gesto das Operaes e Comunicaes
Controle de Acesso
Aquisio, Desenvolvimento e
Manuteno de Sistemas de Informao
Gesto de Incidentes de Segurana da
Informao
Gesto da Continuidade do Negcio
Conformidade
90
SRIE NBR ISO/IEC 27000
Segurana em Recursos Humanos
Antes da contratao
papis e responsabilidades definidos e documentados
seleo (referncias, verificao das informaes do currculo, qualificaes
acadmicas e profissionais, verificaes financeiras e criminais)
Termos e condies
Durante a contratao
Responsabilidades da direo
conscientizao, educao e treinamento
Processo disciplinar
Encerramento ou mudana de contratao
Encerramento de atividades
Devoluo de ativos
Retirada de direitos de acesso91
III. BOAS PRTICAS DE SEGURANA DA INFORMAO
92
Poltica de Segurana da Informao
Gosto no se discute, mas poltica de segurana se
deve discutir, e muito!
POLTICA DE SEGURANA DA INFORMAO
O que so polticas de segurana da informao?
93
Uma Poltica de Segurana da Informao um documento que deve
descrever as prticas que a organizao espera que sejam seguidas
por todos os empregados para proteger seus ativos de informao.
Scott Barman
POLTICA DE SEGURANA DA INFORMAO
Polticas so importantes para:
Comunicar os objetivos e as diretrizes da segurana da informao;
Garantir a implementao apropriada de controles de segurana;
Demonstrar o compromisso e apoio da alta administrao;
Evitar problemas legais (indenizaes, multas);
Alcanar um nvel de segurana consistente evitando esforos
segmentados.
94
POLTICA DE SEGURANA DA INFORMAO
Desafio
95
POLTICA DE SEGURANA DA INFORMAO
Motivos de resistncia
Pessoas, naturalmente, no gostam de regras e vem polticas como
controles;
Consideram um impedimento produtividade;
Diferentes vises sobre necessidades de segurana;
Dificuldades de seguir e implementar.
96
POLTICA DE SEGURANA DA INFORMAO
Objetivo ISO 27002
Uma poltica de segurana da informao tem como objetivo
prover uma orientao e apoio da alta administrao para a
segurana da informao de acordo com os requisitos do negcio
e com as leis e regulamentaes pertinentes.
Pesquisa e clnica mdia
Administrao pblica
Indstria Alimentcia
Seguradora
Financeiras
Telefonia ...
ANVISA
CRM
Sarbane-Oxley
Banco Central
ANATEL
ANAC
POLTICA DE SEGURANA DA INFORMAO
Fatores Crticos de Sucesso
Implementvel e aplicvel
Concisa e de fcil entendimento por todos
Equilibrar proteo e produtividade
Revisada periodicamente
COMUNICADA, DIVULGADA, DISSEMINADA
98
???
POLTICA DE SEGURANA DA INFORMAO
Documentos que compem um Poltica de Segurana
Os documentos que compem uma poltica de segurana de informao
variam bastante em cada organizao, porm a grande maioria segue a
estrutura:
Carta de comprometimento da alta administrao
Diretrizes ou Poltica de Segurana
Normas de Segurana
Procedimentos e Instrues
99
100
Fonte: Segurana e Auditoria de Sistemas UNIBAN - Thiago
Bordini
POLTICA DE SEGURANA DA INFORMAO
102
POLTICA DE SEGURANA DA INFORMAO
No Poder Executivo da Administrao Pblica do Estado de Mato Grosso, atravs de resolues do COSINT:
Polticas e Diretrizes da Segurana da Informao Estadual (Res. 003/2010)
Norma de Segurana Estadual para Acesso Informao (Res. 008/2010)
Procedimento para concesso e bloqueio de acesso
Procedimento para manter Termo de Responsabilidade e Sigilo
Norma de Segurana para Uso do Correio Eletrnico Corporativo (Res. 009/2011)
Norma de Segurana de Acesso Internet (Res. 010/2011)
Norma de Segurana para Administrao de Senhas (Res. 011/2011)
III. BOAS PRTICAS DE SEGURANA DA INFORMAO
103
Organizao da Segurana da Informao
104
Em que nvel se enquadra a segurana da informao em uma organizao?
Estratgico
Ttico
Operacional
A ORGANIZAO DA SEGURANA DA INFORMAO
105
Alta Administrao
Comit Multi-disciplinar
Gestores
Colaboradores
A ORGANIZAO DA SEGURANA DA INFORMAO
Um modelo ...
Gestor SeguranaInformao
106
ComitMultidisciplinar
Exemplo de formao de um Comit de Segurana
A ORGANIZAO DA SEGURANA DA INFORMAO
Asse
sso
ria
Ju
rd
ica
Re
cu
rso
sH
um
an
os
107
Alta Administrao
ComitMultidisciplinar
Gestores
Gestor Segurana daInformao
Gestores Gestores
Colaboradores Colaboradores Colaboradores
A ORGANIZAO DA SEGURANA DA INFORMAO
III. BOAS PRTICAS DE SEGURANA DA INFORMAO
108
Classificao da Informao
109
CLASSIFICAO DA INFORMAO
A informao sempre tem valor.
Se voc no o souber, sempre h
algum que imagina o quanto ela
vale; e voc pode ficar sabendo
somente quando for tarde demais.
Caruso&Steffen
110
A Classificao da Informao permite identificar o grau de proteo
necessrio baseado no valor da informao.
Tal proteo designa-se a evitar destruio, modificao e/ou revelao
no autorizada.
CLASSIFICAO DA INFORMAO
DisponibilidadeIntegridade
Confidencialidade
CLASSIFICAO DA INFORMAO
111
O que ?
o processo de identificar os nveis apropriados de proteo
informao, a partir de critrios bem definidos, garantindo a sua
confidencialidade, integridade e disponibilidade.
Por que?
Permite a proteo adequada s informaes. A Classificao da
informao formalizada e instituda evita equvocos por subjetividade nas
medidas de proteo das informaes de uma organizao.
CLASSIFICAO DA INFORMAO
112
Exemplo
Nveis de Confidencialidade ou Sensibilidade:
Nvel Critrios
Confidencial informaes que, em razo de lei, interesse pblico ou
para a preservao de direitos individuais, devam ser de
conhecimento reservado e, portanto, requeiram medidas
especiais de segurana e salvaguarda.
Restrita informaes que, por sua natureza, s podem ser
divulgadas a grupo restrito de pessoas;
Uso interno informaes que, por sua natureza, so de interesse
exclusivo da organizao;
Pblica Todas as demais informaes.
113
A proteo da informao deve considerar todos os aspectos de
manipulao, tais como:
Controle de cpia
Armazenamento
Transporte interno
Transporte externo
Transmisso via linha telefnica ou fax
Transmisso por redes de comunicao
Descarte
CLASSIFICAO DA INFORMAO
CLASSIFICAO DA INFORMAO
BOM LEMBRAR .....
Valor da
InformaoCusto da Proteo
Custo X Benefcio114
Diretrizes
Normas
Procedimentos
CLASSIFICAO DA INFORMAO
115
Instrumentos para instituio da Classificao da Informao:
Poltica e Diretrizes para Classificao da Informao
Norma de Segurana para Classificao da Informao
Instrues para Proteo da Informao
III. BOAS PRTICAS DE SEGURANA DA INFORMAO
116
Gesto de Risco
GESTO DE RISCOS
117
O maior risco crer
que no h riscos.
Caruso&Steffen
Prtica preventiva;
Consiste em:
Reconhecer os potenciais riscos sobre determinado objeto (contexto)
que se quer proteger,
Mensurar a capacidade desses riscos em causar danos e a severidade
dos possveis danos,
Tratar esses riscos preventivamente, modificando-o para um nvel
aceitvel.
Referncia: ABNT NBR ISO 31000 Gesto de riscos Princpios e
diretrizes
118
GESTO DE RISCOS
Determinar o contexto
Analisar os riscos
Avaliar os riscosTratar os riscos
Acompanhamento dos riscos
Ambiente,
Sistema,
Projeto,
Servio
Ameaas,
Vulnerabilidades,
Controles,
Impactos,
Probabilidade
Grandeza (Quantitativa ou Qualitativa)
Urgncia
Aceitar Evitar Minimizar o impacto Diminuir a probabilidade Transferir ou compartilhar
GESTO DE RISCOS
119
120carpete
III. BOAS PRTICAS DE SEGURANA DA INFORMAO
121
Plano de Continuidade do Negcio
122
depois, no adianta chorar o leite desrramado.
PLANO DE CONTINUIDADE DO NEGCIO
FATOS ...
Dentre as empresas que sofrem grandes incidentes sem possuir um
plano:
40% no sobrevivem
40% encerram suas atividades em 18 meses
12% encerram suas atividades em 5 anos
8 % sobrevivem
Fonte: Safetynet/Guardian IT
123
PLANO DE CONTINUIDADE DO NEGCIO
124
PCN um conjunto de planos que se complementam,
oferecendo uma soluo completa para a continuidade dos
negcios essenciais numa situaao de falha ou interupo nos
componentes que suportam os principais processos.
Modulo Security
Tem o foco na continuidade das funes vitais do negcio;
Geralmente contm o plano de recuperao de desastres e o plano
de contingncia TI;
Convm ter o plano de gerenciamento de crise
Fonte: ABNT NBR 15999-1 e 2 Gesto de Continuidade de Negcio
PLANO DE CONTINUIDADE DO NEGCIO
Garante a continuidade
Operacional dos Processos
de Negcios Vitais
Recupera / restaura os
componentes que suportam os
Processos de Negcios
Plano de
Contingncia
Plano de
Recuperao de
Desastre
Gerenciamento de
Crise
Coordena aes,
minimiza perdas, salva
vidas, estabelece porta-
voz, ...
PLANO DE CONTINUIDADE DO NEGCIO
125
126
PLANO DE CONTINUIDADE DO NEGCIO
127
PLANO DE CONTINUIDADE DO NEGCIO
Tinha PCN ???
128
Um bom PCN evita a falsa sensao de segurana.
PLANO DE CONTINUIDADE DO NEGCIO
III. BOAS PRTICAS DE SEGURANA DA INFORMAO
129
Desenvolvimento de Pessoas
Segurana da Informao comea e
termina em pessoas.
130
DESENVOLVIMENTO DE PESSOAS
131
S existe uma maneira de manter seguros os negcios de uma organizao:
Ter uma fora de trabalho consciente e treinada.
COMO?
Desenvolvendo uma estratgia para aumentar o nvel de conscincia
da segurana da informao e a habilidade de aplicar os princpios e
conceitos s atividades funcionais
crtico empreender os dois princpios de aprendizagem:
CONSCINCIA e CAPACITAO.
DESENVOLVIMENTO DE PESSOAS
132
Que comportamento a organizaoespera dos colaboradores ?
Que habilidade(s) a organizao querque seja desenvolvida?
CONSCIENTIZAO
CAPACITAO
DESENVOLVIMENTO DE PESSOAS
133
Um profissional que, envolvido com a segurana da
informao, se comporta de maneira a proteger
informaes e ativos e planeja e aplica tcnicas de
proteo adequadas.
Tudo isso seguindo os princpios e diretrizes de
segurana estabelecidos pela organizao.
Conscientizao
Capacitao
RESULTADO
Polticas de Segurana
DESENVOLVIMENTO DE PESSOAS
134
Alguns recursos teis para programas de Conscientizao:
Identificao visual (mascote, lema)
Palestras
Gincanas com premiaes
Banners (fsicos e digitais)
E-mails
Cartilhas
Faixas
Brindes com mensagens
e-Boletins
DESENVOLVIMENTO DE PESSOAS
135
Uma boa ao pode gerar uma reao em
cadeia at que uma m ao a anule.
A segurana da informao comea e termina
em PESSOAS.
DESENVOLVIMENTO DE PESSOAS
III. BOAS PRTICAS DE SEGURANA DA INFORMAO
136
Ferramentas de Segurana
Segurana no um produto que se pode
comprar de prateleira, mas que consiste de
polticas, pessoas, processos e tecnologia
(Kevin Mitinik)
Tecnologias de Apoio
Autenticao
Criptografia
Tecnologias Preventivas e
Detectivas
Firewall
Anti-Malwares
IDS
VPN
137
FERRAMENTAS DE SEGURANA
Autenticao
138
um processo que verifica, a partir de uma identidade digital, se
o usurio possui o direito de acesso a um sistema, um
computador ou um ambiente.
FERRAMENTAS DE SEGURANA
Pode ser baseada em um ou na combinao dos seguintes fatores:
Algo que o usurio conhece.
Algo que o usurio tem
Algo que o usurio
Onde o usurio est
139
Algumas recomendaes para uma boa senha (ISO/IEC 27001):
manter a confidencialidade das senhas;
evitar anotar senhas;
alterar senha sempre que existir qualquer indicao de comprometimento
de sua confidencialidade;
Selecionar senhas de qualidade
FERRAMENTAS DE SEGURANA
140
FERRAMENTAS DE SEGURANA
141
FERRAMENTAS DE SEGURANA
As foras armadas dos Estados Unidos utilizaram a senha
00000000 para proteger esses computadores
durante oito anos (de 1968 a 1976).
Para a sorte dos norte-americanos, na poca no havia
nenhum hacker esperto o bastante para utilizar um rob
de fora bruta para quebrar os cdigos e causar uma
catstrofe.
Outras Ferramentas de Autenticao
142
Biometria
FERRAMENTAS DE SEGURANA
Criptografia
143
Usada para embaralhar uma determinada informao que deve
ser mantida em segredo, protegendo-a do acesso por terceiros no
autorizados.
Somente as pessoas autorizadas conseguiro desembaralha-la
para ter o conhecimento de seu teor.
FERRAMENTAS DE SEGURANA
144
Uso da tecnologia de criptografia
Cifragem / Decifragem ou criptografia/decriptografia
Certificao digital
Assinatura Digital
FERRAMENTAS DE SEGURANA
Cifragem / Decifragem ou criptografia/decriptografia
dados no computador
dados em pendrive
contedos e anexos em e-mails
dados a serem trafegados em redes inseguras (internet)
FERRAMENTAS DE SEGURANA
145
confidencialidade
146
FERRAMENTAS DE SEGURANA
http://www.com.br
147
FERRAMENTAS DE SEGURANA
https://www2.bancobrasil.com.br
148
Identidade digital de pessoa, organizao, equipamento;
Emitido por instituio reconhecida como confivel entre as partes;
Utilizado para autenticar a identidade das partes em um transao
digital
Certificao Digital
FERRAMENTAS DE SEGURANA
autenticidade
149
Assinatura Digital
Utiliza o certificado digital do signatrio
A assinatura digital garantia a integridade do contedo e autenticidade
do signatrio.
Vincula o contedo do arquivo com a assinatura.
A assinatura digital gerada atravs de certificado digital emitido por
entidade da ICP-Brasil tem validade legal.
FERRAMENTAS DE SEGURANA
Autenticidade e integridade
150
Indicador deAssinatura
Digital
Para Criptografar basta clicar
FERRAMENTAS DE SEGURANA
151
Firewall
Anti-malware
IDS Sistema de Deteco de Intruso
VPN Virtual Private Network
Outras ferramentas de segurana:
FERRAMENTAS DE SEGURANA
III. BOAS PRTICAS DE SEGURANA DA INFORMAO
152
Segurana Fsica
Permetros de Segurana
Consiste em isolar reas com diferentes nveis de risco e
criticidade
Segurana em camadas
Deve-se considerar os riscos de fora para dentro
Controle de Acesso Fsico
Prover segurana de acesso a reas delimitadas
salas de computadores, almoxarifado, sala de mquinas,
arquivo geral, ...
153
SEGURANA FSICA
SEGURANA FSICA
154
Recomendaes sobre controle de Acesso Fsico:
A entrada de pessoas em reas de segurana deve ser
controlada para que apenas pessoas autorizadas tenham acesso.
Controles:
Registro da data e hora da entrada e sada de visitantes
As permisses de acesso devem ser concedidas somente para
finalidades especficas e autorizadas
O acesso a reas em que so processadas ou armazenadas informaes
sensveis deve ser restrito s pessoas autorizadas;
Funcionrios, fornecedores e terceiros, e todos os visitantes, devem
possuir alguma forma visvel de identificao
155
SEGURANA FSICA
Infraestrutura de Utilidades
Energia eltrica, abastecimento de gua, tratamento de esgotos e ar-
condicionado;
Exige manutenes regulares para assegurar seu funcionamento correto;
Recomenda-se o uso de UPS (Uninterruptible Power Supply) para
suportar as paradas e desligamento dos equipamentos. O sistema mais
comum o no-break.
Deve ser considerado o emprego de um gerador de emergncia caso seja
necessrio para o negcio.
156
SEGURANA FSICA
Circuito Fechado de TV
O sistema de circuito fechado de TV mantm a vigilncia constante sobre
os pontos mais crticos.
Para realizao do monitoramento sem riscos legais:
Manter sempre aviso em especial na entrada do recinto
Contedo das filmagens s poder ser transcrito e utilizado em face de
investigao
Contedo das filmagens deve ter controle de acesso rgido.
Treinamento especfico aos responsveis pela anlise das imagens
Tambm se deve observar para que no haja exposio do colaborador
ao ridculo, tampouco gerar algum tipo de perseguio (colocar a
cmera vigiando apenas determinada pessoa e no todo o ambiente).
157
SEGURANA FSICA
Segurana Fsica em Equipamentos
Algumas consideraes:
Posicionamento do monitor de maneira a evitar visualizao de informaes
por pessoas no autorizadas;
Controles contra furtos e sabotagens;
Inibir comidas ou bebidas prximas a equipamentos;
Condies ambientais: temperatura, umidade, poeira, gazes;
Cabos de segurana para laptops.
158
SEGURANA FSICA
Segurana contra Fogo
Precaues:
Somente equipamentos em funcionamento devem ser mantidos ligados;
No se deve permitir qualquer atividade que produza fumaa ou qualquer
gs em recinto de instalao sensvel;
Antes da sada de pessoal de instalao sensvel:
Fechar todas as portas e aberturas entre os diversos compartimentos;
Papis e sucatas de papel devem ser recolhidos e removidos;
Retirar da energia equipamentos que no necessitam ficar ligados;
Verificar se sistema de combate e preveno de incidente est
operante;
Plano e Treinamento contra incndio.159
SEGURANA FSICA
9. Segurana contra Fogo
Classes de Incndio:
Classe A combustveis slidos
comuns; queimam em superfcie e em
profundidade. Ex.: papel,madeira,
tecido, fibras.
Classe B combustveis inflamveis
derivados do petrleo e outras fontes;
queimam na superfcie.Ex.: gasolina,
alcool, querosene, parafina, acetileno.
Classe C equipamentos eltricos e
eletrnicos com energia.Ex.: mquinas,
motores, instalaes eltricas.
Classe D metais pirofricos; requerem
agentes extintores especficos; se
inflamam em contato com o ar. Ex.:
magnsio, sdio, potssio, p de zinco.
SEGURANA FSICA
160
III. BOAS PRTICAS DE SEGURANA DA INFORMAO
161
ASPECTOS LEGAIS
Melhores Prticas
Educao
Polticas, normas e termos de responsabilidade
Monitoramento
Os recursos de TI so do empregador
Deve estar claro aos empregados de que no h privacidade no uso
dos recursos da empresa (e-mails corporativos, acesso Internet)
Os empregados devem estar cientes dos monitoramentos a que
esto submetidos (Internet, e-mails, filmagem, ...)
Medidas disciplinares
162
ASPECTOS LEGAIS
IV. GESTO DA SEGURANA DA INFORMAO
163
Ciclo PDCA
164
Gesto da
Segurana
da
Informao
AGIR PLANEJAR
EXECUTARVERIFICAR
Planos de Segurana:
Reviso Poltica e Normas Programa de educao / capacitao Implementao controles de segurana Definio das metas e indicadores Planejar monitoramento da conformidade, gesto de risco e
gerenciamento dos incidentes
Execuo dos
Planos
Classificar incidentes Analisar e Avaliar Riscos Analisar medidas dos indicadores
Analisar desvios de conformidade
Novos requisitos de segurana? Novos requisitos legais?
Tratar Incidentes Identificar causas
Responsabilizar Tratar riscos urgentes
Tratar desvios nos indicadores
165
OBRIGADA!
SORAIA DE FELICE