Upload
vankhue
View
213
Download
1
Embed Size (px)
Citation preview
Informação Interna 0 Belo Horizonte, abril de 2013 0 Afonso Kalil, III, CISA, CGEIT
Segurança da Informação
em Ambientes Colaborativos
A sua estratégia ou da sua organização
está realmente correta?
Conscientização e Comprometimento
Informação Interna 1 Belo Horizonte, abril de 2013 1 Afonso Kalil, III, CISA, CGEIT
Conscientizar todos os envolvidos sobre a importância de boas práticas de Segurança da Informação, principalmente as mais básicas e elementares (que, infelizmente, na maioria das vezes, é relegada a um segundo plano).
Envolvê-los de tal modo que todos estejam realmente COMPROMETIDOS!
OBJETIVO
Por quê? – Para minimizar ocorrências que tragam prejuízos
à Organização (ou à sua vida particular) e consolidar os
fundamentos mais importantes desta Disciplina.
Informação Interna 2 Belo Horizonte, abril de 2013 2 Afonso Kalil, III, CISA, CGEIT
Introdução
Princípios da Classificação da Informação
Mesa Limpa e Tela Limpa
Senha Forte
Impressão Segura
Regras básicas de comportamento – dentro/fora da organização.
Controle de Acessos – Separação de Responsabilidades (SOD)
Desenvolvimento de Novas Aplicações, incluindo WEB
Política de Segurança da Informação, Código de Conduta
Exemplo de um Programa de Comprometimento Gerencial .
AGENDA
Informação Interna 4 Belo Horizonte, abril de 2013 4 Afonso Kalil, III, CISA, CGEIT
O QUE É INFORMAÇÃO?
Informação é o resultado de um processamento de dados que
agrega conhecimento à pessoa que a recebe.
INTRODUÇÃO
A informação é um ativo essencial para os negócios de uma
organização e necessita ser adequadamente protegida,
independentemente do tipo de mídia em que estiver.
Informação Interna 5 Belo Horizonte, abril de 2013 5 Afonso Kalil, III, CISA, CGEIT
Documentos
Impressos e
Eletrônicos
Correspondências
e E-mail
Sons, Músicas e
Gravações
Desenhos
Técnicos e
Projetos
Vídeos,
Propagandas,
Filmes
Dados,
Sistemas e
Aplicações
Informação
COMO A INFORMAÇÃO SE APRESENTA?
INTRODUÇÃO
Nuvem
Conversas
Flip-charts
Palestras
DATA CENTER
DESENVOLVIMENTO
E
MANUTENÇÃO DE
SISTEMAS
SUPORTE TÉCNICO
/
INFRA-ESTRUTURA
RECEPÇÃO /
DIGITAÇÃO /
PREPARAÇÃO
OPERAÇÃO
/
PRODUÇÃO
QUALIDADE
/
EXPEDIÇÃO
SEGURANÇA E
/
GERÊNCIA SISTEMAS
C L I E N T E S E D E P A R T A M E N T O S U S U Á R I O S
ADMINISTRATIVO
FINANCEIRO
O a
mb
ien
te -
AN
TIG
O -
CP
D
A evolução da TIC ao longo dos anos
O a
mb
ien
te -
AN
TIG
O -
CP
D
A evolução da TIC ao longo dos anos
DATA CENTER
DESENVOLVIMENTO
E
MANUTENÇÃO DE
SISTEMAS
SUPORTE TÉCNICO
/
INFRA-ESTRUTURA
RECEPÇÃO /
DIGITAÇÃO /
PREPARAÇÃO
OPERAÇÃO
/
PRODUÇÃO
QUALIDADE
/
EXPEDIÇÃO
SEGURANÇA E
/
GERÊNCIA SISTEMAS
C L I E N T E S E D E P A R T A M E N T O S U S U Á R I O S
ADMINISTRATIVO
FINANCEIRO
DATA CENTER
DESENVOLVIMENTO
E
MANUTENÇÃO DE
SISTEMAS
SUPORTE TÉCNICO
/
INFRA-ESTRUTURA
RECEPÇÃO /
DIGITAÇÃO /
PREPARAÇÃO
OPERAÇÃO
/
PRODUÇÃO
QUALIDADE
/
EXPEDIÇÃO
SEGURANÇA E
/
GERÊNCIA SISTEMAS
C L I E N T E S E D E P A R T A M E N T O S U S U Á R I O S
ADMINISTRATIVO
FINANCEIRO
DATA CENTER
Firewall Firewall
Estação Local
DATA CENTER
OP-PROD
SUP
GERSIS
ADM-F
DES/M REDES
O A
mb
ien
te –
Atu
al
– S
I –
TI -
TIC
A evolução da TI-TIC ao longo dos anos
Firewall
Internet
Firewall
Intranet
Estação Local Provedor de
Acesso
Remoto
Firewall
DATA CENTER
Funcionário em Trânsito
Home Office
Parceiro de
Negócios
GESTÃO DE
RISCOS
GESTÃO DA
SEGURANÇA
DA INFORM
GESTÃO SLM
NÍVEIS DE
SERVIÇO
HELP DESK
CALL CENTER
SUPORTE
GESTÃO DE CONFORMIDADE
LEGAL, SOX,
BASILÉIA
GESTÃO DE
CRISES E
CONTINUIDADE
DE NEGÓCIOS
GESTÃO
DATA CENTER
(MF, CL/SRV
REDE)
CLIENTE / SERVIDOR
OP-PROD
SUP
GERSIS
ADM-F
DES/M
DES/M
REDES
REDES
O A
mb
ien
te –
Atu
al
– S
I –
TI -
TIC
DC 2
DC 3
A evolução da TI-TIC ao longo dos anos
CLOUD
COMPUTING
VIRTUALI-
ZAÇÃO
OUTSOUR-
CING
REDES SOCIAIS
CONSUMERIZAÇÃO
BYOD - Bring Your Own Device
AMBIENTE DE
COLABORAÇÃO
BIG DATA TRANSPARÊNCIA
Informação Interna 10 Belo Horizonte, abril de 2013 10 Afonso Kalil, III, CISA, CGEIT
Legalidade
Auditabilidade
Integridade
Disponibilidade
Acessibilidade
Confidencialidade
Segurança
da
Informação
Autenticidade
INTRODUÇÃO
PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
Informação Interna 11 Belo Horizonte, abril de 2013 11 Afonso Kalil, III, CISA, CGEIT
Legalidade
Confiabilidade
Auditabilidade
Integridade
Disponibilidade
Acessibilidade
Confidencialidade
Segurança
da
Informação
Autenticidade
Básico
INTRODUÇÃO
PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
Informação Interna 12 Belo Horizonte, abril de 2013 12 Afonso Kalil, III, CISA, CGEIT
Legalidade
Confiabilidade
Auditabilidade
Integridade
Disponibilidade
Acessibilidade
Confidencialidade
Segurança
da
Informação
Autenticidade
INTRODUÇÃO
PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
Segurança em Arquivologia
Preservação e conservação.
Procedimentos e rotinas arquivísticas.
Entendimento da segurança em sentido amplo.
Proteção
Estabilidade
Inviolabilidade
Cautela
Compromisso
Eficácia
Eficiência
Confiança
Garantia dos resultados
Durante as 3 fases do ciclo de vida dos documentos: Corrente, Intermediária e Permanente (tradicional ou digital).
Prudência
Informação Interna 13 Belo Horizonte, abril de 2013 13 Afonso Kalil, III, CISA, CGEIT
Legalidade
Confiabilidade
Auditabilidade
Integridade
Disponibilidade
Acessibilidade
Confidencialidade
Segurança
da
Informação
Autenticidade
INTRODUÇÃO
PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
Segurança em Arquivologia
Câmara Técnica Documentos Eletrônicos - CTDE
Autenticidade (credibilidade).
Integridade (completo sem corrupção).
Confiabilidade (fidedignidade).
Acessibilidade (facilidade acesso).
Estes elementos, conjuntamente, podem garantir segurança administrativa, fiscal, legal e probatória ao documento arquivístico.
Informação Interna 14 Belo Horizonte, abril de 2013 14 Afonso Kalil, III, CISA, CGEIT
Legalidade
Confiabilidade
Auditabilidade
Integridade
Disponibilidade
Acessibilidade
Confidencialidade
Segurança
da
Informação
Autenticidade
INTRODUÇÃO
PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
Segurança em Arquivologia
Desafios para documentos digitais:
Acessibilidade no tempo.
Variação de formato e estrutura.
Compatibilidade com HW e SW usados na produção.
Cópias de Segurança.
Conservação dos elementos.
O reconhecimento de um documento arquivístico digitalizado como substituto do original ainda carece de melhor legislação.
Informação Interna 15 Belo Horizonte, abril de 2013 15 Afonso Kalil, III, CISA, CGEIT
Legalidade
Confiabilidade
Auditabilidade
Integridade
Disponibilidade
Acessibilidade
Confidencialidade
Segurança
da
Informação
Autenticidade
INTRODUÇÃO
PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO
Auditabilidade
Trilhas de AUDITORIA
Não é “log” nem “histórico”.
Somente atualizações sensíveis.
Data e hora, como estava, como ficou, quem modificou, a partir de que ponto da rede.
Aprovadas previamente.
Documentadas, incluindo meios de acesso, quem pode acessar, abrangência no tempo, etc. Protegidas e legíveis (sempre), com
exemplos para extração de relatórios.
Informação Interna 16 Belo Horizonte, abril de 2013 16 Afonso Kalil, III, CISA, CGEIT
Ambiente para Negócios – Situação do Brasil – 142 países:
138ª. posição – Complexidade processual p/criar uma empresa.
130ª. posição – Cobrança de altos impostos.
86ª. posição – Disponibilidade de profissionais qualificados.
33ª. posição – Uso de TI.
31ª. posição – Níveis avançados em capacidade tecnológica.
Global Information Technology Report – World Economic Forum
PANORAMA ATUAL
Informação Interna 17 Belo Horizonte, abril de 2013 17 Afonso Kalil, III, CISA, CGEIT
Rede - Comitê Gestor para a Internet
PANORAMA ATUAL
Grupo de Resposta a Incidentes de Segurança p/ Internet Brasileira
85 milhões de internautas (BR) (Mundo: 2,2 bilhões)
Aumenta a importância e a quantidade de ataques.
Plano Nacional de Banda Larga – para todos...
Exige maior conscientização sobre os riscos e proteção.
Cartilha de Segurança para Internet (cartilha.cert.br).
Informação Interna 18 Belo Horizonte, abril de 2013 18 Afonso Kalil, III, CISA, CGEIT
Rede - Comitê Gestor para a Internet
PANORAMA ATUAL
Grupo de Resposta a Incidentes de Segurança p/ Internet Brasileira
O desenvolvimento de novas tecnologias, facilidade de
conexão, armazenamento, rotatividade do pessoal, etc.
provoca:
Aumento dos impactos diretos à Segurança da Informação.
Exigência de maior conhecimento do ambiente de negócios.
Exigência de novas Políticas e/ou adaptação das já existentes.
Definição do comportamento esperado de cada um e o
tratamento dos desvios.
Informação Interna 19 Belo Horizonte, abril de 2013 19 Afonso Kalil, III, CISA, CGEIT
PANORAMA ATUAL
Benefícios
Consumerização e “BYOD” “Bring Your Own Device”
Possível aumento de produtividade.
Redução com custos de equipamento.
Desvantagens
Dificuldade de suportar dispositivos de diversos
fabricantes e com diferentes versões de sistemas
operacionais e aplicativos.
Dificuldade no tratamento de direitos e deveres.
(equipamentos, aplicativos, acesso à Internet, etc.)
Informação Interna 20 Belo Horizonte, abril de 2013 20 Afonso Kalil, III, CISA, CGEIT
PANORAMA ATUAL
A importância da informação para o Negócio
Tempo
100 % Incidente Nível de Serviço
Tempo
100 %
Nível do Negócio
100 %
Tempo
Perda de clientes
Perda de oportunidades
Horas de trabalho improdutivas
Penalidades / Multas
Publicidade negativa
Nível do Controle
Documentação, Versões de SW,
Acessos, Retorno à normalidade, etc.
Informação Interna 21 Belo Horizonte, abril de 2013 21 Afonso Kalil, III, CISA, CGEIT
PANORAMA ATUAL - TENDÊNCIAS
Cibercriminosos mais ágeis, na exploração de falhas de segurança.
2013 e 2014: Ameaças mais dinâmicas, diversificadas e custosas.
“Botnets” ganham mais sofisticação.
“Ransomware” (malwares” que cobram resgate) em ascenção.
“NFC” e infra-estrutura tornam-se os alvos principais. (Near Field Commun.)
Convergência da indústria de segurança e consolidação.
“BYOD” direciona o controle de acesso de rede.
A mídia social é cada vez mais atraente para os atacantes.
Surgimento de sistemas operacionais mais robustos para “móveis”.
Informação Interna 22 Belo Horizonte, abril de 2013 22 Afonso Kalil, III, CISA, CGEIT
PANORAMA ATUAL
Principais preocupações e questionamentos dos Gestores
QUE GRAU DE RISCO
ESTOU DISPOSTO A
ACEITAR ?
A IMPLEMENTAÇÃO
(OU APERFEIÇOAMENTO)
PODE SER FEITA (O) AOS
POUCOS ?
PRECISAMOS NOS
PREOCUPAR COM
ESTES ASSUNTOS ?
AFINAL, QUAIS SÃO AS
MELHORES PRÁTICAS
UTILIZADAS NO MERCADO ?
AS PRÁTICAS PODEM SER
ADAPTADAS À NOSSA
REALIDADE ?
QUE CONTROLES
ESSENCIAIS PRECISO TER
(OU MELHORAR) AGORA ?
E DEPOIS ?
ONDE ESTOU AGORA ?
QUAL MINHA MATURIDADE?
AONDE QUERO CHEGAR ?
CUSTOS? PRAZOS? QUAIS RECURSOS?
COMO? QUEM? QUANDO?
? ?
? ? ?
?
? ?
Informação Interna 23 Belo Horizonte, abril de 2013 23 Afonso Kalil, III, CISA, CGEIT
PANORAMA ATUAL
Melhores práticas
ISO 27001 ISO 27002
Padrão de especificação para um
SGSI (Sistema Gerencial de
Segurança da Informação).
Novo padrão para a atual ISO
17799 (originalmente BS7799-1)
ISO 27003 ISO 27004
Guia para a implementação de um
SGSI.
Padrão de medição e métricas de
SGSI.
ISO 27005 ISO 27006
Padrão para Gestão de Risco de
Segurança.
Guias para organizações
certificadoras de Certificação
SGSI.
FAMÍLIA ISO 27000 - Segurança da Informação
COBIT, ITIL, DAMA-DMBok, ... (boas práticas de Governança de TI)
Objet. Ctrl de Inf e Tec Relacionada - Bibl Infra para TI Data Manag Assoc
NBR ISO/IEC 17.799 – Associação Brasileira de Normas Técnicas
Informação Interna 24 Belo Horizonte, abril de 2013 24 Afonso Kalil, III, CISA, CGEIT
Introdução
Princípios da Classificação da Informação
Mesa Limpa e Tela Limpa
Senha Forte
Impressão Segura
Regras básicas de comportamento – dentro/fora da organização.
Controle de Acessos – Separação de Responsabilidades (SOD)
Desenvolvimento de Novas Aplicações, incluindo WEB
Política de Segurança da Informação, Código de Conduta
Exemplo de um Programa de Comprometimento Gerencial .
AGENDA
Informação Interna 25 Belo Horizonte, abril de 2013 25 Afonso Kalil, III, CISA, CGEIT
Classificação
da
Informação
Informação Interna 26 Belo Horizonte, abril de 2013 26 Afonso Kalil, III, CISA, CGEIT
É o processo de definir níveis e
critérios de proteção adequados para
as informações. Este processo deve
proporcionar segurança de acordo
com a importância da informação
para a organização.
Reservada
Controles
e
Cuidados
Interna
Pública
Confidencial
Valor
da
Informação
CLASSIFICAÇÃO DA INFORMAÇÃO
O QUE É?
Exemplos
Informação Interna 27 Belo Horizonte, abril de 2013 27 Afonso Kalil, III, CISA, CGEIT
• Mitigar riscos de perda, furto, roubo ou divulgação indevida;
• Priorizar investimentos em segurança e controle;
• Padronização e eficiência no tratamento da informação.
CLASSIFICAÇÃO DA INFORMAÇÃO
POR QUE CLASSIFICAR AS INFORMAÇÕES?
Sem um modelo de “rotulagem”, como saber se uma informação é
confidencial ou não? Como garantir o seu manuseio dentro desta
premissa e o cumprimento da cláusula de confidencialidade, que
em muitos casos, traz penalidades se demonstrada a omissão ou
negligência da parte envolvida na obrigação contratual?
Informação Interna 28 Belo Horizonte, abril de 2013 28 Afonso Kalil, III, CISA, CGEIT
CLASSIFICAÇÃO DA INFORMAÇÃO
POR QUE CLASSIFICAR AS INFORMAÇÕES?
Problema no desligamento do empregado: o que pode retirar de
informações dos dispositivos usados no trabalho? Alguns cenários:
Uso de equipamento da empresa – fixo.
Uso de equipamento da empresa – móvel.
Uso de equipamento próprio em benefício da empresa (uso dentro
da empresa ou com acesso remoto para trabalhar de sua residência).
Se a empresa estiver sujeita as regras da Administração Pública
Federal precisa atender aos requisitos do Decreto 4553.
Informação Interna 29 Belo Horizonte, abril de 2013 29 Afonso Kalil, III, CISA, CGEIT
A atividade de classificação cabe à pessoa que
cria a informação. Para dados armazenados em
aplicativos, esta atividade cabe ao responsável
pelo processo de negócio.
CLASSIFICAÇÃO DA INFORMAÇÃO
QUEM DEVE CLASSIFICAR?
Informação Interna 30 Belo Horizonte, abril de 2013 30 Afonso Kalil, III, CISA, CGEIT
A atividade de classificação consiste em:
Definição do nível de segurança a ser aplicado;
Rotulação das mídias onde a informação está armazenada;
Tratamento adequado da informação classificada.
CLASSIFICAÇÃO DA INFORMAÇÃO
COMO CLASSIFICAR?
Informação Interna 31 Belo Horizonte, abril de 2013 31 Afonso Kalil, III, CISA, CGEIT
Dano
Econômico
Dano à
Imagem
Dano às
Atividades
Pública Nulo Nulo Nulo
Interna Baixo - Médio Baixo - Médio Baixo - Médio
Reservada Médio - Alto Médio - Alto Médio - Alto
Confidencial Alto Alto Alto
CLASSIFICAÇÃO DA INFORMAÇÃO
CRITÉRIOS PARA DEFINIR O NÍVEL DE SEGURANÇA
COMO CLASSIFICAR?
Informação Interna 32 Belo Horizonte, abril de 2013 32 Afonso Kalil, III, CISA, CGEIT
Rótulos
Informações em mídia eletrônica
CLASSIFICAÇÃO DA INFORMAÇÃO
COMO CLASSIFICAR?
Info Pública
Info Interna
Info Reservada
Info Confidencial
ROTULAÇÃO DE MÍDIAS
Informação Interna 33 Belo Horizonte, abril de 2013 33 Afonso Kalil, III, CISA, CGEIT
Pode-se usar carimbos ou etiquetas auto-colantes para indicar o
nível de segurança a que aquela informação está submetida.
Pública
Interna
Reservada
Confidencial
CLASSIFICAÇÃO DA INFORMAÇÃO
COMO CLASSIFICAR?
Informações em mídia não eletrônica
ROTULAÇÃO DE MÍDIAS
Informação Interna 34 Belo Horizonte, abril de 2013 34 Afonso Kalil, III, CISA, CGEIT
Para cada nível de segurança, a Política de Classificação da
Informação traz detalhes sobre como realizar as atividades abaixo:
Armazenamento
Rotulação
Backup
Acesso
Transmissão
Cópia
Impressão
Modificação
Apresentação
Cancelamento
Recebimento
Transporte
CLASSIFICAÇÃO DA INFORMAÇÃO
COMO CLASSIFICAR?
TRATAMENTO DA INFORMAÇÃO CLASSIFICADA
Informação Interna 35 Belo Horizonte, abril de 2013 35 Afonso Kalil, III, CISA, CGEIT
Tra
tam
en
to d
a in
form
aç
ão
cla
ss
ific
ad
a
Permitido para qualquer
empregado, para uso
exclusivamente interno,
conforme a necessidade
de negócio.
CLASSIFICAÇÃO DA INFORMAÇÃO
Informação Interna 36 Belo Horizonte, abril de 2013 36 Afonso Kalil, III, CISA, CGEIT
INFORMAÇÃO EM MEIOS NÃO ELETRÔNICOS
NÍVEL/ATIVIDADE PUBLICO INTERNO RESERVADO SECRETO
ROTULAÇÃO O nível de classificação deve ser indicado no documento.
Não obrigatória. Na falta de um rótulo, este é o nível de classificação associado ao documento.
O nível de classificação deve ser indicado em todas as páginas do documento (no cabeçalho ou rodapé) e deve ter uma capa com a classificação em destaque após o titulo do documento.
O nível de classificação deve ser indicado em todas as páginas do documento (no cabeçalho ou rodapé) e deve ter uma capa com a classificação em destaque após o titulo do documento.
ACESSO Não há restrições. Permitido de acordo com os direitos de acesso e premissas do negócio.
Permitido para as pessoas identificadas pelo proprietário.
Permitido somente para as pessoas identificadas pelo proprietário, cuja lista deve ser indicada no documento. Se aplicável, os acessos se darão através de identificação.
CÓPIA / REPRODUÇÃO Sem restrições. A pessoa que copia torna-se proprietária da cópia.
Permitida para qualquer empregado, para uso exclusivamente interno, conforme necessidade de negócio.
Permitido sob autorização formal do proprietário, com o registro do destinatário da cópia e do nível de classificação.
Permitida somente para o proprietário da informação. Toda cópia deve conter a classificação da informação e deve ser numerada seqüencialmente de tal modo que o proprietário saiba com quem está cada cópia. Este número permite que uma cópia adicional, sem o controle e aprovação do proprietário possa identificar de “qual” número foi obtida a cópia não autorizada. Os mecanismos de proteção de acesso à cópia devem ser os mesmos do arquivo original. Se for cópia “backup” também é obrigatória a numeração. Com exceção do proprietário, é proibida a reprodução de todo ou parte do documento, além da lista de distribuição que consta no original por parte de qualquer outro colaborador.
MODIFICAÇÃO Sem restrições. A pessoa que modifica torna-se proprietária do documento.
Permitido para qualquer empregado. A pessoa que modifica torna-se proprietária do documento, que permanece como “interno”.
Permitida sob autorização do proprietário, com registro de quem é autorizado a modificar o documento. Pode-se autorizar uma pessoa, uma entidade ou um grupo de pessoas.
Permitida somente com autorização formal (por escrito) do proprietário. A autorização é individual. As modificações devem ser documentadas (autor, data, motivo).
Confidencial
Permitida somente para o proprietário da
da informação. Toda cópia deve conter a
classificação da informação e deve ser numerada
sequencialmente de tal modo que o proprietário
saiba com quem está cada cópia. Este número
permite que uma cópia adicional sem o controle e
aprovação do proprietário possa identificar de qual
número” foi obtida a cópia não autorizada.
Os mecanismos de proteção de acesso à cópia .....
Informação Interna 37 Belo Horizonte, abril de 2013 37 Afonso Kalil, III, CISA, CGEIT
Observações importantes
A classificação de uma informação não é necessariamente
constante no tempo. informações que o compõem.
CLASSIFICAÇÃO DA INFORMAÇÃO
Uma classificação superestimada ou subestimada pode
ocasionar despesas desnecessárias ou proteção insuficiente.
Um conjunto de informações recebe o nível de segurança mais
alto entre aqueles definidos para as informações que o compõem.
É fundamental a inserção de rótulos nos e-mails com explicações
sobre “disclaimer”.
Informação Interna 38 Belo Horizonte, abril de 2013 38 Afonso Kalil, III, CISA, CGEIT
Lista os tipos de informações, mídias, processos de
origem e destino e sua classificação de segurança.
Auxilia no levantamento de informações importantes e entendimento do ciclo
de vida das informações.
CLASSIFICAÇÃO DA INFORMAÇÃO
TRATAMENTO DA INFORMAÇÃO CLASSIFICADA
Exemplo de Inventário de Informações Classificadas
Fluxo do Processo
Informação Interna 39 Belo Horizonte, abril de 2013 39 Afonso Kalil, III, CISA, CGEIT
Mesa Limpa
e
Tela Limpa
Informação Interna 40 Belo Horizonte, abril de 2013 40 Afonso Kalil, III, CISA, CGEIT
Uma política de mesa limpa, incluindo tela limpa e lixo limpo, reduz o risco
de acesso não autorizado, perda, furto e dano da informação durante e
fora do horário normal de trabalho. ABNT NBR ISO/IEC 27000 (17799)
Responsabilidade:
Manter as áreas de
trabalho organizadas.
MESA LIMPA E TELA LIMPA
O QUE É?
Informação Interna 41 Belo Horizonte, abril de 2013 41 Afonso Kalil, III, CISA, CGEIT
As informações críticas do negócio devem ser
guardadas em lugar seguro quando não em uso,
principalmente quando o escritório está desocupado.
Lista de
tarefas Planejamentos Agendas Post it’s
Quadro de
avisos Flip chart
Documentos
sobre a mesa
Pastas e
bolsas
Pratique o Armazenamento Seguro
MESA LIMPA E TELA LIMPA
PRINCÍPIOS BÁSICOS
Informação Interna 42 Belo Horizonte, abril de 2013 42 Afonso Kalil, III, CISA, CGEIT
Mantê-los desligados ou protegidos com
mecanismos de travamento de tela controlados
por senha ou mecanismo de autenticação similar
quando estiverem sem vigilância visual ou sem
uso.
Atenção especial para o cabo de segurança dos
notebooks!
MESA LIMPA E TELA LIMPA
PRINCÍPIOS BÁSICOS
Computadores, Dispositivos Móveis, etc.
Informação Interna 43 Belo Horizonte, abril de 2013 43 Afonso Kalil, III, CISA, CGEIT
Habitue-se a usar a combinação de teclas abaixo para
proteção:
+ L
MESA LIMPA E TELA LIMPA
PRINCÍPIOS BÁSICOS
Proteção de Sessão de Uso
Informação Interna 44 Belo Horizonte, abril de 2013 44 Afonso Kalil, III, CISA, CGEIT
Documentos com informações sensíveis: recolhê-los
imediatamente, a fim de impedir que uma pessoa não
autorizada tenha acesso à informação.
Pontos de entrada e saída de correspondência e
máquinas de fac-símile: protegê-los e monitorá-los.
Fotocopiadoras e outras tecnologias de reprodução
(scanners, máquinas fotográficas digitais, etc.): evitar o
uso não autorizado.
MESA LIMPA E TELA LIMPA
PRINCÍPIOS BÁSICOS
Cuidados com Impressão e FAX
Informação Interna 45 Belo Horizonte, abril de 2013 45 Afonso Kalil, III, CISA, CGEIT
Todo lixo que contenha informação reservada ou
secreta deve ser eliminado através de “máquina
picotadora” ou similar.
Caso não exista, certifique-se que o descarte é de
maneira correta e que impossibilita qualquer tentativa
de reconstrução.
Verifique sempre o que está na sua “lata de lixo”.
Muitos “espiões” gostam de saber o que você está
jogando fora. “O seu lixo mostra os seus hábitos”.
MESA LIMPA E TELA LIMPA
PRINCÍPIOS BÁSICOS
Cuidados com o LIXO
Informação Interna 46 Belo Horizonte, abril de 2013 46 Afonso Kalil, III, CISA, CGEIT
O comprometimento das pessoas é
de vital importância para o sucesso
da política de mesa limpa e
tela limpa.
MESA LIMPA E TELA LIMPA
“O Bob é um
bom exemplo do
sucesso de nossa
política de mesa
limpa”
Informação Interna 47 Belo Horizonte, abril de 2013 47 Afonso Kalil, III, CISA, CGEIT
MESA LIMPA E TELA LIMPA
Exemplos de Inspeções
Informação Interna 48 Belo Horizonte, abril de 2013 48 Afonso Kalil, III, CISA, CGEIT
MESA LIMPA E TELA LIMPA
Informação Interna 49 Belo Horizonte, abril de 2013 49 Afonso Kalil, III, CISA, CGEIT
MESA LIMPA E TELA LIMPA
Informação Interna 50 Belo Horizonte, abril de 2013 50 Afonso Kalil, III, CISA, CGEIT
MESA LIMPA E TELA LIMPA
Informação Interna 51 Belo Horizonte, abril de 2013 51 Afonso Kalil, III, CISA, CGEIT
MESA LIMPA E TELA LIMPA
Informação Interna 52 Belo Horizonte, abril de 2013 52 Afonso Kalil, III, CISA, CGEIT
Conscientização das pessoas
Vamos identificar
algumas
Violações da
Política de Mesa
Limpa e Tela
Limpa?
Informação Interna 53 Belo Horizonte, abril de 2013 53 Afonso Kalil, III, CISA, CGEIT
Introdução
Princípios da Classificação da Informação
Mesa Limpa e Tela Limpa
Senha Forte
Impressão Segura
Regras básicas de comportamento – dentro/fora da organização.
Controle de Acessos – Separação de Responsabilidades (SOD)
Desenvolvimento de Novas Aplicações, incluindo WEB
Política de Segurança da Informação, Código de Conduta
Exemplo de um Programa de Comprometimento Gerencial .
AGENDA
Informação Interna 55 Belo Horizonte, abril de 2013 55 Afonso Kalil, III, CISA, CGEIT
A senha de acesso é o mecanismo de
autenticação mais utilizado em sistemas
corporativos.
Há vários tipos de ameaças que procuram
formas de acessar informações restritas
através da captura de senha de uma pessoa
autorizada.
SENHA FORTE
O QUE É?
Informação Interna 56 Belo Horizonte, abril de 2013 56 Afonso Kalil, III, CISA, CGEIT
• Programas de “força bruta”.
• Captura de senhas durante a digitação.
•Ataques através de tentativa e erro.
•Compartilhamento de senha entre usuários.
Exemplo
SENHA FORTE
AMEAÇAS MAIS COMUNS
Informação Interna 57 Belo Horizonte, abril de 2013 57 Afonso Kalil, III, CISA, CGEIT
Ao usar uma senha forte, os usuários dificultam
consideravelmente o trabalho dos sistemas de força bruta,
aumentando a segurança da informação.
Para ser considerada FORTE, a senha deve seguir algumas
regras, recomendadas pelos manuais de melhores práticas e
normas de segurança da informação.
SENHA FORTE
POR QUE USAR?
Informação Interna 58 Belo Horizonte, abril de 2013 58 Afonso Kalil, III, CISA, CGEIT
SENHA FORTE
O QUE TORNA UMA SENHA FORTE?
• Regras de confecção da senha:
Limite mínimo de caracteres.
Combinação de letras (maiúsculas e minúsculas),
números e caracteres especiais.
Diferente de parte do “userid”.
Conjuntos consecutivos não permitidos.
Informação Interna 59 Belo Horizonte, abril de 2013 59 Afonso Kalil, III, CISA, CGEIT
SENHA FORTE
O QUE TORNA UMA SENHA FORTE?
• Regras de confecção da senha:
Limite mínimo de caracteres.
Combinação de letras (maiúsculas e minúsculas), números e caracteres especiais.
Diferente de parte do “userid”.
Conjuntos consecutivos não permitidos.
• Regras de administração da senha:
Tempo limite de validade.
Diferentes das senhas anteriores.
Quantidade limite de tentativas erradas.
Intervalo mínimo entre alterações.
Desbloqueio automático e/ou por Administrador.
Fornecimento de Senhas: já vencidas...
Informação Interna 60 Belo Horizonte, abril de 2013 60 Afonso Kalil, III, CISA, CGEIT
1º. Passo: escolha uma expressão ou frase da qual você se
lembra com facilidade. Algo que você goste.
Eu gosto de Futebol. Então vou escolher a seguinte frase:
“Brasil hexa em cima da Argentina.“
COMO CRIAR UMA SENHA FORTE?
SENHA FORTE
Informação Interna 61 Belo Horizonte, abril de 2013 61 Afonso Kalil, III, CISA, CGEIT
2º. Passo: trabalhe a expressão ou frase, de forma a extrair dela
uma senha. Exemplo: destaque as iniciais de cada palavra.
Brasil hexa em cima da Argentina
Brasil hexa em cima da Argentina.
BhecdA
SENHA FORTE
COMO CRIAR UMA SENHA FORTE?
Informação Interna 62 Belo Horizonte, abril de 2013 62 Afonso Kalil, III, CISA, CGEIT
3º. Passo: aumente a complexidade da senha.
Exemplo: inclua alguns caracteres especiais e/ou algarismos.
BhecdA
BhecdA6*
SENHA FORTE
COMO CRIAR UMA SENHA FORTE?
Informação Interna 63 Belo Horizonte, abril de 2013 63 Afonso Kalil, III, CISA, CGEIT
Outro exemplo:
Fórmula 1 - “Alonso e Massa correm pela Ferrari.“
COMO CRIAR UMA SENHA FORTE?
SENHA FORTE
Alonso e Massa correm pela Ferrari.“
AeMcpF
AeMcpF@0
Informação Interna 64 Belo Horizonte, abril de 2013 64 Afonso Kalil, III, CISA, CGEIT
Eu não tenho hobby algum. Entha#01
É, “tô” precisando de férias urgente: Etpdfu$9
Agora, vou pedir aumento de 20%: Avpad20%
SENHA FORTE
COMO CRIAR UMA SENHA FORTE?
Outros exemplos:
Informação Interna 65 Belo Horizonte, abril de 2013 65 Afonso Kalil, III, CISA, CGEIT
Impressão Segura
Informação Interna 66 Belo Horizonte, abril de 2013 66 Afonso Kalil, III, CISA, CGEIT
As impressoras mais modernas permitem a configuração de
uma senha de proteção da impressão.
Primeiro, o usuário precisa configurar sua senha. Em seguida,
sempre que enviar um trabalho de impressão, o usuário deverá se
dirigir até a impressora e digitar a mesma senha para que o trabalho
de impressão inicie.
IMPRESSÃO SEGURA
COMO PROTEGER OS DOCUMENTOS DURANTE A IMPRESSÃO
Exemplos de tutoriais:
Informação Interna 67 Belo Horizonte, abril de 2013 67 Afonso Kalil, III, CISA, CGEIT
Regras básicas de
comportamento
(dentro e fora da organização)
Cuidados e Alertas
Informação Interna 68 Belo Horizonte, abril de 2013 68 Afonso Kalil, III, CISA, CGEIT
Conjunto de atitudes / comportamentos cuidadosos que devem
ser observados – dentro e fora da organização – com foco na
proteção das informações corporativas.
É fundamental que o profissional seja reservado e cuidadoso
nas suas opiniões, conversas, participações em eventos,
principalmente quando em contato com a
imprensa e/ou a concorrência.
REGRAS BÁSICAS DE COMPORTAMENTO
O QUE É?
Informação Interna 69 Belo Horizonte, abril de 2013 69 Afonso Kalil, III, CISA, CGEIT
Táxi, ônibus, trem, avião, etc.
Aeroportos e dentro do avião.
Hotel, clubes, academia, festas.
Restaurante, bar, etc.
Eventos sociais, de negócios ou não.
Congressos, seminários, cursos.
E ... uma infinidade de situações que devem ser avaliadas.
Os cuidados também
devem ser praticados
dentro da própria
empresa.
REGRAS BÁSICAS DE COMPORTAMENTO
ALGUMAS SITUAÇÕES / LOCAIS QUE DEMANDAM CUIDADO
Informação Interna 70 Belo Horizonte, abril de 2013 70 Afonso Kalil, III, CISA, CGEIT
Introdução
Princípios da Classificação da Informação
Mesa Limpa e Tela Limpa
Senha Forte
Impressão Segura
Regras básicas de comportamento – dentro/fora da organização.
Controle de Acessos – Separação de Responsabilidades (SOD)
Desenvolvimento de Novas Aplicações, incluindo WEB
Política de Segurança da Informação, Código de Conduta
Exemplo de um Programa de Comprometimento Gerencial .
AGENDA
Informação Interna 71 Belo Horizonte, abril de 2013 71 Afonso Kalil, III, CISA, CGEIT
Controle de Acessos –
Separação de
Responsabilidades (SOD)
Informação Interna 72 Belo Horizonte, abril de 2013 72 Afonso Kalil, III, CISA, CGEIT
Necessidade de Negócio.
Aprovação do Líder / Administrador.
Documentação adequada e atualizada.
CONTROLE DE ACESSO - SEPARAÇÃO DE RESPONSABILIDADES
Avaliação “SoD” (“Separation of Duties”).
Se há conflito mas precisa do aceso: controle de compensação.
não precisa: retira o acesso
Documentado, Monitorado c/evidências.
Riscos avaliados periodicamente e adequadamente aprovados.
Procedimentos específicos para “Superusuários”.
Revisão periódica pelo Gestor Processo / Administrador.
Revisão constante dos controles de compensação.
Re-certificação Anual conduzida por pessoal independente.
Re-certificação Trimestral para “Superusuários”.
Informação Interna 73 Belo Horizonte, abril de 2013 73 Afonso Kalil, III, CISA, CGEIT
Desenvolvimento de Novas
Aplicações, incluindo WEB
Informação Interna 74 Belo Horizonte, abril de 2013 74 Afonso Kalil, III, CISA, CGEIT
Interação com Time de Segurança (desde o início do projeto).
Controles Internos – definidos, aprovados e documentados.
Controle de Acesso – administração e aprovação.
Mecanismos de autenticação (sempre usar senha forte)
Criptografia onde necessário.
Trilha de Auditoria - definida pelo Proprietário da Aplicação.
Controle de backup – para fins de contingência (se for o caso).
Sempre considerar:
DESENVOLVIMENTO DE NOVAS APLICAÇÕES – INCLUINDO WEB APPLs.
Informação Interna 75 Belo Horizonte, abril de 2013 75 Afonso Kalil, III, CISA, CGEIT
Introdução
Princípios da Classificação da Informação
Mesa Limpa e Tela Limpa
Senha Forte
Impressão Segura
Regras básicas de comportamento – dentro/fora da organização.
Controle de Acessos – Separação de Responsabilidades (SOD)
Desenvolvimento de Novas Aplicações, incluindo WEB
Política de Segurança da Informação, Código de Conduta
Exemplo de um Programa de Comprometimento Gerencial .
AGENDA
Informação Interna 76 Belo Horizonte, abril de 2013 76 Afonso Kalil, III, CISA, CGEIT
Documento de alto nível que expressa a visão da empresa, seus
compromissos e expectativas em relação à Segurança da
Informação.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
O QUE É?
Informação Interna 77 Belo Horizonte, abril de 2013 77 Afonso Kalil, III, CISA, CGEIT
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
POLÍTICA – Nível estratégico.
ORGANIZAÇÃO (+ utilizada)
NORMAS – Nível tático.
PROCEDIMENTOS – Nível Operacional.
Contém os Princípios Mandatórios - referenciam as Normas.
Ex: “Todas as informações devem ser classificadas”
Mais detalhes com referências aos procedimentos.
Ex: “A classificação da informação se baseia em premissas de negócios e,
conforme as atividades e os tipos de mídias, existem procedimentos ...
Maior nível de detalhamento.
Ex: “Tabelas sobre uso correto da Informação Classificada”.
Informação Interna 78 Belo Horizonte, abril de 2013 78 Afonso Kalil, III, CISA, CGEIT
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
FATORES CRÍTICOS DE SUCESSO
Aderência às Normas – família ISO 27000.
Aprovação pela Alta Direção e Diretorias (cf. o caso)
Revisão periódica.
Disponibilidade para todos os envolvidos (a qualquer hora).
Divulgação do “link” para acesso à rede interna.
Atendimento para esclarecer dúvidas e outras considerações.
Comprometimento: evidências de que:
Todos tomaram conhecimento e entenderam.
Atestados periódicos (a cada 2 anos, pelo menos).
Informação Interna 79 Belo Horizonte, abril de 2013 79 Afonso Kalil, III, CISA, CGEIT
Documento de referência para todos os “stakeholders” sobre os
princípios éticos e morais na condução dos negócios da
organização.
Código de Conduta Geral.
Código de Conduta para Fornecedores e Terceiros.
Código de Conduta para Usuários de TIC.
CÓDIGO DE CONDUTA
O QUE É?
Informação Interna 80 Belo Horizonte, abril de 2013 80 Afonso Kalil, III, CISA, CGEIT
Pesquisa realizada entre os gerentes e líderes da empresa para
mensurar os níveis de compreensão e maturidade relacionados às
melhores práticas de Segurança da Informação.
Pontos de atenção:
Controle de acesso a dados e transações;
Proteção das informações nos departamentos;
Periodicidade dos debates sobre Segurança da Informação.
PROGRAMA DE COMPROMETIMENTO GERENCIAL
O QUE É?
Informação Interna 81 Belo Horizonte, abril de 2013 81 Afonso Kalil, III, CISA, CGEIT
Pesquisa em formulários ou “on line” (melhor), com perguntas
objetivas e cujas respostas podem ser tabuladas de diversas
maneiras.
Pesquisa geral ou setorial (departamento, tipos de usuários).
Possibilidade de Análise de Progresso / Tendências.
PROGRAMA DE COMPROMETIMENTO GERENCIAL
COMO PODE SER FEITO?
Informação Interna 82 Belo Horizonte, abril de 2013 82 Afonso Kalil, III, CISA, CGEIT
Você, como gerente, está confortável de que:
... todos as pessoas sob sua responsabilidade possuem os direitos de
acesso alinhados às respectivas necessidades de negócio?
PROGRAMA DE COMPROMETIMENTO GERENCIAL
EXEMPLO DE PERGUNTA
Se não entender a pergunta, o Gerente poderá:
No ambiente “on line”: solicitar ajuda, teclando “help”.
Consultar Política, Manuais, etc.
Em qualquer caso, pode solicitar ajuda à Central de Suporte.
Informação Interna 83 Belo Horizonte, abril de 2013 83 Afonso Kalil, III, CISA, CGEIT
Você, como gerente, está confortável de que:
... todos as pessoas sob sua responsabilidade possuem os direitos de
acesso alinhados às respectivas necessidades de negócio?
PROGRAMA DE COMPROMETIMENTO GERENCIAL
EXEMPLO DE PERGUNTA
O ser humano é o elo principal da corrente de segurança pois a ele cabe a
responsabilidade de conhecer a Política e os procedimentos de segurança da
informação e aplicá-los corretamente nas suas atividades de negócios. É
fundamental que o usuário saiba onde estão as "regras do jogo" e possa
acessá-las sempre que necessário. Para garantir que todos ... ... ... ... ...
Se, ainda assim, continua a dúvida ou questionamento, tecla um botão e um e-mail é, imediatamente, direcionado para o Grupo Suporte Seg.Inform.
Informação Interna 84 Belo Horizonte, abril de 2013 84 Afonso Kalil, III, CISA, CGEIT
Você, como gerente, está confortável de que:
... todos as pessoas sob sua responsabilidade possuem os direitos de
acesso alinhados às respectivas necessidades de negócio?
PROGRAMA DE COMPROMETIMENTO GERENCIAL
EXEMPLO DE PERGUNTA E RESPOSTAS POSSÍVEIS
SIM – Deve estar baseado em documentação auditável.
NÃO – É obrigatório possuir um Plano de Ação para corrigir o problema.
Em progresso – É obrigatório possuir um Plano de Ação com
informações sobre o que já foi providenciado e as etapas futuras para
corrigir o problema.
Informação Interna 85 Belo Horizonte, abril de 2013 85 Afonso Kalil, III, CISA, CGEIT
RESUMINDO ...
SEGURANÇA DA INFORMAÇÃO NÃO É PREOCUPAÇÃO TECNOLÓGICA MAS SIM, GERENCIAL.
VOCÊ É O ELO MAIS IMPORTANTE DA CORRENTE!
COMPROMETA-SE E AJA DE ACORDO COM AS NORMAS.
SEJA UM INSTRUMENTO DE MUDANÇA PROATIVA, DE ATITUDES QUE SEJAM EXEMPLOS DIGNOS PARA SEUS COLEGAS.
NÃO É NECESSÁRIA ATITUDE NEURÓTICA, BASTA ABSORVER OS CONHECIMENTOS COMO NOVA CULTURA.
UTILIZE OS PRINCÍPIOS NA SUA VIDA PARTICULAR, JUNTO AOS SEUS PARENTES E AMIGOS.
Informação Interna 86 Belo Horizonte, abril de 2013 86 Afonso Kalil, III, CISA, CGEIT
RESUMINDO ...
SEGURANÇA DA INFORMAÇÃO NÃO É PREOCUPAÇÃO TECNOLÓGICA MAS SIM, GERENCIAL.
VOCÊ É O ELO MAIS IMPORTANTE DA CORRENTE!
COMPROMETA-SE E AJA DE ACORDO COM AS NORMAS.
SEJA UM INSTRUMENTO DE MUDANÇA PROATIVA, DE ATITUDES QUE SEJAM EXEMPLOS DIGNOS PARA SEUS COLEGAS.
NÃO É NECESSÁRIA ATITUDE NEURÓTICA, BASTA ABSORVER OS CONHECIMENTOS COMO NOVA CULTURA.
UTILIZE OS PRINCÍPIOS NA SUA VIDA PARTICULAR, JUNTO AOS SEUS PARENTES E AMIGOS.
FAÇA SUA PARTE, ADAPTE AS MELHORES
PRÁTICAS EM SUA EMPRESA E NA SUA VIDA
PARTICULAR, ELABORE BONS PROCEDIMENTOS
DE CONDUTA, ESTIMULE SEUS COLEGAS NO
CUMPRIMENTO DAS NORMAS.
ENFIM, COLOQUE “CORES” PARA AJUDAR A
COMPREENSÃO DE TODOS E BUSCAR O
COMPROMETIMENTO DE TODO O GRUPO.
LEMBRE-SE DO “CADERNO MÁGICO”
Informação Interna 87 Belo Horizonte, abril de 2013 87 Afonso Kalil, III, CISA, CGEIT
Obrigado!
Afonso F. Kalil Filho, III, CISA, CGEIT
(31-3344-4616 e 31-9973-8091)
Informação Interna 88 Belo Horizonte, abril de 2013 88 Afonso Kalil, III, CISA, CGEIT
O ARQUIVO EXCEL está no Desktop.
a) Acesse o arquivo Excel no Desktop, tecle em Ferramentas e, depois, em Opções.
b) No quadro a seguir, tecle em Aba (em cima, último à direita na tela).
c) Digite a senha de proteção e tecle em OK. (experimente o “abcdef”
d) Via vir nova telinha pedindo para re-digitar a senha. Faça isto e tecle em OK.
e) Vai voltar ao Excel. NÃO SE ESQUEÇA DE SALVAR.
f) Saia e, se desejar, comprove que o Excel está protegido. Tecle uma outra senha diferente e
depois tecle a senha correta.
g) Agora vem a demonstração do CRACKER!
h) Entre o arquivo Excel, com a senha “abcdef”, retire a senha de proteção.
i) Agora, você vai entrar com uma nova senha, feita pelos presentes (cuidado é bom).
j) Repita os itens “a” até “f”, com esta nova senha feita pelo público.
k) Demonstre que, realmente, agora não adianta teclar “abcdef” ou qualquer outra diferente
daquela que o público definiu.
l) Vá na tela principal e tecle no Excel Cracker.
m) No campo Name, acesse o Desktop e assinale o arquivo que se pretende descobrir a senha.
n) Posicione os campos do quadrado “Brute Force” (somente letras e posicionamento de
tamanho possível de senha – coloque “6”¨em ambos os campos (minimo e máximo).
o) Coloque o reloginho disponível para contar o tempo gasto na tentativa de descobrimento da
senha.
p) Inicie o “Start Attack”.
q) Enfatize a quantidade de tentativas por segundo.
Dicas para demonstração