Gestao da politica de segurança e operação da informacao

Secur i ng

I ndust ry

Gestão da Política de Segurança e Operação da Informação

2008/04/[email protected]

As f i guras da apresent ação f oram obt i das em www. i mages. com e são ut i l i zadas excl usi vament e para f i ns académi cos.Est a apresent ação f oi opt i mi zada para f ont es Courier new e c ons o l a

Master Course "IT Governance”

Secur i ng

I ndust ry

De que trata o problema?

?Segurança Informação•gestão•privacidade•cultura•integridade•incidentes•confidential•propriedadeintelectual

XSegurançaTecnologias•anti-virus•intrusão•detecção•encriptação•hardening•firewall•certificados•vigilância

not a: A segurança da i nf ormação é um probl ema de gest ão e não de t ecnol ogi a

Secur i ng

I ndust ry

not a: resul t ados ret i rados f act os, observações e casos de est udo (ent i dades, empresas, academi as) que ret rat am o est ado das TI nos hospi t ai s em Port ugal ( 2007)

De que trata o problema?

Estado de “sítio” hospitais

bac kupsgest ão

de as s e t s

gest ãor i sco

pl anocont i nui dade

negóci o

wor k f l owe l e c t r oni c

&har dc opy

? ? ? ? ??

def i ni çãozonas

cr í t i cas

prot ecçãoi ncêndi os

aspect os l egai s audi t or i a

gest ãode

i nci dênci as

? ? ? ?? ?

gest ãopessoas

gest ãoservi ços( I TI L)

cont rol ode

acessos

i dent i f i caçãoi nf ormação

gest ãoi dent i dades

? ? ? ? ??

…pol í t i cashar de ni ng

pl anodi s as t e rr e c ov e r

conf ormi dadescredenci ai s

SGRH

? ? ? ? ?

? ? ?

pol í t i casTI

reduzi do

cont rol oOut s our c i ng comi t é

segurançaprocedi ment os

? ? ? ?

Secur i ng

I ndust ry

Quais as orientações?

Segurança: Prioridade do Governo

hi nt : qual quer medi da a i ni ci ar j á vai t arde! Compet e à gest ão TI l ocal dos hospi t ai s darem os pr i mei ros passos…

?Não está clara a posição. Contudo, a prioridade parece ser a agilização de serviços

Secur i ng

(In)Segurança actualmente

•aumento da exposição ao risco•complexidade dos riscos•complexidade na protecção riscos

Como proteger a informação?

Significa que os mecanismos de protecção não são suficientes. i)é preciso vigiar os riscos

ii)e melhorar mecanismos de protecção

hi nt : … necessár i o ger i r a segurança!I ndust ry

Secur i ng

hi nt : procurar uma cert i f i cação é uma boa opção poi s dá vi si bi l i dade que sust ent a o i nvest i ment o

I ndust ry

Como gerir a segurança?

•Quais as melhores práticas para implementar a gestão da segurança?

• Qual o melhor processo de avaliação de riscos?

•Quais as melhores práticas de protecção?

•Quais as formas de comparar com o melhor da indústria?

Metodologia a utilizar

Secur i ng

?I ndust ry

Procurar a certificação

Segurança Sistemas: ISO/IEC 15408: internacional standard for computer security, FIPS Federal Information Processing Standard 140-2, Common Criteria

not a: são normas que compl ement am aos requi si t os de segurança de I SO 20000, COBI T, HI PAA, out ras. .

Gestão Segurança: ISO/IEC 27001:2005, requisitos de gestão de segurança da informação.

Secur i ng

not a: para si mpl i f i cação é comum ut i l i zar-se nomeações I SO27001 & I SO17799

I ndust ry

Origem da Certificação

1995:publicado BS 17799 parte 11998:publicado BS 17799 parte 2

1993: especialistas britânicos implementaram um “código de boas práticas”

2000:BS17799 parte 1-> ISO/IEC 17799:20002005:BS27001 parte 2-> ISO/IEC 27001:2005

2007:ISO/IEC 17799:2000->ISO/IEC 27002:2007

Secur i ng

I ndust ry


Requisitos e Boas Práticas para a Gestão da Segurança da Informação

Sistema de Gestão ISO 27001: Como implementar um mecanismo de análise de riscos e um sistema de controlo que proteja a informação dos riscos

Boas práticas ISO 17799: Código de boas práticas de segurança da informação com 136 controlos

Secur i ng

not a: I SO 27001 é a uni ca cert i f i cação de gest ão da segurança da i nf ormação para organi smos

I ndust ry


Secur i ng

I ndust ry


Certificados ISO 27001 emitidos

País Total

Japan 2280

UK 352

India 305

Taiwan 128

Germany 73

China 67

Hungary 58

Korea 50

Australia 53

USA 52

Italy 44

Netherlands 31

Hong Kong 30

Singapore 28

Czech Republic 26

Malaysia 20

Brazil, Ireland 17

Poland 16

Austria 15

Finland, Norway 14

Mexico, Switzerland, Turkey 12

Spain 11

Philippines, Saudi Arabia 9

Sweden, UAE, 8

Iceland 7

Kuwait, Russian Federation 6

Greece 5

Bahrain, Canada, Indonesia, Pakistan, Slovenia, Thailand

4

Argentina, France, Isle of Man, Macau, Romania, 3

Belgium, Colombia, Croatia, Denmark, Lithuania,

Oman, Qatar, Slovak Republic, South Africa, Sri Lanka

2

Armenia, Bulgaria, Egypt, Gibraltar, Lebanon, Luxemburg, Macedónia, Moldova, Morocco, New Zealand, Peru, Ukraine, Uruguay, Vietnam,

Yugoslavia, Portugal1

Absolute Total 3890.

.

.

.

.

.

not a: Dados recol hi dos em ht t p : / / www. i s o27001c e r t i f i c at e s . c om a 4 SET 2007, di rei t os reservados, I SMS I nt e r nat i onal Us e r Gr oup

Secur i ng

I ndust ry

Sistema de Boas Práticas

not a: o Códi go não recomenda t ecnol ogi as mas uni cament e est rat égi as a serem adapt adas à organi zação

Código de Boas Práticas ISO 17799

Controlos de segurança da informação (11 areas)1 Pol í t i ca de Segurança da I nf ormação I SO/ I EC-17799: 20

00

2 Organi zação da Segurança da I nf ormação I SO/ I EC-17799: 2000

3 Gest ão de Recursos ( cl assi f i cação de as s e t s ) I SO/ I EC-17799: 2000

4 Gest ão de Recursos Humanos I SO/ I EC-17799: 2000

5 Gest ão da segurança f í si ca e ambi ent al I SO/ I EC-17799: 2000

6 Gest ão das Comuni cações e Operações I SO/ I EC-17799: 2000

7 Cont rol o de acessos I SO/ I EC-17799: 2000

8 Aqui si ções, manut enções e desenvol vi ment o de si st emas

I SO/ I EC-17799: 2000

9 Gest ão de i nci dent es de segurança da i nf ormação I SO/ I EC-17799: 2005

10 Pl ano de gest ão da cont i nui dade de negóci o I SO/ I EC-17799: 2000

11 Conf ormi dade com os aspect os l egai s I SO/ I EC-17799: 2000

Secur i ng

I ndust ry


1 - Política de segurança da informação

• Definição da segurança da informação aprovada pela administração (objectos, abrangência e importância)

• Explicação dos príncipios, normas e conformidades de relevo

• Referências a documentos ou processos externos

• Comunicação a TODA a organização e responsabilização

Secur i ng

I ndust ry


2 - Organização da Segurança

• Coordenação da segurança (forum)

• Alocação das responsabilidades

• Classificação da informação

• Acordos confidencialidade

• Revisão da segurança (entidade isenta)

• Identificação dos riscos externos

• Acordos com partes terceiras

• Segurança na relação com os utentes

Secur i ng

I ndust ry


not a: as s e t s são t odos aquel es que pel a sua ausênci a ou degradação podem t er i mpact o na ent rega de produt os ou servi ços na organi zação ou causar danos com a perda da conf i denci al i dade ou i nt egr i dade

3 - Classificação e controlo de recursos (hardware, software, informação, pessoas)

• Inventário de recursos (informação electrónica, papel, registos video, som, software, físicos, elementos humanos, serviços contratados, etc..)

• Responsabilidade pelos recursos (elemento humano é o elo mais fraco)

• Classificação de recursos (regras, etiquetagem, manuseamento)

Secur i ng

I ndust ry


Not a: A engenhar i a soci al é a f orma mai s comum de at aque por est e act i vo. Processo de mudar o comport ament o das pessoas

4 – Gestão de recursos humanos

• Verificação de credenciais (habilitações, curriculo, competências, acordos confidencialidade, etc.)

• Termos e condições de trabalho (responsabilidades, formação, educação,etc.)

• Término das responsabilidades(devolução de recursos e dos direitos de acesso)

• Processos disciplinares

Secur i ng

I ndust ry


5 - Segurança física e ambiental

• Perímetro da segurança

• controlos de entrada e saída

• Protecção contra ameaças externas e ambiente

• Manutenção, protecção e acondicionamento dos equipamentos

• Areas de acesso público, cargas e descargas

• Segurança da cablagem

• Destruição e re-utilização segura do equipamento

Secur i ng

I ndust ry


6 - Gestão das operações e comunicações

• Capacidade de aceitação de sistemas

• Protecção contra código malicioso

• Monitorização e revisão serviço terceiros

• Gestão das operações em redes e transmissões

• Salvaguarda da informação (backups)

• Políticas e procedimentos escritos e aprovados para troca/partilha de informação

• Messaging, meios fisicos em transito, etc..

Secur i ng

I ndust ry


7 - Controlo de acesso lógico

• Políticas e regras para controlo de acesso (previlégios minimos, separação das responsabilidades)

• Responsabilidade dos utilizadores

• Gestão dos utilizadores

• Controlo acesso (rede, S.O., aplicações)

• Monitorização de acessos e utilização

• Clear Desk e Clear Screen (hardening)

• Computação móvel e ligações remotas

Secur i ng

I ndust ry


8 - Aquisição, desenvolvimento e manutenção de Sistemas de Informação

• Vulnerabilidades na aquisição de sistemas (especificação de requisitos)

• Controlos criptográficos

• Segurança de ficheiros de sistema

• Restrições a impor ao desenvolvimento e manutenção de software em outsourcing

• Por vezes a utilização de códigos abertos pode criar vulnerabilidades

Secur i ng

I ndust ry


9 - Gestão de incidentes de segurança da informação

• Comunicação de eventos de segurança da informação

• Comunicação de falhas de segurança

• Registos de incidentes de segurança

• Responsabilidades e procedimentos

• Colecção de evidências para melhorar

• Monitorização e reavaliar os controlos

Secur i ng

I ndust ry


not a: … nest e capí t ul o que cabe por exempl o as prát i cas de di s as t e r r e c ov e r y

10 - Gestão da continuidade de negócio (PCN)

Deve ser elaborado um plano (política) para salvaguardar que o negócio da instituição não é interrompido por incidentes de segurança

• Iniciação e gestão projecto

• Análise de impacto para o negócio

• Estratégias de recuperação

• Elaboração de planos

• Testes, manutenção e formação

Secur i ng

I ndust ry


11 – Conformidades com aspectos legais

• Legislação aplicável

• Direitos de propriedade intelectual

• Protecção e arquivo de registos da organização (virus, erro humano, ataques, violação acessos, desastres, anomalias hardware, software, etc..)

• Protecção dos dados e privacidade de informação pessoal

• Conformidade com políticas e normas

• Regulamentos e auditorias

Secur i ng

I ndust ry

Adopção

do

ISO 17799

Secur i ng

I ndust ry

“Sem uma gestão formal da segurança da informação, a segurança vai ser quebrada algures no tempo”


Visão adaptada do ISO/IEC-17799 para a Saúde

(futuro ISO/IEC 27799)

Secur i ng

I ndust ry not a: sem coment ár i os

Secur i ng

I ndust ry

Apoio às Boas Práticas

Método para desenvolvimento de um relatório de avaliação inicial

Resposta a um framework (Gap Analysis)

• Saber em que estágio se encontra o hospital em matéria de segurança da informação

• Reconhecer algumas das vulnerabilidades, ameaças e riscos mais relevantes;

• Delinear um “road map” que poderia ser estabelecido para um projecto de certificação

• Determinar que recursos e que “Project Plan” consegue ter associados

Secur i ng

I ndust ry

Apoio às Boas Práticas

• Avaliação inicial de dados e documentos

• Auditoria preliminar às infra-estruturas

• Analise de documentação da organização

• Entrevistas a elementos da organização

• Mapeamento de confrontação com os 11 controlos da norma

• Análise final e geração de relatórios

Actividades a desenvolver durante a Gap Analysis

Secur i ng

I ndust ry

Conclusões• Não é possível manter a segurança sem planear

a sua gestão

• Mesmo que os organismos iniciem hoje a implementar políticas já vão muito tarde

• Não existe “such thing” segurança total

• Implementar os controlos ISO 17799 permite minimizar riscos

• Só o ISO 27001 permite certificar a gestão da segurança

• Implementar a norma exige grandes mudanças estruturais no âmbito das tecnologias e dos comportamentos.

• Tem custos de investimentos elevados mas com retorno visível

not a: no f ut uro a Norma t erá caract er “obr i gat ór i o” de modo a sust ent ar o negóci o

Technology

Gestao da politica de segurança e operação da informacao