Web conferência

Projeto de Gamificação digital

Começaremos em breve!
Escolas Integradas – Educação Continuada

NORMAS E MELHORES
PRATICAS DE SEGURANCA
DA INFORMACAO
O que vamos estudar?

 Fundamentos
 Políticas de segurança
 Análise de riscos e Vulnerabilidade
 Normas de segurança
 Ferramentas de segurança
 DISCUSSÃO DO CASO N1
Fundamentos da segurança em TI:
• Confidencialidade

• Integridade

• Disponibilidade

• Autenticidade
Fundamentos da segurança em TI:
Alguns conceitos básicos precisam ser previamente conhecidos para que
os devidos controles sejam estabelecidos, implementados, analisados,
monitorados e aperfeiçoados.
São eles:

• Incidente de segurança
• Ativo
• Ameaça
• Vulnerabilidade
• Risco
• Ataque
• Impacto
Política de Segurança da Informação
Podemos descrever a Política de Segurança da Informação como um
agrupamento de regras gerais contemplando ações, técnicas, normas,
procedimentos e boas práticas com o objetivo de conduzir a segurança das
informações dentro das instituições.

Como requisito fundamental, deve ser adotada por todos os componentes da

organização, a fim de orientá-los sobre o seu funcionamento, além de ser
clara e objetiva, evitando redundâncias na construção de regras e processos.
Política de Segurança da Informação
Política de Segurança da Informação
A política de Segurança da Informação deve ser estabelecida através de um
processo formal, porém adaptável, com o objetivo de autorizar adequações segundo as características donegócio.
Um roteiro comum para asua adaptação contempla as seguintes etapas:

● Levantar qual a legislação presente na organização.

● Realizar o levantamento dos recursos críticos.
● Classificar as informações da instituição, considerando todos os setores esuas respectivas informações, e não
apenas a área de tecnologia dainformação.
● Analisar as demandas de segurança, tendo como alvo identifi car prováveisameaças, riscos e impactos na
organização.
● Construir a proposta para a política de segurança.
● Explanar a todos os envolvidos o conteúdo da proposta apresentada.
● Sancionar a política de segurança.
● Construir a política de segurança.
● Manter, periodicamente, a política de segurança, procurando identifi car asmelhorias necessárias e efetuar as
revisões cabíveis.
Gestão de Riscos
Alinhado com esse direcionamento, Galvão (2015, p. 93) propõe que a
gestão de riscos seja implementada por
meio de seis atividades:

1.Definição dos objetivos

2. Identificação dos riscos
3. Análise dos riscos
4. Planejamento do tratamento de risco
5. Implementação do controle do risco
6. Avaliação e revisão dos riscos
Gestão de Riscos
faz-se necessário:

Identificar quais informações a organização detém e o seu valor para o negócio.

Desvendar quais as ameaças que podem comprometer a organização e

apresentar suas vulnerabilidades.

Classificar os riscos e ameaças de acordo com o grau de impacto sob a

organização.

Calcular o curso de ocorrência de um incidente em comparação com o custo

necessário para preveni-lo.
Gestão de Riscos
faz-se necessário que:

-exista um entendimento básico a respeito do ramo exercido pela empresa;

-seja realizado um mapeamento de todo processo computacional da empresa;

-sejam identificadas e compreendidas todas as normas e as políticas internas da

empresa;

-todas as atividades críticas da empresa sejam inspecionadas;

-sejam levantadas quais foram as últimas falhas de segurança nos últimos anos

(GALVÃO, 2015, p. 94).

Classificação de Riscos
Tratamento de riscos
• Eliminar o risco: ataque à origem do risco, impedindo em defi nitivo que
o incidente relacionado a ele possa ocorrer. Nem sempre é possível.

• Reduzir o risco: utilização de técnicas de prevenção.

• Imobilizar o risco: situações nas quais as organizações decidem que a

melhor estratégia para determinado risco é acompanhá-lo.

• Transferir o risco: aquisição de um seguro que transfere o risco em caso

de incidente para a seguradora, por exemplo.
Análise de Vulnerabilidades
Uma varredura em busca de fragilidades nos controles de segurança deve ser executada,
considerando as seguintes áreas e situações:
• Perímetro de segurança física: avaliar áreas que contenham informações e instalações de
processamento da informação.

• Controles de entrada física: verificar se as áreas seguras oferecem controles para garantir
que apenas pessoas autorizadas tenham acesso.

• Segurança em escritórios, salas e instalações: conferir a existência de controles de

segurança físicos
nesses ambientes.

• Proteção contra ameaças externas e do meio ambiente: avaliar a existência de proteção

contra eventos naturais ou incidentes no perímetro (vazamentos, explosões, etc).

• Acesso ao público e a áreas de carregamento: garantir o controle de acesso nesses

espaços e segurança de equipamentos.
Análise de Vulnerabilidades
Assim como feito na análise da segurança física e do ambiente, conjuntos de áreas e
procedimentos devem ser avaliados na busca por vulnerabilidades:

• Política de controle de acesso: fazer a conferência crítica da documentação existente.

• Gerenciamento de acesso do usuário: analisar a existência de procedimentos formais para

o controle e distribuição de direitos de acesso a sistemas da informação.

• Responsabilidade dos usuários: avaliar as políticas preparadas para garantir que os

usuários estejam conscientes de suas responsabilidades em relação ao uso de senhas e
de segurança dos equipamentos.

• Controle de acesso aos recursos e sistemas computacionais: verificar os procedimentos

relacionados à computação móvel, trabalho remoto, acesso a aplicações e sistemas
operacionais e à rede.
Normas de segurança
A gestão de segurança está totalmente enquadrada dentro da proposta de auditoria de
segurança. Para entender melhor essa proposta, Moreno (2015) sintetiza e descreve
sobre as certificações e o que significa cada
uma delas:
• BS779 – A atual ISO 27001.
• ISO 27001 – Norma relacionada à gestão de segurança.
• ISO 27002 – Norma relacionada a boas práticas.
(Ambas normas acima tratam de criptografia dentro do item 10)
• Certificado SSL com a ISO 27001

• ISO 27003 – Norma relacionada à política de segurança implementada.

• ISO 27004 – Norma relacionada a relatórios de segurança.
• ISO 27005 – Norma relacionada ao gerenciamento e controle
• ISO 27006 – Norma relacionada a práticas no âmbito seguro.
Normas ISO NBR/IEC 27001
● Seção 0: Introdução
– descreve o objetivo da ISO 27001 e sua relação comas outras normas 27000.

● Seção 1:Escopo
– enuncia que esta norma é aplicável a todas as instituições.

● Seção 2: Referências normativas

– aponta a norma ISO/IEC 27000 como pré-requisito obrigatório para a aplicação da norma ABNT
NBR ISO/IEC 27001.

● Seção 3: Termos e definições

– repete a referência à norma ISO/IEC 27000.

● Seção 4: Contexto da organização

– corresponde à fase de planejamento do ciclo PDCA e delimita o escopo do SGSI.
Normas ISO NBR/IEC 27001

● Seção 5: Liderança
– relacionada à etapa de planejamento (Plan) do cicloPDCA, define as responsabilidades da
direção, estabelecendo papéis e responsabilidades, e o conteúdo da política de Segurança da
Informação de alto nível.

● Seção 6:Planejamento
– aprofunda a etapa de planejamento (Plan) do ciclo PDCA e estabelece requisitos para a
avaliação de riscos e os treinamentos para combatê-los e a Declaração de Aplicabilidade, além de
defi ir os objetivos da Segurança da Informação.

● Seção 7: Apoio
– corresponde ainda à fase de planejamento (Plan) do ciclo PDCA e defi ne requisitos de
disponibilidade de recursos, competências, conscientização, comunicação e controle de
documentos e registros.
Normas ISO NBR/IEC 27001

● Seção 8:Operação
– está relacionada à etapa de execução (Do) do ciclo PDCA e especifica a implementação da
avaliação e tratamento de risco, assim como controles e outros processos necessários para atingir
os objetivos de Segurança da Informação.

● Seção 9: Avaliação do desempenho

– corresponde à etapa de verificação(Check) do ciclo PDCA e define requisitos para
monitoramento, medição, análise, avaliação, auditoria interna e análise crítica pela direção da
organização.

● Seção 10: Melhoria

– descreve a etapa de atuação (Act) do ciclo PDCA e estabelece requisitos para não
conformidades, ações corretivas e melhoria contínua.
A aplicação de conceitos de
PDCA:
O PDCA é uma metodologia que se insere na estratégia de Controle Total de Qualidade – um
sistema que tem como objetivo superar as expectativas de todos os interessados em um
determinado projeto. Dessa forma, a metodologia foi criada para aprimorar a qualidade em todos os
processos organizacionais, envolvendo, assim, funcionários, clientes, distribuidores e outros
parceiros de negócios.

P (do inglês – Plan) = Planejamento

D (do inglês – Do) = Execução
C (do inglês – Check) = Verificação
A (do inglês – Act) = Ação
A aplicação de conceitos de
PDCA:
O PDCA é uma metodologia que se insere na estratégia de Controle Total de Qualidade – um
sistema que tem como objetivo superar as expectativas de todos os interessados em um
determinado projeto. Dessa forma, a metodologia foi criada para aprimorar a qualidade em todos os
processos organizacionais, envolvendo, assim, funcionários, clientes, distribuidores e outros
parceiros de negócios.

P (do inglês – Plan) = Planejamento

D (do inglês – Do) = Execução
C (do inglês – Check) = Verificação
A (do inglês – Act) = Ação
O PDCL:

PDCL (Plan, Do, Check e Learning) é uma variação do PDCA, utilizada para realimentar o sistema
com novas aprendizagens, de forma a se promover a melhoria contínua, a partir do que realmente foi
aprendido em cada PDCA realizado. De um modo geral, as ferramentas PDCA e PDCL acontecem
de forma muito mesclada, muito similar”,
 O PDCL:
A efetiva “Melhoria” do processo está ligada ao “L”, que consiste em reunir os diversos setores e
todos os seus PDCAs realizados, a fim de refletir sobre as experiências adquiridas, e refletir sobre o
aprendizado extraído para analisar novas ações a serem tomadas. Além de realimentar o ciclo da
Gestão do Conhecimento, de forma a conservar o aprendizado, a internalizar as experiências
vivenciadas para que se possa preservar esse capital intelectual de uma forma estruturada e que
garanta à organização a reaplicação deste conhecimento em novas oportunidades ou necessidades,
independente de quem serão as pessoas que assumirão os diversos cargos da empresa.
Criptografia Os primeiros algoritmos de criptografia desenvolvidos
aplicavam uma função matemática, repetidamente, a um
dado para cifrá-lo (por exemplo, permutação das colunas
de um texto). Essa técnica não era muito robusta,
pois, a partir do momento em que se descobrisse como o
algoritmo criptográfico funcionava, era possível
decifrar todas as mensagens criptografadas.
Posteriormente, os algoritmos passam a incluir uma
chave criptográfica.
Essa chave é utilizada para cifrar e decifrar os dados.
Dessa forma, é necessário conhecer
a chave para poder decifrar o texto e não somente o
algoritmo utilizado.
Algoritmos de Criptografia
Simétricos
Um algoritmo de criptografia simétrico utiliza uma chave, chamada chave privada, para cifrar e
decifrar o texto claro. Desta forma, mesmo que o algoritmo de criptografia seja descoberto, sem o
conhecimento da chave privada, não é possível decifrar o texto.
O ataque a este tipo de algoritmo envolve testar todas as possibilidades de chaves de
criptografia. Este ataque
é conhecido como Ataque de Força Bruta. Assim, quanto menor o tamanho da chave, mais fácil é
implementar este ataque e ter sucesso. Uma chave de criptografia segura, em geral, possui 1024
bits de tamanho, ou mais, o que gera um universo de 2^1024 chaves diferentes.
Testar todas estas combinações de chaves, mesmo para um
computador, é impraticável (SCHNEIER, 1996).

Exemplos de implementações deste tipo de algoritmo: DES (Data Encryption Standard), AES e
IDEA.
Algoritmos de Criptografia
Assimétricos
Os algoritmos de criptografia simétricos são adequados para a proteção de dados
armazenados em computadores e dispositivos móveis. Entretanto, devido a
utilização de uma única chave de criptografia, são inadequados para prover a
comunicação entre pares na Internet devido a necessidade de se compartilhar a
chave privada. Para prover a comunicação, deve-se utilizar de criptografia
assimétrica.
A criptografia assimétrica define um modelo que utiliza um par de chaves
(chamadas de chave pública e chave privada) para cifrar e decifrar uma mensagem
(STALLINGS, 2015). A chave pública é utilizada para cifrar a mensagem, enquanto
a chave privada é utilizada para decifrá-la (SCHNEIER, 1996).
A chave pública recebe esse nome porque poderá ser divulgada sem risco de
comprometer a segurança dos dados cifrados. A chave privada deverá ser mantida
em segredo porque ela é utilizada para decifrar as mensagens cifradas com a
respectiva chave pública.
Exemplos: RSA e Diffie-Hellman.
Algoritmos de Criptografia
Assimétricos
 Certificados Digitais
Um certificado digital é um documento digital que garante que uma chave pública
pertença a uma determinada entidade ou pessoa (STALLINGS, 2015).

Este certificado é emitido, e também revogado, por uma organização chamada

Autoridade Certificadora (Certification Authority – CA)
que irá associar a chave pública a identidade de uma pessoa através de dados como:
- endereço
- Telefone
- RG
- CPF
- etc.

Uma CA pode ser a própria entidade que irá utilizar os certificados digitais, por exemplo,
uma empresa que proverá certificados para identificar os funcionários desta, ou outra
dedicada exclusivamente a esta função (STALLINGS, 2015).
Um certificado digital pode também ser uma forma de autenticar operações perante o
governo, garantir identidade de um cidadão ou empresa perante sistemas bancários ou
burocráticos nacionais/regionais.
Assinatura Digital

Assinaturas digitais possuem o mesmo objetivo de uma assinatura

convencional, ou seja, garantir a
autenticidade de um documento e o acordo com os termos descritos
nesses. Formalmente, uma assinatura
digital é um mecanismo de autenticação que utiliza um código anexado,
por exemplo, a uma mensagem que
atue como uma assinatura garantindo a integridade e autenticidade da
mensagem (STALLINGS, 2015).
A assinatura digital utiliza funções hash e algoritmos assimétricos para a geração de assinaturas digitais.
A geração de uma assinatura digital ocorre da seguinte forma:

1. O autor de uma mensagem aplica uma função hash na mensagem e assim obtém um código hash .

2. Na sequência, criptografa o código hash obtido com a sua chave privada e adiciona esse ao
documento e o envia.

3. Para validar a assinatura digital, o primeiro passo é decifrar o código hash, criptografado na etapa
anterior, com a chave pública do emissor (lembrando que um texto cifrado com uma chave é decifrado
com a outra), obtendo, assim, o código hash do documento.

4. Em seguida, calcula novamente o código hash da mensagem e o compara com o valor obtido.

5. A etapa final consiste em comparar o código hash calculado com o decifrado a partir da mensagem
recebida. Se os códigos forem iguais, a mensagem não foi alterada e sua autenticidade está garantida.
Caso contrário, a mensagem foi comprometida.
Validade Legal da
Assinatura Digital
As assinaturas digitais têm validade legal. Isso é garantido pela Medida
Provisória 2200 de 2001, que regulou a validade dos documentos
eletrônicos e a utilização de certificados digitais, que têm como objetivo
garantir a autenticidade e integridade aos documentos assinados
(CERT.BR, 2020). Logo, existe uma relação direta dos certificados
digitais com a assinatura digital.
Atividade N1:
A empresa pública IBH realiza serviços de assistência média hospitalar através de uma
rede de 40 hospitais e uma unidade principal em Brasília, em cada uma de suas unidades,
há um núcleo responsável pela gestão e implementação de TI em cada unidade.

Os ativos, servidores, backup, sistemas e política de sistemas de cada hospital são

tratados no próprio local pela sua equipe interna, isso acontece por conta de que a
empresa foi adquirindo os hospitais que já haviam se estabelecido anteriormente e já
tinham suas próprias políticas e estrutura de sistemas. Por isso não existe uma
padronização de escopo voltado para administração de sistemas de informação.

Sendo assim, as unidades do IBH possuem sistemas diferentes e não muito bem
integrados. Além disso, cada hospital possui um diferente nível de segurança e
vulnerabilidade.
Atividade N1:
A comunicação de dados de intranet não é criptografada

O serviço de e-mail não é padronizado nem criptografado.

Não há mecanismo de auditoria, nem registro de quais usuários acessaram os dados de

cada sistema em suas unidades.

A falta de padronização comprometeu a organização através de vazamento de dados de

pacientes internados, nesta ocasião, fraudadores conseguiram interceptar os dados e
passaram a contatar as famílias dos pacientes internados cobrando por certos serviços e
realizando tentativa de estelionato (Sendo que os hospitais atendem apenas pelo SUS, e
seus serviços são gratuitos).

Não foi possível identificar a fonte de vazamento dos dados.

Atividade N1:
Além do ocorrido, um outro incidente envolvendo acesso não autorizado foi feito nos
setores de RH, e certos dados de funcionários vazaram para a imprensa.

Como não havia logs nem sistema de registros de acessos, não foi possível identificar
quem fez o acesso não autorizado.

Como seria possível resolver estas questões para aumentar a segurança de informações
nestes hospitais?
Sugestões:
- Realizar análise de vulnerabilidades e listar todas encontradas.

- Padronização de protocolos de segurança e aplicação de NORMAS DE SEGURANÇA

- Disponibilização de servidor de e-mail único para toda rede

- Rede criptografada com chave de segurança primária e secundária

- Certificado de autenticação para usuários de alto nível.

- Hierarquização de usuários (perfis diferentes de acesso, com senhas e certificados

específicos)

- Gestão de riscos de mudanças

- Criar grupos de trabalho para resolver questões e comitê de política de segurança para
definir diretrizes genéricas para todas 40 unidades levando em conta as particularidades
de cada unidade caso haja.
Sugestões:
- Elencar mecanismos a serem adotados para controle de segurança de informação,
instalar logs e controle de acessos digitais.

- Troca de Hardware pode ser necessário para a questão de rede e Firewall físico

- Padronização de firewalls

- Implementação de um ERP seria viável? (custos altos podem impedir)

- Servidor de Backup

- Testes de segurança para validação dos novos protocolos de segurança

- Estabelecer política de auditoria e treinamento

Escolas Integradas – Educação Continuada
Professor Danilo Q.C.

OBRIGADO.