Escolar Documentos
Profissional Documentos
Cultura Documentos
1
SEGURANÇA DA INFORMAÇÃO
Ementa
CONCEITOS E FUNDAMENTOS NA
ÁREA DE SEGURANÇA DE
INFORMAÇÕES
3
SEGURANÇA DAS INFORMAÇÕES
Bem como por onde elas transitam (rede interna, internet, extranets,
redes Man/Wan;
PROCESSO
CONTÍNUO
5
QUAL DEVE SER O FOCO DE ATUAÇÃO NA ÁREA DE
SEGURANÇA
DE INFORMAÇÕES
GESTÃO DE SEGURANÇA
PPP=POLÍTICAS/PADRÕES/PROCEDIMENTOS
Controles
Controles
Controles
Controles HARDNING
REDE
REDE
SISTEMAS
CONECTIVIDADE APLICAÇÕES E ACESSOS
BANCO DE DADOS OPERACIONAIS
MONITORAÇÃO E PERFIS DE
RESPOSTA A ATAQUES USUÁRIOS, CONTROLE
FIREWALL / IDS DE ACESSO 6
SEGURANÇA DA INFORMAÇÃO
7
8
OS TRÊS PILARES DA
SEGURANÇA DE
INFORMAÇÕES
E
D E
A E D
D A
LI A
D
ID
IA ID IL
C R IB
EN E G
O
N
ID T P
F IN IS
N D
O
C
9
PRINCÍPIOS DA SEGURANÇA DAS
INFORMAÇÕES
A Segurança da Informação deve ser baseada nos seguintes
fundamentos ou pilares:
CONCEITO DE INTEGRIDADE
A informação sempre tem uma origem e um destino. A área de
segurança de informações deve garantir que a informação ao ir de um
ponto de origem a um ponto de destino, a mesma não pode ser
modificada.
10
SEGURANÇA DAS INFORMAÇÕES
CONCEITO DE DISPONIBILIDADE
A área de segurança de informações deve garantir que a informação
deve estar disponível para ser usada, para poder ser lida, transmitida
e armazenada, a qualquer momento.
CONCEITO DE CONFIDENCIALIDADE
13
Aliás... O que aquele ladrão vai
fazer sem a roda???
OUTROS CONCEITOS DE SEGURANÇA A
CONSIDERARMOS
CONCEITO DE LEGALIDADE
OBJETIVO:
17
1. Lei nº. 8.159, de 8 de Janeiro de 1991, que dispõe sobre a
política nacional
de arquivos públicos e privados e dá outras providências.
2. Decreto nº. 3.505, de 13 de Junho de 2000, que institui a
Política de
Segurança da Informação nos órgãos e entidades da
Administração Pública
Federal.
3. NBR ISO/IEC 17799:2001: tecnologia da informação - código
de prática para
a gestão da segurança da informação.
4. Decreto nº 4.073, de 3 de Janeiro de 2002, que
regulamenta a Lei no 8.159,
de 8 de janeiro de 1991, que dispõe sobre a política
nacional de arquivos
públicos e privados.
5. Decreto nº 4.553, de 27 de Dezembro de 2002, que dispõe
sobre a
salvaguarda de dados, informações, documentos e
materiais sigilosos de
interesse da segurança da sociedade e do Estado, no
âmbito da 18
3. A classificação da informação deve ser realizada com
base nas exigências
das atividades da Organização, considerando as
implicações que um
determinado grau de segurança trará para a Organização
e seus usuários.
4. Na classificação da informação deve-se buscar, sempre
que possível, o
grau de segurança menos restritivo possível, visando
otimizar/agilizar o
processo de tratamento e reduzir os custos com sua
proteção.
5. Uma informação pode variar seu grau de segurança de
acordo com o seu
trâmite mediante reclassificação.
6. As informações que não estão sendo usadas devem
manter as medidas
de proteção compatíveis com o seu grau de segurança.
7. A classificação de uma informação é de competência do
seu classificador,
no momento em que a informação é gerada ou recebida.
8. O classificador é todo gestor de unidade gerencial, 19
9. O classificador ao delegar a classificação, deve instruir o
Servidor sobre
como classificar a informação no momento em que é
gerada ou recebida.
Éuma i nformaçãode
interesse de todos da
organização ou que não
Essa informação Essa informação
possua restrição de Não precisa
deve ser deve ser
Início divulgação . Sua SIM classificar
classificada como classificada como
divulgação alémdas PÚBLICA
INTERNA CONFIDENCIAL
fronteiras da empresa não
é vital , mas pode trazer
prejuízos indiretos ?
Essa informação
Nãoprecisa
deve ser
classificar
classificada como
(NORMAL )
CONTROLADA
Término
Não precisa
NÃO classificar
(BÁSICA )
22
TIPO DE TRATAMENTO
TIPO DE TRATAMENTO
TIPO DE TRATAMENTO
25
Critério: Integridade Nível: Controlada
TIPO DE TRATAMENTO
26
Critério: Integridade Nível: Normal
TIPO DE TRATAMENTO
27
Critério: DisponibiIidade Nível: Vital
TIPO DE TRATAMENTO
TIPO DE TRATAMENTO
SOFTWARE (SW);
PEPLEOWARE;
DOCUMENTOS IMPRESSOS;
29
ALGUNS EXEMPLOS DOS BENS (ATIVOS) PARA PROTEGER
Dados
Protocolos
Código fonte dos sistemas
Informação sobre salários
Senhas
Dados de RH
Dados Financeiros
Comunicações
Serviços Documentos restritos
Web sites Transações/
Acesso à Internet Pagamentos
Controle de Internos/Internet
Acesso/Ponto Cópia de um plano
estratégico
E-mails
30
SEGURANÇA DAS INFORMAÇÕES
CONCEITO DE INFORMAÇÃO
São todos os elementos que contém a informação registrada em meio
magnético ou físico.
São:
Os Códigos de Programas;
Linhas de Comando;
Arquivos de Configuração;
etc...
31
SEGURANÇA DAS INFORMAÇÕES
CONCEITO DE USUÁRIOS
Podem ser:
Colaboradores internos/externos;
Terceiros internos/externos ;
Clientes;
Estagiários;
Visitantes;
Atacantes;
etc…
32
EXEMPLOS DE ATIVOS DA ORGANIZAÇÃO
EQUIPAMENTOS: HARDWARE:
PEPLEOWARE (PESSOAS)
INFORMAÇÕES IMPRESSAS
34
O papel do usuário na Segurança
Todo usuário deve reportar incidentes de segurança.
Cada usuário é responsável pela sua senha.
O usuário não deve baixar ou instalar software não autorizado
pela Organização através da sua Política de Segurança de
Informações.
O usuário deve utilizar e-mail e internet da empresa, para o seu
trabalho.
As informações da empresa pertencem à empresa, e não devem
ser copiadas, apagadas, mofificadas ou divulgadas sem
autorização.
35
A Senha deve confidencial?
36
Principais falhas no uso da
senha
Senhas fáceis de adivinhar
– Nome (seu, da esposa, do marido, do cachorro, do
filho, iniciais, time de futebol...);
– Placa do carro
37
Principais falhas no uso da
senha
Usar seqüências
– 123456
– 111111
– qwerty
– abcedf
Compartilhar a senha
Anotar a senha
– Principalmente sob o teclado ou mousepad, gaveta aberta,
dentro da agenda;
38
SEGURANÇA DAS INFORMAÇÕES
AMEAÇAS
São todos os agentes que podem explorar falhas de segurança,
também conhecidas como vulnerabilidades nos ativos da organizaçao.
As ameaças podem causar perdas ou danos aos ativos da empresa.
As ameaças podem ser divididas em três grandes grupos:
NATURAIS INVOLUNTÁRIAS INTENCIONAIS
- De imagem;
- De credibilidade no mercado;
39
Algumas formas de Ameaças na
Segurança
F D
Fonte de Destino da
Informação Informação
Fluxo Normal
F D F D
I
Interrupção Interceptação
F D F D
M F
Modificação Fabricação
40
Interceptação
Admins do site ou invasores
podem monitorar o tráfego
ou dados do servidor ou
rede de destino
O administrador
do ISP pode ver
emails
armazenados
enquanto o
Agências de Inteligência usuário não os
monitoram links e grandes baixa.
provedores de backbone
POPs podem
fazer capturas proxy web email
de pacotes
ISP
firewall
Não é difícil interceptar o O proxy contém cópias das
tráfego dos vizinhos em páginas recentemente
“apartnets” e certos sistemasacessadas, para economizar
de banda larga o link de saída do ISP
Exemplo de Captura: POP3
16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: S
6928467:6928467(0) win 8192 <mss 1460> (DF)
16:15:14.490000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: S
3259336854:3259336854(0) ack 6928468 win 8760 <mss 1460> (DF)
16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: . ack 1 win
8760 (DF)
16:15:14.680000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 1:48(47)
ack 1 win 8760 (DF)
Início
4500 0057 da conexão
dd14 4000 fe06 07f0 c885 2201 : E..W..@.......".
ac10 (3-way
TCP 0105 006e 0415 c245 8897 0069 b854 : .....n...E...i.T
handshake)
5018 2238 a7d9 0000 2b4f 4b20 5150 4f50 : P."8....+OK QPOP
2028 7665 7273 696f 6e20 322e 3533 2920 : (version 2.53)
6174 2063 6170 6962 6120 7374 6172 7469 : at capiba starti
Dados do protocolo
6e67 2e20 200d 0a : ng. ..
passando às claras
16:15:14.680000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 1:12(11)
ack 48 win 8713 (DF)
4500 0033 870c 4000 2006 3c1d ac10 0105 : E..3..@. .<.....
c885 2201 0415 006e 0069 b854 c245 88c6 : .."....n.i.T.E..
5018 2209 4e42 0000 Identificação
5553 4552 206ddo usuário
6d6d : P.".NB..USER mmm
6d0d 0a passando às claras: m..
16:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: . ack 12 win
8760 (DF)
Exemplo de captura: POP3
16:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 48:81(33)
ack 12 win 8760 (DF)
4500 0049 dd16 4000 fe06 07fc c885 2201 : E..I..@.......".
ac10 0105 006e 0415 c245 88c6 0069 b85f : .....n...E...i._
5018 2238 0c1d 0000 2b4f 4b20 5061 7373 : P."8....+OK Pass
776f 7264 2072 6571 7569 7265 6420 666f : word required fo
7220 6d6d 6d6d 2e0d 0a : r mmmm...
16:15:14.690000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 12:29(17)
ack 81 win 8680 (DF)
4500 0039 880c 4000 2006 3b17 ac10 0105 : E..9..@. .;.....
c885 2201 0415 006e 0069 b85f c245 88e7 : .."....n.i._.E..
5018 21e8 cd39 0000 5041 5353 2034 3079 : P.!..9..PASS p@l
6c61 2a67 616d 2a0d 0a : @f1t@..
Senha do usuário
passando às claras
Interceptação
• Interceptação na rede é quase indetectável
– Toda a rede é se baseia na facilidade de copiar dados;
portanto, copiar não perturba o funcionamento da
rede
• Administradores têm motivos legítimos
– Manutenção:
Manutenção depuração e correção de problemas
– Exemplo: “double-bounce”
double-bounce de email por estouro de
quota de disco
– Anti-vírus, Sistemas de Detecção de Intrusão e Filtros
Anti-Spam rotineiramente analisam e classificam o
tráfego em busca de dados danosos ou indesejados
– Abusos existem mas raros...
raros admins em geral têm mais
o que fazer do que ficar bancando o voyeur
• Sistemas mal cuidados são passíveis de invasão
– Invasores tornam-se tão ou mais poderosos que os
admins
CLASSIFICAÇÃO DAS AMEAÇAS
MÉTODO GUT (GRAVIDADE, URGÊNCIA E
TENDÊNCIA)
Urgência
Tendência
45
AMEAÇAS - CRITÉRIOS DE
PONTUAÇÃO
Pontos GRAVIDADE URGÊNCIA TENDÊNCIA
46
SEGURANÇA DAS INFORMAÇÕES
AMEAÇA
S
AMEAÇAS NATURAIS
São aquelas causadas pela natureza: Descargas
atmosféricas; Inundações; Incêndio; Gases Corrosivos de
ambientes vizinhos, etc….
AMEAÇAS INVOLUNTÁRIAS
São aquelas causadas sem intenção de causar problemas
ou danos. Ex: Uso/teste de software dentro da rede sem
conhecer as consequências do mesmo e se pode ou não
causar danos;
AMEAÇAS INTENCIONAIS
São aquelas causadas com a intenção de causar problemas
ou danos. EX: Engenharia Social - A técnica de 'crackear'
pessoas;
EX: Uso/teste de software específico dentro da rede com a
47
intenção de causar danos;
SEGURANÇA DAS INFORMAÇÕES
RISCO
É a probabilidade das ameaças explorarem as vulnerabilidades,
causando perdas e danos aos ativos e/ou impáctos no negócio.
48
48
Segurança – Administração dos
Riscos EXPLORAM
AMEAÇAS VULNERABILIDADES
AUMENTAM
AUMENTAM
DIMINUEM
POLÍTICAS . AUMENTAM
CONTROLES E RISCOS ATIVOS
PROCEDIMENTOS
AUMENTAM
IMPLEMENTADAS TEM
COM INDICAM
NECESSIDADES
DE SEGURANÇA VALORES E IMPACTO
POTENCIAL A ATIVOS
Falha Humana 50 a 80 %
Greves 10 a 17 %
Forças da Natureza 10 a 15 %
Sabotagem 3a4%
Alagamento 2a3%
Estranhos à 1a3%
Organização
50
50
ENGENHARIA SOCIAL - A TÉCNICA DE
‘ENGANAR' PESSOAS
51
CARACTERÍSTICAS
52
ALGUNS MÉTODOS
53
ALGUNS MÉTODOS
Surfe de ombro.
Telefonemas.
54
PREVENÇÃO CONTRA A ENGENHARIA
SOCIAL
Conscientização dos responsáveis pela segurança e dos
usuários da organização.
56
VULNERABILIDADES
Catástrofe
– Incêndio acidental ou intencional
– Inundação de caves ou salas com risco
potencial, por fuga dos canos ou por goteiras
– Explosão intencional ou provocada por fuga de
gás (em botijas ou encanado)
– Desabamento parcial ou total do prédio
– Impacto de escombros da cobertura (tecto
de gesso, tecto falso ou telhado)
– Grande sobrecarga na rede elétrica ou
relâmpagos que causam queima total de
equipamentos
58
SITUAÇÕES DE INSEGURANÇA
Problemas ambientais
– Variações térmicas - excesso de calor causa
travamentos e destrói os suportes; excesso de frio
congela fisicamente dispositivos mecânicos, como
discos rígidos.
– Humidade - inimigo potencial de todas os
suportes magnéticos.
– Poeira depositada nas cabeças de leitura e
gravação dos drivers, pode destruir fisicamente
um disquete ou uma fita.
– Ruído causa stress no pessoal.
59
SITUAÇÕES DE INSEGURANÇA
Problemas ambientais
– Fumo - o fumo do cigarro deposita uma camada
de componentes químicos nas cabeças de leitura e
gravação dos drives, que pode inviabilizar a
utilização de disquetes e fitas; fumos de incêndios
próximos é muito mais perigosa.
– Magnetismo - grande inimigo dos suportes
magnéticos, pode desgravar disquetes, fitas e
discos rígidos.
– Trepidação - pode afrouxar placas e
componentes em geral, além de destruir discos
rígidos.
60
SITUAÇÕES DE INSEGURANÇA
Supressão de serviços
– Falha de energia elétrica - grande risco
potencial, à medida que paralisa totalmente todas
as funções relacionadas à informática.
– Queda nas comunicações - grande risco
potencial, pois isola o site do resto do mundo;
risco de perda de dados.
– Bloqueio nos equipamentos - problema
bastante comum, resolvido com backup de
informações e de hardware.
– Bloqueio na rede - isola um ou mais
computadores de um mesmo site; risco potencial
de perda de dados.
61
SITUAÇÕES DE INSEGURANÇA
Supressão de serviços
– Problemas nos sistemas operacionais - risco
potencialmente explosivo, pois podem
comprometer a integridade de todos os dados do
sistema e até mesmo inviabilizar a operação;
eliminam a confiança da equipa.
– Problemas nos sistemas corporativos - grande
risco, causam grande transtorno e perdas de
dados.
– Bloqueio de sistema - igualmente um grande
risco.
62
62
SITUAÇÕES DE INSEGURANÇA
Comportamento anti-social
– Paralisações e greves - problema contornável
se houver condução política adequada.
– Invasões - altíssimo risco de destruição acidental
ou intencional.
– Hacker - Pessoa que tenta aceder a sistemas sem
autorização, usando técnicas próprias ou não, no
intuito de ter acesso a determinado ambiente para
proveito próprio ou de terceiros. Dependendo dos
objectivos da acção, pode ser chamado Cracker,
Lammer ou BlackHat
indivíduo que conhece profundamente um
Comportamento anti-social
– Disputas exacerbadas - entre pessoas podem
levar à sabotagem e alteração ou destruição de
dados ou de cópias de segurança.
– Falta de espírito de equipe - falta de
coordenação, onde cada funcionário trabalha
individualmente; risco de omissão ou duplicação
de procedimentos.
– Inveja pessoal/profissional - podem levar um
profissional a alterar ou destruir dados de outro
funcionário.
– Rixas - entre funcionários, setores, administração,
diretorias - mesmo caso do item anterior, porém
de consequências mais intensas. 64
64
SITUAÇÕES DE INSEGURANÇA
Ação criminosa
– Furtos e roubos - consequências imprevisíveis,
podem inviabilizar completamente os negócios da
empresa.
– Fraudes - modificação de dados, com vantagens
para o elemento agressor.
– Sabotagem - modificação deliberada de qualquer
activo da empresa.
– Terrorismo - de consequências imprevisíveis,
pode causar mortes, a destruição total dos
negócios ou de mesmo de toda a empresa.
65
SITUAÇÕES DE INSEGURANÇA
Ação criminosa
– Atentados - uso de explosivos, com as mesmas
consequências do item anterior.
– Sequestros - acção contra pessoas que tenham
alguma informação.
– Espionagem industrial - captação não
autorizada de software, dados ou comunicação.
– Cracker - indivíduo que conhece profundamente
um computador e um sistema operacional e invade
o site com finalidade destrutiva.
66
66
SITUAÇÕES DE INSEGURANÇA
Incidentes variados
– Erros de utilizadores - de consequências
imprevisíveis, desde problemas insignificantes até
a perda de uma faturamento inteira; erros de
utilizadores costumam contaminar as cópias de
segurança (backup) quando não detectados a
tempo.
– Erros em backups - risco sério de perda de
dados; o backup sempre deve ser verificado.
– Uso inadequado dos sistemas - normalmente
ocasionado por falta de treino, falta de
documentação adequada do sistema ou falta de
capacidade de quem utiliza o sistema de forma
inadequada, tem os mesmos riscos do item Erros
de utilizadores.
67
SITUAÇÕES DE INSEGURANÇA
Incidentes variados
– Manipulação errada de ficheiros - costuma
causar perda de ficheiros e pode contaminar as
cópias de segurança.
– Treinamento insuficiente - inevitavelmente
causa erros e uso inadequado.
– Ausência/demissão de funcionário - é
problemático se a pessoa ausente for a única que
conhece determinados procedimentos.
– Stress/sobrecarga de trabalho - uma pessoa
sobrecarregada é mais propensa a cometer erros
e adoptar atitudes anti-sociais.
– Equipe de limpeza - deve receber o treino
adequado sobre segurança.
68
SEGURANÇA DAS INFORMAÇÕES
TIPOS DE VULNERABILIDADES
1- FÍSICAS
São inerentes ao ambiente em que a informação será manipulada e/ou
armazenada.
Exemplos:
Ausência de proteção contra incêndios;
Ausência de proteção ao sistema de cabeamento da rede;
Ausência de segurança de acesso de pessoas ao ambiente de
informática.
etc...
69
SEGURANÇA DAS INFORMAÇÕES
TIPOS DE VULNERABILIDADES
2- NATURAIS
Poeira.
Poluição.
Descargas atmosféricas
Umidade.
etc...
70
SEGURANÇA DAS INFORMAÇÕES
TIPOS DE VULNERABILIDADES
3- DE HARDWARE
Exemplos:
Área de armazenamento inadequada;
Processamento e velocidades de operação adequados para as
aplicações;
Usernames/senhas default divulgados na internet;
Portas console de rotedores e switches;
Portas auxiliar de rotedores e switches;
etc...
71
SEGURANÇA DAS INFORMAÇÕES
TIPOS DE VULNERABILIDADES
4- DE SOFTWARE
Exemplos:
Bugs dos sistemas operacionais;
Portas de aplicações que não são utilizadas, mantidas abertas;
Protocolos que não são utilizados deixados habilitados;
Exemplo: Servidor Sun Solaris com inúmeras portas de aplicação
abertas.
etc...
72
SEGURANÇA DAS INFORMAÇÕES
TIPOS DE VULNERABILIDADES
5- DAS MÍDIAS:
Exemplos:
Suportes físicos e magnéticos que armazenam as
informações;
Disquetes;
Cd-Roms;
Fitas Magnéticas;
Discos Rígidos dos Computadores.
etc...
73
SEGURANÇA DAS INFORMAÇÕES
TIPOS DE VULNERABILIDADES
6 - DE COMUNICAÇÃO
74
NETWORK SNIFFING
TIPOS DE VULNERABILIDADES
7- HUMANAS
Referem-se aos danos que as pessoas podem causar às informações
e/ou ao ambiente tecnológico que as suporta.
Podem ser:
Intencionais ou Acidentais.
77
SEGURANÇA DAS INFORMAÇÕES
RISCO
É a probabilidade das ameaças explorarem as vulnerabilidades,
causando perdas e danos aos ativos e/ou impáctos no negócio.
78
SEGURANÇA DAS INFORMAÇÕES
Identifique as ameaças;
Visualize as vulnerabilidades;
Que princípios básicos de segurança são afetados por essas
vulnerabilidades ?
Que impáctos no negócio podem ser causados?
Que medidas de segurança podem ser tomadas?
79
POLÍTICAS, PADRÕES E
PROCEDIMENTOS
DE SEGURANÇA
80
DEFINIÇÕES E TERMOS TÉCNICOS ASSOCIADOS
CONCEITO DE POLÍTICAS
• Orientada ao negócio;
• Fácil de se entender;
• Alinhada com a segurança e todas as funções de negócios e seus processos;
• Deve suportar todas as legislações e regulamentações nas quais a empresa
for sujeita;
• Modificada e revisada de acordo com as mudanças da empresa;
81
DEFINIÇÕES E TERMOS TÉCNICOS ASSOCIADOS
TIPOS DE POLÍTICAS
PADRÕES
82
DEFINIÇÕES E TERMOS TÉCNICOS ASSOCIADOS
O CONCEITO DE TITULARIDADE
A Lei 9609/98, trouxe proteção aos titulares dos direitos patrimoniais sobre as bases
de dados, o armazenamento em computador, a microfilmagem e as demais formas
de armazenamento de informações.
O CONCEITO DE REPRODUÇÃO
Exemplo:
Com isso ficou proibido veicular músicas que não fossem expressamente
autorizadas pelos seus titulares de direito autoral.
85
DEFINIÇÕES E TERMOS TÉCNICOS ASSOCIADOS
Exemplo:
Com isso ficou proibido veicular músicas que não fossem expressamente
autorizadas pelos seus titulares de direito autoral.
86
DEFINIÇÕES E TERMOS TÉCNICOS ASSOCIADOS
DAS EXCEÇÕES
87
Normas e Padrões de Segurança
O que significa exatamente ISO/IEC?
88
Normas e Padrões de Segurança
89
ITIL (It Infraestructure Library)
90
O QUÊ É O ITIL ?
92
CONCEITO DE NÍVEIS OPERACIONAL-TÁTICO-ESTRATÉGICO :
a.Operacional:
b. Tático:
c. Estratégico:
– Service-Desk
– Gerenciamento de Configurações
– Gerenciamento de Incidentes
– Gerenciamento de Problemas
– Gerenciamento de Mudanças
– Gerenciamento de Versões
Service-Desk Clientes
Ferramentas de
MonitoramentoGerencia. de
IncidentesGerencia. de
Problemas
Gerencia. de
MudançasGerencia. de
Liberação Gerencia. de
Configuração
99
BDGC= BANCO DE DADOS DE GERÊNCIA DE CONFIGURAÇÃO
ISO GUIDE 73 – RISK MANAGEMENT –
VOCABULARY – GUIDELINES FOR USE IN
STANDARDS (GERENCIAMENTO DE
RISCOS – VOCABULÁRIO –LINHAS GUIA
PARA O USO DE PADRÕES)
ISO Guide 73, publicada em 2002, define 29 termos da Gestão de
Riscos. São eles relacionados a:
♦Termos básicos
♦Pessoas e organizações
♦Avaliação de riscos
♦Tratamento e controle de riscos
A norma é útil para uniformizar o entendimento em relação aos conceitos
relacionados a riscos.
100
Ameaça X Risco
Probabilidade
X
Impacto
Ameaça Oportunidade
Impacto negativo Impacto positivo
Fator de Risco Fator de Risco
Ex.: Queda das ações Ex.: Alta das ações
101
ISO 13335 – GUIDELINES FOR THE MANAGEMENT
OF IT SECURITY
LINHAS GUIA PARA O GERENCIAMENTO DE
SEGURANÇA
ISO 13335, é um conjunto de diretrizes de DA TIda segurança voltadas
gestão
especificamente para a tecnologia da informação.
102
BS7799 e ISO/IEC 17799
O que é BS7799?
O Brithish Standart 7799 é uma norma de segurança da informação. Criada na
Inglaterra, teve seu desenvolvimento iniciado em 1995.
103
COMPONENTES DO ISO 17799
105
ISO 17799 – SEGURANÇA DE
PESSOAS
Segurança na definição e Recursos de Trabalho: Devem ser
incluídas as preocupações de segurança no momento da contratação
de pessoas. Verificar os critérios de segurança no processo de seleção.
Funcionários devem assinar o acordo de confidencialidade.
106
ISO 17799 – SEGURANÇA FÍSICA E
DE AMBIENTE
Áreas de segurança: prevenir acesso não autorizado, dano e
interferência nas instalações físicas. Isso inclui: definir um perímetro de
segurança, controles de entrada física, etc .
Controles gerais: Por exemplo proteção de tela com senha para evitar
que informação fique visível em tela, deve-se ter uma política quanto a
deixar papéis na impressora por muito tempo, etc.
107
ISO 17799 – CONTROLE DE
ACESSO
Gerenciamento de acesso dos usuários:
– Registro do usuário: ID única para cada usuário, pedir assinatura em
termo de responsabilidade, remover usuário assim que o funcionário
sair da empresa .
– Gerenciamento de privilégios: Basicamente, se recomenda que
usuários tenham apenas os privilégios necessários para fazer seu
trabalho.
– Gerenciamento de senhas: termo de responsabilidade deve afirmar
que senha é secreta e não deve ser divulgada, senhas temporárias
devem funcionar apenas uma vez.
– Análise crítica dos direitos de acesso do usuário: deve-se analisar os
direitos de acesso dos usuários com freqüência de 6 meses ou
menos.
108
ISO 17799 – CONTROLE DE
ACESSO
Responsabilidades dos usuários:
– Senhas: segundo norma, usuário deve zelar pela sua senha e
criar uma senha considerada aceitável (mínimo de 6 caracteres).
– Equipamentos sem monitoração: Usuários deve tomar os
cuidados necessários ao deixar um equipamento sem
monitoramento, com seções abertas.
109
ISO 17799 – CONTROLE DE
Controle de Acesso ao SO: ACESSO
– Controle de acesso ao sistema operacional: Identificação
automática de terminal: nos casos onde deve-se conhecer onde um
usuário efetua logon.
110
ISO 17799 – CONTROLE DE ACESSO
ÀS APLICAÇÕES
Controle de Acesso às aplicações:
111
BS 7799-2
O BS 7799-2 é a segunda parte do padrão de segurança inglês cuja
primeira parte virou o ISO 17799.
112
ABNT BR ISO/IEC 27001: 2006
Norma que provê um modelo para:
- Estabelecer;
- Implementar;
- Operar;
- Monitorar;
- Analisar criticamente;
- Manter e melhorar;
um SISTEMA DE GESTÃO DA INFORMAÇÃO (SGSI) nas organizações.
Objetivo da Norma:
Fornecer um conjunto de critérios fixos que permitem especificar a segurança
de uma aplicação de forma não ambígua a partir de características do
ambiente da aplicação;
. 114
ISO/IEC 15.408
COMMON CRITERIA FOR INFORMATION TACHNOLOGY SECURITY
EVOLUATION – CRITÉRIO COMUM DE AVALIAÇÃO DE SEGURANÇA DE
TECNOLOGIA DA INFORMAÇÃO
115
SEGURANÇA DAS INFORMAÇÕES
ISO/IEC 15.408
O Security Target é a especificação de segurança do sistema e deve:
116
SEGURANÇA DAS INFORMAÇÕES
ISO/IEC 15.408
O CC e seus sete níveis de garantia de segurança
EAL – 1;
EAL - 2;
EAL - 3;
EAL - 4;
EAL - 5;
EAL - 6;
117
SEGURANÇA DAS INFORMAÇÕES
ISO/IEC 15.408
118
SEGURANÇA DAS INFORMAÇÕES
ISO/IEC 15.408
O CC emprega o termo TOE (Target of Evaluation, ou Alvo de
Avaliação), para representar o sistema que se esta desenvolvendo ou
avaliando a segurança.
119
SEGURANÇA DAS INFORMAÇÕES
MEDIDAS DE SEGURANÇA
São as ações voltadas à eliminação de vulnerabilidades de modo a
se evitar a concretização de uma ameaça.
Identifique as ameaças;
Visualize as vulnerabilidades;
Que princípios básicos de segurança são afetados por essas
vulnerabilidades ?
Que impáctos no negócio podem ser causados?
Que medidas de segurança podem ser tomadas?
120
POLÍTICAS DE SEGURANÇA DO DEPARTAMENTO DE DEFESA
DOS ESTADOS UNIDOS (DoD)
POLÍTICA DE RESPONSABILIDADE
POLÍTICA DE AVISO
POLÍTICA DE PROPÓSITO
POLÍTICA DE DISPONIBILIDADE
POLÍTICA DE GUIA
POLÍTICA DE ACESSO
POLÍTICA DE INTEGRIDADE
POLÍTICA DE CICLO DE VIDA
POLÍTICA DE CLASSIFICAÇÃO
POLÍTICA DE PROTEÇÃO FÍSICA
121
POLÍTICAS DE SEGURANÇA DO DEPARTAMENTO DE DEFESA
DOS ESTADOS UNIDOS (DoD)
Política de Responsabilidade
O funcionário é responsável por todos os atos
executados com o seu identificador.
Qualquer que seja a forma de identificação, ela deve
ser pessoal, intransferível e permitir de maneira clara
e indiscutível o reconhecimento de qualquer usuário.
Política de Aviso
Cada funcionário ou colaborador deve avisar
imediatamente a segurança caso tenha presenciado ou
detectado uma possíve; falha de segurança ou ameaça
aos ativos da empresa.
122
POLÍTICAS DE SEGURANÇA DO DEPARTAMENTO DE DEFESA
DOS ESTADOS UNIDOS (DoD)
Política de Propósito
Toda informação pertence a empresa, devendo ser usada apenas
para o propósito a que o usuário foi autorizado.
Política de Disponibilidade
A informação deve estar disponível para o funcionário ou
colaborador se a mesma é necessária para uma missão ou tarefa
designada ao mesmo.
Política de Guia
Os sistemas e aplicações devem ser operados de forma
segura.para tal deve-se disponibilizar ajuda on-line, manual ou
qualquer outro meio que permito ao usuário saber com operar o
sistema corretamente.
123
POLÍTICAS DE SEGURANÇA DO DEPARTAMENTO DE DEFESA
DOS ESTADOS UNIDOS (DoD)
Política de Acesso
Sistemas e contorles internos devem exigir a correta
autorização para permitir o acesso a qualquer
informação.
Política de Integridade
A integridade de qualquer informaçào deve ser
mantida, seja através de escrita em meio inviolável ou
via assinatura eletrônica.
Política de Ciclo de Vida
Os controles de acesso, proteção da informação e
integridade se aplicam aos dados dos usuários durante
124
POLÍTICAS DE SEGURANÇA DO DEPARTAMENTO DE DEFESA
DOS ESTADOS UNIDOS (DoD)
Política de Classificação
Cada informaçào e cada documento deve ser
identificado de forma não ambígua de modo a se
permitir o controle de acesso.
Política de Proteção Física
Para se garantir os parâmetros de segurança,
mecanismos físicos complementares aos lógicos
devem ser fornecidos.
125