A importncia da Gesto da Segurana da Informao

Marcos Smola
Consultor em Gesto de Segurana da Informao marcos@semola.com.br

Apresentao
Consultor em Gesto de Segurana da Informao 12 anos de experincia em projetos de Tecnologia da Informao 05 anos de experincia como Consultor Snior e Gerente Nacional de Servios de Segurana da Informao (ex-Mdulo) Professor da Fundao Getlio Vargas Gesto de Segurana da Informao para os cursos MBA MBA em Tecnologia Aplicada/FGV Mestrando em Economia Empresarial Ps Graduado em Marketing e Estratgia de Negcios Ps Graduado em Redes Locais Bacharel em Cincia da Computao Autor do livro Gesto da Segurana da Informao uma viso executiva, Ed. Campus 2003 Articulista em publicaes do especializadas Escritor da coluna Firewall da IDGNow Palestrante em congressos no Brasil Integrante da comisso de estudos CB-21/ISO17799

Agenda
Conceitos fundamentais A importncia da informao Informao vs Segurana Respondendo as perguntas: QUE informaes proteger POR QUE proteger QUANDO proteger ONDE proteger O QUE proteger DO QUE proteger COMO proteger

A importncia da gesto A norma BS7799/ISO17799

Conceitos
Por que falar de Informao e Segurana? Informao

1 Ato ou efeito de informar. 2 Transmisso de notcias. 3 Instruo, ensinamento. 4 Transmisso de conhecimentos. 5 Opinio sobre o procedimento de algum. 6 Investigao. 7 Inqurito.

Fonte: Dicionrio Michaelis

Seguro (Segurana)

1 Livre de inquietaes. 2 Sossegado. 3 Confiado. 4 Livre de perigo ou no exposto a ele. 5 Que oferece segurana contra ataques, acidentes, desastres ou danos de qualquer outra natureza...

Fonte: Dicionrio Michaelis

Informao
Possuir Informao ganhar agilidade, competitividade, previsibilidade, dinamismo. Informao um diferencial! atividade de um indivduo comum
aumento da gasolina aumento da inflao precipitao de chuvas promoo da passagem area limite salarial para um cargo queda da Bovespa planos do seu chefe para voc abandono da sua empregada mudana no Cdigo Civil ...

negcio de uma empresa

discurso do presidente Lula conflito no Oriente Mdio valorizao do Petrleo tendncias tecnolgicas planos do concorrente oscilao da taxa de juros plano de greve funcionrios falncia de uma parceira resultados do ltimo exerccio ...

Informaes teis que podem ser usadas a seu favor ou contra voc e sua empresa.

Informao vs Segurana
Crebro Processo de Negcio 4

Sangue

Informao

Corao

Ativo Tecnolgico

Sistema Circulatrio Artrias

Processo de Negcio 3 Ativo Fsico Ativo Fsico Processo de Negcio 2 Ativo Tecnolgico Processo de Negcio 1 Ativo Fsico Ativo Humano

Traquea

Sistemas Respiratrio Plmes

Sistema Digestivo Instist. Grosso Estmago

Corpo Humano

Negcio

Informao vs Segurana

CASE

atividade de um indivduo comum

Informao vs Segurana
QUE informaes precisam de segurana?
Identidade atividade de CPF um indivduo Endereo residencial comum Telefone celular Cdigo da maleta INFORMAES Senha da agenda eletrnica Informaes bancrias e senhas Senhas de acesso da empresa Nmero do Carto de Crdito $ espcie na carteira $ patrimnio $ saldo bancrio $ prmio do seguro de vida e beneficirios Rotina e horrios de trabalho

ONDE DEIXA A CHAVE RESERVA PARA A EMPREGADA!

Informao vs Segurana
POR QUE proteger as informaes?
atividade de um indivduo comum Por seu valor Pelo impacto de sua ausncia Pelo impacto resultante de seu uso por terceiros Pela importncia de sua existncia Pela relao de dependncia com a sua atividade ...

INFORMAES

Informao vs Segurana
QUANDO proteger as informaes?
Durante seu ciclo de vida Manuseio Armazenamento Transporte Descarte atividade de um indivduo comum

Manuseio

Armazenamento

Transporte

Descarte

INFORMAES

Informao vs Segurana
ONDE proteger as informaes?
Nos ativos que as custodiam: Fsicos Tecnolgicos Humanos atividade de um indivduo comum

FSICOS agenda sala arquivo cofre

TECNOLGICAS sistema e-mail servidor notebook

HUMANOS funcionrio parceiro secretria porteiro

ATIVOS

Miopia do Iceberg

Miopia do Iceberg

Miopia do Iceberg
Bug de software Servio crtico FTP habilitado Desatualizao do sistema operacional Firewall sem configurao

...
Alarme e tranca de porta frgil Sistema de combate a incndio inoperante Cabeamento desestruturado Ausncia de controle de acesso fsico ... Email enviado pessoa errada Relatrio crtico descartado sem cuidado Segredo de negcio falado no elevador Arquivo eletrnico apagado distraidamente ...

Informao vs Segurana
O QUE proteger nas informaes?
Os conceitos principais: Confidencialidade Integridade Disponibilidade Os aspectos: Legalidade Autenticidade Que podem ser atingidos pela explorao de uma falha ou vulnerabilidade presente em um ativo. VULNERABILIDADES atividade de um indivduo comum

Informao vs Segurana
DO QUE proteger as informaes?
De ameaas: Fsicas Tecnolgicas Humanas atividade de um indivduo comum

FSICAS incndio inundao curto circuito apago

TECNOLGICAS vrus bug software defeito tcnico invaso web

HUMANAS sabotagem fraude erro humano descuido

AMEAAS

Informao vs Segurana
Viso Geral
Manuseio

atividade de um indivduo comum

Armazenamento Transporte Descarte

INFORMAES
FSICOS agenda sala arquivo cofre TECNOLGICAS sistema e-mail servidor notebook HUMANOS funcionrio parceiro secretria porteiro ATIVOS

VULNERABILIDADES
FSICAS incndio inundao curto circuito apago TECNOLGICAS vrus bug software defeito tcnico invaso web HUMANAS sabotagem fraude erro humano descuido AMEAAS

Informao vs Segurana
atividade de um indivduo comum negcio de uma empresa

Heterogeneidade tecnolgica Volume de informaes disponibilizadas Volume de relacionamentos com terceiros Volume de ativos fsicos, tecnolgicos e humanos Altos ndices de conectividade e compartilhamento Presso por competitividade e lucratividade Manuteno da credibilidade da imagem ...

Risco

AMEAAS exploram VULNERABILIDADES presentes nos ATIVOS que mantm informaes, causando IMPACTOS no Negcio

INDISPONIBILIDADE

Questo chave: Risco

R= risco

Ameaas

X Vulnerab. X Impactos

Medidas de Segurana

Segurana da Informao adotar controles fsicos, tecnolgicos e humanos personalizados, que viabilizem a reduo e administrao dos riscos, levando a empresa a atingir o nvel de segurana adequado ao seu negcio.

Informao vs Segurana
negcio de uma empresa
Manuseio Armazenamento Transporte Descarte

INFORMAES
FSICOS agenda sala arquivo cofre TECNOLGICAS sistema e-mail servidor notebook HUMANOS funcionrio parceiro secretria porteiro ATIVOS

VULNERABILIDADES

Existe RISCO nesta situao?

Informao vs Segurana
Viso Geral
Manuseio

negcio de uma empresa

Armazenamento Transporte Descarte

INFORMAES
FSICOS agenda sala arquivo cofre TECNOLGICAS sistema e-mail servidor notebook HUMANOS funcionrio parceiro secretria porteiro ATIVOS

VULNERABILIDADES
FSICAS incndio inundao curto circuito apago TECNOLGICAS vrus bug software defeito tcnico invaso web HUMANAS sabotagem fraude erro humano descuido AMEAAS

Informao vs Segurana
COMO proteger as informaes?
Aplicando controles que eliminem e administrem as vulnerabilidades, reduzindo assim os riscos Segmentando-as pela importncia (relevncia) Definindo nveis de segurana compatveis Avaliando o valor da informao e o custo da proteo DESENCORAJAR DIAGNOSTICAR

DISCRIMINAR

DIFICULTAR

DETECTAR

CONTROLES

DETER

Informao vs Segurana
negcio de uma empresa
Manuseio Armazenamento Transporte Descarte

INFORMAES
FSICOS agenda sala arquivo cofre TECNOLGICAS sistema e-mail servidor CONTROLES notebook HUMANOS funcionrio parceiro secretria porteiro ATIVOS

VULNERABILIDADES
FSICAS incndio inundao curto circuito apago TECNOLGICAS vrus bug software defeito tcnico invaso web HUMANAS sabotagem fraude erro humano descuido AMEAAS

Velocidade das Mudanas

negcio de uma empresa
Manuseio Armazenamento Transporte Descarte

INFORMAES
ATIVOS FSICOS arquivo de papel TECNOLGICAS HUMANOS

Cadeado, alarme, guarda Arquivo sem chave FSICAS xerox (cpia) ilegal, fraude, vazamento de informaes AMEAAS

CONTROLES VULNERABILIDADES
HUMANAS

TECNOLGICAS

Velocidade das Mudanas

negcio de uma empresa
Manuseio Armazenamento Transporte Descarte

INFORMAES
ATIVOS FSICOS TECNOLGICAS e-mail HUMANOS

Anti-vrus, treinamento... Sem anti-vrus AMEAAS FSICAS

CONTROLES VULNERABILIDADES
HUMANAS

TECNOLGICAS Vrus

Velocidade das Mudanas

negcio de uma empresa
Manuseio Armazenamento Transporte Descarte

INFORMAES
ATIVOS FSICOS TECNOLGICAS HUMANOS secretria

CONTROLES Instrues para uso de senha VULNERABILIDADES

Definio de processo e treinamento AMEAAS FSICAS TECNOLGICAS HUMANAS ex-funcionrio

1.300 updates - 9 meses!

Hoje xx:xxh

Conceitos
J falamos de Informao e Segurana. Por que falar de Gesto?

Gesto (Administrao)

1 Ato de administrar. 2 Governar, reger. 3 Exercer (cargo, emprego, ofcio).

Gerir

1 Ter gerncia sobre; administrar, dirigir, gerenciar.

Fonte: Dicionrio Michaelis

Gesto de Riscos
POR QUE um processo de gesto de riscos?
Velocidade das mudanas Fsicas Tecnolgicas Humanas Provocam o surgimento de novas vulnerabilidades

Velocidade de criao de novas ameaas que estaro aptas a explorar as tambm novas vulnerabilidades.

Gesto de Riscos

No existe segurana 100% Segurana risco tendendo a zero.

Situao ATUAL

M M A M B A B

Situao ATUAL

RISCO
TOTAL

tempo

Processo de Gesto

Nvel de Segurana CONTROLADO

ACEITVEL

RISCO

NOVOS RISCOS

Situao FUTURA sem Gesto

RISCO

Riscos do Negcio
Riscos Financeiros Riscos Fiscais Riscos de Incidente

Riscos da Informao

Negcio

Dependncia de Clientes e Fornecedores

Riscos de Pessoal

Riscos Jurdicos

Risco de Crdito

Outros riscos ...

Norma ISO/BS7799

Norma ISO/BS7799
BS17799 (ISO17799) Parte 1: Cdigo de Prtica 10 domnios reunindo 127 controles Parte 2: Framework ISMS ou SGSI Sistema de Gesto de Segurana da Informao Posicionamento das empresas: Busca da certificao (definio de escopo) Orientao para a gesto de segurana Primeiro passo: diagnosticar Anlise de Riscos

ISO17799:1 - Objetivo
Fornecer recomendaes para a gesto da segurana da informao orientando os responsveis pela introduo, implementao e manuteno da segurana em suas organizaes Prover uma base comum para o desenvolvimento de normas de segurana e das prticas efetivas de gesto Prover confiana nos relacionamentos entre as organizaes

ISO17799:1 - Estruturao
ISO17799:1 Cdigo de Prtica (parte 1 da BS7799)
Gesto de Segurana da Informao Domnios

Dez domnios gerais, desmembrados em 36 grupos de controles de segurana

1O

Controles e Objetivos de Controle

127 controles no total Objetivos que se aplicam a cada domnio

127

Cdigo de Prtica
A norma estruturou os controles e os agrupou em 10 domnios: Poltica de Segurana da Informao Segurana Organizacional Classificao e controle dos ativos de informao Segurana em pessoas Segurana Fsica e Ambiental Gerenciamento das operaes e comunicaes Controle de Acesso Desenvolvimento de Sistemas e Manuteno Gesto da continuidade do negcio Conformidade

BS7799:2 - Passos sugeridos

Define a Organizao da Segurana da Informao

1 Passo

Define Poltica de Segurana da Informao

2 Passo

Define o Escopo do ISMS

3 Passo Ameaas, Vulnerabilidades, Impactos 4 Passo Abordagem do Gerenciamento de Risco - Grau de confiana requerido 5 Passo Clausula 4 da BS7799-2:1999, Objetivos de controle e controles, Controles adicionais no contidos na BS7799.

Realiza a Avaliao de Risco

Gerencia o Risco Seleciona os objetivos de controle e os controles a serem implementados

Documentos e Registros do ISMS

6 Passo

Prepara a Declarao de Aplicabilidade

Gesto PDCA
Comit Executivo de Segurana da Informao Security Officer
Nvel Executivo Planejar Analisar Implementar Monitorar Percepo de mudanas no negcio

P
Nvel Ttico Planejar

Sistema de Gesto de Segurana da Informao

Percepo de mudanas nos indicadores dos sistema de gesto

Analisar

Implementar

Monitorar

Planejar

Planejar

Planejar

Planejar

Analisar Nvel Operacional Implementar

Analisar

Analisar

Analisar

Implementar

Implementar

Implementar Percepo de mudanas fsicas, tecnolgicas e humanas

Monitorar

Monitorar

Monitorar

Monitorar

Ala de realimentao do processo de segurana

Gesto PDCA
Avaliao de resultados Proposta de mudanas Proposta de aes Coordenador de Segurana Mobilizao dos gestores crticos Auditoria e monitoramento Anlise de mtricas - ndices e indicadores Controle Anlise de riscos Capacitar a funo Execuo para manuseio da mtrica Reportar ocorrncias de quebra de segurana funo Controle Feedback dos ndices e indicadores funo Controle Execuo Garantir o cumprimento da Poltica de Segurana Responder questes de auditoria Registrar ocorrncias de quebra de segurana Implementar aes Relatrios gerenciais de resultado Proposta de projetos Apoio consulivo ao coordenador Planejamento e Avaliao Palestras de conscentizao e treinamento

Empresas certificadas BS7799

Fonte: 19.02.03

Nmeros da segurana

8 PESQUISA NACIONAL DE SEGURANA DA INFORMAO

SETEMBRO 2002
Copyright Mdulo Security Solutions S.A. Todos os direitos reservados. Autorizamos a utilizao do contedo desta pesquisa, somente para fins de apresentao, desde que citada a sua fonte.

Migrao para a Internet

Web Site Consulta a Banco de Dados Entrada / recepo de dados Webmail Atendimento online Vendas online Internet Banking Certificao digital E-procurement Diagnstico remoto

70% 34% 33% 32% 30% 16% 12% 10% 8% 5%

Principais ameaas

Funcionrio insatisfeito Virus Acessos locais indevidos Vazamento de informaes Divulgao de senhas Hackers Uso de notebooks Falhas na segurana fsica Fraudes, erros e acidentes Acessos remotos indevidos

64% 55% 49% 48% 47% 36% 36% 33% 30% 29%

Prejuzos contabilizados

Acima de 1 milho 1%

De R$ 50.000 a R$ 1 milho 8%

No possvel quantificar 72%

At R$ 50 mil 19%

Principais responsveis

Hackers Funcionrios Prestadores de servio Ex-funcionrios Concorrentes 4% Outros 6% 12% 8% 24%

48%

Pontos de invaso

Outros 1%

No sabem informar 2%

Invaso fsica 6% Sistemas Internos 20%

Internet 55%

Acesso remoto 16%

Obstculos

Falta de conscincia dos executivos Falta de conscincia dos usurios Falta de oramento Falta de profissionais capacitados Falta de ferramenta no mercado Custo de implantao Falta de prioridade 2% 1% 1% 10% 23% 29%

33%

GAP da Segurana Corporativa

Perfil EXECUTIVO

PERCEPO

AES

GESTO (Processos) ESTRATGICAS (Planos) OPERACIONAIS (Projetos)

RISCOS

ativo FSICO

ativo TECNOL

ativo HUMANO

Perfil TCNICO

VISO INTEGRADA

CONFORMIDADE (Normas)

Livro
SMOLA, Marcos. Gesto da Segurana da Informao uma viso executiva. Ed.Campus, 2003 R$35,00

Proposta do livro
Conscientizar os diversos nveis hierrquicos Fundir as vises tcnica e de negcio Compartilhar uma viso integrada dos riscos Subsidiar um Plano Diretor de Segurana Orientar para um processo de gesto de riscos Otimizar os investimentos em segurana Criar sinergia com a norma ISO17799 Viabilizar a segurana como um elemento gerador de valor para as empresas, em prol da sua competitividade e sobrevivncia.

Viso integrada dos riscos da informao para a Viso Integrada gesto contnua da segurana

No existe segurana 100% Segurana risco tendendo a zero.