26/05/2013, 02/06/2014 e 09/06/2014 Prof. William Chaves de Souza Carvalho UFU Universidade Federal de Uberlndia FACOM Faculdade de Computao Slides baseados no material do curso de Auditoria de Segurana da Informao do prof. Andr Santos Conceitos bsicos de SI Probabilidade Impacto Risco Incidente Ativo de informao Ameaa Vulnerabilidade Incidente Ativo de Informao A informao elemento essencial para todos os processos de negcio da organizao, sendo, portanto, um bem ou ativo de grande valor. Dados Informao Conhecimento Propriedades de segurana da informao DISPONIBILIDADE A segurana informao garantida pela preservao de trs aspectos essenciais: confidencialidade, integridade, e disponibilidade (CID). Confidencialidade O princpio da confidencialidade respeitado quando apenas as pessoas explicitamente autorizadas podem ter acesso informao. Integridade O princpio da integridade respeitado quando a informao acessada est completa, sem alteraes, portanto, confivel. Disponibilidade O principio da disponibilidade respeitado quando a informao est acessvel, por pessoas autorizadas, sempre que necessrio. Vulnerabilidade So as fraquezas presentes nos ativos de Informao, que podem causar, intencionalmente ou no, a quebra de um ou mais dos trs princpios de segurana da informao: confidencialidade, integridade, e disponibilidade. Principais origens das Vulnerabilidades Deficincia de projeto: brechas no hardware/software Deficincia de implementao: instalao/configurao incorreta, por inexperincia, falta de treinamento ou desleixo Deficincia de gerenciamento: procedimentos inadequados, verificaes e monitoramento insuficientes Exemplos de Vulnerabilidades Ambiente e Infra-estrutura: Falta de segurana no prdio, portas e janelas; falta de controle de acesso; energia instvel. Hardware: Susceptibilidade a poeira, umidade, sujeira; susceptibilidade a variaes de temperatura; manuteno insuficiente; sensibilidade radiao eletromagntica. Software: Especificao incorreta e/ou confusa para os desenvolvedores; testes insuficientes; interface complicada; senhas de acesso no protegidas; download e uso sem controle; falta de documentao; falta de backup. Exemplos de Vulnerabilidades (1) Comunicaes: Linhas desprotegidas; Falta de identificao e autenticao do receptor e transmissor; Falta de comprovao de que uma mensagem foi enviada; Transmisso de senhas de acesso de forma clara. Documentos: Estocagem desprotegida; Processo de cpia sem controle. Exemplos de Vulnerabilidades (2) Funcionrios: Trabalho de terceiros ou limpeza sem superviso; Insuficiente treinamento de segurana; Uso incorreto de hardwares e softwares; Falta de mecanismos de monitoramento; Falta de uma poltica de uso de ferramentas de comunicao; Procedimentos de seleo incorretos. Ameaa -
. '
IL a e a
4-- . 4 1. . a + 4.
I
- .1 Ia. a a * I A ameaa um agente externo ao ativo de informao que aproveitando- se das vulnerabilidades deste ativo, poder quebrar a CID da informao suportada ou utilizada por este ativo. Podem ter origem natural ou humana, tais como: erros ou omisso, fraudes ou roubo, sabotagem, vrus, incndio, acidentes naturais, entre outros. Probabilidade A probabilidade a chance de uma falha de segurana ocorrer levando-se em conta o grau das vulnerabilidades presentes nos ativos que sustentam o negcio e o grau das ameaas que possam explorar estas vulnerabilidades. Impacto O impacto de um incidente so as potenciais consequncias que este incidente possa causar ao negcio da organizao. Exemplo de Impacto Alguns impactos resultantes da invaso da rede Playstation Network da Sony: Exposio de dados sigilosos de 77 milhes de usurios; Servio indisponvel por trs semanas; Segundo a Forbes, o prejuzo financeiro pode alcanar, no pior cenrio, 24 bilhes de dlares. Risco O risco a relao entre a probabilidade e o impacto. a base para a identificao dos pontos que demandam por investimentos em segurana da informao. RISCO=IMPACTO*PROBABILIDADE Ataques Tipos de ataques Passivo: Interceptao, monitoramento, anlise de trfego (origem, destino, tamanho, freqncia) Ativo: Adulterao, fraude, reproduo (imitao), bloqueio Ataques sobre o fluxo de informao Interrupo: ataca a disponibilidade Interceptao: ataca a confidencialidade Modificao: ataca a integridade Fabricao: ataca a autenticidade Exemplos de Ataques / Ameaas Vrus Verme (Worm) Cavalo de Tria (Trojan Horse) Malware Back Door (Porta dos Fundos) ou Trap Door (Armadilha, Alapo) Bomba Lgica Port Scanning (Varredura de Portas) Spoofs (Falsificao ou Disfarce de identidade) DNS Spoof Quebra de Senha (Password Cracking) Exemplos de Ataques / Ameaas Engenharia Social Sniffing (Monitoramento, Grampo) Web Site Defacement DoS - Denial of Service (Interrupo de Servio) SPAM / Junk Mail Mensagem-Bomba (Mail Bomb) War Dialing Injeo de SQL (SQL Injection) Exploit Tipos de ataques enfrentados Incidente de Segurana da Informao Quando uma ameaa explora vulnerabilidades de um ativo de informao, violando uma de suas caractersticas de segurana (CID), temos o incidente de segurana da informao. Este incidente tem uma chance de acontecer, e se acontecer gera um determinado impacto ou prejuzo. Implementandoum sistema de segurana Conhecer os conceitos sobre segurana da informao no significa necessariamente saber garantir esta segurana. Muitos tem experimentado esta sensao quando elaboram seus planos de segurana e acabam no atingindo os resultados desejados. Implementandoum sistema de segurana Um gerente de segurana da informao trabalha com fatos, resultados de anlise e exames da organizao em questo. A partir destes resultados ele estabelece um conjunto de aes coordenadas no sentido de garantir a segurana da informao; um conjunto de aes, um conjunto de mecanismos integrados entre si; o que resulta num sistema de segurana da informao. Implementandoum sistema de segurana A implantao de um sistema de segurana da Informao no uma tarefa trivial. O modelo proposto pelas normas da famlia ISO um caminho adequado superar este desafio. Este modelo baseado no conceito de melhoria continua (PDCA). Planejamento (PLAN) A primeira fase de planejamento (PLAN). Nesta fase acontece: (1) a definio do escopo e abrangncia esperada para o sistema de segurana da informao, (2) realizao da anlise de risco e (3) planejamento para o tratamento do risco. Definiodo Escopo Anlise dos Riscos Planejamento de tratamento dos riscos Planejamento - Escopo Nem sempre fcil implantar o sistema em toda a organizao. Por isso, definir escopos sucessivamente maiores talvez seja o caminho para se atingir o objetivo final: segurana da informao em toda a organizao. Anlise/avaliao e tratamento de riscos A anlise/avaliao de riscos de segurana da informao deve ter um escopo claramente definido para ser eficaz e incluir os relacionamentos com as anlises/avaliaes de riscos em outras reas, se necessrio. O escopo de uma anlise/avaliao de riscos pode tanto ser em toda a organizao, partes da organizao, em um sistema de informao especfico, em componentes de um sistema especfico ou em servios onde isto seja praticvel, realstico e til. Exemplos de metodologias de anlise/avaliao de riscos so discutidas no ISO/IEC TR 13335-3 Planejamento - Anlise de Riscos Depois do escopo definido, a hora de pensar que controles implementar. Para otimizar esta deciso imprescindvel realizar a anlise de risco. Ela apontar as prioridades referentes ao escopo. A anlise deve ser feita considerando as seguintes dimenses: processos, tecnolgica, ambiental e pessoas. Estgios da anlise de riscos Identificao dos bens e seus valores Avaliao das ameaas Avaliao das vulnerabilid ades Avaliao das medidas de segurana existentes Avaliao dos riscos A avaliao dos riscos A avaliao dos riscos, uma combinao dos impactos causados por incidentes e o nvel das ameaas e vulnerabilidades levantadas. Os riscos so em funo de: valores dos bens; as ameaas; a facilidade de explorao das vulnerabilidades pelas ameaas; as medidas de segurana, que podem reduzir as vulnerabilidades. Planejamento - Anlise de Riscos Planejamento - Anlise de Riscos Os processos, tecnologias, ambientes e pessoas so, de fato, ativos de informao; ou categorizaes destes ativos. As pessoas ocupam uma posio central entre estas categorias, pois sua importncia maior do que a das outras. O que fazer com o risco? Com o risco j identificado, importante decidir o que fazer com ele. possvel: Evitar Controlar Transferir Aceitar Isto deve ficar claro na declarao de aplicabilidade. Exemplo Considerando que alguns segmentos de mercado esto menos adaptados a evoluo tecnolgica que outros, cite quatro riscos segurana das informaes de uma indstria txtil e descreva como eles podem ser minimizados. Para responder, considere as seguintes informaes adicionais sobre esta indstria: Esta empresa administrada por um Conselho Diretor formado majoritariamente pelos membros da famlia que fundou a fbrica. O sucesso da fbrica se deve ao fato do padro de tecelagem criado pelos seus fundadores nunca ter sido revelado para os concorrentes. Os antigos equipamentos esto sendo substitudos por mquinas modernas que permitem ser programadas mediante a leitura do padro de tecelagem gravado num pequeno disco. Declarao de Aplicabilidade Implementando o Sistema Aps a etapa de planejamento, o prximo passo executar o planejado. Isto envolve (1) planejar a implementao, (2) executar, (3) controlar a implementao e (4) encerrar a implementao. Planejar a Implementao Executar Encerrar a implementao Controlar a implementao Monitorando o sistema de segurana O monitoramento ou controle do sistema implica em avaliar sistematicamente se os controles implementados esto atendendo as expectativas originais. Para isso, os processos ao lado precisam ser executados com regularidade. Controles de segurana da informao A implementao de um sistema de segurana da informao se d pela instalao de controles especficos nas mais diversas reas da organizao, sempre pensando nas dimenses de processos, tecnologias, ambientes e pessoas. Controles de segurana da informao Poltica (PSI) Estrutura organizacional Controle de acesso Pessoas Segurana fsica Segurana lgica Operao de sistemas Desenvolvimento de sistemas Continuidade do negcio Incidentes de segurana Aspectos legais POLTICA DE SEGURANA DA INFORMAO Poltica de segurana da informao A poltica de segurana da informao (PSI) deve estar alinhada com os objetivos de negcio da organizao. Ela estruturada em diretrizes, normas e procedimentos. Controles de segurana da informao A elaborao e a implantao de uma poltica de segurana sem si mesmo um projeto a ser gerido. Os passos essenciais so demonstrados na figura ao lado. O governo federal est obrigado por decreto a possuir e respeitar uma politica de segurana, conforme Decreto 3.505 de 13 de junho de 2000. Controles de segurana da informao A poltica possui caractersticas, ou fatores, internos e externos, que precisam ser respeitados por ocasio de sua elaborao e implantao. ESTRUTURA ORGANIZACIONAL Escritrio de Segurana Deve haver uma rea designada na organizao para cuidar da segurana da informao em tempo integral. o escritrio de segurana Ele gerencia o sistema de segurana e faz a interlocuo entre o frum de segurana e o comit gestor de segurana. Frum de Segurana O frum de segurana da informao quem decide, em ltima anlise, sobre a implantao ou no dos controles de segurana da informao. Este frum, em geral, a prpria diretoria da organizao, ou uma comisso indicada por ela. Comit Gestor O comit gestor de segurana da informao uma estrutura matricial formada por representantes das reas mais relevantes da organizao. Este grupo ajuda a detectar necessidades e a implantar os controles. A coordenao do grupo geralmente feita pelo Gerente de Segurana. GESTO DE ATIVOS Responsabilidade pelos ativos O objetivo alcanar e manter a proteo adequada dos ativos da organizao. Os ativos devem ser inventariados e ter um proprietrio responsvel. Os proprietrios dos ativos devem ser identificados e a eles deve ser atribuda a responsabilidade de manuteno. A implementao de controles especficos pode ser delegada pelo proprietrio porm ele permanece responsvel pela sua proteo. Classificao da informao As informaes possuem valor e usos diferenciados, e portanto, precisam de graus diferenciados de proteo. Cada tipo de proteo possui seu prprio custo, e classificar a informao um esforo para evitar o desperdcio de investimento ao se tentar proteger toda a informao. Classificao da informao A informao deve ser classificada em nvel corporativo, e no por aplicao ou departamento. Os principais benefcios so: CID fortalecido pelos controles implementados em toda a organizao; O investimento em proteo otimizado; A qualidade das decises aumentada, j que as informaes so mais confiveis; A organizao controla melhor suas informaes e pode fazer uma reanlise peridica de seus processos e informaes. Classificao da Informao Para comear, algumas perguntas: Existe um patrocinador para o projeto de classificao? O qu voc est tentando proteger, e do qu? Existe algum requisito regulatrio a ser considerado? Por exemplo, o Decreto 4.554/2003. O negcio entende sua responsabilidade sobre a informao? Existem recursos disponveis para o projeto? Classificao da informao A politica de segurana da informao deve contemplar as politicas de classificao. Alguns critrios essenciais precisam ser definidos nesta politica: As definies para cada uma das classificaes; Os critrios de segurana para cada classificao, tanto em termos de dados quanto em termos de software; As responsabilidades e obrigaes de cada grupo de indivduos responsvel pela implementao da classificao e por seu uso. Classificao da informao A poltica precisa estabelecer as seguintes regras: A informao um bem e precisa ser protegido; Os gerentes so proprietrios da informao; A rea de TI custodianteda informao; Obrigaes e responsabilidades para os proprietrios da informao; Propor um conjunto mnimo de controles que devem ser estabelecidos. Processo de Gesto dos Ativos Inventrio dos ativos Proprietrio dos ativos Uso aceitvel dos ativos Responsabilidade pelos ativos Recomendaes para classificao Rtulos e tratamento da informao Classificao da informao GESTO DE PESSOAS Gesto de Pessoas As pessoas so o elemento central de um sistema de segurana da informao. Os incidentes de segurana da informao sempre envolvem pessoas, quer no lado das vulnerabilidades exploradas, quer no lado das ameaas que exploram estas vulnerabilidades. Pessoas so suscetveis a ataques de engenharia social. Gesto de Pessoas A engenharia social o tipo de ataque mais comum para este tipo de ativo. Engenharia social o processo de mudar o comportamento das pessoas de modo que suas aes sejam previsveis, objetivando obter acesso a informaes e sistemas no autorizados. Gesto de Pessoas Um ataque de engenharia social realizado em trs fases: 1. Levantamento de informaes 2. Seleo do alvo 3. Execuo do ataque Gesto de Pessoas Devem ser criadas polticos para aplicao antes do contrato de pessoal. Papis e responsabilidades Seleo Termos e condies de contratao Gesto de Pessoas Polticas para aplicao durante contrato: Responsabilidades da Direo Conscientizao e treinamento Processo disciplinar. Polticas para aplicao no encerramento do contrato: Encerramento de atividades; Devoluo de ativos; Retirada dos direitos de acesso Processo de Gesto de Pessoas Papis e responsabilidades Seleo Termos e condies de contratao Antes da contratao Responsabilidades da direo Conscientizao, educao e treinamento em segurana da informao Processo disciplinar Durante a contratao Encerramento de atividades Devoluo de ativos Retirada de direitos de acesso Encerramento ou mudana da contratao SEGURANA FSICA E DO AMBIENTE Segurana Fsica As polticas de segurana fsica devem proteger os ativos de informao que sustentam os negcio da organizao. Atualmente a informao est distribuda fisicamente em equipamentos mveis tais como laptops, celulares, memory keys, estaes de trabalho, impressoras, telefones, etc. Segurana Fsica A segurana fsica precisa garantir a segurana da informao para todos estes ativos. Deve ser aplicada para as seguintes categorias de ativos: Sistemas estticos, que so instalaes em estruturas fixadas no espao; Sistemas mveis, que so aqueles instalados em veculos ou mecanismos mveis; Sistemas portteis, que so aqueles que podem ser operados em qualquer lugar. Segurana Fsica Diversas ameaas podem explorar vulnerabilidades fsicas, tais como: Naturais: Enchentes, tempestades, erupes vulcnicas, temperaturas extremas, alta umidade. Sistemas de apoio: Comunicao interrompida, falta de energia, estouro em tubulaes. Humanas: Exploses, invases fsicas, sabotagens, contaminao qumica. Eventos polticos: Ataque terrorista, espionagem, greves. Segurana Fsica A segurana fsica requer que a rea seja protegida. Uma forma simples de enxergar a segurana fsica definindo o permetro de segurana, ou camadas de acesso. Segurana Fsica As seguintes polticas de segurana fsica devem ser consideradas: Controle de entrada fsica; Segurana em escritrios, salas e instalaes; Proteo contra ameaas externas e naturais; Proteo das reas crticas; Acesso de pessoas externas; Instalao e proteo dos equipamentos; Equipamentos fora da organizao; Estrutura de rede; Manuteno dos equipamentos; Reutilizao e alienao de equipamentos; Remoo de propriedade. Processo de Gesto de Ambiente Permetro de segurana fsica Controles de entrada fsica Segurana em escritrios, salas e instalaes Proteo contra ameaas externas e do meio ambiente Trabalhando em reas seguras Acesso do pblico, reas de entrega e de carregamento reas seguras Instalao e proteo do equipamento Utilidades Segurana do cabeamento Manuteno dos equipamentos Segurana de equipamentos fora das dependncias da organizao Reutilizao e alienao segura de equipamentos Remoo de propriedade Segurana de equipamentos GESTO DAS OPERAES DE TI Gesto das Operaes de TI As operaes de TI envolvem o controle sobre hardware, mdias, gesto de privilgios, rede, segurana, mtodos de transmisso de informaes. O objetivo garantir o CID em todas estas operaes. Polticas devem ser criadas para este fim. Gesto das Operaes de TI As responsabilidades operacionais devem ser atribudas, e procedimentos precisam ser escritos, aprovados e publicados. Os servios operacionais de tecnologia da informao prestados por terceiros precisam ser regulados e devidamente gerenciados. Gesto das Operaes de TI A necessidade de sistemas precisa ser planejada de acordo com as necessidades demonstradas nos processos de negcio. Estes sistemas devem passar por avaliao e homologao antes da entrada definitiva em operao. Gesto das Operaes de TI Uma poltica de cpia de segurana (backup) deve ser estabelecida. As operaes de backup precisam ser gerenciadas. A segurana das operaes em rede um importante fator a ser considerado na poltica de segurana da informao. Gesto das Operaes de TI Uma poltica para manuseio de mdias deve ser elaborada. Questes sobre manuseio de mdias envolvem descarte, tratamento da informao e segurana dos documentos de sistema. Questes importantes sobre troca de informaes envolvem estabelecer procedimentos para troca de informaes, mdias em trnsito e mensagens eletrnicas. Gesto das Operaes de TI Por fim, importante considerar o monitoramento de todas as operaes em TI. Para tanto, devem existir registros de auditoria, monitoramento do uso dos sistemas, proteo das informaes de registro (log). O registro de log deve ter tanto de operador quanto de administrador Mecanismo de sincronizao dos relgios das mquinas. Processo de Gesto de Operaes Documentao dos procedimentos Segregao de funes Separao dos recursos por fase Procedimentos e responsabilidades operacionais Entrega de servios Monitoramento e anlise crtica de servios terceirizados Gerenciamento de mudanas para servios terceirizados Gerenciamento de servios terceirizados Gesto de capacidade Aceitao de sistemas Planejamento e aceitao dos sistemas Controles contra cdigos maliciosos Controles contra cdigos mveis Proteo contra cdigos CONTROLE DE ACESSO LGICO Controle de Acesso Lgico preciso elaborar uma politica de controle de acesso, que apontar para os requisitos de negcio e para as regras de controle de acesso. Na idade mdia j existia o conceito de controle de acesso, quando uma senha ou frase secreta era a chave para entrar em um determinado recinto. Controle de Acesso Lgico O conceito de controle de acesso baseia-se em dois princpios: Separao de responsabilidades; Privilgios mnimos. A separao de responsabilidades implica na diviso de um determinado processo de modo que cada parte possa ser realizada por pessoas diferentes. Isto obriga os colaboradores a interagir para concluir um determinado processo, diminuindo as chances de fraudes. Controle de Acesso Lgico O conceito de privilgio mnimo implica na concesso apenas dos privilgios realmente necessrios para que uma pessoa realize suas atividades. Isto evita o conhecimento de outras possibilidades, que eventualmente poderiam levar a incidentes de segurana da informao: need-to-know. Controle de Acesso Lgico A politica de controle de acesso deve abranger os seguintes temas: Definio dos requisitos de negcio para controle de acesso; Gerenciamento dos acessos pelos usurios; Definio das responsabilidades dos usurios; Controle de acesso a rede; Controle de acesso ao sistema operacional; Controle de acesso aos sistemas de informao; Computao mvel e trabalho remoto. DESENVOLVIMENTO E AQUISIO DE SISTEMAS Desenvolvimento e Aquisio de sistemas A segurana dos dados e informaes em sistemas um dos mais importantes objetivos de um sistema de segurana da informao. Os procedimentos de desenvolvimento destes sistemas so uma questo vital para a segurana, para a manuteno do CID e das informaes. A poltica de desenvolvimento de sistemas o mecanismos para garantir estes resultados. Desenvolvimento e Aquisio de sistemas A aquisio de sistemas possibilita o surgimento de diversas vulnerabilidades. A utilizao de cdigos abertos disponibilizados por comunidades um dos perigos muitas vezes ignorados. A poltica de sistemas precisa garantir a diminuio destas vulnerabilidades. Desenvolvimento e Aquisio de sistemas O desenvolvimento e manuteno de sistemas tambm contm diversas vulnerabilidades. Se no houver uma poltica explicita que oriente este desenvolvimento, vulnerabilidades podero ser introduzidas no levantamento de requisitos, na construo do projeto, e na implantao do sistema. Desenvolvimento e Aquisio de sistemas A poltica de sistemas de informao deve se preocupar com os seguintes assuntos: 1. Definio dos requisitos de segurana para sistemas. 2. Processamento correto nas aplicaes. 3. Controles criptogrficos. 4. Segurana dos arquivos de sistema. 5. Segurana nos processos de desenvolvimento e manuteno. 6. Gesto das vulnerabilidades tcnicas. GESTO DE INCIDENTES DE SEGURANA Gesto dos incidentes de segurana Apesar de todos os controles implementados, eventualmente ocorrero incidentes de segurana da informao. Estes incidentes podem ser uma indicao de que alguns dos controles no esto sendo eficazes, e este um bom motivo para reavaliar os mesmos. Gesto dos incidentes de segurana A poltica de segurana da informao deve se preocupar com pelo menos os seguintes assuntos sobre gesto de incidentes: 1. Notificao e registro dos incidentes; 2. Tratamento dos incidentes e melhoria contnua. PLANO DE CONTINUIDADE DE NEGCIO Plano de continuidade do negcio O plano de continuidade de negcio uma poltica que estabelece as bases para que os negcios da organizao no sejam interrompidos por incidentes de segurana da informao. Esta poltica deve garantir a existncia de procedimentos de preparao, teste e manuteno de reas especficas para proteger os processos crticos do negcio. Fases de elaborao do PCN 1. Iniciao e gesto do projeto 2. Anlise de impacto para o negcio 3. Estratgias de recuperao 4. Elaborao dos planos 5. Teste, manuteno e treinamento Plano de Continuidade de Negcio Fase 1: Iniciao e gesto do projeto: Nesta fase so estabelecidos o gerente e a equipe do projeto O plano de gerenciamento do projeto tambm estabelecido. As grandes metas de plano de continuidade so estabelecidas Plano de Continuidade de Negcio Fase 2: Anlise de impacto para o negcio: Nesta fase so identificados os tempos crticos dos processos essenciais da organizao. Tambm so mapeados os sistemas que do suporte aos processos crticos. So determinados os tempos mximos de tolerncia de parada para os processos (downtime). Plano de Continuidade de Negcio Fase 3: Estratgias de recuperao: Nesta fase so identificadas e selecionadas as alternativas adequadas de recuperao para cada tipo de incidente. As estratgias so definidas respeitando os tempos definidos na etapa anterior (anlise de impacto para o negcio). Plano de Continuidade de Negcio Fase 4: Elaborao dos Planos: Nesta fase so construdos os documentos, os planos de continuidade propriamente ditos. Estes documentos so resultado da anlise de impacto para o negcio, e estratgias de recuperao. Plano de Continuidade de Negcio Fase 5: Teste, manuteno e treinamento: Nesta fase so estabelecidos os processos para teste das estratgias de recuperao, manuteno do PCN. So feitos treinamentos e simulaes para garantir que os envolvidos esto cientes de suas responsabilidades e devidamente treinados nas estratgias de recuperao. CONFORMIDADE COM ASPECTOS LEGAIS Conformidade com os aspectos legais Todo o sistema de segurana da informao e seus respectivos controles, deve estar em plena harmonia e conformidade com a legislao vigente e com as eventuais regulamentaes internas da organizao, bem como com as orientaes normatizao e regulamentao do mercado. Conformidade com os aspectos legais A poltica de segurana precisa garantir que: a legislao vigente seja respeitada existam mecanismos para determinar se um crime envolvendo sistemas e computadores foi cometido os procedimentos possibilitem a preservao e coleta das evidncias incriminatrias. Conformidade corn os aspectos legais Os principais incidentes que podem ter implicaes legais: 1. Viroses e cdigos maliciosos; 2. Erro humano; 3. Ataques terroristas; 4. Acesso no autorizado; 5. Desastres naturais; 6. Mau funcionamento de hardware e software; 7. Servios indisponveis. Conformidade com aspectos legais Mas como os crimes podem envolver computadores? Crime apoiado por computador. Fraudes, pornografia infantil, etc. Crime especifico de computador. DOS, sniffers, roubo de senhas, etc. Crimes em que o computador um mero elemento. Lista de clientes de traficantes, etc. Conformidade com aspectos legais A politica de segurana deve prever procedimentos para identificao e adequao de suas normas legislao vigente. Isto inclui os direitos de propriedade intelectual, proteo aos registros organizacionais, a proteo dedados e privacidade de informaes pessoais Preveno de mau uso dos recursos de processamento da informao e a regulamentao dos controles de criptografia. Conformidade com aspectos legais Conformidade entre as polticas de segurana da informao e tambm a conformidade tcnica. Isto significa que devem ser consideradas as politicas e normas de segurana e a avaliao tcnica destas normas. Conformidade com aspectos legais E finalmente as questes referentes auditoria. A poltica deve garantir que existam controles de auditoria, e proteo s ferramentas de auditoria Este controles so os responsveis por garantir a confiabilidade destas ferramentas. Questes?