GSI035 AUDITORIA E SEGURANADA INFORMAO

Aulas 05, 06 e 07 Sistema de Gesto de Segurana

26/05/2013, 02/06/2014 e 09/06/2014
Prof. William Chaves de Souza Carvalho
UFU Universidade Federal de Uberlndia
FACOM Faculdade de Computao
Slides baseados no material do curso de Auditoria de
Segurana da Informao do prof. Andr Santos
Conceitos bsicos de SI
Probabilidade
Impacto
Risco
Incidente
Ativo de informao
Ameaa
Vulnerabilidade
Incidente
Ativo de Informao
A informao elemento essencial para todos os
processos de negcio da organizao, sendo,
portanto, um bem ou ativo de grande valor.
Dados Informao Conhecimento
Propriedades de segurana da informao
DISPONIBILIDADE
A segurana
informao
garantida pela
preservao de trs
aspectos essenciais:
confidencialidade,
integridade, e
disponibilidade (CID).
Confidencialidade
O princpio da
confidencialidade
respeitado quando
apenas as pessoas
explicitamente
autorizadas podem
ter acesso
informao.
Integridade
O princpio da
integridade
respeitado quando a
informao
acessada est
completa, sem
alteraes, portanto,
confivel.
Disponibilidade
O principio da
disponibilidade
respeitado quando a
informao est
acessvel, por
pessoas autorizadas,
sempre que
necessrio.
Vulnerabilidade
So as fraquezas presentes
nos ativos de Informao,
que podem causar,
intencionalmente ou no, a
quebra de um ou mais dos
trs princpios de segurana
da informao:
confidencialidade,
integridade, e disponibilidade.
Principais origens das Vulnerabilidades
Deficincia de projeto: brechas no hardware/software
Deficincia de implementao: instalao/configurao
incorreta, por inexperincia, falta de treinamento ou
desleixo
Deficincia de gerenciamento: procedimentos
inadequados, verificaes e monitoramento insuficientes
Exemplos de Vulnerabilidades
Ambiente e Infra-estrutura: Falta de segurana no prdio,
portas e janelas; falta de controle de acesso; energia instvel.
Hardware: Susceptibilidade a poeira, umidade, sujeira;
susceptibilidade a variaes de temperatura; manuteno
insuficiente; sensibilidade radiao eletromagntica.
Software: Especificao incorreta e/ou confusa para os
desenvolvedores; testes insuficientes; interface complicada;
senhas de acesso no protegidas; download e uso sem
controle; falta de documentao; falta de backup.
Exemplos de Vulnerabilidades (1)
Comunicaes:
Linhas desprotegidas;
Falta de identificao e autenticao do receptor e
transmissor;
Falta de comprovao de que uma mensagem foi enviada;
Transmisso de senhas de acesso de forma clara.
Documentos:
Estocagem desprotegida;
Processo de cpia sem controle.
Exemplos de Vulnerabilidades (2)
Funcionrios:
Trabalho de terceiros ou limpeza sem superviso;
Insuficiente treinamento de segurana;
Uso incorreto de hardwares e softwares;
Falta de mecanismos de monitoramento;
Falta de uma poltica de uso de ferramentas de
comunicao;
Procedimentos de seleo incorretos.
Ameaa
-

.
'

IL a
e
a

4--
. 4 1.
. a +
4.


I

-
.1 Ia.
a
a
* I
A ameaa um agente
externo ao ativo de
informao que aproveitando-
se das vulnerabilidades deste
ativo, poder quebrar a CID da
informao suportada ou
utilizada por este ativo.
Podem ter origem natural ou
humana, tais como: erros ou
omisso, fraudes ou roubo,
sabotagem, vrus, incndio,
acidentes naturais, entre
outros.
Probabilidade
A probabilidade a
chance de uma falha de
segurana ocorrer
levando-se em conta o
grau das
vulnerabilidades
presentes nos ativos que
sustentam o negcio e o
grau das ameaas que
possam explorar estas
vulnerabilidades.
Impacto
O impacto de um
incidente so as
potenciais
consequncias que
este incidente possa
causar ao negcio da
organizao.
Exemplo de Impacto
Alguns impactos resultantes da invaso da rede Playstation
Network da Sony:
Exposio de dados sigilosos de 77 milhes de usurios;
Servio indisponvel por trs semanas;
Segundo a Forbes, o prejuzo financeiro pode alcanar, no pior cenrio,
24 bilhes de dlares.
Risco
O risco a relao entre a probabilidade e o impacto. a
base para a identificao dos pontos que demandam por
investimentos em segurana da informao.
RISCO=IMPACTO*PROBABILIDADE
Ataques
Tipos de ataques
Passivo: Interceptao, monitoramento, anlise de trfego (origem,
destino, tamanho, freqncia)
Ativo: Adulterao, fraude, reproduo (imitao), bloqueio
Ataques sobre o fluxo de informao
Interrupo: ataca a disponibilidade
Interceptao: ataca a confidencialidade
Modificao: ataca a integridade
Fabricao: ataca a autenticidade
Exemplos de Ataques / Ameaas
Vrus
Verme (Worm)
Cavalo de Tria (Trojan Horse)
Malware
Back Door (Porta dos Fundos) ou Trap Door (Armadilha,
Alapo)
Bomba Lgica
Port Scanning (Varredura de Portas)
Spoofs (Falsificao ou Disfarce de identidade)
DNS Spoof
Quebra de Senha (Password Cracking)
Exemplos de Ataques / Ameaas
Engenharia Social
Sniffing (Monitoramento, Grampo)
Web Site Defacement
DoS - Denial of Service (Interrupo de Servio)
SPAM / Junk Mail
Mensagem-Bomba (Mail Bomb)
War Dialing
Injeo de SQL (SQL Injection)
Exploit
Tipos de ataques enfrentados
Incidente de Segurana da Informao
Quando uma ameaa
explora vulnerabilidades
de um ativo de
informao, violando
uma de suas
caractersticas de
segurana (CID), temos
o incidente de segurana
da informao. Este
incidente tem uma
chance de acontecer, e
se acontecer gera um
determinado impacto ou
prejuzo.
Implementandoum sistema de segurana
Conhecer os conceitos
sobre segurana da
informao no significa
necessariamente saber
garantir esta segurana.
Muitos tem experimentado
esta sensao quando
elaboram seus planos de
segurana e acabam no
atingindo os resultados
desejados.
Implementandoum sistema de segurana
Um gerente de segurana da
informao trabalha com fatos,
resultados de anlise e exames da
organizao em questo.
A partir destes resultados ele
estabelece um conjunto de aes
coordenadas no sentido de garantir a
segurana da informao; um
conjunto de aes, um conjunto de
mecanismos integrados entre si; o
que resulta num sistema de
segurana da informao.
Implementandoum sistema de segurana
A implantao de um
sistema de segurana da
Informao no uma
tarefa trivial.
O modelo proposto pelas
normas da famlia ISO
um caminho adequado
superar este desafio.
Este modelo baseado no
conceito de melhoria
continua (PDCA).
Planejamento (PLAN)
A primeira fase de planejamento (PLAN). Nesta fase
acontece: (1) a definio do escopo e abrangncia
esperada para o sistema de segurana da informao, (2)
realizao da anlise de risco e (3) planejamento para o
tratamento do risco.
Definiodo
Escopo
Anlise dos
Riscos
Planejamento
de tratamento
dos riscos
Planejamento - Escopo
Nem sempre fcil
implantar o sistema em
toda a organizao.
Por isso, definir
escopos
sucessivamente
maiores talvez seja o
caminho para se atingir
o objetivo final:
segurana da
informao em toda a
organizao.
Anlise/avaliao e tratamento de riscos
A anlise/avaliao de riscos de segurana da informao
deve ter um escopo claramente definido para ser eficaz e
incluir os relacionamentos com as anlises/avaliaes de
riscos em outras reas, se necessrio.
O escopo de uma anlise/avaliao de riscos pode tanto ser
em toda a organizao, partes da organizao, em um
sistema de informao especfico, em componentes de um
sistema especfico ou em servios onde isto seja praticvel,
realstico e til.
Exemplos de metodologias de anlise/avaliao de riscos so
discutidas no ISO/IEC TR 13335-3
Planejamento - Anlise de Riscos
Depois do escopo
definido, a hora de
pensar que controles
implementar.
Para otimizar esta
deciso imprescindvel
realizar a anlise de
risco. Ela apontar as
prioridades referentes ao
escopo.
A anlise deve ser feita
considerando as
seguintes dimenses:
processos, tecnolgica,
ambiental e pessoas.
Estgios da anlise de riscos
Identificao
dos bens e
seus valores
Avaliao
das ameaas
Avaliao
das
vulnerabilid
ades
Avaliao das
medidas de
segurana
existentes
Avaliao
dos riscos
A avaliao dos riscos
A avaliao dos riscos, uma combinao dos impactos
causados por incidentes e o nvel das ameaas e
vulnerabilidades levantadas.
Os riscos so em funo de:
valores dos bens;
as ameaas;
a facilidade de explorao das vulnerabilidades pelas ameaas;
as medidas de segurana, que podem reduzir as vulnerabilidades.
Planejamento - Anlise de Riscos
Planejamento - Anlise de Riscos
Os processos, tecnologias,
ambientes e pessoas so, de
fato, ativos de informao; ou
categorizaes destes ativos.
As pessoas ocupam uma
posio central entre estas
categorias, pois sua importncia
maior do que a das outras.
O que fazer com o risco?
Com o risco j identificado,
importante decidir o que
fazer com ele. possvel:
Evitar
Controlar
Transferir
Aceitar
Isto deve ficar claro na
declarao de
aplicabilidade.
Exemplo
Considerando que alguns segmentos de mercado esto
menos adaptados a evoluo tecnolgica que outros, cite
quatro riscos segurana das informaes de uma indstria
txtil e descreva como eles podem ser minimizados. Para
responder, considere as seguintes informaes adicionais
sobre esta indstria:
Esta empresa administrada por um Conselho Diretor formado
majoritariamente pelos membros da famlia que fundou a fbrica.
O sucesso da fbrica se deve ao fato do padro de tecelagem criado
pelos seus fundadores nunca ter sido revelado para os concorrentes.
Os antigos equipamentos esto sendo substitudos por mquinas
modernas que permitem ser programadas mediante a leitura do padro
de tecelagem gravado num pequeno disco.
Declarao de Aplicabilidade
Implementando o Sistema
Aps a etapa de planejamento, o prximo passo
executar o planejado. Isto envolve (1) planejar a
implementao, (2) executar, (3) controlar a
implementao e (4) encerrar a implementao.
Planejar a
Implementao
Executar
Encerrar a
implementao
Controlar a
implementao
Monitorando o sistema de segurana
O monitoramento ou
controle do sistema implica
em avaliar
sistematicamente se os
controles implementados
esto atendendo as
expectativas originais.
Para isso, os processos ao
lado precisam ser
executados com
regularidade.
Controles de segurana da informao
A implementao de um
sistema de segurana da
informao se d pela
instalao de controles
especficos nas mais
diversas reas da
organizao, sempre
pensando nas
dimenses de
processos, tecnologias,
ambientes e pessoas.
Controles de segurana da informao
Poltica (PSI)
Estrutura organizacional
Controle de acesso
Pessoas
Segurana fsica
Segurana lgica
Operao de sistemas
Desenvolvimento de
sistemas
Continuidade do negcio
Incidentes de segurana
Aspectos legais
POLTICA DE SEGURANA DA
INFORMAO
Poltica de segurana da informao
A poltica de
segurana da
informao (PSI)
deve estar
alinhada com os
objetivos de
negcio da
organizao.
Ela estruturada
em diretrizes,
normas e
procedimentos.
Controles de segurana da informao
A elaborao e a
implantao de uma
poltica de segurana
sem si mesmo um projeto a
ser gerido.
Os passos essenciais so
demonstrados na figura ao
lado.
O governo federal est
obrigado por decreto a
possuir e respeitar uma
politica de segurana,
conforme Decreto 3.505 de
13 de junho de 2000.
Controles de segurana da informao
A poltica possui
caractersticas,
ou fatores,
internos e
externos, que
precisam ser
respeitados por
ocasio de sua
elaborao e
implantao.
ESTRUTURA ORGANIZACIONAL
Escritrio de Segurana
Deve haver uma rea designada na organizao para cuidar
da segurana da informao em tempo integral. o escritrio de
segurana
Ele gerencia o sistema de segurana e faz a interlocuo entre
o frum de segurana e o comit gestor de segurana.
Frum de Segurana
O frum de segurana da informao quem decide, em ltima
anlise, sobre a implantao ou no dos controles de
segurana da informao. Este frum, em geral, a prpria
diretoria da organizao, ou uma comisso indicada por ela.
Comit Gestor
O comit gestor de
segurana da informao
uma estrutura matricial
formada por representantes
das reas mais relevantes
da organizao.
Este grupo ajuda a detectar
necessidades e a implantar
os controles.
A coordenao do grupo
geralmente feita pelo
Gerente de Segurana.
GESTO DE ATIVOS
Responsabilidade pelos ativos
O objetivo alcanar e manter
a proteo adequada dos
ativos da organizao.
Os ativos devem ser inventariados
e ter um proprietrio responsvel.
Os proprietrios dos ativos devem
ser identificados e a eles deve ser
atribuda a responsabilidade de
manuteno.
A implementao de controles
especficos pode ser delegada
pelo proprietrio porm ele
permanece responsvel pela sua
proteo.
Classificao da informao
As informaes possuem
valor e usos diferenciados,
e portanto, precisam de
graus diferenciados de
proteo.
Cada tipo de proteo
possui seu prprio custo, e
classificar a informao
um esforo para evitar o
desperdcio de
investimento ao se tentar
proteger toda a informao.
Classificao da informao
A informao deve ser classificada
em nvel corporativo, e no por
aplicao ou departamento. Os
principais benefcios so:
CID fortalecido pelos controles
implementados em toda a organizao;
O investimento em proteo otimizado;
A qualidade das decises aumentada,
j que as informaes so mais
confiveis;
A organizao controla melhor suas
informaes e pode fazer uma reanlise
peridica de seus processos e
informaes.
Classificao da Informao
Para comear, algumas perguntas:
Existe um patrocinador para o projeto
de classificao?
O qu voc est tentando proteger, e
do qu?
Existe algum requisito regulatrio a ser
considerado? Por exemplo, o Decreto
4.554/2003.
O negcio entende sua
responsabilidade sobre a informao?
Existem recursos disponveis para o
projeto?
Classificao da informao
A politica de segurana da
informao deve contemplar as
politicas de classificao. Alguns
critrios essenciais precisam ser
definidos nesta politica:
As definies para cada uma das
classificaes;
Os critrios de segurana para cada
classificao, tanto em termos de dados
quanto em termos de software;
As responsabilidades e obrigaes de
cada grupo de indivduos responsvel
pela implementao da classificao e
por seu uso.
Classificao da informao
A poltica precisa estabelecer as
seguintes regras:
A informao um bem e precisa ser
protegido;
Os gerentes so proprietrios da
informao;
A rea de TI custodianteda
informao;
Obrigaes e responsabilidades para
os proprietrios da informao;
Propor um conjunto mnimo de
controles que devem ser estabelecidos.
Processo de Gesto dos Ativos
Inventrio dos ativos
Proprietrio dos
ativos
Uso aceitvel dos
ativos
Responsabilidade
pelos ativos
Recomendaes
para classificao
Rtulos e tratamento
da informao
Classificao da
informao
GESTO DE PESSOAS
Gesto de Pessoas
As pessoas so o elemento
central de um sistema de
segurana da informao.
Os incidentes de segurana
da informao sempre
envolvem pessoas, quer no
lado das vulnerabilidades
exploradas, quer no lado das
ameaas que exploram estas
vulnerabilidades.
Pessoas so suscetveis a
ataques de engenharia social.
Gesto de Pessoas
A engenharia social o tipo
de ataque mais comum para
este tipo de ativo.
Engenharia social o
processo de mudar o
comportamento das pessoas
de modo que suas aes
sejam previsveis,
objetivando obter acesso a
informaes e sistemas no
autorizados.
Gesto de Pessoas
Um ataque de engenharia
social realizado em trs
fases:
1. Levantamento de informaes
2. Seleo do alvo
3. Execuo do ataque
Gesto de Pessoas
Devem ser criadas
polticos para aplicao
antes do contrato de
pessoal.
Papis e responsabilidades
Seleo
Termos e condies de
contratao
Gesto de Pessoas
Polticas para aplicao
durante contrato:
Responsabilidades da Direo
Conscientizao e
treinamento
Processo disciplinar.
Polticas para aplicao no
encerramento do contrato:
Encerramento de atividades;
Devoluo de ativos;
Retirada dos direitos de
acesso
Processo de Gesto de Pessoas
Papis e
responsabilidades
Seleo
Termos e condies de
contratao
Antes da
contratao
Responsabilidades da
direo
Conscientizao,
educao e treinamento
em segurana da
informao
Processo disciplinar
Durante a
contratao
Encerramento de
atividades
Devoluo de ativos
Retirada de direitos de
acesso
Encerramento ou
mudana da
contratao
SEGURANA FSICA E DO
AMBIENTE
Segurana Fsica
As polticas de segurana
fsica devem proteger os
ativos de informao que
sustentam os negcio da
organizao.
Atualmente a informao
est distribuda fisicamente
em equipamentos mveis
tais como laptops,
celulares, memory keys,
estaes de trabalho,
impressoras, telefones, etc.
Segurana Fsica
A segurana fsica precisa garantir a
segurana da informao para todos
estes ativos. Deve ser aplicada para
as seguintes categorias de ativos:
Sistemas estticos, que so instalaes
em estruturas fixadas no espao;
Sistemas mveis, que so aqueles
instalados em veculos ou mecanismos
mveis;
Sistemas portteis, que so aqueles que
podem ser operados em qualquer lugar.
Segurana Fsica
Diversas ameaas podem
explorar vulnerabilidades fsicas,
tais como:
Naturais: Enchentes, tempestades,
erupes vulcnicas, temperaturas
extremas, alta umidade.
Sistemas de apoio: Comunicao
interrompida, falta de energia,
estouro em tubulaes.
Humanas: Exploses, invases
fsicas, sabotagens, contaminao
qumica.
Eventos polticos: Ataque terrorista,
espionagem, greves.
Segurana Fsica
A segurana fsica
requer que a rea
seja protegida.
Uma forma simples
de enxergar a
segurana fsica
definindo o
permetro de
segurana, ou
camadas de acesso.
Segurana Fsica
As seguintes polticas de segurana
fsica devem ser consideradas:
Controle de entrada fsica;
Segurana em escritrios, salas e
instalaes;
Proteo contra ameaas externas e
naturais;
Proteo das reas crticas;
Acesso de pessoas externas;
Instalao e proteo dos equipamentos;
Equipamentos fora da organizao;
Estrutura de rede;
Manuteno dos equipamentos;
Reutilizao e alienao de equipamentos;
Remoo de propriedade.
Processo de Gesto de Ambiente
Permetro de segurana fsica
Controles de entrada fsica
Segurana em escritrios, salas e
instalaes
Proteo contra ameaas externas e do
meio ambiente
Trabalhando em reas seguras
Acesso do pblico, reas de entrega e
de carregamento
reas seguras
Instalao e proteo do equipamento
Utilidades
Segurana do cabeamento
Manuteno dos equipamentos
Segurana de equipamentos fora das
dependncias da organizao
Reutilizao e alienao segura de
equipamentos
Remoo de propriedade
Segurana de
equipamentos
GESTO DAS OPERAES DE
TI
Gesto das Operaes de TI
As operaes de TI envolvem
o controle sobre hardware,
mdias, gesto de privilgios,
rede, segurana, mtodos de
transmisso de informaes.
O objetivo garantir o CID
em todas estas operaes.
Polticas devem ser criadas
para este fim.
Gesto das Operaes de TI
As responsabilidades
operacionais devem ser
atribudas, e procedimentos
precisam ser escritos,
aprovados e publicados.
Os servios operacionais de
tecnologia da informao
prestados por terceiros
precisam ser regulados e
devidamente gerenciados.
Gesto das Operaes de TI
A necessidade de sistemas
precisa ser planejada de
acordo com as
necessidades
demonstradas nos
processos de negcio.
Estes sistemas devem
passar por avaliao e
homologao antes da
entrada definitiva em
operao.
Gesto das Operaes de TI
Uma poltica de cpia
de segurana (backup)
deve ser estabelecida.
As operaes de
backup precisam ser
gerenciadas.
A segurana das
operaes em rede
um importante fator a
ser considerado na
poltica de segurana
da informao.
Gesto das Operaes de TI
Uma poltica para manuseio
de mdias deve ser
elaborada.
Questes sobre manuseio de
mdias envolvem descarte,
tratamento da informao e
segurana dos documentos de
sistema.
Questes importantes sobre
troca de informaes envolvem
estabelecer procedimentos
para troca de informaes,
mdias em trnsito e
mensagens eletrnicas.
Gesto das Operaes de TI
Por fim, importante considerar o
monitoramento de todas as
operaes em TI.
Para tanto, devem existir registros
de auditoria, monitoramento do uso
dos sistemas, proteo das
informaes de registro (log).
O registro de log deve ter tanto de
operador quanto de administrador
Mecanismo de sincronizao dos
relgios das mquinas.
Processo de Gesto de Operaes
Documentao dos
procedimentos
Segregao de
funes
Separao dos
recursos por fase
Procedimentos e
responsabilidades
operacionais
Entrega de servios
Monitoramento e anlise
crtica de servios
terceirizados
Gerenciamento de
mudanas para servios
terceirizados
Gerenciamento de
servios terceirizados
Gesto de
capacidade
Aceitao de
sistemas
Planejamento e
aceitao dos
sistemas
Controles contra
cdigos maliciosos
Controles contra
cdigos mveis
Proteo contra
cdigos
CONTROLE DE ACESSO
LGICO
Controle de Acesso Lgico
preciso elaborar uma
politica de controle de
acesso, que apontar para
os requisitos de negcio e
para as regras de controle de
acesso.
Na idade mdia j existia o
conceito de controle de
acesso, quando uma senha
ou frase secreta era a chave
para entrar em um
determinado recinto.
Controle de Acesso Lgico
O conceito de controle de acesso
baseia-se em dois princpios:
Separao de responsabilidades;
Privilgios mnimos.
A separao de
responsabilidades implica na
diviso de um determinado
processo de modo que cada parte
possa ser realizada por pessoas
diferentes.
Isto obriga os colaboradores a
interagir para concluir um
determinado processo,
diminuindo as chances de
fraudes.
Controle de Acesso Lgico
O conceito de privilgio
mnimo implica na concesso
apenas dos privilgios
realmente necessrios para
que uma pessoa realize suas
atividades.
Isto evita o conhecimento de
outras possibilidades, que
eventualmente poderiam levar
a incidentes de segurana da
informao: need-to-know.
Controle de Acesso Lgico
A politica de controle de acesso
deve abranger os seguintes temas:
Definio dos requisitos de negcio para
controle de acesso;
Gerenciamento dos acessos pelos
usurios;
Definio das responsabilidades dos
usurios;
Controle de acesso a rede;
Controle de acesso ao sistema
operacional;
Controle de acesso aos sistemas de
informao;
Computao mvel e trabalho remoto.
DESENVOLVIMENTO E
AQUISIO DE SISTEMAS
Desenvolvimento e Aquisio de sistemas
A segurana dos dados e
informaes em sistemas um
dos mais importantes objetivos
de um sistema de segurana da
informao.
Os procedimentos de
desenvolvimento destes sistemas
so uma questo vital para a
segurana, para a manuteno
do CID e das informaes.
A poltica de desenvolvimento de
sistemas o mecanismos para
garantir estes resultados.
Desenvolvimento e Aquisio de sistemas
A aquisio de sistemas
possibilita o surgimento de
diversas vulnerabilidades.
A utilizao de cdigos abertos
disponibilizados por
comunidades um dos perigos
muitas vezes ignorados.
A poltica de sistemas precisa
garantir a diminuio destas
vulnerabilidades.
Desenvolvimento e Aquisio de sistemas
O desenvolvimento e
manuteno de sistemas
tambm contm diversas
vulnerabilidades.
Se no houver uma poltica
explicita que oriente este
desenvolvimento,
vulnerabilidades podero ser
introduzidas no levantamento de
requisitos, na construo do
projeto, e na implantao do
sistema.
Desenvolvimento e Aquisio de sistemas
A poltica de sistemas de
informao deve se preocupar com
os seguintes assuntos:
1. Definio dos requisitos de
segurana para sistemas.
2. Processamento correto nas
aplicaes.
3. Controles criptogrficos.
4. Segurana dos arquivos de sistema.
5. Segurana nos processos de
desenvolvimento e manuteno.
6. Gesto das vulnerabilidades
tcnicas.
GESTO DE INCIDENTES DE
SEGURANA
Gesto dos incidentes de segurana
Apesar de todos os
controles implementados,
eventualmente ocorrero
incidentes de segurana da
informao.
Estes incidentes podem ser
uma indicao de que
alguns dos controles no
esto sendo eficazes, e
este um bom motivo para
reavaliar os mesmos.
Gesto dos incidentes de segurana
A poltica de segurana da
informao deve se
preocupar com pelo menos
os seguintes assuntos
sobre gesto de incidentes:
1. Notificao e registro dos
incidentes;
2. Tratamento dos incidentes
e melhoria contnua.
PLANO DE CONTINUIDADE DE
NEGCIO
Plano de continuidade do negcio
O plano de continuidade de
negcio uma poltica que
estabelece as bases para que os
negcios da organizao no
sejam interrompidos por
incidentes de segurana da
informao.
Esta poltica deve garantir a
existncia de procedimentos de
preparao, teste e manuteno
de reas especficas para
proteger os processos crticos do
negcio.
Fases de elaborao do PCN
1. Iniciao
e gesto do
projeto
2. Anlise de
impacto para
o negcio
3.
Estratgias
de
recuperao
4.
Elaborao
dos planos
5. Teste,
manuteno
e
treinamento
Plano de Continuidade de Negcio
Fase 1: Iniciao e gesto
do projeto:
Nesta fase so estabelecidos
o gerente e a equipe do
projeto
O plano de gerenciamento do
projeto tambm
estabelecido.
As grandes metas de plano
de continuidade so
estabelecidas
Plano de Continuidade de Negcio
Fase 2: Anlise de impacto
para o negcio:
Nesta fase so identificados os
tempos crticos dos processos
essenciais da organizao.
Tambm so mapeados os
sistemas que do suporte aos
processos crticos.
So determinados os tempos
mximos de tolerncia de
parada para os processos
(downtime).
Plano de Continuidade de Negcio
Fase 3: Estratgias de
recuperao:
Nesta fase so identificadas e
selecionadas as alternativas
adequadas de recuperao para
cada tipo de incidente.
As estratgias so definidas
respeitando os tempos definidos
na etapa anterior (anlise de
impacto para o negcio).
Plano de Continuidade de Negcio
Fase 4: Elaborao dos
Planos:
Nesta fase so construdos
os documentos, os planos de
continuidade propriamente
ditos.
Estes documentos so
resultado da anlise de
impacto para o negcio, e
estratgias de recuperao.
Plano de Continuidade de Negcio
Fase 5: Teste, manuteno e
treinamento:
Nesta fase so estabelecidos
os processos para teste das
estratgias de recuperao,
manuteno do PCN.
So feitos treinamentos e
simulaes para garantir que os
envolvidos esto cientes de
suas responsabilidades e
devidamente treinados nas
estratgias de recuperao.
CONFORMIDADE COM
ASPECTOS LEGAIS
Conformidade com os aspectos legais
Todo o sistema de
segurana da informao e
seus respectivos controles,
deve estar em plena
harmonia e conformidade
com a legislao vigente e
com as eventuais
regulamentaes internas da
organizao, bem como
com as orientaes
normatizao e
regulamentao do
mercado.
Conformidade com os aspectos legais
A poltica de segurana
precisa garantir que:
a legislao vigente seja
respeitada
existam mecanismos para
determinar se um crime
envolvendo sistemas e
computadores foi cometido
os procedimentos
possibilitem a preservao e
coleta das evidncias
incriminatrias.
Conformidade corn os aspectos legais
Os principais incidentes que
podem ter implicaes legais:
1. Viroses e cdigos
maliciosos;
2. Erro humano;
3. Ataques terroristas;
4. Acesso no autorizado;
5. Desastres naturais;
6. Mau funcionamento de
hardware e software;
7. Servios indisponveis.
Conformidade com aspectos legais
Mas como os crimes podem
envolver computadores?
Crime apoiado por
computador. Fraudes,
pornografia infantil, etc.
Crime especifico de
computador. DOS, sniffers,
roubo de senhas, etc.
Crimes em que o
computador um mero
elemento. Lista de clientes
de traficantes, etc.
Conformidade com aspectos legais
A politica de segurana deve
prever procedimentos para
identificao e adequao de
suas normas legislao vigente.
Isto inclui os direitos de
propriedade intelectual, proteo
aos registros organizacionais, a
proteo dedados e privacidade
de informaes pessoais
Preveno de mau uso dos
recursos de processamento da
informao e a regulamentao
dos controles de criptografia.
Conformidade com aspectos legais
Conformidade entre as
polticas de segurana
da informao e tambm
a conformidade tcnica.
Isto significa que devem
ser consideradas as
politicas e normas de
segurana e a avaliao
tcnica destas normas.
Conformidade com aspectos legais
E finalmente as questes
referentes auditoria.
A poltica deve garantir que
existam controles de
auditoria, e proteo s
ferramentas de auditoria
Este controles so os
responsveis por garantir a
confiabilidade destas
ferramentas.
Questes?