EN-3611

Segurana de Redes
Aula 8
Polticas de Segurana da Informao
Prof. Joo Henrique Kleinschmidt

(slides cedidos pelo Prof. Carlos Kamienski - UFABC)

Santo Andr, dezembro de 2012

Poltica de SI
Poltica de
Segurana da Informao (SI)
a documentao das

decises de SI
NIST Security Handbook

Poltica de SI
Poltica de SI
ou
Polticas de SI ?

Tipos de polticas
1. Programa de Poltica (organizacional)
Diretrizes da diretoria para criar um programa de
segurana, estabelecer os seus objetivos e atribuir
responsabilidades

2. Polticas temticas (sobre algum assunto)

Questes especficas de interesse da organizao

Decises administrativas sobre
Poltica de privacidade de e-mail
Poltica de acesso Internet, etc

3. Polticas de sistemas

Regras de segurana especficas para proteger

sistemas (redes, mquinas, software) especficos

Implementao de Polticas
Padres
Uniformidade de uso de tecnologias, parmetros ou
procedimentos, para beneficiar a organizao
Ex: Uso de Windows XP (mesmo existindo Windows 7)

Diretrizes

Em alguns casos, a aplicao de padres no

possvel, conveniente ou acessvel (custos)
Ex: auxlio no desenvolvimento de procedimentos

Procedimentos

Passos detalhados para serem seguidos pelos

funcionrios
Ex: Cuidados na criao de contas de e-mail

NBR/ISO 27002
Poltica de Segurana
Clusula de controle (rea)
5. Poltica de segurana da informao
Sub-clusula: 5.1. Poltica de segurana da informao
Sub-sub-clusula: 5.1.1. Documento da Poltica de SI
Sub-sub-clusula: 5.1.2. Anlise crtica e avaliao

Objetivo de controle (da sub-clusula 5.1)

Prover direo uma orientao e apoio SI

Comentrios adicionais (da sub-clusula 5.1)

Convm que a direo estabelea uma poltica clara e
demonstre apoio e comprometimento com a SI
atravs da emisso e manuteno de uma poltica de
SI para toda a organizao

NBR/ISO 27002
Poltica de Segurana
Sub-sub-clusula 5.1.1

Documento da Poltica de SI
Convm que um documento da poltica seja aprovado
pela direo, publicado e comunicado, de forma
adequada para todos os funcionrios
Convm que este expresse as preocupaes da
direo e estabelea as linhas-mestras para a gesto
da segurana da informao
No mnimo, convm que as seguintes orientaes
sejam includas:

NBR/ISO 27002
Poltica de Segurana
1. Definio da SI, resumo das metas e escopo e a
importncia da segurana como um mecanismo que
habilita o compartilhamento da informao
2. Declarao do comprometimento da alta direo,
apoiando as metas e os princpios da SI
3. Breve explanao das polticas, princpios, padres e
requisitos de conformidade de importncia especfica
para a organizao
Conformidade com a legislao e clusulas contratuais
Requisitos na educao de segurana

Preveno e deteco de vrus e software maliciosos

Consequncias das violaes na poltica de SI

NBR/ISO 27002
Poltica de Segurana
4. Definio das responsabilidades gerais e especficas na
gesto da SI, incluindo os registros de incidentes de
segurana
5. Referncias documentao que possam apoiar a
poltica, por exemplo, polticas e procedimentos de
segurana mais detalhados de sistemas de informao
especficos ou regras que convm que os usurios sigam

6. Convm que esta poltica seja comunicada atravs de

toda a organizao para os usurios na forma que seja
relevante, acessvel e compreensvel para o leitor

NBR/ISO 27002
Poltica de Segurana
Sub-sub-clusula 5.1.2
Anlise crtica e avaliao
Convm que a poltica tenha um gestor que seja
responsvel por sua manuteno e anlise crtica, de
acordo com um processo definido
Convm que este processo garanta que a anlise
crtica ocorra como decorrncia de qualquer mudana
que venha a afetar a avaliao de risco original, como
Um incidente de segurana significativo
Novas vulnerabilidades
Mudanas organizacionais ou na infra-estrutura tcnica

Convm que sejam agendadas as seguintes anlises

crticas peridicas:

NBR/ISO 27002
Poltica de Segurana
1. Efetividade da poltica, demonstrada pelo tipo,
volume e impacto dos incidentes de segurana
registrados
2. Custo e impacto dos controles na eficincia do
negcio
3. Efeitos das mudanas na tecnologia

Poltica: componentes
Objetivo
Por que a poltica?

Escopo
Toda a organizao ou parte dela?

Responsabilidades
Quem so as pessoas? Estrutura formal?

Conformidade
Como fiscalizar?
O que acontece para quem no cumprir?
Intencional, no-intencional (falta de treinamento?)

Polticas temticas
Abrangem a organizao inteira e tratam de assuntos
especficos de interesse da organizao
Deve ser bancada por alguma gerncia snior
Quanto mais controverso o tema, mais importante deve ser a
pessoa que banca a poltica

O aparecimento de novas tecnologias e ameaas requer

novas polticas temticas
Exemplos
Planos de contingncia
Gerenciamento de riscos
Acesso Internet (s nos horrios rgidos de trabalho?)
Uso de e-mail ( permitido arquivo anexo?)
Uso de programas de mensagens instantneas
Uso de software no oficial

Polticas temticas:
componentes
Enunciado da poltica
Posio oficial da organizao sobre a poltica
Aplicabilidade
Onde, como, quando, quem?

Papis e responsabilidades

Conformidade
Pontos de contato

Informaes adicionais

Polticas de sistemas
Programa de poltica e polticas temticas tratam
questes abrangentes para toda a organizao
No dizem quais aes devem ser tomadas, como
devem ser feitas as configuraes, etc.
Polticas de sistemas tratam de problemas
especficos, para segurana de sistemas
especficos
Modelo de polticas de sistemas
Objetivos de segurana
Regras operacionais de segurana
Implementao da poltica

Polticas de sistemas
Objetivos de segurana
Requer anlise da necessidade de integridade,
confidencialidade e disponibilidade
Deve ser concreto e bem definido
Srie de declaraes que descrevem aes
significativas sobre recursos especficos
Devem ser baseados nos requisitos de misso ou
funo do sistema
Devem garantir que a poltica seja aplicvel

Restries devem ser consideradas

Operacionais, tcnicas, oramentrias, etc

Polticas de sistemas
Regras operacionais
Regras de operao devem ser definidas
Quem pode ter acesso fsico ao sistema?
Quem pode consultar, alterar, remover as informaes
mantidas pelo sistema?
Quem pode ligar/desligar equipamentos?

Nvel de formalidade
Polticas formais so mais facilmente seguidas

Grau de detalhamento
Alto: facilita a deteco de violao, mas pode inviabilizar a sua
implementao

Nem todos os sistemas precisam do mesmo grau de detalhes

Exemplos de sistemas com detalhamento alto
Controle de acesso, uso aceitvel, consequncias da violao

Polticas de sistemas
Implementao
A tecnologia desempenha um papel importante nas
polticas de sistemas, mas no nico
Questes no tecnolgicas no devem ser desprezadas
Ex: Documentos confidenciais somente podem ser impressos na
impressora XYZ
Como garantir que pessoas no autorizadas tenham acesso fsico
impressora? (ou seja, elas podem no ter acesso aos arquivos, mas
tambm devem ser mantidas longe do papel)

Exemplos

Proibir telefones de ligar para certos nmeros

Uso de IDS para auxlio da deteco de intruses

Configurar PCs para no dar boot por unidade externa (pendrive, CD/DVD, HD externo)
Proibir (ou limitar) o uso de modems nas mquinas

Polticas de Sistemas
Componentes
Objetivo
Escopo
Poltica
Pontos especficos que devem ser seguidos

Imposio e conformidade

Glossrio / definies
Histrico de revises

Exemplo: SANS Institute

Poltica para roteador
Objetivo
Este documento descreve uma configurao mnima
de segurana para todos os roteadores e switches
conectados na rede de produo da <organizao>

Escopo
Todos os roteadores e switches conectados na rede
de produo da <organizao> so afetados
Roteadores em laboratrios internos/seguros so
excludos

Roteadores dentro da DMZ devem seguir poltica

especfica

Exemplo: SANS Institute

Poltica para roteador (CISCO)
Poltica: padres de configurao
1. Contas locais no devem ser configuradas nos roteadores.
Roteadores devem usar TACACS+ (AAA) para todas as
autenticaes de usurios

2. A senha de enable deve ser criptografada

3. Deve ser desabilitado
Broadcast IP direcionado (sub-redes que o host no est)
Recepo de pacotes com endereos invlidos (ex: RFC1918)
Servios pequenos TCP e UDP (echo, chargen, daytime, discard)
Roteamento pela fonte (source routing)
Servios web rodando no roteador

4. No usar comunidade SNMP public (criar padres)

5. Regras de acesso devem ser definidas pela necessidade

6. ...

Exemplo: SANS Institute

Poltica para roteador (CISCO)
Imposio / Conformidade
Qualquer funcionrio que violar esta poltica e for
descoberto deve ser repreendido, incluindo, em casos
graves, a demisso

CISCO: senha de enable

Problema de segurana em roteadores CISCO: pessoal no se preocupa
em criptografar as senhas armazenadas nas configuraes do roteador
Logando em um roteador e digitado a senha de "enable", eu dou o
comando "show running-config" (mostra as configuraes)
line con 0
password gamkCiSC0rout3r
login
transport input none
stopbits 1
line vty 0 4
password telnetRtC1sco
login

Senha de telnet = telnetRtC1sco; senha da console = gamkCiSC0rout3r

Dicas

No usar "enable password MINHA_SENHA"

Prefirir sempre "enable secret MINHA_SENHA, que garante a criptografia
da senha de enable nas configuracoes do roteador
http://www.pczone.com.br/site/modules.php?name=News&file=article&sid=104

Exemplo: SANS Institute

Diretrizes para anti-vrus
Sempre usar o anti-vrus padro da organizao
NUNCA abrir arquivos ou macros anexados a um email de algum
desconhecido ou suspeito
Remover spam, correntes, etc, sem encaminhar

Nunca transferir arquivos de fontes desconhecidas ou suspeitas

Evitar compartilhamento de disco com permisso de
leitura/escrita a no ser que haja um requisito explcito do negcio
para fazer isso

Sempre escanear pen-drives de fontes desconhecidas (ou

conhecidas) antes de us-los
Fazer cpias de segurana das configuraes do sistema
regularmente e armazenar em local seguro

Se algum teste entrar em conflito com o anti-vrus, desabilitar

momentaneamente e depois retornar
Atualizar constantemente a base de dados do programa anti-vrus
corporativo

Poltica de Segurana de TI
Universidade da Califrnia
Introduo
Poltica
Papis e Responsabilidades
Gerentes administrativos
Provedores de servios (qualquer um que faa servio)
Usurios
Principais elementos de segurana
Segurana lgica
Segurana fsica
Privacidade e Confidencialidade

Conformidade com a Lei e com a Poltica

Recursos
Contatos
Recursos

Poltica de Segurana de TI
Universidade da Califrnia
http://socrates.berkeley.edu:2002/IT.sec.policy.html

Poltica de Segurana de TI
Universidade da Califrnia

Poltica de Segurana de TI
Universidade da Califrnia

Poltica de Segurana de TI
Universidade da Califrnia
Introduo
Para cumprir a sua misso de ensino, pesquisa e
servio pblico, o campus est comprometido com a
oferta de uma rede segura, mas aberta, que protege a
integridade e confidencialidade da informao ao
mesmo tempo que mantm a sua acessibilidade

Poltica de Segurana de TI
Universidade da Califrnia
Poltica
Cada membro da comunidade do campus responsvel
pela segurana e proteo dos recursos de
informao eletrnica sobre os quais tem controle
Recursos a serem protegidos incluem redes,
computadores, software e dados
A integridade fsica e lgica desses recursos deve ser
protegida contra ameaas como intruses no
autorizadas, uso malicioso ou transgresso
inadvertida
Atividades terceirizadas para entidades de fora do
campus devem ser compatveis com os mesmos
requisitos de segurana

Poltica de Segurana de TI
Universidade da Califrnia
Papis e Responsabilidades - Administradores
Identificar os recursos de informao eletrnica dentro das
sua reas de controle
Definir o propsito e funo dos recursos e assegurar que o
treinamento e documentao necessrios so oferecidos
conforme a necessidade
Estabelecer nveis aceitveis de riscos de segurana para os
recursos, avaliando fatores como
Sensibilidade dos dados (pesquisas, etc)
Nvel de criticidade para a operao das atividades do campus
...

Para sistemas que suportam a administrao de negcios,

assegurar a conformidade com as provises de Segurana da
Informao Eletrnica
Assegurar que medidas de segurana necessrias so
implementadas para os recursos

Poltica de Segurana de TI
Universidade da Califrnia
Conformidade com a Lei e a Poltica
Os departamentos, unidades e grupos do campus
deveriam estabelecer diretrizes, padres ou
procedimentos de segurana que refinam as provises
desta Poltica para atividades especficas dentro da
sua rea, in conformidade com esta Poltica e outras
polticas e leis aplicveis

Polticas que so aplicveis a todos os recursos do

segurana do campus incluem
Poltica de Comunicaes Eletrnicas
Poltica de Use de Computadores

Poltica de Segurana de TI
Universidade da Califrnia
Conformidade com a Lei e a Poltica
As seguintes atividades so proibidas por esta
Poltica
Interferir, alterar ou interromper a operao de recursos
Transmitir intencionalmente qualquer vrus, verme ou outro
software malicioso
Tentar acessar, acessar ou usar recursos sem autorizao
Conscientemente conceder nveis de acesso ou uso
inapropriado a outras pessoas
Transferir arquivos sensveis ou confidenciais para
computadores que no esto adequadamente configurados
para proteg-los de acesso no autorizado
Revelar qualquer informao eletrnica sem permisso

Poltica de Segurana de TI
Universidade da Califrnia
Conformidade com a Lei e a Poltica
Alm das sanes legais cabveis, os violadores desta
Poltica podem estar sujeitos a aes disciplinares
incluindo demisso ou expulso, de acordo com
Polticas do Campus de Berkeley
Acordos de negociao coletiva
Cdigos de conduta, ou
Outro instrumento que governa a relao indivicual com a
Universidade

Poltica de Segurana da UFABC

Resoluo ConsUni n 12 - 09/10/08
Aprova as Normas de Uso e Polticas Gerais de
Segurana da UFABC
http://www.ufabc.edu.br/index.php?option=com_content&view=articl
e&id=1085:resolucao-consuni-no12-091008&catid=226:consuniresolucoes&Itemid=21
O CONSELHO UNIVERSITRIO (ConsUni) da FUNDAO UNIVERSIDADE FEDERAL DO
ABC (UFABC), no uso de suas atribuies e considerando as deliberaes da IV sesso
ordinria, realizada no dia 23 de setembro de 2008,
RESOLVE:
Aprovar as Normas de Uso e Polticas Gerais de Segurana que estabelecem procedimentos
e recomendaes com o objetivo de preservar o patrimnio e a informao, no que se refere
aos setores computacionais, de comunicao e a reputao da UFABC.
Art. 1 - O normativo encontra-se anexo a essa Resoluo e no exaustivo em todas as
suas normas de uso, ficando sob responsabilidade do Ncleo de Tecnologia da Informao
(NTI) propor complementaes, sobre novas demandas, sendo que, qualquer alterao,
dever ser submetida aprovao deste Conselho.
Art. 2 - Esta resoluo entrar em vigor na data de sua publicao no Boletim de Servio
da UFABC.

Ferramentas de Polticas de SI
RUSecure (www.rusecure.co.uk)
Information Security Policies (demo)
Security Online Support (demo)

SANS
Projeto de Polticas de Segurana
www.sans.org/resources/policies

Callio (www.callio.com)
Callio Secura (demo)

RUSecure
Information Security Policies
Arquivo PDF com exemplos de polticas
Passos para utilizar as polticas
1. Navegar / olhar as polticas
2. Estudar as polticas
3. Revisar e alterar as polticas
4. Confirmar / ratificar as polticas
5. Publicar / disseminar as polticas
6. Implementar / cumprir as polticas

Relaciona as polticas com as normas

RUSecure
Secure Online Support
Um mtodo simples de publicar as polticas para
todos os funcionrios, atravs das PCs
Benefcios do SOS
Disponibilidade instantnea para qualquer funcionrio
que tenha que manipula informao
Orientao e conscientizao dos funcionrios para
todas as polticas
Trazer as polticas ao alcance fcil e cmodo do PC do
funcionrio (em vez de um documento em papel)

Ilustrada e com dicas

RUSecure
Secure Online Support
Exemplos interessantes:
Reporting Security Information Incidents
Assessing the BCP Security Risk
...