gerenciamento e interoperabilidade de...
TRANSCRIPT
EN3610
Gerenciamento e Interoperabilidade de Redes
Gestão de Segurança da Informação
Prof. João Henrique Kleinschmidt
Santo André, abril de 2011
Como a SI pode ser obtida?
Implementando CONTROLES, para garantir que os objetivos de segurança sejam alcançados
Políticas
Práticas
Procedimentos
Estruturas organizacionais
Funções de softwares
Fatores Críticos de Sucesso
Política de segurança, objetivos e atividades que reflitam os objetivos do negócio
Implementação da segurança consistente com
a cultura organizacional
Comprometimento e apoio da direção
Compreensão dos requisitos de segurança, avaliação de riscos e gerenciamento de riscos
Fatores Críticos de Sucesso
Divulgação (propaganda) sobre segurança para todos os gestores e funcionários
Distribuição das diretrizes sobre normas e política de segurança para todos os funcionários e fornecedores
Educação e treinamento para todos os envolvidos
Sistema de medição abrangente para avaliar o desempenho da gestão de SI e obtenção de sugestões de melhoria
Normas ISO/IEC
ISO/IEC 27001
Origem norma britânica BS-7799-2
Sistemas de Gestão de SI (ISMS – information security management system)
Objetivo da organização: certificação
ISO/IEC 27002
Conhecida anteriormente como ISO/IEC 17799
Origem na norma britânica BS-7799-1
Código de prática para a gestão da SI
Objetivo da organização: conformidade
Controle de
acesso
Gestão de ativos
Política de
segurança
Organizando a SI
Segurança
em RH
Segurança física
e ambiental
Gestão das operações e
comunicações
Desenvolvimentoe manutanção
de sistemas
Gestão deincidentes de SI
Conformidade
Informação
IntegridadeConfidencia-
lidade
Disponibili-
dade
Áreas (cláusulas de controle)
Gestão dacontinuidadedo negócio
Áreas (cláusulas de controle)
Organizacional
Operacional
Política de Segurança
Segurança Organizacional
Desenvolvimento eManutenção de Sistemas
Controle de Acesso
Conformidade
Segurança de RHSegurança Física
e Ambiental
Gestão das Operaçõese Comunicações
Gestão da Continuidadedo negócio
Aspecto
Organizacional
Técnico
Físico
Classificação eControle de Ativos
Seções da ISO 27002
Norma organizada em 11 seções
Cada seção cobre um tópico ou área diferente
objetivos específicos
1. Política de SegurançaDetermina expectativas para SI
Fornece direção/suporte ao gerenciamento
Base para revisões e avaliações regulares
2. Organizando a Segurança da InformaçãoInfraestrutura de SI
Coordenação da SI
Seções da ISO 27001
Seções da ISO 27001
3. Gestão de AtivosInventário dos ativos, normas de uso, etc
4. Segurança de RHEducação e informação dos funcionários atuais ou potenciais sobre a expectativa da empresa quanto a assuntos confidenciais e de segurança, e como sua função na segurança se enquadra na operação geral da empresa
Seções da ISO 27001
5. Segurança Física e do Ambiente
Trata de proteger áreas seguras, equipamentos de segurança e controles gerais
6. Gerenciamento de Operações e Comunicaçõesgarantir instalações para a operação correta e segura do processamento de informaçõesminimizar o risco de falhas dos sistemasproteger a integridade do software e/ou das informaçõesmanter a integridade e disponibilidade do processamento de informações e comunicaçõesgarantir a proteção das informações em redes e da infraestrutura de suporteevitar danos ao patrimônio e interrupções nas atividades da empresaprevenir perdas, modificações ou uso inadequado das informações trocadas entre empresas
Seções da ISO 27001
7. Controle de Acesso
Monitoração e controle do acesso a recursos da rede e de aplicativos, para proteger contra abusos internos e intrusões externas
8. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Recomenda implementar e manter recursos de TI visando segurança em mente, usando os controles de segurança em todas as etapas do processo
Seções da ISO 27001
9. Gestão de Incidentes de SI
Gestão e tratamento de incidentes
10. Gestão da Continuidade dos Negócios
Maneiras para neutralizar interrupções às atividades comerciais e proteger processos de negócio cruciais, no evento de uma falha ou desastre
Seções da ISO 27001
11. Compatibilidadeanálise da integração da implementação da norma com requisitos legais revisão da política de segurança e compatibilidade técnica
considerações sobre o sistema do processo de auditoria
Sistema de Gerenciamento de Segurança da Informação (ISMS)
Um ISMS tem o objetivo de instituir a política e objetivos de segurança de
informação da organização
E cumprir esses objetivos
...
Sistema de Gerenciamento de Segurança da Informação (ISMS)
O ISMS envolve pessoas, processos e sistemas de informação
Um ISMS provê uma abordagem sistemática para gerenciar
informações sensíveis e protegê-las
Sistema de Gerenciamento de Segurança da Informação (ISMS)
O ISMS faz parte do sistema de gerenciamento global de uma organização
Baseado em uma abordagem de riscos
Com o objetivo de
Estabelecer
Implementar, operar
Monitorar, revisar
Manter, melhorar
A segurança da informação
ISMS
A norma ISO 27001:2005 especifica o ISMS e oferece diretrizes para a sua aplicação
Proporciona controles de segurança para proteger os ativos e garantir confiança
Baseado no modelo Plan-Do-Check-Act (PDCA)
Plan: estabelecimento do ISMS
Do: implementação e operação do ISMS
Check: monitoração e revisão do ISMS
Act: manutenção e melhoria do ISMS
Seções do ISMS
Estabelecer e gerenciar o ISMS
PDCA
Requisitos de documentação
Responsabilidade da Gestão
Análise/revisão de gestão do ISMS
Aprimoramento do ISMS
Plan: Estabelecer
Definir o escopo do ISMS
Definir as políticas da organização
Definir abordagem sistemática de gestão de riscos
Identificar os riscos
Avaliar os risco
Identificar/avaliar opções de tratamento de riscos
Selecionar os objetivos de controle e controles
Preparar uma declaração de aplicação
Do: Implementar e operar
Formular um plano de tratamento de riscos
Implementar o plano de tratamento de riscos
Implementar os controles selecionados (plan)
Implementar programas de conscientização e treinamento
Gerenciar as operações
Gerenciar os recursos
Implementar procedimentos para detecção rápida e resposta a incidentes de segurança
Check:Monitorar e revisar
Executar procedimentos para
detectar erros, identificar brechas de segurança, descobrir se as tarefas de segurança estão sendo desempenhos de acordo com o planejado, etc.
Executar verificações periódicas da efetividade do ISMS, considerando as questões anteriores
Verificar o nível de risco residual e aceitável, levando em consideração mudanças
Executar auditorias internas periódicas do ISMS
Averiguar a efetividade do gerenciamento do ISMS
Registrar ações e eventos que podem ter impacto na efetividade e desempenho do ISMS
Act:Manter e aprimorar
Implementar e identificar melhorias no ISMS
Tomar medidas corretivas e preventivas
Corretivas: tomar ações para eliminar as causas das não conformidades de implementação e operação do ISMS
Preventivas: determinar possíveis não conformidades futuras para prevenir sua ocorrência
Comunicar resultados e ações e ter a concordância de todas as partes interessadas
Assegurar que os aprimoramentos atingem os seus objetivos
TerminologiaRisco
Possibilidade de sofrer perda ou dano; perigo
Ataqueacesso a dados ou uso de recursos sem autorizaçãoexecução de comandos como outro usuárioviolação de uma política de segurança, etc,
VulnerabilidadeÉ uma falha que pode permitir a condução de um ataque
IncidenteA ocorrência de um ataque; exploração de vulnerabilidades
AmeaçaQualquer evento que pode causar dano a um sistema ou redeA existência de uma vulnerabilidade implica em uma ameaça
Exploit codeUm código preparado para explorar uma vulnerabilidade conhecida
Gerenciamento de Riscos
Estruturas de SI nas organizações são criadas para gerenciador riscos
Gerenciar riscos é uma das responsabilidades dos gestores da organização
Todos os programas de gerenciamento de riscos são baseados em dois processos
Identificação e avaliação de riscos
Controle (minimização) de riscos
Ciclo de vidaGerenciamento de Riscos
Implementarações de
gerenciamentode riscos
Reavaliar
os riscos
Identificar
áreas
de risco
Avaliar
riscos
Desenvolverplano de
gerenciamentode riscos
Ciclo de
Gerenciamento
de RiscosAvaliação
de riscos
Controle
(minimização)
de riscos
Definições ISO 27001
Gerenciamento de riscosConjunto de atividades coordenadas para direcionar e controlar um organização com relação a riscos de SI
Análise de riscos
Uso sistemático da informação para identificar as fontes de riscos e para estimar o risco
Avaliação de riscos
Processo de comparar os riscos estimados com determinados critérios de riscos para determinar a significância dos riscos
Estimativa de riscosProcesso global de análise e avaliação de riscos
Tratamento de riscos
Processo de seleção e implementação de medidas para modificar o risco
Aceitação de riscosDecisão de aceitar um risco
Procedimentos básicos
Avaliação de Riscos – Quais são os riscos?
Minimização de Riscos – O que fazer para tratar os riscos?
Avaliação – Qual foi o resultado alcançado?
Estimativa de Riscos
Passo 1: Caracterização do sistema
Passo 2: Identificação das ameaças
Passo 3: Identificação de vulnerabilidades
Passo 4: Análise de controles
Passo 5: Determinação das possibilidades
Passo 6: Análise de impacto
Passo 7: Determinação dos riscos
Passo 8: Recomendações de controles
Passo 9: Documentação
Estimativa de RiscosPasso 1: Caracterização do sistema
O que há para gerenciar?
Como a TI está integrada no processo?
Passo 2: Identificação das ameaçasQuais fontes de ameaças devem ser consideradas?
(Interna/externa, acidental/intencional, maliciosa/não-maliciosa)
Passo 3: Identificação de vulnerabilidadesQuais falhas/fraquezas podem ser exploradas?
Passo 4: Análise de controlesQuais são os controles atuais e planejados?
Estimativa de Riscos
Passo 5: Determinação das possibilidades
Alta Fonte de ameaças altamente motivada e habilidosa e controles para prevenir exploração das vulnerabilidades são ineficazes
Média Fonte de ameaças motivada e habilidosa, mas existem controles que podem impedir a exploração das vulnerabilidades
Baixa Fonte de ameaças carente de motivação ou habilidade ou existem controles para prevenir a exploração das vulnerabilidades
Estimativa de Riscos
(1) perda de grandes ativos resultando em custo altíssimo; (2) violação, dano ou impedimento significativo da/na missão, reputação ou lucro; (3) morte ou ferimento humano
(1) perda de ativos caros; (2) violação, dano ou impedimento da/na missão, reputação ou lucros; (3) ferimento humano
(1) perda de algum ativo real; (2) influência visível na missão, reputação ou lucros
Alta
Média
Baixa
A exploração da vulnerabilidade pode resultar em:
Passo 6: Análise de Impacto
Estimativa de Riscos
Passo 7: Determinação dos riscos
Impacto Possibilidade
da ameaça Baixo
(10)
Médio
(50)
Alto
(100)
Alta (1.0) Baixo
10 X 1.0 = 10
Médio
50 X 1.0 = 50
Alto
100 X 1.0 = 100
Média (0.5) Baixo
10 X 0.5 = 5
Médio
50 X 0.5 = 25
Médio
100 X 0.5 = 50
Baixa (0.1) Baixo
10 X 0.1 = 1
Baixo
50 X 0.1 = 5
Baixo
100 X 0.1 = 10
Escala de Risco: Alto ( >50 a 100); Médio ( >10 a 50); Baixo (1 a 10)
Estimativa de Riscos
Passo 7: Determinação dos riscos
Nível do Risco
Descrição do Risco e Ações Necessárias
Alto
Se uma ameaça é avaliada como um risco alto, existe uma necessidade forte de medidas corretivas Um sistema existente pode continuar a operar, mas o plano de ação corretiva deve ser implantado o mais rápido possível
Médio
Se uma ameaça é avaliada como um risco médio, ações corretivas são necessárias e um plano deve ser desenvolvido para incorporar essas ações em um tempo razoável
Baixo
Se uma ameaça é avaliada como um risco baixo, a organização deve determinar se ações corretivas são necessárias ou decidir em aceitar o risco
Risk Assessment (Continued)
Passo 8: Recomendações de controles
Objetivo: encontrar os controles mais baratos para garantir operação a pleno vapor
Considerações:
Eficácia do controle
Legislação, regulamentação e política organizacional
Impacto operacional
Segurança física e confiabilidade
Os controles sempre devem ser adequados à organização
Minimização de Riscos
Opções de minimização
Adoção/aceitação do Risco
Aceitar o risco potencial
Anulação do Risco
Alteração da maneira como o sistema é utilizado
Remoção da vulnerabilidade ou possibilidade de exploração
Limitação do Risco
Estabelecimento de limites no sistema, para detectar e reagir rapidamente
Transferência do Risco
Para alguém que paga por ele (ex: seguro)
Estratégia para minimizaçãode riscos
Projeto Sistema
SIM
Nenhum
Risco
SIM
NÃO
Vulnerabilidade existe
Fonte Ameaça
SIM
Aceitar Risco
Risco Inaceitável Risco
Existe
SIM
&
Custo do
atacante > ganho?
Perda
Estimada >
Limiar?
Falha ou fraqueza?
Pode ser
explorada?
SIM
NÃO
Impacto na
missão?
NÃO
Nenhum
Risco
Nenhum
Risco
NÃO
NÃO
Aceitar Risco
NÃO
Minimização de RiscosImplementação de Controles
Técnico (Suporte, prevenção, detecção & recuperação)
Gerencial (treinamento, planos, procedimentos)
Operacional (físico, pessoal, backup, ...)
Controle novo ou melhor Risco Residual
Reduz número de falhas ou erros
Inclui controle direcionado
Reduz a magnitude do impacto