15/11/2004 Prof. Rossoni, Farias 1
Seguran
Seguran
ç
ç
a da Informa
a da Informa
ç
ç
ão
ão
Aula 09
Aula 09
A administra
A administra
ç
ç
ão de seguran
ão de seguran
ç
ç
a
a
””O acesso de cada funcionO acesso de cada funcionáário rio ààs informas informaçções estões estáá diretamente relacionado ao exerc
diretamente relacionado ao exercíício de suas funcio de suas funçções.ões.”” Falaremos sobre a administra
Falaremos sobre a administraçção de seguranão de segurançça, em que a, em que
explicaremos os diversos aspectos relacionados com a
explicaremos os diversos aspectos relacionados com a
estrutura de administra
estrutura de administraçção de seguranão de segurançça, diretrizes que a, diretrizes que devem ser seguidas, considera
devem ser seguidas, consideraçções acerca do ferramental ões acerca do ferramental
administrativo e t
administrativo e téécnico, sugestões de padrões e cnico, sugestões de padrões e controles.
controles.
Aula 09
15/11/2004 Prof. Rossoni, Farias 3
A administra
A administra
ç
ç
ão de seguran
ão de seguran
ç
ç
a
a
O passo seguinte na implantaO passo seguinte na implantaçção da estrutura de seguranão da estrutura de segurançça, logo apa, logo apóós a s a
defini
definiçção das diretrizes da polão das diretrizes da políítica de segurantica de segurançça, a, ééa definia definiçção da estrutura da ão da estrutura da administra
administraçção de seguranão de segurançça. Devem ser considerados aspectos como estrutura da a. Devem ser considerados aspectos como estrutura da
administra
administraçção de seguranão de segurançça, tipo de estrutura, sua localizaa, tipo de estrutura, sua localizaçção dentro da ão dentro da estrutura da organiza
estrutura da organizaçção, perfil exigido do profissional que exercerão, perfil exigido do profissional que exercerááa funa funçção de ão de administrador de seguran
administrador de segurançça, diretrizes da segurana, diretrizes da segurançça, ferramental administrativo e a, ferramental administrativo e t
téécnico a ser utilizado, equipe de projeto incumbida a implementarcnico a ser utilizado, equipe de projeto incumbida a implementara segurana segurançça, a, grau de padroniza
grau de padronizaçção exigido, etc.ão exigido, etc.
Ainda que a estrutura da administra
Ainda que a estrutura da administraçção de seguranão de segurançça se volte mais para a a se volte mais para a seguran
segurançça de acesso la de acesso lóógico, essa gico, essa áárea tambrea tambéém deverm deverááser a responsser a responsáável, ao vel, ao
menos em n
menos em níível normativo, pela seguranvel normativo, pela segurançça fa fíísica dos ambientes de informasica dos ambientes de informaçções.ões.
A estrutura da administra
A estrutura da administra
ç
ç
ão de seguran
ão de seguran
ç
ç
a
a
Uma das primeiras coisas a ser consideradas ap
Uma das primeiras coisas a ser consideradas apóós a definis a definiçção das diretrizes ão das diretrizes ééa a estrutura da administra
estrutura da administraçção de seguranão de segurançça. Deve ser montada uma estrutura que, a. Deve ser montada uma estrutura que,
ao final da implanta
ao final da implantaçção do projeto de seguranão do projeto de segurançça, assumira, assumirááas tarefas normais de as tarefas normais de administra
administraçção de seguranão de segurançça do ambiente de informaa do ambiente de informaçções, tanto no aspecto fões, tanto no aspecto fíísico sico
como no aspecto l
como no aspecto lóógico, definindo claramente o seu domgico, definindo claramente o seu domíínio de atuanio de atuaçção, a ão, a
autoridade e as regras sobre as quais se basearão sua atividades
autoridade e as regras sobre as quais se basearão sua atividades.. Ainda que esse tipo de estrutura se aplique a qualquer organiza
Ainda que esse tipo de estrutura se aplique a qualquer organizaçção, ela estão, ela estáámais mais relacionada com ambientes de informa
relacionada com ambientes de informaçções baseados em facilidades de ões baseados em facilidades de inform
informáática. tica.
Aula 09
15/11/2004 Prof. Rossoni, Farias 5
Tipo de estrutura
Tipo de estrutura
Tipo de estrutura de administra
Tipo de estrutura de administraçção de seguranão de segurançça:a: •
•centralizada centralizada
•
•descentralizadadescentralizada..
Somente uma an
Somente uma anáálise cuidadosa de cada ambiente de informlise cuidadosa de cada ambiente de informáática pode tica pode determinar o melhor tipo a ser aplicado.
determinar o melhor tipo a ser aplicado.
A seguir, alguns pontos que devem ser considerados no processo d
A seguir, alguns pontos que devem ser considerados no processo de e
tomada de decisão:
tomada de decisão:
Tipo de estrutura
Tipo de estrutura
(continua(continuaçção):ão): SeguranSegurançça centralizadaa centralizada: proporciona controle mais eficiente com rela: proporciona controle mais eficiente com relaçção a ão a mudan
mudançças na seguranas na segurançça e possivelmente nos esfora e possivelmente nos esforçços para se impor na os para se impor na seguran
segurançça. Mas o esfora. Mas o esforçço de manuteno de manutençção da seguranão da segurançça neste na neste níível pode requerer vel pode requerer o gerenciamento de uma equipe consider
o gerenciamento de uma equipe consideráável.vel.
Aula 09
Aula 09
Menor grau de flexibilidade
Desconhecimento de condições locais Custo maior concentrado em uma única área Tempo de resposta mais lento
Maior simplificação organizacional e de procedimentos
Especialistas de segurança dedicados Menor dispersão de esforços Menor sobreposição de estruturas de segurança
Maior rapidez de manutenção
Desvantagens Desvantagens Vantagens
15/11/2004 Prof. Rossoni, Farias 7
Tipo de estrutura
Tipo de estrutura
(continua(continuaçção):ão): SeguranSegurançça descentralizadaa descentralizada: distribui o esfor: distribui o esforçço de manuteno de manutençção da seguranão da segurançça, a, de maneira que a fun
de maneira que a funçção não se torne um ônus para uma ão não se torne um ônus para uma úúnica nica áárea. Alrea. Aléém disso, m disso, a manuten
a manutençção poderão poderááser subordinada a uma ser subordinada a uma áárea que pode ter um rea que pode ter um conhecimento maior e mais adequado dos recursos a ser protegidos
conhecimento maior e mais adequado dos recursos a ser protegidos. Esfor. Esforçço o
adicional na
adicional na áárea central para controlar as atividades dos administradores rea central para controlar as atividades dos administradores descentralizados.
descentralizados.
Aumento da burocracia
Maior sobreposição de estruturas de segurança Menor conhecimento de segurança
Maior suscetibilidade a pressões locais
Maiores dificuldades de controle por parte da auditoria ou outro órgão de controle
Maior flexibilidade
Manutenção local mais rápida
Maior familiaridade com exigências locais Responsabilização e relacionamento distribuídos Desvantagens Desvantagens Vantagens Vantagens
Tipo de estrutura
Tipo de estrutura
(continua(continuaçção):ão):Para se tomar uma decisão a respeito de quem deve cuidar da admi
Para se tomar uma decisão a respeito de quem deve cuidar da administranistraçção ão de seguran
de segurançça, devea, deve--se levar em considerase levar em consideraçção o tamanho de cada organizaão o tamanho de cada organizaçção, ão,
de suas instala
de suas instalaçções de processamento de informaões de processamento de informaçções e das atividades de ões e das atividades de manuten
manutençção necessão necessáária. Isso dependerria. Isso dependeráá::
•
•Do nDo núúmero de entidades hiermero de entidades hieráárquicas e ferramentas envolvidas.rquicas e ferramentas envolvidas.
•
•Do nDo núúmero de usumero de usuáários definidos, bem como dos requisitos de rios definidos, bem como dos requisitos de
movimenta
movimentaçção de empregados.ão de empregados. •
•Da quantidade de recursos a ser protegidos.Da quantidade de recursos a ser protegidos. •
•Da existência de padrões.Da existência de padrões. •
•Dos diferentes tipos de recursos a ser protegidos e da extensãoDos diferentes tipos de recursos a ser protegidos e da extensãoda da seguran
segurançça requerida para cada um. Lembrea requerida para cada um. Lembre--se a Internet pode exigir uma se a Internet pode exigir uma
estrutura exclusiva de controle.
estrutura exclusiva de controle.
Aula 09
15/11/2004 Prof. Rossoni, Farias 9
•Do nDo núúmero de entidades a ser protegidas, o que pode implicar um mero de entidades a ser protegidas, o que pode implicar um
trabalho de manuten
trabalho de manutençção muito grande.ão muito grande. •
•Das atividades de desenvolvimento de aplicaDas atividades de desenvolvimento de aplicaçções. Se a atividade de ões. Se a atividade de
desenvolvimento for consider
desenvolvimento for consideráável, como vel, como ééo caso da maioria das o caso da maioria das instala
instalaçções, a revisão da seguranões, a revisão da segurançça e as atividades de manutena e as atividades de manutençção ão tamb
tambéém serão considerm serão considerááveis.veis. •
•Dos requisitos de auditoria e da freqDos requisitos de auditoria e da freqüüência de alteraência de alteraçções dos ões dos mesmos.
mesmos.
•
•Do nDo núúmero de recursos definidos para usumero de recursos definidos para usuáários e das atividades rios e das atividades previstas para os mesmos.
previstas para os mesmos.
Muitas organiza
Muitas organizaçções comeões começçam com a administraam com a administraçção centralizada e, ão centralizada e, posteriormente, descentralizam a fun
posteriormente, descentralizam a funçção assim que os requisitos de ão assim que os requisitos de
manuten
manutençção tornem isso prão tornem isso práático. tico.
Localiza
Localiza
ç
ç
ão da Seguran
ão da Seguran
ç
ç
a
a
::É
Émelhor que o administrador de seguranmelhor que o administrador de seguranççaaesteja envolvido desde o inesteja envolvido desde o iníício cio
da implanta
da implantaçção da estrutura de seguranão da estrutura de segurançça, pelo menos em na, pelo menos em níível central. vel central.
Dessa forma, o administrador ser
Dessa forma, o administrador seráámais capaz de gerenciar a tarefa dimais capaz de gerenciar a tarefa diáária.ria. A fun
A funçção de administraão de administraçção de seguranão de segurançça deve residir em algum lugar a deve residir em algum lugar
dentro da organiza
dentro da organizaçção. Entretanto, o melhor lugar ão. Entretanto, o melhor lugar ééonde a onde a áárea de rea de administra
administraçção de seguranão de segurançça se relacione mais diretamente com a alta a se relacione mais diretamente com a alta administra
administraçção, em um dado ambiente de informaão, em um dado ambiente de informaçções. Isso ões. Isso éénecessnecessáário rio
para que a
para que a áárea se torne menos suscetrea se torne menos suscetíível a pressões e vel a pressões e comprometimentos resultantes de lealdades para com a
comprometimentos resultantes de lealdades para com a áárea funcional rea funcional àà qual a administra
qual a administraçção de seguranão de segurançça pertena pertençça.a. O custo de uma estrutura de seguran
O custo de uma estrutura de segurançça pode ser muito alto para muitas a pode ser muito alto para muitas organiza
organizaçções. Nesse caso, a administraões. Nesse caso, a administraçção de seguranão de segurançça, pelo menos, a, pelo menos,
deve residir em uma
deve residir em uma áárea onde tenha o poder de impor a seguranrea onde tenha o poder de impor a segurançça. a.
Aula 09
15/11/2004 Prof. Rossoni, Farias 11
Perfil do profissional de seguran
Perfil do profissional de seguran
ç
ç
a
a
:: O trabalho de um administrador de seguranO trabalho de um administrador de segurançça a éé, sem d, sem dúúvidas, difvidas, difíícil. cil. ÉÉ uma posi
uma posiçção de alta responsabilidade, que requer seguranão de alta responsabilidade, que requer segurançça e a e determina
determinaçção. Entre as diversas caracterão. Entre as diversas caracteríísticas que um administrador de sticas que um administrador de
seguran
segurançça em potencial deve possuir, incluema em potencial deve possuir, incluem--se:se: •
•Conhecimento dos recursos dos ambientes de informaConhecimento dos recursos dos ambientes de informaçções e dos ões e dos
requisitos de seguran
requisitos de segurançça adequados aos mesmos.a adequados aos mesmos. •
•Alto grau de responsabilidade.Alto grau de responsabilidade.
•
•Boa experiência analBoa experiência analíítica e organizacional.tica e organizacional.
•
•Sensibilidade para a polSensibilidade para a políítica do ambiente de informatica do ambiente de informaçções.ões.
•
•Facilidade nos relacionamentos pessoais. (A maior parte do trabFacilidade nos relacionamentos pessoais. (A maior parte do trabalho alho
envolve convencimento de pessoas)
envolve convencimento de pessoas)
•
•Estabilidade emocional.Estabilidade emocional.
Diretrizes da seguran
Diretrizes da seguran
ç
ç
a
a
::O ideal
O ideal ééque, as diretrizes de seguranque, as diretrizes de segurançça, estejam definidas na pola, estejam definidas na políítica tica
global de seguran
global de segurançça da empresa, como parte das atribuia da empresa, como parte das atribuiçções e ões e responsabilidades que se espera que todos os sigam; as diretrize
responsabilidades que se espera que todos os sigam; as diretrizes de s de seguran
segurançça mais especa mais especííficas devem constar de normas ficas devem constar de normas ààparte da polparte da políítica e tica e
devem basear
devem basear--se nas diretrizes gerais da polse nas diretrizes gerais da políítica.tica.
Por diretrizes entende
Por diretrizes entende--se regrais gerais que orientarão a elaborase regrais gerais que orientarão a elaboraçção de ão de normas e procedimentos subordinados
normas e procedimentos subordinados ààpolpolíítica de segurantica de segurançça. Em a. Em
princ
princíípio, as diretrizes de seguranpio, as diretrizes de segurançça devem contemplar os seguintes a devem contemplar os seguintes aspectos:
aspectos:
•
•ProcedimentosProcedimentos--padrão de seguranpadrão de segurançça que serão usados dentro do a que serão usados dentro do ambiente da empresa.
ambiente da empresa.
•
•DocumentaDocumentaçção dos controles de seguranão dos controles de segurançça dispona disponííveis para cada veis para cada
tipo de recurso e sua comunica
tipo de recurso e sua comunicaçção a todos envolvidos.ão a todos envolvidos.
Aula 09
15/11/2004 Prof. Rossoni, Farias 13
•
•Estimativa dos riscos e comprometimento dentro do ambiente da Estimativa dos riscos e comprometimento dentro do ambiente da
empresa.
empresa.
•
•Registro e relato das violaRegistro e relato das violaçções para as pessoas indicadas.ões para as pessoas indicadas.
•
•Acompanhamento do desenvolvimento de requisitos de seguranAcompanhamento do desenvolvimento de requisitos de segurançça a
para todos os projetos de usu
para todos os projetos de usuáários.rios. •
•EducaEducaçção de todos os usuão de todos os usuáários com relarios com relaçção ão ààpolpolíítica de segurantica de segurançça a
da empresa.
da empresa.
•
•Se for o caso, apoio Se for o caso, apoio ààs administras administraçções descentralizadas e seu ões descentralizadas e seu controle.
controle.
•
•ResponsabilizaResponsabilizaçção dos envolvidos com a funão dos envolvidos com a funçção de seguranão de segurançça desde a desde o administrador central at
o administrador central atééo usuo usuáário final; deve ser dada ênfase rio final; deve ser dada ênfase especial ao papel das
especial ao papel das ááreas de informreas de informáática em relatica em relaçção ão ààseguransegurançça, ja, jáá que
que ééaaííque se concentram as vulnerabilidades.que se concentram as vulnerabilidades.
Ferramental administrativo e t
Ferramental administrativo e t
é
é
cnico:
cnico:
Grande parte dos procedimentos administrativos
Grande parte dos procedimentos administrativos éédependente da dependente da defini
definiçção de outros aspectos da seguranão de outros aspectos da segurançça, como as diretrizes globais e a, como as diretrizes globais e espec
especííficas da seguranficas da segurançça, a estrutura e tipo de estrutura adotados, a, a estrutura e tipo de estrutura adotados, tamanho de equipe, o produto de seguran
tamanho de equipe, o produto de segurançça adotado. O ferramental a adotado. O ferramental administrativo
administrativo ééaltamente dependente da cultura de cada organizaaltamente dependente da cultura de cada organizaçção em ão em
particular. J
particular. Jááo ferramental to ferramental téécnico cnico éédependente do produto de segurandependente do produto de segurançça a adotado.
adotado.
Aula 09
15/11/2004 Prof. Rossoni, Farias 15
Padroniza
Padroniza
ç
ç
ão:
ão:
Padroniza
Padronizaçção de nomenclatura ão de nomenclatura ééo tipo de atividade que todos acham o tipo de atividade que todos acham
necess
necessáária mas que, freqria mas que, freqüüentemente, vai sendo adiada indefinidamente. entemente, vai sendo adiada indefinidamente. Se a organiza
Se a organizaçção conseguiu desenvolver e impor padrões vão conseguiu desenvolver e impor padrões váálidos em nlidos em níível vel global antes da implanta
global antes da implantaçção da seguranão da segurançça, esta sera, esta seráámuito mais fmuito mais fáácil, visto cil, visto que os produtos de seguran
que os produtos de segurançça são baseados, em grande parte, no a são baseados, em grande parte, no
agrupamento de fun
agrupamento de funçções de seguranões de segurançça proporcionado pela padronizaa proporcionado pela padronizaçção.ão.
Exemplo de padroniza
Exemplo de padronizaçção para nomes de programas:ão para nomes de programas: UUAANNVV
UUAANNVV
onde:
onde: UU UU ––unidade de negunidade de negóócio, dentro da corporacio, dentro da corporaççãoão AA
AA ––nnúúmero seqmero seqüüencial dentro da aplicaencial dentro da aplicaççãoão NN
NN ––sigla da aplicasigla da aplicaçção, dentro da unidade de negão, dentro da unidade de negóóciocio VV
VV ––unidade de negunidade de negóócio, dentro da corporacio, dentro da corporaçção ão
Padroniza
Padroniza
ç
ç
ão
ão
(continua(continuaçção)ão):
:
O volume de manuten
O volume de manutençção exigido por uma estrutura de seguranão exigido por uma estrutura de segurançça a éé
inversamente proporcional ao grau de padroniza
inversamente proporcional ao grau de padronizaçção existente dentro da ão existente dentro da
organiza
organizaçção. Quanto maior esse grau, menor o volume de manutenão. Quanto maior esse grau, menor o volume de manutençção e ão e vice
vice--versa. versa. É
Éconveniente observar que a implantaconveniente observar que a implantaçção da seguranão da segurançça sera serááuma boa uma boa ocasião para desenvolver e implantar padrões de nomenclatura de
ocasião para desenvolver e implantar padrões de nomenclatura de
recursos, tão importantes em cada organiza
recursos, tão importantes em cada organizaçção.ão.
Aula 09
15/11/2004 Prof. Rossoni, Farias 17
Equipe do projeto:
Equipe do projeto:
A equipe de implanta
A equipe de implantaçção do projeto deve estar constituão do projeto deve estar constituíída, ou pelo menos da, ou pelo menos
devem estar descritas as diretrizes que governarão o trabalho da
devem estar descritas as diretrizes que governarão o trabalho daequipe. equipe. O administrador de seguran
O administrador de segurançça deve ser o coordenador da equipe. Se a a deve ser o coordenador da equipe. Se a estrutura da administra
estrutura da administraçção de seguranão de segurançça ja jááestiver sido implantada, estiver sido implantada, éé
conveniente que pelo menos um dos integrantes participe da equip
conveniente que pelo menos um dos integrantes participe da equipe, de e, de preferência na fun
preferência na funçção de relator e para providenciar os trâmites ão de relator e para providenciar os trâmites
administrativos necess
administrativos necessáários.rios.
Controles:
Controles:
Algumas atividades administrativas necessitam de controles firme
Algumas atividades administrativas necessitam de controles firmes, e segurans, e segurançça a de informa
de informaçções ões ééuma delas. uma delas. ÉÉnecessnecessáário controlar o domrio controlar o domíínio de usunio de usuáários, o rios, o dom
domíínio de recursos e as interanio de recursos e as interaçções entre os dois domões entre os dois domíínios.nios. Todos os pacotes de seguran
Todos os pacotes de segurançça (adquiridos ou desenvolvidos pela organizaa (adquiridos ou desenvolvidos pela organizaçção) ão)
devem dispor de recursos de emissão de relat
devem dispor de recursos de emissão de relatóórios sobre a estrutura da rios sobre a estrutura da seguran
segurançça e das atividades dos usua e das atividades dos usuáários. rios.
Normalmente, serão necess
Normalmente, serão necessáários relatrios relatóórios de controle de dois tipos: controle da rios de controle de dois tipos: controle da
estrutura de seguran
estrutura de segurançça e controle sobre a atividades de usua e controle sobre a atividades de usuáários.rios. A lista de relat
A lista de relatóórios que são citados nos prrios que são citados nos próóximos slides, são apenas uma ximos slides, são apenas uma sugestão; cada ambiente deve estabelecer sua pr
sugestão; cada ambiente deve estabelecer sua próópria lista em funpria lista em funçção de suas ão de suas particularidades.
particularidades.
Aula 09
15/11/2004 Prof. Rossoni, Farias 19
Controle de estrutura de seguran
Controle de estrutura de seguran
ç
ç
a:
a:
Basicamente, os relatBasicamente, os relatóórios de controle da estrutura destinamrios de controle da estrutura destinam--se a controlar os se a controlar os usu
usuáários, os recursos e as interarios, os recursos e as interaçções entre usuões entre usuáários e recursos.rios e recursos. a)
a) UsuUsuáários e grupos de usurios e grupos de usuáários:rios: •
• Estrutura hierEstrutura hieráárquica dos grupos de usurquica dos grupos de usuááriosrios
•
• UsuUsuáários de cada gruporios de cada grupo •
• UsuUsuáários com atributos especiaisrios com atributos especiais b)
b) Recursos:Recursos:
•
• Grupos de recursos protegidosGrupos de recursos protegidos
•
• Recursos de cada grupoRecursos de cada grupo
•
• NNíível de protevel de proteçção de cada grupo de recursoão de cada grupo de recurso •
• NNíível de protevel de proteçção de cada recurso individualão de cada recurso individual •
• Recursos com proteRecursos com proteçção especialão especial
c)
c) InteraInteraçções usuões usuáários versus recursos:rios versus recursos:
•
• Recursos que cada usuRecursos que cada usuáário pode acessarrio pode acessar •
• UsuUsuáários que acessam cada recursorios que acessam cada recurso •
• NNíível de acesso permitido a cada grupo / usuvel de acesso permitido a cada grupo / usuááriorio
Controle sobre as atividades de usu
Controle sobre as atividades de usu
á
á
rios:
rios:
Basicamente, os relatBasicamente, os relatóórios de controle da estrutura destinamrios de controle da estrutura destinam--se a controlar a se a controlar a forma como os usu
forma como os usuáários fazem uso dos recursos que lhes são disponibilizados rios fazem uso dos recursos que lhes são disponibilizados e as viola
e as violaçções que os mesmos cometem.ões que os mesmos cometem. •
• ViolaViolaçções de acesso a ambientesões de acesso a ambientes
•
• ViolaViolaçções de acesso a recursosões de acesso a recursos
•
• Acesso a recursos monitoradosAcesso a recursos monitorados
•
• Acesso de usuAcesso de usuáários monitoradosrios monitorados
Aula 09
15/11/2004 Prof. Rossoni, Farias 21
Cria chave e inclui nas
Cria chave e inclui nas
listas de acesso e
listas de acesso e
informa
informa
Controles/ viola
Controles/ violaçções/ ões/
corre
correççõesões Informa adm.segur. Informa adm.segur. Justifica Justifica Controle de uso Controle de uso Solicita Solicita Corre
Correçção/ ão/ acertos
acertos
Usa
Usa
Solicita
Solicitaçção de acessoão de acesso
An
Anáálise:lise: Autoriza
Autorizaççãoão Recusa
Recusa
Inclusão de usu
Inclusão de usuááriosrios Uso dos recursos
Uso dos recursos
Controles Controles Administrador Seguran Administrador Seguranççaa Administrador Recurso Administrador Recurso Usu
Usuááriorio
Agentes envolvidos no processo
Agentes envolvidos no processo
Etapas do processo
Etapas do processo