CONSTRUINDO POLÍTICAS DE
SEGURANÇA COM USO DA
ISO 27002
____________________________________________ PALESTRANTE: Flavio Alexandre dos Reis www.reisfa.eti.br
3/75
ISO
• É a maior organização para desenvolvimento e publicação de norma;
• Ela faz o relacionamento entre os órgãos nacionais de normalização de
diferentes países;
• É uma organização não governamental, que forma uma ponte entre os
setores público e privado;
• É sediada em Genebra, Suíça, Fundada em 1946.;
• Há mais de 160 países que integram a ISO;
• No Brasil ela é representada pela ABNT - Associação Brasileira de
4/75
ISO
• O propósito da ISO é desenvolver e promover normas que possam ser
utilizadas igualmente por todos os países do mundo;
• ISO vem de isonomia = criar padrões organizados por todos;
• A ISO cria padrões internacionais aceito pelas organizações;
• Evita que um cliente faça auditoria em seus sistemas;
• A ISO cria certificações que são aceitas e respeitadas em todo o mundo;
5/75
27001
• NBR ISO/IEC 27001:2006
– Tecnologia da Informação; – Técnicas de Segurança;
– Sistema de Gestão de Segurança da Informação; – Requisitos;
• Refere-se a quais requisitos de sistemas de gestão da informação devem
6/75
27002
• NBR ISO/IEC 27002:2005
– Tecnologia da Informação; – Técnicas de Segurança;
– Código de Práticas para Gestão de Segurança da Informação;
• Refere-se a um guia que orienta a utilização de controles de segurança
7/75
ISO
8/75
BSI
• A ISO 27001 e 27002 são TRANSCIÇÕES das normas Britânicas
• BSI ( British Standards Institution )
• Quando se fala em padrões Internacionais a Inglaterra está muito na
10/75
OUTRAS NORMAS
• Há outras normas ( Não traduzidas )
– ISO/IEC 27000
• Vocabulário de Gestão da Segurança da Informação – ISO 27003
• Esta norma aborda as diretrizes para Implementação de Sistemas de Gestão de Segurança da Informação.
– ISO 27004
• Esta norma incidirá sobre as métricas e relatórios de um sistema de gestão de segurança da informação.
– ISO/IEC 27005
• Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles.
– ISO/IEC 27006
11/75
NBR ISO/IEC 27002:2005
• Baseada na BS 7799-1:2009;
• Utilizada como documento de referencia;
• Fornece um conjunto completo de controles de segurança;
• Baseada nas melhores práticas de segurança da informação;
• Dividida em:
– 11 capítulos + Introdução; – 39 objetivos;
12/75
NBR ISO/IEC 27002:2005
PLANEJAR
DIAGNOSTICAR
REALIZAR
CHECAR
13/75
NBR ISO/IEC 27002:2005
• Revisada em 06/2005;
• Sofreu modificações estruturais;
• Recebeu um novo capítulo;
– Gestão de Incidentes de Segurança da Informação
14/75
DEFINIÇÕES
• O que são as ISO ?
– Uma metodologia estruturada reconhecida internacionalmente, dedicada a segurança da informação;
– Um processo definido para avaliar, implementar, manter e gerenciar a segurança da informação;
– Um grupo completo de controles contendo as melhores práticas para segurança da informação;
15/75
DEFINIÇÕES
• O que não são ?
– Normas técnicas;
– Dirigidas para produtos ou tecnologia;
16/75
DEFINIÇÕES
• A ISO 27002 define as melhores praticas para a gestão de segurança da
informação;
• A ISO 27001 considera: segurança física, técnica, procedimental e em
pessoas;
• Sem um sistema de Gestão de Segurança da Informação formal, existe
um grande risco de a segurança ser quebrada;
• A segurança da informação é um processo de gestão, não é um processo
tecnológico;
• A ISO 27001 é a única norma internacional que pode ser auditada por
uma terceira parte;
• Incorporam um processo de escalonamento de risco e valorização de
17/75
ISO
• Qual risco devo avaliar primeiro ?
• A Norma trabalha a metodologia para priorizar o tratamento dos riscos;
• O grau em que o sistema é formal e contém processos estruturados irá
18/75
SGSI
SGSI
Politica de segurança Compliance Continuidade nos NegóciosSegurança da RH
19/75
ISO
• Razões para se adotar a norma
– Governança Corporativa;
– Melhoria da eficácia da segurança da informação; – Diferencial de Mercado;
– Atender aos requisitos de partes interessadas e clientes; – Única norma com aceitação global;
– Redução potencial no valor do seguro;
– Focada nas responsabilidades dos funcionários;
21/75
SGSI
• Dificuldades para implantação de um SGSI
• Dificuldade na definição do escopo
• O QUE É O ESCOPO ?
• ONDE SERÁ IMPLEMENTADO A NORMA ?
• Dificuldade para desenvolver uma abordagem sistemática, simples e
clara para a gestão de risco;
• Mesmo existindo Planos de Continuidade de Negócio, raramente eles
22/75
SGSI
• Designação da área de TI como responsável por desenvolver o projeto;
• Falta de visão e mente aberta ao estabelecer os parâmetros dos
controles identificados na norma;
• Falta de ação para identificar e usar controles fora da norma;
23/75
SGSI
• Beneficioso da implementação das ISO
• Reduz o risco de responsabilidade pela não implementação de um SGSI
ou determinação de políticas e procedimentos
• Oportunidade de identificar e corrigir pontos fracos
• A alta direção assume a responsabilidade pela segurança da informação;
• Permite revisão independente do SGSI;
• Oferece confiança aos parceiros comerciais,
partes interessadas e clientes;
• Melhor conscientização sobre segurança;
24/75
SGSI
• Pode ser implementado em apenas parte dos processos da empresa;
• Identificar as interfaces dos processos coma organização;
• Identificar as interfaces dos processos com outras organizações;
• Matrizes de valores, definir valores baixos, altos, usar penas cores;
• Qualidade da informação esta baseada no tripé;
• Quem faz parte desse tripé ?
26/75
INFORMAÇÃO
• O que é a informação ?
• Qual a valor da informação ?
• "Informação é um ativo que, como qualquer outro ativo importante para
27/75
27002
• NBR ISO/IEC 27002:2005
• O valor da informação é determinado pelo valor que o usuário dá a ela;
• É o usuário que reconhece se é apenas um dado ou se é informação;
• Enquanto certos usuários podem considerar um dado em particular
desinteressante, outros usuários podem extrair informação com valor do mesmo dado;
• Os fatores padrão de produto de uma empresa normalmente são capital,
mão de obra e matéria-prima;
28/75
27002
• Alguns negócios têm informação como produto, como é o caso de
consultorias, escritórios de contabilidade, etc;
29/75
ATIVOS
• O que são ativos ( na visão da ISO/IEC 27001 )
• Devem ser aqueles relevantes ao escopo do Sistema de Gestão de
Segurança da Informação
• Um ativo da informação é algo a que a organização atribui valor, por
exemplo.
– Informação eletrônica; – Documentos em papel; – Softwares;
– Hardwares; – Instalações; – Pessoas;
30/75
ATIVOS
• Para a ISO 27002, os ativos não incluirão necessariamente tudo que
normalmente uma organização considera que tem valor;
• Uma organização deve determinar quais ativos podem materialmente
afetar a entrega de um produto ou serviço pela sua ausência ou deterioração, ou causar dano à organização através de perda de disponibilidade, integridade ou confidencialidade;
31/75
TIPOS DE INFORMAÇÃO
• Tipos de informação
• Alguns dados podem ser processados pela tecnologia da informação,
quando são processados e adquirem significado.
• A informação pode existir sob várias formas:
– Impressa ou escrita em papel; – Armazenada eletronicamente;
– Transmitida pelo correio ou por meios eletrônicos; – Apresentada em vídeos;
32/75
TIPOS DE INFORMAÇÃO
• A forma da informação vai impor restrições às medidas necessárias para
sua proteção.
• "Não importa a forma que a informação toma, ou os meios pelos quais
ele é compartilhada ou armazenada.
• Ela deve sempre ser apropriadamente protegida"
• Tipos de informação a serem protegidas
– Internas: informações que você não gostaria que a concorrência soubesse...
– Clientes e fornecedores: informações que eles não gostariam que você divulgasse, etc...
33/75
ESTADO DA INFORMAÇÃO
• Estado da informação
• A informação pode ser:
– Criada;
– Transmitida; – Processada; – Usada;
– Armazenada; – Corrompida; – Perdida;
35/75
SISTEMAS DE INFORMAÇÃO
• Transferir e processar informações ocorre por meio de um sistema de
informação, o que não é necessariamente um sistema de TI.
• Por exemplo: cabines telefônicas, celulares e impressoras.
• Um sistema de informação é uma combinação de meios, procedimentos,
regras e pessoas que forneçam para um processo operacional.
• Este sistema pode ser melhorado por um sistema de TI que inclui:
– Estação de trabalho;
– Transmissão de dados por rede, cabos e wireless;
– Servidores, incluindo os equipamentos, sistema operacional e software;
– Armazenamento de dados, por exemplo discos, e-mails e base de dados;
36/75
ARQUITETURA DA INFORMAÇÃO
• Segurança da Informação está muito relacionada a arquitetura de
informação, que é o processo focado em preparar o fornecimento da informação dentro da organização.
• A segurança da informação visa garantir que as informações fornecidas
37/75
PROCESSOS OPERACIONAIS
• Processos operacionais e a informação
• No ambiente de negocio há uma forte relação entre processos
operacionais e informação.
• Existem 3 tipos básicos de processos:
– Primários: diretamente relacionados com a realização do produto ou serviço
– Processos-guias ( de gestão ): que tratam planejamento e estratégia;
38/75
ANÁLISE DA INFORMAÇÃO
• Significa elaborar um desenho de como a informação flui dentro da
organização.
• Por exemplo, podemos analisar por onde caminha a informação no
39/75
GESTÃO DA INFORMAÇÃO
• A gestão da informação formula e direciona a politica relativa ao
fornecimento de informação em uma organização.
• Dentro deste sistema um gestor da informação pode usar a arquitetura
da informação ou realizar analise da informação.
• E mais do que processamento automático da informação pode ser por
40/75
INFORMÁTICA
• O termo informática relaciona-se com a ciência lógica usada para trazer
estrutura a informação e ao sistema.
41/75
SEGURANÇA DA INFORMAÇÃO
• O que é segurança da informação
• A ISO/IEC 27002:2005 define:
• Segurança da Informação - é a proteção da informação contra diversos
42/75
SEGURANÇA DA INFORMAÇÃO
• Exemplo:
• Os vírus não são apenas um tipo de malware Outros tipos incluem os
spywares e alguns tipos de adwares.
• Spywares vasculham o que o usuário faz em seu computador. Isso pode
inclui a captura de logins e senhas.
• Adwares são softwares aplicativos que exibem propagandas aos
43/75
EXEMPLOS
• Exemplos de ameaças a informação
• Funcionários descontentes ou desmotivados;
• Baixa conscientização nos assuntos de segurança;
Crescimento do processamento distribuído e das relações entre profissionais e empresas;
• Aumento da complexidade e eficácia das ferramentas de hacking e dos
virus;
• Email;
• Inexistência de planos de recuperação a desastres;
• Desastres ( naturais ou não, incêndio, inundação, terremoto,
terrorismo );
44/75
EXEMPLOS
• Impactos
– Perda de clientes e contratos; – Danos a imagem;
– Perda de produtividade;
– Aumento no custo do trabalho para conter, reparar e recuperar; – Aumento de seguros;
45/75
PILARES PRIMÁRIOS
46/75
O QUE AVALIAR ?
• Confidencialidade
– Assegurar que a informação e acessível somente às pessoas autorizadas
• Integridade
– Proteger a exatidão e a completeza ( ou completude ) da informação e dos métodos de processamento
• Disponibilidade
– Assegurar que os usuários autorizados tenham acesso à informação e ativos associados quando necessário
Em Inglês usa-se a sigla CIA como mnemônico: Confidentiality
47/75
O QUE AVALIAR ?
• O ponto de partida é verificar a influência que os requisitos da CIA tem
sobre o valor da informação;
• A importância da informação para processos operacionais;
• Quanto a informação é indispensável nestes processos;
48/75
CID
confidencialidade
49/75
DISPONIBILIDADE
• É o grau no qual a informação está disponível para o usuário e para o
sistema de informação que está em operação no momento em que a organização a requer.
• São características de disponibilidade
– Pontualidade: o sistema de informação está disponível quando necessário;
– Continuidade: a organização pode continuar trabalhando no caso de falha;
50/75
DISPONIBILIDADE
• Exemplos de medidas de disponibilidade
• Gestão e armazenamento de dados: por exemplo, dados armazenados
em um disco de rede e não em um HD de um PC;
• Procedimento de backup: com armazenamento em local físico diferente.;
• Procedimento de emergência: para garantir que as atividades
51/75
INTEGRIDADE
• Ser íntegro;
• Sem erros;
• É o grau em que a informação é atualizada sem erros;
52/75
INTEGRIDADE
• Exemplo
• De acordo com a empresa de seguros Finjan, criminosos usam
servidores da Argentina e da Malasia para identificar e vender logins de provedores de serviços de saúde;
• Usando dados roubados de um determinado paciente os criminosos são
capazes de adquirir remédios e tratamentos que podem vender;
• Para as vítimas isso pode trazer consequências na sua cobertura de
seguro de saúde ou assistência médica e nos seus registros médicos;
• Segundo a Finjan, foram pegos em uso logins de hospitais e de
53/75
INTEGRIDADE
• Exemplos de medidas
• Mudanças autorizadas de dados, alteração de um preço conforme
definido pela administração.
• Uso correto dos termos: uma empresa que presta serviços de suporte
em informática define que os clientes serão sempre chamados de usuários e a palavra cliente não irá, então, ser usada nem constar no banco de dados;
• As ações de usuários são registradas e portanto pode-se determinar
quem alterou determinada informação;
• Ações importantes como a implantação de um novo software não podem
ser realizadas por apenas um pessoa. Por caminhos separados no
54/75
CONFIDENCIALIDADE
• É o grau no qual o acesso a informação é restrito para determinados
grupos de pessoas autorizados a ter este acesso.
• Confidencialidade também inclui medidas de proteção a privacidade.
• Exemplos:
• Acesso a informação garantido somente onde necessário
• Empregados tomam medidas para garantir que a informação não é
55/75
CONFIDENCIALIDADE
• Gestão de acesso lógico garante que pessoas ou processos são
autorizados não tenham acesso a sistemas automatizados, base de dados ou programas;
• Uma separação é criada entre o sistema de desenvolvimento da
organização, os processos da organização e os usuários. Um desenvolvedor, por exemplo, não pode alterar salários;
• Uma separação rígida é criada entre os ambientes de desenvolvimento,
teste, homologação e produção;
• Nos processos onde dados são utilizados, medidas são tomadas para
56/75
EXEMPLOS
• CONFIDENCIALIDADE
– Browsing – Consiste na procura de informações sem necessariamente saber seu tipo.
– Shoulder surfing (“papagaio de pirata”) – É o simples ato de olhar sobre os ombros da pessoa para ver o ela está digitando.
– Engenharia social – Fingir ser alguém com a intenção de ter acesso a informações.
57/75
EXEMPLOS
58/75
EXEMPLOS
• INTEGRIDADE
– Alteração de logs de auditoria – Modificar logs de auditoria, normalmente com a intenção de ocultar fatos.
– Modificação de arquivos de configuração – Alterar arquivos críticos de um sistema para modificar sua funcionalidade.
59/75
EXEMPLOS
• DISPONIBILIDADE
– Negação de serviço (DoS) – Comprometimento de serviços de importância fundamental para processos.
60/75
AMEAÇA E RISCO
61/75
VULNERABILIDADES
• São fraquezas associadas aos ativos da organização
• Falta de instalações adequadas;
• Proteção física inadequada;
• Energia elétrica instavel;
• Falta de backup;
63/75
PROBABILIDADE
• 10 % ? • 20 % ?
• 30 % ?
• 40 % ?
64/75
EXEMPLO DE RISCOS
• Interrupção da continuidade do negocio;
• Indisponibilidade da informação;
• Perda da integridade dos dados;
• Perda do controle do serviço;
• Perda de credibilidade e iamgem;
65/75
ANÁLISE DE RISCO
• Após estabelecidos os ativos e suas prioridades, procura-se associá-los
aos processos de negócio, para que a análise possa ser feita à luz de impactos nos negócios, dado que não necessariamente o valor
patrimonial de um ativo seria diretamente proporcional ao impacto nos negócios a ele relacionados, seja em valores financeiros, operacionais ou de imagem.
• Faz-se, então, um conjunto de avaliações tal que se estabeleçam níveis
de risco para cada ativo.
• Dentre as várias formas de classificação, define-se que Risco é função
66/75
OBJETIVOS
• Identificar ativo e seus valores;
• Determinar vulnerabilidades e ameaças;
• Determinar os riscos e as ameaças que podem realmente causar danos
aos processos operacionais;
• Determinar o equilíbrio entre custos de um incidente e custos das
67/75
MEDIDAS
• Medidas para reduzir risco;
• Medidas de redução são usadas para reduzir ameaças;
• Medidas preventivas são usadas para prevenir acidentes;
• Medidas de detecção são usadas para detectar incidentes;
• Medidas repressivas sai usadas para parar as consequências de um
incidente;
• Medidas corretivas são usadas para recuperação dos danos causados
68/75
TIPOS DE MEDIDAS DE SEGURANÇA
• Prevenção; • Detecção;
• Repressão;
• Correção | Recuperação;
• Garantia;
• Aceitação;
Ciclo do incidente e medidas de controle
Ameaça
Incidente
Dano
Recuperação
Redutiva
Preventiva
Repressiva
Corretiva
70/75
GUIA
• ISO 20000-1 - Gestão de Serviços de TI
• ISO 27001-2005 Requisitos para um Sistema de Gestão de Segurança da
Informação
• ISO 27002:2005 - Código de Prática para Sistemas de Segurança da
71/75
POLÍTICA DE SEGURANÇA
A gestão da organização provê
direcionamento estabelecendo a política
de segurança da informação, que deve ser
escrita de acordo com os requisitos do
negócio e com as regulamentações e
legislação aplicáveis, deve ser aprovada
pela direção e comunicada para todos os
funcionários e partes externas relevantes,
72/75
CONSIDERAÇÕES
• Alcançamos a segurança da informação através da implementação de
um conjunto adequado de controles, incluindo politicas, procedimentos, estrutura organizacional e funções de hardware e software;
• Cada empresa é única em suas exigências e requisitos de controle e
para os níveis de Confidencialidade, Integridade e Disponibilidade;
• Nem todos os controles e orientações incluídas na norma ISO/IEC 27002
podem ser aplicáveis;
• Da mesma forma, controles não inclusos na norma podem ser
75/75