CONSTRUINDO POLÍTICAS DE SEGURANÇA COM USO DA ISO 27002

(1)

CONSTRUINDO POLÍTICAS DE

SEGURANÇA COM USO DA

ISO 27002

____________________________________________ PALESTRANTE: Flavio Alexandre dos Reis www.reisfa.eti.br

(2)

(3)

3/75

ISO

• _{É a maior organização para desenvolvimento e publicação de norma;}

• _{Ela faz o relacionamento entre os órgãos nacionais de normalização de}

diferentes países;

• _{É uma organização não governamental, que forma uma ponte entre os}

setores público e privado;

• _{É sediada em Genebra, Suíça, Fundada em 1946.;}

• _{Há mais de 160 países que integram a ISO;}

• _{No Brasil ela é representada pela ABNT - Associação Brasileira de}

(4)

4/75

ISO

• _{O propósito da ISO é desenvolver e promover normas que possam ser}

utilizadas igualmente por todos os países do mundo;

• _{ISO vem de isonomia = criar padrões organizados por todos;}

• _{A ISO cria padrões internacionais aceito pelas organizações;}

• _{Evita que um cliente faça auditoria em seus sistemas;}

• _{A ISO cria certificações que são aceitas e respeitadas em todo o mundo;}

(5)

5/75

27001

• _{NBR ISO/IEC 27001:2006}

– _{Tecnologia da Informação;} – Técnicas de Segurança;

– Sistema de Gestão de Segurança da Informação; – Requisitos;

• _{Refere-se a quais requisitos de sistemas de gestão da informação devem}

(6)

6/75

27002

• _{NBR ISO/IEC 27002:2005}

– _{Tecnologia da Informação;} – Técnicas de Segurança;

– Código de Práticas para Gestão de Segurança da Informação;

• _{Refere-se a um guia que orienta a utilização de controles de segurança}

(7)

7/75

ISO

(8)

8/75

BSI

• _{A ISO 27001 e 27002 são TRANSCIÇÕES das normas Britânicas}

• _{BSI ( British Standards Institution )}

• _{Quando se fala em padrões Internacionais a Inglaterra está muito na}

(9)

(10)

10/75

OUTRAS NORMAS

• _{Há outras normas ( Não traduzidas )}

– _{ISO/IEC 27000}

• Vocabulário de Gestão da Segurança da Informação – ISO 27003

• Esta norma aborda as diretrizes para Implementação de Sistemas de Gestão de Segurança da Informação.

– _{ISO 27004}

• Esta norma incidirá sobre as métricas e relatórios de um sistema de gestão de segurança da informação.

– ISO/IEC 27005

• Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles.

– _{ISO/IEC 27006}

(11)

11/75

NBR ISO/IEC 27002:2005

• _{Baseada na BS 7799-1:2009;}

• _{Utilizada como documento de referencia;}

• _{Fornece um conjunto completo de controles de segurança;}

• _{Baseada nas melhores práticas de segurança da informação;}

• _{Dividida em:}

– 11 capítulos + Introdução; – _{39 objetivos;}

(12)

12/75

NBR ISO/IEC 27002:2005

PLANEJAR

DIAGNOSTICAR

REALIZAR

CHECAR

(13)

13/75

NBR ISO/IEC 27002:2005

• _{Revisada em 06/2005;}

• _{Sofreu modificações estruturais;}

• _{Recebeu um novo capítulo;}

– Gestão de Incidentes de Segurança da Informação

(14)

14/75

DEFINIÇÕES

• _{O que são as ISO ?}

– _{Uma metodologia estruturada reconhecida internacionalmente,} dedicada a segurança da informação;

– Um processo definido para avaliar, implementar, manter e gerenciar a segurança da informação;

– Um grupo completo de controles contendo as melhores práticas para segurança da informação;

(15)

15/75

DEFINIÇÕES

• _{O que não são ?}

– _{Normas técnicas;}

– Dirigidas para produtos ou tecnologia;

(16)

16/75

DEFINIÇÕES

• _{A ISO 27002 define as melhores praticas para a gestão de segurança da}

informação;

• _{A ISO 27001 considera: segurança física, técnica, procedimental e em}

pessoas;

• _{Sem um sistema de Gestão de Segurança da Informação formal, existe}

um grande risco de a segurança ser quebrada;

• _{A segurança da informação é um processo de gestão, não é um processo}

tecnológico;

• _{A ISO 27001 é a única norma internacional que pode ser auditada por}

uma terceira parte;

• _{Incorporam um processo de escalonamento de risco e valorização de}

(17)

17/75

ISO

• _{Qual risco devo avaliar primeiro ?}

• _{A Norma trabalha a metodologia para priorizar o tratamento dos riscos;}

• _{O grau em que o sistema é formal e contém processos estruturados irá}

(18)

18/75

SGSI

Politica de segurança Compliance Continuidade nos Negócios

Segurança da RH

(19)

19/75

ISO

• _{Razões para se adotar a norma}

– _{Governança Corporativa;}

– Melhoria da eficácia da segurança da informação; – Diferencial de Mercado;

– Atender aos requisitos de partes interessadas e clientes; – Única norma com aceitação global;

– _{Redução potencial no valor do seguro;}

– Focada nas responsabilidades dos funcionários;

(20)

(21)

21/75

SGSI

• _{Dificuldades para implantação de um SGSI}

• _{Dificuldade na definição do escopo}

• _{O QUE É O ESCOPO ?}

• _{ONDE SERÁ IMPLEMENTADO A NORMA ?}

• _{Dificuldade para desenvolver uma abordagem sistemática, simples e}

clara para a gestão de risco;

• _{Mesmo existindo Planos de Continuidade de Negócio, raramente eles}

(22)

22/75

SGSI

• _{Designação da área de TI como responsável por desenvolver o projeto;}

• _{Falta de visão e mente aberta ao estabelecer os parâmetros dos}

controles identificados na norma;

• _{Falta de ação para identificar e usar controles fora da norma;}

(23)

23/75

SGSI

• _{Beneficioso da implementação das ISO}

• _{Reduz o risco de responsabilidade pela não implementação de um SGSI}

ou determinação de políticas e procedimentos

• _{Oportunidade de identificar e corrigir pontos fracos}

• _{A alta direção assume a responsabilidade pela segurança da informação;}

• _{Permite revisão independente do SGSI;}

• _{Oferece confiança aos parceiros comerciais,}

partes interessadas e clientes;

• _{Melhor conscientização sobre segurança;}

(24)

24/75

SGSI

• _{Pode ser implementado em apenas parte dos processos da empresa;}

• _{Identificar as interfaces dos processos coma organização;}

• _{Identificar as interfaces dos processos com outras organizações;}

• _{Matrizes de valores, definir valores baixos, altos, usar penas cores;}

• _{Qualidade da informação esta baseada no tripé;}

• _{Quem faz parte desse tripé ?}

(25)

(26)

26/75

INFORMAÇÃO

• _{O que é a informação ?}

• _{Qual a valor da informação ?}

• _{"Informação é um ativo que, como qualquer outro ativo importante para}

(27)

27/75

27002

• _{NBR ISO/IEC 27002:2005}

• _{O valor da informação é determinado pelo valor que o usuário dá a ela;}

• _{É o usuário que reconhece se é apenas um dado ou se é informação;}

• _{Enquanto certos usuários podem considerar um dado em particular}

desinteressante, outros usuários podem extrair informação com valor do mesmo dado;

• _{Os fatores padrão de produto de uma empresa normalmente são capital,}

mão de obra e matéria-prima;

(28)

28/75

27002

• _{Alguns negócios têm informação como produto, como é o caso de}

consultorias, escritórios de contabilidade, etc;

(29)

29/75

ATIVOS

• _{O que são ativos ( na visão da ISO/IEC 27001 )}

• _{Devem ser aqueles relevantes ao escopo do Sistema de Gestão de}

Segurança da Informação

• _{Um ativo da informação é algo a que a organização atribui valor, por}

exemplo.

– Informação eletrônica; – Documentos em papel; – _Softwares;

– Hardwares; – Instalações; – Pessoas;

(30)

30/75

ATIVOS

• _{Para a ISO 27002, os ativos não incluirão necessariamente tudo que}

normalmente uma organização considera que tem valor;

• _{Uma organização deve determinar quais ativos podem materialmente}

afetar a entrega de um produto ou serviço pela sua ausência ou deterioração, ou causar dano à organização através de perda de disponibilidade, integridade ou confidencialidade;

(31)

31/75

TIPOS DE INFORMAÇÃO

• _{Tipos de informação}

• _{Alguns dados podem ser processados pela tecnologia da informação,}

quando são processados e adquirem significado.

• _{A informação pode existir sob várias formas:}

– Impressa ou escrita em papel; – Armazenada eletronicamente;

– Transmitida pelo correio ou por meios eletrônicos; – _{Apresentada em vídeos;}

(32)

32/75

TIPOS DE INFORMAÇÃO

• _{A forma da informação vai impor restrições às medidas necessárias para}

sua proteção.

• _{"Não importa a forma que a informação toma, ou os meios pelos quais}

ele é compartilhada ou armazenada.

• _{Ela deve sempre ser apropriadamente protegida"}

• _{Tipos de informação a serem protegidas}

– Internas: informações que você não gostaria que a concorrência soubesse...

– Clientes e fornecedores: informações que eles não gostariam que você divulgasse, etc...

(33)

33/75

ESTADO DA INFORMAÇÃO

• _{Estado da informação}

• _{A informação pode ser:}

– Criada;

– Transmitida; – Processada; – Usada;

– Armazenada; – _Corrompida; – Perdida;

(34)

(35)

35/75

SISTEMAS DE INFORMAÇÃO

• _{Transferir e processar informações ocorre por meio de um sistema de}

informação, o que não é necessariamente um sistema de TI.

• _{Por exemplo: cabines telefônicas, celulares e impressoras.}

• _{Um sistema de informação é uma combinação de meios, procedimentos,}

regras e pessoas que forneçam para um processo operacional.

• _{Este sistema pode ser melhorado por um sistema de TI que inclui:}

– Estação de trabalho;

– _{Transmissão de dados por rede, cabos e wireless;}

– Servidores, incluindo os equipamentos, sistema operacional e software;

– Armazenamento de dados, por exemplo discos, e-mails e base de dados;

(36)

36/75

ARQUITETURA DA INFORMAÇÃO

• _{Segurança da Informação está muito relacionada a arquitetura de}

informação, que é o processo focado em preparar o fornecimento da informação dentro da organização.

• _{A segurança da informação visa garantir que as informações fornecidas}

(37)

37/75

PROCESSOS OPERACIONAIS

• _{Processos operacionais e a informação}

• _{No ambiente de negocio há uma forte relação entre processos}

operacionais e informação.

• _{Existem 3 tipos básicos de processos:}

– Primários: diretamente relacionados com a realização do produto ou serviço

– Processos-guias ( de gestão ): que tratam planejamento e estratégia;

(38)

38/75

ANÁLISE DA INFORMAÇÃO

• _{Significa elaborar um desenho de como a informação flui dentro da}

organização.

• _{Por exemplo, podemos analisar por onde caminha a informação no}

(39)

39/75

GESTÃO DA INFORMAÇÃO

• _{A gestão da informação formula e direciona a politica relativa ao}

fornecimento de informação em uma organização.

• _{Dentro deste sistema um gestor da informação pode usar a arquitetura}

da informação ou realizar analise da informação.

• _{E mais do que processamento automático da informação pode ser por}

(40)

40/75

INFORMÁTICA

• _{O termo informática relaciona-se com a ciência lógica usada para trazer}

estrutura a informação e ao sistema.

(41)

41/75

SEGURANÇA DA INFORMAÇÃO

• _{O que é segurança da informação}

• _{A ISO/IEC 27002:2005 define:}

• _{Segurança da Informação - é a proteção da informação contra diversos}

(42)

42/75

SEGURANÇA DA INFORMAÇÃO

• _Exemplo:

• _{Os vírus não são apenas um tipo de malware Outros tipos incluem os}

spywares e alguns tipos de adwares.

• _{Spywares vasculham o que o usuário faz em seu computador. Isso pode}

inclui a captura de logins e senhas.

• _{Adwares são softwares aplicativos que exibem propagandas aos}

(43)

43/75

EXEMPLOS

• _{Exemplos de ameaças a informação}

• _{Funcionários descontentes ou desmotivados;}

• _{Baixa conscientização nos assuntos de segurança;}

Crescimento do processamento distribuído e das relações entre profissionais e empresas;

• _{Aumento da complexidade e eficácia das ferramentas de hacking e dos}

virus;

• _Email;

• _{Inexistência de planos de recuperação a desastres;}

• _{Desastres ( naturais ou não, incêndio, inundação, terremoto,}

terrorismo );

(44)

44/75

EXEMPLOS

• _Impactos

– _{Perda de clientes e contratos;} – Danos a imagem;

– Perda de produtividade;

– Aumento no custo do trabalho para conter, reparar e recuperar; – Aumento de seguros;

(45)

45/75

PILARES PRIMÁRIOS

(46)

46/75

O QUE AVALIAR ?

• _{Confidencialidade}

– Assegurar que a informação e acessível somente às pessoas autorizadas

• _Integridade

– Proteger a exatidão e a completeza ( ou completude ) da informação e dos métodos de processamento

• _{Disponibilidade}

– _{Assegurar que os usuários autorizados tenham acesso à informação} e ativos associados quando necessário

Em Inglês usa-se a sigla CIA como mnemônico: Confidentiality

(47)

47/75

O QUE AVALIAR ?

• _{O ponto de partida é verificar a influência que os requisitos da CIA tem}

sobre o valor da informação;

• _{A importância da informação para processos operacionais;}

• _{Quanto a informação é indispensável nestes processos;}

(48)

48/75

CID

confidencialidade

(49)

49/75

DISPONIBILIDADE

• _{É o grau no qual a informação está disponível para o usuário e para o}

sistema de informação que está em operação no momento em que a organização a requer.

• _{São características de disponibilidade}

– Pontualidade: o sistema de informação está disponível quando necessário;

– Continuidade: a organização pode continuar trabalhando no caso de falha;

(50)

50/75

DISPONIBILIDADE

• _{Exemplos de medidas de disponibilidade}

• _{Gestão e armazenamento de dados: por exemplo, dados armazenados}

em um disco de rede e não em um HD de um PC;

• _{Procedimento de backup: com armazenamento em local físico diferente.;}

• _{Procedimento de emergência: para garantir que as atividades}

(51)

51/75

INTEGRIDADE

• _{Ser íntegro;}

• _{Sem erros;}

• _{É o grau em que a informação é atualizada sem erros;}

(52)

52/75

INTEGRIDADE

• _Exemplo

• _{De acordo com a empresa de seguros Finjan, criminosos usam}

servidores da Argentina e da Malasia para identificar e vender logins de provedores de serviços de saúde;

• _{Usando dados roubados de um determinado paciente os criminosos são}

capazes de adquirir remédios e tratamentos que podem vender;

• _{Para as vítimas isso pode trazer consequências na sua cobertura de}

seguro de saúde ou assistência médica e nos seus registros médicos;

• _{Segundo a Finjan, foram pegos em uso logins de hospitais e de}

(53)

53/75

INTEGRIDADE

• _{Exemplos de medidas}

• _{Mudanças autorizadas de dados, alteração de um preço conforme}

definido pela administração.

• _{Uso correto dos termos: uma empresa que presta serviços de suporte}

em informática define que os clientes serão sempre chamados de usuários e a palavra cliente não irá, então, ser usada nem constar no banco de dados;

• _{As ações de usuários são registradas e portanto pode-se determinar}

quem alterou determinada informação;

• _{Ações importantes como a implantação de um novo software não podem}

ser realizadas por apenas um pessoa. Por caminhos separados no

(54)

54/75

CONFIDENCIALIDADE

• _{É o grau no qual o acesso a informação é restrito para determinados}

grupos de pessoas autorizados a ter este acesso.

• _{Confidencialidade também inclui medidas de proteção a privacidade.}

• _Exemplos:

• _{Acesso a informação garantido somente onde necessário}

• _{Empregados tomam medidas para garantir que a informação não é}

(55)

55/75

CONFIDENCIALIDADE

• _{Gestão de acesso lógico garante que pessoas ou processos são}

autorizados não tenham acesso a sistemas automatizados, base de dados ou programas;

• _{Uma separação é criada entre o sistema de desenvolvimento da}

organização, os processos da organização e os usuários. Um desenvolvedor, por exemplo, não pode alterar salários;

• _{Uma separação rígida é criada entre os ambientes de desenvolvimento,}

teste, homologação e produção;

• _{Nos processos onde dados são utilizados, medidas são tomadas para}

(56)

56/75

EXEMPLOS

• _{CONFIDENCIALIDADE}

– _{Browsing – Consiste na procura de informações sem necessariamente} saber seu tipo.

– Shoulder surfing (“papagaio de pirata”) – É o simples ato de olhar sobre os ombros da pessoa para ver o ela está digitando.

– Engenharia social – Fingir ser alguém com a intenção de ter acesso a informações.

(57)

57/75

EXEMPLOS

(58)

58/75

EXEMPLOS

• _INTEGRIDADE

– _{Alteração de logs de auditoria – Modificar logs de auditoria,} normalmente com a intenção de ocultar fatos.

– Modificação de arquivos de configuração – Alterar arquivos críticos de um sistema para modificar sua funcionalidade.

(59)

59/75

EXEMPLOS

• _{DISPONIBILIDADE}

– _{Negação de serviço (DoS) – Comprometimento de serviços de} importância fundamental para processos.

(60)

60/75

AMEAÇA E RISCO

(61)

61/75

VULNERABILIDADES

• _{São fraquezas associadas aos ativos da organização}

• _{Falta de instalações adequadas;}

• _{Proteção física inadequada;}

• _{Energia elétrica instavel;}

• _{Falta de backup;}

(62)

(63)

63/75

PROBABILIDADE

• _{10 % ?} • _{20 % ?}

• _{30 % ?}

• _{40 % ?}

(64)

64/75

EXEMPLO DE RISCOS

• _{Interrupção da continuidade do negocio;}

• _{Indisponibilidade da informação;}

• _{Perda da integridade dos dados;}

• _{Perda do controle do serviço;}

• _{Perda de credibilidade e iamgem;}

(65)

65/75

ANÁLISE DE RISCO

• _{Após estabelecidos os ativos e suas prioridades, procura-se associá-los}

aos processos de negócio, para que a análise possa ser feita à luz de impactos nos negócios, dado que não necessariamente o valor

patrimonial de um ativo seria diretamente proporcional ao impacto nos negócios a ele relacionados, seja em valores financeiros, operacionais ou de imagem.

• _{Faz-se, então, um conjunto de avaliações tal que se estabeleçam níveis}

de risco para cada ativo.

• _{Dentre as várias formas de classificação, define-se que Risco é função}

(66)

66/75

OBJETIVOS

• _{Identificar ativo e seus valores;}

• _{Determinar vulnerabilidades e ameaças;}

• _{Determinar os riscos e as ameaças que podem realmente causar danos}

aos processos operacionais;

• _{Determinar o equilíbrio entre custos de um incidente e custos das}

(67)

67/75

MEDIDAS

• _{Medidas para reduzir risco;}

• _{Medidas de redução são usadas para reduzir ameaças;}

• _{Medidas preventivas são usadas para prevenir acidentes;}

• _{Medidas de detecção são usadas para detectar incidentes;}

• _{Medidas repressivas sai usadas para parar as consequências de um}

incidente;

• _{Medidas corretivas são usadas para recuperação dos danos causados}

(68)

68/75

TIPOS DE MEDIDAS DE SEGURANÇA

• _Prevenção; • _Detecção;

• _Repressão;

• _{Correção | Recuperação;}

• _Garantia;

• _Aceitação;

Ciclo do incidente e medidas de controle

Ameaça

Incidente

Dano

Recuperação

Redutiva

Preventiva

Repressiva

Corretiva

(69)

(70)

70/75

GUIA

• _{ISO 20000-1 - Gestão de Serviços de TI}

• _{ISO 27001-2005 Requisitos para um Sistema de Gestão de Segurança da}

Informação

• _{ISO 27002:2005 - Código de Prática para Sistemas de Segurança da}

(71)

71/75

POLÍTICA DE SEGURANÇA

A gestão da organização provê

direcionamento estabelecendo a política

de segurança da informação, que deve ser

escrita de acordo com os requisitos do

negócio e com as regulamentações e

legislação aplicáveis, deve ser aprovada

pela direção e comunicada para todos os

funcionários e partes externas relevantes,

(72)

72/75

CONSIDERAÇÕES

• _{Alcançamos a segurança da informação através da implementação de}

um conjunto adequado de controles, incluindo politicas, procedimentos, estrutura organizacional e funções de hardware e software;

• _{Cada empresa é única em suas exigências e requisitos de controle e}

para os níveis de Confidencialidade, Integridade e Disponibilidade;

• _{Nem todos os controles e orientações incluídas na norma ISO/IEC 27002}

podem ser aplicáveis;

• _{Da mesma forma, controles não inclusos na norma podem ser}

(73)

(74)

(75)

75/75