Mobilidade e Políticas de Segurança da Informação: o caso da UFRGS. Afonso Araújo Neto CPD/UFRGS

Transcrição

1 Mobilidade e Políticas de Segurança da Informação: Afonso Araújo Neto CPD/UFRGS

2 Agenda Mobilidade e suas consequências Autonomia universitária e a gestão de segurança A importância das políticas de segurança Breve histórico da PSI-UFRGS Do tratamento de incidentes de segurança da informação à gestão da segurança da informação 2

3 Mobilidade Mobilidade possui desafios em duas frentes Expectativa dos usuários finais Responsabilidade dos provedores de serviços Preocupações típicas dos usuários Conectividade ubíqua Aplicações compatíveis com múltiplos dispositivos Utilização simultânea de dispositivos pessoais e institucionais Dados universalmente acessíveis Segurança das informações Usabilidade, em todas as suas vertentes: do desenho das interfaces à complexidade de configuração 3

4 Mobilidade Desafios típicos enfrentados pelos provedores de serviços Gestão de identidades e privilégios de acesso Confiabilidade dos mecanismos de autenticação e processos de restauração de acesso Conformidade legal Tratamento de incidentes de segurança da informação e auditabilidade Gestão de configuração Suporte e atendimento aos usuários... 4

5 Mobilidade Desafios típicos enfrentados pelos provedores de serviços Gestão de identidades e privilégios de acesso Confiabilidade dos mecanismos de autenticação e processos de restauração de acesso Conformidade legal Tratamento de incidentes de segurança da informação e auditabilidade Gestão de configuração Suporte e atendimento aos usuários Tudo isto sob um orçamento pressionado 5

6 Conformidade e Responsabilidades Antigamente, as organizações tinham total liberdade na forma de entrega dos serviços de TI, incluindo conectividade e acesso a Internet: quem gostar, utiliza Estamos em um tempo onde os serviços de TI estão deixando de ser opções de conveniência para terem um caráter de infraestrutura O governo atual responde a esta transição impondo responsabilidades Os gestores operam sob um conjunto de pressões políticas e regulatórias impostas Por exemplo, hoje a forma da conectividade à Internet possui limitações impostas Conformidade não é opcional Este peso é particularmente significativo no escopo público: proteção de informações críticas 6

7 Conformidade e Responsabilidades Qualquer organização que fornece conexão à internet para os seus usuários (e funcionários, por exemplo) pode ser classificada como um um provedor de acesso Marco civil da internet impõe exigências Art. 9o O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicação. 3o Na provisão de conexão à internet, onerosa ou gratuita, bem como na transmissão, comutação ou roteamento, é vedado bloquear, monitorar, filtrar ou analisar o conteúdo dos pacotes de dados, respeitado o disposto neste artigo. Art. 13. Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento. Art. 14. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os registros de acesso a aplicações de internet. 7

8 Órgãos da Administração Pública Federal Órgãos públicos que provêm serviços de TI hoje estão sujeitos a normativas específicas de segurança da informação Instruções Normativas e Normas Complementares DSIC/GSIPR - Disciplinam a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta Lei / Regula o acesso a informações previsto no inciso XXXIII do art. 5º da Constituição Federal Lei de Acesso a Informação Decreto 8.135/2013 e Portaria Interministerial MP/MC/MD nº Dispõe sobre as comunicações de dados da administração pública federal direta, autárquica e fundacional O Decreto em particular traz consequências para mobilidade de dados Dados não podem ser armazenados em serviços privados de terceiros sem possibilidade de auditoria 8

9 Universidades Federais Autonomia Universitária Constituição Federal de 1988: Art As universidades gozam de autonomia didáticocientífica, administrativa e de gestão financeira e patrimonial, e obedecerão ao princípio de indissociabilidade entre ensino, pesquisa e extensão. Estatuto Geral da UFRGS: Art. 2º - A UFRGS, como Universidade Pública, é expressão da sociedade democrática e pluricultural, inspirada nos ideais de liberdade, de respeito pela diferença, e de solidariedade, constituindo-se em instância necessária de consciência crítica, na qual a coletividade possa repensar suas formas de vida e suas organizações sociais, econômicas e políticas. Regimento Geral UFRGS: Art. 2º - A administração universitária, sob a coordenação e supervisão da Reitoria, far-se-á pela articulação entre esta, as Unidades Universitárias e demais órgãos da Universidade. 9

10 Características da Autonomia Universitária Hierarquia não é rígida, e a autonomia também é compreendida no nível das Unidades Os servidores públicos federais têm garantias fundamentais preservadas exceto em caso de crimes ou ocorrências graves A instituição é fundamentada em princípios democráticos, tolerando divergências e formas de ação alternativas É consenso de que o ensino, pesquisa e extensão têm prioridade sobre necessidades administrativas, dado o objetivo da instituição As necessidades da atividade docente precisam ser atendidas 10

11 NaUFRGS Os serviços de TI são para a comunidade acadêmica, que pode incluir parcerias nacionais e internacionais, ex-alunos e uma miríade de vínculos temporários diversos Impacta: gestão de identidades e controle de acesso Bring your own device é a regra para alunos e fundamental para docentes Impacta: gestão de dispositivos e políticas de uso da rede Mobilidade de dados: LAI e Decretos Como diferenciar dados pessoais dos Institucionais? Os dados resultados das atividades de pesquisa e de docência são de quem? E os que os alunos geram em decorrência das aulas? Proteção de informações que por princípio são públicas (LAI) 11

12 Tecnologias: problemas reais e de difícil solução Comunicações internas: quem pode enviar para quem? Sites institucionais hospedados externamente: quem garante a veracidade das informações? Quando os serviços de TI providos não atendem às expectativas, as unidades (ou servidores de forma independente) criam as suas próprias soluções: quem garante que estas atendem os requisitos de conformidade exigidos? (e.g., NAT e roteadores sem autenticação, etc...) Tráfegos anômalos, serviços com vulnerabilidades e protocolos de rede problemáticos: o que fazer quando estes conflitam com atividades de docência? Aplicativos móveis desenvolvidos por alunos e comunidade externa: aceitá-los pacificamente? E os riscos envolvidos? 12

13 Políticas de Segurança da Informação (PSI) Uma sólida política de segurança aparece como exigência fundamental em qualquer cenário em que se preze a segurança da informação ABNT/ISO uma PSI é um controle claro e fundamental para a gestão de SI No âmbito público federal, segurança da informação é requisito de conformidade imposto DSIC/GSIPR TCU e Ministério do Planejamento No âmbito privado, além da conformidade, a não consideração destes aspectos coloca qualquer organização em cheque, é sempre uma questão de tempo 13

14 Políticas de Segurança da Informação PSI é um instrumento administrativo cujo papel fundamental é a atribuição de responsabilidades Não existe uma PSI genérica, pois ela depende estritamente da organização a qual se aplica No caso de instituições com autonomia administrativa ela precisa acompanhar a organização interna e os princípios e valores da mesma Precisa ser sustentada pela alta gestão, ou é sem efeito N, o Conselho Universitário tem esta prerrogativa, determinada pelo Estatuto e Regimento 14

15 Uma boa PSI Define explicitamente o que é segurança da informação e seus atributos, e quais os objetivos que se pretende obter com a sua promoção Atribui explicitamente a todos os membros da organização a responsabilidade para com a segurança das informações da mesma Define papeis e responsabilidades específicas para todas atividades das quais a segurança da informação depende Define normas, princípios e procedimentos que permitem a resolução dos conflitos identificados anteriormente, entre outros Deve estar ligada e conectada à gestão de TI, mas não unicamente 15

16 Breve Histórico da PSI UFRGS Antes de 2010, houveram diversas tentativas de desenvolvimento de uma Política de Segurança Diversos fatores concorreram para o insucesso destas tentativas iniciais Foco em tecnologia e políticas de uso de dispositivos de TI e rede Falta das pressões externas que hoje existem Falta de conhecimento da comunidade a respeito do assunto e da sua importância A origem da PSI UFRGS remonta à criação do Comitê Gestor de TI da UFRGS em

17 Breve Histórico da PSI UFRGS criação do Comitê Gestor de TI e do Plano de Desenvolvimento Institucional da UFRGS 2010/2011 CGTI nomeia a ComPDTI, com o objetivo de traçar o plano de trabalho para desenvolvimento de um Plano de Desenvolvimento de TI O PDTI é criado com um GT específico de segurança da informação GT de segurança define o desenvolvimento de um PSI como item prioritário o Reitor nomeia um grupo de servidores para o trabalho específico de desenvolvimento de uma proposta de PSI para a Universidade Após diversas reuniões, o grupo chega a uma proposta de PSI, que é entregue para análise do CGTI 17

18 Breve Histórico da PSI UFRGS O CGTI envia a proposta de PSI para o CONSUN, onde é analisada por toda a comunidade acadêmica A PSI é aprovada pelo CONSUN O CPD cria o Departamento de Segurança da Informação, determinado explicitamente na PSI. O DSInf coordena o TRI, Time de Resposta a Incidentes de Segurança da Informação São nomeados os membros do Comitê de Segurança da Informação, que começam os trabalhos de normatização da PSI (atualmente em desenvolvimento) 18

19 Responsabilidades atribuídas Diferenciação clara entre os papeis de gestores e custodiantes da informação Atribuição da responsabilidade a todos os membros da comunidade (incluindo alunos) Isto significa que todas as atividades da UFRGS precisam explicitamente levar em conta requisitos de segurança informação adequados Criação do Comitê de Segurança da Informação, responsável pela criação de normas Criação do Departamento de Segurança da Informação, responsável pela execução de projetos de segurança e implementação de controles Formalização do TRI (Time de Resposta a Incidentes de Segurança) como grupo responsável pelo tratamento de incidentes de segurança 19

20 Tratamento de Incidentes de Segurança Todas as instituições que possuem redes de dados precisam lidar com este problema, não existe infraestrutura de mobilidade sem um tratamento de incidentes adequado Os grupos de segurança costumam começar como atividades de tempo parcial de equipes de suporte de infraestrutura de TI Hoje, dedicação exclusiva costuma ser inevitável. Ocorrências mais comuns: Infecções por vírus e propagação desordenada nas redes internas Roubos de identidades e senhas Invasão de servidores Envio de spam Violação de direitos autorais 20

21 Na ausência de PSI Os grupos de segurança podem detectar os problemas, mas não são capazes de induzir a adequação Os grupos de segurança podem ter suas recomendações ignoradas por funcionários hierarquicamente superiores Os grupos de segurança podem ter seu acesso a sistemas comprometidos negado, impossibilitando investigação adequada Os grupos de segurança podem ver-se obrigados a não trazer a luz incidentes ou ocorrências de segurança envolvendo pessoas de alto escalão, ou que possam eventualmente causar prejuízos a terceiros 21

22 PSI como solução Os grupos de segurança são nomeados como autoridades máximas no escopo da resolução de incidentes, sendo as partes obrigadas a fornecer a informação necessária A atribuição da responsabilidade faz com que a investigação dos incidentes possa ir até o fim, independentemente dos envolvidos, e a notificação não é opcional Estes grupos também atuam como representantes da organização frente a notificações externas PSI UFRGS, Art. 6, 2o - Os usuários internos, discentes e colaboradores são responsáveis por garantir a segurança das informações da Universidade a que tenham acesso e por reportar ao DSInf os incidentes em segurança da informação de que tenham conhecimento. 22

23 Conclusões Mobilidade e serviços de TI de trazem diversos desafios de gestão, e são particularmente complexos para as questões de segurança da informação Alguns cenários apresentam ainda mais desafios a esta gestão, como o das autarquias administrativamente autônomas como as Universidades O desenvolvimento de boas políticas de segurança tem sido o mecanismo que permite o início da resolução dos desafios apresentados, e o que faz com que as comunidades destas organizações realmente tomem a questão da segurança como algo prioritário no conjunto de requisitos colocados às suas atividades A UFRGS, ainda um caso ainda em construção, já colhe frutos positivos desta nova perspectiva 23

24 Afonso Araújo Neto Depto. de Segurança da Informação CPD - UFRGS afonso@cpd.ufrgs.br