Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Modelos de analise

Transcrição

1 Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Modelos de analise Fernando Correia Capitão-de-fragata EN-AEL 8 de Dezembro de 2013 Fernando Correia (Ph.D Eng. Informática) 1/23

2 Índice 1 Administração operacional 2 Ciclo de vida da segurança Fernando Correia (Ph.D Eng. Informática) 2/23

3 Segurança em Redes Administração operacional Fernando Correia (Ph.D Eng. Informática) 3/23

4 Objectivos Reconhecer diversos de sistemas de informação Descrever exemplos de regras de comportamentos Compreender aspectos de segurança relacionados com os utilizadores em geral Compreender a ameaça interna associada a utilizadores com privilégios Fernando Correia (Ph.D Eng. Informática) 4/23

5 Pessoas O sucesso de um programa de segurança depende do envolvimento e cooperação das pessoas - para o bem e para o mal Cada pessoa é diferente da outra, em: experiência desempenho capacidade valores morais A organização deve trabalhar as características dos seus colaboradores de modo a alcançar os objectivos - dar formação Fernando Correia (Ph.D Eng. Informática) 5/23

6 Utilizadores em geral Todos os utilizadores com acessos a sistemas de informação são considerados utilizadores genéricos. A utilização do sistema deve estar associado a regras: Acções permitidas usar o sistema apenas para fins institucionais proteger o sistema contra a utilização de utilizadores não autorizados proteger as suas credenciais manusear a informação de forma segura Actividade não autorizada exceder o nível de autorização e privilégios introdução de código malicioso, de software ou hardware não autorizado tentativas de ultrapassar os sistemas de segurança - aproveitamento de falhas nos sistemas mudar ou modificar equipamentos ou ligações à rede Como e a quem deve ser reportado incidentes de segurança Fernando Correia (Ph.D Eng. Informática) 6/23

7 Regras de comportamento responsabilidade individual uso oficial e fins autorizados utilizadores e utilizadores privilegiados incidentes acesso à Internet trabalho a partir de casa viagens de empregados licenças e copyright c Fernando Correia (Ph.D Eng. Informática) 7/23

8 Remote and Deployed Users Utilizador é todo aquele que acede a um sistema de informações A classificação de cada um depende do local onde acede ao sistema: trabalho a partir de casa acesso ao sistema enquanto em serviço fora da organização privilégios de administração para condução de acções de manutenção a partir de uma localização remota Necessário criar políticas que devem abordar as regras e procedimentos de acesso remoto Fernando Correia (Ph.D Eng. Informática) 8/23

9 Utilizadores com privilégios Um utilizador com privilégios é aquele que foi autorizado a: controlar monitorizar administrar Pode também ser o utilizador que apenas executa um conjunto restrito de comandos de administração O utilizador com privilégios inclui: Administradores de sistema Pessoal do help desk Integradores de sistemas webmasters Pessoal da manutenção de sistemas Fernando Correia (Ph.D Eng. Informática) 9/23

10 Acções com os utilizadores Triagem: realização de entrevistas para avaliar os conhecimentos dos utilizador. Treino: acção critica para os utilizadores privilegiados Menor privilégio e separação de funções: separação de funções entre utilizador de carácter geral e privilegiado. Prevenção: esforço para evitar que um administrador de sistema tenha carta branca sobre todo o sistema - acessos não autorizados. Limitação: o número de utilizadores privilegiados deve ser limitado e mantido ao mínimo necessário. Responsabilização: identificar os responsáveis por determinadas áreas do sistema. Detecção: os empregos não autorizados devem ser detectados. Dissuasão: os privilégios devem ser usados para desempenhar apenas acções autorizadas. Fernando Correia (Ph.D Eng. Informática) 10/23

11 Operações de segurança Aplicar o principio de menor privilégio. Definir o ponto de contacto para assuntos de segurança do sistema. Manter o sistema operativo e o anti-vírus actualizado. Manter-se actualizado das vulnerabilidades do sistema e da rede. Manter activo os processos de auditoria. Obrigar a alteração das passwords com regularidade. Informar os utilizadores sobre os procedimentos a ter sobre a abertura de mail de origem desconhecida. Desactivar acessos anónimos, contas partilhadas. Desactivar os protocolos de rede que não são necessários ao sistema. Controlar, rotular e proteger o equipamento de móvel de armazenamento de dados - CD, disquetes, memória flash, etc. Activar bloqueio automático de sistema após período de inactividade. Fernando Correia (Ph.D Eng. Informática) 11/23

12 Segurança em Redes Ciclo de vida da segurança Fernando Correia (Ph.D Eng. Informática) 12/23

13 Objectivos Compreender os problemas da Segurança Informática em cada fase do ciclo de vida do sistema. Compreender o funcionamento de um sistema de certificação e autenticação (C&A). Fernando Correia (Ph.D Eng. Informática) 13/23

14 Introdução A segurança deve ser incluída no sistema: no inicio (estar planeada) integrada no desenho do sistema ser implementada com recursos de segurança instalados deve ser operada sempre com os requisitos de segurança activados no fim do ciclo de vida, o sistema deve ser desactivado de acordo com os procedimentos previamente estabelecidos Fernando Correia (Ph.D Eng. Informática) 14/23

15 Iniciação A segurança não é um fim em si. Os requisitos operacionais que definem as linhas base do sistema podem não estar relacionadas do ponto de vista da segurança. Deve ser considerado: Sensibilidade da informação Ameaças ao sistema ou à informação Localização do sistema Interdependências Restrições legais ou regulamentares Politica, procedimentos e precedentes organizacionais Fernando Correia (Ph.D Eng. Informática) 15/23

16 Definição O funcionamento do sistema, juntamente com as considerações iniciais, determinam os requisitos de segurança. Os requisitos devem ser identificados e definidos para assegurar que eles são tidos em conta cada fase subsequente do ciclo de vida do sistema. A definição dos requisitos requer uma analise de risco ou uma analise custo-beneficio. Fernando Correia (Ph.D Eng. Informática) 16/23

17 Desenho Os requisitos de segurança devem ser integrados no desenho do sistema. tem sido um princípio de comunidade informática que custa dez vezes mais para adicionar uma característica ao sistema depois da sua concepção, do que incluir essa característica durante a fase inicial do projecto (NIST Handbook, 1998, p.74) Nesta fase, as considerações de segurança para o ciclo de vida do sistema devem incluir: necessário controlo de segurança técnico e operacional especificações de segurança padrões de referência e critérios de teste para verificar os controles de segurança requisitos de segurança pessoais documentação dos requisitos de segurança validação dos requisitos Fernando Correia (Ph.D Eng. Informática) 17/23

18 Aquisição O gestor do sistema deve garantir que no processo de aquisição apenas é usado software de fontes fiáveis. As soluções Commercial off-the-shelf (COTS) contêm os requisitos de segurança que os sistemas de informação precisam. As soluções COTS têm que ser certificadas. Podem conter bugs que causam problemas de segurança. Contratar programadores para desenvolvimento de sistemas proprietários levanta problemas relacionados com: backdoors cavalos de Tróia código malicioso Fernando Correia (Ph.D Eng. Informática) 18/23

19 Desenvolvimento Os controlos de segurança são construídos no sistema. A integração de software deve ser realizada num ambiente de desenvolvimento. O desafio é a construção de um protótipo seguro, dentro dos prazos definidos, e que apresente capacidade de evolução face ao desenvolvimento da tecnologia. Fernando Correia (Ph.D Eng. Informática) 19/23

20 Implementação No final do desenvolvimento do sistema, antes do sistema ser dado como pronto para operação, devem ser realizados testes de avaliação e segurança - certificação do sistema. Todos os sistemas devem ser acreditados antes de permitir que o sistema entre em funcionamento Analise de risco: Avaliar as vulnerabilidades da organização e determinar a necessidade novas medidas de segurança. Certificação: Avaliação global aos aspectos técnicos e não-técnicos de segurança do sistema de informação e da rede. Aprovação para operar: Recomendação após o sistema ter passado no processo de avaliação - autorização temporária para operar (Interim Approval To Operate - IATO). Acreditação: Certificação do sistema por uma autoridade de certificação, em como o sistema está aprovado e autorizado a operar. Fernando Correia (Ph.D Eng. Informática) 20/23

21 Operação e Manutenção Após entrada em funcionamento do sistema, este de ser continuamente examinado por forma a comprovar que continua a manter os requisitos de segurança que foram certificados. A aplicação de ferramentas de segurança são indispensáveis para anomalias na gestão da informação. A manutenção do sistema apresenta os desafios: manutenção remota habilitações pessoais acordos de não divulgação etc Fernando Correia (Ph.D Eng. Informática) 21/23

22 Destruição e eliminação No fim do ciclo de vida do sistema, é necessário garantir que a informação guardada não é disponibilizada de forma inadvertida. A informação na memoria volátil é perdida quando se desliga a alimentação. Na memoria não volátil a informação deve ser explicitamente apagada. overwriting limpeza degaussing Desclassificação - processo administrativo que desclassifica a informação de documentos - retirada informação sensível ou sem informação temporal viável. de meios de suporte - retirados os documentos classificados Fernando Correia (Ph.D Eng. Informática) 22/23

23 Dúvidas? Fernando Correia (Ph.D Eng. Informática) 23/23