Gerenciamento e Interoperabilidade de Redes

Transcrição

1 EN3610 Gerenciamento e Interoperabilidade de Redes Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt Santo André, abril de 2011

2 Como a SI pode ser obtida? Implementando CONTROLES, para garantir que os objetivos de segurança sejam alcançados Políticas Práticas Procedimentos Estruturas organizacionais Funções de softwares

3 Fatores Críticos de Sucesso Política de segurança, objetivos e atividades que reflitam os objetivos do negócio Implementação da segurança consistente com a cultura organizacional Comprometimento e apoio da direção Compreensão dos requisitos de segurança, avaliação de riscos e gerenciamento de riscos

4 Fatores Críticos de Sucesso Divulgação (propaganda) sobre segurança para todos os gestores e funcionários Distribuição das diretrizes sobre normas e política de segurança para todos os funcionários e fornecedores Educação e treinamento para todos os envolvidos Sistema de medição abrangente para avaliar o desempenho da gestão de SI e obtenção de sugestões de melhoria

5 Normas para Segurança da Informação ISO/IEC ISO/IEC NBR ABNT e (traduções)

6 Normas ISO/IEC ISO/IEC Origem norma britânica BS Sistemas de Gestão de SI (ISMS information security management system) Objetivo da organização: certificação ISO/IEC Conhecida anteriormente como ISO/IEC Origem na norma britânica BS Código de prática para a gestão da SI Objetivo da organização: conformidade

7 Áreas (cláusulas de controle) Gestão da continuidade do negócio Política de segurança Organizando a SI Conformidade Integridade Confidencialidade Gestão de ativos Gestão de incidentes de SI Informação Segurança em RH Desenvolvimento e manutanção de sistemas Controle de acesso Disponibilidade Gestão das operações e comunicações Segurança física e ambiental

8 Áreas (cláusulas de controle) Aspecto Organizacional Política de Segurança Segurança Organizacional Organizacional Técnico Físico Classificação e Controle de Ativos Controle de Acesso Conformidade Operacional Segurança de RH Segurança Física e Ambiental Desenvolvimento e Manutenção de Sistemas Gestão das Operações e Comunicações Gestão da Continuidade do negócio

9 Seções da ISO Norma organizada em 11 seções Cada seção cobre um tópico ou área diferente objetivos específicos

10 Seções da ISO Política de Segurança Determina expectativas para SI Fornece direção/suporte ao gerenciamento Base para revisões e avaliações regulares 2. Organizando a Segurança da Informação Infraestrutura de SI Coordenação da SI

11 Seções da ISO Gestão de Ativos Inventário dos ativos, normas de uso, etc 4. Segurança de RH Educação e informação dos funcionários atuais ou potenciais sobre a expectativa da empresa quanto a assuntos confidenciais e de segurança, e como sua função na segurança se enquadra na operação geral da empresa

12 Seções da ISO Segurança Física e do Ambiente Trata de proteger áreas seguras, equipamentos de segurança e controles gerais 6. Gerenciamento de Operações e Comunicações garantir instalações para a operação correta e segura do processamento de informações minimizar o risco de falhas dos sistemas proteger a integridade do software e/ou das informações manter a integridade e disponibilidade do processamento de informações e comunicações garantir a proteção das informações em redes e da infraestrutura de suporte evitar danos ao patrimônio e interrupções nas atividades da empresa prevenir perdas, modificações ou uso inadequado das informações trocadas entre empresas

13 Seções da ISO Controle de Acesso Monitoração e controle do acesso a recursos da rede e de aplicativos, para proteger contra abusos internos e intrusões externas 8. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Recomenda implementar e manter recursos de TI visando segurança em mente, usando os controles de segurança em todas as etapas do processo

14 Seções da ISO Gestão de Incidentes de SI Gestão e tratamento de incidentes 10. Gestão da Continuidade dos Negócios Maneiras para neutralizar interrupções às atividades comerciais e proteger processos de negócio cruciais, no evento de uma falha ou desastre

15 Seções da ISO Compatibilidade análise da integração da implementação da norma com requisitos legais revisão da política de segurança e compatibilidade técnica considerações sobre o sistema do processo de auditoria

16 Sistema de Gerenciamento de Segurança da Informação (ISMS)

17 Sistema de Gerenciamento de Segurança da Informação (ISMS) Um ISMS tem o objetivo de instituir a política e objetivos de segurança de informação da organização... E cumprir esses objetivos

18 Sistema de Gerenciamento de Segurança da Informação (ISMS) Um ISMS provê uma abordagem sistemática para gerenciar informações sensíveis e protegê-las O ISMS envolve pessoas, processos e sistemas de informação

19 Sistema de Gerenciamento de Segurança da Informação (ISMS) O ISMS faz parte do sistema de gerenciamento global de uma organização Baseado em uma abordagem de riscos Com o objetivo de Estabelecer Implementar, operar Monitorar, revisar Manter, melhorar A segurança da informação

20 ISMS A norma ISO 27001:2005 especifica o ISMS e oferece diretrizes para a sua aplicação Proporciona controles de segurança para proteger os ativos e garantir confiança Baseado no modelo Plan-Do-Check-Act (PDCA) Plan: estabelecimento do ISMS Do: implementação e operação do ISMS Check: monitoração e revisão do ISMS Act: manutenção e melhoria do ISMS

21 ISMS: Modelo PDCA Melhoria Contínua ACT Requisitos e Expectativas PLAN CHECK DO Resultados

22 Seções do ISMS Estabelecer e gerenciar o ISMS PDCA Requisitos de documentação Responsabilidade da Gestão Análise/revisão de gestão do ISMS Aprimoramento do ISMS

23 Plan: Estabelecer Definir o escopo do ISMS Definir as políticas da organização Definir abordagem sistemática de gestão de riscos Identificar os riscos Avaliar os risco Identificar/avaliar opções de tratamento de riscos Selecionar os objetivos de controle e controles Preparar uma declaração de aplicação

24 Do: Implementar e operar Formular um plano de tratamento de riscos Implementar o plano de tratamento de riscos Implementar os controles selecionados (plan) Implementar programas de conscientização e treinamento Gerenciar as operações Gerenciar os recursos Implementar procedimentos para detecção rápida e resposta a incidentes de segurança

25 Check:Monitorar e revisar Executar procedimentos para detectar erros, identificar brechas de segurança, descobrir se as tarefas de segurança estão sendo desempenhos de acordo com o planejado, etc. Executar verificações periódicas da efetividade do ISMS, considerando as questões anteriores Verificar o nível de risco residual e aceitável, levando em consideração mudanças Executar auditorias internas periódicas do ISMS Averiguar a efetividade do gerenciamento do ISMS Registrar ações e eventos que podem ter impacto na efetividade e desempenho do ISMS

26 Act:Manter e aprimorar Implementar e identificar melhorias no ISMS Tomar medidas corretivas e preventivas Corretivas: tomar ações para eliminar as causas das não conformidades de implementação e operação do ISMS Preventivas: determinar possíveis não conformidades futuras para prevenir sua ocorrência Comunicar resultados e ações e ter a concordância de todas as partes interessadas Assegurar que os aprimoramentos atingem os seus objetivos

27 Gerenciamento e Avaliação de Riscos

28 Terminologia Risco Possibilidade de sofrer perda ou dano; perigo Ataque acesso a dados ou uso de recursos sem autorização execução de comandos como outro usuário violação de uma política de segurança, etc, Vulnerabilidade É uma falha que pode permitir a condução de um ataque Incidente A ocorrência de um ataque; exploração de vulnerabilidades Ameaça Qualquer evento que pode causar dano a um sistema ou rede A existência de uma vulnerabilidade implica em uma ameaça Exploit code Um código preparado para explorar uma vulnerabilidade conhecida

29 Gerenciamento de Riscos Estruturas de SI nas organizações são criadas para gerenciador riscos Gerenciar riscos é uma das responsabilidades dos gestores da organização Todos os programas de gerenciamento de riscos são baseados em dois processos Identificação e avaliação de riscos Controle (minimização) de riscos

30 Ciclo de vida Gerenciamento de Riscos Identificar áreas de risco Reavaliar os riscos Implementar ações de gerenciamento de riscos Ciclo de Gerenciamento de Riscos Avaliar riscos Desenvolver plano de gerenciamento de riscos Avaliação de riscos Controle (minimização) de riscos

31 Definições ISO Gerenciamento de riscos Conjunto de atividades coordenadas para direcionar e controlar um organização com relação a riscos de SI Análise de riscos Uso sistemático da informação para identificar as fontes de riscos e para estimar o risco Avaliação de riscos Processo de comparar os riscos estimados com determinados critérios de riscos para determinar a significância dos riscos Estimativa de riscos Processo global de análise e avaliação de riscos Tratamento de riscos Processo de seleção e implementação de medidas para modificar o risco Aceitação de riscos Decisão de aceitar um risco

32 Procedimentos básicos Avaliação de Riscos Quais são os riscos? Minimização de Riscos O que fazer para tratar os riscos? Avaliação Qual foi o resultado alcançado?

33 Estimativa de Riscos Passo 1: Caracterização do sistema Passo 2: Identificação das ameaças Passo 3: Identificação de vulnerabilidades Passo 4: Análise de controles Passo 5: Determinação das possibilidades Passo 6: Análise de impacto Passo 7: Determinação dos riscos Passo 8: Recomendações de controles Passo 9: Documentação

34 Estimativa de Riscos Passo 1: Caracterização do sistema O que há para gerenciar? Como a TI está integrada no processo? Passo 2: Identificação das ameaças Quais fontes de ameaças devem ser consideradas? (Interna/externa, acidental/intencional, maliciosa/não-maliciosa) Passo 3: Identificação de vulnerabilidades Quais falhas/fraquezas podem ser exploradas? Passo 4: Análise de controles Quais são os controles atuais e planejados?

35 Estimativa de Riscos Passo 5: Determinação das possibilidades Alta Média Baixa Fonte de ameaças altamente motivada e habilidosa e controles para prevenir exploração das vulnerabilidades são ineficazes Fonte de ameaças motivada e habilidosa, mas existem controles que podem impedir a exploração das vulnerabilidades Fonte de ameaças carente de motivação ou habilidade ou existem controles para prevenir a exploração das vulnerabilidades

36 Estimativa de Riscos Passo 6: Análise de Impacto A exploração da vulnerabilidade pode resultar em: Alta (1) perda de grandes ativos resultando em custo altíssimo; (2) violação, dano ou impedimento significativo da/na missão, reputação ou lucro; (3) morte ou ferimento humano Média (1) perda de ativos caros; (2) violação, dano ou impedimento da/na missão, reputação ou lucros; (3) ferimento humano Baixa (1) perda de algum ativo real; (2) influência visível na missão, reputação ou lucros

37 Estimativa de Riscos Passo 7: Determinação dos riscos Possibilidade da ameaça Baixo (10) Impacto Médio (50) Alto (100) Alta (1.0) Baixo Médio Alto 10 X 1.0 = X 1.0 = X 1.0 = 100 Média (0.5) Baixo Médio Médio 10 X 0.5 = 5 50 X 0.5 = X 0.5 = 50 Baixa (0.1) Baixo Baixo Baixo 10 X 0.1 = 1 50 X 0.1 = X 0.1 = 10 Escala de Risco: Alto ( >50 a 100); Médio ( >10 a 50); Baixo (1 a 10)

38 Estimativa de Riscos Passo 7: Determinação dos riscos Nível do Risco Descrição do Risco e Ações Necessárias Alto Médio Baixo Se uma ameaça é avaliada como um risco alto, existe uma necessidade forte de medidas corretivas Um sistema existente pode continuar a operar, mas o plano de ação corretiva deve ser implantado o mais rápido possível Se uma ameaça é avaliada como um risco médio, ações corretivas são necessárias e um plano deve ser desenvolvido para incorporar essas ações em um tempo razoável Se uma ameaça é avaliada como um risco baixo, a organização deve determinar se ações corretivas são necessárias ou decidir em aceitar o risco

39 Risk Assessment (Continued) Passo 8: Recomendações de controles Objetivo: encontrar os controles mais baratos para garantir operação a pleno vapor Considerações: Eficácia do controle Legislação, regulamentação e política organizacional Impacto operacional Segurança física e confiabilidade Os controles sempre devem ser adequados à organização

40 Minimização de Riscos Opções de minimização Adoção/aceitação do Risco Aceitar o risco potencial Anulação do Risco Alteração da maneira como o sistema é utilizado Remoção da vulnerabilidade ou possibilidade de exploração Limitação do Risco Estabelecimento de limites no sistema, para detectar e reagir rapidamente Transferência do Risco Para alguém que paga por ele (ex: seguro)

41 Estratégia para minimização de riscos Fonte Ameaça Projeto Sistema Falha ou fraqueza? SIM Pode ser explorada? SIM Vulnerabilidade existe & NÃO ÃO Nenhum Risco Nenhum Risco Impacto na missão? SIM Risco Existe Custo do atacante > ganho? SIM Perda Estimada > Limiar? SIM Risco Inaceitável NÃO NÃO Nenhum Risco Aceitar Risco NÃO Aceitar Risco

42 Minimização de Riscos Implementação de Controles Técnico (Suporte, prevenção, detecção & recuperação) Gerencial (treinamento, planos, procedimentos) Operacional (físico, pessoal, backup,...) Reduz número de falhas ou erros Controle novo ou melhor Inclui controle direcionado Risco Residual Reduz a magnitude do impacto