Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Gestão da Segurança da Informação

Transcrição

1 Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Gestão da Segurança da Informação Fernando Correia Capitão-de-fragata EN-AEL 30 de Novembro de 2013 Fernando Correia (Ph.D Eng. Informática) 1/25

2 Índice 1 Criar um programa de Gestão da Informação 2 Administrando a Segurança da Informação Fernando Correia (Ph.D Eng. Informática) 2/25

3 Objectivos Compreender a necessidade de apoio da administração. Identificar as características da gestão efectiva da Segurança da Informação. Determinar as aproximação à segurança da Informação. Identificar as métricas para quantificar o nível de segurança. Fernando Correia (Ph.D Eng. Informática) 3/25

4 Gestão da Segurança da Informação Criar um programa de Gestão da Informação Fernando Correia (Ph.D Eng. Informática) 4/25

5 Segurança como elemento integral da Gestão A segurança não é um fim, mas fornece um serviço critico à organização. A segurança é um elemento integral da gestão e carece o apoio da Gestão ao mais alto nível. A gestão de uma organização precisa de compreender que a Segurança da Informação tem um preço. O investimento na segurança tem sempre retorno. Fernando Correia (Ph.D Eng. Informática) 5/25

6 Desafios (1) Desafios da Segurança da Informação: Aumento da complexidade dos sistemas, das redes e da conectividade. Confiança na informação e nos sistemas de informação. Lidar com as exigências do sistema. Indisponibilidade de recursos. Redução de activos. Falta de experiência. Falta de disponibilidade de formação. Falta de apoio da direcção. Fernando Correia (Ph.D Eng. Informática) 6/25

7 Desafios (2) As pessoas são resistentes à mudança, excepto quando está em causa uma falha na segurança. O apoio da Gestão da organização é imperativo para o sucesso do programa de segurança. O exemplo deve vir de cima O gestor do programa de segurança não tem autoridade explicita. a autoridade é derivada de outras fontes. carece de apoio superior. Sem apoio superior não é possível fazer cumprir as politicas de segurança. Fernando Correia (Ph.D Eng. Informática) 7/25

8 A arte de servir diversos Mestres Equilíbrio entre Chefia Organizacional e Chefia Funcional. Organização da rede Quem reporta a quem? Quem define as regras de segurança? Quando existe alterações na cadeia de comando, é importante perceber o lugar do Gestor da Segurança da Informação. O Gestor da Segurança da Informação deve ter: linhas de orientação da autoridade de certificação. atender aos objectivos da organização e de segurança. apoio da gestão da organização para implementar politicas de segurança. Fernando Correia (Ph.D Eng. Informática) 8/25

9 Requisitos de um Gestor de Segurança da Informação (1) O Gestor de Segurança dever estar habilitado e equipado com ferramentas que permitem a realização do seu trabalho. Não queremos curiosos na gestão. Quem é o Gestor da Informação? Deve ser uma pessoa com formação na área, não aquele colaborador que foi o último a comparecer na reunião e colocou a mão no ar. Fernando Correia (Ph.D Eng. Informática) 9/25

10 Requisitos de um Gestor de Segurança da Informação (2) O Gestor de Segurança de Informação deve: conhecer os aspectos técnicos dos sistemas e saber fazer as perguntas certas quando é requerido mais informação, ou seja, saber a linguagem técnica. ter experiência em segurança, e capacidade de interpretar e aplicar as directivas, normas, regulamentos e politicas. ter conhecimento institucional da organização e conhecer a missão, objectivos, e modelo de negócios a fim de garantir que o nível de segurança é o adequado. Fernando Correia (Ph.D Eng. Informática) 10/25

11 Aproximações à Gestão da Segurança da Informação Aproximação Definição Vantagem Desvantagem Centralizado Equipa dedicada e todos os assuntos tratados pelo serviço Integridade, especialização controlo, Limitação de recursos, área de implementação DescentralizadoDepende de equipa diferenciada para executar as funções de SegInf Híbrido Equipa pequena e especializada, mas depende dos gestores locais de sistema Não tem limitação de recursos, área de implementação maior, não existe problemas de gestão de pessoal Fácil gestão de recursos, garante integridade do sistema Depende de terceiros, competição de recursos e prioridades, escolha do pessoal técnico Continua a depender de terceiros Fernando Correia (Ph.D Eng. Informática) 11/25

12 Equipa de manutenção O número de elementos da equipa de manutenção deve estar directamente relacionado com a dimensão da organização. Factores a considerar na construção da equipa: modelo de negócio dependência da Internet tipos de recursos Outsourcing A segurança da rede é a componente de gestão mais negligenciada. Garantir a segurança de uma rede de qualquer dimensão é difícil. Muitas organizações não conseguem manter uma equipa especializada nos seus quadros. Fernando Correia (Ph.D Eng. Informática) 12/25

13 Coordenação O Gestor da Segurança de Informação deve ser capaz de dialogar com diversas entidades, numa linguagem que possa ser compreendida por técnicos e por leigos. Deve ser capaz de coordenar as acções com: Autoridades de acreditação e certificação. Departamento jurídico. Investigadores criminais. Integradores. Gestores de configuração. Administradores de Sistemas / Redes. Departamento de auditoria. Equipa de recuperação de dados. Fernando Correia (Ph.D Eng. Informática) 13/25

14 Orçamentação A manutenção anual dos sistemas de segurança carece de orçamentação. Métricas A justificação de um orçamente está relacionado com o Retorno do Investimento (RdI) feito. É necessário quantificar os ganhos de uma organização face a um investimento pode em segurança, e quais as perdas potenciais de informação caso este processo não se realize. Acções a considerar Ferramentas de segurança. Acções de formação. Pessoal especializado. Fernando Correia (Ph.D Eng. Informática) 14/25

15 Métricas Métricas podem ser: medir o que não se consegue fazer. usar estatísticas para medir o impacto negativo da falta de segurança. Usar o histórico da organização ou comparar o desempenho com organizações semelhantes. métricas podem quantificar coisas (utilizadores, sistemas, contas), mas não reflecte necessariamente o nível de esforço ou impacto. as métricas normalmente não consideram o conhecimento institucional. Fernando Correia (Ph.D Eng. Informática) 15/25

16 Métricas - Sistemas e rede Numero de redes (LANs) Numero total de sistemas Numero de sistemas certificados Tempo médio necessário para certificar um sistema Numero de novos sistemas versus sistemas legados Numero de sistemas remotos ou sites Numero de colaboradores que acedem aos recursos da rede Numero de politicas e respectivas actualizações Numero de colaboradores responsáveis pela manutenção dos sistemas a tempo inteiro versus colaboradores temporários. Fernando Correia (Ph.D Eng. Informática) 16/25

17 Métricas - Segurança administrativa Tempo médio para criar contas de utilizadores Número de novas contas e passwords criadas Percentagem de utilizadores com acesso privilegiado versus acesso geral Numero de contas suspensas ou apagadas Numero de contas de convidados que são pedidas Numero de equipamentos portáteis em áreas seguras Numero de certificados digitais emitidos Numero de sistemas que usam fortes sistemas de autenticação versus password estática Numero de pedidos de helpdesk Tempo gasto em monitorização activa da rede etc Fernando Correia (Ph.D Eng. Informática) 17/25

18 Métricas - Controlo de Incidentes Numero de incidentes identificados ou reportados Numero de investigações pendentes de acção Percentagem de violações de segurança que terminam em acções administrativas Percentagem de colaboradores identificados por usar o sistema de forma impropria Numero de acessos às páginas web publicas da organização Numero de falsos positivos versus intrusões detectadas Numero de sondas detectadas Numero de eventos de negação de serviço Numero de vírus ou código malicioso identificado ou reportado etc Fernando Correia (Ph.D Eng. Informática) 18/25

19 Métricas - Outras Treino e consciencialização Numero total de colaboradores com formação no sistema Numero de administradores de sistema certificados Métodos usados para consciencialização de segurança Planos de contingência e destruição Numero de exercícios de treino realizados Numero de sistemas com cópia diária, semanal, mensal Numero de sistemas designados para destruição Numero de discos rígidos para reciclagem ou destruição Fernando Correia (Ph.D Eng. Informática) 19/25

20 Gestão da Segurança da Informação Administrando a Segurança da Informação Fernando Correia (Ph.D Eng. Informática) 20/25

21 Importância do Conhecimento Situacional Diário A maior fonte de má segurança é a má gestão. A origem da má gestão é não saber o que se está a passar O gestor do sistema é suposto ser também o gestor de risco. A consciencialização do estado do sistema, permite que o gestor do sistema tenha uma noção do estado do sistema, num determinado dia. O conhecimento do sistema não pode estar dependente de formulas cientificas (estatísticas) ou pressentimentos. Conhecer o sistema é fundamental para fazer uma analise de risco, de modo a avaliar as alterações necessárias a fim de garantir as linhas de orientação definidas para a segurança do sistema. Fernando Correia (Ph.D Eng. Informática) 21/25

22 Orientação técnica O gestor de segurança investe muito do seu tempo à procura de orientação técnica de segurança, face às decisões que tem que tomar. O gestor deve ser capaz de escrever: Importante: regulamentos; directivas; As complexidades técnicas tornam mais difícil politicas; saber o que questionar. Capacidade de decidir... Quando bem. um regulamento não existe, os precedentes históricos podem ser considerados, mas o uso de precedente não é necessariamente uma boa prática de segurança Cada decisão de segurança deve ser documentada para evitar interpretações erradas da solução preconizada. Fernando Correia (Ph.D Eng. Informática) 22/25

23 Assuntos legais É imperativo que o gestor de segurança estar familiarizado com os procedimentos de ordem legal para garantir a segurança do sistemas e os direitos do colaboradores. O gestor deve conhecer o limite das suas fronteiras de actuação: privacidade, patentes, direitos intelectuais, licenciamento de software, etc; conhecer os procedimentos legais para investigar incidentes; conhecer as formas de actuação das policias e quais os seus limites de actuação; conhecer as suas limitações técnicas na obtenção de provas forenses. Fernando Correia (Ph.D Eng. Informática) 23/25

24 Essencial da Gestão de Segurança Determinar o que é necessário ser protegido e identificar as ameaças; Definir quais são as prioridades; Conhecer qual é a informação crítica, identificar os sistemas e processos e saber porque é que se deve proteger a informação; Promulgar politicas e procedimentos que sejam realizáveis, por forma que todos compreendam e conheçam as suas responsabilidades; Rever regularmente as politicas e procedimentos de acordo com a sua relevância; Seguir as melhores práticas identificadas nos negócios de sucesso. Fernando Correia (Ph.D Eng. Informática) 24/25

25 Dúvidas? Fernando Correia (Ph.D Eng. Informática) 25/25