OTES07 Segurança da Informação Módulo 03: Fundamentos e Normas

Transcrição

1 OTES07 Segurança da Informação Módulo 03: Fundamentos e Normas Prof. Charles Christian Miers charles.miers@udesc.br

2 Normas A fim da segurança não tornar-se algo empírico, foram definidas normas de modo a possibilitar uma padronização e análise. Importante: Padrão: homologado por órgão reconhecido e deve ser seguido a fim de obter conformidade Norma: é publicada ou definida por alguma organização/instituição, nem sempre é um padrão Política: uma definição do norte que pretende-se atingir, deve ser baseada em algum padrão ou norma Procedimento: é o meio através dos quais são definidos os atos que devem ser executados de modo a atender uma política/norma/padrão OTES07 - Segurança da Informação 2

3 Normas (Cont.) Principais normas para segurança da Informação: BS7799, publicada pelo BSI, e suas variantes: ISO/IEC 17799, publicada pela ISO NBR-ISO/IEC 17799, publicada pela ABNT Família ISO/IEC COBIT, publicada pela ISACA ITIL (IT Infrastructure Library), criada CCTA do Reino Unido Outros padrões relacionados: FIPS, HIPPA, Sigma Six, etc. OTES07 - Segurança da Informação 3

4 Normas (Cont.) Família ISO 27000: ISO/IEC Information security management systems Overview and vocabulary ISO/IEC Information security management systems Requirements ISO/IEC Code of practice for information security management ISO/IEC Information security management system implementation guidance ISO/IEC Information security management Measurement ISO/IEC Information security risk management ISO/IEC Requirements for bodies providing audit and certification of information security management systems ISO/IEC Information security management guidelines for telecommunications organizations based on ISO/IEC ISO/IEC Guidelines for information and communications technology readiness for business continuity ISO/IEC Network security overview and concepts ISO/IEC Security incident management ISO Information security management in health using ISO/IEC OTES07 - Segurança da Informação 4

5 Histórico das Normas Métodos de escrita da antiga civilização egípcia Surgimento dos computadores Em outubro de 1967 o Departamento de Defesa dos Estados Unidos criou o Security control for computer system: report of defense science board task force on computer security, editado por W. H. Ware (considerado primeiro esforço em segurança) The Orange Book (Departamento de Defesa americano) de dezembro, versão final Criado na Inglaterra o CCSC (Comercial Computer Security Centre) PD0003 Código para gerenciamento da segurança da informação, publicado pelo BSI A partir da revisão do código PD0003, foi publicada a norma BS :1995 OTES07 - Segurança da Informação 5

6 Histórico das Normas (Cont.) COBIT (Control Objectives for Information and related Technology), publicada pela ISACA (Information Systems Audit and Control Foundation) 1998 Publicada BS :1998 Publicada a segunda edição do COBIT 2000 Em 01/março BS 7799 foi efetivada na Inglaterra Publicada em 01/dezembro a norma ISO/IEC 17799: Em setembro, a ABNT (Associação Brasileira de Normas Técnicas) homologou, a versão brasileira da norma ISO/IEC denominada, NBR ISO/IEC Publicada a versão 2.0 da ISO/IEC em junho Publicada a versão 2.0 da NBR-ISO/IEC em novembro 2009 Série ISO OTES07 - Segurança da Informação 6

7 Principais referências de gerenciamento de riscos e controles internos ISO (International Organization for Standardization) Auditoria Analítica Skinner / Anderson - Canadá FDICIA (Federal Deposit Insurance Corporation Improvement Act) e CADBURY (Internal Control and Financial Reporting) no Reino Unido COSO (Committee of Sponsoring Organizations of the Treadway Commission) KON TRAG (Controle e transparência das empresas alemãs) CoCo (Canadian Institute of Chartered Accountants' Criteria of Control Committee) e ANZ 4360 Risk Management (Standards Australia and New Zealand) COBIT (Control Objectives for information and Related Technology) G 30 (The Group of Thirty) BASILEIA TURNBULL (Controle e transparência para Bolsa de Londres) BASILEIA 2 SARBANES-OXLEY COSO II (Enterprise Risk Management) OTES07 - Segurança da Informação 7

8 Segurança da Informação Conceito formal: Segurança é, portanto, a proteção de informações, sistemas, recursos e serviços contra desastres, erros e manipulação não autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurança Para NBR ISO/IEC 17799: A segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio. Para o COBIT a segurança da informação é, conceitualmente tratada partindo dos mesmos princípios da NBR ISO/IEC OTES07 - Segurança da Informação 8

9 Segurança da Informação Segundo a NBR ISO/IEC é preciso estabelecer: Confidencialidade Integridade Disponibilidade A norma COBIT, também contempla efetividade, eficiência, flexibilidade e confiabilidade, além de confidencialidade, integridade e disponibilidade OTES07 - Segurança da Informação 9

10 Confidencialidade Para a NBR ISO/IEC e para COBIT, trata-se de garantir que tenha acesso a informação somente quem tenha autorização de para tal. Ações: Informações em papel: restringir acesso físico Informações em meio digital: medidas mais sofisticadas OTES07 - Segurança da Informação 10

11 Integridade Para a NBR ISO/IEC e para a COBIT significa assegurar que a informação e os métodos de processamento mantém-se exatos e completos Proteger contra: Alteração não autorizada Erros do meio de transporte OTES07 - Segurança da Informação 11

12 Disponibilidade Para a NBR ISO/IEC trata-se de garantir que sempre que usuários autorizados necessitem ter acesso a informações isto aconteça efetivamente Para a COBIT maior orientação para os negócios. Proteger contra: Falhas dos equipamentos Ação de pessoas maliciosas OTES07 - Segurança da Informação 12

13 Definição de Política de Segurança Conjunto de procedimentos para: Proteção, controle e monitoramento dos recursos computacionais Responsabilidades Deve integrar-se às demais políticas da instituição Deve ser disseminada na organização Clara, concisa e praticável OTES07 - Segurança da Informação 13

14 Definição de Política de Segurança Segundo a NBR ISO/IEC p.4, o objetivo da política de segurança é: prover à direção uma orientação e apoio para a segurança da informação Para a COBIT ela deve ter seu foco no alto nível de controles para cada processo, ser clara e satisfazer os recursos de TI OTES07 - Segurança da Informação 14

15 Requisitos de Segurança Para identificar os requisitos (NBR ISO/IEC 17799, 2001): Avaliação de risco dos ativos da organização Legislação e cláusulas contratuais da organização em seus negócios De cunho particular da organização Para a COBIT (2000): Pontos de responsabilidade da alta gerência Recursos humanos COBIT aborda sob um aspecto mais comercial OTES07 - Segurança da Informação 16

16 Controles de Segurança Controles devem atender aos requisitos Tem por objetivo sanar ou diminuir os riscos Pode ser de natureza técnica, procedimental, jurídica ou qualquer outra Podem utilizar normas/padrões, boas práticas de segurança ou criados de acordo com as necessidades OTES07 - Segurança da Informação 17

17 Controles de Segurança Ameaças Hardware Camadas de defesa Sistema Operacional Aplicativos Serviços... Esquema de defesa em camadas OTES07 - Segurança da Informação 18

18 NBR ISO/IEC Estrutura: coordena ALTA GERÊNCIA referência NBR ISO/IEC Recursos Organizacionais: Recursos Humanos Recursos Técnicos Relacionamentos de Negócios interação base INFORMAÇÃO OTES07 - Segurança da Informação 19

19 NBR ISO/IEC Requisitos: Política de segurança Segurança organizacional Classificação e controle dos ativos de informação Segurança em pessoas Segurança física e do ambiente Gerenciamento das operações e comunicações Política de controle de acesso Desenvolvimento e manutenção de sistemas Gestão da continuidade dos negócios Conformidade OTES07 - Segurança da Informação 20

20 NBR ISO/IEC Controles (sob ponto de vista legal): Proteção de dados e privacidade de informações pessoais Salvaguarda de registros organizacionais Direitos de propriedade intelectual Controles (melhores práticas): Documento da política de segurança da informação Definição das responsabilidades na segurança da informação Educação e treinamento em segurança da informação Relatório dos incidentes de segurança Gestão da continuidade do negócio OTES07 - Segurança da Informação 21

21 COBIT CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY É um guia para gestão de TI que auxilia no gerenciamento de processos baseados em objetivos de negócios. Inclui recursos tais como: Sumário executivo Framework Controle de objetivos Mapas de auditoria Conjunto de ferramentas de implementação Guia com técnicas de gerenciamento OTES07 - Segurança da Informação 22

22 O QUE É GOVERNANÇA EM TI? Governança em TI é uma estrutura de relações e processos que dirige e controla uma organização a fim de atingir seu objetivo através do gerenciamento balanceado do risco Os resultados obtidos por organizações bem sucedidas são exemplos claros do que a Governança em TI pode significar em termos de retorno de investimento (ROI Return Over Investiment) Informações para proceder com TI: Foco nas maiores fraquezas Obtenção de resultados da equipe de gerenciamento e da equipe de TI Busca por suporte técnico OTES07 - Segurança da Informação 23

23 Governança de TI MERCADO FORNECE- DORES ADMINISTRAÇÃO DA EMPRESA ADMINISTRAÇÃO DE TI CLIENTES SISTEMAS E APLICAÇÕES INFRA- ESTRUTURA E PRODUÇÃO SEGURANÇA GARANTIA DE QUALIDADE CONFORMIDADE AUDITORIAS INDEPEN- DENTES AUDITORIA DE SISTEMAS ÓRGÃOS REGULA- DORES OTES07 - Segurança da Informação 24

24 Estrutura: OTES07 - Segurança da Informação 25

25 Visão Geral e Estrutura do COBIT: Processos de TI M1 monitorar os processos M2 avaliar a adequação do controle interno M3 obter certificação independente M4 providenciar auditoria independente PLANEJAMENTO E ORGANIZAÇÃO PO1 definir um plano estratégico de TI PO2 definir a arquitetura de informação PO3 determinar a direção tecnológica PO4 definir a organização e relacionamentos da TI PO5 gerenciar o investimento em TI PO6 comunicar metas e diretivas gerenciais PO7 gerenciar recursos humanos PO8 garantir cumprimento de exigências externas PO9 avaliar riscos PO10 gerenciar projetos PO11 gerenciar qualidade MONITORAÇÃO AQUISIÇÃO E IMPLEMENTAÇÃO DS1 definir níveis de serviços DS2 gerenciar serviços de terceiros DS3 gerenciar performance e capacidade DS4 garantir continuidade dos serviços DS5 garantir segurança dos sistemas DS6 identificar e alocar custos DS7 educar e treinar usuários DS8 auxiliar e aconselhar usuários de TI DS9 gerenciar a configuração DS10 gerenciar problemas e incidentes DS11 gerenciar dados DS12 gerenciar instalações DS13 gerenciar a operação PRODUÇÃO E SUPORTE AI1 identificar soluções AI2 adquirir e manter software aplicativo AI3 adquirir e manter arquitetura tecnológica AI4 desenvolver e manter procedimentos de TI AI5 instalar e certificar sistemas AI6 gerenciar mudanças OTES07 - Segurança da Informação 26

26 COBIT: Visão tridimensional Procesos de TI Eficiencia Eficácia Dominios (4) Processos (34) Atividades (318) Critério da Informação Integridade Disponibilidade Confidencialidade Confiabilidade i Aderencia Pessoas Sistemas Aplicativos Tecnología Instalaçào Dados Recursos de TI OTES07 - Segurança da Informação 27

27 COBIT Requisitos: Requisitos de qualidade Requisitos de confiabilidade Requisitos de segurança Controles: Possui 34 controles de alto nível De 3 a 30 controles específicos para cada controle de alto nível Total 318 objetivos de controle OTES07 - Segurança da Informação 28

28 COBIT Controles: Definição de um plano estratégico de tecnologia da informação Determinação da direção tecnológica Gerência da mudança da tecnologia da informação Comunicação dos objetivos e aspirações da gerência Administração de projetos Administração da qualidade Administração dos recursos humanos Identificação de soluções automatizadas Administração de mudanças Administração dos serviços prestados por terceiros Assegurar a continuidade dos serviços Garantir a segurança dos sistemas OTES07 - Segurança da Informação 29

29 COBIT Controles: (Cont.) Identificação e destinação dos custos Educação e treinamento de usuários Administração de problemas e incidentes Monitoramento do processo Obtenção de garantias independentes Prover auditoria independente OTES07 - Segurança da Informação 30

30 Como o COBIT relaciona-se a Governança em TI? Requisitos Direção (Política e Estratégia de TI) Objetivos Controle Objetivos Responsibilidades Negócios Business IT Governança Informa as necessidades do negócio para alinhar os objetivos de TI Informação (Controles, Riscos E Garantia do TI) Governança TI OTES07 - Segurança da Informação 31

31 NBR ISO/IEC x COBIT NBR ISO/IEC COBIT Estrutura Orientada a diversidade das práticas organizacionais, serve de orientação para a alta gerência na administração de seus recursos sobre a informação. Estruturada com base em domínios que dividem os segmentos organizacionais de forma natural para melhor implementação de seus procedimentos. OTES07 - Segurança da Informação 32

32 NBR ISO/IEC x COBIT NBR ISO/IEC COBIT Requisitos Requisitos de segurança bem definidos. Para esta norma os requisitos devidamente identificados resultam em um caminho para proceder a implementação da segurança. Os requisitos são deixados mais a cargo de quem faz utilização da norma. Suas definições são mais genéricas, deixando o enfoque nos objetivos da segurança. OTES07 - Segurança da Informação 33

33 NBR ISO/IEC x COBIT NBR ISO/IEC COBIT Controles Estabelecidos tendo ligação com os requisitos. Apresentamse de forma mais genérica e com dependência de uma identificação eficiente dos requisitos de segurança. Bem definidos, os controles demonstram aos administrados de tecnologia da informação o que deve ser alcançado para a implementação da segurança da informação. OTES07 - Segurança da Informação 34

34 COMPARATIVO NBR ISO/IEC x COBIT: Tanto a COBIT como a NBR ISO/IEC dispõem de boas práticas de segurança O COBIT tem seu ponto forte no estabelecimento de controles de segurança A NBR ISO/IEC enfoca mais a identificação dos requisitos OTES07 - Segurança da Informação 35

35 TENDÊNCIAS Previsão de recorde em gastos com segurança em 2012 Principalmente relacionado a computação em nuvem Dos executivos de TI das empresas em que foi ou será adotada a computação em nuvem, 50% consideram que a segurança é o desafio ou a preocupação mais importante, em comparação com 42% dos executivos das unidades de negócios. Por outro lado, 51% dos integrantes da comunidade provedora da tecnologia em nuvem declaram que a segurança está no topo de suas listas. Necessidade de segurança Procura pelas normas/padrões: NBR ISO/IEC COBIT Outras normas (multinacionais) OTES07 - Segurança da Informação 36

36 ESTATÍSTICAS No cenário internacional: Predomina o uso da ISO/IEC e ISO/IEC27000 COBIT é bastante utilizado (ex. Japão) OTES07 - Segurança da Informação 37

37 OTES07 - Segurança da Informação 38

38 Leitura Recomendada: Schneier, B. - Segurança.com. 1ª Edição. Rio de Janeiro. Campus Capítulo 1 Norma NBR-ISO/IEC versão 2.0 Item 1 COBIT BS Normas e padrões de segurança: OTES07 - Segurança da Informação 39