Horário 8:3-9: 9: - 9:1 9:1-9:4 9:4-11:1 11:1-11:3 11:3-12:1 12:1-14: 14: - 14:4 14:4-15: 15: - 15:4 15:4-16: 16: - 17: 17: - 17:3 Agenda Agenda Credenciamento (entrega de crachás) Abertura - CTI e CCE Diagnóstico da segurança computacional na USP - CCE/USP Gestão de risco eletrônico e as boas práticas do direito digital com tendências das novas regulamentações Dra. Patricia Peck Pinheiro - PPP Advogados Coffee Break Combatendo spam com greylisting no sistema de email @usp.br André Gerhard - CCE/USP Treinamento de segurança para usuários de informática utilizando ferramenta EAD Clelia Camargo Cardoso - CIRP/USP Almoço Firewall em estado ativo utilizando open-source software Dagoberto Carvalho Junior - ICMC/USP Alinhando NBR-ISO/IEC 17799 e 271 na administração pública Cesar Augusto Asciutti - Agência USP de Invovação Serviço NTP.br Milton Kaoru Kashiwakura - NIC.br Aspectos da análise forense Rodrigo Antão - TechBiz Forense Digital Coffee Break Rede com auto-defesa Medidata/CISCO Mesa Redonda
Diagnóstico da Segurança Computacional na USP 9 de novembro de 26
Segurança Computacional - Qual a abrangência? ISO/NBR 17799: 1. Política de segurança 2. Organização da segurança 3. Controle e classificação de ativos de segurança 4. Pessoas envolvidas em segurança 5. Segurança ambiental e física 6. Gerenciamento físico e de comunicação 7. Controle de acesso 8. Manutenção e desenvolvimento de sistemas 9. Gerenciamento da continuidade de negócios 1. Conformidade
Métodologia para avaliação da Segurança Computacional Perspectiva Interna 1. Através de pesquisa à comunidade de administradores 2. Através de dados que relacionam incidentes de segurança a outros indicadores institucionais 3. Através da análise dos tipos e quantidade de incidentes de segurança Perspectiva Externa Comparação com outras Universidades de mesmo porte e finalidade Sítios idôneos: Zone.h, DShield; Listas RBL,NJABL
Pesquisa sobre Segurança 27 de junho de 26 Auto-avaliação estimulada 2 em 5 unidades responderam (4%) Objetivo Verificar o grau de maturidade de pessoas, processos, e tecnologias Q1: 13 questões sobre pessoas Q2: 44 questões sobre processos Estratégias, Procedimentos, Políticas, Controle Lógico e Físico Q3: 17 questões sobre tecnologias Q3 Tecnologia Pessoas Processos Pontuação: Não executado = Em planejamento = 1 parcialmente executados = 2 Quase concluído =3 Concluído = 4 Pontuação Máxima de cada questão = 8 Pontuação Máxima por Unidade = 296 Q1 Q2
Q1 - Pessoas Questões com pontuações extremas Pontuações altas 1.1 Pode-se identificar em sua Unidade uma pessoa que tenha como dever preliminar a segurança da informação, com responsabilidade para manter o programa da segurança e assegurar sua conformidade? (38/8 =,48) 1.8 Existe alguém na equipe de segurança da informação que seja responsável por manter comunicação com os Centros de Informática, com a intenção de identificar alguma exigência nova da segurança baseada em mudanças nas operações? (35/8 =,44) 1.6 Existe um plano de recuperação da continuidade e de desastre do negócio (dentro ou fora da função da segurança da informação)? (32/8 =,4) Pontuações baixas 1.1 São feitos relatórios regulares de sua equipe de segurança da informação para os líderes de sua instituição sobre a eficácia do programa e das políticas da segurança da informação? (13/8 =,16) 1.7 Você tem um programa de treinamento que proporcione habilidades e conhecimento sobre segurança da informação para os membros da função da segurança da informação? (1/8 =,13) 1.12 Os chefes e diretores das Unidades têm programas específicos estabelecidos para atender as políticas e os padrões da segurança da informação, com o objetivo de assegurar a segurança da informação e dos sistemas que suportam as operações e os recursos sob seu controle? (9/8 =,11)
Q1 - Pessoas Distribuição das respostas das Unidades Q1.1 2 1 1 2 4 3 3 2 2 2 4 4 4 4 4 Q1.12 1 4 2 2 4 Pontuação Mais Alta (,48) Pontuação Mais Baixa (,11) Q.1.1 Pessoa responsável pela segurança Q.1.12 Chefes e diretores engajados em segurança
Q2 Processos Estratégia em Segurança Maiores Pontuações 2.1 Sua instituição adota alguma política de segurança da informação, baseada em estratégia de segurança da informação e gestão de riscos? (21/8 =,26) 2.2 Tal política de segurança é atualizada periodicamente para suprir novas necessidades e estratégias do cliente/usuário, tais como ameaças de segurança? (19/8 =,24) 2.4 Sua Unidade possui processos e procedimentos que envolvam o pessoal de segurança na avaliação e indicação dos possíveis impactos de segurança, antes da compra ou à introdução de sistemas novos? (19/8 =,24) Menores Pontuações 2.3 Existe algum um processo para rever os sistemas e as aplicações existentes em relação a conformidade e também para informar os casos de não conformidade? (11/8 =,14) 2.6 Sua Unidade possui algum um processo para avaliar e classificar apropriadamente a informação e os recursos da informação que suportam as operações e os recursos sob seu controle, para indicar os níveis apropriados da segurança da informação? (7/8 =,9) 2.5 Se um sistema desenvolvido for alterado, não estando conforme com sua arquitetura oficial, existe algum processo e um tempo definido para trazê-lo na conformidade ou para removê-lo do serviço, das aplicações ou dos processos do negócio? (6/8 =,8)
Q2 Processos Procedimentos Maiores Pontuações 2.32 Investigação e correção imediata das causas das falhas de segurança (34/8 =,43) 2.18 Controle do uso aceitável dos computadores, e-mail, da Internet e da Intranet (33/8 =,41) 2.25 Gerência de vulnerabilidade (gerência de patches e software do antivírus) (3/8 =,38) 2.26 Planejamento de contingência da recuperação de desastre (planejamento da continuidade do negócio) (28/8 =,35) Menores Pontuações 2.23 Classificação, retenção, e destruição dos dados (12/8 =,15) 2.29 Processos de gerência de mudança (9/8 =,13) 2.24 Informação compartilhada incluindo armazenamento e transmissão de dados institucional através de recursos externos (ISPs, redes externas, sistemas dos contratantes) (6/8 =,8)
Maiores Pontuações Q2 Processos Políticas 2.1 Existe algum método para divulgar as políticas de segurança aos administradores, empregados, estudantes, contratantes e sócios? (23/8 =,29) 2.11 As conseqüências para o não cumprimento com as políticas incorporadas, claramente, são comunicadas e reforçadas? (21/8 =,26) Menores Pontuações 2.13 Quando as políticas são atualizadas ou novas políticas são desenvolvidas, é conduzida alguma análise para determinar suas implicações financeiras e de recurso para executar a política nova? (11/8 =,14) 2.15 As políticas relevantes da segurança são incluídas em todos seus contratos com terceiros? (9/8 =,13)
Q2 Processos Segurança Física e Lógica Melhores Pontuações 2.38 Sua instituição mantém um inventário atual dos elementos físicos da rede (roteadores/switches, subnets, DNS e servidor DHCP) e também dos recursos lógicos da rede (os nomes do domínio, endereços de rede, listas de controle de acesso)? (52/8 =,65) 2.35 As medidas de segurança física restringem entrada forçada ou não autorizada? (45/8 =,56) 2.37 Os equipamentos e fiação críticos estão protegidos contra perdas de energia, falhas e ameaças ambientais? (41/8 =,51) Piores Pontuações 2.42 As auditorias ou avaliações periódicas testam a eficácia das políticas, procedimento e das práticas de segurança da informação de um subconjunto representativo de cada sistema de informação de sua unidade de negócio? (7/8 =,9) 2.43 As auditorias avaliam a conformidade de cada unidade de negócio com as exigências de uma estrutura padrão de segurança da informação, políticas da segurança da informação relacionadas, padrões e procedimentos? (7/8 =,9) 2.44 As métricas de segurança e desempenho estão instituídas, avaliadas e relatadas? (6/8 =,9)
Q3 - Tecnologias Melhores pontuações: 3.14 Você emprega medidas específicas de segurança para os serviços de acesso remoto (VPN e dial-up), e para os sistemas de acesso remoto para os clientes? (56/8 =,7) 3.16 Existe auditoria para verificar se todos os programas são atualizados freqüentemente e sistematicamente? (48/8 =,6) 3.3 São realizadas varreduras periódicas nas redes, sistemas, e aplicações de sua Unidade para verificar a integridade das configurações e se há vulnerabilidades? (38/8 =,475) 3.1 Os servidores acessados pela Internet são protegidos por mais de uma camada da segurança (Firewalls e IDS)? (36/8 =,45) Pontuações Ruins: 3.17 Todas as estações de trabalho e todos os servidores são atualizados regularmente com os últimos patches do sistema operacional? (29/8=,36) 3.15 Todas as estações de trabalho e todos os servidores estão protegidos com software de antivírus atualizados automaticamente? (22/8=,23) 3.13 Você emprega medidas específicas de segurança para os servidores de DNS e de endereços IP (DHCP)? (19/8=,2)
Resumo por conceito Conceitos melhor ou deficientemente implementados,8,6,4,2 1 2 3 4 5 6 7 Pessoas Seg Fis/Log Procedimentos Pessoas Estratégias Procedimentos Politicas Seg Fis/Log Tecnologias
Resultados por Unidades USP Pessoas Processos Tecnologias
Segmentação da auto-avaliação em segurança Segmentação sem aparente vínculo de r=(máquinas/pessoas) Máquinas e Pessoas: fonte CODAGE
Avaliação indireta a partir de indicadores nas Unidades Pessoas, Tecnologias e Processos Incidentes/pessoas 3, 25, 2, 15, 1, 5, - 269 máquinas 26 incidentes 1 técnico -,5 1, 1,5 2, 2,5 Incidentes/máquina 1 máquinas 22 incidentes 2 técnico
Avaliação indireta a partir de indicadores das Unidades Incidentes/pessoas 3, 25, 2, 15, 1, 5, - Pessoas, Tecnologias e Processos - sem outliers - 254 máquinas 442 incidentes 28 técnicos 114 máquinas 89 incidentes 7 técnicos -,2,4,6,8 1, 3 a 5 tec/unid 6 a 1 tec/unid + 1 tec/unid a 2 tec/unid Incidentes/máquinas
Histórico dos incidentes computacionais na USP
Percepção externa da Segurança Computacional na USP Problema Defacement Ataque a redes (IDS/Honeypot) Fonte da Faixa de IPs Zone.h DShiled DShiled DShiled informação Sources Targets Reports Spam/Proxy/Zumbi DSBL.org NJABL USP 143.17/16 22 41 641 12325 254 61 UNICAMP 143.16/16 12 1 54 14 8 1 UNESP 2.145/16 14 9 26 735 19 5 UFRJ 146.164/16 16 1 6673 14172 71 17 UFRGS 143.54/16 13 2 2 361 15 9 UFMG 15.164/16 3 13 18833 188812 122 52 PUC-RIO 139.82/16 2 2 6 326 8 2 MIT 18/8 23 285 682 1972 15 19 UTEXAS 128.83/16 15 14 61 4933 28 6 INDIANA 129.79/16 3 17 1694 18 12 5
Comparativo de incidentes de segurança I Incidentes de Segurança Computacional Q u a n tid a d e 8 7 6 5 4 3 2 1 Alterações de conteúdos Origem de ataques Alvo de ataques Ocorrências em Listas Negras USP UNICAMP UNESP UFRJ UFRGS PUC-RIO MIT UTEXAS INDIANA Instituição Somos grandes e geograficamente dispersos. Relativamente aos demais nossos números são razoavelmete bons.
Comparativo de incidentes de segurança II Reclamações Acumuladas 25 Quantidade 2 15 1 5 USP UNICAMP UNESP UFRJ UFRGS PUC-RIO MIT UTEXAS INDIANA Instituição Ataques com origem na USP afetam a reputação da instituição. Dados históricos são cumulativos
Conclusões (I) Vírus são a principal causa de acidentes registrados. Boa posição da USP relativa às outras instituições de mesmo escopo (e pode melhorar). Algumas Unidades apresentam desequilíbrios estruturais que merecem atenção Promover treinamento da equipe local Estudar a redução na relação máquinas/técnicos (ex: thin clients) à luz do SLA local Melhorar capacitação dos administradores de TI Protege-se normalmente somente aquilo que se enxerga Ênfase em tecnologias e não nos processos e políticas Há espaço para melhora em todos os conceitos e dentro de cada segmento analisado Fraco engajamento direto dos responsáveis administrativos em relação ao tema de segurança Políticas ad-hoc ou presumidas Interação pouco efetiva com os técnicos de TI Comportamentos reativos Alunos e docentes precisam também entrar como parte da solução para melhoria segurança computacional
Conclusões (II) Necessário estruturar/revisar os processos internos nas Unidades para melhorar desempenho da Segurança Computacional Requisitos de segurança, de acordo com o plano de negócios da USP ou Política de Segurança institucional (CTI) REPORTAR: Conformidade do SLA medido Definição do SLA Processos para Segurança Computacional: (Centros de Informática, Seções de Informática das Unidades) Equipe de Segurança MANTER: Aprender Melhorar planejamento Melhorar implementação AVALIAR: Auditorias Internas Auditorias Externas Auto-Avaliação Incidentes de Segurança CONTROLAR: Organizar-se Definir o esquema geral de gerenciamento Alocar responsabilidades PLANEJAR: Acordo sobre nível de serviço (SLA) Contratos de fornecedores de serviços Acordos de nível operacional (OLA) IMPLEMENTAR: Conscientizar Classificar e registrar ativos Segurança de pessoal (RH) Segurança física Segurança de ativos de TI Controle, gerenciamento de direitos de acesso Registro e tratamento de incidentes
Conclusões (II) cont. A propósito, o SLA deve indicar: 1. Métrica. Ex: incidentes/máquina, incidentes/técnicos, incidentes. 2. Responsabilidades dos administradores e da gerência. 3. Quem é o responsável pela política de segurança. 4. Com que freqüência e de que maneira a política deve ser atualizada. 5. Princípios gerais relacionados à continuidade do plano de negócios. 6. Relacionamento com outras políticas institucionais: empregados, contratuais. Administrador, monte o seu!
Fim Obrigado! Perguntas...