14/06/2016

Gesto da Segurana da
Informao
Ps-graduao Ruy Barbosa
Prof(a) Gabriela Mota

Apresentao
Mestra em Modelagem Computacional e Tecnologia
Industrial Faculdade de Tecnologia SENAI CIMATEC
(2014)
Bacharel em Anlise de Sistemas - Universidade do
Estado da Bahia, UNEB (2010)
Pesquisadora nas reas: Web Colaborativa, Web
Semntica e Teoria de Redes Complexas
Atua com: Engenharia de Software, Processos de
Software, Metodologias geis e Gerenciamento de
Projetos

14/06/2016

Objetivos da Disciplina
Aplicar a segurana da informao na gesto de
projetos de polticas de segurana da Informao
Interpretar os modelos ISO 27001 e ISO 27002 para a
Gesto da Segurana da Informao
Aplicar o processo normatizado de implementao,
operao e monitoramento
Monitorar e melhorar um Sistema de Segurana de
Informao (SGSI)
Diagnosticar a real situao da empresa - governana,
riscos, plano contingncia

Expectativas
Assiduidade e pontualidade
Concentrao nas aulas
Desenvolvimento das atividades prticas em sala de
aula

14/06/2016

Agenda (primeira semana)

Dia

Contedo Programtico

30/05

1 dia: Conceitos de Segurana da Informao

31/05

2 dia: Gerenciamento e avaliao de Riscos

01/06

3 dia: Polticas de Segurana da Informao

02/06

Quinta-feira no haver aula!!!

03/06

4 dia: Normas de Segurana

07/06

5 dia: Apresentao do trabalho e concluses (na tera-feira da

semana seguinte)

Avaliao
Metodologia de avaliao: individual em todos os
encontros e em grupo na apresentao ao final da
semana;
Tipo de avaliao: trabalho desenvolvido em sala de
aula gradativamente;
Local da avaliao: faculdade.

14/06/2016

Agenda
Conceitos de Segurana da Informao
Gerenciamento e avaliao de Riscos
Deteco de Vulnerabilidades
Ataque

Polticas de Segurana da Informao

SGSI

Normas de Segurana
ABNT NBR: ISO 27001 Sistemas de Gesto de Segurana
da Informao
ISO 27002 Cdigo de Prtica em Segurana da
Informao

Conceitos de Segurana da
Informao
(PRIMEIRO DIA)

14/06/2016

Conceitos iniciais
Informao
1 Ato ou efeito de informar. 2 Transmisso de notcias. 3
Instruo, ensinamento. 4 Transmisso de conhecimentos.
5 Opinio sobre o procedimento de algum. 6
Investigao. 7 Inqurito.
Fonte: Dicionrio Michaelis

Seguro (Segurana)
1 Livre de inquietaes. 2 Sossegado. 3 Confiado. 4 Livre
de perigo ou no exposto a ele. 5 Que oferece segurana
contra ataques, acidentes, desastres ou danos de qualquer
outra natureza...
Fonte: Dicionrio Michaelis

Informao X processos de
negcio

14/06/2016

Dependncia da informao
(1/2)

business-to-business
business-to-consumer
business-to-government
e-commerce
eprocurement
sistemas integrados de gesto ERP (Enterprise
Resource Planning),

Dependncia da informao
(2/2)

14/06/2016

Fatores motivacionais (1/2)

Crescimento sistemtico da digitalizao de informaes.

Crescimento exponencial da conectividade da empresa.
Crescimento das relaes eletrnicas entre empresas.
Crescimento exponencial do compartilhamento de informaes.
Barateamento dos computadores e demais dispositivos de acesso
informao, facilitando sua aquisio.
Uso de dispositivos eletrnicos pessoais com alta capacidade de
interconexo e armazenamento nos ambientes de trabalho e fora dele.
Facilidade e gratuidade de acesso Internet em banda larga.
Baixo nvel de identificao do usurio no acesso Internet.
Alto compartilhamento de tcnicas de ataque e invaso.
Disponibilidade de grande diversidade de ferramentas de ataque e
invaso.

Fatores motivacionais (2/2)

Facilidade de uso de ferramentas de ataque e invaso.

Amplitude, confuso, subjetivismo e desconhecimento dos mecanismos
legais de responsabilizao em ambiente virtual e das leis que tipificam os
crimes de informtica no pas.
Comunicao de massa exaltando o jovem invasor pelo mrito da invaso.
Criao do esteretipo do hacker como gnio e heri que obteve xito em
invaso.
Associao equivocada entre inteligncia competitiva e espionagem
eletrnica.
Diversificao dos perfis da ameaa: concorrente, sabotador, especulador,
adolescente, hacker, funcionrio insatisfeito etc.
Crescente valorizao da informao como principal ativo de gesto das
empresas.

14/06/2016

Analogia com o corpo humano

Ciclo de vida da informao

14/06/2016

Regulao

CVM Governana
Bacen Acordo da Basilia II
Resoluo 2554 Controles Internos
Sistemas de Pagamento Brasileiro
Cdigo Civil
Governana Corporativa
Confiana da Cadeia Produtiva
Lei Sarbanes-Oxley
Opinio Pblica

Inspirado na SOx
Desqualificao da pessoa jurdica
para efeitos de garantia obrigacional
Amplia a responsabilidade civil dos
diretores
Exigncia de prova da ao efetiva,
ou no omisso

Lei norte-americana fruto dos casos

Enron, Worldcom, Tyco e outros
Torna crime a ausncia de controles
internos sob pena de priso.
Implica diretamente o CEO e o CFO

Retorno do investimento (ROI)

14/06/2016

Ciclo PDCA

Gesto integrada de riscos

10

14/06/2016

Segurana da informao
POR QUE proteger as informaes?

Por seu valor direto

Pelo impacto de sua ausncia
Pelo impacto resultante de seu uso por terceiros
Pela relao de dependncia com a sua atividade

Segurana da informao
QUANDO proteger as informaes?
Durante seu ciclo de vida

Manuseio
Armazenamento
Transporte
Descarte

11

14/06/2016

Segurana da informao
ONDE proteger as informaes?
Nos ativos que as custodiam:
Fsicos
Tecnolgicos
Humanos

Segurana da informao
O QUE proteger nas informaes?
Os atributos principais:
Confidencialidade
Integridade
Disponibilidade

Os aspectos:
Legalidade
Autenticidade

Que podem ser atingidos pela explorao de uma

falha ou vulnerabilidade presente em um ativo.

12

14/06/2016

Segurana da informao
DO QUE proteger as informaes?
De ameaas:
Fsicas
Tecnolgicas
Humanas

O que segurana da
informao, afinal?
Segurana da Informao (SI) a proteo de
sistemas de informao contra desastres, erros e
manipulao de modo a minimizar a probabilidade
e impacto de incidentes
Preveno:
Confidencialidade
Integridade
Disponibilidade

13

14/06/2016

Atributos da SI
Confidencialidade
Garantia de que a informao acessvel somente por
pessoas autorizadas
No deve acontecer divulgao intencional (ou no) de
informaes reservadas
Questes de confidencialidade surgem porque processos e
informao sensveis do negcio s devem ser divulgados
para pessoal / programas autorizados
Necessidade de controlar acesso

Atributos da SI
Confidencialidade

14

14/06/2016

Atributos da SI
Integridade
Garantia da exatido e completude da informao e dos
mtodos de processamento
Informaes no devem ser
Modificadas por pessoas/processos desautorizados
Modificaes desautorizadas no sejam feitas por
pessoas/processos autorizados
Inconsistentes

Necessidade de garantir que os objetos so precisos e

completos

Atributos da SI
Integridade

15

14/06/2016

Atributos da SI
Disponibilidade
Garantia que usurios autorizados obtenham acesso
informao e aos ativos correspondentes sempre que
necessrio
Informao e servios do negcio devem estar disponveis
quando necessrios
Necessidade de controles para garantir confiabilidade dos servios

Atributos da SI
Disponibilidade

16

14/06/2016

Segurana da Informao
Como a SI pode ser obtida?
Implementando controles para garantir que os
objetivos de segurana sejam alcanados

Porque SI necessria?
A informao, processos, sistemas e redes so
importantes ativos para os negcios
Confidencialidade, integridade e disponibilidade so
essenciais para preservar o negcio
As informaes so constantemente ameaadas
Dependncia dos SIs gera vulnerabilidades
Quase nada projetado para ser seguro

Segurana da Informao
Requisitos de segurana
Avaliao de riscos dos ativos
Avaliao de ameaas, vulnerabilidades, probabilidade de
ocorrncia de incidentes, impacto ao negcio

Legislao vigente, estatutos, regulamentao,

clusulas contratuais
Devem ser obrigatoriamente atendidos

17

14/06/2016

Atividade 1
Pesquisar notcias recentes sobre incidentes
envolvendo segurana da informao;
Discutir sobre quais vulnerabilidades foram
exploradas, que aes (controles) poderiam ter
evitado os prejuzos causados s empresas.

Gerenciamento e Avaliao de
Riscos
(SEGUNDO DIA)

36

18

14/06/2016

Viso Geral

Viso Geral

AMEAAS exploram VULNERABILIDADES presentes

nos ATIVOS que custodiam informaes, causando
IMPACTOS no NEGCIO

19

14/06/2016

Terminologia (1/2)
Risco
Possibilidade de sofrer perda ou dano; perigo ou
possibilidade de perigo

Ataque
Acesso a dados ou uso de recursos sem autorizao
Execuo de comandos como outro usurio
Violao de uma poltica de segurana, etc.

Vulnerabilidade
uma falha que pode permitir conduo de um ataque

Terminologia (2/2)
Incidente
A ocorrncia de um ataque; explorao de
vulnerabilidades

Ameaa
Qualquer evento que pode causar dano a um sistema ou
rede
A existncia de uma vulnerabilidade implica em uma
ameaa

Exploit code
Um cdigo preparado para explorar uma vulnerabilidade
conhecida

20

14/06/2016

Exemplos de Ameaas
Pessoas chaves para uma organizao
Ferimento, morte

Servidores de arquivos
Ataques DoS

Dados dos alunos

Acesso interno no autorizado

Equipamentos de produo
Desastre natural

Exemplos de Vulnerabilidades
Pessoas chaves para uma organizao
Sem controle de acesso

Servidores de arquivos
Aplicao incorreta de correes (patches)

Dados dos alunos

Terceirizados no averiguados

Equipamentos de produo
Controles fracos de acesso fsicos

21

14/06/2016

Barreiras da segurana: como

proteger
COMO proteger as informaes?
Segmentando-as pela importncia (relevncia)
Definindo nveis de segurana compatveis
Avaliando o valor da informao e o custo da proteo

Equao do risco

22

14/06/2016

Realidade sobre o risco

Gerenciamento de Riscos
O gerenciamento de riscos baseado no:
Identificao (conhecimento) e avaliao (estimativa) de
riscos
Controle (minimizao) de riscos

ISO/IEC 27005: Gesto de riscos de segurana da

informao

23

14/06/2016

Identificao de Riscos
Conhecimento do Ambiente
Identificar, examinar e compreender como a informao e
como ela processada, armazenada e transmitida
Iniciar um programa detalhado de gerenciamento de riscos

Conhecimento do inimigo
Identificar, examinar e compreender as ameaas
Gestores devem estar preparados para identificar as
ameaas que oferecem riscos para a organizao e a
segurana dos seus ativos

Estimativa de Riscos
Passo 1: Caracterizao do sistema
O que h para gerenciar?
Como a TI est integrada no processo?

Passo 2: Identificao das ameaas

Quais fontes de ameaas devem ser consideradas?
(Interna/externa, acidental/intencional, maliciosa/no-maliciosa)

Passo 3: Identificao de vulnerabilidades

Quais falhas/fraquezas podem ser exploradas?

Passo 4: Anlise de controles

Quais so os controles atuais e planejados?

24

14/06/2016

Estimativa de Riscos
Passo 5: Determinao das possibilidades
Alta, Mdia e Baixa

Passo 6: Anlise de Impacto

O que a explorao da vulnerabilidade pode resultar?
Alta, Mdia e Baixa

Passo 7: Determinao dos riscos

Possibilidade x Impacto

Passo 8: Recomendaes de controles

Passo 9: Documentao

Vulnerabilidades
RFC 2828 Glossrio de segurana da Internet
Uma falha ou fraqueza em um sistema
Que pode ocorrer
No projeto
Na implementao
Na operao ou gerenciamento

Que pode ser explorada para violar a poltica de segurana

do sistema

Livro do Nessus
Erro de programao ou configurao errada que pode
permitir que um intruso tenha acesso no autorizado a
algum ativo

25

14/06/2016

Tipos de Vulnerabilidades
No existe ainda consenso sobre classificao e/ou
taxonomia para vulnerabilidades
Por servio afetado
Por gravidade
Por sistema operacional alvo

Classificao por impacto potencial (Nessus)

Vulnerabilidades Crticas
Vazamento de informaes
Negao de servios
Falha em implementar melhores prticas

Vulnerabilidades crticas
So os problemas de mais alta prioridade
A sua explorao podem levar a execuo de
programas, escalada de privilgios,
comprometimento do sistema, etc
Critrios para classificar uma falha como crtica

Possibilidade de explorao remota

Explorao sem conta de usurio local
Permisso de acesso privilegiado
Explorao automtica e confivel (para o atacante)

Vermes exploram vulnerabilidades crticas

26

14/06/2016

Vulnerabilidades crticas
(exemplos)
Sasser worm
Buffer overflow no Local Security Authority Subsystem
Service (LSASS) do Windows

Witty worm
Buffer overflow no parser do ICQ de produtos para IDS da
Internet Security Systems (ISS)

Slapper worm
Falha na biblioteca OpenSSL do Apache que permite
executar uma shell remota e explorar DoS

Solaris sadmind
O servio RPC do sadmind permite que usurios no
autenticados executem comandos como root

Vulnerabilidades crticas
(classificao)

Buffer overflow (transbordamento de memria)

Travessia de diretrios
Ataques de formatao de strings
Senhas default
Configuraes erradas
Backdoors conhecidos

27

14/06/2016

Vulnerabilidades crticas
Buffer Overflow
O tipo mais famoso e explorado de vulnerabilidade crtica
O programador no limita a quantidade de informao que pode
ser escrita em uma determinada rea de memria (string, array,
etc)

O transbordo da memria ocorre quando o programa

copia os dados de entrada para o buffer sem verificar o seu
tamanho
Metade das vulnerabilidades descobertas nos ltimos anos
so de buffer overflow (CERT)
http://www.sans.org/rr/whitepapers/threats/481.php

Vulnerabilidades crticas
Travessia de Diretrios
Problema comum encontrado em vrios
protocolos/aplicaes que mapeiam pedidos dos usurios
para caminhos de arquivos locais
Exemplo: atravs de uma conta de FTP que remete ao
/home/userX, o atacante consegue acessar outros
diretrios e arquivos
Vulnerabilidades descobertas

TFTP
Apache
rsync
Mcrosoft IIS

28

14/06/2016

Vulnerabilidades crticas
Formatao de strings
Permite que um atacante passe como parmetro
especificadores de converso (ex: %d, %s) e faa com
que seja processados mais dados do que o programador
considerou originalmente
Permite que endereos de memria sejam sobrescritos e
cdigo malicioso seja executado
O atacante precisa ter muito conhecimento, ou seja,
precisa ser um hacker de verdade
Vulnerabilidades descobertas
Solaris rpc.rwalld
Tripwire

Vulnerabilidades crticas
Senhas default
A maioria dos equipamentos e softwares vem
configurados com usurios e senhas default (padro),
documentados e bem conhecidos
Elas facilitam a instalao e configurao inicial

muito comum os administradores esquecerem de alterar

esses usurios e contas
Exemplos

Cisco: conta: cisco, senha: cisco

WLAN: SSID (service set identifier) linksys
SNMP: comunidade public
Windows: administrator

29

14/06/2016

Vulnerabilidades crticas
Configuraes erradas
A vida dos administradores de sistemas e de redes dura
Eles sempre tm que fazer tudo s pressas

Por inexperincia, displicncia ou pressa, muitas vezes

configuraes erradas ficam ativas por muito tempo
Exemplo: FTP annimo
Para permitir que um web designer um administrador configura
um FTP seguro e esquece da conta padro anonymous
Um atacante coletou durante 3 meses o arquivo de senhas de uma
instituio financeira, antes que o problema fosse detectado

Vulnerabilidades crticas
Backdoors conhecidos
Geralmente so programas que escutam portas e
possibilitam algum tipo de acesso
Redes com administradores inexperientes facilmente tm
pelo menos um sistema com backdoors conhecidos
Trojans: capturadores de teclado, mouse, senhas, rea de desktop,
relay para outros sistemas

Geralmente so instalados por um atacante para ter novo

acesso aps um ataque bem sucedido
Ou seja, um backdoor significa que a rede j foi atacada e
vrios ativos podem ter sido comprometidos

30

14/06/2016

Tipos de impacto
Quebra de confidencialidade
Vazamento de informaes
Chantagem
Espionagem industrial

Quebra de integridade
Fraude
Sabotagem
Perda de credibilidade

Quebra de disponibilidade
Retrabalho
Inoperncia
Perda de oportunidade

Etapas de um Ataque

Footprinting (reconhecimento)
Scanning (varredura)
Enumeration (enumerao)
Ganhando acesso (invaso)
Escalada de privilgios
Acesso informao
Ocultao de rastros
Instalao de Back doors (portas de entrada)
Denial of Service (negao de servio)

31

14/06/2016

Anatomia de um ataque
Varredura

Reconhecimento

Enumerao

Invaso

Escalando
privilgios

Acesso
informao

Instalao de
back doors

Ocultao
de rastros

Negao de
Servios

Anatomia de um ataque
Varredura

Reconhecimento

Enumerao

Invaso

Escalando
privilgios

Acesso
informao

Instalao de
back doors

Ocultao
de rastros

Negao de
Servios

32

14/06/2016

1. Footprinting
(reconhecimento)
Informaes bsicas podem indicar a postura e a
poltica de segurana da empresa
Coleta de informaes essenciais para o ataque
Nomes de mquinas, nomes de login, faixas de IP, nomes
de domnios, protocolos, sistemas de deteco de intruso

So usadas ferramentas comuns da rede

Engenharia Social
Qual o e-mail de fulano?
Aqui Cicrano. Poderia mudar minha senha?
Qual o nmero IP do servidor SSH? e o DNS?

Anatomia de um ataque
Varredura

Reconhecimento

Enumerao

Invaso

Escalando
privilgios

Acesso
informao

Instalao de
back doors

Ocultao
de rastros

Negao de
Servios

33

14/06/2016

2. Scanning (varredura ou
mapeamento)
De posse das informaes coletadas, determinar
Quais sistemas esto ativos e alcanveis
Portas de entrada ativas em cada sistema

Ferramentas
Nmap, system banners, informaes via SNMP

Descoberta da Topologia
Automated discovery tools: cheops, ntop,
Comandos usuais: ping, traceroute, nslookup

Deteco de Sistema Operacional

Tcnicas de fingerprint (nmap)

Busca de senhas contidas em pacotes (sniffing)

Muitas das ferramentas so as mesmas usadas para gerenciamento e
administrao da rede

Mapeamento de rede

Tela do Cheops (http://cheops-ng.sourceforge.net)

34

14/06/2016

Anatomia de um ataque
Varredura

Reconhecimento

Enumerao

Invaso

Escalando
privilgios

Acesso
informao

Instalao de
back doors

Ocultao
de rastros

Negao de
Servios

3. Enumeration (enumerao)
Coleta de dados intrusiva
Consultas diretas ao sistema
Est conectado ao sistema e pode ser notado

Identificao de logins vlidos

Banners identificam verses de HTTP, FTP servers
Identificao de recursos da rede
Compartilhamentos (windows) - Comandos net view, nbstat
Exported filesystems (unix) - Comando showmount

Identificao de Vulnerabilidades comuns

Nessus, SAINT, SATAN, SARA, TARA, ...

Identificao de permisses

35

14/06/2016

Anatomia de um ataque
Varredura

Reconhecimento

Enumerao

Invaso

Escalando
privilgios

Acesso
informao

Instalao de
back doors

Ocultao
de rastros

Negao de
Servios

4. Ganhando acesso (invaso)

Informaes coletadas norteiam a estratgia de
ataque
Invasores tem uma base de vulnerabilidades
Bugs de cada SO, kernel, servio, aplicativo por verso
Tentam encontrar sistemas com falhas conhecidas

Busca privilgio de usurio comum (pelo menos)

Tcnicas
Password sniffing, password crackers, password guessing
Session hijacking (sequestro de sesso)
Ferramentas para bugs conhecidos (buffer overflow)

Hackers constrem suas prprias ferramentas

36

14/06/2016

Anatomia de um ataque
Varredura

Reconhecimento

Enumerao

Invaso

Escalando
privilgios

Acesso
informao

Instalao de
back doors

Ocultao
de rastros

Negao de
Servios

5. Escalada de privilgios
Uma vez com acesso comum, busca acesso completo
ao sistema (administrator, root)
Ferramentas especficas para bugs conhecidos
"Exploits"

Tcnicas

Password sniffing, password crackers, password guessing

Session hijacking (sequestro de sesso)
Replay attacks
Buffer overflow
Trojans

37

14/06/2016

Anatomia de um ataque
Varredura

Reconhecimento

Enumerao

Invaso

Escalando
privilgios

Acesso
informao

Instalao de
back doors

Ocultao
de rastros

Negao de
Servios

6. Acesso a informao
Alguns conceitos relacionados informao
Confidencialidade trata do acesso autorizado
Integridade trata da alterao autorizada
Autenticidade trata da garantia da autoria da informao
Disponibilidade disponvel quando desejada, sem
demora excessiva (com autorizao)
Auditoria trata do registro do acesso

Invasor pode atuar contra todos os conceitos acima,

de acordo com seus interesses

38

14/06/2016

Anatomia de um ataque
Varredura

Reconhecimento

Enumerao

Invaso

Escalando
privilgios

Acesso
informao

Instalao de
back doors

Ocultao
de rastros

Negao de
Servios

7. Ocultao de rastros
Invasor usa tenta evitar deteco da presena
Usa ferramentas do sistema para desabilitar
auditoria
Toma cuidados para no deixar buracos nos logs
excessivo tempo de inatividade vai denuciar um ataque

Existem ferramentas para remoo seletiva do Event

Log
Esconde arquivos plantados (back doors)

39

14/06/2016

Anatomia de um ataque
Varredura

Reconhecimento

Enumerao

Invaso

Escalando
privilgios

Acesso
informao

Instalao de
back doors

Ocultao
de rastros

Negao de
Servios

8. Instalao de Back doors

Objetivo a manuteno do acesso
Rootkits ferramentas ativas, mas escondidas
Trojan horses programas falsificados
Back doors acesso/controle remoto sem autenticao

Trojans podem mandar informao para invasor

Captura teclado
Manda um e-mail com a senha

Rootkits se confundem com o sistema

Comandos modificados para no revelar o invasor

Back doors
Sistemas cliente/servidor
Cliente na mquina invasora controlando Servidor na mquina remota
No aparecem na "Task List" do Windows NT/2k

40

14/06/2016

Anatomia de um ataque
Varredura

Reconhecimento

Enumerao

Invaso

Escalando
privilgios

Acesso
informao

Instalao de
back doors

Ocultao
de rastros

Negao de
Servios

9. Denial of Service (negao

de servio)
Ataques com objetivo de bloquear servios, atravs
de:

Consumo de banda de rede

Esgotamento de recursos
Explorao de falhas de programao (ex: ping da morte)
Sabotagem de Roteamento
Sabotagem no DNS

DDoS Distributed Denial of Service

Ataques coordenados de mltiplas fontes

41

14/06/2016

Atividade 2
Escolha e descreva um cenrio de negcio (pode ser
o da empresa em que voc trabalha);
Aplique os conceitos sobre gerenciamento de riscos
para
1. identificar e avaliar os riscos (seguindo os passos vistos
em aula)
2. definir controles para minimizao dos riscos

Gerar o documento de Plano de Gesto de Riscos do

Negcio

Polticas de Segurana da
Informao
(TERCEIRO DIA)

84

42

14/06/2016

Retomando...

Tipos de polticas
1. Programa de Poltica (organizacional)

Diretrizes da diretoria para criar um programa de

segurana, estabelecer os seus objetivos e atribuir
responsabilidades

2. Polticas de sistemas

Regras de segurana especficas para proteger

sistemas (redes, mquinas, software) especficos

43

14/06/2016

Implementao de Polticas
Padres
Uniformidade de uso de tecnologias, parmetros ou
procedimentos, para beneficiar a organizao
Ex: Uso de Windows 2000 (mesmo existindo XP)

Diretrizes
Em alguns casos, a aplicao de padres no possvel,
conveniente ou acessvel (custos)
Ex: auxlio no desenvolvimento de procedimentos

Procedimentos
Passos detalhados para serem seguidos pelos
funcionrios
Ex: Cuidados na criao de contas de e-mail

Poltica (componentes)
Objetivo
Por que a poltica?

Escopo
Toda a organizao ou parte dela?

Responsabilidades
Quem so as pessoas? Estrutura formal?

Conformidade
Como fiscalizar?
O que acontece para quem no cumprir?
Intencional, no-intencional (falta de treinamento?)

44

14/06/2016

Exemplo: SANS Institute para

roteador (1/3)
Roteadores da Linksys so afetados por
vulnerabilidade crtica
http://idgnow.com.br/internet/2014/02/17/roteadoresda-linksys-sao-afetados-por-vulnerabilidade-critica/

Exemplo: SANS Institute para

roteador (2/3)
Objetivo
Este documento descreve uma configurao mnima de
segurana para todos os roteadores e switches
conectados na rede de produo da <organizao>

Escopo
Todos os roteadores e switches conectados na rede de
produo da <organizao> so afetados.
Roteadores em laboratrios internos/seguros so
excludos
Roteadores dentro da DMZ devem seguir poltica
especfica

45

14/06/2016

Exemplo: SANS Institute para

roteador (3/3)
Poltica: padres de configurao
1. Contas locais no devem ser configuradas nos roteadores.
Roteadores devem usar TACACS+ (AAA) para todas as
autenticaes de usurios
2. A senha de enable deve ser criptografada
3. Deve ser desabilitado
1. Broadcast IP direcionado (sub-redes que o host no est)
2. Recepo de pacotes com endereos invlidos (ex: RFC1918)
3. Servios pequenos TCP e UDP (echo, chargen, daytime, discard)
4. Roteamento pela fonte (source routing)
5. Servios web rodando no roteador

4. No usar comunidade SNMP public (criar padres)

5. Regras de acesso devem ser definidas pela necessidade
6. ...

SGSI Definio
Um Sistema de Gesto de Segurana da Informao
um conjunto de regras e normas adotado por uma
empresa, com o intuito de garantir a segurana de
suas informaes quanto a controles, perdas,
roubos, alteraes e consultas indevidas.
Baseado na Norma ISSO 27001

46

14/06/2016

Ciclo do SGSI

Abrangncia do SGSI
A delimitao da abrangncia muito importante
para o auditor, pois por meio desta que se
consegue constatar as responsabilidades dos
envolvidos.

47

14/06/2016

Benefcios do SGSI
1.
2.
3.
4.
5.
6.
7.
8.
9.

Conhecimento dos riscos de segurana dos ambientes e processos de

negcio suportados
Identificao de possveis fatores de perda e prejuzo
Otimizao do planejamento de segurana com um Plano de Ao
consistente, integrado e priorizado com base nos riscos identificados;
Implantao de controles, reduzindo os riscos identificados, mediante o
estabelecimento de nvel de segurana adequado criticidade dos processos
de negcio envolvidos;
Fortalecimento da imagem diante dos clientes, funcionrios, fornecedores e
parceiros;
Formalizar as regras de segurana do negcio;
Possibilitar a criao de polticas e procedimentos com o objetivo de
direcionar os usurios finais e membros da rea de TI quanto s melhores
prticas de uso da informao.
Estabelecer futuros critrios para adoo e manuteno de controles de
segurana.
Prover uma maior disponibilidade dos servios de TI da organizao.

Patrocinadores e comit
A escolha dos patrocinadores fundamental para
o sucesso da implantao de um Sistema de Gesto
de Segurana de Informao (SGSI) em uma
organizao. por meio deles que se obtm o
respaldo para a implantao do SGSI, tornando vivel
a tomada de aes decorrentes da aplicao do
sistema. Geralmente, so escolhidos como
patrocinadores profissionais da alta direo da
organizao, alm de outras pessoas-chave da rea
do negcio.

48

14/06/2016

Conceitos-chave
Sanes: regras tm de ser cumpridas e, a cada no
cumprimento, uma sano pode ser aplicada. Todas
as regras devem ter os riscos associados ao seu no
cumprimento muito bem documentados, bem como
tm necessidade de deixar claros as sanses
possveis de aplicao.

Mecanismos de controle
No se gerencia o que no se mede no se mede o
que no se define, no se define o que no se
entende, no h sucesso no que no se gerencia
(William Edwards Deming).

49

14/06/2016

Mtricas (1/2)
Em vista da diversidade de atividades executadas,
quando se desenvolve e implanta um SGSI,
naturalmente este processo implica ao gestor
responsvel pela misso a necessidade de gerenciar
diversos mecanismos de controles implementados
em diversas plataformas e em vrios ambientes
organizacionais.

Mtricas (2/2)
Surge, ento, a necessidade iminente de responder
algumas questes:
Como podemos saber se o nvel atual de segurana est no
patamar requerido para o nosso negcio?
Como medir o nvel de eficcia dos controles atuais frente
aos riscos identificados?

50

14/06/2016

Definio
Mtricas em um SGSI so medidas estipuladas com
base em metas a serem atingidas, as quais so
comparadas aos resultados obtidos durante a sua
operao de um SGSI.
Um mtodo bastante importante no SGSI o
Benchmarking.

Tipos de mtricas
Mediante uma diversidade de mtricas, devemos
escolher as mais adequadas a cada caso.
Como exemplo de acompanhamento das mtricas,
podemos citar:
Benchmarking de pesquisas sobre segurana da
informao
Resultados de pesquisas internas de avaliao do SGSI
Gesto de incidentes de segurana

51

14/06/2016

Passo a passo para o

estabelecimento de mtricas
1.
2.
3.
4.
5.
6.
7.
8.
9.

Mtrica deve conter o nome da mtrica e a descrio da escala que ser

usada.
Escopo da mtrica descreve o que deve ser medido. Por exemplo: o processo
ou controles do ISMS e quais partes do processo ou controles.
Propsito e objetivo define o propsito da mtrica, quais as metas e objetivos
devem ser atingidos
Mtodo de medio descreve como a medio ser realizada, por exemplo,
usando clculo, frmula ou porcentagens.
Frequncia da medio descreve a periodicidade da medio. Por exemplo:
mensal, semanal, dirio etc.
Origem dos dados e procedimento de coleta define de onde os dados sero
coletados e quais mtodos so usados para a coleta.
Indicadores contem os indicadores usados para otimizar a mtrica e definir o
seu propsito e como eles so entendidos e podem ser aplicados.
Data da medio e responsvel descreve a data da medio e a pessoa
responsvel por esta ao.
Nvel da efetividade alcanada contm o resultado e a data da medio
Causas do no-cumprimento Este campo deve conter as causas do nocumprimento dos objetivos, indicadores etc.

Coleta de resultados
A atividade de medir demanda recursos e,
obviamente, tempo para a coleta e anlise dos
resultados
Por esta razo, as mtricas devem fazer sentido e ser
coerentes, alm de alinhadas aos objetivos a serem
alcanados

52

14/06/2016

Fatores-chave de sucesso

Conhecer o objetivo a ser alcanado;

Conhecer as metas a serem alcanadas;
Coletar os resultados em tempo hbil;
Apresentar resultados vlidos e confiveis;
Criar mtricas que permitam monitorar o SGSI;
Desenvolver metas desafiadoras.

Alinhamento do SGSI com o

negcio da empresa
O SGSI tem de estar alinhado com os negcios da
empresa em relao a estratgias de negcio,
competitividade, atuao no mercado, relao com
clientes e fornecedores, dentre outros. O momento
atual e o futuro pretendido devem estar alinhados
com as normas e regras do SGSI.

53

14/06/2016

Riscos
Os riscos devem ser mensurados e constados no SGSI
e estar bem claros para todos os envolvidos, assim
como para a alta gerncia. O auditor tem de
constatar se os riscos esto contemplados pelo SGSI
e se condizem com a realidade.

Implantao do SGSI
Antes de realizar a implantao do SGSI, preciso
checar se o mesmo condiz com as medidas e as
regras condizentes, por sua vez, com a natureza da
segurana da informao de que a empresa
necessita.

54

14/06/2016

Execuo do SGSI
O auditor tem que conferir detalhadamente as
normas contidas no SGSI e verificar in loco se esto
sendo cumpridas. O no cumprimento do SGSI
representa um risco de alto nvel. Pior que no ter
um SGSI ter um que no cumprido, ter a
sensao que as informaes esto protegidas,
quando no esto.

Acompanhamento do SGSI
O acompanhamento deve existir e um relatrio deve
ser divulgado constantemente a todos os envolvidos,
inclusive os erros e ajustes que se fizeram
necessrios devem constar a. Para que o SGSI no
seja relegado a segundo plano, justifica-se a
importncia do acompanhamento,

55

14/06/2016

Curiosidades
Aps a implantao do Sistema de Gesto da
Segurana da Informao e aps ter realizado pelo
menos um ciclo de auditoria interna e pelo menos
uma anlise crtica pela direo, a empresa pode
solicitar a realizao da pr-auditoria para verificar o
nvel de adequao norma em questo (ISO 27001)

Atividade 3
Pesquisar sobre as normas:
ISO 27001 Sistemas de Gesto de Segurana da
Informao
ISO 27002 Cdigo de Prtica em Segurana da
Informao
ISSO 27005 - Gesto de Riscos de Segurana da Informao

Selecione os aspectos de cada norma que voc

utilizar para montar um SGSI do negcio escolhido
na atividade anterior (atividade 2)

56

14/06/2016

Material complementar
Artigo: Sistema de Gesto de Segurana da
Informao (SGSI) Parte I
http://www.tiespecialistas.com.br/2013/10/sistemagestao-seguranca-informacao-sgsi-i/

Artigo: Sistema de Gesto de Segurana da

Informao (SGSI) Parte II
http://www.tiespecialistas.com.br/2013/11/sistema-degestao-de-seguranca-da-informacao-sgsi-parte-ii/

Normas para
Segurana da Informao
(QUARTO DIA)

114

57

14/06/2016

O que norma?
um documento estabelecido por consenso e
aprovado por um organismo reconhecido, que
fornece, para uso comum e repetitivo, regras,
diretrizes ou caractersticas para atividades ou seus
resultados, visando obteno de um grau timo de
ordenao em um dado contexto.
Definio internacional Fonte: ABNT

Cronologia publicaes

1995: BS 7799-1:1995 Tecnologia da Informao Cdigo de prtica para gesto da

segurana da informao
1998: BS 7799-2:1998 Sistema de gesto da Segurana da Informao
Especificaes e guia para uso
1999: BS 7799-1:1999 Tecnologia da Informao Cdigo de prtica para gesto da
segurana da informao
2000: ISO/IEC 17799:2000 Tecnologia da Informao Cdigo de prtica para gesto
da segurana da informao tambm referenciada como BS ISO/IEC 17799:2000
2001: NBR ISO/IEC 17799:2001 Tecnologia da Informao Cdigo de prtica para
gesto da segurana da informao
2002: BS7799-2:2002 Sistema de gesto da Segurana da Informao Especificaes
e guia para uso
Agosto/2005: NBR ISO/IEC 17799:2005 Tecnologia da Informao Cdigo de prtica
para gesto da segurana da informao
Outubro/2005: ISO/IEC 27001:2005 Tecnologia da Informao Tcnicas de
segurana Sistema de gesto da Segurana da Informao Requisitos
2007: Publicada a norma ISO 27002 que substitui a norma 17799:2005

58

14/06/2016

Vantagens das Normas (1/2)

Conformidade com regras dos governos para o
gerenciamento de riscos
Maior proteo das informaes confidenciais da
organizao
Reduo no risco de ataques de hackers
Recuperao de ataques mais fcil e rpidas
Metodologia estruturada de segurana que est
alcanando reconhecimento internacional

Vantagens das Normas (2/2)

Maior confiana mtua entre parceiros comerciais
Custos possivelmente menores para seguros de
riscos computacionais
Melhores prticas de privacidade e conformidade
com leis de privacidade

59

14/06/2016

Norma BS 7799 (BS = British Standard)

BS-7799-1:2000 Primeira parte

Publicada em 1995 pela primeira vez

Verso atual de 2000
Cdigo de prtica para a gesto da segurana da informao
Objetivo da organizao: conformidade

BS-7799-2:2002 Segunda parte

Publicada em 1998 pela primeira vez
Verso atual de 2002
Especificao de sistemas de gerenciamento de segurana da
informao (ISMS information security management system)
Objetivo da organizao: certificao

Norma ISO/IEC 17799

Internacionalizao da norma BS 7799
ISO/IEC 17799:2000, substitui a norma britnica

Inclui 127 controles e 36 objetivos de controle agrupados

em 10 reas de controle
Controles baseados na experincia das organizaes e
melhores prticas
ltima atualizao
ISO/IEC 17799:2005: disponvel maio/junho 2005
Vrias modificaes gerais e especficas
http://www.aexis.de/17799CT.htm

60

14/06/2016

Norma NBR 17799

NBR ISO/IEC 17799
Verso brasileira da norma ISO, homologada pela ABNT em
setembro de 2001
Traduo literal da norma ISO
www.abnt.org.br

No Brasil, deve-se usar a norma brasileira

Em outros pases, recomenda-se verificar se existe uma norma
local

Detalhe importante:
Deve-se pagar pelas normas

ISO 27001
Norma ISO 27001 (Tecnologia da Informao Sistemas de
gesto de segurana da informao), trata sobre a
implantao do Sistema de Gesto da Segurana da
Informao (SGSI) atravs de requisitos para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter
e melhorar um SGSI documentado dentro do contexto dos
riscos de negcio globais da organizao
Pode ser utilizada em conjunto com a ISO 27002 (Cdigo de
Boas Prticas da Gesto de Segurana da Informao)

61

14/06/2016

ISO 27001
Tambm estabelece critrios para a certificao
possvel que alguns dos controles necessrios para satisfazer
aos critrios de aceitao de riscos sejam excludos desde que
as excluses sejam justificadas e sejam apresentadas
evidncias de que os riscos associados foram aceitos pelos
responsveis

Razes para adotar a ISO

27001
Proteo da informao crtica da organizao contra perda,
roubo, uso indevido ou divulgao no autorizada
Assegurar a continuidade do negcio
Assegurar aos parceiros, rgos reguladores, fornecedores e
cliente que a sua informao confidencial est segura
Manter a reputao e confiana

62

14/06/2016

Requisitos da norma ISO 27001

(1/3)
Requisitos 1, 2 e 3 Informativos; descreve a finalidade da
norma, qual documento ela utiliza como referncia (no caso,
utiliza a norma ISO 27002) e tambm tem uma lista de termos e
definies que so utilizados na norma
Requisito 4 Descreve a criao, implementao,
monitoramento e melhoria do SGSI, atravs deste requisito
que definimos os membros participantes do SGSI, os
documentos necessrios e quais registros devemos manter
Requisito 5 Apresenta a responsabilidade da direo no que se
refere atribuio das responsabilidades do SGSI, tais como
provisionar treinamentos e recursos necessrios ao SGSI

Requisitos da norma ISO 27001

(2/3)
Requisito 6 Trata das auditorias internas e define quais reas
devem ser auditadas, a periodicidade das mesmas e quem
podero ser os auditores responsveis. Com relao a este
ltimo ponto, importante salientar que o auditor no deve
avaliar processos de reas pelas quais responsvel
Requisito 7 Anlise crtica do SGSI; a direo verifica as aes
efetuadas pelo SGSI, e atua como um elemento de controle
Requisito 8 Melhoria do SGSI. O SGSI um comit que possui
uma dinmica que, atravs das auditorias internas e anlise
crtica da direo, pode melhorar suas aes e deste modo
cuidar da segurana da informao

63

14/06/2016

Requisitos da norma ISO 27001

(3/3)

Implantao de um SGSI
A norma ISO 27001 fornece o mtodo para
implantao do SGSI
Porm o seu objetivo orientar o processo de
implantao do projeto de segurana, sem definir
tecnologias, hardware ou software
Com essa metodologia, o gestor de segurana tem a
possibilidade de fazer o planejamento pensando no
custo e tambm no retorno que a implantao do
projeto ir trazer

64

14/06/2016

Implantao de um SGSI
Alm disso, a norma ISO 27001 utiliza o modelo
PDCA (Plan-Do-Check-Act)
acompanhamento de todas as fases do SGSI
possibilita rever algumas medidas adotas
quais os impactos na cadeia de valor do negcio da
empresa

Implantao de um SGSI: Plan

Durante a fase do planejamento de segurana, o gestor de
segurana deve estudar e entender os requisitos da ISO 27001
Definir os critrios do SGSI que devero ser apresentado direo e a
todos os envolvidos com os negcios da empresa (incluindo clientes,
fornecedores e colaboradores)

Definir os participantes do comit do SGSI

Objetivos, responsabilidades e limites de atuao do SGSI
Essa fase importante, pois busca manter o projeto em
conformidade com os fatores legais e contratuais envolvidos
nos negcios da empresa, alm de estabelecer critrios para
avaliao de riscos nos negcios.

65

14/06/2016

Implantao de um SGSI: Do
A poltica deve ser desenvolvida constantemente, num
processo de melhoria contnua, no sendo algo esttico, pois
a tecnologia e os processos mudam constantemente
Quando a poltica for desenvolvida e aprovada, necessrio
realizar um treinamento com todos na empresa e a divulgar a
poltica junto aos clientes e fornecedores.

Implantao de um SGSI:
Check
Essa etapa necessria para mapear os processos da
organizao e analisar como a informao trafega pela
empresa e de como a mesma sai dela, mediante os
relacionamentos existentes com clientes e fornecedores
Classificar as informaes de acordo com as caractersticas
que envolvem o negcio da empresa
Por exemplo, as informaes financeiras que so transmitidas aos
bancos so confidenciais e s devem ser visualizadas pelas pessoas
autorizadas pela direo da empresa
A classificao de informaes um passo necessrio para aplicao
de ferramentas de segurana como criptografia, VPN entre outras.

66

14/06/2016

Implantao de um SGSI: Act

O plano de ao envolve a escolha de tecnologias para segurana,
implantao das tecnologias em ambiente de testes e no ambiente
de produo
Ele elaborado a partir da anlise das ocorrncias de ameaas
baseando-se nos mecanismos instalados (polticas)
Pode indicar o uso de novas ferramentas e tcnicas para gesto da
segurana da informao
critrios para avaliar as opes existentes de acordo com as
necessidades de cada empresa
preo, uso corporativo e sistemas operacionais suportados

Um plano de ao permite realizar aes concretas que visem

reduzir os riscos existentes em um processo de melhoria contnua e
que pode resultar em aes corretivas, preventivas, ou mesmo de
controle

Melhoria contnua
O processo de segurana da informao sempre deve passar por
melhorias contnuas
Realimentao do processo, iniciando com uma nova coleta de
dados e estatsticas e voltando para o plano de ao
O gestor de segurana deve ficar atento s alteraes das
normas ISO 27001 e ISO 27002, pois as normas passam por
alteraes constantes e as alteraes podem trazer outras vises
e novos requisitos
O Sistema de Informao de uma empresa dinmico, sofre
alteraes constantes, com a criao de novos processos e
descontinuao de outros
A melhoria do SGSI uma etapa contnua e deve existir durante
toda a vida do projeto de segurana da informao

67

14/06/2016

ISO 27002
Norma ISO 27002: Cdigo de Boas Prticas da Gesto de
Segurana da Informao
Estabelece Controles de segurana para vulnerabilidades e
riscos (Tecnologia da Informao Sistemas de gesto de
segurana da informao)
Oferece uma viso abrangente dos controles que podem ser
utilizados em uma organizao

ISO 27002: controles (1/2)

Poltica de segurana
Segurana organizacional
Classificao e controle de ativos de informao
Segurana relacionada s pessoas
Segurana ambiental e fsica
Gerenciamento das operaes e comunicaes
Controle de acesso
Desenvolvimento e manuteno de sistemas
Gesto de incidentes de segurana
Gesto da continuidade do negcio
Conformidade com as diretrizes da empresa

68

14/06/2016

ISO 27002: controles (2/2)

Exemplos de controles
Classificao e controle de ativos de informao.
necessrio realizar um inventrio de todo hardware e
software presentes na organizao, pois somente assim
possvel ter um panorama das licenas existentes e das
caractersticas e condies dos equipamentos
Implantar ferramentas que permitam coletar dados e gerar
estatsticas de segurana para tomar a medidas necessrias em
um plano de ao.
Para coletar os dados, so utilizadas como IDS (Intrusion
Detection System), portscans e sniffers; esses dados iro gerar
estatsticas para aprimorar os controles de segurana

Atividade 4
Esta a ltima atividade da primeira semana da
disciplina
Chegou o momento de voc consolidar os
conhecimentos adquiridos em sala de aula e durante
a execuo das atividades 1, 2 e 3
Com base nos dados levantados at aqui, voc deve
criar o documento de Poltica de Segurana da
Informao para a organizao (negcio) escolhida

69

14/06/2016

Concluses (1/2)
SGSI o conjunto de processo, procedimentos, normas e
polticas para Gerenciamento de Segurana da Informao na
organizao
A PSI deve ser planejada e implementada com base nos
objetivos alinhados s necessidades da organizao
A Norma ISO 27001 recomenda que se tome como base o
documento de Gesto de Anlise de Riscos para elaborao
da PSI
Uma boa prtica para a elaborao da PSI a utilizao da
metodologia 5W2H (Who, What, When, Where, Why, How,
How Much/ Quem, O que, Quando, Onde, Porque, Como,
Quanto)

Concluses (2/2)
A garantia de conformidade com a PSI depende de uma
verificao peridica do comportamento de todos os
envolvidos na implementao dos controles, de modo que
eventuais desvios em relao s diretrizes estabelecidas
possam ser identificados e corrigidos (etapas de avaliao e
ao corretiva do ciclo PDCA da gesto da segurana)
Essa avaliao deve abranger todos os processos crticos da
organizao e as responsabilidades so divididas entre as reas
responsveis pelos diferentes aspectos da segurana:
humanos, tecnolgicos, fsicos, administrativos etc.
Eventuais auditorias de conformidade com a PSI devem ser
desempenhadas por indivduos que no participem
diretamente das atividades auditadas, para garantir a iseno
da anlise

70

14/06/2016

Referncias

NBR/ISO/IEC 17799. Tecnologia da Informao: Cdigo de prtica para a

gesto da segurana da informao. Associao Brasileira de Normas
Tcnicas ABNT, 2002. 56p.
SEMOLA, Marcos: Gesto de Segurana da Informao uma viso
executiva. Editora Campus 2003. 184p.
DOU. Decreto n3.505, que institui Poltica de Segurana na Administrao
Federal.13 Jun 2000.
DOU. Decreto 3.587. Estabelece a composio de ICP do governo. 5 de
setembro de 2000.
PARKER, Donn. Fighting Computer Crime: a new framework for protecting
information. New York: Willey Computer Publishing. 1998. 512p.
GIL, Antonio de Loureiro. Segurana em Informtica. 2 ed.. So Paulo:
Atlas, 1998. 193p.
HUTT, Arthur E. et al. Computer Security Handbook. 3rd Edition. New York:
John Wiley & Sons, Inc. 1995.
141

Referncias

RUSSEL, Deborah e GANGEMI, G.T. Computer Security Basics. California,

O'Reilly & Associates, Inc. 1991. 441p.
KRAUSE TIPON, Handbook of Information Security Management 1999,
Editora Auerback
VALLABHANENI, S.Rao. CISSP Examination Texbooks. Volume 1: Theory.
1a. Edio. SRV Professional Publications, Illinois. 2000. 519p.
ISO/IEC JTC 1/SC 27. Glossary of IT Security Terminology. Information
technology - security techniques. 1998.
SCHNEIER, Bruce. Segurana.com Segredos e mentiras sobre a proteo
na vida digital. Editora Campus.
DIAS, Claudia, Segurana e Auditoria da Tecnologia da Informao, Axcel
Books, 2000.
BRASILIANO, Antnio Celso Ribeiro, A (In)segurana nas Redes
Empresariais: A Inteligncia Competitiva e a Fuga Involuntria das
142
Informaes, Editora Sicurezza 2002.

71