Disciplina Política e Procedimentos na Segurança da Informação

Pós-Graduação em Gestão da Segurança de T.I. (GSTI)

Políticas, práticas e
procedimentos em
Segurança da
Informação

Elaborado por prof. Roberto Dias Duarte
sexta-feira, 30 de julho de 2010 1


Era do Conhecimento
& Segurança da
Informação:
Tudo a ver
Elaborado por prof. Roberto Dias Duarte

1ª Parte: Preciso de
segurança?


Informação: tudo a ver

Fonte: Microsoft

Qual é a novidade?

Já ouviu falar da Nota Fiscal Eletrônica?
“Podemos conceituar a Nota Fiscal Eletrônica como sendo um
documento de existência apenas digital,

emitido e armazenado
eletronicamente, com o intuito de
documentar, para fins fiscais, uma
operação de circulação de
mercadorias ou uma prestação de
serviços, ocorrida entre as partes. Sua
validade jurídica é garantida pela
assinatura digital do remetente
(garantia de autoria e de integridade) e
pela recepção, pelo Fisco, do
documento eletrônico, antes da
ocorrência do fato gerador. “

Componente intangível

NF-e é um
repositório de
inteligência
digital:

Fiscal
Contábil
Gerencial
Tecnológica


Causa x consequência?

SPED é consequência de uma
grande transformação social:
o fim da Era Industrial


O ERP nas empresas....


Ah! Empresas...

VENDEU?
RECEBEU?

SOBROU QUANTO?

PAGOU?
DÁ PARA VENDER?

Uma empresa com ERP...

Em
sua
empresa,

qual
é
a
situação?
Vendeu bem?
Quem é bom cliente?

Quem é bom fornecedor? Quanto investir?
O que gera resultado?
A riqueza aumentou?

Comprou bem?

Ah! O SPED e a SI...

NF-e NF-e
SPED FISCAL

CT-e

NF-e SPED CONTÁBIL


Documento Eletrônico

MP 2.200-2, de agosto de 2001:

“As declarações constantes dos documentos em forma eletrônica produzidos com a
utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se
verdadeiros em relação aos signatários”


Capital Intelectual

Capital
Humano Capital
Estrutural Capital
de

• A9tude • Técnicas Clientes
• Inovação • Metodologias • Sa9sfação
• Experiência • Processos • Lealdade
• Aprendizado • SoFwares • Valor
do
Cliente
• Equipes • Conhecimento

sobre
o
Cliente

Adaptado de : Thomas Stewart


sexta-feira, 30 de julho de 2010
Capital Humano

14

2ª Parte: Vamos praticar?


Quem vai praticar?


Preciso de normas?

“A
Liberdade
só
Existe
com
Lei
e
Poder”
(Kant)

“Os
regulamentos
de
segurança

da
informação
têm
como

obje7vo
fazer
com
que
o
uso

da
informação
na

organização
aconteça
de

forma
estruturada”
(Edison
Fontes)


Vamos cumprir as
normas?

“Conte-‐me
e
eu
esqueço.
Mostre-‐me
e

eu
apenas
me
lembro.
Envolva-‐me
e

eu
compreendo.”
(Confúcio)


Segurança da

informação na empresa


O que é?

• Compontes:
– Orientações
– Normas
– Procedimentos
– Políticas
– Ações
• Objetivo:
– Proteger ativo intangível


O que devo garantir?

• Disponibilidade: o que é realmente uma
informação acessível?



• Integridade: a informação é a correta?



• Confidencialidade: quem deve acessar o
quê?



• Legalidade: respeito a leis, contratos e
ética. O que não pode?



• Auditabilidade: quem fez o quê? Quando?



• Não repúdio



• MP 2.200-2 - Agosto 2001
Art. 10o Consideram-se documentos públicos ou particulares, para
todos os fins legais, os documentos eletrônicos de que trata esta
Medida Provisória.

§ 1o As declarações constantes dos documentos em forma eletrônica
produzidos com a utilização de processo de certificação disponibilizado
pela ICP-Brasil presumem-se verdadeiros em relação aos signatários,
noa forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 -
Código Civil.

§ 2o O disposto nesta Medida Provisória não obsta a utilização de outro
meio de comprovação da autoria e integridade de documentos em forma
eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-
Brasil, desde que admitido pelas partes como válido ou aceito pela
pessoa a quem for oposto o documento.


Básico do básico....

Termo de Compromisso

Autenticação de usuário

Evitando o Carona

O Gestor

Backup

e muito mais...


Termo de Compromisso

• Formaliza
responsabilidades:
– Sigilo de informações;
– Cumprimento de normas
de segurança;
– Conduta ética.

• Quem deve assinar?


Autenticação

• Identifica as pessoas:
– Senha;
– Cartão ou token;
– Biometria;
– Certificado Digital.


O “Carona”

• Prevenção contra
“sessões abertas” em
sua ausência:
– Conduta: Suspensão
ou encerramento da
sessão;
– Mecanismo:
Suspensão ou
encerramento da
sessão.


Gestor da informação:
o “dono da bola”

• De quem é o ativo?
• Define:
– quem tem acesso;
– tipos de acessos;
– períodos temporais;
– locais de acesso.
• Formalizado pela alta
gestão;
• Rastreabilidade de
concessões.

Cópias de segurança

• Qual a política definida?
• Qual a cópia mais
antiga?
• Os arquivos das
estações têm cópias?
• Os servidores têm
cópias?
• Onde são
armazenadas?
• Em que tipo de mídia?


Completo (Full backup):
Todo o conteúdo é copiado do início ao fim, sem levar em consideração
backups anteriores.

■ Diferencial (Differential backup):
Apenas os arquivos modificados entre o estado atual e o último backup
completo são copiados. O processo de recuperação é um pouco mais
lento.

■ Incremental (Incremental backup):
Apenas o conteúdo modificado no sistema desde o último backup, é
copiado, independente do tipo do último backup. O resultado é a diferença
entre o estado atual e a última cópia realizada. A recuperação neste caso
é mais complexa.

Um ciclo de backup tem início com um backup completo e prossegue com
backups incrementais ou diferenciais subsequentes. Quando um novo
backup completo é realizado, um novo ciclo é iniciado.



MÉTODOS DE ROTAÇÃO DE DISPOSITIVOS

■ Rotação cíclica semanal:
São mantidos três volumes, havendo sempre um localmente e outros dois guardados em um lugar
seguro, fisicamente distante do sistema. No início de cada semana é realizado um backup completo e
diariamente um backup incremental.

■ Rotação “Filho”:
Este é o primeiro conceito do esquema “Avô, pai, filho”. Um backup completo é feito diariamente.
Existem sete volumes para serem utilizados durante a semana, na qual um ciclo termina e outro começa
a cada dia. Esta é forma mais simples e custosa em termos de espaço e duração do procedimento de
backup.

■ Rotação “Pai, filho”:
Este esquema é uma mistura de backups completos e incrementais. Desta vez é considerado um
mínimo de oito volumes, sendo dois para backups completos e seis para incrementais. Uma vez por
semana é realizado um backup completo, e nos outros dias são feitos incrementais. Os volumes
incrementais são reciclados cada semana, exatamente no mesmo dia que ele foi usado na semana
anterior, havendo um volume para segunda-feira, outro para terça-feira, e assim por diante. Já os
volumes usados em backups completos são revezados e utilizados semana sim, semana não.

■ Rotação “Avô, pai, filho”:
Neste esquema têm-se backups completos, incrementais e diferenciais. A cada mês é feito um backup
completo, a cada semana é feito um diferencial e diariamente é feito um incremental. Devido a sua
eficiência e boa relação custo/benefício, este é o método mais utilizado atualmente.



Durabilidade das mídias

Fonte: CENADEM, Centro Nacional da Gestão da Informação


Ações para problemas

• Ações preventivas:
– Conhecimento
– Análise
– Planejamento
– Investimento
– Educação.
• Física
• Software
• Humana



• Ações detectivas:
– Quanto antes,
melhor
– Monitoramento de
eventos
– O que monitorar?
• Conhecimento
• Análise
• Planejamento
• Investimento



• Ações corretivas:
– Minimizar o
problema
– Quanto mais
rápido, melhor


Continuidade
do negócio

• Plano de
continuidade:
– Conhecimento
– Análise
– Planejamento
– Investimento
– Educação
– Simulação
• Mapeamento de riscos
• Contexto empresarial

Produtos homologados

• Itens de verificação:
– manutenção
– treinamento
– conhecimento
coletivo
– suporte
– condições comerciais
– capacidade do
fabricante
– tendências


Antivírus

• Prevenção além
do software:
– Anexos
– Executável? No
way!
– Download? Só de
sites confiáveis
– Backup, sempre
– Educação


Uso da Internet

• O que é uso
profissional?
• É possível separar
o pessoal do
profissional?
• Quais as regras
para uso pessoal?


Correio eletrônico

• Cuidados com mensagens:
– Obscenas
– Racistas
– Discriminatórias
– Políticas
– Comerciais
• Imagem da empresa
• Legislação
• Pessoal x profissional
• Confidencialidade

Correio eletrônico:
anexos e encadeamentos

• Circulação desnecessária de
e-mails e arquivos
• Confidencialidade da
informação
• Quem originou a
comunicação?


Correio eletrônico:
Notícias

• Qual o problema
com uma falsa
informação?
• Phishing
• Imagem
empresarial


Fraudes

• Qual a diferença
do mundo
tangível para o
intangível?
• Qual a principal
arma contra
fraude?


Legislação

• SPED: NF-e, CT-
e, ECD, EFD, etc
• Trabalhista
• Consumidor
• Civil
• Criminal
• Ambiental
• Setor econômico


Privacidade

• Segurança x
privacidade
• Funcionários
• Clientes
• Fornecedores
• Sigilo bancário,
fiscal, etc


Informações pessoais

• Segurança da
Informação de:
– Funcinários
– Clientes
– Parceiros
• Quem pode
acessar?
• Parceiros?
• Uso comercial?


Engenharia Social

• Procedimentos para
obtenção de
informações através de
contatos falsos
• “Conversa de malandro”
• Lixão
• Habilidades do farsante:
– fala com conhecimento
– adquire confiança
– presta “favor”


Outras iscas...

52

Ambiente Físico

• Ahhh, reuniões
rápidas:
– no elevador
– na festa
– no avião
• Quadros, flip chart,
relatórios, etc
• Lixão, de novo?
• Quem entra, quem
sai?

Diretos do usuário

• Acesso individual
• Informações para
trabalhar
• Saber o que é
rastreado
• Conhecer as políticas
e normas
• Ser avisado sobre
tentativas de invasão


Diretos do usuário

• Treinamento sobre
segurança
• Comunicar
ocorrências de
segurança
• Garantia de
privacidade
• Ser mais importante
que a tecnologia


Praticando....

Em
sua
empresa,

qual
é
a
situação?

1) Relatar quais práticas fundamentais são mais
importantes para sua empresa

2) Quais estão implementadas?

3) O que deve ser implementado?


Praticando....

Elaborar
o

checklist
para
sua
empresa


3a Parte: Visão da Gestão


Conceitos

• Ativo
– “Representa os bens e direitos que a empresa tem
num determinado momento, resultante de suas
transações ou eventos passados da qual futuros
benefícios econômicos podem ser obtidos.” (Fonte:
Wikipedia)

– “Os ativos têm a característica de ser bens postos em
atividade, apoiando a entidade nas suas operações e
no seu funcionamento e ajudando a atrair a riqueza
para si.” (Fonte: Wikipedia)
– “Um ativo intangível é um ativo não monetário
identificável sem substância física ou, então, o ágio
pago por expectativa de rentabilidade futura
(goodwill)” (Fonte: http://www.cpc.org.br)


Conceitos

• Ativo Intangível
– “Um ativo
intangível é um
ativo não
monetário
identificável
sem substância
física ou, então,
o ágio pago por
expectativa de
rentabilidade
futura
(goodwill)” (Fonte:
http://www.cpc.org.br)


Conceitos

• Ameaças:
– causa potencial de um
incidente, que caso se
concretize pode resultar
em dano.
– Hackers
– Crackers
– Naturais
– Vândalos
– Internas


Conceitos

• Vulnerabilidades:
– Falha (ou conjunto)
que pode ser
explorada por
ameaças
• Contas sem senhas
• Falhas em software


Conceitos

• Incidente
– é qualquer evento
em curso ou
ocorrido que
contrarie a política
de segurança,
comprometa a
operação do
negócio ou cause
dano aos ativos da
organização.


Conceitos

• Impacto
– Resultados de
incidentes


Análise dos Riscos

Em
sua
empresa,

qual
é
a
situação?

Impacto

Transfere Mitiga

Aceita Reduz

Probabilidades


Análise dos Riscos


Governança

• “é o conjunto de
processos,
costumes, políticas,
leis, regulamentos e
instituições que
regulam a maneira
como uma empresa
é dirigida,
administrada ou
controlada” (fonte: Wikipedia)


Governança

• Visão
– É o sonho da organização, é
o futuro do negocio e onde a
organização espera estar
nesse futuro.

• Missão
– É a razão de existência
de uma organização.


Governança

• Missão
– É a razão de existência de uma organização.


Governança

• Transparência
– Mais do que "a
obrigação de
informar", a
administração deve
cultivar o "desejo de
informar"


Governança

• Equidade
– Tratamento justo
e igualitário de
todos os grupos
minoritários
(stakeholdres).


Stakeholders &

Shareholders Qual a relação entre equilíbrio e segurança?

• Equilíbrio:
– Regulamentações
– Forças corporativas


Balanceando Pressões



• Compliance: “conjunto
de disciplinas para fazer
cumprir as normas
legais e regulamentares,
as políticas e as
diretrizes estabelecidas
para o negócio e para
as atividades da
instituição ou empresa,
bem como evitar,
detectar e tratar
qualquer desvio ou
inconformidade que
possa ocorrer” (Fonte:
Wikipedia)



• Risco x
Conformidade:
– 100% de
conformidade
garante 100%
de segurança?


Desafios da Governança

Quais
são

• Gerenciar riscos x os
principais

investimentos adequados desaﬁos
de

• Manter organização segura sua

organização?
• Seguir padrões
• Atender às exigências
regulatórias


Sucesso na GSI

• Comunicação: direção, gerências e
operação
• Planejamento alinhado à estratégia
• Políticas aderentes aos requisitos legais
• Nível de maturidade coerente com
contexto de riscos
• Estruturar controles de segurança
(frameworks)
• Monitorar a eficácia e eficiência

Melhores Práticas

• Personalizar as práticas ao negócio

– “O grande diferencial não está em utilizar
apenas um guia, ma sim em combinar o que
cada um possui de melhor”


Melhores Práticas

• Cuidado com:
– Orçamento
– Pessoas



Cobit

81

Cobit: alinhamento

Metas de Negócio

Manter a liderança e a
reputação da instituição

Metas da TI

Garantir que os serviços de
TI estão protegidos de ataques

Metas de Processo

Detectar e resolver acessos
não autorizados

Metas de atividades

Compreender os requisitos
de segurança


Cobit: metas e medidas

•  Cada meta estabelecida é acompanhada por
suas respectivas medidas.
•  Estas medidas indicam o desempenho do item,
que potencializa o item do nível acima
TI Processos Atividades

define define
Metas

direciona direciona
medido medido medido

Métricas


Cobit: framework

Principais áreas de atenção do framework:
!  Disponibilizara informação necessária para suporte aos requisitos e
objetivos de negócio
!  Tratamento das informações como resultado da combinação dos recursos da
TI, gerenciados através dos processos de TI
Critério de informação
Efetividade
Processos de TI Eficiência
Confidenciabilidade
Integridade
Disponibilidade
Requisitos de negócio Conformidade
Confiabilidade

Abordagem de controle
Recursos de TI
Processos de TI Aplicações
Domínios
Considerações Informação
Processos
•  ……………………………
Atividades Infra-estrutura
•  ……………………………
•  ……………………..…….. Pessoas



Cobit

85

ITIL: Fundamentos


Cobit: Vídeo parte 1


ISO/IEC 17799

• “A ISO/IEC 17799 foi atualizada para
numeração ISO/IEC 27002 em julho de
2007. É uma norma de Segurança da
Informação revisada em 2005 pela ISO e
pela IEC. A versão original foi publicada
em 2000, que por sua vez era uma cópia
fiel do padrão britânico (BS)
7799-1:1999.” (Fonte: Wikipedia)


ISO/IEC 27000

• ISO 27000 - Vocabulário de Gestão da Segurança da
Informação;
• ISO 27001 - Esta norma foi publicada em Outubro de 2005 e
substituiu a norma BS 7799-2 para certificação de sistema de
gestão de segurança da informação;
• ISO 27002 - Substitui ISO 17799:2005 (Código de Boas
Práticas);
• ISO 27003 - Aborda a gestão de risco;
• ISO 27004 - Mecanismos de mediação e de relatório de um
sistema de gestão de segurança da informação;
• ISO 27005 - Esta norma será constituída por indicações para
implementação, monitoramento e melhoria contínua do
sistema de controles;
• ISO 27006 - Esta norma será referente à recuperação e
continuidade de negócio.


ISO/IEC 27001

93

ISO/IEC 17799/27002

• Framework
– Políticas de segurança
– Segurança organizacional
– Segurança das pessoas
– Segurança física e do ambiente
– Gerenciamento das operações
– Controle de acesso
– Desenvolvimento e manutenção de sistemas
– Gestão da continuidade do negócio
– Conformidade

Metodologia Octave

• Origem: Software Engineering Institute
(SEI) da Carnigie Mellon University
• Antes de avaliar o risco: entender o
negócio, cenário e contexto
• Octave Method (grandes organizações) e
Octave-S (pequenas)


Use Octave-S, se:

• Hierarquia simples
• Menos de 300 funcionários
• Metodologia estruturada com pouca
customização
• Há muita terceirização na TI
• Infraestrutura simples


Octave Method

• 1a Fase: Obtendo informações e definindo
os perfis de ameaças aos ativos
– Processo 1: Conhecimento da alta gerência:
Equipe coleta informações sobre recursos
importantes, exigências de segurança,
ameaças e vulnerabilidades
– Processo 2: Conhecimento da gerência
operacional: Equipe coleta informações sobre
recursos importantes, exigências de
segurança, ameaças e vulnerabilidades
–

Octave Method

• 1a Fase: Obtendo informações e definindo
os perfis de ameaças aos ativos
– Processo 3: Conhecimento de cada
departamento: Equipe coleta informações
sobre recursos importantes, exigências de
segurança, ameaças e vulnerabilidades
– Processo 4: Criar perfis de ameaças para 3 a
5 ativos críticos


Octave Method

• 2a Fase: Identificar vulnerabilidades da
infraestrutura
– Processo 5: Identificar e definir padrão de
avaliação dos componentes-chave dos
recursos
– Processo 6: Avaliar componentes-chave dos
recursos


Octave Method

• 3a Fase: Desenvolver estratégias e planos
de segurança
– Processo 7: Definir critérios de avaliação de
impactos (alto, médio, baixo)
– Processo 8: Desenvolver estratégias de
proteção para melhorar as práticas de
segurança


Octave-S

• 1a Fase: Identifica ativos com base nos
perfis de ameaça
– Processo S1: Identificar ativos, definir critérios
de avaliação dos impactos e situação atual
das práticas de segurança
– Processo S2: Criar perfis de ameaças e definir
exigências de segurança


Octave-S

• 2a Fase: Identificar vulnerabilidades da
infraestrutura
– Processo S3: Analisar o fluxo de acesso aos
sisteas que suportam os ativos e determinar o
quanto os processos tecnológicos os
protegem


Octave-S

de segurança
– Processo S4: Identificar e analisar os riscos,
impactos e probabilidades de cada ativo crítico
– Processo S5: Desenvolver estratégias de
segurança


Octave: Atividades

para Gestão de Riscos
• Identificação dos riscos
• Análise e classificação quanto à criticidade
• Criação de plano estratégico para proteção
• Criação de plano para tratamento de riscos
• Planejamento da implantação
• Implantação
• Monitoramento da execução dos planos
• Controle das variações


Visão ampla

Where Does COBIT Fit?

CONFORMIDADE
Direcionadores DESEMPENHO: Basel II, Sarbanes-
Metas de Negócio Oxley Act, etc.

Governança Corporativa BSC COSO

Governança de TI COBIT

Melhores práticas ISO ISO ISO
9001:2000 17799 20000

Processos e Procedimentos Princípios de
ITIL
procedimentos de QA Segurança


Então?

• ITIL O
que
devo

• Cobit adotar
em

• ISO minha

empresa?
• Octave
• BSC


Paradigmas

• “A equipe de TI deve
gerenciar e conduzir suas
ações para influenciar as
partes interessadas e
garantir o sucesso do
projeto, sempre focada
no negócio”


Partes interessadas

Quais
são

os
principais

stakeholders

de
sua

organização?


Governando Riscos

• Desafio: conhecer os
Por que adotar o
riscos gerenciamento de
• Riscos determinam os riscos de segurança
da informação em
processos de segurança sua organização?
da metodologia/
framework


Tipos de Riscos

• Estratégico e empresarial (negócios)
• Humano
Quais
são

• Tecnológico os
principais

• Imagem riscos
de
sua

organização?
• Legal



Visão executiva

112

Visão executiva

Na
sua

• Comunicação empresa,
TI
é

• Foco no negócio custo
ou

• Alinhamento estratégico diferencial?
• Custo x diferencial competitivo
• Recursos de TI como portfólio de
investimentos


Contexto da

organização
Você
fala

• Organograma: formal x real
“javanês”

• Sensibilização e conscientização com
os

• Linguagem execu9vos?
• Benchmark


Governando Processos

• Conceito de processo:
– sequências semi-repetitivas de eventos
que, geralmente, estão distribuídas de
forma ampla pelo tempo e espaço



• Mapeando processos:
– Enumerar atividades
– Ordernar em forma sequencial
– Identificar entradas e saídas
• recursos
• infraestrutura
• insumos
• matéria-prima
• fornecedores
– Estabelecer características de produtos/
serviços


• Mapeando processos:
– Definir documentação para operação e
controle
– Estabelecer indicadores de eficácia
– Definir plano de controle



• Nível de maturidade:
– Obter conhecimento sobre os procedimentos
– Otimizar processos (melhores práticas)
– Comparar (benchmark)
– Adotar políticas
– Utilizar a TI como facilitador
– Definir processos de riscos
– Integrar riscos
– Monitorar falhas e melhorias
– Realinhar processos

Cobit: níveis de maturidade

• Nível 0: inexistente


Cobit: níveis de maturidade

• Nível 1: Inicial
– Consciência mínima da necessidade de
Governança
– Estruturas desorganizadas, sem padrões
– Suporte e TI não integrados
– Ferramentas e serviços não integrados
– Serviços reativos a incidentes


Disciplina Política e Procedimentos na Segurança da Informação

Disciplina Política e Procedimentos na Segurança da Informação

Recomendados

Recomendados

Mais conteúdo relacionado

Mais de Roberto Dias Duarte

Mais de Roberto Dias Duarte (20)

Disciplina Política e Procedimentos na Segurança da Informação