Post on 03-Jul-2015
Secur i ng
I ndust ry
Gestão da Política de Segurança e Operação da Informação
2008/04/09rui@gomes.com
As f i guras da apresent ação f oram obt i das em www. i mages. com e são ut i l i zadas excl usi vament e para f i ns académi cos.Est a apresent ação f oi opt i mi zada para f ont es Courier new e c ons o l a
Master Course "IT Governance”
Secur i ng
I ndust ry
De que trata o problema?
?Segurança Informação•gestão•privacidade•cultura•integridade•incidentes•confidential•propriedadeintelectual
XSegurançaTecnologias•anti-virus•intrusão•detecção•encriptação•hardening•firewall•certificados•vigilância
not a: A segurança da i nf ormação é um probl ema de gest ão e não de t ecnol ogi a
Secur i ng
I ndust ry
not a: resul t ados ret i rados f act os, observações e casos de est udo (ent i dades, empresas, academi as) que ret rat am o est ado das TI nos hospi t ai s em Port ugal ( 2007)
De que trata o problema?
Estado de “sítio” hospitais
bac kupsgest ão
de as s e t s
gest ãor i sco
pl anocont i nui dade
negóci o
wor k f l owe l e c t r oni c
&har dc opy
? ? ? ? ??
def i ni çãozonas
cr í t i cas
prot ecçãoi ncêndi os
aspect os l egai s audi t or i a
gest ãode
i nci dênci as
? ? ? ?? ?
gest ãopessoas
gest ãoservi ços( I TI L)
cont rol ode
acessos
i dent i f i caçãoi nf ormação
gest ãoi dent i dades
? ? ? ? ??
…pol í t i cashar de ni ng
pl anodi s as t e rr e c ov e r
conf ormi dadescredenci ai s
SGRH
? ? ? ? ?
? ? ?
pol í t i casTI
reduzi do
cont rol oOut s our c i ng comi t é
segurançaprocedi ment os
? ? ? ?
Secur i ng
I ndust ry
Quais as orientações?
Segurança: Prioridade do Governo
hi nt : qual quer medi da a i ni ci ar j á vai t arde! Compet e à gest ão TI l ocal dos hospi t ai s darem os pr i mei ros passos…
?Não está clara a posição. Contudo, a prioridade parece ser a agilização de serviços
Secur i ng
(In)Segurança actualmente
•aumento da exposição ao risco•complexidade dos riscos•complexidade na protecção riscos
Como proteger a informação?
Significa que os mecanismos de protecção não são suficientes. i)é preciso vigiar os riscos
ii)e melhorar mecanismos de protecção
hi nt : … necessár i o ger i r a segurança!I ndust ry
Secur i ng
hi nt : procurar uma cert i f i cação é uma boa opção poi s dá vi si bi l i dade que sust ent a o i nvest i ment o
I ndust ry
Como gerir a segurança?
•Quais as melhores práticas para implementar a gestão da segurança?
• Qual o melhor processo de avaliação de riscos?
•Quais as melhores práticas de protecção?
•Quais as formas de comparar com o melhor da indústria?
Metodologia a utilizar
Secur i ng
?I ndust ry
Procurar a certificação
Segurança Sistemas: ISO/IEC 15408: internacional standard for computer security, FIPS Federal Information Processing Standard 140-2, Common Criteria
not a: são normas que compl ement am aos requi si t os de segurança de I SO 20000, COBI T, HI PAA, out ras. .
Gestão Segurança: ISO/IEC 27001:2005, requisitos de gestão de segurança da informação.
Secur i ng
not a: para si mpl i f i cação é comum ut i l i zar-se nomeações I SO27001 & I SO17799
I ndust ry
Origem da Certificação
1995:publicado BS 17799 parte 11998:publicado BS 17799 parte 2
1993: especialistas britânicos implementaram um “código de boas práticas”
2000:BS17799 parte 1-> ISO/IEC 17799:20002005:BS27001 parte 2-> ISO/IEC 27001:2005
2007:ISO/IEC 17799:2000->ISO/IEC 27002:2007
Secur i ng
I ndust ry
Origem da Certificação
Requisitos e Boas Práticas para a Gestão da Segurança da Informação
Sistema de Gestão ISO 27001: Como implementar um mecanismo de análise de riscos e um sistema de controlo que proteja a informação dos riscos
Boas práticas ISO 17799: Código de boas práticas de segurança da informação com 136 controlos
Secur i ng
not a: I SO 27001 é a uni ca cert i f i cação de gest ão da segurança da i nf ormação para organi smos
I ndust ry
Origem da Certificação
Secur i ng
I ndust ry
Origem da Certificação
Certificados ISO 27001 emitidos
País Total
Japan 2280
UK 352
India 305
Taiwan 128
Germany 73
China 67
Hungary 58
Korea 50
Australia 53
USA 52
Italy 44
Netherlands 31
Hong Kong 30
Singapore 28
Czech Republic 26
Malaysia 20
Brazil, Ireland 17
Poland 16
Austria 15
Finland, Norway 14
Mexico, Switzerland, Turkey 12
Spain 11
Philippines, Saudi Arabia 9
Sweden, UAE, 8
Iceland 7
Kuwait, Russian Federation 6
Greece 5
Bahrain, Canada, Indonesia, Pakistan, Slovenia, Thailand
4
Argentina, France, Isle of Man, Macau, Romania, 3
Belgium, Colombia, Croatia, Denmark, Lithuania,
Oman, Qatar, Slovak Republic, South Africa, Sri Lanka
2
Armenia, Bulgaria, Egypt, Gibraltar, Lebanon, Luxemburg, Macedónia, Moldova, Morocco, New Zealand, Peru, Ukraine, Uruguay, Vietnam,
Yugoslavia, Portugal1
Absolute Total 3890.
.
.
.
.
.
not a: Dados recol hi dos em ht t p : / / www. i s o27001c e r t i f i c at e s . c om a 4 SET 2007, di rei t os reservados, I SMS I nt e r nat i onal Us e r Gr oup
Secur i ng
I ndust ry
Sistema de Boas Práticas
not a: o Códi go não recomenda t ecnol ogi as mas uni cament e est rat égi as a serem adapt adas à organi zação
Código de Boas Práticas ISO 17799
Controlos de segurança da informação (11 areas)1 Pol í t i ca de Segurança da I nf ormação I SO/ I EC-17799: 20
00
2 Organi zação da Segurança da I nf ormação I SO/ I EC-17799: 2000
3 Gest ão de Recursos ( cl assi f i cação de as s e t s ) I SO/ I EC-17799: 2000
4 Gest ão de Recursos Humanos I SO/ I EC-17799: 2000
5 Gest ão da segurança f í si ca e ambi ent al I SO/ I EC-17799: 2000
6 Gest ão das Comuni cações e Operações I SO/ I EC-17799: 2000
7 Cont rol o de acessos I SO/ I EC-17799: 2000
8 Aqui si ções, manut enções e desenvol vi ment o de si st emas
I SO/ I EC-17799: 2000
9 Gest ão de i nci dent es de segurança da i nf ormação I SO/ I EC-17799: 2005
10 Pl ano de gest ão da cont i nui dade de negóci o I SO/ I EC-17799: 2000
11 Conf ormi dade com os aspect os l egai s I SO/ I EC-17799: 2000
Secur i ng
I ndust ry
Sistema de Boas Práticas
1 - Política de segurança da informação
• Definição da segurança da informação aprovada pela administração (objectos, abrangência e importância)
• Explicação dos príncipios, normas e conformidades de relevo
• Referências a documentos ou processos externos
• Comunicação a TODA a organização e responsabilização
Secur i ng
I ndust ry
Sistema de Boas Práticas
2 - Organização da Segurança
• Coordenação da segurança (forum)
• Alocação das responsabilidades
• Classificação da informação
• Acordos confidencialidade
• Revisão da segurança (entidade isenta)
• Identificação dos riscos externos
• Acordos com partes terceiras
• Segurança na relação com os utentes
Secur i ng
I ndust ry
Sistema de Boas Práticas
not a: as s e t s são t odos aquel es que pel a sua ausênci a ou degradação podem t er i mpact o na ent rega de produt os ou servi ços na organi zação ou causar danos com a perda da conf i denci al i dade ou i nt egr i dade
3 - Classificação e controlo de recursos (hardware, software, informação, pessoas)
• Inventário de recursos (informação electrónica, papel, registos video, som, software, físicos, elementos humanos, serviços contratados, etc..)
• Responsabilidade pelos recursos (elemento humano é o elo mais fraco)
• Classificação de recursos (regras, etiquetagem, manuseamento)
Secur i ng
I ndust ry
Sistema de Boas Práticas
Not a: A engenhar i a soci al é a f orma mai s comum de at aque por est e act i vo. Processo de mudar o comport ament o das pessoas
4 – Gestão de recursos humanos
• Verificação de credenciais (habilitações, curriculo, competências, acordos confidencialidade, etc.)
• Termos e condições de trabalho (responsabilidades, formação, educação,etc.)
• Término das responsabilidades(devolução de recursos e dos direitos de acesso)
• Processos disciplinares
Secur i ng
I ndust ry
Sistema de Boas Práticas
5 - Segurança física e ambiental
• Perímetro da segurança
• controlos de entrada e saída
• Protecção contra ameaças externas e ambiente
• Manutenção, protecção e acondicionamento dos equipamentos
• Areas de acesso público, cargas e descargas
• Segurança da cablagem
• Destruição e re-utilização segura do equipamento
Secur i ng
I ndust ry
Sistema de Boas Práticas
6 - Gestão das operações e comunicações
• Capacidade de aceitação de sistemas
• Protecção contra código malicioso
• Monitorização e revisão serviço terceiros
• Gestão das operações em redes e transmissões
• Salvaguarda da informação (backups)
• Políticas e procedimentos escritos e aprovados para troca/partilha de informação
• Messaging, meios fisicos em transito, etc..
Secur i ng
I ndust ry
Sistema de Boas Práticas
7 - Controlo de acesso lógico
• Políticas e regras para controlo de acesso (previlégios minimos, separação das responsabilidades)
• Responsabilidade dos utilizadores
• Gestão dos utilizadores
• Controlo acesso (rede, S.O., aplicações)
• Monitorização de acessos e utilização
• Clear Desk e Clear Screen (hardening)
• Computação móvel e ligações remotas
Secur i ng
I ndust ry
Sistema de Boas Práticas
8 - Aquisição, desenvolvimento e manutenção de Sistemas de Informação
• Vulnerabilidades na aquisição de sistemas (especificação de requisitos)
• Controlos criptográficos
• Segurança de ficheiros de sistema
• Restrições a impor ao desenvolvimento e manutenção de software em outsourcing
• Por vezes a utilização de códigos abertos pode criar vulnerabilidades
Secur i ng
I ndust ry
Sistema de Boas Práticas
9 - Gestão de incidentes de segurança da informação
• Comunicação de eventos de segurança da informação
• Comunicação de falhas de segurança
• Registos de incidentes de segurança
• Responsabilidades e procedimentos
• Colecção de evidências para melhorar
• Monitorização e reavaliar os controlos
Secur i ng
I ndust ry
Sistema de Boas Práticas
not a: … nest e capí t ul o que cabe por exempl o as prát i cas de di s as t e r r e c ov e r y
10 - Gestão da continuidade de negócio (PCN)
Deve ser elaborado um plano (política) para salvaguardar que o negócio da instituição não é interrompido por incidentes de segurança
• Iniciação e gestão projecto
• Análise de impacto para o negócio
• Estratégias de recuperação
• Elaboração de planos
• Testes, manutenção e formação
Secur i ng
I ndust ry
Sistema de Boas Práticas
11 – Conformidades com aspectos legais
• Legislação aplicável
• Direitos de propriedade intelectual
• Protecção e arquivo de registos da organização (virus, erro humano, ataques, violação acessos, desastres, anomalias hardware, software, etc..)
• Protecção dos dados e privacidade de informação pessoal
• Conformidade com políticas e normas
• Regulamentos e auditorias
Secur i ng
I ndust ry
“Sem uma gestão formal da segurança da informação, a segurança vai ser quebrada algures no tempo”
Sistema de Boas Práticas
Visão adaptada do ISO/IEC-17799 para a Saúde
(futuro ISO/IEC 27799)
Secur i ng
I ndust ry
Apoio às Boas Práticas
Método para desenvolvimento de um relatório de avaliação inicial
Resposta a um framework (Gap Analysis)
• Saber em que estágio se encontra o hospital em matéria de segurança da informação
• Reconhecer algumas das vulnerabilidades, ameaças e riscos mais relevantes;
• Delinear um “road map” que poderia ser estabelecido para um projecto de certificação
• Determinar que recursos e que “Project Plan” consegue ter associados
Secur i ng
I ndust ry
Apoio às Boas Práticas
• Avaliação inicial de dados e documentos
• Auditoria preliminar às infra-estruturas
• Analise de documentação da organização
• Entrevistas a elementos da organização
• Mapeamento de confrontação com os 11 controlos da norma
• Análise final e geração de relatórios
Actividades a desenvolver durante a Gap Analysis
Secur i ng
I ndust ry
Conclusões• Não é possível manter a segurança sem planear
a sua gestão
• Mesmo que os organismos iniciem hoje a implementar políticas já vão muito tarde
• Não existe “such thing” segurança total
• Implementar os controlos ISO 17799 permite minimizar riscos
• Só o ISO 27001 permite certificar a gestão da segurança
• Implementar a norma exige grandes mudanças estruturais no âmbito das tecnologias e dos comportamentos.
• Tem custos de investimentos elevados mas com retorno visível
not a: no f ut uro a Norma t erá caract er “obr i gat ór i o” de modo a sust ent ar o negóci o