Post on 07-Apr-2016
Recomendações de Segurança para Serviços Eletrônicos do Governo do Estado de São Paulo
Manual de Segurança
Fábio R. N. Fernandesfnfernandes@sp.gov.br
Marcos Tadeu Yazakimyazaki@sp.gov.br
www.prodesp.sp.gov.br
Pauta
• Apresentação do Manual de Segurança
• Introdução• Segurança física• Segurança lógica• Hospedagem• Monitoramento• Modelo organizacional• Considerações finais
Introdução
• Manual é um conjunto de recomendações básicas de segurança, baseado nas melhores práticas do mercado– Comitê Gestor da Internet no Brasil– ISO/IEC 17799– Documentos de Governança
• A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação
Informação
• A importância da Informação– Um dos bens mais valiosos do governo– Informações de terceiros custodiadas– Imagem do governo
• Armazenada em diversos meios• Transita por diversos meios
CidadãoEmpresas
E-MailsArquivos
ConversasDocumentos
Apresentações
PapelEletrônico
Deve ser devidamente protegida !!!
Rede Complexa
INTERNET
SecretariasÓrgãos
Empresas
Redes Privadas
Redes Públicas
Rede do Governo
G2BG2BG2CG2C
G2GG2G
G2EG2E G2EG2E
Riscos
• Indisponibilidade• Vazamento de informação• Violação da integridade• Fraude• Acesso não autorizado• Uso indevido• Sabotagem• Roubo de informações• Ameaças programadas (vírus, worms, trojans)• Espionagem
Número Atuais
7.27
1.29
9
7.77
6.22
1
5.73
8.06
2
3.91
0.10
6
3.95
5.25
5
5.33
0.79
9
6.17
6.94
2
7.26
0.40
7
6.32
7.64
0
6.90
4.85
0
5.71
2.66
2
3.46
9.64
0
0
1.000.000
2.000.000
3.000.000
4.000.000
5.000.000
6.000.000
7.000.000
8.000.000
set/04 out/04 nov/04 dez/04 jan/05 fev/05 mar/05 abr/05 mai/05 jun/05 jul/05 ago/05
Tentativas de Ataque ao Ambiente
Pilares da Segurança
Confidencialidade
Integridade Disponibilidade
Legalidade, Auditabilidade, Transparência, Não Repudio
Ações da Segurança
TecnologiaTecnologia
ProcessosProcessos
PessoasPessoas
Funcionários Fornecedores Clientes Parceiros Consultorias Cidadão
Segurança Física
• Ambiente• Sala dos servidores• CPD• Datacenter
• Equipamentos• Microcomputadores• Roteadores• Switches
1o) Terreno: muro, controle de acesso: guarita, seguranças1o) Terreno: muro, controle de acesso: guarita, seguranças
PRODESP
Perímetros
2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas
3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança
4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria
5o) Racks com chave, cameras5o) Racks com chave, cameras6o) Sala cofre6o) Sala cofre
Segurança dos Ambientes
• Recomendações– Paredes sólidas– Portas e janelas protegidas– Alarme– Mecanismos de controle de acesso
• Prever riscos como– Fogo– Inundação– Explosão– Manifestações
• Levar em conta riscos dos prédios vizinhos
Segurança dos Equipamentos
• Proteger contra:• acesso não autorizado• Roubo / perda (notebook)• Violações
• Considerar:• Equipamento próprios• Equipamentos alienados• Equipamentos externos
• Proteger a infraestrutura:• Cabines de fornecimento de energia elétrica• Salas de distribuição dos cabeamentos lógicos
(rede/telecomunicação)• contra falhas ou anomalias de energia (estabilizadores, no-breaks,
geradores)• Manutenção preventiva
• Manter contingência dos sistemas críticos
Segurança Lógica
InternetInternet WAN, MANWAN, MAN
ACLACLVPNVPNFirewallFirewallVLAN´sVLAN´sIPS/IDSIPS/IDSAutenticaçãoAutenticaçãoCriptografiaCriptografiaCertificado DigitalCertificado DigitalSistema OperacionalSistema Operacional
LANLAN
InformaçãoInformação
• Regras de controle de acessos (quem, o que, quando, como)
• Auditoria: logs• Premissa: Tudo deve
ser proibido a menos que seja expressamente permitido
• Proteger pontos de rede
• Proteger dispositivos de rede (switches, routers)
• Segmentar rede
• Deve-se definir uma política de backup• As mídias devem ser:
• Controladas• fisicamente protegidas contra roubo, furto e
desastres naturais (fogo, inundação)• armazenadas em locais adequados (cofres,
controle de humidade)
• Os Data Centers podem ser utilizados para espelhamento dos sistemas críticos
Backup
Outros
• Manutenção preventiva e periódica• Deve-se adotar uma política de aplicação das
correções de segurança dos sistema operacionais e softwares
• Deve-se analisar as vulnerabilidades• Deve-se utilizar softwares antivírus• Recomenda-se a utilização de anti-spywares• Deve-se ter cuidado com o descarte das
informações• Atenção com fotocopiadoras, gravadores de CD,
FAX, filmadoras, câmeras em áreas críticas
Hospedagem
• Todos os órgãos e entidades da Administração Pública Estadual devem utilizar os “Data Centers” do Governo (Resolução CC-9, de 25/02/2005)
– Hospedagem– Publicação de informações– Serviços eletrônicos via Internet
• Modalidades:
– Colocation– Hosting
Hospedagem dos servidores
Hospedagem de conteúdo, aplicativos e serviços
Hospedagem
Colocation HostingAcesso Restrito e Controlado X XAntivírus Opcional XBackup Opcional XMonitoramento 24x7 X XSegurança física e lógica X XAplicação de Patches Opcional XRedundância X XGerenciamento Remoto X XUpgrades Hardware/Softw. N.A. XInfraestruturaLink com a InternetLink com a IntranetHardwareSoftwareTreinamentoManutençãoEquipe de profissionaisClimatização
XXX
X
XX
XXXXXXXXX
Redução de CustosRedução de Custos
SegurançaSegurança
Confiabilidade
Disponibilidade
Monitoramento
• Garantir a continuidade dos serviços• Identificar anomalias e incidentes de segurança• Acompanhar tendência de crescimento (capacity planning)
• Outros: alimentação elétrica, climatização, no-breaks, conectividade
•Disco•Processamento•Memória•Segurança (patches, antivírus)•Conectividadade (rede local, switches, roteadores, etc.)
Equipamentos
•Login (usuário, data e hora, terminal)•Acessos ao sistema•Tentativas de acessos indevidos
Serviços
Modelo Organizacional
• Definição e adoção de um Modelo Organizacional, baseado na criação de um Grupo de Resposta à Incidentes
• Interno Distribuído• Interno Centralizado• Combinado• Coordenador
• É importante o relacionamento do grupo de resposta à incidentes com áreas não técnicas, como Recursos Humanos e Jurídico
• Terceirização deve ser feita com cautela uma vez que envolve riscos
• Não existe um modelo mais indicado. Deve-se buscar implementar o que for melhor para a empresa.
Modelos Organizacionais• Interno Distribuído
• Modelo inicial• Possui um Coordenador para responder aos incidentes em conjunto com as
áreas envolvidas• O Coordenador não precisa ser um especialista em Segurança, mas alguém
que se preocupe não somente em resolver o incidente como também procurar as causas e trabalhar para que não ocorra novamente.
• Interno Centralizado• Existência de uma área de Segurança• Funcionários exclusivos• Serviços pró-ativos e reativos• Atuação direta na resolução de problemas e manutenção das informações
necessárias para investigação das causas e propostas de solução.• Combinado (Distribuído e Centralizado)• Coordenador
• Modelo para entidades que possuem órgãos ligados diretamente.• A entidade organiza um grupo que coordena os demais grupos de segurança
dos órgãos
Considerações Finais
• Política de Segurança• Uma vez que o ambiente não conte com uma
infra-estrutura física ou lógica adequada, deve-se utilizar os Data Centers do Estado
• Consultar outras instituições e sites• As recomendações devem ser selecionadas e
usadas de acordo com a legislação e regulamentações vigentes
• A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação
Links para Consultas
• Comitê Gestor da Internet no Brasilhttp://www.cg.org.br/
• NIC BR Security Officehttp://www.nbso.nic.br
• CAIS-Centro de Atendimento a Incidentes de Segurançahttp://www.rnp.br/cais/
Fábio R. N. Fernandesfnfernandes@sp.gov.brwww.prodesp.sp.gov.br
Perguntas ?
FIM