OTES07 – Segurança da Informação - portalwebrs.com.br para S.I... · computer system: report...
Transcript of OTES07 – Segurança da Informação - portalwebrs.com.br para S.I... · computer system: report...
Normas
A fim da segurança não se tornar algo empírico, foram definidas normas de modo a possibilitar uma padronização
e análise. Importante:
– Padrão: homologado por órgão reconhecido e deve ser seguido a fim de obter conformidade
– Norma: é publicada ou definida por alguma organização/instituição, nem sempre é um padrão
– Política: uma definição do “Norte” que se pretende atingir, deve ser baseada em algum padrão ou
norma
– Procedimento: é o meio através dos quais são definidos os atos que devem ser executados de modo
a atender uma política/norma/padrão
Normas (Cont.)
Principais normas para segurança da Informação:
– BS7799, publicada pelo BSI, e suas variantes:
● ISO/IEC 17799, publicada pela ISO
● NBR-ISO/IEC 17799, publicada pela ABNT
– Família ISO/IEC 27000
– COBIT, publicada pela ISACA
– ITIL (IT Infrastructure Library), criada CCTA do Reino Unido – Outros padrões relacionados: FIPS,
HIPPA, Sigma Six, etc.
OTES07 - Segurança da Informação 2
Normas (Cont.)
Família ISO 27000:
● ISO/IEC 27000 — Information security management systems — Overview and vocabulary
● ISO/IEC 27001 — Information security management systems — Requirements
● ISO/IEC 27002 — Code of practice for information security management
● ISO/IEC 27003 — Information security management system implementation guidance
● ISO/IEC 27004 — Information security management — Measurement
● ISO/IEC 27005 — Information security risk management
● ISO/IEC 27006 — Requirements for bodies providing audit and certification of information security
management systems
● ISO/IEC 27011 — Information security management guidelines for telecommunications
organizations based on ISO/IEC 27002
● ISO/IEC 27031 — Guidelines for information and communications technology readiness for
business continuity
● ISO/IEC 27033-1 — Network security overview and concepts
● ISO/IEC 27035 — Security incident management
● ISO 27799 — Information security management in health using ISO/IEC 27002
Histórico das Normas
Métodos de escrita da antiga civilização egípcia
Surgimento dos computadores
Em outubro de 1967 o Departamento de Defesa dos Estados Unidos criou o “Security control for computer system: report of defense science board task force on computer security”, editado por W. H. Ware (considerado primeiro esforço em segurança)
1978 - The Orange Book (Departamento de Defesa americano)
1985 - 26 de dezembro, versão final
OTES07 - Segurança da Informação 3
1987 - Criado na Inglaterra o CCSC (Comercial Computer Security Centre)
1989 - PD0003 – Código para gerenciamento da segurança da informação, publicado pelo BSI
1995 - A partir da revisão do código PD0003, foi publicada a norma BS 7799-1:1995
Histórico das Normas (Cont.)
1996 - COBIT (Control Objectives for Information and related
Technology), publicada pela ISACA (Information Systems Audit and Control Foundation)
1998 –
– Publicada BS 7799-2:1998
– Publicada a segunda edição do COBIT
2000 –
– Em 01/março BS 7799 foi efetivada na Inglaterra
– Publicada em 01/dezembro a norma ISO/IEC 17799:2000
2001 – Em setembro, a ABNT (Associação Brasileira de Normas Técnicas) homologou, a versão brasileira
da norma ISO/IEC 17799
denominada, NBR ISO/IEC 17799
2005 –
– Publicada a versão 2.0 da ISO/IEC 17799 em junho
– Publicada a versão 2.0 da NBR-ISO/IEC 17799 em novembro 2009 – Série ISO 27000
Principais referências de gerenciamento de riscos e controles internos
1946 ISO (International Organization for Standardization)
OTES07 - Segurança da Informação 4
1966 Auditoria Analítica – Skinner / Anderson - Canadá
1991 FDICIA (Federal Deposit Insurance Corporation Improvement Act) e CADBURY (Internal Control and Financial Reporting) no Reino Unido
1992 COSO (Committee of Sponsoring Organizations of the Treadway Commission)
1994 KON TRAG (Controle e transparência das empresas alemãs)
1995 CoCo (Canadian Institute of Chartered Accountants' Criteria of Control Committee) e ANZ 4360 Risk Management (Standards Australia and New Zealand)
1996 COBIT (Control Objectives for information and Related Technology)
1997 G – 30 (The Group of Thirty)
1998 BASILEIA
1999 TURNBULL (Controle e transparência para Bolsa de Londres)
2001 BASILEIA 2
2002 SARBANES-OXLEY
2004 COSO II (Enterprise Risk Management)
OTES07 - Segurança da Informação 5
Segurança da Informação
Conceito formal:
– Segurança é, portanto, a proteção de informações, sistemas, recursos e serviços contra desastres,
erros e manipulação não autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de
segurança
Para NBR ISO/IEC 17799:
– “A segurança da informação protege a informação de diversos tipos de ameaças para garantir a
continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos
e as oportunidades de negócio.”
Para o COBIT a segurança da informação é, conceitualmente tratada partindo dos mesmos princípios da NBR
ISO/IEC 17799
Segurança da Informação
Segundo a NBR ISO/IEC 17799 é preciso estabelecer: –
Confidencialidade
– Integridade
– Disponibilidade
OTES07 - Segurança da Informação 6
A norma COBIT, também contempla efetividade, eficiência, flexibilidade e
confiabilidade, além de confidencialidade, integridade e disponibilidade
Confidencialidade
Para a NBR ISO/IEC 17799 e para COBIT, trata-se de garantir que tenha acesso a informação somente
quem tenha autorização de para tal. Ações:
– Informações em papel: restringir acesso físico
– Informações em meio digital: medidas mais sofisticadas
Integridade
Para a NBR ISO/IEC 17799 e para a COBIT significa assegurar que a informação e os métodos de
processamento mantém-se exatos e completos
Proteger contra:
– Alteração não autorizada
– Erros do meio de transporte
OTES07 - Segurança da Informação 7
Disponibilidade
Para a NBR ISO/IEC 17799 trata-se de garantir que sempre que usuários autorizados necessitem ter
acesso a informações isto aconteça efetivamente
Para a COBIT maior orientação para os negócios.
Proteger contra:
– Falhas dos equipamentos
– Ação de pessoas maliciosas
Definição de Política de Segurança
Conjunto de procedimentos para:
– Proteção, controle e monitoramento dos recursos computacionais
– Responsabilidades
– Deve integrar-se às demais políticas da instituição
– Deve ser disseminada na organização
– Clara, concisa e praticável
Definição de Política de Segurança
Segundo a NBR ISO/IEC 17799 p.4, o objetivo da política de segurança é: “prover à direção uma
orientação e apoio para a segurança da informação”
Para a COBIT ela deve ter seu foco no alto nível de controles para cada processo, ser clara e
satisfazer os recursos de TI
OTES07 - Segurança da Informação 16
Requisitos de Segurança
Para identificar os requisitos (NBR ISO/IEC 17799, 2001):
– Avaliação de risco dos ativos da organização
– Legislação e cláusulas contratuais da organização em seus negócios
– De cunho particular da organização
Para a COBIT (2000):
– Pontos de responsabilidade da alta gerência
– Recursos humanos
COBIT aborda sob um aspecto mais comercial
Controles de Segurança
Controles devem atender aos requisitos
Tem por objetivo sanar ou diminuir os riscos
Pode ser de natureza técnica, procedimental, jurídica ou qualquer outra
Podem utilizar normas/padrões, boas práticas de segurança ou criados de acordo com as
necessidades
Controles de Segurança
Ameaças
OTES07 - Segurança da Informação 17
Camadas de defesa
Esquema de defesa em camadas
Hardware
Sistema Operacional
Aplicativos
Serviços
...
OTES07 - Segurança da Informação 18
NBR ISO/IEC 17799
NBR ISO/IEC 17799
Requisitos:
– Política de segurança
– Segurança organizacional
OTES07 - Segurança da Informação 19
– Classificação e controle dos ativos de informação
– Segurança em pessoas
– Segurança física e do ambiente
– Gerenciamento das operações e comunicações
– Política de controle de acesso
– Desenvolvimento e manutenção de sistemas
– Gestão da continuidade dos negócios
– Conformidade
NBR ISO/IEC 17799
Controles (sob ponto de vista legal):
– Proteção de dados e privacidade de informações pessoais
– Salvaguarda de registros organizacionais
– Direitos de propriedade intelectual Controles (melhores práticas):
– Documento da política de segurança da informação
– Definição das responsabilidades na segurança da informação
– Educação e treinamento em segurança da informação
– Relatório dos incidentes de segurança
– Gestão da continuidade do negócio
COBIT – CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY
É um guia para gestão de TI que auxilia no gerenciamento de processos baseados em objetivos de
negócios. Inclui recursos tais como:
– Sumário executivo
OTES07 - Segurança da Informação 20
– Framework
– Controle de objetivos
– Mapas de auditoria
– Conjunto de ferramentas de implementação
– Guia com técnicas de gerenciamento
O QUE É GOVERNANÇA EM TI?
Governança em TI é uma estrutura de relações e processos que dirige e controla uma organização a fim
de atingir seu objetivo através do gerenciamento balanceado do risco
Os resultados obtidos por organizações bem sucedidas são exemplos claros do que a Governança em TI
pode significar em termos de retorno de investimento (ROI – Return Over Investiment)
Informações para proceder com TI:
– Foco nas maiores fraquezas
– Obtenção de resultados da equipe de gerenciamento e da equipe de TI
– Busca por suporte técnico
OTES07 - Segurança da Informação 21
Governança de TI
ADMINISTRAÇÃO DA EMPRESA
AUDITORIA DE SISTEMAS
ADMINISTRAÇÃO
DE TI
GARANTIA DE
QUALIDADE
SISTEMAS
E
APLICAÇÕES
INFRA-
ESTRUTURA
E
PRODUÇÃO
SEGURANÇA CONFORMIDADE
MERCADO
CLIENTES
ÓRGÃOS
REGULA-
DORES
FORNECE-
DORES
AUDITORIAS
INDEPEN-
DENTES
OTES07 - Segurança da Informação 22
Estrutura:
OTES07 - Segurança da Informação 23
Visão Geral e Estrutura do COBIT: Processos de TI
DS1 definir níveis de serviços DS2 gerenciar serviços de terceiros DS3 gerenciar performance e capacidade DS4 garantir continuidade dos serviços DS5 garantir segurança dos sistemas DS6 identificar e alocar custos DS7 educar e treinar usuários DS8 auxiliar e aconselhar usuários de TI DS9 gerenciar a configuração DS10 gerenciar problemas e incidentes DS11 gerenciar dados DS12 gerenciar instalações DS13 gerenciar a operação
M1 monitorar os processos M2 avaliar a adequação do controle interno M3 obter certificação independente M4 providenciar auditoria independente
PO1 definir um plano estratégico de TI PO2 definir a arquitetura de informação PO3 determinar a direção tecnológica PO4 definir a organização e relacionamentos da TI PO5 gerenciar o investimento em TI PO6 comunicar metas e diretivas gerenciais PO7 gerenciar recursos humanos PO8 garantir cumprimento de exigências externas PO9 avaliar riscos PO10 gerenciar projetos PO11 gerenciar qualidade
AI1 identificar soluções AI2 adquirir e manter software aplicativo AI3 adquirir e manter arquitetura tecnológica AI4 desenvolver e manter procedimentos de TI AI5 instalar e certificar sistemas AI6 gerenciar mudanças
PLANEJAMENTO E
ORGANIZAÇÃO
AQUISIÇÃO E
IMPLEMENTAÇÃO
PRODUÇÃO E SUPORTE
MONITORAÇÃO
OTES07 - Segurança da Informação 24
COBIT: Visão tridimensional
OTES07 - Segurança da Informação 25
COBIT
Requisitos:
– Requisitos de qualidade
– Requisitos de confiabilidade
– Requisitos de segurança Controles:
– Possui 34 controles de alto nível
– De 3 a 30 controles específicos para cada controle de alto nível
– Total 318 objetivos de controle
COBIT
Controles:
– Definição de um plano estratégico de tecnologia da informação
– Determinação da direção tecnológica
– Gerência da mudança da tecnologia da informação
– Comunicação dos objetivos e aspirações da gerência
– Administração de projetos
– Administração da qualidade
– Administração dos recursos humanos
– Identificação de soluções automatizadas
– Administração de mudanças
– Administração dos serviços prestados por terceiros
– Assegurar a continuidade dos serviços
– Garantir a segurança dos sistemas
OTES07 - Segurança da Informação 26
COBIT
Controles: (Cont.)
– Identificação e destinação dos custos
– Educação e treinamento de usuários
– Administração de problemas e incidentes
– Monitoramento do processo
– Obtenção de garantias independentes
– Prover auditoria independente
Como o COBIT relaciona-se a Governança em TI ?
OTES07 - Segurança da Informação 27
Governança TI
NBR ISO/IEC 17799 x COBIT
NBR ISO/IEC 17799 COBIT
OTES07 - Segurança da Informação 28
Estrutura Orientada a diversidade das práticas organizacionais, serve de orien- tação para a alta gerência na adminis- tração de seus recursos sobre a informação.
Estruturada com base em domínios que dividem os segmentos organizacionais de forma natural para melhor implementação de seus procedimentos.
NBR ISO/IEC 17799 x COBIT
NBR ISO/IEC 17799 COBIT
OTES07 - Segurança da Informação 29
Requisitos Requisitos de segurança bem definidos. Para esta norma os requisitos devidamente identificados resultam em um caminho para proceder a implementação da segurança.
Os requisitos são deixados mais a cargo de quem faz utilização da norma. Suas definições são mais genéricas, deixando o enfoque nos objetivos da segurança.
NBR ISO/IEC 17799 x COBIT
NBR ISO/IEC 17799 COBIT
OTES07 - Segurança da Informação 30
Controles Estabelecidos tendo ligação com os requisitos. Apresentam- se de forma mais genérica e com dependência de uma identificação eficiente dos requisitos de segurança.
Bem definidos, os controles demonstram aos administrados de tecnologia da informação o que deve ser alcançado para a implementação da segurança da informação.
COMPARATIVO
NBR ISO/IEC 17799 x COBIT:
– Tanto a COBIT como a NBR ISO/IEC dispõem de boas práticas de segurança
O COBIT tem seu ponto forte no estabelecimento de controles de segurança
A NBR ISO/IEC 17799 enfoca mais a identificação dos requisitos
OTES07 - Segurança da Informação 31
TENDÊNCIAS
Previsão de recorde em gastos com segurança em
2012
– Principalmente relacionado a computação em nuvem
– “Dos executivos de TI das empresas em que foi ou será adotada a computação em nuvem, 50%
consideram que a segurança é o desafio ou a preocupação mais importante, em comparação com
42% dos executivos das unidades de negócios. Por outro lado, 51% dos integrantes da comunidade
provedora da tecnologia em nuvem declaram que a segurança está no topo de suas listas.”
Necessidade de segurança Procura pelas
normas/padrões:
– NBR ISO/IEC 17799
– COBIT
– Outras normas (multinacionais)
ESTATÍSTICAS
No cenário internacional:
Predomina o uso da ISO/IEC 17799 e ISO/IEC27000
COBIT é bastante utilizado (ex. Japão)
OTES07 - Segurança da Informação 32
OTES07 - Segurança da Informação 33
Leitura Recomendada:
Schneier, B. - Segurança.com. 1ª Edição. Rio de Janeiro.
Campus. 2001
– Capítulo 1
Norma NBR-ISO/IEC 17799 versão 2.0
– Item 1
COBIT
– http://www.isaca.org
BS7799
– http://www.bsi.org.uk/disc/
Normas e padrões de segurança:
– http://www.sans.org/infosecFAQ/standards/