Resumo – ISO 27002 – Foundation

Módulo 1 - Introdução
1. Introdução  Segurança da Informação é Gestão e não um processo tecnológico!  Implantar um SGSI  ISO 20000-1 (Gestão de Serviços de TI) + ISO 27001 + ISO 27002  ISO 27001:2006 (old BS 7799-2:2002  Sistema de Gestão de SI – Requisitos  Considera segurança física, técnica, procedimental e em pessoas. (Requisitos)  Têm toda parte de elaboração de Matriz e acompanhamento do SGSI com anexo dos controles.  Pode ser auditada por terceiros.  ISO 27002:2005 (baseada na BS7799-1:1999 – old ISO 17799:2000)  Código de Práticas para Gestão de SI]  Melhores Práticas para a Gestão da Seg. da Informação.  11 Capítulos – 39 objetivos – 133 controles  Baseada no PDCA  É um guia, e mostra como implementar os Controles  Ambas são metodologias estruturadas reconhecidas internacionalmente, dedicadas à Seg. da Informação.  Um processo definido para avaliar, implementar, manter e gerenciar a Seg. da Informação.  Um grupo completo de controles contendo as melhores práticas para Seg. da Inf.  Não são  Normas Técnicas / Dirigidas para produtos ou tecnologia  A ISO 27001 e a 27002 podem ser implantadas em conjunto (SLIDE 15)  Implantar centralmente e desdobrar globalmente são uma boa prática.  Dificuldades para Implantar um SGSI  Abordagem sistemática, simples e clara para gestão de riscos.  Ineficiência ao utilizar um plano de continuidade de negócios (falta teste).  Designar a TI para ser responsável pelo projeto  Falta de visão ao estabelecer os parâmetros dos controles da norma  Falta de ação para identificar e usar controles fora da norma.  Limitação de Orçamento.  Benefícios da Implantação ISO 27001 / 27002  Redução de riscos de responsabilidade pela não implementação de um SGSI ou determinar políticas.  Oportunidade de identificar e corrigir pontos fracos.  A Alta direção assume a responsabilidade pela Seg. da Inf.  Permite revisão independente do Sistema de Gestão da Seg. da Informação.  Oferece confiança aos parceiros comerciais, partes interessadas e clientes.  Melhora conscientização sobre segurança  Combina recursos com outros sistemas de gestão  Metas da ISO 27001 / 27002  Salvaguardar a CONFIDENCIALIDADE / INTEGRIDADE / DISPONIBILIDADE da informação.  ISO 27003  Orientação a partir do uso do PDCA para implantação de um SGSI  ISO 27004  Planos de emergência e métricas para Sistemas de Seg. da Informação.

Módulo 2 – Informação / Objetivos do Negócio / Requisitos de Qualidade
1. Informação  Ativo que têm valor para o negócio.  Têm o valor que o usuário dá a ela  Quem recebe a informação é que dá o valor a ela !  Independente da sua forma, deve sempre estar devidamente protegida.  Tipos  Escrita/digital/Visual/Processos/Know-how/etc.  Tipos/Origem  Internas  Você não gostaria que a concorrência soubesse.  Clientes/Fornecedores  Eles não gostariam que vc divulgasse.  Parceiros  Necessitam ser compartilhadas com outros parceiros comerciais. Ativo (em relação à ISO 27001)  Relevante ao SGSI Informação Eletrônica / Doc. em Papel / SW / HW / Instalações / Pessoas / Serviços  Para a ISO 27002 devem-se definir quais ativos tem valor.  Deve-se valorizar os ativos para implementar o processo de implementação do SGSI. Estados  Criada – Transmitida – Processada – Utilizada - Armazenada  Corrompida  Perdida Nossa preocupação!  ISO 27002  Destruída Conceitos  Sistema de Informação  Não é necessariamente um sistema de TI (Ex.: Cabine de Telefonia)  Combinação de meios, procedimentos e pessoas que forneçam inform. para um processo operacional.  Pode ser melhorado por um Sistema de TI com estações de trabalho, redes, servidores, etc.  Arquitetura da Informação  Processo focado em preparar o fornecimento da informação dentro da organização.  Processos Operacionais e a Informação  Processos Primários  Relacionados com a realização do produto/serviço.  Processos-Guias (de gestão)  Planejamento e Estratégias.  Processos Suporte  Compras, vendas e RH, etc.  Análise da Informação  Elaborar um desenho do fluxo da informação dentro da organização. (Ex.: Reserva de Hotel via website)  Gestão da Informação  Formula e direciona a política relativa ao fornecimento de informação em uma organização.  Pode ser um comunicação externa à organização, como a mídia, com as partes interessadas, etc.  Informática  Relaciona-se à ciência lógica para trazer estrutura à informação e ao sistema.  Segurança da Informação  Proteção da informação contra qualquer tipo de ameaça, garantindo a continuidade dos negócios  Anti-vírus, Spywares, etc. (malwares)  Worms  Primeira vez em 2006  StormWorm  Links de Bancos, pishing sites por e-mail.  Ameaças – Exemplos  Funcionários descontentes ou desmotivados  Baixa conscientização nos assuntos de segurança  Crescimento do processamento distribuído e das relações entre profissionais e empresas.

2.

3.

4.

     

Aumento da complexidade e eficácia das ferramentas de hacking /vírus E-mails e outras formas de troca da informação Inexistência de planos de recuperação a desastres. Desastres naturais ou não. Falta de políticas e procedimentos implementados. (Termo de confidencialidade, mesa limpa, etc.) Impactos – Exemplos  Perda de Clientes e Contratos  Danos à imagem  Perda de Produtividades  Aumento no custo do trabalho e retrabalho  Aumento de Seguros  Penalidades e Multas

ASPECTOS (Tripé, onde um puxa mais o outra têm menos  Equilibrar !!!)   CIA  Confidentiality / Integrity / Availability ou CID. Confidencialidade  Somente para pessoas autorizadas. É o grau no qual o acesso à informação é restrito para determinadas pessoas. Exemplos de medidas  Acesso à informação garantido somente onde necessário.  Medidas para garantir que a inf. não está disponível para quem não tem direito de acesso.  Gestão de Acesso Lógico  um desenvolvedor não pode alterar o seu salário na base.  Separação de ambientes de produção, testes, aceitação, etc. Integridade  Exatidão da informação em sua completa forma.  Atualização da Informação sem erros / completa e correta.  Exemplos de medidas  Mudanças autorizadas de dados  Uso correto dos termos (usuários/Clientes)  Ações de usuários registradas  Ações importantes não podem ser feitas por somente uma pessoa  Uso de criptografia para garantir a segurança da informação. Disponibilidade  Assegurar o acesso aos usuários autorizados.  Ter a informação quando eu quero!  Características  Pontualidade : disponível quando necessário  Continuidade : continuar trabalhando em caso de falhas  Robustez : capacidade suficiente.  Exemplos de medidas  Gestão de Estocagem de Dados (Store SAS/NAS) e não em um pc local.  Procedimentos de Backup  Procedimentos de Emergência.  

Resumo  Alcançamos a seg. da Inf. através da implementação de um conjunto de controles, políticas, processos.  Cada empresa é única em suas exigências e requisitos de controle para o CIA.  Não é necessário que todos os controles da norma se apliquem a uma organização.

Módulo 3 – Conceitos de Riscos e Ameaças para Seg. da Inf.
1. Ameaças e Riscos  1º) Analisar os Riscos que a Organização possui !  Um Risco é determinado por uma ameaça!  Empresa pode se incendiar?  É um risco que pode ser mais crítico em uma área que outra...  Funcionário pode descobrir salários e divulga-los?  Alguém pode se passar por funcionário?  Um hacker obtém acesso aos e-mails?  2º) Implantar um sistema para gerenciar os riscos.  Incidente  Menor Impacto  Desastre  Grande Impacto  Risco  Controlar, Eliminar, Minimizar, Transferir... Vulnerabilidade  PONTO FRACO  Fraquezas associadas aos ativos da organização  Exemplos  Consultores  Contratação inadequada / Falta de Consultores  Instalações  Falta de Monitoramento / Proteção física / Energia Instável  Equipamentos  Resiliência / Backup / Condições de Operação Adequadas. Ameaça  uma Ocorrência / Fato  Ativos estão sujeitos a muitos tipos de ameaças que exploram suas vulnerabilidades  Exemplos  Consultores  Oferta de um concorrente / Doença  Instalações  Chuva forte e alagamento / Pessoas não autorizadas com acesso  Equipamentos  Pane geral por descarga elétrica / Ataque de Vírus Probabilidade  baseado no histórico dos incidentes! ( Baixa Probabilidade [ 0..10 ] Alta Probabilidade)  Ex.: Nos últimos 100 anos a barragem teve um certo nível de água, logo, a contenção deve ser xxxxxx yyy.  Ex.: 10 Ataques em 2 meses, logo, obter um mecanismo melhorado de segurança para a Intranet. Riscos de Segurança  É o potencial que uma dada ameaça irá explorar vulnerabilidades para causar perda ou dano a um ativo.  Exemplos  Pessoas que insatisfeitas poderão vazar informações dos processos internos;  Interrupção da Continuidade do Negócio;  Perda da integridade dos dados; (Saldo de Conta Corrente...)  Perda ou roubo de informações; (Cadastros...)  Indisponibilidade da Informação (Visa,Master!...)  Etc. Análise de Riscos  Faz parte do Gerenciamento de Riscos  trata ameaças, riscos e medidas de segurança.  Deve ser feito continuamente e aplicado a todos os aspectos dos processos operacionais.  Objetivos  Identificar Ativos e seus valores  Determinar vulnerabilidades e ameaças  Determinar os riscos e as ameaças que podem realmente causar danos aos processos operacionais  Determinar o equilíbrio entre custos de um incidente e custos das medidas de segurança.  Tipo Quantitativo  Calcular, baseado em impacto do risco, a perda financeira e a prob. de uma ameaça tornar-se incidente.  Ex.: Empresa perde um notebook com informações confidenciais. Imprensa pegou e jogou no mercado!

2.

3.

4.

5.

6.

 

Tipo Qualitativo  Baseado em cenários e situações. (Sentimento das Pessoas)  Impacto x Ameaças  Amarelo/Verde/Vermelho x 1,2,3 Deve-se balancear o uso destes 2 tipos, para que uma seja semelhante ao encontrado em outra. Medidas para Reduzir Riscos  Após obter a lista com as ameaças e suas importâncias, precisamos identificar medidas para redução.  Tipos de Medidas de Segurança  Redução  usadas para reduzir ameaças  Preventivas  prevenir incidentes (Reduz a possibilidade / ocorrência de ameaças)  Ex.: Backup em local seguro.  Detecção  detectar incidentes (Tão rápido quanto possível)  Ex.: Câmeras de Segurança / Monitorar Eventos  Repressivas  parar as consequências de um incidente  Ex.: Minimiza danos causados (Backup), Extintor de Incêndio, Resiliência.  Corretivas  recuperação dos danos de um incidente  Ex.: Recuperação de um Backup  Ameaça  [Risco/Redução] Prevenção  INCIDENTE  Detecção  Repressão  Recuperação!  Ameaça  Garantias/Aceitação  Repressão  Recuperação  Garantia  Para eventos que não têm prevenção total, mitigar !  Seguro contra incêndio!  Aceitação  Quando se conhece o risco, mas aceita-se devido ao custo ou por não haver medidas. Estratégicas para lidar com o Risco  Evitar o Risco (RISK AVOIDING) – Ex.: Esperar mais tempo para adotar um nova tecnologia.  Suportar o Risco (RISK BEARING) – Ex.: Certos riscos devem ser aceitos. (Quando a medida seg. é > dano)  Neutralizar o Risco (RISK NEUTRAL) – Ex.: Combinar ações Preventivas + Detectivas + Repressivas! 

7.

Tipos de Ameaças (Reduzidas às que irão ocorrer)  Humanas  Hacker, Func. Insatisfeitos, Docs físicos, Espionagem, Engenharia Social... (Pode ser ñ intencional)  Ñ Humanas Meio Ambiente, Desastres, Guerras, Infraestrutura, etc. Tipos de Danos (Resultantes da manifestação das ameaças)  Diretos  Roubo/Furto  Indiretos  Má utilização dos extintores de incêndio, sistema de resiliência/bk  Parâmetros de Calculo  Expectativa de Perda Anual (ALE – Anuual loss Expectancy)  Expectativa de Perda por Evento (SLE – Single Loss Expectancy)

8.

Módulo 4 – Ativos da Informação e Incidentes de Segurança
1. Ativos da Informação  Fazem parte dos Ativos de Negócios, custam dinheiro e têm valor!  Documentos, banco de dados, sistemas, manuais, SW em uso ou desenvolvimento, mídias, etc.  Serviços, Pessoas e seu conhecimento,  Ativos intangíveis (Como imagens e Reputação da Organização)  Características  Designação  Categoriza a informação (de acordo com assunto, organização, pessoas autor...)  Classificação  Define os diferentes níveis de sensibilidade.  Grau  Define uma classificação como : secreta, confidencial ou pública.  Proprietário  Pessoa que tem a responsabilidade por determinada informação.  Formato / Localização / Valor para o Negócio.  Gestão de Risco para os Ativos do Negócio  COBIT (Apresenta Controles da TI de forma geral, suportando requisitos do negócio)  ITIL (Ger. De Continuidade de Serviços, Liberação, configuração, mudanças, etc..)  ISO 20000-1 (Identifica relações com os processo ITIL, controles e objetivos para entrega de serv.) Gestão de Incidentes de Seg. da inf.  Normalmente informado para o Help Desk ou responsável específico.  O Propósito do do Processo de Gestão de Incidentes é de aprender com o erro para não repetir.  Sempre informar os resultados para a pessoa que informou o incidente e atualizar o sistema.  Exemplos de Incidente  Documento confidencial deixado na impressora;  Arquivo importante apenas sumiu;  Porta deveria estar trancada, porém estava aberta;  Colega com desvio de conduta;  Monitor do PC mostra informações ilegíveis.  Registro de incidentes  Data e Hora  Pessoa que reportou  Local de Ocorrencia  Descrição  Consequencias do incidente  Tipo de Sistema / Código / Nome  Quem mais foi informado  Procedimento para Gestão de incidentes  Qual formulário deve ser utilizado  Que passos devem ser realizados para minimizar as consequencias de um incidente  Como analisar o incidente e identificar a causa do incidente ou de um conjunto de incidentes  Que passos devem ser realizados para determinar medidas corretivas para previnir recorrencias.  Quem deve ser informado da ocorrência do incidente (Afetados e Ajudandes de Solução)  Exemplo de Relatório de Incidentes

2.

Análise de Incidentes – Diagrama de Pareto

   

Monitoramento e Revisão do SGSI em função dos incidentes (De 3 a 12 meses)  Revisar periódicamente e analisar criticamente os resultados residuais e os níveis aceitáveis, considerar:  Organização;  Tecnologias;  Objetivos e Processos do Negócio;  Ameaças Identificadas;  Eficácia dos Controles implementados;  Eventos externos, legislações, etc. Mudanças  Alteração dos Ativos  Ameças + Vulnerabilidades == Riscos! Informando Fraquezas de Segurança  Todos deverão informar, reportar e levar ao conhecimento! Registro de interrupção de Serviços  HelpDesk / Armazenar em LOG para análise / Papel  Interrupção CICLO DO INCIDENTE  Ameaça  Incidente  Dano  Recuperação Reduzir  Prevenir  Reprimir  Corrigir  Medidas de Segurança  Ameaça  [ Reduzir ]  Medida Detectiva  Incidente  [ Prevenir ]  Medida Preventiva  Dano  [ Reprimir ]  Medidas Repressivas  Restauração  [ Corrigir ]  Medida Corretiva  Medida de Segurança garantem  Confidencialidade / Integridade / Diusponibilidade Papéis  CISO  Chief Information Security Officer (Superintendente)  ISO  Information Sec. Officer (Diretor da Seg. da Informação)  ISM  Information Sec. Manager (Gerente da Seg. da inf.)  DPO  Data Protection Officer (Responsável pela Proteção dos dados) Estudo de Caso  Laptops e Pen-drives com dados perdidos  Habilitar Acesso VPN / Cloud e/ou Criptografia local.  Adotar Processos de Gerenciamento de Acesso