Aula04 - Seguranca Politica

Segurança

A CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa os principais atributos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Os atributos básicos (segundo os padrões internacionais) são os seguintes:

• Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
• Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
• Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.

O nível de segurança desejado, pode se consubstanciar em uma "política de segurança" que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível desejado seja perseguido e mantido.Para a montagem desta política, deve-se levar em conta:

• Riscos associados à falta de segurança;
• Benefícios;
• Custos de implementação dos mecanismos.

Mecanismos de segurança

O suporte para as recomendações de segurança pode ser encontrado em:

• Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infra-estrutura (que garante a existência da informação) que a suporta. Existem mecanismos de segurança que apóiam os controles físicos: Portas / trancas / paredes / blindagem / guardas / etc ..

• Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado.

Existem mecanismos de segurança que apóiam os controles lógicos:

• Mecanismos de criptografia. Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração.
• Assinatura digital. Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade e autenticidade do documento associado, mas não a sua confidencialidade.
• Mecanismos de garantia da integridade da informação. Usando funções de "Hashing" ou de checagem, consistindo na adição.
• Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.
• Mecanismos de certificação. Atesta a validade de um documento.
• Integridade. Medida em que um serviço/informação é genuíno, isto é, está protegido contra a personificação por intrusos.
• Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.
• Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos citados aqui

Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer segurança. Alguns exemplos são os detectores de intrusões, os anti-vírus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de código, etc.

Política de Segurança

Uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.

As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização.

Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).

Os elementos da política de segurança devem ser considerados:

• A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente.
• A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos.
• A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
• A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
• A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.

Estudo de Caso

A empresa fictícia de seguros de saúde VIDA LONGA atende a toda a região sudeste. Ela possui no Rio de Janeiro a sua sede, disposta em um prédio de 5 andares e mais um escritório, em outro prédio, posicionado a 1.500 mts da sede. Além da sede no RJ, a empresa possui mais duas filiais posicionadas em São Paulo e Belo Horizonte e 4 escritórios de representação nas cidades de Vitória, Nova Iguaçu, Campinas e Sete Lagoas. Hoje a empresa não possui nenhuma política de segurança na sede, suas filiais e escritórios. Suponha que você trabalhe numa empresa chamada “Ajudas Projetos ltda.” que foi contratada para prover uma melhor segurança à rede de comunicação de dados da Empresa VIDA LONGA.

Levando em consideração os aspectos de alta integridade, alta confidencialidade, alta autenticidade e alta disponibilidade, responda os seguintes itens:

1. Faça um levantamento das necessidades de segurança da empresa.

2. Identifique os riscos da empresa explicando o porquê de cada uma das ameaças identificadas.

3. Identifique as vulnerabilidades e explique cada uma delas.

4. Montar um plano de Segurança.

Aula03 - Plano Seguranca

Plano de Segurança

Criar um plano de segurança é uma tarefa dinâmica que envolve diversas etapas através da definição da segurança física e lógica.

Segurança Física

A segurança física tem como objetivo proteger equipamentos e informações contra usuários não autorizados, prevenindo o acesso a esses recursos. A segurança física pode ser abordada sob duas formas:

• Segurança de acesso - trata das medidas de proteção contra o acesso físico não autorizado;
• Segurança ambiental – trata da prevenção de danos por causas naturais.

Recomendações para o controle do acesso físico

• Deve-se instituir formas de identificação capazes de distinguir funcionários de visitantes e categorias diferenciadas de funcionários, se for o caso.
• Solicitar a devolução de bens de propriedade da empresa (crachás, chaves, etc), quando o visitante se retira ou quando o funcionário é retirado de suas funções.
• Controle de entrada e saída de materiais, equipamentos, pessoal, etc, registrando a data, horários e responsável.
• No caso de visitantes, restringir a circulação destes nas dependências da empresa e, se necessário, acompanhá-los até o local de destino.
• Supervisionar a atuação de equipes terceirizadas (limpeza, manutenção predial, vigilância, etc). Não instalar em áreas de acesso público equipamentos que permitam o acesso à rede interna da corporação. Orientar os funcionários para que não deixem ligados computadores sem a devida supervisão, principalmente no horário das refeições ou quando se ausentarem por tempo prolongado.
• Utilizar mecanismos de controle de acesso físico em salas e áreas de acesso restrito (fechaduras eletrônicas, câmeras de vídeo, alarmes, etc);
• Proteger as linhas telefônicas internas e externas com dispositivos contra “grampos” Proteger fisicamente as unidades de backup e restringir o acesso a computadores e impressoras que possam conter dados confidenciais.

Política de Segurança Física

• Incêndios;
• Treinamento de pessoal;
• Danos pela água;
• Climatização;
• Eletricidade;
• Controle de acesso.

Segurança Lógica

A segurança lógica é um processo em que um sujeito ativo deseja acessar um objeto passivo. O sujeito é um usuário ou um processo da rede e o objeto pode ser um arquivo ou outro recurso de rede (estação de trabalho, impressora, etc).

A segurança lógica compreende um conjunto de medida e procedimentos, adotados pela empresa ou intrínsecos aos sistemas utilizados.

O objetivo é proteger os dados, programas e sistemas contra tentativas de acessos não autorizados, feitas por usuários ou outros programas.

Recursos e informações a serem protegidos:

• Aplicativos (Programas fonte e objeto);
• Arquivos de dados;
• Utilitários e Sistema Operacional;
• Arquivos de senha;
• Arquivos de log;

O controle de acesso lógico pode ser visualizado de dois modos diferentes:

• A partir do recurso computacional que se pretende proteger;
• A partir do usuário a quem se pretende dar privilégios e acesso aos recursos.

A proteção dos recursos computacionais baseia-se na necessidade de acesso de cada usuário.

A identificação e autenticação do usuário é feita normalmente por uma identificação (userID) e uma senha durante o processo de logon.

Elementos básicos de controle do acesso lógico:

• Apenas usuários autorizados devem ter acesso aos recursos computacionais;
• Os usuários devem ter acesso apenas aos recursos realmente necessários para a execução de suas tarefas;
• O acesso aos recursos críticos do sistema deve ser monitorado e restrito;
• Os usuários não podem executar transações incompatíveis com sua função.

Exercícios:

a) Definir um fluxograma contendo os itens de segurança físico

b) Definir um fluxograma contendo os itens de segurança lógico

c) Definir formulários para um plano de segurança físico

d) Definir formulários para um plano de segurança lógico

Aula01 - ProtecaoMelhoresPraticas

Segurança da Informação: Proteção e Melhores Práticas

Qual informação deve ser protegida?

• Armazenada em computador
• Transmitida através da rede
• Impressa ou escrita em papel
• Enviada através de fax
• Armazenada em fita ou disco

• Falada em conversas em telefone
• Enviada por email
• Armazenada em banco de dados
• Mantida em filmes ou micro-filmes
• Apresentada em projetores

Proteger a informação de que?

• Espionagem industrial
• Fraude
• Arrombamento
• Gravação de comunicação
• Escuta telefônica
• Acesso acidental
• Empregado desleal
• Crime organizado
• Hacker de computador
• Plágio
• Pessoa não autorizada
• Virus

Ameaça

Uma causa potencial de um incidente indesejável com um ativo ou grupo de ativos de informação que pode resultar em danos para a organização.

Exemplo: inundação, roubo, erro do usuário, falha de hardware,

Vulnerabilidade

Uma fraqueza de um ativo ou grupo de ativos de informação que pode ser explorada por uma ameaça.

Exemplo: Data Center ao lado de um rio, portas destrancadas, alocação errada de direito de senha, falta de manutenção

Ativo de informação

Todo bem da empresa que se relaciona com e que tenha valor para a organização.

Exemplo: Hardware, software, sistema, documentação

Risco

É a medida do nível de incerteza associado a probabilidade de ocorrência de um evento e suas conseqüências

Exemplo: Risco = probabilidade x impacto

Melhores práticas de segurança

1) Política de Segurança: prover à administração uma orientação e apoio para a segurança da informação.

2) Segurança organizacional: Gerenciar a segurança da informação na organização.

3) Classificação e controle de ativos da informação: manter a proteção adequada dos ativos da organização.

4) Segurança em pessoa: reduzir os riscos de erro humano, roubo, fraudes ou uso indevido das instalações.

5) Segurança física e ambiente: prevenir o acesso não autorizado, dano, perda e interferência as instalações físicas da organização.

6) Gerenciamento das operações e comunicações: garantir a operação segura e correta dos recursos de processamento da informação.

7) Controle de acesso: Controlar o acesso a informação.

8) Desenvolvimento e manutenção de sistemas: garantir que a segurança seja parte integrando do sistema de informação.

9) Gestão da continuidade de negócio: não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de grandes falhas ou desastres significativo.

10) Conformidade: evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança.

Aula02 - Analise Risco

Analise de Risco

Antes de investir capital em segurança o ideal é que se promova um levantamento da situação atual, identificar e definir prioridades de ação são fundamentais no processo de conquista da excelência em Segurança da Informação.

A NECESSIDADE

Os riscos de segurança são identificados através de uma avaliação metódica dos processos, pessoas e tecnologia. Os gastos com controles precisam ser pesados contra os prováveis prejuízos resultantes de falhas na segurança. Técnicas de avaliação de riscos podem ser aplicadas a toda a organização ou apenas a partes dela, bem como a sistemas de informação individuais, componentes de sistemas específicos ou serviços onde isto for praticável, realístico e útil.

Dentre diversas necessidades destacamos:

• Levantar e classificar os riscos relacionados à segurança da informação e conseqüentemente ao negócio;

• Atuar de forma estratégica na solução dos problemas relacionados a sistemas e processos vulneráveis ao negócio

• Minimizar ao máximo os riscos de parada nos serviços de TI;

• Minimizar as perdas em casos de incidentes relacionados ao negócio.

Os resultados desta avaliação ajudarão a guiar e determinar a ação gerencial adequada e as prioridades para gerir os riscos de segurança e implementar controles selecionados para proteger contra esses riscos. O processo de avaliar riscos e selecionar controles pode precisar ser executado diversas vezes para cobrir diferentes partes da organização ou sistemas de informação individuais. É importante executar revisões periódicas dos riscos de segurança e dos controles implementados para:

• Levar em conta as mudanças nas prioridades e necessidades do negócio;

• Considerar novas ameaças e vulnerabilidades;

• Confirmar que os controles permanecem eficazes e apropriados.

As revisões devem ser executadas em diferentes níveis de profundidade, dependendo dos resultados das avaliações anteriores e das mudanças nos níveis de riscos que a gerência está preparada para aceitar.

As avaliações de riscos freqüentemente são executados primeiro em um nível superior, como uma forma de priorizar recursos nas áreas de alto risco e depois em um nível mais detalhado, para tratar riscos específicos. Toda vulnerabilidade é definida como uma falha no projeto ou implementação de um software, sistema operacional ou até a física dos ativos de rede, que quando explorada resulta na violação da segurança em uma corporação.

Essa violação pode ser feita remotamente ou presencialmente (física). É indispensável que os trabalhos sejam realizados para reduzir ao máximo essas vulnerabilidades e diminuir os riscos ao seu negócio.

ALOCAÇÃO DO PESSOAL

Objetivo: Reduzir os riscos de erros humanos, roubos, fraudes ou uso indevido das facilidades. As responsabilidades de segurança devem ser tratadas no estágio de recrutamento incluídas em contratos e monitoradas durante o tempo que o colaborador estiver no emprego. Os candidatos em potencial devem ser adequadamente selecionados especialmente para funções sensíveis. Todos os empregados e usuários terceirizados das facilidades de processamento de informações devem assinar um contrato de confidencialidade (não divulgação).

TREINAMENTO DOS USUÁRIOS

Objetivo: Assegurar que os usuários se conscientizem das preocupações e ameaças à segurança das informações, e estejam equipados para apoiar a política de segurança organizacional no curso de seu trabalho normal. Os usuários devem ser treinados nos procedimentos de segurança e no uso correto das facilidades de processamento de informações para minimizar os possíveis riscos de segurança.

SEGURANÇA FÍSICA E AMBIENTAL

Objetivo: Impedir acesso não autorizado, danos ou interferência às instalações físicas e às informações da organização e impedir perda, danos ou comprometimento de ativos e interrupção das atividades do negócio.

ANÁLISE DO AMBIENTE DE REDE PÚBLICO (ambiente de internet)

Objetivo: Impedir que aplicações voltadas à internet estejam vulneráveis, através de correções e ajustes no ambiente de rede, políticas de controle de acesso físico e lógico.

Nesse módulo são realizadas as seguintes análises:

• Teste cego remoto - Levantamento de vulnerabilidades das aplicações expostas;

• Teste de intrusão agressivo;

• Realização de testes em ambientes de pré-produção com o objetivo de mensurar o nível de segurança (não recomendado em ambientes de produção);

• Avaliação do ambiente: análise de configurações e processos;

• Avaliação física do ambiente: visa avaliar os riscos nas instalações dos equipamentos e o acesso físico.

ANÁLISE DO AMBIENTE PRIVADO (rede local)

Os computadores e servidores são utilizados em uma corporação para realizar inúmeras tarefas que a princípio são divididas em duas categorias:

Missão Crítica:

Nessa categoria são enquadrados os servidores, roteadores, firewalls ou todo o ativo de rede que tem atuação sistêmica. São equipamentos e serviços que devem sempre estar disponíveis a todos os usuários da empresa e sua parada resulta em prejuízos.

• Avaliação das instalações do Centro de Processamento de Dados (CPD) da empresa;

• Avaliação dos sistemas de backup e gerenciamento de mídias;

• Avaliação da proteção contra códigos maliciosos;

• Avaliação da política de controle de acesso ao ambiente de missão crítica;

• Manutenção de logs;

• Gerenciamento de redes e serviços;

• Gerenciamento de acesso dos usuários e privilégios;

• Análise do plano de continuidade do negócio;

Missão Operacional:

Aqui são enquadrados todas as estações e ativos de rede distribuídos pela empresa e seus respectivos usuários e colaboradores, bem como terceiros, parceiros e clientes.

• Avaliação do controle de acesso físico e lógico às estações;

• Avaliação do controle de acesso ao sistema operacional;

• Avaliação do controle de acesso às aplicações;

• Avaliação da proteção contra códigos maliciosos;

• Avaliação das políticas de acesso à web;

• Avaliação das políticas de correio eletrônico;

• Políticas de acesso à rede;

• Avaliação dos métodos de autenticação dos usuários;

• Política de utilização de computadores portáteis.