Segurança da Informação

 

 

Introdução à Segurança da Informação


 

  • Conceito
    • Vulnerabilidade
      • é a falha no projeto, implementação de um software ou sistema operacional, que quando explorada por um atacante resulta na violação da segurança do computador;
    • Ameaças → considera-se qualquer ação que coloque em risco as propriedades se segurança do sistema;
      • Naturais
        • decorrem de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, etc.
      • Involuntárias
        • são inconscientes, quase sempre causada pelo desconhecimento, como acidentes, erros, etc.
      • Voluntárias
        • são propositais, causadas por agentes humanos, como crackers, invasores, ladrões, criados de vírus, etc.
    • Risco
      • é a probabilidade de uma fonte de ameaça explorar um vulnerabilidade, resultando em um impacto para a organização;
    • Segurança da informação
      • é preservação da confidencialidade, integridade e disponibilidade da informação por meio de sua gestão, do uso de boas práticas (controles) e da gestão de riscos;
  • Ameaças

    • Furto de dados
      • informações pessoais e outros dados podem ser obtidos pela interceptação do tráfego ou explorando de vulnerabilidades;
    • Uso indevido de recursos
      • prática de atividades maliciosas, como obter arquivos, disseminar spam, realizar ataques;
    • Ataques de negação de serviço
      • envio de grande volume de mensagens para tornar o serviço inoperante;
    • Ataque de força bruta
      • inúmeras tentativas de autenticação a sistemas que não impõe limites de senhas incorretas;
    • Ataque de personificação
      • substitui ou introduz um dispositivo à rede para que usuários se conectem nele;
      • permitindo a captura de senhas de acesso e outras informações;
    • Ameaça persistente avançada (APT – advanced persistent threat)
      • ataques direcionados para coleta de informações que tenham valor para o atacante, ainda que despendam tempo e recursos para obtê-las;
      • utilizam planejamento, engenharia social e aprofundamento da invasão com a exploração de outros ativos;
      • Ameaça → ações humanas coordenadas, com objetivo específico, motivadas e financiadas, que colocam em risco as propriedades de segurança;
      • Persistente → buscam objetivo específico guiados por organizações externas, com interação e monitoramento contínuo, inclusive com ataques lentos e de menor escala;
      • Avançadas → combinam múltiplas técnicas, ferramentas e métodos de ataque, desde escutar telefônicas até exploração de vulnerabilidades, como 0-day exploits;
  • Ameaças à confidencialidade → buscar informações (dados sensíveis, cartões de crédito, senhas) a partir do tráfego da rede nas interfaces locais, no núcleo da rede, áreas de memória, arquivos de outros usuários, etc.
    • spyware → programa espião para obtenção de informações;
      • keylogger → captura teclas;
      • screenlogger → captura telas;
    • engenharia social → obtenção de informações por meio da persuasão;
      • phishing/scam → obtenção de informações por meio de mensagem/e-mail falso;
      • pharming → obtenção de informações por meio de sites falsos;
    • spoofing → o invasor, pessoalmente, convence a alguém que ele é algo ou alguém que não é, por exemplo, quando um usuário externo se faz passar por um usuário interno para obter autenticação e acessar o que não deveria ter acesso (um ataque contra a autenticação a fim de atingir a confidencialidade);
    • sniffers → um programa que monitora o tráfego da rede (farejador), pode ser usado legitimamente ou por um intruso para roubar informações ou credenciais;
    • backdoor → um acesso alternativo instalado por um invasor ou pelo próprio usuário para o seu acesso;
    • eavesdropping (espionagem) → interceptar (ouvir, obter) secretamente (sem consentimento) uma conversa privada, seja telefônica (wiretapping), email, instant messaging, VoIP;
  • Ameaças à integridade → tem objetivo alterar, corromper ou destruir informações por meio da instalação de programas, drivers ou módulos de núcleo maliciosos, para obter o controle do sistema ou alterar de senhas;
    • vírus → embutido em um programa executado;
    • botnet → escraviza diversos computadores para realizar ataques programados pelo invasor;
    • cavalo de troia → voluntariamente instalado pelo usuário escondido/embutido em um programa ou arquivo comum;
  • Ameaças à disponibilidade → um usuário alocar para si todos os recursos do sistema, como a memória, o processador ou o espaço em disco, para impedir que outros usuários possam utilizá-lo;
    • worm → não necessita de execução pelo usuário (ao receber um e-mail, ele explora uma vulnerabilidade para se reenviar para todos seus contatos);
    • ransonware → sequestro da informações, por meio da criptografia dos dados, com exigência de pagamento de valores;
    • adware → envio de e-mails ou pop-ups em massa de propagandas para induzir ao acesso a site fraudulento;
    • DOS → ataque de sobrecarga; utiliza um computador para tirar de operação um serviço ou computador conectado a internet;
    • DDOS → ataque de sobrecarga partindo de várias máquinas;
  • Proteções → mecanismos de segurança da informação
    • Firewall
      • um controlador do fluxo tráfego de dados, físico (appliance) ou lógico (software), comumente entre a rede interna e a internet, que não permite o acesso a partir máquinas externas;
      • implementa recursos de filtro de conteúdo para analisar o tráfego entre a rede local e a internet, e impede acesso a sites por URL ou horário;
    • Proxy
      • um controlador de trafego em camada de aplicação que controla o acesso a partir de máquinas internas;
      • em modo reverso, otimizar o acesso de máquinas externas a um site hospedado;
    • Sistema de detecção de intrusão (IDS)
      • analisa características do tráfego da rede de forma passiva;
      • identifica atividades suspeitas e ataques a partir de algum tipo de conhecimento, como assinaturas de ataques ou desvio de comportamentos;
      • Port Mirror → consiste no espelhamento do tráfego de uma porta de comunicação para outra para monitoramento pelo IDS;
      • Port Span → switches com IDS embutidos;
      • Splitting Wire → colocar um (hub ou optical tap) entre o switch e o equipamento que se deseja monitorar;
    • Sistema de prevenção de intrusão (IPS)
      • analisa características do tráfego da rede de forma ativa;
      • aplica ações programadas para evitar a concretização da ameaça com o bloqueio do tráfego individualmente;
    • Antivírus
      • identificam os vírus por meio de assinaturas, para isolar, desinfectar ou excluir o arquivo;
    • Windows defender
      • ferramenta do windows que se trata de um anti-vírus a partir da versão 8.1, anteriormente era somente anti-spyware;
    • Atualizações automáticas
      • corrige vulnerabilidades utilizada por atacantes;

 

Normas de Segurança da Informação

 

  • Normas de segurança
    • ISO/IEC 27.001
      • Define requisitos para implementação de um sistema de gestão da segurança (SGSI);
      • os itens são obrigatórios e é possível obter a certificação;
    • ISO/IEC 27.002
      • Estabelece código práticas e controles para a gestão de segurança da informação;
      • os controle são recomendações, não há certificação;
    • ISO/IEC 27.005
      • Gestão de riscos em segurança da informação (GRSI);
    • BS 25.999-1
      • Estabelece código práticas e controles para a gestão de continuidade de negócios;
    • BS 25.999-2
      • Define requisitos para a Gestão da Continuidade do Negócio (GCN);

 

Backup – salvaguarda

 

  • Backup → cópia dos dados em meio separado do original, de forma a protegê-los de qualquer eventualidade por meio de distintas mídias ou em nuvem;
    • Fatores da política de backup;
      • Recovery Point Objective (RPO) → período máximo que as alterações podem ser perdidas em caso de falhas ou desastres;
      • Recovery Time Objective (RTO) → período máximo para restauração a um estado operacional;
      • Prioridades de backup e rapidez da recuperação;
      • Frequência de mudança dos dados;
      • Restrições de tempo para realização do backup;
      • Validação (prevalência) dos dados recuperados;
      • Acessibilidade das mídias de backup por pessoas autorizadas;
    • Marcadores (atributo de arquivo) → orienta o backup futuro;
      • arquivo marcado → deve estar presente no próximo backup;
      • arquivo desmarcado → não foi alterado deste o último backup (não deve estar presente no próximo backup);
      • novos arquivos e aqueles modificados recebem a marcação para backup;
    • Quente → em tempo real, com o sistema em funcionamento;
    • Frio → com sistemas e arquivos fechados;
      • Normal ou completo (full) → cópia de tudo, modifica a marca;
        • restaura-se o último backup normal;
        • não refere-se a todos os arquivos da máquina, mas a ignorar a marcação existente em arquivos de determinado diretório;
      • Incremental → cópia dos marcados, modifica a marca;
        • restaura-se todos backups incrementais a partir do último normal, se houver;
      • Diferencial → cópia dos marcados, não modifica a marca;
        • restaura-se somente o último backup diferencial; o último normal e o último diferencial, somente;
      • Diário → cópia dos criados/alterados no dia, não modifica a marca;
        • restaura-se todos os backups, um para cada dia, não utiliza o backup normal como referência;
      • Cópia →  cópia de tudo, não modifica a marca;
        • equivalente ao backup normal sem alterar a marcação, não interfere as rotinas;
  • Fitas LTO (Linear Tape-Open) → formato aberto de armazenamento de dados em fita magnética;
    • Conceitos
      • utiliza o método de gravação linear;
      • os dados são gravados como uma sequência de faixas que são executadas alternadamente, para a frente e para trás (serpentina);
      • WORM (write once read many) → tipo de mídia que não permite sobrescrita, utilizada para histórico e conformidade;
      • Criptografia → utiliza o algoritmo AES256-GMC;
      • Hierarchical storage management → técnica para movimentação automática de dados entre mídias de alto custo para mídias de baixo custo;
    • Modelos
      • LTO-4 → 800 GB, 120 MB/s, chip de memória de 8 KB, cor verde;
      • LTO-5 → 1.5 TB, 140 MB/s,chip de memória de 8 KB, cor vermelha escura, 2 partições em LTFS;
      • LTO-6 → 2.5 TB, 160 MB/s, chip de memória de 16 KB, cor preta, 4 partições em LTFS;
      • LTO-7 → 6 TB, 300 MB/s, chip de memória de 16 KB, cor roxa, 4 partições em LTFS;
    • LTFS (Linear Tape File System)
      • um padrão aberto que utiliza XML para representar metadados e índices dos arquivos;
      • arquivos são modificados, sobrescritos e removidos logicamente (no índice), sendo os blocos já usados marcos como indisponíveis;
      • a capacidade utilizada só é liberada com a formatação da fita;
  • Ferramentas de backup
    • Netbackup → suíte corporativa de backup e restauração para múltiplas plataformas.
      • arquitetura baseada no servidor central (central master server) que gerencia os servidores de mídias (media servers) e o clientes (servidores que são copiados).
      • suporta backup a quente para os principais gerenciadores de banco de dados (Oracle, etc);
      • tem capacidade nativa de backup e restauração de máquinas virtuais dos principais produtos (VMware, etc);
      • implementa o Network Data Management Protocol (NDMP);
      • permite a descentralização dos dados críticos em distintos locais como apoio ao plano de recuperação de desastres (off-site data protection, vaulting);
      • permite a realização de backup diretamente pela rede SAN, sem utilizar a rede LAN (LAN-free).
    • Robocopy (Robust File Copy) → linha de comando para para replicação de arquivos e diretórios em Windows.
      • aceita somente diretórios como parâmetros de origem ou destino;
      • Robocopy C:\A C:\B *.* /PARAM
        • /E → recursivamente todos os arquivos e diretórios;
        • /S →recursivamente, exceto diretórios vazios;
        • /COPYALL → equivalente a /COPY:DATSOU (D=Dados, A=Atributos, T=Timestamps, S=NTFS ACLs, O=proprietário, U=auditoria)
        • /R:0 → não tentar novamente em caso de falhas (como em arquivos abertos), ou pode-se especificar o número de tentativas (padrão é 1 milhão de vezes);
        • /W:0 → não esperar entre falhas, ou pode-se especificar o tempo em segundos (padrão é 30 segundos);
        • /MIR → opção mirror apaga os arquivos do destino que não mais existem na origem a redefine as permissões dos arquivos;
        • /Z → opção de resumo em caso de falhas de comunicação de rede;
        • /V → exibe arquivos não copiados;
        • /NP → não exibe o progresso da cópia/
        • /ETA → exibe o tempo estimado que a cópia dos dados levará;
        • /LOG: → especifica o local onde o log será armazenado e sobrescreve;
        • /LOG+: → especifica o local onde o log será armazenado e adiciona ao final do arquivo existente;
        • /LEV: → número de níveis de hierarquia do diretório de origem;
        • /MOV → move os arquivos e os exclui da origem;
        • /MOVE →move arquivos e diretórios e exclui-los da origem;
    • Rsync → ferramenta de cópia de arquivos em linha de comando em Linux.
      • realiza cópia de arquivos locais, sob ssh (:) ou pelo serviço rsync (::);
      • utiliza o algoritmo delta-transfer para reduzir a quantidade de dados;
      • utiliza o algoritmo quick-check para identificar mudanças em arquivos por meio da mudança do tamanho e da última data de modificação;
      • ao especificar diretórios o uso da barra do final, indica os arquivos internos (rsync -av /src/foo /dest ↔ rsync -av /src/foo/ /dest/foo);
      • rsync -av server:/src /dest (de ssh)
      • rsync -av server::modulename /dest (de rsync daemon)
        • -n → simular execução sem copiar;
        • -v → exibe nome do arquivo durante a cópia (verbose);
        • -a → modo de arquivamento, equivale a -rlptgoD (no -H,-A,-X);
        • -H → copiar hardlinks;
        • -A → preservar ACLs;
        • -X → preservar atributos estendidos;
        • -c → use checksum em ves do quick-check para ignorar arquivos;
        • -b → usa um padrão de estrutura de diretórios para backup;
        • -u → ignorar arquivos que são mais novos no destino;
        • -r → recursivamente;
        • -l → preservar links simbólicos;
        • -p → preservar permissões (rwx);
        • -t → preservar marcas de tempo de modificação;
        • -g → preservar grupo;
        • -o → preservar dono;
        • -D → preservar arquivos de dispositivos e especiais;
        • –delete → apaga os arquivos do destino que não mais existem na origem;

 

Autenticação e Autorização


 

  • Conceitos
    • Identificação (login)
      • envio da identidade do usuário ao sistema a fim de comprovar se o sujeito é a entidade que ele afirma ser;
    • Autenticação (senha)
      • procedimento realizado pelo sistema para validar (verificar, comprovar, confirmar, averiguar) a identidade declarada;
      • identifica quem efetua o acesso a uma dada informação;
    • Autorização (permissões)
      • procedimento para determinar os recursos acessíveis à identidade autenticada (calcula os objetos acessíveis);
      • habilidade de permitir ou negar a utilização de um objeto (recurso);
  • Controle de acesso
    • Conceitos
      • métodos de concessão (definição) de permissões (ações disponíveis, recursos/objetos acessíveis) aos sujeitos (usuários do sistema);
    • Controle de acesso baseado em papéis (RBAC) → modelo NIST;
      • papel (role) é uma coleção de objetos/operações (permissões) determinado pela função desempenhada na organização (responsabilidades);
      • concessão de permissões a partir da associação de grupos de usuários (coleção de usuários) ou individualmente a papéis;
      • RBAC0 (básico) → relação N:N entre usuários e papéis (User Assignment) e relação N:N entre papéis e permissões (Permission Assignment);
      • RBAC1 (hierárquico) → há hierarquia de papéis;
      • RBAC2 (restrito) → utiliza regras de restrições (constraints) para controlar a concessão de permissões (horários, número de usuário por papel, etc);
        • Separação estática de deveres → restrição de papéis mutuamente exclusivos (papel A não pode ser concedido com papel B);
        • Separação dinâmica de deveres →permite que o usuário selecione um papel concedido ao entrar no sistema (sessão);
      • RBAC3 → hierarquia (RBAC1) e restrições (RBAC2);
    • Controle de acesso discricionário (DAC)
      • concessão de permissões pelo dono do objeto por meio de privilégios (ler, escrever, executar, etc) ou pela transferência da propriedade;
      • todo recurso deve ter um proprietário;
    • Controle de acesso obrigatório (MAC)
      • concessão de permissões definida por regras do sistema a partir de rótulos de sensibilidade (segurança) atribuídos aos sujeitos e objetos;
      • concessão de permissões definida por um grafo sem ciclos (hierárquico) para decisões complexas (modelo lattice);
      • concessão de permissões definida por listas de controle de acesso (ACLs);
  • Gestão de identidade
    • Conceitos
      • atende às necessidades de negócio, o que inclui requisitos de conformidade e auditoria, com a gestão do nível adequado de acesso;
      • implementa estratégias, diretivas, processos e tecnologias para o controle de ameaças internas por acessos autorizados indevidos;
      • administração centralizada com login único (single sign-on) ou com replicação de usuários (provisionamento) para outras bases;
      • realiza a gestão de papéis com o mapeamento de perfis (mapa de função), workflows de aprovação de acesso e auditoria de concessões;
      • controle de acesso automatizado baseado no ciclo de vida da identidade, como o desligamento do usuário ou mudança de função;
      • monitoramento e relatório de acessos do usuário, identificação de contas compartilhadas e gerenciamento de acessos privilegiados;
    • Recursos conectados
      • repositórios de usuários descentralizados (diversos sistemas) integrados ao repositório central (metadiretório);
    • Fontes autoritativas
      • fonte principal de dados do usuário da organização (sistemas de RH ou correio eletrônico) integrados ao repositório central;
    • Provisionamento
      • envio de atualizações do repositório central aos recursos conectados por meio de agentes de integração;
  • Classificação da informação
    • Níveis de acesso → não prescritos pela ISO 27.001; são definidos pela organização em N níveis; exemplo abaixo;
      • Público → todos podem ter acesso a informação;
      • Uso interno → somente membros da organização podem ter acesso (nível mais baixo de confidencialidade);
      • Privado → informações internas de área específica (nível médio de confidencialidade);
      • Confidencial → informações internas a pessoas específicas (nível mais alto de confidencialidade);
    • Processo de classificação da informação
      • Inventariar a informação → definir o responsável pela informação, seu tipo e natureza, e catalogar no inventário;
      • Classificar a informação → o nível de confidencialidade é comumente indicado pelo responsável;
      • Rotular a informação → padronização da forma de identificação do nível de confidencialidade (ex: águia no canto superior direito);
      • Manusear a informação → especifica como manusear cada tipo de informação (exigir envelope fechado, trancado em armário, etc);
    • Inventário de informações (catalogação das informações classificadas)
      • Responsável pela informação;
      • Tipo da informação → verbal, em mídia, em papel, email, em sistema, etc;
      • Natureza da informação → quanto a valor, requisitos legais, grau de sensibilidade, grau de criticidade e necessidade de compartilhamento;
      • Mídia de armazenamento → discos, fitas, cartões de memória, etc;
  • Meios de identificação → sua implementação considera a intrusão, esforço, precisão e custo;
    • O que você sabe?
      • Tipos
        • Senha, chave, PIN, frase-secreta, perguntas/respostas (identificação positiva), desafios/respostas (ex: CHAP);
      • Ataques
        • password guessing, força bruta, por dicionário, pesca, compartilhamento da senha, repositório de senhas, keylogger, sniffer, replay;
      • Single Sign On (login único)

        • modelo para identificação única que centraliza a autenticação e a autorização e simplifica a aplicação de políticas de segurança;
    • O que você tem?
      • Token
        • Características físicas → cartão (Smart Cards ou de fita magnética), chaveiros, bastões, etc;
        • Formato → de contato (cartão de fita magnética), sem contato (calculadora desafio-resposta) e inteligentes (Smart Cards e JavaCards);
        • Interface → interface eletrônica (Smart Cards e JavaCards) ou leitura manual do visor;
        • Protocolo → senha estática (Smart Cards), senha dinâmica (OTP), desafio-resposta (expressão matemática que usa a senha);
      • Tipos
        • Memory Token → dispositivo apenas de armazenamento (cartão de fita magnética);
        • Smart Token → dispositivo de armazenamento e processamento de informações (Smart Cards e Java Cards);
          • microchip que realiza armazenamento e processamento de informações;
          • pode conter um certificado digital e chave privada;
          • requer um PIN para utilização e possui um PUK para desbloqueio do PIN;
    • O que você é?
      • Biometria → verifica e estabelece a identidade de um indivíduo a partir de características individuais físicas e comportamentais;
        • não pode ser transferida, esquecida ou perdida;
        • difícil de copiar ou adulterar;
        • requer a presença física no local de autenticação;
  • Biometria
    • Características → em relação ao universo de indivíduos;
      • Universalidade → é abrangente?
      • Exclusividade → é distinguível?
      • Permanência → é invariante?
      • Coletabilidade → (não) é intrusiva ou requer esforço?
      • Circuvenção → (não) é compartilhável?
      • Aceitabilidade → (não) há estigma ou senso de privacidade?;
    • Fases
      • Cadastramento → captura e extração do template;
      • Identificação → comparação e combinação;
        • Identificação (Quem eu sou?) → comparação com com várias/todas identidades armazenadas (menor precisão);
        • Verificação (Eu sou quem digo ser?) → comparação com uma identidade armazenada (maior precisão);
    • Falhas → confiabilidade da coleta e da extração de características, ruído no sinal, interceptação e alteração durante a comparação;
      • Falha na aquisição (FTA) →
      • Falha no registro (Failure to Enrol Rate) →
      • Falha no utilização (FTU) →
      • False Reject Rate (False Non-Match Rate) → índice de rejeição de pessoas autênticas e registradas (falso negativo);
      • False Accept Rate (False Match Rate) → índice de aceitação de pessoas não autênticas ou não registradas (falso positivo);
      • Equal Error Rate (Crossover Error Rate) → índice de interseção de erros, quando os índices de rejeição e aceitação são iguais;
    • Classificação dos métodos

      • Fisiológicas (físicos) → impressões digitais, facial, odor do corpo, retina, iria, geometria da mão, DNA;
      • Comportamentais → modo de caminhar, padrão de digitação (pressionamento de teclas), voz, assinatura;
    • Métodos → todos possuem certa limitação as classificações;
      • Impressão digital
        • baixo custo; grande precisão; invariante;
        • posição das minúcias dos dedos;
        • dispositivos ótico (reflexão da luz), capacitivo (calor) ou ultrassônico (radar);
        • limitações de universalidade (ausência de digitais);
      • Assinatura manuscrita
        • análise da forma, da velocidade, da aceleração, da pressão e da continuidade;
        • limitação de permanência (caneta, papel, alterações emocionais);
      • Face
        • não é intrusiva; medidas da face;
        • limitações de permanência (ângulo da câmera, luminosidade, expressões faciais);
      • Vasos sanguíneos
        • padrão de veias por meio de lentes infravermelhas;
      • Geometria das mãos e dedos
        • medição do formato da mão;
        • limitações de exclusividade, universalidade e permanência (crescimento do corpo);
      • Retina
        • alto custo; grande precisão; mais intrusiva; padrão de vasos sanguíneos na parte posterior (interna) do olho;
      • Iris
        • maior precisão; combinação de padrões da coroa, filamentos, estrias e glândulas da iris;
        • limitação de exclusividade (pessoas com padrões simples de iris);
      • Voz
        • baixo custo; não é intrusiva; baixa precisão; padrão das ondas sonoras;
        • limitação de permanência (ruídos, alterações emocionais ou resfriados);
    • Conceitos
      • Os métodos de biometria estão relacionados a identificação e autenticação;
      • Não há um método necessariamente a ser utilizado!
      • Não há um método melhor para todos os casos;
      • Não há um método a prova de falhas;
      • Não há um método que independa de limiares, ajustes ou configurações;
      • Múltiplas biometrias nem sempre obtém melhor resultado que uma única biometria;
      • A biometria não significa 100% de segurança;
      • Usar biometria não é invasão de privacidade;

 

Criptografia


 

  • Função Hash
    • resumo, normalmente de 128bits, de uma mensagem de qualquer tamanho;
    • o algoritmo (MD2, MD4, MD5 e SHA-1) deve garantir, no limite do possível, que mensagens diferentes gerem resumos diferentes;
  • Criptografia → procedimento para embaralhar a informação tornando a leitura incompreensível por pessoas que não possuam a chave, utilizada para manter dados sigilosos (confidencialidade), e para garantir a identidade do remetente de uma mensagem (autenticidade).
    • Simétrica → utilizada a mesma chave para codificar e decodificar, um segredo entre as partes envolvidas;
      • AES standard → chave de 128/192/256bits, blocos de 128 bits, 10, 12 ou 14 rounds depende do tamanho da chave respectivamente, algoritmo de rede de substituição-permutação;
      • Rijndael → chave de 128/160/192/224/256bits, blocos de 128/160/192/224/256 bits, algoritmo de rede de substituição-permutação;
      • Serpent (AES finalist) → chave de 128/192/256bits, blocos de 128 bits, 32 rounds, algoritmo de rede de substituição-permutação;
      • Twofish (AES finalist) → chave de 128/192/256bits, blocos de 128 bits, 16 rounds, algoritmo de rede de Feistel;
      • Blowfish → chave de 32 a 448bits, blocos de 64 bits, 16 rounds, algoritmo de rede de Feistel;
      • 3DES → 3 chaves de 64bits, destes, 8 bits são de verificação de integridade (paridade), blocos de 64 bits, 48 DES rounds, algoritmo de rede de Feistel;
    • Assimétrica → utiliza duas chaves, pública e privada;
  • One Time Pad (OTP)
    • Conceitos
      • método clássico de criptografia simétrica com chave de uso único que permite ser computada à mão;
      • um sistema matematicamente inviolável, porém passível de falhas na geração ou guarda da chave;
      • único criptosistema provido de segurança, pois não depende de capacidade de processamento para quebrá-lo;
      • criptosistemas padrões são susceptíveis a descobertas por criptoanalíticas futuras ou pela evolução de computadores, como a computação quântica;
      • o termo super-criptografia é utilizado quando se utiliza o OTP em conjunto com outro criptosistema padrão;
      • sem a utilização de um computador, que permite a técnica de universal hashing, não fornece nenhuma autenticação da mensagem;
    • Modelo clássico
      • baseado em sequências aleatórias idênticas e um padrão de utilização dessa sequência, ambos conhecidos pelas partes;
      • exemplo: cada palavra usa uma parte do início e outra do final da sequência, sucessivamente;
      • as sequências aleatórias são utilizada para codificação e decodificação da mensagem a partir de um padrão de combinação com a mensagem;
      • exemplo: adição modular, soma-se a mensagem com a parte da sequência e dividi-se por 26 para obter o resto (A=1, …, Z=26, A=27, …);
      • números aleatórios da alta qualidade podem ser difíceis de gerar;
      • geradores apropriados para o uso criptográfico normal, incluindo /dev/random, fazem algum uso das funções criptográficas cuja segurança não é provada;
    • Modelos comuns → padrões aplicados em ambas as partes para codificação e decodificação;
      • Algoritmo matemático → sequências aleatórias idênticas geradas por aplicação de uma função repetidas vezes;
      • Sincronização de tempo → sequências aleatórias idênticas geradas a partir do tempo corrente combinada a chave secreta (RFC 6238);
      • Hardcopy → modelo clássico com uma lista de OTPs impressas em uma cartão e enviadas ao usuário;
  • Assinatura digital
    • resumo de um dado gerado pela chave privada, verificável pela chave pública;
  • Certificado digital → é um arquivo eletrônico que contém dados de uma pessoa ou instituição (nome, número de identificação, email, nome da autoridade certificadora, número de série, validade, assinatura da AC), utilizado para comprovar a identidade.
    • A1/S1 → 1 ano, chave de 1024bits, armazenado em arquivo;
    • A2/S2 → 2 anos, chave de 1024bits, armazenado em smartcard ou token, sem geração de chave;
    • A3/S3 → 3 anos, chave de 1024bits, armazenado em smartcard ou token, com geração de chave;
    • A4/S4 → 3 anos, chave de 2048bits, armazenado em smartcard ou token, com geração de chave;
  • SSL
    • Conceitos
      • provê segurança a comunicação TCP/IP;
      • provê um padrão para interoperabilidade;
      • extensível a novos métodos de criptografia simétrica e assimétrica que possam ser implementados;
      • eficiente, uma vez que utiliza chave de sessão (simétrica);
    • Record (Registro) → gerencia a transmissão e recepção de dados;
      • Transmissão → fragmenta os dados em blocos, pode realizar compressão dos dados, encripta e transmite;
      • Recebimento → decripta, verifica a integridade, realiza descompressão, reagrupa os blocos e encaminha à camada superior;
    • Handshaking
      • Handshake →  troca de mensagens entre o cliente e o servidor para estabelecer uma conexão SSL;
        • Fase 1Client Hello → estabelece qualificação de segurança (versão do protocolo, id da sessão, cifras, método de compactação);
          • Id da sessão → sequência de bytes definida pelo servidor para identificar cada sessão ativa ou uma sessão reiniciável;
          • Método de compressão → define o método de compressão que será utilizado;
          • Is Resumable → flag que indica se a sessão pode ser continuada (não há fase 4 quando a conexão é continuada);
        • Fase 2Server Hello → envio do certificado do servidor, solicitação do certificado do cliente, final da fase hello;
          • o envio do certificado do servidor ao cliente é essencial para o funcionamento do SSL;
          • a solicitação do certificado do cliente pode ser exigida por política do servidor, em geral, não é obrigatório;
        • Fase 3Client Key Exchange → envio do certificado do cliente (opcional ou requerido), envio de chave de sessão (Client Key Exchange);
          • Client Key Exchange (sessão) → chave secreta de 48 bytes que será compartilhada entre o cliente e o servidor;
        • Fase 4Change Cipher Spec → envio da mudança de cifragem (Change Cipher Spec) e finaliza a fase de handshake;
          • também pode ocorrer após o conexão estiver estabelecida para troca do tipo de chave;
      • Change Cipher Spec →informa ao servidor sobre a mudança do tipo de chave;
        • define o algoritmo de criptografia (DES), o algoritmo de MAC (MD5, SHA), atributos criptográficos (tamanho do hash);
      • Alerta → informa ao cliente ou ao servidor sobre um alerta, e contém o nível de criticidade e descrição;
        • Alertas de encerramento → sobre o encerramento da conexão (close_notify);
        • Alertas de erro
          • sobre um erro identificado (bad_certificate, certificate_expired, illegal_parameter, unknown CA, insuffiecient security);
          • erros fatais indicam encerramento da conexão, e não pode ser resumida;

 

Sistema de Gestão da Segurança da Informação (SGSI)


 

  • Norma 27.001requisitos para um Sistema de Gestão da Segurança da Informação (SGSI);
    • Provê um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar (EIOMAMM) um Sistema de Gestão da Segurança da Informação (SGSI) dentro:
      • do contexto das atividades de negócio globais;
      • dos riscos enfrentados, e a partir;
      • das fontes de requisitos de segurança da informação:
        • os requisitos, princípios e objetivos do negócio;
        • análise/avaliação sistemática e periódica de riscos;
        • legislação e normas vigentes;
    • Adoção do SGSI é uma decisão estratégica para atender as necessidades de segurança de forma, cujos:
      • recursos envolvidos sejam compatíveis com os retornos esperados e;
      • os gastos com os controle sejam compatíveis com os danos causados;
      • por meio de uma abordagem:
        • de processo;
        • de melhoria contínua baseada no modelo PDCA, e;
        • adaptada de acordo com as mudanças nos riscos organizacionais;
          • Planejar (Plan) → estabelecer a política, objetivos processos e procedimento do SGSI;
          • Executar (Do) → implementar e operar o SGSI de acordo com a política, controle processos e procedimentos;
          • Verificar (Check) → monitorar e analisar criticamente o SGSI por meio de medição de desempenho e apresentar resultados para análise crítica;
          • Agir (Act) → manter e melhorar o SGSI com a execução de ações corretivas e preventivas a partir da análise crítica e da auditoria interna;
  • Objetivo
    • O SGSI permite:
      • a seleção de controles de segurança adequados para proteger ativos de informação e propiciar confiança às partes interessadas por meio da especificação de requisitos genéricos;
      • a implementação de controles de segurança personalizados às necessidades individuais da organização ou das partes, de forma documentada, alinhada aos riscos globais e aplicável a todos os tipos organizações;
      • garantir a continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos:
    • A implantação do SGSI em conformidade a essa norma não permite a exclusão de qualquer requisito previsto, podendo-se excluir ou substituir controles de forma documentada, justificada, com evidências que os riscos associados foram aceitos pelos responsáveis, que tal exclusão não afete a capacidade e/ou responsabilidade de prover segurança da informação, que não afete o atendimento aos requisitos legais, regulamentares ou aqueles determinados pela análise de riscos;
  • Referência normativa
    • É indispensável a aplicação da 27002;
  • Termos e definições
    • Ativo
      • qualquer coisa que tenha valor para a organização;
    • Disponibilidade
      • propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada;
    • Confidencialidade
      • propriedade que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados;
    • Integridade
      • propriedade de salvaguarda da exatidão e completeza de ativos;
    • Segurança da informação
      • preservação da confidencialidade, integridade e disponibilidade da informação; e adicionalmente autenticidade, responsabilidade, não repúdio e confiabilidade;
    • Evento de segurança da informação
      • ocorrência identificada de alteração do estado um sistema, serviço ou rede que indica:
        • possível violação da PSI, ou;
        • falha nos controles, ou;
        • situação previamente desconhecida;
    • Incidente de segurança da informação
      • um simples ou série de eventos de segurança da informação indesejados ou inesperados;
      • com grande probabilidade de comprometer as operações do negócio;
    • Sistema de Gestão de Segurança da Informação
      • é parte do sistema de gestão global, baseado na abordagem de riscos do negócio;
      • que estabelece, implementa, opera, monitora, analisa criticamente, mantêm e melhora a segurança da informação;
    • Risco residual
      • risco remanescente após o tratamento de riscos;
    • Aceitação do risco
      • decisão de aceitar um risco;
    • Análise do risco
      • uso sistemático de informações para identificar fontes e estimar o risco, envolve a observação inicial da situação;
    • Análise e avaliação de riscos
      • uso sistemático de informações para identificar fontes e estimar o risco, e;
      • compara-se o risco estimado com critérios pré-definidos para determinar a importância do risco;
    • Gestão de riscos
      • atividades coordenadas para direcionar e controlar uma organização no que tange a riscos;
    • Tratamento de riscos
      • processo de seleção e implementação de medidas para modificar um risco;
    • Declaração de aplicabilidade
      • declaração documentada que:
        • descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI;
        • descreve as justificativas da não aplicabilidade de determinados controles;
  • Sistema de gestão de segurança da informação – Parte I

    • Estabelecer o SGSI (Plan) → a organização deve:
      • definir o escopo, limites e uma política nos termos das características do negócio, da organização, de sua localização, de seus ativos e tecnologias;
      • definir a abordagem e metodologia de identificação/análise/avaliação de riscos e assegurar que seus resultados sejam comparáveis e reproduzíveis;
      • identificar riscos, bem como vulnerabilidades e ameaças;
      • analisar e avaliar os riscos por meio da análise dos impactos, da probabilidade real de ocorrência, da estimativa dos níveis de risco e da aceitabilidade do risco;
      • identificar e avaliar as opções de tratamento de risco, seja aplicar controles, aceitar objetivamente, evitar ou transferir o risco;
      • selecionar objetivos de controle e controles para o tratamento de riscos;
      • obter aprovação da direção dos riscos residuais propostos;
      • obter autorização da direção para implementar e operar o SGSI;
      • preparar uma declaração de aplicabilidade;
    • Implementar e operar o SGSI (Do) → a organização deve:
      • formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança;
      • implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades;
      • implementar os controles selecionados para atender aos objetivos de controle;
      • definir como medir a eficácia dos controles ou grupos de controles selecionados de modo a produzir resultado comparáveis e reproduzíveis;
      • implementar programas de conscientização e treinamento;
      • gerenciar as operações do SGSI;
      • gerenciar os recursos do SGSI;
      • implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos e resposta a incidentes de segurança da informação;
    • Monitorar e analisar criticamente o SGSI (Check) → a organização deve:
      • executar procedimentos de monitoração, análise crítica e outros controles para prontamente:
        • detectar erros;
        • identificar incidentes de segurança da informação;
        • identificar tentativas e violações de segurança bem-sucedidas;
        • identificar não-conformidades, incluindo as potenciais, e determinar suas causas;
        • permitir à direção apreciar a eficácia da segurança da informação;
        • ajudar a detectar eventos de segurança da informação;
        • determinar se as ações tomadas foram eficazes;
      • realizar análises críticas regulares da eficácia do SGSI, levando em consideração:
        • os resultados de auditorias de segurança da informação;
        • os incidentes de segurança da informação;
        • os resultados da análise de eficácia e medições;
        • sugestões e realimentação de todas as partes interessadas;
      • medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos;
      • analisar criticamente as análises/avaliações de riscos a intervalos planejados;
      • analisar criticamente os riscos residuais e os níveis de riscos aceitáveis identificados;
      • conduzir auditorias internas do SGSI a intervalos planejados;
      • realizar uma análise crítica do SGSI pela direção em bases regulares para assegurar que o escopo permanece adequado e que os processos estão sendo melhorados;
      • atualizar os planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica;
      • registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI;
    • Manter e melhorar o SGSI (Act) → a organização deve regularmente:
      • implementar as melhorias identificadas no SGSI;
      • aplicar as lições aprendidas de experiências de segurança da informação da própria e de outras organizações;
      • executar as ações preventivas e corretivas apropriadas;
      • comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias, e se relevante, obter concordância sobre como proceder;
      • assegurar-se de que as melhorias atinjam os objetivos pretendidos;
  • Sistema de gestão de segurança da informação – Parte II

    • Requisitos de documentação → a documentação deve incluir:
      • registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis;
      • declarações documentadas do escopo, da política e objetivos do SGSI;
      • procedimentos e controles que apoiam o SGSI;
      • uma descrição da metodologia de análise/avaliação de riscos;
      • o relatório de análise/avaliação de riscos;
      • o plano de tratamento de riscos;
      • procedimentos para assegurar o planejamento efetivo, a operação, controle de seus processos e a medição da eficácia dos controles;
      • a declaração de aplicabilidade;
      • registro requeridos mencionados na norma;
    • Controle de documentos → definição documentada de procedimentos com as ações de gestão necessárias para:
      • aprovar documentos para adequação antes de sua emissão;
      • analisar criticamente, atualizar e, quando necessário, reprovar documentos;
      • assegurar que as alterações e a situação da revisão atual dos documentos sejam identificados;
      • assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso;
      • assegurar que os documentos permaneçam legíveis e prontamente identificáveis;
      • assegurar que os documentos estejam disponíveis àqueles que deles precisam;
      • assegurar que os documentos sejam transferidos, armazenados e descartados conforme procedimentos aplicáveis a sua classificação;
      • assegurar que os documentos de origem externa sejam identificados;
      • assegurar que a distribuição de documentos seja controlada;
      • prevenir o uso não intencional de documentos obsoletos;
      • aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito;
    • Controle de registros → registros devem:
      • ser estabelecidos e mantidos para fornecer evidências de conformidade aos requisitos e da operação eficaz do SGSI;
      • levar em consideração quaisquer requisitos legais ou regulamentares pertinentes e obrigações contratuais;
      • permanecer legíveis, prontamente identificáveis e recuperáveis;
      • ser mantidos registros do desempenho do processo e de todas as ocorrências de incidentes de segurança da informação significativos;
      • e deve-se também: documentar e implementar controles para a identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição dos registros;
  • Responsabilidade da direção
    • Evidências do comprometimento da direção → a direção deve fornecer evidências do seu comprometimento com o SGSI por meio do(a):
      • estabelecimento da política, dos planos e objetivos do SGSI;
      • estabelecimento dos papéis e responsabilidades pela segurança da informação;
      • comunicação à organização da importância em atender:
        • os objetivos de segurança da informação;
        • a conformidade com a política de segurança da informação;
        • suas responsabilidades perante a lei;
        • as necessidades de melhoria contínua;
      • provisão de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI;
      • definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis;
      • garantia de que as auditorias internas do SGSI sejam realizadas;
      • condução de análises críticas do SGSI pela direção;
    • Gestão de recursos → a organização deve determinar e prover os recursos necessários para:
      • estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI;
      • assegurar que os procedimentos de segurança da informação apoiam os requisitos de negócio;
      • identificar e tratar os requisitos legais e regulamentares e obrigações contratuais de segurança da informação;
      • manter a segurança da informação adequada pela aplicação correta de todos os controles implementados;
      • realizar análises críticas e, quando necessário, reagir adequadamente aos resultados destas análises críticas;
      • melhorar a eficácia do SGSI quando for requerido;
    • Treinamento, conscientização e competência → a organização deve assegurar que todo o pessoal responsável seja competente para desempenhar as atividades, como:
      • determinar as competências necessárias para o pessoal que executa trabalhos que afetam o SGSI;
      • fornecer treinamento ou ações relacionadas para satisfazer essas necessidades;
      • avaliar a eficácia das ações de treinamento executadas;
      • manter registros de educação, treinamento, habilidades, experiências e qualificações;
      • conscientizar sobre a relevância e importância das atividades de segurança da informação de todo o pessoal pertinente;
  • Auditorias internas do SGSI
    • Conduzir auditorias internas do SGSI a intervalos regulares → para determinar se os objetivos de controles, controles, processos e procedimentos:
      • atendem aos requisitos desta norma e à legislação ou regulamentações pertinentes;
      • atendem aos requisitos de segurança da informação identificados;
      • estão mantidos e implementados eficazmente;
      • são executados conforme esperado;
    • Planejar um programa de auditoria → considerando:
      • a situação e a importância dos processos e áreas a serem auditadas, bem como os resultados de auditorias anteriores;
      • os critérios da auditoria, escopo, frequência e métodos definidos;
      • a seleção dos auditores e a execução das auditorias baseadas em objetividade e imparcialidade a partir do processo de auditoria;
      • a não auditoria do seu próprio trabalho;
      • as ações sejam executadas, sem demora indevida, asseguradas pelo responsável da área, para eliminar as não-conformidades detectadas e suas causas;
  • Análise crítica do SGSI pela direção
    • Análise crítica a direção → a direção deve analisar criticamente o SGSI a intervalos regulares, ao menos uma vez ao ano, e:
      • assegurar a contínua pertinência, adequação e eficácia do SGSI;
      • incluir a avaliação de oportunidades para a melhoria e a de necessidades de mudanças do SGSI, da política e dos objetivos;
      • claramente documentar os resultados e manter os registros;
    • Entradas → as entradas da análise crítica pela direção devem incluir:
      • resultados de auditorias internas do SGSI de análises críticas;
      • a realimentação das partes interessadas;
      • as técnicas, produtos ou procedimentos que podem ser usados na organização para melhorar o desempenho e a eficácia do SGSI;
      • situação das ações preventivas e corretivas;
      • vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores;
      • resultados da eficácia das medições;
      • acompanhamento das ações oriundas de análises críticas anteriores pela direção;
      • quaisquer mudanças que possam afetar o SGSI;
      • as recomendações para melhoria;
    • Saídas → as saídas da análise crítica pela direção devem incluir:
      • a melhoria da eficácia do SGSI;
      • a atualização da análise/avaliação de riscos e do plano de tratamento de riscos;
      • a modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para responder a eventos internos e externos;
      • necessidades de recursos;
      • melhoria de como a eficácia dos controles está sendo medida
  • Melhoria do SGSI
    • Melhoria contínua → a organização deve continuamente melhorar a eficácia do SGSI por meio do uso:
      • da política de segurança da informação;
      • dos objetos de segurança da informação;
      • dos resultados de auditorias;
      • das análises de eventos monitorados;
      • de ações corretivas e preventivas;
      • da análise críticas da direção;
    • Ações corretivas → a organização deve executar ações corretivas para eliminar as causas de não-conformidades com os requisitos do SGSI de forma a evitar sua repetição, como:
      • identificar não-conformidades e determinar suas causas;
      • avaliar a necessidade de ações para assegurar que aquelas não-conformidades não ocorram novamente;
      • determinar e implementar as ações corretivas necessárias;
      • analisar criticamente as ações corretivas executadas;
      • registrar os resultados das ações executadas;
    • Ações preventivas → a organização deve executar ações preventivas para eliminar causas de não-conformidades potenciais com os requisitos do SGSI de forma evitar sua ocorrência, como:
      • identificar não-conformidades potenciais e determinar suas causas;
      • avaliar a necessidade de ações para evitar a ocorrência de não-conformidades;
      • determinar e implementar as ações preventivas necessárias;
      • analisar criticamente as ações preventivas executadas;
      • registrar os resultados de ações executadas;

 

Controles para a Gestão de Segurança da Informação


 

  • Norma 27.002Práticas para a gestão de Segurança da Informação;
    • tem como objetivo identificar os riscos e implantar controles que de forma efetiva torne-os gerenciáveis e minimizados;
    • não há garantias que estes controles tornem a segurança inviolável, mas procura reduzir os riscos a nível aceitável pela organização;
    • apresenta orientações efetivas para o processo de segurança da informação na organização e os principais elementos desse processo que devem ser desenvolvidos e implantados;
    • os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação;
    • os gastos com os controles precisam ser compatíveis com os danos causados ao negócio gerados pelas potenciais falhas na segurança da informação;
    • a seleção de controle de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco;
  • Introdução
    • A informação
      • A informação, seja impressa, eletrônica ou falada, é um ativo que é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio;
      • A segurança da informação decorre da implementação de conjunto de controles adequados, como políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware, que precisam ser estabelecidos, implementados, operados, monitoramentos, analisados criticamente, mantidos e melhorados;
    • Controles iniciais → controles aplicáveis a maioria das organizações, entretanto recomenda-se selecionar controles a partir da análise/avaliação de riscos;
      • Controles essenciais e legais
        • proteção de dados e privacidade de informações pessoais;
        • proteção de registros organizacionais;
        • direitos de propriedade intelectual;
      • Controles e práticas
        • elaborar documento de política de segurança da informação;
        • atribuir responsabilidades para a segurança da informação;
        • conscientizar, educar e treinar em segurança da informação;
        • processamento correto nas aplicações;
        • gestão de vulnerabilidades técnicas;
        • gestão da continuidade do negócio;
        • gestão de incidentes e melhorias em segurança da informação;
    • Fatores críticos de sucesso
      • política de segurança da informação, com objetivos e atividades que reflitam os objetivos de negócio;
      • uma abordagem consistente com a cultura da organização;
      • comprometimento e apoio visível dos níveis gerenciais;
      • bom entendimento dos requisitos de segurança da informação, da análise/avaliação e da gestão de riscos;
      • divulgação eficiente da segurança da informação para todas as partes envolvidas;
      • distribuição de diretrizes e normas sobre a política de segurança da informação para todas as partes envolvidas;
      • provisão de recursos financeiros para as atividades de gestão da segurança da informação;
      • conscientização, treinamento e educação adequados;
      • estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação;
      • implementação de um sistema de medição (avalia o desempenho da gestão da segurança da informação e propõe melhorias);
  • Objetivos
    • Estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar (IIManMe) a gestão de segurança da informação em uma organização;
  • Termos e definições
    • Ativo
      • qualquer coisa que tenha valor para a organização;
    • Controle
      • é a forma de gerenciar o risco, como políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais;
      • podem ter natureza administrativa, técnica, de gestão ou legal;
    • Diretriz
      • descrição que orienta o que deve ser feito e como para se alcançar os objetivos estabelecidos nas políticas;
    • Recursos de processamento da informação

      • qualquer sistema de processamento da informação, serviço ou infraestrutura, ou instalações físicas que os abriguem;
    • Segurança da informação
      • preservação da confidencialidade, integridade e disponibilidade da informação; e adicionalmente autenticidade, responsabilidade, não repúdio e confiabilidade;
    • Evento de segurança da informação
      • ocorrência identificada de alteração do estado um sistema, serviço ou rede que indica:
        • possível violação da PSI, ou;
        • falha nos controles, ou;
        • situação previamente desconhecida;
    • Incidente de segurança da informação
      • um simples ou série de eventos de segurança da informação indesejados ou inesperados;
      • com grande probabilidade de comprometer as operações do negócio;
    • Política
      • intenções e diretrizes globais e formalmente expressas pela direção;
    • Risco
      • combinação da probabilidade de um evento e de duas consequências;
      • a probabilidade de uma fonte de ameaça explorar uma vulnerabilidade e resultar em um impacto para a organização;
    • Análise do riscos
      • uso sistemático de informações para identificar fontes e estimar o risco, envolve a observação inicial da situação;
    • Avaliação de riscos
      • compara-se o risco estimado com critérios pré-definidos para determinar a importância do risco;
    • Análise e avaliação de riscos
      • uso sistemático de informações para identificar fontes e estimar o risco, e;
      • compara-se o risco estimado com critérios pré-definidos para determinar a importância do risco;
    • Gestão de riscos
      • atividades coordenadas para direcionar e controlar uma organização no que tange a riscos;
      • definição de contexto, e análise/avaliação, tratamento, aceitação e comunicação de riscos;
    • Tratamento de riscos
      • processo de seleção e implementação de medidas para modificar um risco;
    • Terceira parte
      • pessoa ou organismo reconhecido como independente das partes envolvidas, referente a um dado assunto;
    • Ameaça
      • causa potencial de um incidente indesejado que possa provocar dano a um sistema ou organização;
      • mediante a exploração de uma determinada vulnerabilidade;
    • Vulnerabilidade
      • fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças;
  • Estrutura da norma → a norma é formada:
    • seções iniciais;
    • seção preliminar que trata a análise/avaliação e o tratamento de riscos;
    • 11 seções de controles de segurança da informação;
      • 39 categorias principais de controles;
      • 39 objetivos de controles, um para cada categoria principal, que define o que deve ser alcançado;
      • 113 controles;
      • não há ordenação;
      • estrutura da seções: objetivo de controle, controle, diretrizes e informações adicionais;
  • Análise/Avaliação e tratamento de riscos → convém que:
    • identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização;
    • inclua um enfoque sistemático de estimar a magnitude do risco (análise de risco);
    • inclua um processo para comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco);
    • sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação do risco;
    • sejam realizadas a partir de mudanças significativa no ambiente;
    • definir os critérios de aceitação de risco antes de realizar o tratamento dos riscos;
    • uma decisão de tratamento seja tomada para cada risco identificado;
    • opções de tratamento do risco:
      • aplicar controles para redução do risco;
      • conhecer objetivamente e aceitar o risco;
      • evitar os riscos, proibindo ações que possam causar o risco;
      • transferir para outras partes;
    • Atenção: a análise/avaliação de riscos resulta na seleção de adequada de controles!

 

Seções, categoria de controle, objetivo dos controles e controles

 

  • Política de segurança da informação
    • Política de segurança da informaçãoprovê uma orientação da direção para a segurança da informação com foco no requisitos do negócio e conformidade com leis e regulamentações;
      • Documento da política de segurança da informação
        • convém que um documento da PSI seja aprovado pela direção, publicado e comunicado a todos as partes interessadas;
      • Análise crítica da política de segurança da informação
        • convém que a PSI seja analisada criticamente para assegurar a sua contínua pertinência, adequação e eficácia;
  • Organização da segurança da informação
    • Infraestrutura da segurança da informação → gerenciar a infraestrutura dentro da organização;
      • Comprometimento da direção com a segurança da informação
        • convém que a direção apoie ativamente a segurança da informação dentro da organização;
        • por meio de um claro direcionamento, demonstrando seu comprometimento, definindo explicitamente atribuições e conhecendo as responsabilidades;
      • Coordenação da segurança da informação
        • convém que as atividades de segurança da informação;
        • sejam coordenadas por representantes de diferentes partes da organização com funções e papéis relevantes;
      • Atribuição de responsabilidade para a segurança da informação
        • convém que todas as responsabilidades estejam claramente definidas, e;
        • que os responsáveis possuam poderes necessários para a implementação e operação dos controles;
        • a fim de viabilizar o atendimento aos requisitos de segurança;
      • Processo de autorização para os recursos de processamento da informação
        • convém que seja definido e implementado um processo de gestão de autorização para os novos recursos de processamento da informação;
      • Acordos de confidencialidade
        • convém que os requisitos para confidencialidade ou acordos de não divulgação reflitam as necessidade da organização;
        • sejam identificados, analisados criticamente e revisados de forma regular;
      • Contato com autoridades
        • convém que contatos apropriados com autoridades relevantes sejam mantidos;
      • Contrato com grupos especiais
        • convém que sejam mantidos contatos apropriados com grupos de interesses especiais, ou;
        • outros fóruns especializados em segurança da informação e associações profissionais;
    • Partes externasmanter a segurança dos recursos de processamento da informação e da informação da organização que são acessados, processados ou gerenciados por partes externas;
      • Identificação dos riscos relacionados com partes externas
        • convém que os riscos relacionados a partes externas sejam identificados e sejam implementados controles apropriados antes de se conceder o acesso;
        • quando envolvam recursos de processamento da informação e informação da organização oriundos de processos de negócio;
      • Identificar requisitos de segurança da informação quando tratando com clientes
        • convém que todos os requisitos de segurança da informação identificados sejam considerados;
        • antes de conceder aos clientes o acesso aos ativos ou às informações da organização;
      • Identificar requisitos de segurança da informação nos acordos com terceiros
        • convém que os acordos com terceiros cubram todos os requisitos relevantes de segurança da informação;
        • quando envolvem o acesso, processamento, comunicação ou;
        • gerenciamento de recursos de processamento da informação, informação da organização, ou;
        • acréscimo de produtos ou serviços aos recursos de processamento da informação;
  • Gestão de ativos
    • Responsabilidade pelos ativosalcançar e manter a proteção adequada dos ativos da organização;
      • Inventários dos ativos
        • convém que todos os ativos sejam claramente identificados e;
        • seja estruturado e mantido um inventário de todos os ativos importantes;
      • Proprietário dos ativos
        • convém que todas as informações e ativos associados com os recursos de processamento da informação;
        • tenham um proprietário designado por uma parte definida da organização;
        • a fim de que seja responsável pela implementação dos controles de segurança, ainda que a implantação seja delegada;
      • Uso aceitável dos ativos
        • convém que sejam identificadas, documentadas e implementadas regras;
        • a fim de que sejam permitidos o uso de informações e de ativos associados aos recursos de processamento da informação;
    • Classificação da informação → assegurar que a informação receba um nível adequado de proteção;
      • Recomendações para classificação
        • convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização;
        • seja efetuada pelo proprietário do ativo;
      • Rótulos e tratamento da informação
        • convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação;
  • Segurança em recursos humanos
    • Antes da contrataçãoassegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com seus papéis a fim de reduzir o risco de roubo, fraude ou mau uso dos recursos;
      • Papéis e responsabilidades
        • convém que papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros sejam identificados e documentados de acordo com a PSI;
      • Seleção
        • convém que verificações de controle de todos os candidatos a empregos, fornecedores e terceiros sejam realizadas de acordo com as leis relevantes, regulamentações e éticas;
        • de forma proporcional: aos requisitos do negócio, à classificação das informações a serem acessadas e aos riscos percebidos;
      • Termos e condições de contratações
        • como parte das suas obrigações contratuais, convém que os funcionários, fornecedores e terceiros concordem e assinem os termos e condições de sua contratação para o trabalho;
        • os quais devem declarar suas responsabilidades e a da organização para a segurança da informação;
    • Durante a contrataçãoassegurar que os funcionários, fornecedores e terceiros estão conscientes das ameaças e preocupações relativas à segurança da informação, suas responsabilidades e obrigações, e preparados para a apoiar a PSI da organização durante os seus trabalhos normais a fim de reduzir o risco de erro humano;
      • Responsabilidades da direção
        • convém que a direção solicite aos funcionários, fornecedores e terceiros que:
        • pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização;
      • Conscientização, educação e treinamento em segurança da informação
        • convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros que:
        • recebam treinamento apropriado em conscientização, atualizações regulares nas políticas e procedimentos organizacionais relevantes para suas funções;
      • Processo disciplinar
        • convém que exista um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação;
    • Encerramento ou mudança da contrataçãoassegurar que funcionários, fornecedores e terceiros deixem a organização ou mudem de função de forma ordenada;
      • Encerramento de atividades
        • convém que responsabilidades para realizar o encerramento ou a mudança de um trabalho sejam claramente definidas e atribuídas;
      • Devolução de ativos
        • convém que todos os funcionários, fornecedores e terceiros devolvem todos os ativos da organização que estejam em sua posse;
        • após o encerramento de suas atividades, do contrato ou acordo;
      • Retirada dos direitos de acesso
        • convém que os direitos de acesso de todos os funcionários, fornecedores e terceiros à informações e aos recursos de processamento de informação;
        • sejam retirados após o encerramento de suas atividades, contratos ou acordos, ou ajustado após a mudança destas atividades;
  • Segurança física e do ambiente
    • Áreas segurasprevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização;
      • Perímetro de segurança física
        • convém que sejam utilizados perímetros de segurança para proteger as áreas que contenham informações e instalações de processamento de informação;
      • Controles de entrada física
        • convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso;
      • Segurança em escritórios, salas e instalações
        • convém que escritórios, salas e instalações sejam projetados e aplicada a segurança física;
      • Proteção contra ameaças externas e do meio ambiente
        • convém que sejam projetadas e aplicadas proteção física contra:
        • incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem;
      • Trabalhando em área seguras
        • convém que seja projetada e aplicada proteção física, bem como diretrizes para o trabalho em áreas seguras;
      • Acesso público, áreas de entrega e de carregamento
        • convém que os pontos de acesso sejam controlados e, se possível, isolados das instalações de processamento da informação, para evitar o acesso não autorizado;
        • tais como áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalação;
    • Segurança de equipamentosimpedir perdas, danos, furtos ou comprometimento de ativos e que causem interrupção das atividades da organização;
      • Instalação e proteção de equipamentos
        • convém que os equipamentos sejam protegidos para reduzir os riscos de ameaças, perigos do meio ambiente e oportunidades de acesso não autorizado;
      • Utilidades
        • convém que os equipamentos sejam protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades;
      • Segurança do cabeamento
        • convém que o cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações seja protegido contra interceptação ou danos;
      • Manutenção dos equipamentos
        • convém que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes;
      • Segurança de equipamentos fora das dependências da organização
        • convém que sejam tomadas medidas de segurança para equipamentos que operem fora do local;
        • levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização;
      • Reutilização e alienação segura de equipamentos
        • convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam examinadas antes do descarte;
        • a fim de assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança;
      • Remoção de propriedade
        • convém que os equipamentos, informações ou software não sejam retirados do local sem autorização prévia;
  • Gerenciamento das operações e comunicações

    • Procedimentos e responsabilidades operacionaisassegurar a operação segura e correta dos recursos de processamento da informação;
      • Documentação dos procedimentos de operação
        • convém que os procedimentos de operação sejam documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitem;
      • Gestão de mudanças
        • convém que modificações nos recursos de processamento da informação e sistema sejam controladas;
      • Segregação de funções
        • convém que funções e áreas de responsabilidades sejam segregadas;
        • a fim de reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização;
      • Separação dos recursos de desenvolvimento, teste e de produção
        • convém que recursos de desenvolvimento, teste e produção sejam separados;
        • a fim de reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais;
    • Gerenciamento de serviços terceirizados → implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em consonância com acordos de entrega de serviços terceirizados;
      • Entrega de serviços
        • convém que seja garantido que os controles da segurança, as definições de serviço e os níveis de entrega incluídos no acordo de entrega de serviços terceirizados;
        • sejam implementados, executados e mantidos pelo terceiro;
      • Monitoramento e análise crítica de serviços terceirizados
        • convém que os serviços, relatórios e registros fornecidos por terceiro;
        • sejam regularmente monitorados e analisados criticamente, e que auditorias sejam executadas regularmente;
      • Gerenciamento de mudanças para serviços terceirizados
        • convém que mudanças no provisionamento dos serviços, incluindo manutenção e melhoria da PSI, de procedimentos e controles existentes;
        • sejam gerenciados levando-se em conta a criticidade dos sistemas e processos de negócio envolvidos e a reanálise/reavaliação de riscos;
    • Planejamento e aceitação de sistemasminimizar o risco de falhas nos sistemas;
      • Gestão de capacidade
        • convém que a utilização dos recursos seja monitorada e sincronizada e as projeções feitas para necessidades de capacidade futura;
        • a fim de garantir o desempenho requerido do sistema;
      • Aceitação de sistemas
        • convém que sejam estabelecidos critérios de aceitação para novos sistemas, atualizações e novas versões;
        • bem como sejam efetuados testes apropriados dos sistemas durante seu desenvolvimento e antes de sua aceitação;
    • Proteção contra códigos maliciosos e códigos móveis → proteger a integridade do software e da informação;
      • Controles contra códigos maliciosos
        • convém que sejam implantados controles de detecção, prevenção e recuperação;
        • a fim de proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários;
      • Controles contra códigos móveis
        • convém que a configuração garanta que o código móvel autorizado opere de acordo com uma PSI claramente definida;
        • bem como que códigos móveis não autorizados tenham sua execução impedida;
    • Cópias de segurança → manter a integridade e disponibilidade da informação e dos recursos de processamento de informação;
      • Cópias de segurança das informações
        • convém que as cópias de segurança das informações e dos softwares sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida;
    • Gerenciamento da segurança em redesassegurar a proteção das informações em redes e a proteção da infraestrutura de suporte;
      • Controle de redes
        • convém que as redes sejam adequadamente gerenciadas e controladas;
        • a fim de protegê-las contra ameaças e manter a segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito;
      • Segurança dos serviços de rede
        • convém que as características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede;
        • sejam identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente ou terceirizados;
    • Manuseio de mídias → prevenir contra divulgação não autorizada, modificação, remoção ou destruição aos ativos e interrupções das atividades do negócio;
      • Gerenciamento de mídias removíveis
        • convém que existam procedimentos implementados para o gerenciamento de mídias removíveis;
      • Descarte de mídias
        • convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias por meio de procedimentos formais;
      • Procedimentos para tratamento de informação
        • convém que sejam estabelecidos procedimentos para o tratamento e armazenamento de informações;
        • a fim de proteger tais informações contra a divulgação não autorizada ou uso indevido;
      • Segurança da documentação dos sistemas
        • convém que a documentação dos sistemas seja protegida contra acessos não autorizados;
    • Troca de informação → manter a segurança da informação transferida dentro da organização e com e entidades externas;
      • Política e procedimentos para troca de informações
        • convém que políticas, procedimentos e controles sejam estabelecidos e formalizados;
        • a fim de proteger a troca de informação em todos os tipos de recursos de comunicação;
      • Acordos para a troca de informações
        • convém que sejam estabelecidos acordos para a troca de informações e softwares entre a organização e entidades externas;
      • Mídias em trânsito
        • convém que mídias contendo informações sejam protegidas contra acesso não autorizado, uso impróprio ou alteração indevida durante o transporte externo aos limites físicos da organização;
      • Mensagens eletrônicas
        • convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas;
      • Sistemas de informações do negócio
        • convém que políticas e procedimentos sejam desenvolvidos e implementados para proteger as informações associadas com a interconexão de sistemas de informações do negócio;
    • Serviços de comércio eletrônico → assegurar a segurança de serviços de comércio eletrônico e sua utilização segura;
      • Comércio eletrônico
        • convém que as informações envolvidas em comércio eletrônico transitando sobre redes públicas;
        • sejam protegidas de atividades fraudulentas, disputas contratuais e divulgação e modificações não autorizadas;
      • Transações on-line
        • convém que informações envolvidas em transações on-line sejam protegidas;
        • a fim de prevenir transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada;
      • Informações publicamente disponíveis
        • convém que a integridade das informações disponibilizadas em sistemas publicamente acessíveis seja protegida para prevenir modificações não autorizadas;
    • Monitoramento → detectar atividades não autorizadas de processamento da informação;
      • Registros de auditoria
        • convém que registros de auditoria contendo atividades do usuário, exceções e outros eventos de segurança da informação;
        • sejam produzidos e mantidos por um período de tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso;
      • Monitoramento do uso do sistema
        • convém que sejam estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informação, e;
        • os resultados das atividades de monitoramento sejam analisados criticamente, de forma regular;
      • Proteção das informações dos registros
        • convém que os recursos e informações de registros sejam protegidos contra falsificação e acesso não autorizado;
      • Registros de administrador e operador
        • convém que as atividades dos administradores e operadores do sistema sejam registradas;
      • Registro de falhas
        • convém que as falhas ocorridas sejam registradas e analisadas, e que sejam adotadas ações apropriadas;
      • Sincronização dos relógios
        • convém que os relógios de todos os sistemas de processamento de informações relevantes sejam sincronizados de acordo com uma hora oficial;
  • Controle de acesso
    • Requisitos do negócio para controle de acesso → controlar e limitar o acesso à informação a partir dos requisitos do negócio;
      • Política de controle de acesso
        • convém que a política de controle de acesso seja estabelecida, documentada e analisada criticamente;
        • tomando-se por base os requisitos de acesso dos negócios e a segurança da informação;
    • Gerenciamento de acesso do usuárioassegurar o acesso de usuários autorizados e prevenir acesso não autorizado a sistemas de informação;
      • Registro de usuário
        • convém que exista um procedimento formal de registro e cancelamento de usuário para garantir a revogação de acessos em todos os sistema de informação e serviços;
      • Gerenciamento de privilégios
        • convém que a concessão e o uso de privilégios sejam restritos e controlados;
      • Gerenciamento de senha do usuário
        • convém que a concessão de senhas seja controlada por meio de um processo de gerenciamento formal;
      • Análise crítica dos direitos de acesso de usuário
        • convém que o gestor conduza a intervalos regulares a análise crítica dos direitos de acesso dos usuários por meio de um processo formal;
    • Responsabilidades dos usuáriosprevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação;
      • Uso de senhas
        • convém que os usuários sejam solicitados a seguir as boas práticas de segurança da informação na seleção e uso de senhas;
      • Equipamentos de usuário sem monitoração
        • convém que os usuários asseguram que os equipamentos não monitorados tenham proteção adequada;
      • Política de mesa limpa e tela limpa
        • convém que seja adotada uma política de mesa limpa de papéis e mídias de armazenamento removível e política de tela limpa para os recursos de processamento da informação;
    • Controle de acesso a redeprevenir acesso não autorizado aos serviços de rede;
      • Política de uso dos serviços de rede
        • convém que os usuários recebam acesso somente para os serviços que tenham sido especificamente autorizados a usar;
      • Autenticação para conexão externa do usuário
        • convém que métodos apropriados de autenticações sejam usados para controlar acesso de usuários remotos;
      • Identificação de equipamentos em redes
        • convém que sejam consideradas as identificações automáticas de equipamentos como um meio de autenticar conexões vindas de localizações e equipamentos específicos;
      • Proteção e configuração de portas de diagnóstico remotas
        • convém que seja controlado o acesso físico e lógico das portas de diagnóstico e configuração;
      • Segregação de redes
        • convém que grupos de serviços de informação, usuário e sistemas de informação sejam segregados em redes;
      • Controle de conexão de rede
        • convém que a capacidade dos usuários para conectar-se à rede seja restrita, alinhada com a política de controle de acesso e os requisitos das aplicações do negócio;
        • para redes compartilhadas, especialmente essas que se estendem pelos limites da organização;
      • Controle de roteamento de redes
        • convém que seja implementado controle de roteamento na rede;
        • a fim de assegurar que as conexões de computador e fluxo de informações não violem a política de controle de acesso das aplicações do negócio;
    • Controle de acesso ao sistema operacional → prevenir acesso não autorizado aos sistemas operacionais;
      • Procedimentos seguros de entrada no sistema
        • convém que o acesso aos sistemas operacionais seja controlado por um procedimento seguro de entrada no sistema;
      • Identificação e autenticação de usuário
        • convém que todos os usuários tenham um identificador único para uso pessoal e exclusivo;
        • convém que uma técnica adequada de autenticação seja escolhido para validar a identidade alegada por um usuário;
      • Sistema de gerenciamento de senha
        • convém que seja estabelecido um sistema de gerenciamento de senhas que assegurem senhas de qualidade;
      • Uso de utilitários de sistema
        • convém que seja restrito e estritamente controlado o uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações;
      • Desconexão de terminal por inatividade
        • convém que terminais inativos sejam desconectados após um período definido de inatividade;
      • Limitação de horário de conexão
        • convém que restrições de horário de conexão sejam utilizadas para proporcionar segurança adicional para aplicações de alto risco;
    • Controle de acesso à aplicação e à informação → prevenir acesso não autorizado à informação contida nos sistemas;
      • Restrição de acesso à informação
        • convém que o acesso à informação e às funções dos sistemas de aplicações por usuários e pessoal de suporte seja restrito de acordo com o definido na política de controle de acesso;
      • Isolamento de sistemas sensíveis
        • convém que sistemas sensíveis tenham um ambiente computacional dedicado;
    • Computação móvel e trabalho removo → garantir a segurança da informação quando se utilizam a computação móvel e recursos de trabalho remoto;
      • Computação e comunicação móvel
        • convém que uma política formal seja estabelecida e que medidas de segurança apropriadas sejam adotadas;
        • a fim de proteger contra os riscos do uso de recursos de computação e comunicação móveis;
      • Trabalho remoto
        • convém que uma política, planos operacionais e procedimentos sejam desenvolvidos e implementados para atividades de trabalho remoto;
  • Aquisição, desenvolvimento e manutenção de sistemas
    • Requisitos de segurança de sistemas de informação → garantir que a segurança da informação seja integrante de todo ciclo de vida dos sistemas;
      • Análise e especificação dos requisitos de segurança
        • convém que sejam incluídos requisitos para controles de segurança nas especificações de requisitos de negócio;
        • para novos sistemas de informação ou melhorias em sistemas existentes;
    • Processamento correto nas aplicações → prevenir a ocorrência de erros, perdas, modificações não autorizadas ou mau uso de informações em aplicações;
      • Validação dos dados de entrada
        • convém que os dados de entrada de aplicações sejam validados;
        • a fim de garantir que são corretos e apropriados;
      • Controle do processamento interno
        • convém que sejam incorporadas, nas aplicações, checagens de validação com o objetivo de detectar qualquer corrupção de informações por erros ou por ações deliberadas;
      • Integridade de mensagens
        • convém que requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações;
        • sejam identificados e os controles apropriados sejam identificados e implementados;
      • Validação de dados de saída
        • convém que os dados de saída das aplicações;
        • sejam validados para assegurar que o processamento das informações armazenadas está correto e é apropriado às circunstâncias;
    • Controles criptográficos → assegurar o uso apropriado de meios criptográficos para proteger a confidencialidade, a autenticidade e/ou a integridade da informação;
      • Política para o uso de controles criptográficos
        • convém que seja desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação;
      • Gerenciamento de chaves
        • convém que um processo de gerenciamento de chaves seja implantado para apoiar o uso de técnicas criptográficas pela organização;
    • Segurança dos arquivos de sistema → garantir a segurança da informação dos arquivos de sistema;
      • Controle de software operacional
        • convém que procedimentos para controlar a instalação de software em sistemas operacionais sejam implementados;
      • Proteção dos dados para teste de sistema
        • convém que os dados de teste sejam selecionados com cuidado, protegidos e controlados;
      • Controle de acesso ao código-fonte de programa
        • convém que o acesso ao código-fonte de programa seja restrito;
    • Segurança em processos de desenvolvimento e suporte → manter a segurança da informação e dos sistemas;
      • Procedimentos para controle de mudanças
        • convém que a implementação de mudanças seja controlada utilizando procedimentos formais de controle de mudanças;
      • Análise crítica técnica das aplicações após mudanças no sistema operacional
        • convém que aplicações críticas de negócios sejam analisadas criticamente e testadas quando sistemas operacionais são mudados;
        • a fim de garantir que não haverá impacto adverso na operação da organização ou na segurança;
      • Restrições sobre mudanças em pacotes de software
        • convém que modificações em pacotes de software não sejam incentivadas e limitadas às mudanças necessárias e que todas as mudanças sejam estritamente controladas;
      • Vazamento de informações
        • convém que oportunidades para vazamento de informações sejam prevenidas;
      • Desenvolvimento terceirizado de software
        • convém que a organização supervisione e monitore o desenvolvimento terceirizado de software;
    • Gestão de vulnerabilidades técnicas → reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas;
      • Controle de vulnerabilidades técnicas
        • convém que seja obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso;
        • bem como avaliar a exposição da organização a estas vulnerabilidades e tomar medidas apropriadas para lidar com os riscos associados;
  • Gestão de incidentes de segurança da informação
    • Notificação de fragilidades e eventos de segurança da informação → assegurar que fragilidades e eventos de segurança da informação associados com sistema de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil;
      • Notificação de eventos de segurança da informação
        • convém que os eventos de segurança da informação sejam relatados por meio dos canais apropriados da direção, o mais rapidamente possível;
      • Notificação de fragilidades de segurança da informação
        • convém que os funcionários, fornecedores e terceiros de sistemas e serviços de informação sejam instruídos a registrar e notificar qualquer observação ou suspeita de fragilidades em sistema ou serviços;
    • Gestão de incidentes de segurança da informação e melhorias → assegurar que um enfoque consistente e efetivo seja aplicado à gestão de incidentes de segurança da informação;
      • Responsabilidades e procedimentos
        • convém que responsabilidades e procedimentos de gestão sejam estabelecidos;
        • a fim de assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação;
      • Aprender com os incidentes de segurança da informação
        • convém que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurança da informação sejam quantificados e monitorados;
      • Coleta de evidências
        • convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas pertinentes de armazenamento de evidências da jurisdição;
        • nos casos em que uma ação contra uma pessoa ou organização, após um incidente de segurança da informação, envolva uma ação legal;
  • Gestão da continuidade do negócio
    • Aspectos da gestão da continuidade do negócio relativos à segurança da informação → não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso;
      • Incluir segurança da informação no processo de gestão da continuidade de negócio
        • convém que um processo de gestão seja desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização, e;
        • que contemple os requisitos de segurança da informação necessário para a continuidade do negócio da organização;
      • Continuidade de negócios e análise/avaliação de riscos
        • convém identificar os eventos que podem causar interrupções aos processos de negócio, junto a probabilidade e impacto de tais interrupções e as consequências para a segurança de informação;
      • Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação
        • convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações, e;
        • a fim de assegurar a disponibilidade da informação, no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio;
      • Estrutura do plano de continuidade do negócio
        • convém que uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos são consistentes;
        • a fim de contemplar os requisitos de segurança da informação e para identificar prioridades para testes e manutenção;
      • Testes, manutenção e reavaliação dos planos de continuidade do negócio
        • convém que os planos de continuidade do negócio sejam testados e atualizados regularmente;
        • de forma a assegurar sua permanente atualização e efetividade;
  • Conformidade
    • Conformidade com requisitos legais → evitar a violação de obrigações legais, estatutárias, regulamentares, contratuais e de qualquer requisito de segurança da informação;
      • Identificação da legislação vigente
        • convém que todos os requisitos estatutários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a esses requisitos;
        • sejam explicitamente definidos, documentados e mantidos atualizados para cada sistema de informação da organização;
      • Direitos de propriedade intelectual
        • convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material;
        • uma vez que podem haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietários;
      • Proteção de registros organizacionais
        • convém que registros importantes sejam protegido contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio;
      • Proteção de dados e privacidade de informações pessoais
        • convém que a privacidade e proteção de dados sejam asseguradas conforme exigido nas legislações relevantes, regulamentações e, se aplicável, nas cláusulas contratuais;
      • Prevenção de mau uso de recursos de processamento da informação
        • convém que os usuários sejam dissuadidos de usar os recursos de processamento da informação para propósitos não autorizados;
      • Regulamentação de controles de criptografia
        • convém que controles de criptografia sejam usados em conformidade com todas as, acordos e regulamentações relevantes;
    • Conformidade com normas e políticas de segurança da informação e conformidade técnica → garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação;
      • Conformidade com as políticas e normas de segurança da informação
        • convém que gestores garantam que todos os procedimentos de segurança da informação dentro de sua área de responsabilidade estão sendo executados corretamente;
        • a fim de atender à conformidade com as normas e políticas de segurança da informação;
      • Verificação da conformidade técnica
        • convém que sistemas de informação sejam periodicamente verificados em sua conformidade com as normas de segurança da informação implementadas;
    • Considerações quanto à auditoria de sistemas de informação → maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistema de informação;
      • Controles de auditoria de sistema de informação
        • convém que requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais;
        • sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupção dos processos de negócio;
      • Proteção de ferramentas de auditoria de sistema de informação
        • convém que o acesso às ferramentas de auditoria de sistema de informação seja protegido para prevenir qualquer possibilidade de uso impróprio ou comprometimento;

 

Gestão de Riscos em Segurança da Informação


 

  • Norma 27.005Gestão de Riscos em Segurança da Informação (GRSI);
    • provê diretrizes, mas não inclui uma metodologia específica, para o processo de Gestão de Riscos de Segurança da Informação (GRSI);
    • cuja abordagem ao processo de risco deve ser:
      • alinhado à gestão de riscos corporativos por uma abordagem sistemática;
      • definida por cada organização a partir:
        • do escopo do SGSI;
        • do contexto da gestão de riscos, e;
        • de sua atividade econômica;
      • pode ser aplicado:
        • à toda organização;
        • a uma parte da organização;
        • a algum controle específico;
      • melhorada continuadamente por meio das atividades:
        • definição de contexto;
        • análise e avaliação de riscos;
        • tratamento dos riscos;
        • aceitação dos riscos;
        • comunicação do risco, e;
        • monitoramento e análise crítica do risco;
  • Referência normativa
    • São indispensáveis a aplicação da 27001 e 27002;
  • Termos e definições
    • Impacto
      • mudança adversa no nível obtido dos objetivos de negócio;
    • Riscos de segurança da informação
      • a possibilidade de uma ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, prejudicando a organização;
    • Ação de evitar o risco
      • decisão de não se envolver ou agir de forma se retirar de uma situação de risco;
    • Comunicação do risco
      • troca ou compartilhamento de informação sobre risco entre o tomador de decisão e outras partes envolvidas;
    • Estimativa de riscos
      • processo utilizado para atribuir valores à probabilidade e consequências de um risco;
    • Identificação de riscos
      • processo para localizar, listar e caracterizar elementos do risco;
    • Redução de risco
      • ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas associadas a um risco;
    • Retenção do risco
      • aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco;
    • Transferência do risco
      • compartilhamento com uma outra entidade do ônus da perda associado a um risco;

 

Atividade, entrada, ação, diretrizes para implementação e saída

 

  • Definição de contexto
    • Entradatodas as informações sobre a organização que auxiliem o contexto do GRSI;
    • Ação → definição do escopo, dos limites do processo de GRSI, de critérios básicos e o estabelecimento de organização apropriada para operar a GRSI;
    • Diretrizesdeterminar o propósito da GRSI, como apoiar:
      • um SGSI;
      • um plano de resposta a incidentes;
      • um plano de continuidade de negócio;
      • a conformidade legal;
    • Saída
      • Especificação de escopo
        • precisa ser definido para assegurar que todos os ativos relevantes sejam considerados na análise/avaliação de riscos;
      • Especificação de limites
        • precisam ser definidos para permitir o reconhecimento dos riscos que possam ir além dos limites;
      • Critérios básicos
        • Critérios para avaliação de riscos permitem uma abordagem contínua consistente, bem como estabelecer prioridades;
        • Critérios de impacto são especificados em função do montante dos custos ou dos danos causados por um evento relacionado com a segurança da informação;
        • Critérios para aceitação do risco dependem das políticas, metas e objetivos da organização, bem como do interesse das partes interessadas;
      • Organização responsável do GRSI
        • desenvolvimento do processo de GRSI adequado à organização;
        • identificação e análise das partes interessadas;
        • definição de papéis e responsabilidades;
        • definição de alçadas para a tomada de decisões;
        • especificação dos registros a serem mantidos;
  • Análise e avaliação de riscos
    • Entradaescopo, limites, critérios básicos e organização do processo;
    • Ação → convém que os riscos sejam:
      • Identificados
        • identificação (nessa ordem) de ativos, ameaças, controles existentes, vulnerabilidades e consequências (AACVC);
      • Estimados
        • qualitativamente para avaliar preliminarmente e empiricamente a consequência potencial ao risco (baixo, médio, alto);
        • quantitativamente para efetuar a análise numérica da consequência dos riscos;
        • nível do risco para cada risco;
      • Priorizados em função:
        • dos critérios de avaliação de riscos, e;
        • dos objetivos relevantes da organização;
      • Avaliados para cada cenário de incidente em relação a probabilidade e consequência;
      • sendo reanalisados e reavaliados até a obtenção de avaliação satisfatória;
    • Diretrizes
      • determinar o valor dos ativos de informação;
      • identificar ameaças e vulnerabilidades aplicáveis existentes ou que possam existir;
      • identificar os controles existentes e seus efeitos no risco identificado;
      • determinar as consequências possíveis;
      • priorizar os riscos derivados de acordo com os critérios estabelecidos;
      • pode-se realizar mais de uma interação;
    • Saída → lista de riscos avaliados e ordenados por prioridade de acordo com os critérios de avaliação de riscos;
  • Tratamento dos riscos
    • Entradalista de riscos ordenados por prioridade e associados aos cenários de incidentes que os causam;
    • Ação → convém que sejam selecionados controles para reduzir, reter, evitar ou transferir os riscos e seja definido um plano de tratamento dos riscos;
    • Diretrizes
      • reduzir o risco, reter o risco, evitar o risco e transferir o risco;
      • convém que as opções de tratamento sejam baseadas na análise e avaliação de riscos, nos custos de implementação e nos benefícios esperados;
      • independente de outros critérios, as consequências adversas devem ser reduzidas ao menor nível possível;
      • convém levar em consideração custos e a própria SI no caso da remoção de controles redundantes;
      • um único tratamento pode ser efetivo contra mais de um risco;
      • uma vez que o plano de tratamento do risco tenha sido definido, os riscos residuais precisam ser determinados;
      • convém que as opções do tratamento do risco sejam consideradas levando-se em conta:
        • como o risco é percebido pelas partes afetadas, e;
        • as formas mais apropriadas de comunicação com as partes;
    • Saída → o plano de tratamento de risco e os riscos residuais, sujeitos à decisão de aceitação por parte dos gestores da organização;
  • Aceitação do riscos
    • Entrada → o plano de tratamento de risco e a análise e avaliação dos riscos residuais sujeitos à decisão dos gestores da organização;
    • Ação → convém que a decisão de aceitar os riscos seja feita e formalmente registrada;
    • Diretrizes
      • convém que os planos de tratamento do risco descrevam como os riscos avaliados serão tratados para atender os critérios de aceitação;
      • convém que os gestores responsáveis façam análise crítica e aprovem:
        • os planos propostos de tratamento de risco;
        • os riscos residuais resultantes, e;
        • que registrem as condições associadas a essa aprovação;
      • eventualmente, os tomadores de decisão podem ter que aceitar riscos que não satisfaçam os critérios normais pois pode não existir um limite bem definido de aceitabilidade;
      • convém que o tomador de decisão justifique e comente sua decisão de não seguir os critérios normais para aceitar os riscos;
    • Saída → lista de riscos aceitos e uma justificativa para os riscos que não satisfizeram os critérios normais de aceitação;
  • Comunicação do risco
    • Entradatodas as informações sobre riscos provenientes da gestão de riscos;
    • Ação → convém que o tomador de decisões e demais partes interessadas troquem e compartilhem as informações sobre riscos;
    • Diretrizes
      • obter consenso sobre como gerenciar os riscos por meio da troca das informações sobre o risco entre os tomadores de decisões e outras partes interessadas;
      • convém que a organização desenvolva planos de comunicação dos riscos, tanto para operações rotineiras, quanto para situações emergenciais;
      • uma comissão de riscos pode ser formada, de modo a discutir prioridades, tratamento e aceitação de riscos;
    • Saída → o entendimento contínuo do processo de gestão de riscos de segurança da informação e dos resultados obtidos;
  • Monitoramento e análise crítica dos fatores de riscos
    • Entradatodas as informações sobre riscos provenientes da gestão de riscos;
    • Ação → convém que os riscos e seus fatores:
      • tais como valores dos ativos, impactos, ameaças, vulnerabilidades e probabilidades de ocorrências
      • sejam monitoradas e analisados criticamente, a fim de:
        • identificar mudanças no contexto da organização;
        • manter uma visão geral dos riscos;
    • Diretrizes
      • monitoramento constante de ativos e seus valores, vulnerabilidades, ameaças, consequências, impacto e incidentes;
      • o monitoramento pode fornecer dados de entrada a análise crítica;
    • Saída → alinhamento contínuo da gestão de riscos com:
      • os objetivos de negócio da organização, e;
      • os critérios para aceitação do risco;
  • Monitoramento, análise crítica e melhoria do processo de GRSI
    • Entradatodas as informações sobre riscos provenientes da gestão de riscos;
    • Ação → convém que o processo de gestão de riscos de segurança da informação seja continuamente monitorado, analisado criticamente e melhorado;
    • Diretrizes
      • convém que a organização se certifique que o processo de gestão de riscos de segurança da informação e as atividades relacionadas permaneçam pertinentes às condições atuais;
      • o monitoramento pode resultar em modificações ou acréscimo da abordagem, metodologia ou ferramentas utilizadas para gestão de riscos;
    • Saída → atualização do processo de GRSI ou a garantia permanente da relevância deste para os objetivos de negócio da organização;

 

Gestão da Continuidade de Negócios


 

  • Conceitos

    • possibilitar o funcionamento da organização em um nível aceitável durante as situações de contingência;
    • está relacionado com o resultado da análise de riscos e ameaças ao negócio da organização;
    • a alta administração deve aprovar as ameaças e os riscos que serão aceitos, e conhecer as fases de desenvolvimento do plano;
    • o plano deve priorizar o risco por impacto e probabilidade e tratá-los em ordem de importância;
    • o plano deve prever treinamento e conscientização de todos os colaboradores para o procedimento de contingência;
    • pode ser testado na totalidade, parcialmente ou, ainda, por meio de simulações, quando ocorrem representações de situação emergencial;

 

Práticas para a Gestão de Continuidade de Negócio

 

 

  • Norma 25.999-1Práticas para a Gestão da Continuidade de Negócio (GCN);
    • estabelece o processo, os princípios e a terminologia da Gestão de Continuidade de Negócios;
    • fornece uma base para entender, desenvolver e implementar a continuidade de negócios e obter confiança nos negócios da organização;
  • Termos e definições
    • Análise de impacto nos negócios

      • processo de analisar as funções de negócio e os efeitos que uma interrupção possa causar a elas;
    • Plano de gerenciamento de incidentes (PGI)
      • plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente;
      • cobre as principais pessoas, recursos, serviços e outras ações do processo de gerenciamento de incidentes;
  • Visão geral da GCN
    • ajuda a garantir que as metas e objetivos de negócio não serão comprometidos por interrupções inesperadas;
    • complementar a estrutura de gestão de riscos;
  • Política de GCN
    • define as atividades de preparação para se estabelecer uma capacidade de continuidade de negócio;
    • inclui o planejamento, criação, implementação e testes iniciais de capacidade;
    • permite o gerenciamento contínuo e manutenção desta capacidade;
    • adequada ao contexto, à natureza, complexidade e criticidade as suas atividades de negócio;
    • reflete a cultura, dependências e ambiente operacional;
    • contém os objetivos e o escopo da GCN;
  • Gestão do programa de GCN
    • estabelece a abordagem da organização à CN por meio de um programa de GCN;
    • atribui responsável experiente a com autoridade pela política GCN e sua implementação;
    • implementa a CN na organização com planejamento, desenvolvimento e implementação do programa de GCN;
    • gestão contínua por meio do monitoramento e análise critica;
    • atualizar os planos em caso de mudanças significativas na organização ou quanto o teste ou incidente revelar deficiências;
    • armazenar, proteger e disponibilizar a documentação, como a política de GCN, análise de impacto, estratégias, PGI, demais planos;
  • Entender a organização (Plan)
    • identificar os objetivos da organização, as obrigações das partes interessadas e o ambiente operacional;
    • garantir o alinhamento do programa de GCN a conformidade necessária;
    • identificar os produtos e serviços fundamentais, bem como as atividades críticas e os recursos que os suportam;
    • avaliar o impacto e as consequências sobre o tempo de falha dessas atividades, ativos e recursos;
    • identificar e avaliar ameaças que podem interromper os produtos e serviços fundamentais;
    • realizar e documentar a análise de impacto no negócio;
    • determinar os requisitos de continuidade e estimar os recursos necessários para a recuperação de cada atividade;
    • identificar medidas que reduzam o período e a chance de interrupção, limitando o impacto;
    • aprovação pela alta administração dos produtos e serviços fundamentais, da avaliação de riscos;
  • Determina a estratégia de CN (Plan)
    • implemente as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e/ou reduzir os potenciais efeitos;
    • mantenha registro das medidas de resiliência e mitigação, bem como as atividades que não foram identificadas como críticas;
    • estratégias de continuidade podem envolver pessoas, instalações, tecnologias, partes interessadas, etc;
    • aprovação pela alta administração das estratégias documentadas;
  • Desenvolver e implementar uma resposta de GCN (Do)
    • desenvolve e implanta os planos apropriados para garantir a continuidade das atividades críticas e gestão de incidentes;
    • manter uma estrutura simples para confirmar a natureza e extensão do incidente, tomar o controle da situação e comunicar as partes interessadas;
    • elaborar planos com objetivo, escopo, papéis, responsabilidades, método de ativação dos planos, proprietário e mantenedor do documento;
    • Plano de Gerenciamento de Incidentes com plano de ação, contatos de emergência, atividades das pessoas e gestão das partes;
    • Plano de Continuidade de Negócio com plano de ação, recursos necessários, responsáveis e formulários;
  • Testar, manter e analisar criticamente os preparativos de GCN (Check e Act)
    • verificar os preparativos por meio de programa de teste com aspectos técnicos, logísticos, administrativos, procedimental e outros sistemas;
    • garantir que mudanças que causem impacto à organização sejam analisadas criticamente por meio do programa de manutenção;
    • realização de análise crítica dos preparativos pela alta administração;
    • providenciar auditoria independente (interna ou externa) para avaliar a GCN e a capacidade de identificar falhas reais e potenciais;
    • executar processo de autoavaliação para verificar qualitativamente a capacidade da organização de se recuperar de um incidente;
    • criar, aumentar e manter a consciência com a educação permanente em GCN;
    • treinar a equipe de GCN e o pessoal não relacionado que necessite de habilidades específicas para desempenhar seu papel em CN;

 

Sistema de Gestão de Continuidade de Negócio

 

 

  • Norma 25.999-2Requisitos para o Sistema de Gestão da Continuidade de Negócio (SGCN);

 


Reinaldo Gil Lima de Carvalho

 

Anúncios