343o ESECOM Camilli) - security.usp.br · Alinhando NBR-ISO/IEC 17799 e 27001 na administração...

Alberto Camilli [email protected]

Agenda

Mesa Redonda17:00 - 17:30

Rede com auto-defesa Medidata/CISCO16:00 - 17:00

Coffee Break15:40 - 16:00

Aspectos da análise forense Rodrigo Antão - TechBiz Forense Digital15:00 - 15:40

Serviço NTP.brMilton Kaoru Kashiwakura - NIC.br14:40 - 15:00

Firewall em estado ativo utilizando open-source software Dagoberto Carvalho Junior - ICMC/USP

Alinhando NBR-ISO/IEC 17799 e 27001 na administração pública Cesar Augusto Asciutti - Agência USP de Invovação

14:00 - 14:40

Almoço12:10 - 14:00

Combatendo spam com greylisting no sistema de email @usp.brAndré Gerhard - CCE/USP

Treinamento de segurança para usuários de informática utilizando ferramenta EAD Clelia Camargo Cardoso - CIRP/USP

11:30 - 12:10

Coffee Break11:10 - 11:30

Gestão de risco eletrônico e as boas práticas do direito digital com tendências das novas regulamentações Dra. Patricia Peck Pinheiro - PPP Advogados9:40 - 11:10

Diagnóstico da segurança computacional na USPAlberto Camilli - CCE/USP9:10 - 9:40

Abertura - CTI e CCE9:00 - 9:10

Credenciamento (entrega de crachás)8:30 - 9:00

AgendaHorário


Diagnóstico da Segurança Computacional na USP

09 de novembro de 2006


Segurança Computacional -Qual a abrangência?

• ISO/NBR 17799:1. Política de segurança2. Organização da segurança3. Controle e classificação de ativos de segurança4. Pessoas envolvidas em segurança5. Segurança ambiental e física6. Gerenciamento físico e de comunicação7. Controle de acesso8. Manutenção e desenvolvimento de sistemas9. Gerenciamento da continuidade de negócios10. Conformidade


Métodologia para avaliação da Segurança Computacional

• Perspectiva Interna1. Através de pesquisa à comunidade de administradores2. Através de dados que relacionam incidentes de

segurança a outros indicadores institucionais3. Através da análise dos tipos e quantidade de incidentes

de segurança

• Perspectiva Externa• Comparação com outras Universidades de mesmo porte e

finalidade • Sítios idôneos: Zone.h, DShield; Listas RBL,NJABL


Pesquisa sobre Segurança27 de junho de 2006

• Auto-avaliação estimulada– 20 em 50 unidades responderam (40%)

• Objetivo– Verificar o grau de maturidade de pessoas, processos, e tecnologias

– Q1: 13 questões sobre pessoas– Q2: 44 questões sobre processos

• Estratégias, Procedimentos, Políticas, Controle Lógico e Físico– Q3: 17 questões sobre tecnologias

– Pontuação: • Não executado = 0• Em planejamento = 1• parcialmente executados = 2 • Quase concluído =3• Concluído = 4

– Pontuação Máxima de cada questão = 80– Pontuação Máxima por Unidade = 296

Tecnologia

Pessoas Processos

Q2

Q3

Q1


Q1 - PessoasQuestões com pontuações extremas

Pontuações altas• 1.1 Pode-se identificar em sua Unidade uma pessoa que tenha como dever

preliminar a segurança da informação, com responsabilidade para manter o programa da segurança e assegurar sua conformidade? (38/80 = 0,48)

• 1.8 Existe alguém na equipe de segurança da informação que seja responsável por manter comunicação com os Centros de Informática, com a intenção de identificar alguma exigência nova da segurança baseada em mudanças nas operações? (35/80 = 0,44)

• 1.6 Existe um plano de recuperação da continuidade e de desastre do negócio (dentro ou fora da função da segurança da informação)? (32/80 = 0,4)

Pontuações baixas• 1.10 São feitos relatórios regulares de sua equipe de segurança da informação

para os líderes de sua instituição sobre a eficácia do programa e das políticas da segurança da informação? (13/80 = 0,16)

• 1.7 Você tem um programa de treinamento que proporcione habilidades e conhecimento sobre segurança da informação para os membros da função da segurança da informação? (10/80 = 0,13)

• 1.12 Os chefes e diretores das Unidades têm programas específicosestabelecidos para atender as políticas e os padrões da segurança da informação, com o objetivo de assegurar a segurança da informação e dos sistemas que suportam as operações e os recursos sob seu controle? (9/80 =0,11)


Q1 - PessoasDistribuição das respostas das Unidades

Q1.1000000211243322244444

Q1.12000000000000000104224

Pontuação Mais Alta (0,48) Pontuação Mais Baixa (0,11)

Q.1.1 Pessoa responsável pela segurança

Q.1.12 Chefes e diretores engajados em segurança


Q2 – ProcessosEstratégia em Segurança

Maiores Pontuações• 2.1 Sua instituição adota alguma política de segurança da informação, baseada

em estratégia de segurança da informação e gestão de riscos? (21/80 = 0,26)• 2.2 Tal política de segurança é atualizada periodicamente para suprir novas

necessidades e estratégias do cliente/usuário, tais como ameaças de segurança? (19/80 = 0,24)

• 2.4 Sua Unidade possui processos e procedimentos que envolvam o pessoal de segurança na avaliação e indicação dos possíveis impactos de segurança, antes da compra ou à introdução de sistemas novos? (19/80 = 0,24)

Menores Pontuações• 2.3 Existe algum um processo para rever os sistemas e as aplicações

existentes em relação a conformidade e também para informar os casos de não conformidade? (11/80 = 0,14)

• 2.6 Sua Unidade possui algum um processo para avaliar e classificarapropriadamente a informação e os recursos da informação que suportam as operações e os recursos sob seu controle, para indicar os níveis apropriados da segurança da informação? (7/80 = 0,09)

• 2.5 Se um sistema desenvolvido for alterado, não estando conforme com sua arquitetura oficial, existe algum processo e um tempo definido para trazê-lo na conformidade ou para removê-lo do serviço, das aplicações ou dos processos do negócio? (6/80 = 0,08)


Q2 – ProcessosProcedimentos

Maiores Pontuações• 2.32 Investigação e correção imediata das causas das falhas de

segurança (34/80 = 0,43)• 2.18 Controle do uso aceitável dos computadores, e-mail, da Internet e

da Intranet (33/80 = 0,41)• 2.25 Gerência de vulnerabilidade (gerência de patches e software do

antivírus) (30/80 = 0,38)• 2.26 Planejamento de contingência da recuperação de desastre

(planejamento da continuidade do negócio) (28/80 = 0,35)

Menores Pontuações• 2.23 Classificação, retenção, e destruição dos dados (12/80 = 0,15)• 2.29 Processos de gerência de mudança (9/80 = 0,13)• 2.24 Informação compartilhada incluindo armazenamento e transmissão

de dados institucional através de recursos externos (ISPs, redes externas, sistemas dos contratantes) (6/80 = 0,08)


Q2 – ProcessosPolíticas

Maiores Pontuações• 2.10 Existe algum método para divulgar as políticas de segurança aos

administradores, empregados, estudantes, contratantes e sócios? (23/80 = 0,29)

• 2.11 As conseqüências para o não cumprimento com as políticas incorporadas, claramente, são comunicadas e reforçadas? (21/80 = 0,26)

Menores Pontuações• 2.13 Quando as políticas são atualizadas ou novas políticas são

desenvolvidas, é conduzida alguma análise para determinar suas implicações financeiras e de recurso para executar a política nova? (11/80 = 0,14)

• 2.15 As políticas relevantes da segurança são incluídas em todos seus contratos com terceiros? (9/80 = 0,13)


Q2 – ProcessosSegurança Física e Lógica

Melhores Pontuações• 2.38 Sua instituição mantém um inventário atual dos elementos físicos da rede

(roteadores/switches, subnets, DNS e servidor DHCP) e também dos recursos lógicos da rede (os nomes do domínio, endereços de rede, listas de controle de acesso)? (52/80 = 0,65)

• 2.35 As medidas de segurança física restringem entrada forçada ou não autorizada? (45/80 = 0,560)

• 2.37 Os equipamentos e fiação críticos estão protegidos contra perdas de energia, falhas e ameaças ambientais? (41/80 = 0,51)

Piores Pontuações• 2.42 As auditorias ou avaliações periódicas testam a eficácia das políticas,

procedimento e das práticas de segurança da informação de um subconjunto representativo de cada sistema de informação de sua unidade de negócio? (7/80 = 0,09)

• 2.43 As auditorias avaliam a conformidade de cada unidade de negócio com asexigências de uma estrutura padrão de segurança da informação, políticas da segurança da informação relacionadas, padrões e procedimentos? (7/80 = 0,09)

• 2.44 As métricas de segurança e desempenho estão instituídas, avaliadas e relatadas? (6/80 = 0,09)


Q3 - Tecnologias

Melhores pontuações:• 3.14 Você emprega medidas específicas de segurança para os serviços de acesso

remoto (VPN e dial-up), e para os sistemas de acesso remoto para os clientes? (56/80 = 0,7)

• 3.16 Existe auditoria para verificar se todos os programas são atualizadosfreqüentemente e sistematicamente? (48/80 = 0,6)

• 3.3 São realizadas varreduras periódicas nas redes, sistemas, e aplicações de sua Unidade para verificar a integridade das configurações e se há vulnerabilidades? (38/80 = 0,475)

• 3.1 Os servidores acessados pela Internet são protegidos por mais de uma camada da segurança (Firewalls e IDS)? (36/80 = 0,45)

Pontuações Ruins:• 3.17 Todas as estações de trabalho e todos os servidores são atualizados

regularmente com os últimos patches do sistema operacional? (29/80=0,36)• 3.15 Todas as estações de trabalho e todos os servidores estão protegidos com

software de antivírus atualizados automaticamente? (22/80=0,23)• 3.13 Você emprega medidas específicas de segurança para os servidores de DNS

e de endereços IP (DHCP)? (19/80=0,20)


Resumopor conceito

1 2 3 4 5 6 7Pessoas

Procedimentos

Seg Fis/Log

0

0,2

0,4

0,6

0,8

Conceitos melhor ou deficientementeimplementados

PessoasEstratégiasProcedimentosPoliticasSeg Fis/LogTecnologias


Resultados por Unidades USP

Pessoas

TecnologiasProcessos


Segmentação da auto-avaliação em segurança

Segmentação sem aparente vínculo de r=(máquinas/pessoas)

Máquinas e Pessoas: fonte CODAGE


Avaliação indireta a partir de indicadores nas Unidades

Pessoas, Tecnologias e Processos

-

50,00

100,00

150,00

200,00

250,00

300,00

- 0,50 1,00 1,50 2,00 2,50

Incidentes/máquina

Inci

dent

es/p

esso

as

269 máquinas260 incidentes1 técnico

10 máquinas22 incidentes2 técnico


Avaliação indireta a partir de indicadores das Unidades

Pessoas, Tecnologias e Processos - sem outliers -

-5,00

10,0015,00

20,0025,0030,00

- 0,20 0,40 0,60 0,80 1,00

Incidentes/máquinas

Inci

dent

es/p

esso

as

3 a 5tec/Unid6 a 10tec/Unid+ 10tec/Unid0 a 2tec/Unid

2540 máquinas442 incidentes28 técnicos

114 máquinas89 incidentes7 técnicos


Histórico dos incidentescomputacionais na USP


Percepção externa daSegurança Computacional na USP

Problema Defacement Ataque a redes (IDS/Honeypot)

Spam/Proxy/Zumbi

Fonte da informação

Faixa de IPs Zone.h DShiled Sources

DShiled Targets

DShiled Reports

DSBL.org

NJABL

USP 143.107/16 22 41 641 12325 254 61

UNICAMP 143.106/16 12 10 54 1400 8 1

UNESP 200.145/16 14 9 26 735 19 5

UFRJ 146.164/16 16 10 6673 14172 71 17

UFRGS 143.54/16 13 2 2 361 15 9

UFMG 150.164/16 3 13 188330 188812 122 52

PUC-RIO 139.82/16 2 2 6 326 8 2

MIT 18/8 23 285 682 19072 105 19

UTEXAS 128.83/16 15 14 61 4933 28 6

INDIANA 129.79/16 3 17 1694 10008 12 5


Comparativo de incidentesde segurança I

Incidentes de Segurança Computacional

010002000300040005000600070008000

USPUNICAMP

UNESPUFRJ

UFRGSPUC-R

IO MITUTEXASINDIANA

Instituição

Qua

ntid

ade

Alterações de conteúdos

Origem de ataques

Alvo de ataques

Ocorrências em Listas Negras

Somos grandes e geograficamente dispersos.Relativamente aos demais nossos números são razoavelmete bons.


Comparativo de incidentesde segurança II

Reclamações Acumuladas

05000

10000

150002000025000

USPUNIC

AMPUNESP

UFRJUFRGSPUC-R

IO MITUTEXASIN

DIANA

Instituição

Qu

anti

dad

e

• Ataques com origem na USP afetam a reputação da instituição. • Dados históricos são cumulativos


Conclusões (I)• Vírus são a principal causa de acidentes registrados.

• Boa posição da USP relativa às outras instituições de mesmo escopo (e pode melhorar).

• Algumas Unidades apresentam desequilíbrios estruturais que merecem atenção– Promover treinamento da equipe local– Estudar a redução na relação máquinas/técnicos (ex: thin clients) à luz do SLA local

• Melhorar capacitação dos administradores de TI– Protege-se normalmente somente aquilo que se enxerga– Ênfase em tecnologias e não nos processos e políticas– Há espaço para melhora em todos os conceitos e dentro de cada segmento analisado

• Fraco engajamento direto dos responsáveis administrativos em relação ao tema de segurança

– Políticas ad-hoc ou presumidas– Interação pouco efetiva com os técnicos de TI– Comportamentos reativos

• Alunos e docentes precisam também entrar como parte da solução para melhoria segurança computacional


Conclusões (II)

Definição do SLA

PLANEJAR:Acordo sobre nível de serviço (SLA)Contratos de fornecedores de serviçosAcordos de nível operacional (OLA)

Processos para Segurança Computacional:(Centros de Informática,

Seções de Informática das Unidades)

IMPLEMENTAR:ConscientizarClassificar e registrar ativosSegurança de pessoal (RH)Segurança físicaSegurança de ativos de TIControle, gerenciamento de direitos de acessoRegistro e tratamento de incidentes

MANTER:AprenderMelhorar planejamentoMelhorar implementação

AVALIAR:Auditorias InternasAuditorias ExternasAuto-AvaliaçãoIncidentes de Segurança

CONTROLAR:Organizar-seDefinir o esquema geralde gerenciamentoAlocar responsabilidades

REPORTAR:Conformidade do SLA medido

Equipe de Segurança

Requisitos de segurança, de acordo com o plano de negócios da USPou Política de Segurança institucional (CTI)

• Necessário estruturar/revisar os processos internos nas Unidades para melhorar desempenho da Segurança Computacional


Conclusões (II) – cont.

A propósito, o SLA deve indicar:1. Métrica. Ex: incidentes/máquina, incidentes/técnicos,

incidentes.2. Responsabilidades dos administradores e da gerência.3. Quem é o responsável pela política de segurança.4. Com que freqüência e de que maneira a política deve ser

atualizada.5. Princípios gerais relacionados à continuidade do plano de

negócios.6. Relacionamento com outras políticas institucionais:

empregados, contratuais.

Administrador, monte o seu !


Fim

• Obrigado !

• Perguntas ...

343o ESECOM Camilli) - security.usp.br · Alinhando NBR-ISO/IEC 17799 e 27001 na administração...

Documents

Transcript of 343o ESECOM Camilli) - security.usp.br · Alinhando NBR-ISO/IEC 17799 e 27001 na administração...