Segurana da Informao

Segurana da InformaoProf. Levi VieiraSegurana da InformaoSeguranaLat. SECURITAS Minimizar ou eliminar qualquer tipo de risco

ProtegerLat. PROTEGERE - , cobrir na frente, de PRO-, frente, + TEGERE, cobrir, tapar.Fonte: http://origemdapalavra.com.br/Importncia da InformaoA informao elemento essencial para todos os processos de negcio da organizao, sendo, portanto, um bem ou ativo de grande valor. Os sistemas computacionais so os responsveis por garantir o armazenamento, a distribuio e a integridade da informao.Pessoas esto envolvidas nas diversas faces dos sistemas computacionais. Anos 70 Ambiente homogneoControles centralizados no mainframe Usurios com direitos restritos pelo Administrador centralDistribuio restrita a Distribuio restrita a rea de processamento de dados de dados Segurana em Redes

Anos 80 Ambiente menos homogneo Controle centralizado no mainframe e em alguns servidores Usurios com direitos restritos pelos administradores locaisRestrita a rea de processamento de dados, financeira, de dados, financeira, etc. etc.

Anos 90/00/10 Ambiente heterogneoUsurios com direitos restritos pelo administradorDistribuio em todas as reas da Empresa Servios informatizados acessveis ao pblico

Princpios em Segurana da InformaoTrip Fundamental da Segurana da Informao: C I A Confidencialidade (Confidentiality) Prev que a informao deve ser acessada somente por pessoas, processos ou sistemas previamente e devidamente autorizados. Este acesso deve ser o mnimo necessrio (least privilege) para a realizao de seu trabalho (need-to-know).

Integridade (Integrity) Prev que a informao deve estar protegida de alteraes acidentais, intencionais e/ou no autorizadas.

Disponibilidade (Availability) Prev que a informao deve estar disponvel e acessvel quando necessrio. Os ativos abaixo requerem qual requerimento CIA?

Segredos de negcio da empresa Confidencialidade

-Valores de transaes financeiras Integridade

-Servidores de comrcio eletrnico Disponibilidade

-Somente 1 requerimento? No! Sempre deve existir um balanceamento dos 3 requerimentos, porm deve ser levado em considerao o mais crtico para o ativo. Os controles abaixo esto relacionados com qual requerimento CIA?

Backup Balanceamento de carga Clusterizao Configuraes Fail-over Controle de Acesso (fsico e lgico) Controle de mudanas Criptografia de dados armazenados Criptografia de dados em trnsito Funes Roll-back Gerenciamento de configuraes Hashing RAID (Redundant array of inexpensive disks)

Os controles abaixo esto relacionados com qual requerimento CIA? Backup -> Disponibilidade Balanceamento de carga -> Disponibilidade Clusterizao -> Disponibilidade Configuraes Fail-over -> Disponibilidade Controle de Acesso (fsico e lgico) -> Integridade Controle de mudanas -> Integridade Criptografia de dados armazenados -> Confidencialidade Criptografia de dados em trnsito -> Confidencialidade Funes Roll-back -> Disponibilidade Gerenciamento de configuraes -> Integridade Hashing -> Integridade RAID (Redundant array of inexpensive disks) -> Disponibilidade

Fonte: Insights do Estudo IBM Chief Information Security Officer de 2013

Princpios da Segurana da Informao

Identificao, Autenticao, Autorizao e Responsabilizao (Accountability) Muito conhecido como os 3 As da segurana Identificao: a atribuio de uma identidade nica para uma pessoa ou sistema. Ex: Username Autenticao: o processo de verificao da identidade do usurio no momento em que o usurio solicita o acesso um recurso e prov sua identidade nica e uma informao privada que somente ele tenha conhecimento, como por exemplo a senha. Autorizao: Descreve as aes que podem ser executadas em um sistema, uma vez que o usurio tenha se identificado e autenticado. As aes podem incluir a leitura, escrita, ou a execuo de arquivos ou programas. Responsabilizao: registro dos usurios e as aes que executaram

Princpios da Segurana da InformaoDefesa em profundidade (camadas)

a prtica de implementar mltiplas camadas de segurana entre uma informao e um atacante.

A primeira linha de defesa de uma defesa em profundidade o Controle de Acesso.

A ltima fronteira da defesa em profundidade a Criptografia.

Princpios de Segurana da InformaoMenor Privilgio (Least Privilege) uma das caractersticas mais fundamentais de controle de acesso para o cumprimento dos objetivos de segurana. Significa que os usurios devem ter a quantidade mnima de acesso (autorizao) necessria para fazer o seu trabalho.

Somente o Necessrio (Need to Know) um conceito complementar ao Menor Privilgio e significa que deve ser definido o acesso necessrio para o desempenho de determinado trabalho. Politicas de SeguranaPrincpios de Segurana da InformaoSujeitos (Subjects)

Um sujeito uma entidade ativa em um sistema de dados. Um exemplo de sujeito uma pessoa ou sistema acessando dados.

Objetos (Objects)

Um objeto qualquer dado passivo em um sistema. Os objetos podem ser dados em bancos de dados ou em arquivos texto. Um exemplo de objeto um dado sendo acessado por uma pessoa ou sistema.

ConfidencialidadeIntegridadeDisponibilidade

ConfidencialidadeIntegridadeDisponibilidade

Politicas de SeguranaControles de AcessoControle de Acesso Discricionrio Discretionary Access Control (DAC): D aos Sujeitos o controle total dos Objetos aos quais lhes foi dado acesso, incluindo o compartilhamento dos Objetos com outros Sujeitos.

Controle de Acesso Mandatrio - Mandatory Access Control (MAC): o controle de acesso determinado pelo sistema com base na Clearance (Autorizao) dos Sujeitos e nas Labels (Rtulos) dos Objetos. Ex: Confidencial, Secreto e Ultra-Secreto.

Exemplo p

21Controles de AcessoControle de Acesso Baseado em Regras - Rule-based access controls Listas de controle de acesso - Access Control Lists (ACLs)

Controles de AcessoControle de Acesso No-Discricionrio - Nondiscretionary access control (NDAC): Os usurios no tm poder sobre os grupos de Objetos que eles tm permisso para acessar e so incapazes de transferir Objetos para outros Sujeitos.

Role-Based Access Control (RBAC): Baseado na Funo (cargo/rea) que a pessoa desempenha em sua empresa. Os Sujeitos so agrupados e recebem as permisses de acesso baseados em suas Funes.

Princpios de Segurana da InformaoDue Care Devido Cuidado fazer o que uma pessoa razovel faria. s vezes chamado a regra do "homem prudente". O termo deriva do "dever de cuidar. uma atividade informal e realizada no dia a dia.

Due Diligence Devida diligncia como um passo alm do Due Care. Ela segue um processo formal, por exemplo, uma auditoria. a gesto do Due Care. Princpios de Segurana da InformaoSeparao de funes ou segregao de funes: Nenhuma pessoa sozinha possui todo o acesso necessrio para realizar uma atividade sensvel. Mais de uma pessoa realiza parte de uma atividade sensvel. Rotao de Tarefas: As tarefas so desempenhadas por diferentes pessoas de tempos em tempos. Durante a execuo de determinada tarefa a pessoa deve respeitar os princpios de least privilege e need to know. Licena obrigatria/frias foradas: Visa identificar indcios de fraude. Princpios de Segurana da InformaoFunes e Responsabilidades

As funes primrias de segurana de informao incluem a alta administrao, o proprietrio dos dados, o custodiante, e o usurio. Cada um desempenha um papel diferente na segurana dos ativos de uma organizao. A Alta Administrao cria o programa de segurana da informao e garante que ele est devidamente implementado e tem prioridade organizacional. Este programa responsvel por garantir que todos os ativos organizacionais esto protegidos.

Princpios de Segurana da InformaoFunes e Responsabilidades O Proprietrio dos Dados (tambm chamado de dono/proprietrio da informao/negcio) um funcionrio de nvel gerencial, responsvel por garantir que os dados especficos esto protegidos. Proprietrios de Dados determinam rtulos de sensibilidade de dados (classificao da informao) e a frequncia do backup dos dados. Uma empresa com vrias linhas de negcios pode ter vrios proprietrios de dados. O proprietrio de dados exerce funes de gesto; Custodiantes executam a proteo efetiva mo na massa dos dados.

Princpios de Segurana da InformaoFunes e Responsabilidades O Custodiante fornece a proteo mo na massa dos ativos de informao, tais como dados. Eles realizam backups e restaurao de dados, aplicam patches nos sistemas, configuram o software de antivrus, etc. Os custodiantes seguem ordens detalhadas, pois eles no tomam decises crticas sobre a forma como os dados esto protegidos. O proprietrio dos dados pode ditar "Todos os dados devem ser backupeados a cada 24 horas. Os custodiantes (e seus gestores) , ento, devem implantar e operar uma soluo de backup que atenda aos requisitos do proprietrio dos dados.

Princpios de Segurana da InformaoFunes e Responsabilidades O Usurio o quarto papel de segurana da informao primria. Os usurios devem seguir as regras: eles devem estar de acordo com os procedimentos obrigatrios, polticas, normas, etc. Eles no devem anotar suas senhas ou compartilhar contas , por exemplo. Os usurios devem estar cientes dos riscos e exigncias. Voc no pode assumir que eles vo saber o que fazer ou assumir que eles j esto fazendo a coisa certa: eles devem ser informados, por meio de programas de conscientizao em segurana da informao.

Princpios de Segurana da Informao

Princpios de Segurana da InformaoRegulamentaes Sarbanes-Oxley Act (SOX) SOX uma lei federal dos EUA de 2002, que, entre outras coisas, pode enviar executivos para a cadeia se for descoberto que a empresa apresentou resultados contbeis fraudulentos para a Security Exchange Commission (SEC). A SOX baseada no modelo COSO, portanto, para uma corporao para ser compatvel com SOX, ela tem que seguir o modelo COSO. As empresas geralmente implementam a ISO/IEC 27000 e o CobiT para ajudar a construir e manter a sua estrutura interna COSO.

Payment Card Industry Data Security Standard (PCI-DSS) um padro auto-regulatrio de segurana criado pelo Conselho de Padres de Segurana da Indstria de Cartes de Pagamento. O conselho composto por American Express, Discover, MasterCard, Visa, entre outros. O PCI-DSS procura proteger os cartes de crdito, exigindo que os envolvidos na cadeia de pagamentos com cartes de crdito adotem precaues de segurana especficas.

Princpios em Segurana da InformaoRegulamentaes Basel II (Basilia II) O Banco de Compensaes Internacionais criou um meio para proteger os bancos de excederem-se e tornarem-se insolventes, atravs da implementao de um sistema que estabelece o montante mnimo de capital que as instituies financeiras membros so obrigadas a manter com base na exposio real de risco de cada instituio financeira.

Health Insurance Portability and Accountability Act (HIPAA) Define leis rigorosas para instituies de sade visando garantir a segurana e a privacidade dos registros dos pacientes, ditando a maneira como os arquivos so acessados , armazenados e transmitidos em uma rede.

Princpios em Segurana da InformaoPadres de Mercado ISO 17799 ou srie ISO 27000 A ISO 17799 uma abordagem de base ampla para o cdigo de prticas de segurana da informao criado pela International Organization for Standardization. O ttulo completo "ISO/IEC 17799:2005 - Tecnologia da Informao Tcnicas de Segurana - Cdigo de Prticas para a Gesto da Segurana da Informao". Foi baseada na BS ( British Standard ) 7799 Parte 1. A ISO 17799 foi renumerada para ISO 27002 em 2005 para torn-la compatvel com a srie de normas de segurana ISO 27000. A ISO 27001 uma norma relacionada, formalmente chamada "ISO/IEC 27001:2005 - Tecnologia da Informao - Tcnicas de Segurana - Gesto de Sistemas de Segurana da Informao - Requisitos. A ISO 27001 foi baseada na BS 7799 Parte 2.

Princpios em Segurana da Informao Frameworks de Controles COSO modelo de controle interno para a governana corporativa para ajudar a evitar fraudes desenvolvido pelo Committee of Sponsoring Organizations of the Treadway Commission. COBIT (Control Objectives for Information and related Technology) uma estrutura de controle para o emprego das melhores prticas de governana da tecnologia da informao dentro de uma organizao. COBIT foi desenvolvido pela ISACA (Information Systems Audit and Control Association). Princpios em Segurana da InformaoArquitetura de trs camadas

No caso de e-commerce, a camada de apresentao o front-end, que um servidor Web com o qual os usurios interagem. Ela pode oferecer tanto contedo esttico como contedo dinmico em cache. A camada de lgica de negcios aonde a requisio reformatada e processada. Geralmente, um processamento dinmico de contedo. A camada de armazenamento de dados onde os dados sensveis so mantidos. um banco de dados de back-end que contm tanto os dados e o software de sistema de gerenciamento de banco de dados que usado para gerenciar e fornecer acesso aos dados. As camadas separadas pode ser conectadas com o middleware e serem executadas em servidores fsicos separados.

Fonte: Wikipedia