TOCI08–Segurança em Redes de Computadores … fileMódulo 03: Fundamentos e Normas ... The Orange...

TOCI08–Segurança em Redes de Computadores Módulo 03: Fundamentos e Normas

Prof. M.Sc. Charles Christian Mierse-mail: [email protected]

mailto:[email protected]

TOCI08 - Segurança em Redes de Computadores 2

Normas A fim da segurança não tornar-se algo empírico, foram definidas

normas de modo a possibilitar uma padronização e análise. Importante: Padrão: homologado por órgão reconhecido e deve ser seguido a

fim de obter conformidade Norma: é publicada ou definida por alguma organização/instituição,

nem sempre é um padrão Política: uma definição do “norte” que pretende-se atingir, deve ser

baseada em algum padrão ou norma Procedimento: é o meio através dos quais são definidos os atos que

devem ser executados de modo a atender uma política/norma/padrão

Principais normas para segurança da Informação: BS7799, publicada pelo BSI, e suas variantes:

ISO/IEC 17799, publicada pela ISO NBR-ISO/IEC 17799, publicada pela ABNT Família ISO/IEC 27000

COBIT, publicada pela ISACA ITIL (IT Infrastructure Library), criada CCTA do Reino Unido Outros padrões relacionados: FIPS, HIPPA, Sigma Six, etc.


Histórico das Normas

Métodos de escrita da antiga civilização egípcia Surgimento dos computadores Em outubro de 1967 o Departamento de Defesa dos Estados

Unidos criou o “Security control for computer system: report of defense science board task force on computer security”, editado por W. H. Ware (considerado primeiro esforço em segurança)

1978 - The Orange Book (Departamento de Defesa americano) 1985 - 26 de dezembro, versão final 1987 - Criado na Inglaterra o CCSC (Comercial Computer

Security Centre) 1989 - PD0003 – Código para gerenciamento da segurança da

informação, publicado pelo BSI 1995 - A partir da revisão do código PD0003, foi publicada a

norma BS 7799-1:1995


Histórico das Normas (Cont.)

1996 - COBIT (Control Objectives for Information and related Technology), publicada pela ISACA (Information Systems Audit and Control Foundation)

1998 – Publicada BS 7799-2:1998 Publicada a segunda edição do COBIT

2000 – Em 01/março BS 7799 foi efetivada na Inglaterra Publicada em 01/dezembro a norma ISO/IEC 17799:2000

2001 – Em setembro, a ABNT (Associação Brasileira de Normas Técnicas) homologou, a versão brasileira da norma ISO/IEC 17799 denominada, NBR ISO/IEC 17799

2005 – Publicada a versão 2.0 da ISO/IEC 17799 em junho Família ISO/IEC 27000 a ISO/IEC 27009 em outubro Publicada a versão 2.0 da NBR-ISO/IEC 17799 em novembro


Principais referências de gerenciamento de riscos e controles internos

Auditoria Analítica – Skinner / Anderson - Canadá1966

SARBANES-OXLEY2002

COSO II (Enterprise Risk Management)2004

BASILEIA 22001

TURNBULL (Controle e transparência para Bolsa de Londres)1999

BASILEIA1998

G – 30 (The Group of Thirty) 1997

COBIT (Control Objectives for information and Related Technology) 1996

CoCo (Canadian Institute of Chartered Accountants' Criteria of Control Committee) e ANZ 4360 Risk Management (Standards Australia and New Zealand)

1995

KON TRAG (Controle e transparência das empresas alemãs)1994

COSO (Committee of Sponsoring Organizations of the Treadway Commission)1992

FDICIA (Federal Deposit Insurance Corporation Improvement Act) e CADBURY (Internal Control and Financial Reporting) no Reino Unido

1991

ISO (International Organization for Standardization) 1946


Segurança da Informação

Conceito formal: Segurança é, portanto, a proteção de informações, sistemas,

recursos e serviços contra desastres, erros e manipulação não autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurança

Para NBR ISO/IEC 17799: “A segurança da informação protege a informação de diversos

tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.”

Para o COBIT a segurança da informação é, conceitualmente tratada partindo dos mesmos princípios da NBR ISO/IEC 17799


Segurança da Informação

Segundo a NBR ISO/IEC 17799 é preciso estabelecer: Confidencialidade Integridade Disponibilidade

A norma COBIT, também contempla efetividade,

eficiência, flexibilidade e confiabilidade, além de confidencialidade, integridade e disponibilidade


Confidencialidade

Para a NBR ISO/IEC 17799 e para COBIT, trata-se de garantir que tenha acesso a informação somente quem tenha autorização de para tal. Ações:

Informações em papel: restringir acesso físico

Informações em meio digital: medidas mais sofisticadas


Integridade

Para a NBR ISO/IEC 17799 e para a COBIT significa assegurar que a informação e os métodos de processamento mantém-se exatos e completos

Proteger contra: Alteração não autorizada

Erros do meio de transporte


Disponibilidade

Para a NBR ISO/IEC 17799 trata-se de garantir que sempre que usuários autorizados necessitem ter acesso a informações isto aconteça efetivamente

Para a COBIT maior orientação para os negócios. Proteger contra: Falhas dos equipamentos Ação de pessoas maliciosas


Definição de Política de Segurança

Conjunto de procedimentos para: Proteção, controle e monitoramento dos recursos

computacionais Responsabilidades Deve integrar-se às demais políticas da instituição Deve ser disseminada na organização Clara, concisa e praticável


Definição de Política de Segurança

Segundo a NBR ISO/IEC 17799 p.4, o objetivo da política de segurança é: “prover à direção uma orientação e apoio para a segurança da informação”

Para a COBIT ela deve ter seu foco no alto nível de controles para cada processo, ser clara e satisfazer os recursos de TI


Requisitos de Segurança

Necessários para o estabelecimento de uma política de segurança e escolha dos controles

Normalmente fundamentados em preceitos definidos em normas ou padrões

Classificação das informações: Públicas ou de uso irrestrito Internas ou de uso interno Confidenciais Secretas


Requisitos de Segurança

Para identificar os requisitos (NBR ISO/IEC 17799, 2001): Avaliação de risco dos ativos da organização Legislação e cláusulas contratuais da organização em

seus negócios De cunho particular da organização

Para a COBIT (2000): Pontos de responsabilidade da alta gerência Recursos humanos

COBIT aborda sob um aspecto mais comercial


Controles de Segurança

Controles devem atender aos requisitos Tem por objetivo sanar ou diminuir os riscos Pode ser de natureza técnica, procedimental, jurídica

ou qualquer outra Podem utilizar normas/padrões, boas práticas de

segurança ou criados de acordo com as necessidades


Controles de Segurança

Hardware

Sistema Operacional

Aplicativos

Serviços

...

Ameaças

Camadas de defesa

Esquema de defesa em camadas


NBR ISO/IEC 17799

Estrutura:

referência

interação

NBR ISO/IEC 17799

INFORMAÇÃO

Recursos Organizacionais:

Recursos HumanosRecursos TécnicosRelacionamentos de

Negócios

ALTA GERÊNCIA

coordena

base


NBR ISO/IEC 17799

Requisitos: Política de segurança Segurança organizacional Classificação e controle dos ativos de informação Segurança em pessoas Segurança física e do ambiente Gerenciamento das operações e comunicações Política de controle de acesso Desenvolvimento e manutenção de sistemas Gestão da continuidade dos negócios Conformidade


NBR ISO/IEC 17799

Controles (sob ponto de vista legal): Proteção de dados e privacidade de informações

pessoais Salvaguarda de registros organizacionais Direitos de propriedade intelectual

Controles (melhores práticas): Documento da política de segurança da informação Definição das responsabilidades na segurança da

informação Educação e treinamento em segurança da informação Relatório dos incidentes de segurança Gestão da continuidade do negócio


É um guia para gestão de TI que auxilia no gerenciamento de processos baseados em objetivos de negócios. Inclui recursos tais como: Sumário executivo Framework Controle de objetivos Mapas de auditoria Conjunto de ferramentas de implementação Guia com técnicas de gerenciamento

COBIT – CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY


O QUE É GOVERNANÇA EM TI?

Governança em TI é uma estrutura de relações e processos que dirige e controla uma organização a fim de atingir seu objetivo através do gerenciamento balanceado do risco

Os resultados obtidos por organizações bem sucedidas são exemplos claros do que a Governança em TI pode significar em termos de retorno de investimento (ROI – Return Over Investiment)

Informações para proceder com TI: Foco nas maiores fraquezas Obtenção de resultados da equipe de gerenciamento e da

equipe de TI Busca por suporte técnico


ADMINISTRAÇÃO DA EMPRESA

AUDITORIA DE SISTEMAS

ADMINISTRAÇÃODE TI

GARANTIA DEQUALIDADE

SISTEMASE

APLICAÇÕES

INFRA-ESTRUTURA

EPRODUÇÃO

SEGURANÇA CONFORMIDADE

MERCADO

CLIENTES

ÓRGÃOSREGULA-DORES

FORNECE-DORES

AUDITORIASINDEPEN-DENTES

Governança de TI


Estrutura:


DS1 definir níveis de serviçosDS2 gerenciar serviços de terceirosDS3 gerenciar performance e capacidadeDS4 garantir continuidade dos serviçosDS5 garantir segurança dos sistemasDS6 identificar e alocar custosDS7 educar e treinar usuáriosDS8 auxiliar e aconselhar usuários de TIDS9 gerenciar a configuraçãoDS10 gerenciar problemas e incidentesDS11 gerenciar dadosDS12 gerenciar instalaçõesDS13 gerenciar a operação

M1 monitorar os processosM2 avaliar a adequação do controle internoM3 obter certificação independenteM4 providenciar auditoria independente

PO1 definir um plano estratégico de TIPO2 definir a arquitetura de informaçãoPO3 determinar a direção tecnológicaPO4 definir a organização e relacionamentos da TIPO5 gerenciar o investimento em TIPO6 comunicar metas e diretivas gerenciaisPO7 gerenciar recursos humanosPO8 garantir cumprimento de exigências externasPO9 avaliar riscosPO10 gerenciar projetosPO11 gerenciar qualidade

AI1 identificar soluçõesAI2 adquirir e manter software aplicativoAI3 adquirir e manter arquitetura tecnológicaAI4 desenvolver e manter procedimentos de TIAI5 instalar e certificar sistemasAI6 gerenciar mudanças

PLANEJAMENTO EORGANIZAÇÃO

AQUISIÇÃO EIMPLEMENTAÇÃO

PRODUÇÃO E SUPORTE

MONITORAÇÃO

Visão Geral e Estrutura do COBIT: Processos de TI


Recur

sos d

e TI

Critério da Informação

DominiosDominios (4)(4)

ProcessosProcessos (34)(34)

AtividadesAtividades (318)(318)

Pes

soas

Sis

tem

as A

plic

ativ

osT

ecno

logí

a

Dad

osIn

stal

açào

Pro

ceso

s de

TI

Eficien

cia

i

Eficác

ia

Inte

grida

de

Confid

encia

lidad

e

Adere

ncia

Confia

bilida

de

Dispon

ibilid

ade

COBIT: Visão tridimensional


COBIT

Requisitos: Requisitos de qualidade Requisitos de confiabilidade Requisitos de segurança

Controles: Possui 34 controles de alto nível De 3 a 30 controles específicos para cada controle de

alto nível Total 318 objetivos de controle


COBIT Controles:

Definição de um plano estratégico de tecnologia da informação

Determinação da direção tecnológica Gerência da mudança da tecnologia da informação Comunicação dos objetivos e aspirações da gerência Administração de projetos Administração da qualidade Administração dos recursos humanos Identificação de soluções automatizadas Administração de mudanças Administração dos serviços prestados por terceiros Assegurar a continuidade dos serviços Garantir a segurança dos sistemas


COBIT

Controles: (Cont.) Identificação e destinação dos custos Educação e treinamento de usuários Administração de problemas e incidentes Monitoramento do processo Obtenção de garantias independentes Prover auditoria independente


Governança TIGovernança TI

Objetivos ResponsibilidadesControleObjetivos

Requisitos

BusinessNegócios ITIT Governança

Direção(Política e

Estratégia de TI)

Informação (Controles, RiscosE Garantia do TI)

Como o COBIT relaciona-se a Governança em TI ?

Informa as necessidades do negócio para alinhar

os objetivos de TI


NBR ISO/IEC 17799 x COBIT

NBR ISO/IEC 17799 COBIT

Estrutura Orientada a diversidade das práticas organiza-cionais, serve de orien-tação para a alta gerência na adminis-tração de seus recursos sobre a informação.

Estruturada com base em domínios que dividem os segmentos organizacionais de for-ma natural para melhor implementação de seus procedimentos.




Requisitos Requisitos de seguran-ça bem definidos. Para esta norma os requi-sitos devidamente iden-tificados resultam em um caminho para proceder a implemen-tação da segurança.

Os requisitos são deixados mais a cargo de quem faz utilização da norma. Suas defini-ções são mais gené-ricas, deixando o enfo-que nos objetivos da segurança.




Controles Estabelecidos tendo ligação com os requisitos. Apresentam-se de forma mais genérica e com depen-dência de uma identifi-cação eficiente dos requisitos de seguran-ça.

Bem definidos, os controles demonstram aos administrados de tecnologia da informa-ção o que deve ser alcançado para a implementação da se-gurança da informação.


COMPARATIVO

NBR ISO/IEC 17799 x COBIT: Tanto a COBIT como a NBR ISO/IEC dispõem de boas práticas

de segurança

O COBIT tem seu ponto forte no estabelecimento de controles de segurança

A NBR ISO/IEC 17799 enfoca mais a identificação dos requisitos


TENDÊNCIAS

Previsão de recorde em gastos com segurança em 2006 (4% do orçamento com TI)

Necessidade de segurança Procura pelas normas/padrões:

NBR ISO/IEC 17799 COBIT Outras normas (multinacionais)


ESTATÍSTICAS

No cenário internacional: Predomina o uso da ISO/IEC 17799 COBIT é bastante utilizado (ex. Japão)


Arquitetura de Segurança


Segurança

Prefácio do livro Segurança.Com do Bruce Schneier, pg. 11: Schneier justifica que escreveu o livro Segurança.Com (Secrets &

Lies) em parte, para corrigir um erro que cometera em 1994 ao lançar Applied Cryptography, onde achava que a criptografia era suficiente e que garantiria os segredos protegidos por muito tempo. Justificava ele que, em um computador barato, qualquer um poderia usufruir de tanta segurança quanto um governo. Porém, após perceber de que a segurança depende de um processo contínuo e de diversas circunstâncias, como o relacionamento de pessoas com máquinas, o relacionamento de pessoas com pessoas e ainda os bugs passíveis de sistemas complexos como os computadores, ele voltou atrás.

Nada é 100% seguro


Segurança (Cont.)

“A matemática é perfeita; a realidade é subjetiva. A matemática é definida; os computadores são teimosos. A matemática é lógica; as pessoas são irregulares, caprichosas e pouco compreensíveis.” Schneier

“Segurança não é um produto; em si, ela é um processo.” Schneier


Elementos da Comunicação

EmissorRemetenteBOB

ReceptorDestinatárioALICE

Mensagem

Meio


Problemas da Comunicação

BOBALICE

Mensagem

Meio

A mensagem pode passar pelo meio e ser violada,conhecida, alterada ou até mesmo criada por outros

Oponente


Ataques em Comunicação

remetente destinatário

a) Fluxo normal

b) Interrupção c) Interceptação

e) Fabricaçãod) Modificação


e) Fabricação

FABRICAÇÃOX

AUTENTICIDADEd) Modificação

MODIFICAÇÃOX

INTEGRIDADE

c) Interceptação

INTERCEPTAÇÃOX

CONFIDENCIALIDADEb) Interrupção

INTERRUPÇÃOX

DISPONIBILIDADE

Ataques x Requisitos

remetente destinatário

a) Fluxo normal


Leitura Recomendada:

Schneier, B. - Segurança.com. 1ª Edição. Rio de Janeiro. Campus. 2001 Capítulo 1

Norma NBR-ISO/IEC 17799 versão 1.0 Item 1

COBIT http://www.isaca.org

BS7799 http://www.bsi.org.uk/disc/

Normas e padrões de segurança: http://www.sans.org/infosecFAQ/standards/

http://www.isaca.org/

http://www.bsi.org.uk/disc/

http://www.sans.org/infosecFAQ/standards/

TOCI08–Segurança em Redes de Computadores … fileMódulo 03: Fundamentos e Normas ... The Orange...

Documents

Transcript of TOCI08–Segurança em Redes de Computadores … fileMódulo 03: Fundamentos e Normas ... The Orange...