Segurança da Informação - Módulo 1 by diegoqueiroz

Material de Segurança Modulo 1 Todos os direitos reservados. Proibida a reprodução total ou parcial, por qualquer meio ou processo, especialmente por sistemas gráficos, microfilmes fotográficos, reprográficos, fonográficos. A violação dos direitos autorais é punível como crime (art. 184 e parágrafos, do Código Penal, cf Lei r? 6.895, de 17.12.80) com pena de prisão e multa, conjuntamente com busca e apreensão e indenizações diversas (artigos 122, 123, 124, 126, da Lei n` 5.988, de 14.12.73, Lei dos Direitos Autorais). Copia liberada apenas para os alunos do curso e seus Professores, não autorizada para qualquer outro fins sem antes contatar formalmente E.R.A – Tecnologia 1/1/2008

SEJAM BEM VINDOS A DISCIPLINA DE SEGURANÇA INÍCIO Sobre o Professor Apresentação; Site; E-mail – O Profissional Conteúdo programático Forma de Avaliação Informações gerais sobre o curso Sobre você • •

Coopere; Tome notas;

• • •

Esteja presente em todas as aulas; Chegue no horário; Traga o material;

•

Faça as atividades solicitadas no prazo;

A NECESSIDADE PRIMÁRIA DAS REDES Inicialmente as redes foram criadas com a necessidade primária de permitir diversas possibilidades de conectividade entre os dispositivos de rede. Desta forma, a interoperabilidade dos dispositivos e não a segurança foi enfatizada como fator principal. Porem nos dias atuais com o crescimento das demandas organizacionais, a segurança passou a ser uma necessidade fundamental, consistindo foco de atenção permanente dos profissionais envolvidos com a tecnologia da informação

.– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

A COMPLEXIDADE DA SEGURANÇA

AS 3 VERTENTES DA SEGURANÇA Dentro deste cenário é importante definir regras que determinem a segurança das Redes de Computadores bem como dos sistemas de informaç ões, analisando 3 vertentes: § O que proteger; § De que proteger; § Como proteger; O QUE VEM A SER SEGURANÇA Segurança § Estado, qualidade ou condição de seguro; § Condição daquele ou daquilo em que se pode confiar; § Certeza, firmeza, convicção; Com relação a definição de Seguro Seguro. § Certo, indubitável, incontestável; § Livre de perigo; § Em quem se pode confiar; § Livre de risco; protegido, acautelado, garantido; § Eficaz, eficiente; § Para o profissional de Segurança A segurança NÃO é um produto, que você seleciona, compra, instala e esquece. É um estado de espírito, uma busca sem fim, uma desconfiança permanente Qual a diferença de Eficaz e Eficiente?

.– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

Com relação a segurança devemos ser Eficazes ou Eficient es? Justifique sua resposta.

“A ADOÇÃO DA SEGURANÇA GERA UMA SERIE DE TRANSTORNOS” § Ninguém gosta das restrições impostas pelos controles de segurança em nossa liberdade de ir, e vir; § Ninguém gosta de carregar chaves de portas; § Ninguém gosta de lembrar-se de senhas; § A maioria das pessoas fica impaciente em esperar por aprovação para entrar ou fazer algo em um determinado ambiente; Exemplos: § Portas de segurança dos bancos; § Limites de velocidade nas estradas; § Horário para chegar ou sair de casa; § Será que isto tudo é válido? § Em razão disso, a maioria das pessoas não gosta muito de Segurança. DADOS X INFORMAÇÃO Antes de começar a aplicar a proteção da Empresa, devemos saber o que devemos proteger e por issso é importante conhecer a definição bem clara de duas palavras: (Dados e Informação) Dados são conteúdos concretos (conjuntos de bit´s) geridos pelo sistema; Informação é a interpretação humana dos dados observados, da sua existência, ou do seu fluxo Com base no conceito anterior, o que devemos proteger? Os dados ou a Informação; Justifique:

Os novos tempos projetam a informação como o principal e mais valioso bem das Empresas, pois quem tem a informação tem o poder. Mas afinal onde a informação encontra-se localizada? § Armazenada em um c omputador; § Transmitida por redes, fax ou telefones; § Impressa ou escrita em papel; § Armazenada em fita, disco ou micro filmado; § Pode ser um nome; Pode ser um código; .– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

Pode ser um número ou um E-mail;

Hoje em dia com todas as evoluções ocorridas nos negócios das empresas não é mais admissível a déia de que Segurança é apenas um problema tecnológico; EXCESSO DE INFORMAÇÃO Diariamente, somos submetidos a uma grande quantidade de informação. Nossa atenção é freqüentemente disputada por notícias e propagandas transmitidas por rádios, outdoors, folhetos e outros veículos da mídia. Diante desse enorme fluxo de informação, é impossível deixar de pensar no quanto a opção de receber ou não certa informação está em nossas mãos. Ao longo do dia, podemos ouvir dezenas de vezes uma mesma notícia, mesmo que já saibamos todos os detalhes dela. Em situações ainda piores, a notícia que tanto ouvimos não chega nem a ser algo que nos interessa. O CICLO DE VIDA DA INFORMAÇÃO Para que possamos proteger a informação dentro da empresa é necessário conhecer seu ciclo de vida dentro da Empresa. Geralmente o mesmo é composto por 04 etapas: § Manuseio; o Local onde se iniciou do ciclo e onde a informação é manipulada § Armazenamento; o Momento em que a informação é armazenada, (Podendo estar em papel, em uma mídia em um CD, disquete, etc.. § Transporte o Momento do envio ou do transporte, (Correio eletrônico, fax, sinais); § Descarte. o Momento em que a informação é eliminada, apagada, destruída de forma definitiva; Hoje em dia podemos obter Informação privilegiada até mesmo em camelô. Anotar o exemplo do professor

ATIVIDADE Cada grupo de 05 s 06 Aluno deverá preencher os dados abaixo relacionado a uma empresa “fictícia” podendo ser de um elemento do próprio grupo (sem a identificação da mesma neste caso).ou uma que não exista; Esta empresa criada deverá ser utilizada para todas as atividades especificas que apareceram durante o curso. Para esta empresa serão aplicadas as informações obtidas durante o curso. .– Material Exclusivo aos alunos do curso Informação Restrita 2008 © Copyright 5

DADOS A SEREM PREENCHIDOS § DADOS DA EMPRESA § DEFINIÇÃO DO NEGÓCIO; § FATURAMENTO; § QUADRO FUNCIONAL ; § CENÁRIO FUTURO PARA O MERCADO; § INFRA-ESTRUTURA; § RECURSOS HUMANOS;

O MUNDO SE TRANSFORMA Com o passar dos anos a situação computacional nas Empresas foi mudando, assim como a necessidade de proteção e a necessidade da Segurança. ENTRE OS ANOS DE 1970 – 1980 A SITUAÇÃO ERA A SEGUINTE O Ambiente computacional era constituído pelos Mainframes onde todos os dados eram Centralizados; A Necessidade de Proteção deste ambiente restringia-se a proteger apenas os Dados enquanto que a necessidade de Segurança era limitada apenas para proteger os dados contra acessos indevidos; A PARTIR DO ANO DE 1981 - 1990 O Ambiente computacional sofre uma alteração, pois além do Mainframe veio à conexão com a Rede e com isso o panorama mudou para um grande número de Informações internas descentralizadas e com acessos distribuídos; A necessidade de Proteção deste ambiente era de proteger os Dados e as Informações enquanto que a necessidade de Segurança deste am biente estava diretamente ligada a proteção, contra adulteração e destruição dos Dados e das informações; A PARTIR DO ANO DE 1991 - 2008,.... Novamente o Ambiente sofre uma grande transformação onde no ambiente das empresas além dos Mainframes, conexões de Rede e agora surge a interconexão com a Internet. Com isso o panorama mudou para um grande número de Informações internas e externas descentralizadas e com vários acessos distribuídos; A necessidade de Proteção neste cenário era de proteger os Dados puros, as informações e o conhecimento do negócio; Pois a empresa começou a trabalhar 24X7X365 Por outro lado a necessidade de Segurança ficou diretamente ligada a: § Manter os Dados e as informações sempre disponíveis; § Manter o acesso a informação somente para as pessoas autorizadas; § A informação não poderia sofrer nenhuma alteração desde o seu envio até o seu armazenamento final; INTRODUÇÃO Antes de implantarmos a segurança na Empresa, precisaremos saber o porquê e para que proteger as informações e os sistemas de computadores da mesma; Os alunos deverão se reunir em grupos e destacarem 06 motivos para justificar a necessidade da implantação da Segurança; .– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

O QUE VEM A SER C.I.D.A.L CONFIDENCIALIDADE A informação deverá estar acessível somente às pessoas autorizadas para ter acesso; INTEGRIDADE As informações e os métodos de processamento somente podem ser alterados através de ações planejadas e autorizadas; A informação não pode sofrer nenhuma alteração desde o seu envio até o seu armazenamento; DISPONIBILIDADE Os usuários autorizados devem ter acesso à informação aos ativos correspondentes sempre quando for necessário para o desenvolvimento de suas tarefas diárias; AUTENTICIDADE Para evitar o não-repúdio, ou a não recusa deverá ser garantido a autenticidade da fonte que é a garantia que o emissor de uma mensagem é quem realmente diz ser; A LEGALIDADE É a situação de conformidade com as leis atualmente vigentes nos pais; Os alunos deverão se reunir em Grupos e anotar os principais desafios que os administradores enfrentam quando necessitam implementar a segurança dentro das Empresas

MELHORES PRÁTICAS E PADRÕES INTERNACIONAIS .– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

CONCEITO DE PADRÃO E NORMALIZAÇÃO Norma é um documento estabelecido por consenso e aprovado por um organismo reconhecido, que fornece regras, diretrizes ou características para atividades de uso comum e repetitivo e que visa à obtenção de ordenação em um dado contexto. Padrões são regras que o consenso geral aceita como modelo aprovado de boas práticas que não oferecem certificação; Normalização – É a atividade que estabelece, em relação a problemas existentes ou potenciais, prescrições destinadas à utilização comum e repetitiva com vistas à obtenção do grau ótimo de ordem em um dado contexto. Os alunos deverão se reunir em Grupos e anotar os desafios que os administradores enfrentam para poder implantar a segurança dentro das Empresas INICIO O ORANGE BOOK O departamento de Defesa dos Estados Unidos especificou um conjunto de regras a serem utilizadas no processo para classificação dos sistemas operacionais seguros. Este conjunto de regras ficou conhecido informalmente como “The Orange Book(O Livro Laranja); Os níveis de segurança utilizados neste livro servem para avaliar a proteção para o hardware, software e informações armazenadas nos sistemas de Computadores. O “Orange Book” passou a ser a bíblia do desenvolvimento de sistemas seguros. Descrevia os critérios de avaliação utilizados para determinar o nível de confiança que poderíamos depositar num determinado sistema. Tornava a segurança numa medida cômoda para que um cliente pudesse identificar o nível de segurança exigido por um determinado sistema. Criou as categorias D, C, B, e A, sendo D o menos seguro e A o mais seguro. RED BOOK O “Red Book”(Livro Vermelho) foi uma Adaptação do Livro Laranja para os aspectos relacionados a Rede de Computadores. A partir da criação do Orange Book foi possível a criação de uma larga quantidade de documento "técnicos" que representaram o primeiro passo na formação de uma norma coesa e completa sobre segurança de computadores. NORMAS BRASILEIRAS No passado não existiam normas nem procedimentos pré-estabelecidos que regulassem os procedimentos de Segurança dentro das Corporações Os Primeiro padrões de segurança física em informática no Brasil foram definidos pelas Normas: NBR 1333 Ø Controle de Acesso Físico a CPDs; ØNBR 1334 a atual ABNT 11515 Ø Critérios de Segurança Física para armazenamento de dados; .– Material Exclusivo aos alunos do curso Informação Restrita 2008 © Copyright Ø

NBR 1335 Ø Segurança de Microcomputadores, terminais e estações de trabalho; ØNBR10842 Ø Equipamentos para tecnologia da Informação requisitos de Segurança; ØNBR12896 Ø Gerenciamento de Senhas; Ø

ONDE E COMO COMPRAR => http://www.abntdigital.com.br/. NORMA BRITÂNICA O departamento de comércio e indústria do Reino Unido (DTI) criou um centro de segurança de informações, que teve a tarefa de criar uma norma de segurança das informações para o Reino Unido. Desde 1989 vários documentos preliminares foram publicados, até que, em 1995, surgiu a BS7799 (British Standart 7799). Desta forma a BS7799 é uma norma de segurança da informação. A BS7799-1 É a primeira parte da norma que já se encontra homologada desde 2000 efoi planejada como um documento de referência para implant ar "boas práticas" de segurança na empresa. Disponibiliza 148 controles divididos em dez partes distintas.. A BS7799-2 É a segunda parte da norma. O seu objetivo foi o de proporcionar uma base para gerenciar a segurança da informação dos sistemas das empresas. Especificou os requisitos para estabelecer, implantar e documentar os sistemas de Gestão da Segurança da Informação (SGSI); Especificou os requisitos para os controles da segurança a serem implantados de acordo com as necessidades de cada organização. n

NORMA INTERNACIONAL A ISO/IEC 17799:2005 É a versão internacional da BS7799, homologada pela ISO. (International Standartization Organization), tendo como objetivo é criar normas e padrões universalmente aceitos em diversas áreas. Ela cobre os mais diversos tópicos da área de segurança, possuindo um grande número de controles e requerimentos que deveriam ser atendidos para garantir a segurança das informações de uma empresa. NORMA BRASILEIRA. A NBR ISO/IEC 17799:2005 É a segunda versão Brasileira da norma ISO lançada em Agosto 2005; (sendo que a primeira versão tinha sido homologada 2001), .– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

IEC - International Engineering Consortium é uma organização voltada para o aprimoramento da indústria da informação.

Componentes do ISO 17799 1. . Objetivo da norma 2. . Termos e definições ; 3. . Política de segurança; 4. . Segurança organizacional; 5. . Classificação e controle dos ativos de informação; 6. . Segurança de pessoas; 7. . Segurança física e do ambiente; 8. . Gerenciamento de operações e comunicações; 9. . Controle de acesso; 10. . Desenvolvimento de sistemas; 11. . Gestão de continuidade de negócios; 12. . Conformidade; EVOLUÇÃO DA NORMA DA ISO O HIPAA - (Health Insurance Portability and Accountability Act (1996 - Congresso dos EUA) Estabelece regulamentações federais que obrigam médicos, hospitais e outros fornecedores de assistência médica a atender a alguns padrões ao manipular informações sigilosas como registros médicos e contas de pacientes. A HIPAA não afeta apenas os planos de saúde e as seguradoras, mas sim qualquer empresa que lide com informações de pacientes; Os seguintes pontos devem possuir garantia: • G1 - Administrativas onde são colocadas regras, diretivas e procedimentos visando a privacidade empresarial bem como a existência planos para recuperação e contingência de desastres; • G2 - Físicas Controles e regras relacionadas ao acesso físico às instalações e máquinas, • G3 – Controle sobre as informações intangíveis armazenadas nos sistemas computacionais das organizações, relacionado ao acesso destas informações O PADRÃO DE SEGURANÇA DE DADOS – P.C.I (PAYMENT CARD INDUSTRY) A PCI é um Programa de Segurança da informação que define padrão de manuseio de dados de pagamentos sejam eles efetuados manualmente ou através da utilização de sistemas eletrônico de Dados para todos os comerciantes e fornecedores de serviços que lidam com armazenamento, transmissão ou processamento de dados de cartões de crédito. Esta é uma ação conjunta com o objetivo de reduzir as fraudes de cartão de crédito em transações on-line; Em caso de falha ao cumprimento dos requerimentos do programa PCI ou na correção das vulnerabilidades existentes pode resultar em uma série de dor de cabeça como, por exemplo: • Pagamento de Multa; • Restrições ao Estabelecimento; .– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

•

Proibição permanente do estabelecimento de aceitar cartões de crédito;

O DECRETO GLBA (GRAMM-LEACHY BLILEY ACT) Define o que as empresas de serviços financeiros podem fazer com as informações pessoais confidenciais que coletam durante suas atividades, Para o GLBA responsabiliza os CEOs e diretores da empresa como as pessoas responsáveis pelo mau uso das informações de identificação pessoal. A falha na conformidade com o GLBA pode incorrer em multas normativas para a instituição financeira que cometeu o delito. A ISO 15408 A ISO 15408 é direcionada para a segurança lógica das aplicações e também tem como foco principal o desenvolvimento de aplicações seguras. A ISO15408 define um método para avaliação da segurança de ambientes de desenvolvimento de sistemas.

LEI SARBANNES-OXLEY (SOX – SARBOX) Esta legislação foi criada após os problemas apresentados nas contabilidades das empresas Enron e WorldCom dentre outras, e que afeta as empresas de comércio público dos Estados Unidos. Tem como objetivo dar transparência na divulgação das informações e assegurar a prestação de contas e tratar de forma justa e imparcial as partes interessadas. Necessidade de controles • Controles estabelecidos para prevenir ou detectar fraudes; • Controles sobre o processo do relatório financeiro no final do período (anuais e intermediários); • Controles sobre a salvaguarda de bens; • Responsabiliza pessoalmente os funcionários de uma empresa pelo fornecimento de informações financeiras públicas precisas aos investidores. O QUE É COMPLIANCE? O termo Compliance, originário do ver bo inglês “to comply”, significa estar em conformidade com regras, normas e procedimentos. Dentre as suas principais atividades estão à prevenção e o combate à fraude e à lavagem de dinheiro, a criação e o monitoramento de manuais e normas internas, os controles internos e a cultura organizacional.

RESOLUÇÃO 3380 Há alguns anos, a simples menção do termo compliance imediatamente remetia à lei SarbanneOxley e sua extensa série de exigências para evitar fraudes e demais riscos que pudessem significar prejuízos aos acionistas com títulos nas bolsas americanas. Agora, quando ouvimos esta palavra a mesma está relacionada a Resolução 3380, que obriga todas as instituições financeiras autorizadas a funcionar pelo Banco Central a implementar, até dezembro deste ano, uma estrutura de gerenciamento de risco operacional. BASEL II ACCORD (BASILÉIA II): .– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

Fornece diretriz para o cálculo de riscos (de crédito, do mercado e operacionais) de um banco. Ela visa deixar mais eficiente os esforços de um banco para o gerenciamento dos seus riscos; Porém, para conseguir isso é importante implantar com sucesso um programa de proteção das informações; SB 1386 - CALIFORNIA SENATE BILL (LEI DAS VIOLAÇÕES DA SEGURANÇA DE INFORMAÇÕES) http://www.legalarchiver.org/sb1386.htm Projeto de lei do estado da Califórnia que emendou as leis sobre privacidade que exige a divulgação de violações de privacidade por qualquer organização ou indivíduo que mantenha informações pessoais sobre c lientes e tenha negócios no estado da Califórnia. As informações pessoais do cliente que estão protegidas são: n O último sobrenome e o nome ou primeira inicial do cliente, junto com, pelo menos, uma das seguintes informações (LegalArchiver.org, "Califórnia SB 1386,"): n Número da previdência social. n Número da carteira de habilitação ou número do Cartão de Identificação da Califórnia. n Número de conta, número de cartão de crédito ou débito, em combinação com qualquer código de segurança exigido, código de acesso ou senha que permita acessar a conta financeira de um indivíduo. Se pelo menos um dos campos acima estiver disponível de forma descriptografada já é considerada uma violação de privacidade INSTRUÇÃO CVM N. 358 - ART. 8 Estabelece aos acionistas controladores, diretores, membros do conselho de administração, do conselho fiscal e de quaisquer órgãos com funções técnicas ou consultivas, criados por disposição estatutária, e empregados da companhia, guardar sigilo das informações relativas a ato ou fato relevante às quais tenham acesso privilegiado em razão do cargo ou posição que ocupam, até sua divulgação ao mercado, bem como zelar para que subordinados e terceiros de sua confiança também o façam, respondendo solidariamente com estes na hipótese de descumprimento. AS/NZS 4360:2004 A AS/NZS 4360 (Australian Standard for Risk Management) é uma norma Australiana e Neozelandesa para gerenciamento de riscos; Foi elaborada pela Standards Austrália e Standards New Zealand através do Comitê de gestão de riscos (OB-007). É uma norma genérica que fornece orientações para gerenciamento de riscos de qualquer natureza. Sua principal característica é avaliar os riscos com resultados positivos (ganhos potencias) e os riscos com resultados negativos para desta forma fornecer uma visão única no gerenciamento de riscos. SÉRIE - ISO 27000 Visando reunir diversas normas de segurança da informação, a ISO criou a série 27000, com normas específicas A norma ISO 27001:2005 é a norma BS7799-2:2002 revisada, com melhorias e adaptações, contemplando o ciclo PDCA de melhorias e a visão de processos que as normas de sistemas de gestão já incorporaram. .– Material Exclusivo aos alunos do curso Informação Restrita 2008 © Copyright 12

As mudanças mais relevantes na migração para norma ISO/IEC 27001 ocorreram na estrutura do SGSI (sistema de gestão de segurança da informação), quando são destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gestão de segurança EXPLODINDO A 27000 n ISO 27002 – Trata-se do padrão que irá substituir a ISO 17799:2005 (o Código de Boas Práticas) n ISO 27003 – Trata-se do novo padrão que abordará a gestão de risco, contendo recomendações para a definição e implementação de um sistema de gestão de segurança da informação. n ISO 27004 – Trata-se do padrão que Incidirá sobre os mecanismos de mediação e de relatório de um sistema de gestão de segurança da informação. n ISO 27005 – Esta norma será constituída por indicações para implantação, monitorização e melhoria contínua do sistema de controles. n ISO 27006 - Dentro da série 27000 a última norma será referente à recuperação e continuidade de negócio. Este documento tem o título provisório de “Guidelines for Information and Communications Technology Disaster Recovery Services”, não tem data prevista para sua confecção; A IMPORTÂNCIA DA ISO E DA CERTIFICAÇÃO A certificação pode comprovar que a segurança da informação está assegurada de forma efetiva, o que não significa que a empresa esteja imune a violações de segurança. Alem disso ela server para demonstrar e comprovar, para os clientes e fornecedores da empresa a responsabilidade que a mesma tem com relação a segurança da informação;. Permite que uma empresa construa de forma muita rápida uma política de segurança baseada em controles de segurança eficientes e comprovados pelas principais empresas do mercado. O seu custo dependerá de vários fatores como, por exemplo, n Tempo utilizado para analise; n Quantidade de profissionais envolvidos ; n Conformidade das instalações da organização com relação à norma; n O tamanho e complexidade da organização e dos seus sistemas de informação; O MÉTODO PDCA - (PLAN, DO, CHECK E ACTION) É hoje o principal método da Administração pela Qualidade Total e garantir a segurança como um todo. Neste sentido a análise e medição dos processos são relevantes para a manutenção e melhoria dos mesmos, contemplando inclusive o planejamento, padronização e a documentação destes. O método PDCA pode assim ser descrito: n PLAN – Definir o que se quer, planejar o que será feito, estabelecer metas e definir os métodos que permitirão atingir as metas propostas. n DO – Tomar iniciativa, educar, treinar, implantar, executar o planejado conforme as metas e métodos definidos. n CHECK – Verificar os resultados que se está obtendo, verificar continuamente os trabalhos para ver se estão sendo executados conforme planejados. n ACTION – Fazer correções de rotas se for necessário, tomar ações corretivas ou de melhoria, caso tenha sido constatada na fase anterior a necessidade de corrigir ou melhorar processos. .– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

O SIGNIFICADO DA SEGURANÇA DA INFORMAÇÃO É garantir a continuidade do negócio e minimizar os danos causados à empresa através da prevenção e redução dos impactos gerados por incidentes de segurança. A mesma existe para minimizar os prejuízos para a empresa; Atualmente a Segurança da Informação, vem sendo muito procurada devido à popularização das redes Locais, Internet, Intranet e Extranet...; POLÍTICA DE SEGURANÇA (DEFINIÇÃO) É um conjunto de leis, regras e práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos; É um Documento que formaliza e detalha todo o conceito informal ou formal sobre segurança, podendo este ser físico ou lógico, e que deverá ser aplicado na empresa. Permite o estabelecimento de limites (direitos e deveres) dos usuários ou departamentos ao utilizarem os recursos da Empresa;. Como cada empresa tem sua metodologia, recursos e conceitos diferentes, não existe uma receita pronta para todas, por isso cabe a cada uma decidir a complexidade e severidade que deverá ser implantada de acordo com a sua necessidade. Qual diferença entre DIRETRIZ; NORMA E PROCEDIMENTO?

OS 3 BLOCOS E AS CAMADAS DE ATUAÇÃO DA POLÍTICA DE SEGURANÇA No caso da política de segurança a mesma pode ser subdividida em três blocos (Diretrizes, Normas e procedimentos) sendo destinados respectivamente às camadas estratégica, tática e operacional: • Camada Estratégica: ( Um Rumo a ser Seguido) • Camada Tática: (Padronização para melhor controlar e fazer todos os pontos da empresa tenha o mesmo nível de segurança). • Camada Operacional (Detalhamento se a configuração está documentada e detalhada em uma instrução escrita, não há como ser realizada de forma diferente). Cada grupo de alunos deverá dar um exemplo de uma diretriz de uma norma e de um procedimento Diretriz =>

.– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

Norma =>

Procedimento =>

Copiar a informação que o professor vai disponibilizar na lousa

DIVULGAÇÃO DA POLÍTICA DE SEGURANÇA Os alunos deverão se reunir em grupo citar 10 tópicos de como estariam divulgando a política de Segurança dentro da sua Empresa; Deverá ser indicada e citada qualquer ajuda extra dos outros departamentos da empresa; Poderá ser utilizado exemplo prático vivenciado pelo aluno; .– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

O grupo agora deverá escolher e justificar dos itens relatados por eles é a melhor forma de divulgar

OS 4 P´S DA SEGURANÇA E DOS PLANOS DE SEGURANÇA Existem diversas filosofias de plano de Segurança, mas podemos citar os principalmente tipos : • Paranóico: Tudo é proibido. (mesmo aquilo que deveria ser permitido). • Proibitivo: (Tudo aquilo que não é permitido é explicitamente proibido); • Permissivo: O oposto do Fechado. Tudo aquilo que não é proibido explicitamente é permitido • Promíscuo: Tudo é permitido (incluindo aquilo que deve ser proibido). Com relação a Documentação da Política de Segurança o profissional de TI possui grandes dificuldades. Grande Volume de trabalho para: Elaborar; Imprimir; Distribuir; Implantar; Ensinar; Atualizar; PROCEDIMENTOS DE SEGURANÇA • Os procedimentos de Segurança devem ser fáceis de entender, caso contrario não serão postos em prática; • Ter a sua finalidade explicada, ou serão ignorados; • Devem ser impostos com energia, ou exceções serão criadas; • Deverão ser definidas sanções para os violadores; • Cada empregado só precisa saber os procedimentos de segurança que lhe dizem respeito; • Ao contrário das políticas de segurança, os procedimentos devem ser largamente divulgados; • Os procedimentos devem estar escritos e incluir diretivas claras; .– Material Exclusivo aos alunos do curso Informação Restrita 2008 © Copyright 16

FORMATO DAS POLÍTICAS DE SEGURANÇA O Documento escrito deve: • Ser aprovado pelo mais alto nível da hierarquia da Empresa. • Ser Claro; • Ser elaborado por um responsável direto; • Deve ser dirigido para atingir o nível de segurança adequado aos bens que se quer proteger; • Deve-se fazer o mínimo de alterações no funcionamento da organização; • O Plano não deve ser muito específico; • O Plano deve ser possível de ser feito; • Os recursos devem ser quantificados, calculado e alocados; • Deve se prever as ações concretas e quem as realiza;. • Deve se prever o que fazer em casos de falha; FATORES PARA O SUCESSO § A política de Segurança deverá ter o aval da pessoa mais graduada (CEO, Presidente, etc), a fim de evitar tentativas de coação / pressão dos administradores de segurança. § Possuir cultura organizacional (Consciência coletiva); § A Alta Direção deve estar comprometida e dar amplo apoio aos seus implantadores; § Deve-se ter bom entendimento dos requisitos de segurança, avaliação e gestão de riscos; § A presença de um Marketing eficaz de segurança para toda a organização; § Divulgação em todos os níveis de funcionários e contratantes do Guia da Política de Segurança da Informação. § Treinamento; § Alocação de recursos pessoais e financeiros; § Procurar embasamento jurídico, principalmente no tocante a ações / punições eventuais a serem aplicadas; § Deve ser Revisada constantemente § Deve ser amplamente Divulgada; § E por final muita Cooperação , cooperação ……… QUAL A RESPONSABILIDADE DE CADA UM DOS DIRETORES DA EMPRESA CIO - CHIEF INFORMATION OFFICER n Responsável pelo planejamento e estratégia exitente por detrás da tecnologia; CFO - CHIEF FINANCIAL OFFICER n Este cargo está ligado ao Diretor Financeiro da Empresa; CEO - CHIEF EXECUTIVE OFFICER n É o cargo mais alto da empresa. É chamado também de presidente, principal executivo, diretor geral, entre outros. Quando existe um presidente e um CEO, o primeiro é mais forte. CRO - CHIEF RISK OFFICER. n É o responsável por gerencia os riscos nas operações financeiras bem como por analisar as estratégias do negócio, a concorrência e a legislação. CTO - CHIEF TECHNOLOGY OFFICER. .– Material Exclusivo aos alunos do curso Informação Restrita 2008 © Copyright 17

n É o responsável por comandar a infra-estrutura da área de tecnologia. CSO: CHIEF SECURITY OFFICER n Possui a responsabilidade da segurança da informação de maneira global, enxergando a organização como um todo. n È também responsável pela segurança física, pelos serviços de proteção e privacidade da corporação e de seus colaboradores. n O CSO é responsável por coordenar todas as atividades corporativas e suas implicações de segurança.

CONHECIMENTOS DO PROFISSIONAL E CARACTERÍSTICAS NECESSÁRIAS n Visão generalista n Sólidos conhecimentos de gestão de projetos; n Sólidos conhecimentos de sistemas de gestão; n Perfil executivo; n Saber lidar com pessoas; n Ser atento as necessidades de negócio; n Deve atuar orientado a resultados encontrando o equilíbrio entre a proteção corporativa, seus riscos e retornos de investimentos através de métricas e indicadores; n Ter bom senso e senso crítico. Será que o CSO tem que ser especialista em “tudo”? O super-homem este seria o melhor título dado a este profissional, pois geralmente devido a sua função tem a necessidade de se relacionar com as mais variadas pessoas dentro da empresa, alem de ser especialista em: Marketing; Tecnologias; Riscos; Leis; Auditoria; Processos;

Políticas; Pessoas; Normas; Negócios. O QUE ABORDAR EM UMA POLITICA DE SEGURANÇA? Os alunos deverão se reunir e escrever em tópicos exemplos de assuntos a serem tratados em normas definidas em uma Política de Segurança :

Devido a grande importância da Informação para as empresas a Segurança faz parte da rotina dos CIO OS TRÊS PILARES DA SEGURANÇA § Segurança Física. .– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

§ § §

Segurança Técnica. Segurança Lógica. Os três são necessários e complementares.

INÍCIO DE ANÁLISE DE RISCO Em uma análise inicial, você não pode se proteger de algo que você não conheça. Por isso, na medida em que a organização conhece os riscos e as ameaças que colocam em perigo o alcance dos seus objetos de negócios, mais chances essa organização terá de alcançar esses objetivos . Com o conhecimento dos riscos é possível planejar as políticas e procedimentos que poderão ser implementados para a redução destes riscos. Existem muitas formas de se avaliar risco, porém como segurança é um sentimento e não um dado exato, cada empresa deverá encontrar sua própria fórmula de sucesso. Existe uma máxima que afirma “Ter Risco significa Ter uma Chance” n Quando montamos uma rede poderemos ter os serviços paralisados; ; n Quando atravesso uma rua longe do Farol posso ser atropelado; O QUE É UM RISCO? Podemos definir Risco como sendo um Perigo ou possibilidade de Perigo, ou seja é a probabilidade de acontecer algo, pela exploração das vulnerabilidades de um determinado ambiente, provocando possíveis problemas financeiros e impactos nos negócios. É um contexto que inclui as ameaças, vulnerabilidades e o valor a proteger; Tendo um maior conhecimento do Risco, ficamos preparados para uma melhor decisão no que fazer sobre ele. O QUE É A ANÁLISE DE RISCO? É o processo de avaliar em que medida um certo contexto é ou não aceitável para uma organização; Só devemos aceitar um Risco, quando o custo do controle aplicado para reduzir este Risco, for maior do que o custo do próprio risco; O nível de risco no qual uma organização aceita operar é Denominado de Risco Aceitável. Técnicas de Análise de Risco Por exemplo, Para aplicar a proteção a um Ativo que possui um valor de R$100,00 (físico e de negócio) eu necessitar gastar R$300,00 em proteção, então neste caso eu aceito o risco, pois se ele se concretizar com o R$200,00 eu já recupero o ativo perdido; BENS - CLASSIFICAÇÃO Os ativos podem ser classificados em Tangíveis e Intangíveis: n Tangíveis n Aplicações n Software ou pacotes aplicativos existentes. n Analisar e verificar quais deles causam maior impacto no negócio do cliente. n Equipamentos n Maquinas, computadores e mídia, ou seja, qualquer tipo de equipamentos que manipulem; .– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

Informações n Informações armazenadas ou papeis, tecnologia, patentes, senhas, pastas ou outras informações estratégicas que devam ser protegidas. n Organização n Localização dos escritórios ou áreas departamentais de importância relevante (áreas e departamentos, estrutura dos servidores, áreas compartilhadas, etc. n Usuários n Alta administração, administradores de rede, operadores de sistemas críticos, prestadores de serviço, colaboradores ; Intangíveis n Imagem, reputação, credibilidade, habilidade de desenvolvimento de alguma atividade. n

IDENTIFICAÇÃO DE ATIVOS ATIVOS FÍSICOS: n Equipamentos computacionais (processadores, monitores, laptops, modems), n Equipamentos de comunicação (roteadores, PABXs, fax, secretárias eletrônicas), n Mídias magnéticas (fitas e discos), n outros equipamentos técnicos (no-breaks, ar-condicionado), n Mobília e acomodações; SERVIÇOS: n Computação e serviços de comunicação, n Utilidades gerais n Climatização, n Iluminação, n Eletricidade, n Refrigeração ATIVOS DE SOFTWARE: n Aplicativos, n sistemas, n Ferramentas de desenvolvimento e n Utilitários

Outros Ativos n Centrais de dados; Servidores;Computadores de mesa;Computadores móveis;PDAs;Telefones celulares;Aplicativo de software de servidor;Aplicativo de software de usuário final;Ferramentas de desenvolvimento;Roteadores;Comutadores de rede;Máquinas de fax;Sistemas de telefonia PBX;Mídia removível (fitas, disquetes, CD-ROMs, DVDs, unidades de disco rígido portáteis, dispositivos de armazenamento de placa PCMCIA, dispositivos de armazenamento USB etc.);Fontes de alimentação;Sistema de alimentação ininterrupta (no-break);Sistemas de combate a incêndio;Sistemas de ar condicionado;Sistemas de filtragem de ar;Outros sistemas de controle ambiental; Código-fonte; Dados de recursos humanos; Dados financeiros;Dados de marketing;Senhas de funcionários;Planos estratégicos;Relatórios de crédito de consumo do cliente;Registros médicos do cliente;Dados de contatos de negócios dos funcionários;Dados de .– Material Exclusivo aos alunos do curso Informação Restrita 2008 © Copyright 20

contatos pessoais dos funcionários;Dados de pedidos de compra;Projeto da infra-estrutura de rede;Sites internos;Dados de contrato de parceiros;Dados financeiros de parceiros;Dados de contato de parceiros;Relatórios de crédito de parceiros;Dados de contrato de fornecedores;Dados de contato de fornecedores;Dados de marketing do site;Dados de cartão de crédito de clientes;Dados de contato de clientes;Documentos oficiais;Documentação do produto;Materiais de treinamento;Microsoft Active Directory;Sistema de nomes de domínio (DNS);DHCP;Ferramentas de gerenciamento empresarial (ERP);Compartilhamento de arquivos;Armazenamento;Acesso dial-up remoto;Telefonia;Acesso VPN (Virtual Private Networking); VULNERABILIDADES A vulnerabilidade pode ser definida como sendo a fraquezas que é associada ao ativo da organização e que caso explorada por uma ameaça pode representar riscos a organização; A vulnerabilidade também pode ser definida como sendo o ponto onde o sistema poderá ser suscetível a ataque. Exemplos • A Localização física dos Prédios é adequada: • Linhas de comunicação podem ser escutadas ou interrompidas; • Ocorre a existência de Modem´s; Mesmo que as ameaças pareçam insignificantes, todas as possíveis vulnerabilidades devem ser identificadas. Outros exemplos serão detalhados em Segurança Física e Lógica; AMEAÇAS Podemos definir ameaça como sendo algo que possa resultar em incidentes inesperados que possam causa danos e prejuízos a uma organização.Normalmente é difícil evitar a ocorrênc ia de tais eventos, porem eles podem ser facilmente detectados. As ameaças podem ser classificadas de 4 formas • n n n n n n n n

n n n n n

AMEAÇAS NATURAIS - Que envolvem fenômenos de natureza como por exemplo: Chuva; Fogo; Furacão; Terremoto; Raio; Tempestade; Avalanche; Desmoronamento AMEAÇAS FÍSICAS - Que envolve um tipo de ação causada por um agente externo como por exemplo: Acesso e/ou uso não autorizado Desvio de mensagens Roubo físico de equipamentos Acidente aéreo Ameaça de Bomba

.– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

n n n n n n

Acidente de construção; Acidente ferroviário; Acidente industrial;Acidente marítimo; Acidente nuclear; Acidente químico; Acidente rodoviário

AMEAÇAS NÃO INTENCIONAIS - Neste tipo de ameaça, geralmente ocorre pela ignorância dos envolvidos. Por exemplo: n Falta de Treinamento a um usuário ou Administrador da Rede; n Não entendimento de um manual ou documentação; n Arquivos enviados por engano; n Arquivos abandonados ou anotações esquecidas em micro, mesa etc... n Listagens abandonadas em cestas de lixo; n A maioria dos danos causada nos sistemas surge pela ignorância dos envolvidos; AMEAÇAS INTENCIONAIS - Podem surgir a partir do meio Interno e do meio Externo. Podemos citar como alguns exemplos: n Obtenção física de arquivos, discos, fitas, listagens, por roubo, cópia, pirataria; n Ação de estranhos, na tentativa de identificação ou autenticação mascarada como usuário legítimo; n Ação do operador, revelando medidas de proteção; n Ação do pessoal de manutenção, sabotando ou utilizando de forma indevida, utilitários ou equipamentos; n Ação de programadores, explorando o sistema, desarmando proteções, forçando acessos através de gatilhos colocados dentro do sistema operacional; n “Grampos” nos canais de comunicação;

OUTROS EXEMPLO DE AMEAÇAS Acesso de pessoas não autorizadas; Acesso não autorizado;acesso não autorizado a interfaces de administração; não autorizado ao armazenamento de configuração;Acessos locais indevidos ;Acessos remotos indevidos ;Acidente aéreo;Acidente de construção;Acidente ferroviário;Acidente industrial;Acidente marítimo;Acidente nuclear;Acidente químico;Acidente rodoviário; Alteração indevida de dados ;Ameaça de bomba;Antigo funcionário descontente;Ataque de negação de serviços; Ataque terrorista; Ataques de dicionário;;Ataques de força bruta;Ataques por vírus (malware / código hostil em geral) ;Atos vandalismo, roubo ou furto de patrimônio;Ausência de controle de acesso lógico; Avalanche; Black-out; Calor; Código de comunicação móvel mal-intencionado;Coleta de informações; Criminoso cibernético;Dano intencional aos sistemas/dados e sabotagem (dados); Dano não intencional aos sistemas/dados e sabotagem (instalações); Desatualização ou imprecisão de dados Ação dos sniffers; descoberta de senhas; Deslizamentos de terras; Desvio fraudulento de recursos;Distúrbio civil; Divulgação de informações; Divulgaç ão indevida de dados ;Elevação de privilégio;Encobrimento dos rastros pelo invasor; Engenharia social; Erros e acidentes; Espionagem de rede; Espionagem industrial; Espionagem industrial; Espionagem patrocinada pelo governo; Execução arbitrária do código;Exploração de um aplicativo sem rastreamento pelo invasor;Explosão; Explosão; Falha de Correio Eletrônico; Falha de hardware; Falha de Sistema Operacional;Falha de Software Aplicativo; Falha em instalação/fornecimento de elétrica ;Falha em rede WAN; Falha .– Material Exclusivo aos alunos do curso Informação Restrita 2008 © Copyright 22

em telecomunicações; Falha em workstation (hardware); Falha na entrada de dados; Falha nos controles ambientais; Falhas da rede;Falta de responsabilidade individual; Fogo; Forte tempestade;Fumaça; Funcionário atual descontente; Funcionário desonesto (subornado ou vítima de chantagem); Funcionário negligente; Funcionários desinformados; Furto;Gazes corrosivos; Greve em prestador de serviço; Greve Hacker, cracker; Impacto de escombros;Incêndio;Interrupção na energia elétrica; Inundação;Lixo informático;Log dos sistemas não configurados; Magnetismo; Mau uso de sistemas; Monitoramento; Multas; Negação da realização de uma operação pelo usuário;Negação de serviço;Paralisação de serviço;Paralisação de transporte; Pirataria e pornografia ;Poeira; Problema estrutural (de construção); Processo excessivamente privilegiado e contas de serviço;Proximidade à zona de alta criminalidade; Proximidade de instalação de armazenamento de combustíveis; Proximidade de instalação de eletricidade;Proximidade de instalação de gás; Proximidade de instalação militar;Proximidade de presídio/delegacia;Quebra de senha;Queda de balão nas instalações (fogo);Radiação; Rede elétrica dos servidores compartilhada;Repúdio;Rompimento de tubulação interna (água/gás/vapor);Roubo;Roubo de credencial; Roubo ou furto ;Seqüestro de dados; Seqüestro de elemento chave ao Processo;Seqüestro de sessão;Software malicioso; Spoofing; Super poderes de acesso; Terremoto;Terrorista;Tumultos/agitações públicas; Umidade;Usuário desinformado; Vandalismo; Vandalismo; Vapores; Vapores; Vazamento de gás

Desta forma conhecendo os Riscos, ameaças, vulnerabilidades você poderá fazer quatro coisas: • Aceitar: Só se justificável quando o custo de implantação for maior que o impacto que o risco poderá causar; • Diminuir: colocar em práticas ações com o objetivo de reduzir o risco; • Ignorar: Não dar nenhum tipo de importância e acreditar que nada irá acontecer; • Transferir: transferir o risco para um terceiro, criando compensações, quase sempre menores, sobre as perdas;

TÉCNICAS DE ANÁLISE DE RISCO

ANÁLISE SUBJETIVA Documentos escritos com vários cenários como base para sessão de “brainstorming”; ANÁLISE QUANTITATIVA Orientada a mensurar os impactos financeiros provocados por uma situação de quebra de segurança a partir da valoração dos próprios ativos Para cada ameaça quantificar a sua incidência; n Estimar o valor dos prejuízos que pode causar; n Estimar o custo de combater a ameaça; n Pesar as várias ameaças para obter um valor final (que algoritmo?); ANÁLISE QUALITATIVA Orientada por critérios que permitem estimar os impactos aos negócios provocados pela exploração de uma vulnerabilidade por parte de uma ameaça; Baseia-se em critérios e classificações que podem pegar ao mesmo tempo valores Tangíveis e intangíveis; Este tipo de anilise tem se demonstrado com eficiência superior pois abrange o processo como um todo.

.– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

O QUE É IMPACTO É o conceito utilizado para medir os efeitos - positivos ou negativos - que uma determinada atividade pode causar. Como impactos podemos citar: Perda Financeira, Abalo na imagem, Multas ou sanções, perda de investidores, prejuízo operacional, aumento no custo operacional, parada no negócio da empresa, Perda de Ativos, alteração na quantidade de pessoas para a execução do processo, redução da margem de lucro e etc.. RESUMO PARA AS ATIVIDADES n Ativo – Corresponde a entidade objeto da função de Segurança; (Exemplo Servidor) n Vulnerabilidade – Característica da fraqueza do Ativo; o (Exemplo Necessidade de Energia) n Ameaça – Ação, atitude, situação em que a vulnerabilidade de um ativo possa ser explorada; o (Exemplo Espionagem) n Agente Agressor – Entidade responsável pela realização da ameaça o (Exemplo Espião; Funcionário contratado) n Perímetro de Proteção – ambiente ou linha imaginaria, física ou lógica, em que uma ameaça possa atingir um ativo; o (Exemplo Ambiente de Informática) Exercício- Pense em sua casa e faça uma analise de risco preenchendo com pelo menos 3 elementos dos dados citados abaixo n Ativo: n Vulnerabilidade: n Ameaça: n Controles existentes: n Impacto: n Medidas de segurança a serem adotadas: MEDIDAS DE SEGURANÇA Podem ser estabelecidas em função do parâmetro de tempo e necessidade, podendo ser de 4 tipos geralmente conhecido como (Medidas P.D.C.R) n Preventivas (Ação de tentar evitar que o problema ocorra Exem plo – Antivírus ); n Detectiva (Ação de detectar um determinado problema – Exemplo Vshield na memória); n Corretivas (Ação de corrigir algo que as outras duas ações não conseguiram evitar – Exemplo Clean no arquivo); n Restauradoras (Recuperar algo perdido. Exemplo Restore do arquivo danificado); MAPEAMENTO DE PROCESSOS Identificar e mapear os processos internos é uma atitude que ajuda a empresa a se tornar mais competitiva otimizando o tempo e alcançando melhores resultados. Trata-se de uma ferramenta simples, que pode ser adotada por organizações de qualquer porte ou área de atuação, com inúmeros ganhos principalmente na Segurança da Informação. Qualquer organização é composta por um conjunto de processos tanto de natureza técnica como .– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

social. Estes processos são as atividades de negócio típicas que a empresa desenvolve para gerar valor, satisfazer as necessidades dos seus clientes e criar rendimento. OUTROS ITENS DO MAPEAMENTO DE PROCESSO Recursos: são elementos que atuam ativamente na realização do processo. Ex: Recursos físicos e de informação; Restrições: são elementos de controle do processo. Ex.: Exigências, regulamentos, informação relacionada, entre outros; Entrada: são os elementos a serem transformados pelo processo. Ex.: Resultado das atividades anteriores nas quais foram incorporados os recursos físicos e de informação; Saída: são os resultados do processo. Ex..: Resultado da atividade incorporando o todas atividades anteriores relacionadas com esta. Todo mapeamento deve começar com uma compreensão exata dos conceitos básicos: Inputs, transações e outputs do processo e inter-relações entre estes. n O objetivo é definir claramente como funciona o processo: quem faz o quê e quando. n A variação dos inputs leva freqüentemente a variações nos outputs. n A maioria dos processos necessita de ativos para funcionar;

CADEIA DE VALORES Exercício de mapeamento de processos § Cada grupo deverá escolher 3 áreas da sua empresa fictícia sendo que as mesmas deverão ser aquelas que agreguem mais valor para a atividade fim da sua Empresa; § Deverá ser informado qual a função final da área. § Para cada uma dela deverá ser mapeado um processo; conforme o exemplo a seguir; .– Material Exclusivo aos alunos do curso Informação Restrita

2008 © Copyright

Em grupo compare os ativos e das 3 áreas dos exercícios anteriores relacione 6 ativos importante para a execução do processo da área e passe para a folha de Resposta do professor

.– Material Exclusivo aos alunos do curso Informação Restrita

A responsabilidade pelo Impacto é do cliente, uma vez que ele é o mais interessado na atividade .– Material Exclusivo aos alunos do curso Informação Restrita

envolvida e consegue medir o problemas que ele terá devido a uma situação de risco concretizada.

MATRIZ DE G.U.T - (GRAVIDADE, URGÊNCIA E TENDÊNCIA)

Com base na Análise de Impacto mostrada acima, faça o seguinte Exercício : No dia do seu pagamento você recebe o seu dinheiro, vai para casa e é assaltado. Classifique o Impacto e verifique qual tem maior impacto e qual tem o menor impacto analisando as formas de recebimento a seguir:. a) Se você recebe em cheque. (analisar todas as possibilidades) b) Se você recebe o crédito em conta corrente. (analisar todas as possibilidades) c) Se você recebe em Dinheiro (analisar todas as possibilidades A Prioridade das ações a serem executada pode ser ajudada utilizando-se a Matriz de G.U.T (Gravidade, Urgência e Tendência); A definição da prioridade final é composta pela análise e pelo produto das 3 dimensões do GUT (Risco = (Gravidade X Urgência x Tendência); DIMENSÃO GRAVIDADE n Nesta linha de Analise deve ser considerada a severidade dos impactos relacionados ao processo do negócio analisado. n Por exemplo - O que seria do Telemarketing se toda a base de dados dos clientes fosse destruída por um ataque de vírus?. n DIMENSÃO URGÊNCIA n Nesta linha de analise deve ser considerado o tempo da duração dos impactos relacionados ao processo de negócio que esta sendo analisado. n Por exemplo - O que aconteceria com a empresa do exemplo anterior se a base continuasse ainda irrecuperável por mais de 07 dias? n DIMENSÃO TENDÊNCIA n Nesta linha de analise deve ser considerado a oscilação dos impactos relacionados ao processo analisado. n Por exemplo – O que aconteceria com a empresa do exemplo anterior se a base ficasse comprometida a curto, médio e longo prazo? Os valores obtidos depois da analise são multiplicados gerando o GUT final, sendo que a faixa .– Material Exclusivo aos alunos do curso Informação Restrita

dos valores possíveis vai de 1 a 125 O objetivo da GUT, é facilitar a identificação rápida dos processos e suas prioridades, sendo que o resultado final é posicionado por cores onde as faixa de 1 a 42, 43 a 83 e 84 a 125 devem ser sinalizadas respectivamente,´pelas cores VERDE, AMARELA e VERMELHA. Desta forma poderá ser visto que ativo ou processo tem maior impacto; Exercício.... Faça o mesmo exercício feito com o cheque, só que agora analisando 3 ativos da empresa do case. Após fazer classifique conforme as cores mostradas anteriormente.

O Fluxo da Analise de Risco é composto pó 7 elementos .– Material Exclusivo aos alunos do curso Informação Restrita

§ § § §

§ §

Escopo; § (Procure identificar o tamanho da sua analise) Ativos; § (Identifique os bens mais importantes para o funcionamento do seu processo) Vulnerabilidades ou fragilidade; § (Com base nos ativos identificados, verifique quais são os seus pontos fracos) Ameaças; § (Verifique quais as ameaças existentes e que podem aproveitar as vulnerabilidades encontradas nos ativos) Impacto; § (Verifique junto ao cliente o impacto que será causado quando a ameaça se concretizar) Probabilidade; § (Calcule a probabilidade desse risco se concretizar) Risco; § (Classifique o risco conforme os parâmetros estabelecidos)

EXERCÍCIO DE ANALISE DE RISCO Com base no case fornecido pelo profes sor, os alunos deverão se reunir em grupo e fazer o exercício solicitado REVISÃO CONSTANTE DOS RISCOS/AMEAÇAS/VULNERABILIDADE O Trabalho da analise de Risco não deve ser feito apenas uma única vez, visto que Novos(as) Riscos, Ameaças, Vulnerabilidade, podem surgir bem como mudanças nos ambientes poderão ocorrer; Os riscos podem ser identificados porem não é possível sua total eliminação; Os riscos podem ser quantificados porem não é possível quantificar na sua totalidade, pois não importa quanto seja seguro um sistema, computador ou rede, pois sua segurança sempre poderá ser quebrada, dependendo dos recursos, tempo, motivação e dinheiro empregado para tal. Como saber se é melhor investir em Segurança ou não fazer nada? n Após fazer a análise de Risco e recomendável fazer a Analise de Custo Benefício, para determinar qual será o custo da perda caso uma ameaça se concretize; n Este cálculo pode ser simples ou complexo e resulta em: n Trocar o equipamento; n Reparar o equipamento; n Recriar o ambiente; n Recriar a informação; n Etc... COMO PODEMOS CALCULAR O VALOR DE UM ATIVO § Valor da Reposição; § Valor da Informação no mercado; § Valor da perda dos Negócios; § Valor da Perda da credibilidade; PRINCIPAIS ERROS DENTRO DE UM PROJETO DE ANALISE DE RISCOS .– Material Exclusivo aos alunos do curso Informação Restrita

§ § § § § § § § §

Um escopo muito abrangente; Período de tempo da analise ou muito longo ou muito pequeno; Falta de comprometimento da Alta administração Basear-se exclusivamente na Tecnologia; Basear-se exclusivamente nas Pessoas; Falta de Verbas; Equipe diminuta; Não conhecimento total do negócio da Empresa; Falta de Tempo;

BIA - BUSINESS IMPACT ANALISYS ANÁLISE DE IMPACTO DOS NEGÓCIOS É uma atividade estruturada que visa quantificar os prejuízos potenciais - financeiros e operacionais - causados por uma interrupção ou desastre dentro de qualquer empresa. Com a utilização da técnica de B.I.A fica mais fácil avaliar a importância dos negócios da Empresa, sendo que a mesma indica qual a ordem que deveremos restaurar cada um dos processos afetados. Existem no mercado nacional e internacional, várias ferramentas automatizadas(softwares) que ajudam na gestão dos dados, sendo que os valores variam de US$ 250 a US$ 70.000. B.IA – FASES DO PROJETO n Definição do Escopo do projeto. Fase onde é definida claramente para a alta administração, qual será o foco do trabalho a ser realizado. Ex Será toda a Empresa , apenas a filial, a área de TI etc.. Esta fase tem como problema o tempo para a decisão, aprovação das verbas e as resistências internas; n Identificação das informações importantes dentro do Escopo; Fase que inicia logo após a anterior onde deverá ser analisado com maior profundidade o que foi escolhido e quais informações são realmente importantes para o trabalho n Elaboração de questionário de levantamento; Elaborar o questionário de acordo com a área envolvida; Não deixar margem para dupla interpretação; Fixar prazos para o retorno dos documentos entregues; n Selecionar o publico alvo do questionário Pessoas chaves da área (Gerentes e responsáveis pelos processos); Como estas pessoas estão sempre ocupadas haverá dificuldade nos preenchimento ou os responsáveis estarão repassando o questionário para outros responderem *cuidado; n Analise das respostas dos questionários; É necessário que seja verificado a coerência das repostas, pois se as mesmas estiverem incoerentes, as pessoas entrevistadas deverão ser re-entrevistadas; As áreas mais críticas e importantes merecem maior atenção; n Fechamento das respostas e elaboração do relatório final; Demonstração do levantamento para a direção da empresa; Cuidado com dados errados, pois uma apresentação mal elaborada, questionários não verificados compromete o resultado da sua analise .– Material Exclusivo aos alunos do curso Informação Restrita

PROPRIETÁRIO DA INFORMAÇÃO CONCEITUAÇÃO Em princípio é o órgão gerador do ativo de informação que dele faz uso em função da necessidade funcional. Cada informação deve ter um autor, "dono" da informação, capaz de estimar em que nível de criticidade cada uma se enquadra. CUSTODIANTE DA INFORMAÇÃO Conceituação É o órgão ou função administrativa na empresa que mantém sob sua guarda bem de informação. Atribuições e responsabilidades do custodiante : n Manter a confidencialidade, integridade e a disponibilidade do bem de informação; n Executar serviços com os bens custodiados, em nome do proprietário; n Definir as necessidades de proteção do bem de informação; n Autorizar e cancelar acessos; n Quando for o caso, definir o depositário do bem de informação. n Adotar os controles definidos; n Providenciar proteção física; n Estabelecer política de backup. n A área de informática mantém a custódia dos bens de informações da empresa. ANOTE A INFORMAÇÃO MOSTRADA PELO PROFESSOR

Onde estava o erro? n Não conhecimento total do cenário; n Pré conceito; n Tempo; n Falta de parâmetros; n Cultura; n Será que o mesmo ocorre quando classificamos as informações? INTRODUÇÃO - CONCEITO DE CLASSIFICAÇÃO Classificação significa a ação e efeito de classificar, onde classificar significa ordenar e dispor em ordem Uma ordem consiste de um número de elementos quaisquer (objetos e idéias) que possuem alguma característica comum pela qual devem ser diferenciados de outros elementos e a qual, ao mesmo tempo, constitui sua própria unidade. Classificar é escolher uma entre outras classificações logicamente possíveis, procurando encontrar para a escolha feita um conjunto de razões suficientes. Pode-se definir a classificação como um conjunto de conceitos organizados sistematicamente de acordo com os critérios ou características escolhidas. .– Material Exclusivo aos alunos do curso Informação Restrita

Exercício Classifique os dados abaixo de acordo como o seu tipo Assinalando com I Os dados do tipo inteiro, com F os dados do tipo fracionário, com L os literais, com B os lógicos (boolenos), e com N aqueles para os quais não é possível definir um tipo do dado. § ( )0 ( )-0.001 ( ) -0.0 § ( )1 ( )+0.005 ( ) falso § ( )0.0 ( )+3257 ( )V § ( )0. ( ) ‘a’ ( ) ‘abc’ § ( )-1 ( ) ‘+3257’ ( ) ‘F’ § ( ) -32 ( ) ‘ +3257’ ( ) ’Valor’ § ( )+36 ( ) ‘-0.0 ‘ ( ) verdadeiro § ( )+32. ( ) ‘.F.’ ( ) F/V

Anotar a observação do professor MAS PORQUE CLASSIFICAR AS INFORMAÇÕES? A principal razão é que as informações não possuem os mesmos níveis de confidencialidade. ou ainda, as pessoas podem ter interpretações diferentes sobre o seu grau. Quanto mais informatizado estiver o ambiente de informação, maior será a vulnerabilidade devido ao acesso quase indiscriminado que existe na maioria dos ambientes de informática. Alem disso a resposta a determinados tipos de situações varia de pessoa para pessoa A POLÍTICA DE CLASSIFICAÇÃO DA INFORMAÇÃO A política de classificação da informação assume a ponta no processo de implementação de uma estratégia de segurança porque ela nos fornecerá critérios para identificarmos que informações tem valor para sua companhia e, como se deve proceder ao manipulá-las. Com a classificação pode-se: n Identificar uma situação de risco mais facilmente e reagir em menor espaço de tempo. n Adotar procedimentos e ferramentas de proteção adequadas à cada tipo de informação, reduzindo os custos e aumentando a segurança .– Material Exclusivo aos alunos do curso Informação Restrita

SENSIBILIDADE, Classificando as informações de acordo com sua sensibilidade, e controlando o acesso de acordo com essa classificação, a organização poderá definir os modelos e as tecnologias que utilizará para preservar o CIDAL dos dados. A classificação da informação desenvolve-se de acordo com a criticidade que cada informação representa. Com a classificação desenvolvida, é implantado o melhor modelo para controle de acesso de acordo com as características da organização. Estes modelos irão definir as regras para controlar o acesso aos diversos tipos de informações classificadas. A NORMA DE CLASSIFICAÇÃO DA INFORMAÇÃO A norma de classificação da informação deve ser abrangente para ser eficaz, considerando todos os tipos de informação e todas as etapas de seu ciclo de vida, seja ela apresentada em suporte físico ou eletrônico. Não basta definir onde serão guardadas as informações e os documentos, mas deve, também, preocupar-se com a forma de registro e acompanhamento de seu trâmite pela empresa. O principal instrumento de controle de documentos do sistema de arquivos são as tabelas de classificação. São instrumentos que regulam o arquivamento da documentação, estabelecendo os prazos, critérios e responsabilidades pela conservação e/ou eliminação de documentos. O VALOR DA INFORMAÇÃO nOutro parâmetro que ajuda na classificação da informação é a identificação do valor da Informação, pois o mesmo poderá está ligado a diversos itens como os citados a seguir: n Valor da utilização: está relacionado com o uso final que se faz da informação. Pode ser valiosos para mais de um indivíduo ou grupo. n Valor da moeda de troca: está relacionado com aquilo que o usuário está preparado para pagar. Mudará de acordo com as leis de oferta e procura (valor de mercado). Pode ser maior, menor ou igual ao valo de uso. n Valor de Substituição: está relacionado ao de substituição de um bem em particular, pois algumas informações têm alto valor para quem as possui, porem possui limitado valor de troca ou de uso. n Valor do Segredo da informação: está relacionado a informação secreta ou de interesse comercial; COMO CLASSIFICAR? Exercício Todas as informações da Empresa devem ser classificadas e por isso cada dupla de alunos deverá criar 5 label para classificar as informações que foram encontradas no exercício de mapeamento de risco Exemplo: Na minha empresa as informações são classificadas como Importante sem importância...

COMO CLASSIFICAR? .– Material Exclusivo aos alunos do curso Informação Restrita

Todas as informações da Empresa devem ser classificadas em uma das quatro categorias definidas pelo Manual Institucional de Política de Segurança da Informação: CONFIDENCIAL, RESTRITA, INTERNA, PÚBLICA ou Secreta, e de acordo com a criticidade que representam para o negócio da Empresa.

RECOMENDAÇÕES PARA CLASSIFICAÇÃO n

SECRETA Informação que proporciona um diferencial competitivo e que revela estratégias específicas de negócio. CONFIDENCIAL - Seu conhecimento, uso e acesso são restritos a um grupo específico da alta administração da Empresa e dos usuários por ela designados nominalmente, não podendo ser divulgada total ou parcialmente, em qualquer formato a outros usuários não designados. RESTRITA- Trata-se da informação cujo acesso deve estar restrito aos usuários que dela necessitam para cumprir suas tarefas. Sua revelação externa causaria danos a empresa. INTERNA - É a informação de uso restrito a assuntos pessoais, técnicos ou organizacionais que tornam seu uso possível somente dentro da empresa. PÚBLICA - Refere-se à informação que pode estar disponível para os usuários externos ao ambiente da Empresa, incluindo clientes e fornecedores, sem que exista qualquer restrição em assuntos pessoais, técnicos ou organizacionais e cuja divulgação indevida não acarrete impacto a Empresa.

Outra Forma para classificar as informações n Vital n Informações essenciais para a sobrevivência da empresa, sem as quais não pode funcionar. Sua destruição pode ocasionar encerramento das atividades da organização. n Crítica n Informações cruciais para os objetivos da empresa. Em caso de perda, a organização pode vir a ter suas metas seriamente comprometidas, tendo que enfrentar prejuízos financeiros ou de imagem. n Valiosa n Informações valiosas para segmento ou indivíduo dentro da empresa. Sua perda pode causar transtornos para funções de negócios dentro da organização. Copiar o material informado pelo professor De forma individual cada aluno deverá levantar segundo os seus conhecimentos e relacionar 2 informações Secretas; 2 confidenciais e 2 Internas com base na sua empresa Fictícia * Para fazer isto o mesmo deve se basear nos Slides Valor da Informação e Recomendações para classificação da informação Exemplo de classificação das informações Anotar os exemplos passados pelo professor Após os assuntos de Analise de Risco Quem passou acredita que “Gerenciar Riscos” ajuda a diminuir seus problemas de segurança?

.– Material Exclusivo aos alunos do curso Informação Restrita

BIBLIOGRAFIA - Sites

n n n n n n n n n n n n

http://www.cert.og/ www.infoexame.com.br; http://www.iso17799.hpg.ig.com.br/index.htm www.sms.com.br www.egetron.com.br www.aceco.com.br www.caviglia.com.br www.isaca.com.br www.modulo.com.br www.drii.org www.nbso.nic.br www.abnt.org www.b5c.com.br

BIBLIOGRAFIA n Nakamura T., Emilio- Segurança de Redes em Ambientes Corporativos n GARFINKEL, S. SPAFFORD, G. Comércio & Segurança na Web - Riscos, Tec e Estratégias. Market Books, 1999. n Gil, Antonio de Loureiro. Segurança em Informática. Editora Atlas, 1998. n Gomes, Olavo Jose Anchieschi. Segurança Total, Editora Mckron Books, 2000. n Mc, Clure, Stuart, Josel Scambray, George Kurtz,. Hackers Expostos Segredos e Soluções para segurança de Rede Mckron Books, 2000. n Autor: anônimo. Segurança Máxima . Editora: Campus, Tradução da Terceira edição, . Mackon Books, 2000. n DIAS, Claudia, Segurança e Auditoria da Tecnologia da Informação, Axcel Books, 2000. n CARUSO, C.A.A., Segurança em Informática e de Informações, Editora SENAC SP, 1999. n OLIVEIRA, Wilson José de, Segurança da Informação - Técnicas e Soluções , Visual Books, 2001. n Sêmola, Marcos, Gestão da Segurança da Informação – Uma Visão executiva; Editora Campus, 2003 n Gil, Antonio de Loureiro. Segurança em Informática. Editora Atlas, 1998. n Gomes, Olavo Jose Anchieschi. Segurança Total, Editora Mckron Books, 2000. n Mc, Clure, Stuart, Josel Scambray, George Kurtz,. Hackers Expostos Segredos e Soluções para segurança de Rede Mckron Books, 2000. n Autor: anônimo. Segurança Máxima . Editora: Campus, Tradução da Terceira edição, . Mackon Books, 2000. n DIAS, Claudia, Segurança e Auditoria da Tecnologia da Informação, Axcel Books, 2000. n CARUSO, C.A.A., Segurança em Informática e de Informações, Editora SENAC SP, 1999. n OLIVEIRA, Wilson José de, Segurança da Informação - Técnicas e Soluções , Visual Books, 2001. n TERADA, Routo, Segurança de Dados - Criptografia em Redes, Edgard Blucher, 2000. n MCCLUER, Stuart, Hackers Expostos, Makron Books, 2000. n Padrões da Segurança da Informação do sistema Bancário Brasileiro n Fraudes Informatizadas, Antonio Loureiro Gil, Editora Atlas .– Material Exclusivo aos alunos do curso Informação Restrita