Diagnóstico e Projeto de Segurança
Diagnóstico
O processo de “Diagnóstico” consiste em analisar a probabilidade de ameaças explorarem vulnerabilidades, considerando-se os mecanismos de segurança implementados.
Tem como objetivo minimizar o risco, evitar perda de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negócios.
Qual é a situação atual?
Atualmente as empresas têm reconhecido que a Segurança das Informações desempenha um papel importante para que objetivos sejam atendidos e novos negócios sejam viabilizados. Contudo, as complexas topologias de rede atuais, onde às conexões estão ultrapassando fronteiras, estão cada vez mais em um ambiente hostil: atacantes estão colocando a prova a segurança das informações com uma freqüência cada vez maior e exigindo uma resposta aos incidentes ou ataques de forma cada vez mais rápida. Podemos perceber que no cenário atual, as empresas não são capazes de reagir aos ataques ao seu ambiente computacional a tempo de impedir prejuízos financeiros diretos e indiretos aos negócios. Sendo assim, o maior desafio das empresas atualmente é conseguir gerenciar a Segurança das Informações no seu ambiente tão complexo.
Qual é a situação “ideal”?
As empresas devem gerenciar a Segurança das Informações desenvolvendo estratégias pró-ativas e re-ativas, analisando todos os riscos para o processo de negócio. A elaboração de um trabalho voltado para o “Diagnóstico” da segurança, permite que as empresas analisem com eficiência o estado atual do ambiente, determinando o grau de proteção dos ativos em informações contra possíveis ameaças. Sendo assim, os esforços e orçamentos serão direcionados para atividades mais prioritárias para o processo de negócios.
a) Análise de Risco
b) Análise de Vulnerabilidades
c) Análise de Segurança na Aplicação
d) Teste de Invasão
Análise de Risco
A análise de risco da informação possui três objetivos principais: identificar riscos, quantificar o impacto das ameaças e conseguir um equilíbrio financeiro entre o impacto do risco e o custo da contramedida.
A identificação dos riscos e seu correto entendimento irá direcionar os investimentos de forma consciente obtendo melhores resultados.
A análise de riscos é usada para verificar possíveis ataques, ferramentas, métodos e técnicas que podem ser usados para explorar uma vulnerabilidade. A análise de riscos da informação é um método de identificação de riscos e avaliação dos possíveis danos que podem ser causados, a fim de justificar os controles de segurança.
A análise de risco da informação possui três objetivos principais: identificar riscos, quantificar o impacto de possíveis ameaças e conseguir um equilíbrio financeiro entre o impacto do risco e o custo da contramedida.
Um dos desafios da área de Segurança da Informação, ou até mesmo do departamento de Tecnologia da Informação, é integrar os objetivos do programa de segurança aos objetivos e requisitos de negócios. Para que todos os requisitos de negócios sejam atendidos, a empresa deve alinhar os objetivos de segurança com os objetivos de negócios. Apenas dessa forma o programa de segurança será bem sucedido.
A análise de risco ajuda a empresa a delinear um orçamento adequado para um programa de segurança e os componentes de segurança que formam esse programa. Quando a empresa souber o valor dos ativos e entender as possíveis ameaças a que eles estão expostos, a alta direção poderá tomar decisões inteligentes sobre o quanto investir na proteção desses ativos.
A análise de risco tem como objetivos:
• Identificar ameaças em potencial à segurança de TI (Tecnologia da Informação) e sua probabilidade aproximada.
• Identificar o valor dos ativos, inclusive seu valor indireto, caso sejam danificados ou violados.
• Usar esses valores quantificados para identificar as atividades mais adequadas e econômicas para proteger o ambiente.
• Definir e gerenciar uma diretiva formal de gerenciamento de riscos de segurança.
• Integrar o gerenciamento de riscos de segurança ao ciclo de vida da infra-estrutura de TI.
• Definir processos para aprimorar a especialização em gerenciamento de riscos na empresa por meio de iterações do ciclo do gerenciamento de riscos.
Análise de Vulnerabilidades
A confiabilidade, integridade e disponibilidade da informação são fundamentais para o bom andamento dos negócios.
Realizar inspeções de segurança para analisar a chance de perda para um ativo específico, possibilita uma estatística das vulnerabilidades existentes e os impactos resultantes. É uma etapa fundamental para definição correta das medidas de proteção e das necessidades de acerto no ambiente computacional.
O resultado final é uma análise do ambiente existente, comparando a situação atual com o ambiente desejado. São fornecidas recomendações técnicas e administrativas para minimizar os ricos e proteger os negócios.
Um fato muito comum que podemos encontrar em diversas empresas, é o profissional de TI acumular diversas tarefas e quase sempre sendo pressionado a realizar suas tarefas da maneira mais rápida possível e sem causar inconveniências aos usuários. Quando um incidente de segurança acontece, muitos profissionais de TI percebem que a única coisa que têm tempo de fazer é conter a situação, descobrir as causas e reparar os sistemas afetados no menor tempo possível.
A análise de vulnerabilidades identifica a raiz do problema e quais recursos são necessários para resolver o problema e minimizar o risco. A empresa começa a desenvolver uma estratégia reativa de segurança, minimizando o risco do ambiente computacional ser explorado por um atacante ou uma ameaça qualquer, a aproveitando melhor seus recursos computacionais.
Análise de Segurança na Aplicação
As aplicações (softwares e sistemas de computador) são desenvolvidas para automatizar e viabilizar os processos e negócios da empresa. Certificar que essas aplicações operem com a segurança necessária é fundamental para a viabilidade do próprio negócio.
A análise de segurança na aplicação consiste em analisar o contexto tecnológico e não tecnológico relacionado na aplicação e identificar quais os requisitos de segurança que existem ou que deveriam existir na aplicação. Avaliar o nível de garantia de segurança desses requisitos implementados na aplicação.
Todo o processo de avaliação é realizado em conformidade com a norma ISO/IEC 15408 Common Criteria.
O resultado final é a documentação da aplicação, o relatório final da avaliação e em caso de resultado positivo é emitido um Certificado de Segurança para a aplicação.
Quando uma empresa disponibiliza uma aplicação WEB na Internet, Intranet ou Extranet, a imagem da empresa e o seu sistema estão expostos a diversas ameaças. Para minimizar perdas financeiras, a única solução é identificar as ameaças e gerenciar os riscos associados. O desenvolvimento desta atividade permite realizar uma análise e concentrar os recursos nas questões relevantes, maximizando o retorno do investimento e garantindo a continuidade dos negócios.
O desenvolvimento desta atividade, em parceria com nossos clientes, é muito mais econômica e eficiente do que a implementação casual de sistemas de segurança sem o conhecimento preciso das ameaças que cada recurso de segurança deve solucionar.
Esta fase da metodologia BSM tem como objetivo identificar e classificar ameaças existentes na aplicação dos nossos clientes, com base em um conhecimento de vulnerabilidades das aplicações. O resultado das informações obtidas nesta fase possibilita tratar as ameaças existentes com as contramedidas apropriadas definindo prioridades, ou seja, começando pelas ameaças que apresentam maior risco para a organização.
Teste de Invasão
O teste de invasão tem como objetivo analisar os ambientes e seus sistemas de segurança pela ótica do invasor, sendo considerada uma técnica essencial para o bom andamento dos negócios. O objetivo não é causar danos, mas sim testar a eficácia dos mecanismos de segurança existentes.
a) Situação atual
b) Teste de Invasão
c) Macro etapas para o Teste de Invasão
d) Programa de Teste de Invasão
Situação atual
Atualmente, as organizações estão priorizando o aumento da segurança do seu ambiente computacional. Alguns fatores que contribuem com a estruturação da área de segurança dentro das organizações são:
a) Os negócios de qualquer organização são desenvolvidos através de uma rede computadores conectados à Internet.
b) Alguns regulamentos obrigam as organizações a manter as informações seguras, tais como:
1) Sarbanes-Oxley
2) California Senate Bill 1386 (SB 1386)
3) HIPAA (Health Insurance Portability and Accountability Act)
4) Resolução 3.380 do Banco Central do Brasil
c) Aumento da proliferação vírus de computador e ataques ao ambiente computacional.
Teste de Invasão
O teste de invasão é um conjunto de técnicas e metodologias para testar a conformidade com as regulamentações (nacionais e internacionais), normas internas e diretivas de segurança da informação.
É extremamente recomendado para:
a) Detectar vulnerabilidades desconhecidas.
b) Restringir a capacidade de hackers acessarem as informações da organização.
c) Evitar multas por não estar em conformidade com regulamentos (nacionais ou internacionais).
d) Limitar os pontos de exposição das informações da organização.
e) Avaliar a eficiência das medidas de segurança implementadas.
f) Evitar roubo de propriedade intelectual.
g) Evitar indisponibilidade dos negócios da organização.
Macro etapas para o Teste de Invasão
1. Coleta de informações, para levantar todo e qualquer tipo de informação disponível sobre a organização, em especial dados sobre endereços de máquina e redes, nomes de usuários, sistemas utilizados, serviços prestados, estrutura organizacional, etc.
2. Mapeamento do ambiente, após obtidas as informações iniciais, o especialista através de técnicas mais agressivas, procura mapear ainda mais a rede da organização. Enquanto na fase de coleta há pouca atividade diretamente realizada contra a rede avaliada, nessa etapa as máquinas passam a receber tráfego especificamente voltado para o levantamento da rede, como por exemplo port scanning, tcp/ip, fingerprinting, consultas sobre versões de aplicativos, etc.
3. Mapeamento de vulnerabilidades, é uma das partes mais importantes do teste de invasão. De posse do mapeamento do ambiente, o especialista é capaz de mapear vulnerabilidades de um sistema, através de banco de vulnerabilidades ou baseado em sua experiência. Essas vulnerabilidades podem ser tanto operacionais, como usuários com senha trivial, ou vulnerabilidades de software como uma versão insegura do Sistema Operacional ou seus aplicativos.
4. Exploração/Invasão, é a etapa do teste onde o especialista faz uso de ferramentas e técnicas para explorar as falhas observadas.
O teste de invasão envolve o uso de técnicas e ferramentas semelhantes a que os hackers usam para tentar invadir os destinos de negócios confidenciais.
Programa para o Teste de Invasão
O teste de invasão deve ser um processo contínuo:
1. Novas vulnerabilidades são descobertas quase diariamente.
2. Regulamentos e normas internacionais (ISO 27001 e ISO 17799) sugerem que seja realizado o teste de invasão para verificar se os requisitos estão implementados na organização.
3. Novos softwares e sistemas são implementados nas organizações.
4. Somente um programa contínuo de teste de invasão pode detectar os riscos e identificar como reduzi-los.
O programa de teste de invasão pode ajudar sua organização a:
1. Conhecer as necessidades de segurança e implementar medidas de proteção no ambiente de rede.
2. Ter controle total do ambiente de segurança, protegendo dispositivos técnicos e informações estratégicas para os negócios.
3. Reforçar, através da excelência técnica, a área de Tecnologia da Informação como a parceira fundamental no desenvolvimento dos negócios que sustentam a missão da organização.
4. Dotar o ambiente de Tecnologia da Informação com nível de segurança que possa viabilizar novos negócios.
5. Montar uma arquitetura de segurança que especifique as necessidades de segurança do ambiente informatizado.
Diretrizes
As “Diretrizes” consistem em proteger e preservar a empresa, suas informações e seus negócios. Também objetiva a ampliação da conscientização sobre segurança da informação e privacidade.
1. Documentar a visão estratégica da segurança;
2. Buscar a conformidade com a NBR ISO / IEC 17799;
3. Estruturar security officer e áreas de apoio;
4. Assegurar o manuseio, armazenamento, transporte e descarte adequado das informações;
5. Assegurar a continuidade dos negócios;
6. Assegurar conformidade com a legislação;
7. Definir normas e procedimentos de segurança para orientar a conduta adequada na classificação, controle e proteção das informações, com o intuito de minimizar os riscos e diminuir o grau de exposição da empresa sem comprometer o bom funcionamento dos negócios;
8. Ampliar a conscientização sobre segurança e privacidade da informação;
9. Definir responsabilidades.
Determinação de Controles de Segurança
Planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem.
Quando a empresa conhece as situações de risco e as vulnerabilidades existentes no seu ambiente computacional, o gestor consegue tomar decisões para a implementação de medidas de proteção. Todo o trabalho deve ser direcionado levando em conta os aspectos estratégicos, financeiros e técnicos existentes para a empresa. As informações coletadas durante as fases de análise de risco e vulnerabilidades devem permitir a criação de um quadro que facilite à justificativa de investimentos, a alocação de verbas e a priorização das metas necessárias.
Com a determinação do controle de segurança, o gestor pode elaborar o planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem, definindo quais metas devem ser trabalhadas, com que prioridade e com qual investimento.
Determinação de Controles de Segurança
Planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem.
Quando a empresa conhece as situações de risco e as vulnerabilidades existentes no seu ambiente computacional, o gestor consegue tomar decisões para a implementação de medidas de proteção. Todo o trabalho deve ser direcionado levando em conta os aspectos estratégicos, financeiros e técnicos existentes para a empresa. As informações coletadas durante as fases de análise de risco e vulnerabilidades devem permitir a criação de um quadro que facilite à justificativa de investimentos, a alocação de verbas e a priorização das metas necessárias.
Com a determinação do controle de segurança, o gestor pode elaborar o planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem, definindo quais metas devem ser trabalhadas, com que prioridade e com qual investimento.
Plano de Continuidade de Negócios
A Continuidade de Negócios é um conceito de importância cada vez maior, na medida em que antigas fórmulas não garantem o que efetivamente é necessário: a segurança da continuidade diante de eventos adversos.
Não podemos mais falar de forma isolada em Redundância, Backup Site, Recuperação de Erros… Nossa realidade atual é a de Análise de Risco e Análise de Impacto. E o que pode nos dar segurança é a existência de um Plano de Recuperação de Desastres, de um Plano de Contingência Operacional e de um Plano de Continuidade de Negócios que se complementem de forma harmoniosa, eficiente e eficaz.
O PCN (Plano de Continuidade de Negócios) realístico é de vital importância para que os nossos clientes possam cumprir os compromissos assumidos junto aos seus clientes, independentemente de interrupções maiores no uso de softwares, hardware, infra-estrutura, etc.
Implementação
Definição, organização e preparação da estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação dentro da empresa.
Implementação de Controles de Segurança
Após analisar a probabilidade de ameaças explorarem vulnerabilidades e definir as normas de segurança para orientar a conduta adequada na classificação, transporte, manuseio, controle e proteção das informações, com o intuito de minimizar os riscos, o próximo passo é a implementação de um projeto de segurança e treinar toda a equipe envolvida com a segurança da informação.
Os sistemas operacionais contam com diversos recursos para aplicar medidas de proteção aos ativos da empresa em conformidade com as regras estabelecidas na política de segurança. Sendo assim, a implementação de um projeto de segurança nem sempre representa investimentos diretos em hardware e software.
A configuração dos sistemas operacionais, seguindo as regras estabelecidas na política de segurança, aumenta o nível de disponibilidade, auditoria, contingência, etc. Uma gestão eficiente de segurança da informação deve aproveitar essas características para assegurar a proteção e o bom funcionamento do ambiente computacional.
Porém, dependendo das necessidades de segurança, as configurações do sistema operacional não são suficientes para assegurar o nível de proteção exigido para os negócios. Dessa forma, será necessário complementar com mecanismos adicionais de segurança. As soluções devem ser integradas, baseadas nas necessidades dos negócios, em conformidade com a política de segurança e de acordo com as melhores opções existentes no mercado.
Campanha de Divulgação
É importante que a empresa disponha de uma política de segurança atualizada e alinhada às necessidades do negócio, porém, é fundamental que a política de segurança seja reconhecida pelos usuários como o manual de segurança da empresa.
A campanha de divulgação assegura que os usuários estejam cientes das ameaças e das preocupações de segurança da informação e estarão aptos a apoiar a política de segurança da organização durante a execução normal do seu trabalho.
E a política, como vai?
Um outro aspecto importante que deve ser levado em consideração quando da elaboração de uma Política de Segurança é a classificação das informações. É preciso que elas sejam claramente classificadas para que seja possível controlar o acesso aos dados, evitando, dessa forma, que pessoas não autorizadas tenham acesso às informações.
Para tanto, é preciso classificar todas as informações segundo grau de importância e teor crítico:
a) Informações Confidenciais: são aquelas que devem ser disseminadas somente para empregados previamente definidos;
b) Informações Corporativas: devem ser disseminadas somente dentro da empresa;
c) Informações Públicas: podem ser divulgadas dentro e fora da empresa.
É importante também que o responsável pela Política de Segurança execute ações para manter o controle de eventos logados nos sistemas corporativos. São elas:
a) Trilhas de auditoria;
b) Definição de políticas de backup, de uso de software, de acesso físico às instalações da empresa e de acesso lógico;
c) Controle anti-pirataria;
d) Definição da linha mestra do software utilizado no ambiente computacional da empresa;
e) Controle de acesso físico e lógico (dia e hora do acesso, endereço eletrônico do usuário, ações executadas, log de acessos);
f) Definição de ambientes físicos de alto grau crítico;
g) Monitoramento de ambientes;
h) Definição de perfis de acesso aos ambientes e aplicativos, definição e controle de senhas e user identification;
i) Criptografia e certificação digital;
j) Configuração de firewall
Normas de acesso externo
Outra questão relevante para a estruturação de uma Política de Segurança é a definição de normas de acessos externos à empresa. Não basta instituir uma série de regras a serem cumpridas internamente. Para garantir a segurança de uma empresa é necessário estabelecer procedimentos para o acesso de parceiros externos à corporação. Confira alguns deles:
a) Definição de convênios para acesso às bases corporativas e da política de uso da intranet e Internet;
b) Definição de modelo de identificação de pirataria; de gerenciamento de rede; de distribuição de versões de software e de padrões de home page;
c) Detecção de inatividade de modems ligados à rede;
d) Definição do padrão de atualização de anti-vírus e do acesso de empregados ao provedor corporativo;
e) Padronização da home page institucional e da home page comercial;
f) Implantação, roteamento, criptografia e certificação digital
g) Configuração de firewall
Abraços,
Ranieri Marinho de Souza
Segurança da Informação