Segurança da Informação

Abaixo segue um Exemplo de Política de Segurança da Informação

ITEM 1: AUTONOMIA DO DEPARTAMENTO DE TI
- O departamento de TI possui total autonomia para atuar sobre os equipamentos da empresa, sem prévio aviso, no que se refere aos seguintes tópicos:
- Realização de auditoria local ou remota;
- Definição de perfis de usuários cujos privilégios não permitam a realização de atividades tidas como prejudiciais ao hardware e software ou à rede como um todo;
- A instalação e configuração de softwares de monitoramento;
- A desinstalação de quaisquer softwares considerados prejudiciais à rede;
- O credenciamento e descredenciamento de usuários;

ITEM 2: DIRETRIZES QUANTO À UTILIZAÇÃO DA INTERNET
- A internet deve ser utilizada para fins corporativos, o enriquecimento intelectual de seus colaboradores ou como ferramenta para busca de informações que venham contribuir para o desenvolvimento de seus trabalhos.
- O uso para fins pessoais, mediante o consentimento do responsável pelo setor, fica restrito à consulta de movimento bancário e ao acesso ao e-mail pessoal, estando vedadas práticas abusivas tais como a circulação de correntes, material ponográfico entre outros.

ITEM 3: E-MAIL CORPORATIVO
- Desconfiar de todos os e-mails com assuntos estranhos ao ambiente de trabalho. Não reenviar e-mails do tipo corrente, aviso de vírus, avisos da Microsoft/AOL/Symantec, criança desaparecida, entre outros.
- Evitar enviar anexos acima de 10 Mbytes.

ITEM 4: A REALIZAÇÃO DE DOWNLOAD
- A realização de downloads exige banda de navegação do servidor e , se realizado em demasia, congestiona o tráfego e torna a navegação para os demais usuários mais demorada.
- A realização de downloads deve ser vista com muito cuidado e feita somente em casos de extrema necessidade.Além disso, estará limitada a arquivos de no máximo 1 MB (Mega Byte), pois downloads de arquivos de tamanho superior podem congestionar o fluxo de tráfego e comprometer os sistemas que funcionam on-line.

ITEM 5: EXECUÇÃO DE JOGOS E RÁDIOS ON-LINE
- É terminantemente proibida a execução de jogos, músicas ou rádios on-line, visto que esta prática congestiona a banda de internet, dificultando a execução de serviços que necessitam deste recurso.

ITEM 6: SENHAS DE ACESSO
- Cada setor deverá, através de comunicado oficial, indicar novos colaboradores e o perfil que devem possuir na rede e nos sistemas da empresa.
- A senha de acesso é pessoal, intransferível, cabendo ao seu titular total responsabilidade quanto seu sigilo.
- O compartilhamento de senhas de acesso é absolutamente proibido e o titular que divulgar sua senha a outrem responderá pelas infrações por esse cometidas, estando passível de advertência. Caso o usuário desconfie que sua senha não seja mais segura, poderá solicitar ao departamento de TI a alteração desta.
- As senhas têm validade de 30 dias.

ITEM 7: SOFTWARES DE CONVERSAÇÃO INSTANTÂNEA
- É permanentemente proibido aos setores o uso de softwares de conversação instantânea, ou de qualquer mecanismo que venha promover serviço semelhante, existentes ou que venham a existir.
- Pode haver permissão especial a qualquer setor para utilização de Instant Messengers, desde que seja para fins corporativos e comprovadamente utilizados em assuntos comerciais e/ou para suporte.

ITEM 8: A INSTALAÇÃO DE SOFTWARES
- Qualquer software que, por necessidade do serviço, necessitar ser instalado, deverá ser comunicado ao departamento de TI, que procederá a instalação caso constate a necessidade do mesmo. Fica proibida a instalação de qualquer software sem licença de uso.
- O departamento de TI poderá utilizar de sua autonomia citada no Item 2 deste instrumento para desinstalar, sem aviso prévio, todo e qualquer software sem licença de uso, em atendimento à lei do software (Lei 9.609/98).

ITEM 9: PENALIDADES
- O usuário que infringir qualquer uma das diretrizes de segurança expostas neste instrumento estará passível das seguintes penalidades (sem prévio aviso):
- Perda da senha de acesso aos sistemas e Internet;
- Cancelamento da caixa de e-mail;
- Advertência formal por intermédio do departamento de RH podendo levar inclusive a demissão do colaborador.

ITEM 10: EQUIPE DE SEGURANÇA DA INFORMAÇÃO
- Os servidores relacionados a seguir são diretamente responsáveis pela implantação presente política:
- Gestor de TI;
- Analista de Sistemas;
- Analista de Suporte.

ITEM 11: DIVULGAÇÃO E TREINAMENTO
- A política deve ser divulgada por intermédio de treinamento aos colaboradores, clientes e fornecedores, podendo ainda ser divulgada por e-mail, mural ou jornal interno.

ITEM 12: VIGÊNCIA E VALIDADE
- A presente política passa a vigorar a partir da data de sua homologação e publicação, sendo válida por tempo indeterminado podendo ser alterada conforme necessidades previamente detectadas.

Observação
Como disse este é um exemplo, cada empresa deve desenvolver e aplicar sua política de acordo com suas necessidades.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Introdução
A maioria das aplicações de alguma maneira está ligada à Internet. A Internet pode ser considerado um marco importante que reavalia a maneira de utilizarmos o computador.

Porém, se por um lado a Internet é uma ferramenta mais indispensável a cada dia, e existe um número crescente de pessoas conectadas, isto leva inevitavelmente, a existir pessoas que vão se aproveitar da situação para ter benefício próprio de forma ilegal.

Com aumento dos números de aplicações e complexidade das redes, as pessoas e sistemas estão mais e mais susceptíveis a ataques.

O que é segurança?
Muito comum empresas que acreditam estar seguras, já foram atacadas e não possuem tecnologia para detectar se já foram comprometidas

Análise de LOG, IDS, PenTest, Fingerprinting do Filesystem e Auditoria forense são técnicas para verificar se sua rede continua segura.

Um dos termos que se tornam mais obsoletos hoje em dia é a chamada “segurança de rede”. Este vem sendo rapidamente substituído pela “segurança da informação”.

Uma informação é algo valioso. Podemos refletir sobre o assunto valor de uma informação, pensando rapidamente em alguns exemplos. Pode ser uma tarefa árdua quantificar o valor de uma informação ou uma falha de segurança.

Quanto custa a informação de como é produzido seu produto? Quais os diferenciais competitivos da sua empresa? Se essa informação cair em mãos erradas, o possível prejuízo pode ser catastrófico. Isso pode ser mensurado em reais ou dólares.

Talvez um pouco mais difícil seja saber quanto vale a informação, por exemplo, do saldo bancário de correntistas de um banco ou o salário do diretor da empresa! Se esta informação cair em mãos erradas, descobrir o nome e dados de um correntista ou diretor, isto pode causar um sério risco a segurança pessoal e familiar, pois estariam sujeitas a um assalto ou seqüestro.

Tão ruim quanto isso, é um ambiente onde se fosse noticiado para seus clientes sobre o ataque feito na sua empresa? Talvez a credibilidade dela fosse altamente afetada, pois os clientes tendem a perder a confiança em locais que já foram atacados. Por isso mesmo, muitas vezes estes ataques nunca serão conhecidos pelo público. Portanto, um ataque custa dinheiro. Informação custa dinheiro.

A única saída é proteger-se com várias técnicas de segurança da informação.

Segurança da informação mais aplicadamente à nosso assunto, vem da idéia de que informações ou conhecimentos estejam seguros e protegidos contra pessoas que não precisam (ou não devem) ter acesso àquela informação. Podemos também pensar que segurança da informação é um conjunto de medidas que constitui basicamente de controles e de políticas de seguranças, tendo como objetivo a proteção das informações, controlando o risco de revelação ou alteração por pessoas não autorizadas.

Porque acontecem ataques?
De alguma maneira, ataques acontecem porque existe:

a. Uma motivação de um hacker (que aqui chamaremos de atacante);
b. Uma falha na estrutura de segurança do alvo atacado;
c. Um desconhecimento do valor da informação.

Podemos então imaginar isto como uma balança: Quanto mais vulnerável o sistema de segurança de uma empresa, menos motivação precisa o hacker, pois é mais fácil efetuar o ataque. Se o sistema for muito bem protegido, entende-se que o hacker precisará de mais conhecimento, maior motivação e mais tempo para atacar.

Administradores de redes cada vez mais despreparados para suportar essa crescente onda de ataques e acúmulos de funções, dedicando cada vez menos tempo para se preocupar com a segurança, adicionado à idéia de que a pessoa nunca será alvo de um ataque é mais um fator a ser levada em consideração.

Entretanto, com o aumento exponencial de ataques e vulnerabilidades dos sistemas, muitas vezes causados pelo esquema de rede excessivamente complexo, os profissionais de informática costumam saber que segurança é algo importante, porém os proprietários de empresas muitas vezes não acreditam que podem ser atacados. “Porque atacarão à mim se existem tantos alvos maiores por aí?”. Tenho certeza que você já ouviu falar em pequenas empresas ou pessoas que tenham sido atacadas recentemente.

Mitos em segurança
Podemos agora ver alguns mitos da segurança e já podemos entender o porquê estes são mitos:

• Isto nunca acontecerá conosco;
• Nunca fomos atacados, não precisamos de mais segurança;
• Já estamos seguros com um firewall;
• Utilizamos os melhores (mais caros) sistemas de segurança, então eles devem ser seguros;
• Não podemos gastar com segurança agora, deixa assim mesmo;
• Ninguém vai descobrir essa “falhinha” de segurança;
• Tomamos todas as atitudes e precauções. Testes não são necessários;
• Nosso parceiro é confiável, pode liberar acesso para ele.

Esses mitos são rapidamente derrubados e percebe-se a necessidade imediata de ações para proteção da sua empresa.

Tipos de Ataques
Aqui estão alguns tipos de ataques:

• Conhecimento da rede
• Network e Port Scanning
• Firewalking
• Obtenção de informação por DNS Querying, WINS, Reverse, WHOIS, Finger, Google, Dumpster Diving, Version Determination, Scanning de vulnerabilidade, Pentest e OS Version Determination
• Falta ou má Politica de Segurança
• Senhas fáceis
• Senhas públicas
• Vazamento de Informações
• Ataques de Redes
• Sniffing ou Eavesdropping, 802.1q e Trunking, IP Spoofing, Source Routing, Envenenamento de Roteamento Dinâmico
• Negação de Serviço
• Bug em Servidores, Serviços, Sistemas Operacionais e aplicativos
• SYN, ICMP Flooding
• Smurf/Flanggle
• Fragmentação IP
• Man-in-the-middle, DNS Tampering, ARP Tampering, Sequestro de Conexão e Predição de número de seqüência
• Acesso
• Redes sem fio (Criptografia fraca, falta de autenticação mutua, AP Rogue, etc)
• Falta de autenticação em switches
• Controle de Acesso físico
• Ataques a Aplicações
• Buffer Overflow
• SQL Injection
• Poison Null, Upload Bombing, Hyperlink Spoofing, Exploits
• Virus, cavalos de troia
• Engenharia Social

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

ISO 17799 - Código de Prática para SGSI
Foi baseada na norma britânica BS 17799-1:1999 sendo aplicada como um documento de referência, que é chamada de guia de melhores práticas (de orientações para as organizações).

Consistindo de uma grande lista de controles para garantir a segurança da informação. A ISO 17799 é composta pelos requisitos principais apresentados na lista a seguir:

Requisito Descrição
- Política de segurança: São as normas desenvolvidas que consideram as responsabilidades, punições e autoridades;
- Segurança organizacional: Estrutura da gerência de segurança;
- Classificação e controle de ativos de informação: Classificação, registro e controle dos ativos;
- Segurança relacionada às pessoas: Foco do risco decorrente de atos decorrentes de ações das pessoas;
- Segurança ambiental e física: Levantamento da necessidade de definição das áreas de circulação restrita e de se proteger equipamentos e infra-estrutura de TI;
- Gerenciamento das operações e comunicações: Aborda temas relacionados a: procedimentos operacionais, homologação e implantação de sistemas, entre outras;
- Controle de acesso: Controle do acesso aos sistemas, definição de competências e responsabilidades;
- Desenvolvimento e manutenção de sistemas: Requisitos para sistemas, criptografia, arquivos e desenvolvimento e suporte de sistemas;
- Gestão de incidentes de segurança: Notificação de vulnerabilidades, ocorrências de segurança e gestão de incidentes;
- Gestão da continuidade do negócio: Reforço na necessidade de ter um plano de continuidade e contingência;
- Conformidade: Referente à necessidade de observar os requisitos legais, como a propriedade intelectual.

ver artigo completo em: http://blog.segr.com.br/iso-27001-iso-17799/

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

ISO 27001 – Sistema de Gestão de Segurança da Informação (SGSI)

A ISO 27001 incorpora um processo de escalonamento de risco e valorização de ativos, orientando quanto à análise e identificação de riscos e a implantação de controles para minimizá-los. O grau em que o sistema é organizado e contêm processos estruturados irá facilitar a replicação do sistema de um local para outro. Uma empresa pode implantar a ISO 27001 em sua sede e depois replicá-la em suas filiais.

O SGSI pode ser simplesmente definido como um comitê multidisciplinar que tem com principal responsabilidade estabelecer políticas de segurança, multiplicar o conhecimento envolvido e também determinar os responsáveis e as medidas cabíveis dentro de seus limites de atuação.

Com a alta direção compromissada e o treinamento eficaz dos colaboradores, é possível se reduzir o número de ameaças que exploram eventuais vulnerabilidades. Na lista a seguir apresentam-se os requisitos existentes na norma ISO 27001.

1 - Escopo: Abrangência da Norma;
2 - Referência Normativa: Normas e padrões relacionados à norma 27001;
3 - Termos e Definições: Termos e definições relacionados à segurança da informação;
4 - Sistema de Gestão de Segurança da Informação: Referente à criação, implementação, monitoramento e melhoria do SGSI, também trata de documentação e registros de informações;
5 - Responsabilidade da Direção: Definição de responsabilidades, treinamento e provisão de recursos do SGSI;
6 - Auditorias Internas: Auditorias internas realizadas por pessoal treinado e comprometido com o SGSI;
7 - Analise crítica do SGSI: Análise realizada pelo corpo diretivo da organização das ações efetuadas pelo SGSI;
8 - Melhoria do SGSI: Trata das ações corretivas e preventivas efetuadas pelo SGSI.

Ver artigo completo em: http://blog.segr.com.br/iso-27001-iso-17799/

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Tem como principal objetivo restituir a confiança do investidor no mercado de capital e nos auditores independentes, alem de elevar o nível de responsabilidade e comprometimento da Direção das Companhias, no que se refere aos processos e controles internos.

SOX focaliza especificamente na exatidão de registros financeiros de uma empresa e dos controles relacionados à renda, despesas, contabilidade, responsabilidades, e assim por diante.

A segurança da informação é um componente fundamental da conformidade da SOX em relação aos controles contábeis da empresa.
A direção da empresa é responsável não somente pela informação financeira, mas também pelo modo que a informação é gerada, obtida, coletada, armazenada, processada, e transmitida, e esta responsabilidade pode somente ser conseguida com um sistema de gerência eficaz da segurança da informação.

Sox - A Dependência na Infra-estrutura de TI
A infra-estrutura de TI possui um papel essencial nos levantamentos Sarbanes Oxley. O tratamento e controle de dados financeiros dependem diretamente da infra-estrutura. A qualidade, a segurança e confiabilidade dos dados financeiros estão diretamente relacionadas aos níveis da qualidade e da segurança implementados na infra-estrutura que suportam os sistemas de informação.

Controle dos processos gerais da área de tecnologia que suportam os Processos de Negócio e as Aplicações Financeiras tem relacionamento dependência direta da infra-estrutura de TI, em particular nas bases de dados, no sistema operacional e nas redes. Portanto, deve-se atentar para os aspectos de:

• Planejamento e organização;
• Direcionamento tecnológico;
• Pessoas;
• Segurança;
• Gestão de Mudança;
• Operação.

Sox - A Dependência nos Sistemas de Informações:
A tecnologia da Informação possui um papel essencial nos levantamentos Sarbanes Oxley. O tratamento e controle de dados financeiros dependem diretamente de sistemas. A qualidade e confiabilidade dos dados financeiros está diretamente relacionada a ao nível da qualidade aplicado no desenvolvimento, manutenção e operação dos sistemas de informação.

Controles automáticos das aplicações que geram impacto financeiro deverão ser identificados durante os levantamentos de controles de processos de negócio.
Controles automáticos cooperam para este fim, sem a necessidade de intervenção humana para sua operação.

È fundamental que se rastreia e documentos todo relacionamento entre as aplicações financeiras e as outras aplicações de negócio da empresa. Nem sempre a origem dos dados se dá na aplicação financeira e sim no sistema de “billing” da empresa. Como por exemplo, um sistema comercial que faz faturamento, cobrança e arrecadação, fornecendo informações para a área financeira da empresa. Todo o cuidado deve ser tomado com relação à integridade das informações desde sistema comercial.

Controles ou aplicações de controle a serem implementados nas Aplicações Financeiras têm participação direta nas atividades de:

• Planejamento, monitoramento e controle do processo de desenvolvimento da aplicação financeira e outras que gerem dados para estas;
• Verificação da adequação dos aspectos funcionais com as necessidades reais de negócio;
• Validação da adequação dos aspectos funcionais com a implementação física da aplicação financeira e das outras aplicações relacionadas;
• Cálculos realizados;
• Atualização de Dados;
• Interfaces com outros aplicativos;
• Limites de tolerância aceitáveis;
• Limites aprovados;
• Transferência Automática de informação entre aplicações;
• Segregação de tarefas;
• Gerenciamento dos requisitos e das mudanças realizadas nas aplicações.

Todo risco corporativo, quer seja operacional, financeiro ou digital requer um controle para que seja minimizado:

• Restrições de acesso às transações ou funcionalidades sistêmicas relevantes do ponto de vista que afete direta ou indiretamente as demonstrações financeiras;
• Controles programados através de parâmetros que definem a funcionalidade da aplicação diante de uma transação que demanda controle;
• Controle programado no sistema destino com o objetivo de bloquear entradas incorretas ou não integra, alertando sobre as inconsistências bloqueadas.

Sox - A Seção 404

Esta seção determina a avaliação anual dos controles e procedimentos internos para fins de emissão do relatório financeiro. É necessário analisar, modificar, implantar e assegurar uma cultura de controles internos (se necessário, redesenhar processos de controles) a fim de assegurar a confiabilidade das informações, realizar diagnósticos de compliance, eliminar processos redundantes, gerar a confiabilidade de sistemas e aplicações, manter a segurança das informações disponíveis (acessos/permissões, compartilhamentos, …), garantir veracidade de dados de saída (onde, com prazos mais curtos para emissão de diversos relatórios, prevalece mais do que nunca, a importância de uma única base, evitando variadas fontes de informações).

Para atender os controles das demandas voltadas a SOX, a TI deverá utilizar frameworks nacionais e internacionais, tais como:

• Plano de continuidade de negócios;
• CobiT - governança em TI;
• ITIL - gestão de serviços de TI;
• CMMI - gestão para o desenvolvimento de software
• ISO 27001 segurança da informação
• ISO 9001 gestão da qualidade

A correta implantação e manutenção da aplicação destes modelos irão garantir a adequabilidade dos sistemas de informação às exigências da Sox.

Abraços,
Ranieri Marinho de Souza
http://www.segr.com.br/