Segurança Da Informação Aplicada

1o Encontro do Subcomitê
de Segurança da Informação
RIO DE JANEIRO, 17 DE AGOSTO DE 2009
Segurança da Informação Aplicada

Eduardo Vianna de Camargo Neves, CISSP
ISSA Brasil
www.issabrasil.org
Uma Visão Geral da
Information Systems
Security Association
ISSA Brasil 2 Segurança da Informação Aplicada

Sobre a ISSA

Sobre a ISSA
Papel na Sociedade

Sobre a ISSA
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação

Sobre a ISSA
Papel na Sociedade
• “The global voice of information security”

Sobre a ISSA
Papel na Sociedade
Estrutura Operacional

Sobre a ISSA
Papel na Sociedade
• Mais de 10 mil membros distribuídos em 136 Capítulos

Sobre a ISSA
Papel na Sociedade
• Presente em 70 países

Sobre a ISSA
Papel na Sociedade
• Presente em 70 países
• Mais de 100 membros no Brasil

Sobre a ISSA

Sobre a ISSA
Por que se associar?

Sobre a ISSA

• Acesso a informações e
eventos exclusivos

Sobre a ISSA

eventos exclusivos
• Networking on-line e off-line

Sobre a ISSA

eventos exclusivos
• Descontos e promoções em
eventos e atividades do setor

Sobre a ISSA

eventos exclusivos
• Descontos e promoções em
eventos e atividades do setor
• Contribuição com a sociedade

Falando sobre Segurança
da Informação

Histórico da Disciplina

Proteção da Informação

• Início durante as primeiras civilizações

• Alteração de escopo com o advento dos computadores


• Competências militares durante a II Guerra Mundial

• Desenvolvimento nos EUA e Europa

• Desenvolvimento nos EUA e Europa
• Alteração de escopo com o advento da Internet

Timeline

Timeline

Timeline
Captain
Cruch
1970
Cena Hacker
Primeiros
esforços para
um modelo de
IT Security

Timeline
Captain The
Cruch 414s
1970 1980
Cena Hacker Furtos on-line
Primeiros Primeiras leis

esforços para sobre IT
um modelo de Security nos
IT Security EUA

Timeline
Captain The Caso

Cruch 414s Citibank
1970 1980 1990
Cena Hacker Furtos on-line Cena Cracker

esforços para sobre IT Eligible
um modelo de Security nos Receiver 97
IT Security EUA

Timeline
Captain The Caso Trustworthy

Cruch 414s Citibank Computing
1970 1980 1990 2000
Cena Hacker Furtos on-line Cena Cracker ILOVEYOU

Department of
Homeland
Security
IT Security EUA

Timeline
Captain The Caso Trustworthy Casos no

Cruch 414s Citibank Computing Brasil
1970 1980 1990 2000 2006
Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC

Department of
Homeland PCI Council
Security
IT Security EUA

Timeline
Captain The Caso Trustworthy Casos no Heartland

Cruch 414s Citibank Computing Brasil Payment
1970 1980 1990 2000 2006 2009
Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Crime Organizado

Department of Lei de Crimes
Homeland PCI Council Cibernéticos no
Security Brasil
IT Security EUA

Segurança da Informação hoje

Proteção da Infra-estrutura

• Legislações específicas e normas reguladoras

• Atuação das forças militares e policiais

Proteção das Empresas


• Cumprimento da legislação e autoregulamentação


• Estrutura de IT Security como força de trabalho


Proteção da Sociedade


• Conteúdo variado disponível na Internet


• Conteúdo variado disponível na Internet
• Atuação de ONGs e grupos de trabalho



Segurança da Informação amanhã?

Segurança da Informação amanhã?

A Aplicação da

Distribuição de controles

Estrutura

Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização

Estrutura
• Qual é o nível de risco que você está disposto a correr?

Estrutura
• Quais controles compensatórios podem ser implementados?

Estrutura
Abordagem

Estrutura
Abordagem
• Nível de Segurança atual x Modelo Planejado

Estrutura
Abordagem
• Evolução do nível de maturidade

Estrutura
Abordagem
• Evolução do nível de maturidade
• Modelo de Gestão adequado à sua realidade

Governança, Risco e Compliance

Definição

Definição
• GRC é um termo que tem crescido nas discussões sobre
IT Security nas organizações

Definição
• GRC é um termo que tem crescido nas discussões sobre
IT Security nas organizações
• Gestão de múltiplas atividades que trabalham em

conjunto para atender às premissas estabelecidas pela
organização


Responsabilidade do
Corpo Executivo
Governança

Gestão de níveis
Responsabilidade do
aceitáveis pela
Corpo Executivo
Organização
Governança Risco

Gestão de níveis Aderência a

Responsabilidade do
aceitáveis pela regulamentações,
Corpo Executivo
Organização normas e Legislação
Governança Risco Compliance

Governança Risco Compliance

Governança
Risco
Compliance

• Definição do nível de risco

• Suporte na aderência às Práticas de Mercado
Governança • Alocação de recursos
Risco
Compliance


• Performance x Segurança
• Aceite de controles compensatórios
Risco • Parceiros e fornecedores
Compliance


• Performance x Segurança
• Aceite de controles compensatórios
Risco • Parceiros e fornecedores
• Legislação (Código Civil)

• Regulamentação (BACEN 3.380, SUSEPE)
Compliance • Práticas de Mercado (PCI DSS, SOX)

Posicionamento de controles

Os controles estão distribuídos em áreas específicas, porém

podem e devem ser gerenciados de forma conjunta


Controles Documentais
• Políticas de Segurança
• Normas de Uso
• Padrões Técnicos


Controles Documentais Controles Processuais
• Políticas de Segurança • Administração de

• Normas de Uso Patches
• Padrões Técnicos • Treinamento e
Capacitação
• Resposta a Incidentes


Controles Documentais Controles Processuais Controles Técnicos
• Políticas de Segurança • Administração de • Rede de Dados

• Normas de Uso Patches • Aplicações Legadas
• Padrões Técnicos • Treinamento e • Desenvolvimento
Capacitação
• Resposta a Incidentes


Definição

Definição
• Estabelecem os critérios que devem ser aplicados na proteção das
informações da Organização

Definição
Modelos

Definição
Modelos
• Legislação e Regulamentações específicas

Definição
Modelos
• Práticas de mercado estruturadas em normas

Definição
Modelos
• Práticas de mercado estruturadas em normas
• Política de Segurança da Informação

Controles Processuais

Definição

Definição
• Definem como os processos internos devem ser desenvolvidos para
atender os critérios estabelecidos para a proteção das informações da
Organização

Definição
Organização
Modelos

Definição
Organização
Modelos
• Postura administrativa e gerencial

Definição
Organização
Modelos
• Estabelecimento de processos internos

Definição
Organização
Modelos
• Estabelecimento de processos internos
• Procedimentos Operacionais e Instruções Técnicas

Controles Técnicos

Controles Técnicos
Definição

Controles Técnicos
Definição
• Realizam o enforcement necessário para que os processos internos
sejam desenvolvidos atendendo os critérios estabelecidos para a
proteção das informações da Organização

Controles Técnicos
Definição
Modelos

Controles Técnicos
Definição
Modelos
• Hardware e Software dedicados

Controles Técnicos
Definição
Modelos
• Parametrização do Ambiente Informatizado

Controles Técnicos
Definição
Modelos
• Parametrização do Ambiente Informatizado
• Forma de atuação do Corpo Técnico

Juntando as peças em uma composição


Perímetro de
Segurança Física

Perímetro de
Segurança Física
Controle de Acesso
Físico

Perímetro de
Segurança Física
Controle de Acesso
Físico
Controle de Acesso
na Rede de Dados

Perímetro de
Segurança Física
Controle de Acesso Controle de Acesso

Físico na Aplicação
Controle de Acesso
na Rede de Dados

Perímetro de
Segurança Física
Criptografia de
Arquivos

Controle de Acesso
na Rede de Dados

Perímetro de
Segurança Física
Criptografia de
Arquivos

Como administrar
Controle de Acesso este modelo?
na Rede de Dados

A mudança de postura no modelo de
administração do risco

A Postura Atual

A Postura Atual
Modelo Comum

A Postura Atual
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas

A Postura Atual
Modelo Comum
• Posicionamento de uma ferramenta de controle de aderência

A Postura Atual
Modelo Comum
Problemas Identificados

A Postura Atual
Modelo Comum
• Não existe um modelo pronto para cada Organização

A Postura Atual
Modelo Comum
• A implementação abrupta causa reações não planejadas

A Postura Atual
Modelo Comum
• Postura em relação ao cumprimento dos controles estabelecidos

Resultados para a Sociedade

Vulnerabilidades Catalogadas pelo CERT

9000
6750
4500
2250
0
2000 2001 2002 2003 2004 2005 2006 2007 2008

Vulnerabilidades Catalogadas pelo CERT

9000 Resultados do
1o Trimestre
6750
4500
2250
0
2000 2001 2002 2003 2004 2005 2006 2007 2008

Resultados para as Organizações

Resultados para as Organizações
Perdas no e-Commerce nos EUA

$4,000,000,000.00
$3,000,000,000.00
$2,000,000,000.00
$1,000,000,000.00
$0
2000 2002 2004 2006 2008
Fonte: Cybersource Annual On Line Fraud Report 2009


Ponto de Atenção

Ponto de Atenção
• Não existe um modelo de política pronto para cada Organização

Ponto de Atenção
Recomendações

Ponto de Atenção
Recomendações
• Equilíbrio entre atendimento a aderência requerida com o que a
Organização efetivamente pode gerenciar

Ponto de Atenção
Recomendações
• A definição de Política de Segurança deve ser clara para todos

Ponto de Atenção
Recomendações
• A definição de Política de Segurança deve ser clara para todos
• A análise de riscos tem um papel definido, use-a


Ponto de Atenção

Ponto de Atenção

Ponto de Atenção
Recomendações

Ponto de Atenção
Recomendações
• Processos devem ser alterados de forma gradual e adaptados à
realidade de cada Organização, nunca o contrário

Ponto de Atenção
Recomendações
• A integração do modelo às características da Organização é o

principal ponto de atenção a ser observado

Ponto de Atenção
Recomendações
• A integração do modelo às características da Organização é o

principal ponto de atenção a ser observado
• A definição de responsabilidades é parte do processo

Controles Técnicos

Controles Técnicos
Ponto de Atenção

Controles Técnicos
Ponto de Atenção
• Postura em relação ao cumprimento dos controles
estabelecidos

Controles Técnicos
Ponto de Atenção
estabelecidos
Recomendações

Controles Técnicos
Ponto de Atenção
estabelecidos
Recomendações
• Os controles técnicos, assim como os demais, não
são restritos ao universo de TI da Organização

Controles Técnicos
Ponto de Atenção
estabelecidos
Recomendações
• A parametrização do Ambiente Informatizado deve

observar a integração entre todos os componentes

Controles Técnicos
Ponto de Atenção
estabelecidos
Recomendações
• A parametrização do Ambiente Informatizado deve

observar a integração entre todos os componentes
• Um bom técnico não é necessariamente um bom

especialista em IT Security

A Postura Positiva

A Postura Positiva
Tecnologia Negócio

A Postura Positiva
Tecnologia Negócio
Reativa Adequada

A Postura Positiva
Tecnologia Negócio
Reativa Adequada
Correção Prevenção

A Postura Positiva
Tecnologia Negócio
Reativa Adequada
Isolada Integrada

A Postura Positiva
Tecnologia Negócio
Reativa Adequada
Isolada Integrada
Administração Gestão

Última Consideração

Última Consideração
Security is a process, not a product.

Products provide some protection, but
the only way to effectively do
business in an insecure world is to
put processes in place that recognize
the inherent insecurity in the
products.
The trick is to reduce your risk of
exposure regardless of the products
or patches.
Bruce Schneier

Fontes de Referência

North American Electric Reliability Corporation (NERC)


• http://www.nerc.com/


Electricity Sector - Information Sharing and Analysis Center (ES-

ISAC)



ISAC)
• http://www.esisac.com/



ISAC)
The International Society of Automation (ISA)



ISAC)
The International Society of Automation (ISA)

• SA99, Industrial Automation and Control System Security disponível em
http://www.isa.org/MSTemplate.cfm?
Section=Home964&Site=SP99,_Manufacturing_and_Control_Systems_Secu
rity1&Template=/ContentManagement/
MSContentDisplay.cfm&ContentID=77617

1o Encontro do Subcomitê
de Segurança da Informação
RIO DE JANEIRO, 17 DE AGOSTO DE 2009
Segurança da Informação Aplicada

Eduardo Vianna de Camargo Neves, CISSP
ISSA Brasil
www.issabrasil.org

Segurança Da Informação Aplicada

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Segurança Da Informação Aplicada

Diunggah oleh

Hak Cipta:

Format Tersedia

1o Encontro do Subcomitê

Segurança da Informação Aplicada

ISSA Brasil 2 Segurança da Informação Aplicada

ISSA Brasil 3 Segurança da Informação Aplicada

ISSA Brasil 3 Segurança da Informação Aplicada

ISSA Brasil 3 Segurança da Informação Aplicada

• “The global voice of information security”

ISSA Brasil 3 Segurança da Informação Aplicada

• “The global voice of information security”

ISSA Brasil 3 Segurança da Informação Aplicada

• “The global voice of information security”

ISSA Brasil 3 Segurança da Informação Aplicada

• “The global voice of information security”

ISSA Brasil 3 Segurança da Informação Aplicada

• “The global voice of information security”

• Mais de 100 membros no Brasil

ISSA Brasil 3 Segurança da Informação Aplicada

ISSA Brasil 4 Segurança da Informação Aplicada

Por que se associar?

ISSA Brasil 4 Segurança da Informação Aplicada

Por que se associar?

ISSA Brasil 4 Segurança da Informação Aplicada

Por que se associar?

• Networking on-line e off-line

ISSA Brasil 4 Segurança da Informação Aplicada

Por que se associar?

• Networking on-line e off-line

ISSA Brasil 4 Segurança da Informação Aplicada

Por que se associar?

• Networking on-line e off-line

• Contribuição com a sociedade

ISSA Brasil 4 Segurança da Informação Aplicada

ISSA Brasil 5 Segurança da Informação Aplicada

ISSA Brasil 6 Segurança da Informação Aplicada

ISSA Brasil 6 Segurança da Informação Aplicada

ISSA Brasil 6 Segurança da Informação Aplicada

• Alteração de escopo com o advento dos computadores

ISSA Brasil 6 Segurança da Informação Aplicada

• Alteração de escopo com o advento dos computadores

ISSA Brasil 6 Segurança da Informação Aplicada

• Alteração de escopo com o advento dos computadores

ISSA Brasil 6 Segurança da Informação Aplicada

• Alteração de escopo com o advento dos computadores

• Desenvolvimento nos EUA e Europa

ISSA Brasil 6 Segurança da Informação Aplicada

• Alteração de escopo com o advento dos computadores

• Desenvolvimento nos EUA e Europa

• Alteração de escopo com o advento da Internet

ISSA Brasil 6 Segurança da Informação Aplicada

ISSA Brasil 7 Segurança da Informação Aplicada

ISSA Brasil 7 Segurança da Informação Aplicada

ISSA Brasil 7 Segurança da Informação Aplicada

Cena Hacker Furtos on-line

Primeiros Primeiras leis

ISSA Brasil 7 Segurança da Informação Aplicada

Captain The Caso

1970 1980 1990

Cena Hacker Furtos on-line Cena Cracker

Primeiros Primeiras leis

ISSA Brasil 7 Segurança da Informação Aplicada

Captain The Caso Trustworthy

1970 1980 1990 2000

Cena Hacker Furtos on-line Cena Cracker ILOVEYOU