Ps-Graduao em Tecnologia da Segurana da Informao Turma Seg31 Campinas/SP

13 de maio de 2011

Disciplina: Conceitos de Segurana da Informao

Moiss Ribeiro dos Santos Junior

1 / 10

Ps-Graduao em Tecnologia da Segurana da Informao Turma Seg31 Campinas/SP

ndice

1 - PCI - PAYMENT CARD INDUSTRY...................................................................................03

2 - NORMA AS/NZS 4360...........................................................................................................04 3 - MTODO OCTAVE.................................................................................................................05 4 - NORMA ISO/IEC TR 13335...................................................................................................06 5 CERTIFICAO CISSP.........................................................................................................07 6 NIST 800-XXX........................................................................................................................07

7 - CONCLUSO..........................................................................................................................09

REFERNCIAS BIBLIOGRFICAS..........................................................................................10

2 / 10

Ps-Graduao em Tecnologia da Segurana da Informao Turma Seg31 Campinas/SP

1. PCI - PAYMENT CARD INDUSTRY

O PCI um sistema de segurana utilizado pela indstria de cartes de pagamento (crdito e dbito) no sentido reforar a proteo das informaes dos cartes. Atravs de uma grande extenso de requisitos de segurana, o sistema alimenta cada objetivo de controle. Para isso, doze requisitos so detalhados em mais de duzentos subrequisitos que determinam as tecnologias, polticas e procedimentos necessrios para proteger os dados dos titulares de carto. O PCI concentra-se em seis objetivos de controle de alto nvel. A verso 1.1 do PCI DSS, lanada em setembro de 2006, a primeira atualizao da estrutura desse padro. Essa verso foi desenvolvida visando ampliao da verso anterior, com maior nfase segurana de aplicativos. Como o sistema evolui constantemente, as empresas que o utilizam devem mant-lo atualizado atravs da validao anual da conformidade com o PCI DSS.

Implicaes do padro PCI agora e no futuro Considerando a enorme responsabilidade das empresas que atuam no ramo de cartes de pagamento no que se refere proteo das informaes, o padro PCI apresenta-se como uma ferramenta extremamente para isso. No entanto, pelo padro PCI, por mais dispersos que sejam os seus negcios, as empresas devem ter conhecimento de onde esto armazenados todos os dados dos titulares de carto e assegurar que esses dados e o acesso a essas informaes estejam protegidos. Alm disso, devem provar que tomaram as medidas de precaues apresentadas pelo padro e que monitoram ativamente os acessos no autorizados aos sistemas de dados dos cartes e dos dados do titular do carto.

3 / 10

Ps-Graduao em Tecnologia da Segurana da Informao Turma Seg31 Campinas/SP 2. NORMA AS/NZS 4360 - AUSTRALIAN STANDARD FOR RISK MANAGEMENT

A norma AS/NZS 4360 foi elaborada pela Standards Austrlia e Standards New Zealand Australiana que fornece orientaes para gerenciamento de riscos de qualquer natureza. Partindo do princpio de que a gesto de riscos tem como finalidade o equilbrio entre as oportunidades de ganhos e a reduo de perdas, essa norma considera o risco como uma exposio s conseqncias da incerteza ou como potenciais desvios do que foi planejado ou do que esperado. Dessa forma, avalia tanto os riscos com resultados positivos (ganhos potenciais) como os riscos com resultados negativos (perdas potenciais), fornecendo uma viso nica no gerenciamento de riscos. De acordo com a norma AS/NZS 4360, a gesto de riscos envolve o estabelecimento de uma infra-estrutura e cultura apropriadas, bem como a aplicao de um mtodo lgico e sistemtico para estabelecer contextos, identificar, analisar, avaliar, tratar, monitorar e comunicar os riscos associados a qualquer atividade, funo ou processo, de modo a minimizar perdas e maximizar ganhos para as organizaes. As principais etapas do processo de gesto de riscos so: Comunicar e consultar as partes envolvidas (interna e externamente) em cada etapa do processo de gesto de riscos e em relao ao processo como um todo. Estabelecer os contextos interno e externo, nos quais ser desenvolvido o restante do processo, bem como os critrios avaliadores dos riscos e a estrutura de anlise desses riscos. Identificar os riscos, ou seja, onde, quando, por que e como os eventos podem impedir, atrapalhar, atrasar ou melhorar a consecuo dos objetivos. Analisar os riscos, determinado as conseqncias, a probabilidade e o nvel de risco, considerando as diversas conseqncias potenciais e como elas podem ocorrer.

4 / 10

Ps-Graduao em Tecnologia da Segurana da Informao Turma Seg31 Campinas/SP

Avaliar os riscos atravs da comparao entre os nveis de risco estimados e os critrios previamente, considerando o balano entre os benefcios potenciais e os resultados adversos, para futuras tomadas de decises. Tratar os riscos atravs do desenvolvimento e implementao de estratgias e planos de ao especficos e econmicos, aumentando os benefcios potenciais e reduzindo os custos. Monitorar e analisar criticamente a eficcia de todas as etapas do processo de gesto de riscos, visando melhoria contnua.

3. MTODO OCTAVE - OPERATIONALLY CRITICAL THREAT, ASSET, AND VULNERABILITY EVALUATION

O OCTAVE um mtodo de avaliao de riscos, de fcil implantao, que possui os seguintes objetivos: Fazer um balano das informaes crticas, necessidades do negcio,

perigos e vulnerabilidades; Comparar as atuais prticas de segurana da organizao com os padres

atualmente conhecidos; Gerenciar e controlar todas as avaliaes de riscos da organizao; Desenvolver uma estratgia de proteo, considerando a poltica de

segurana, gerenciamento administrativo e tecnolgico; Estabelecer uma equipe multidisciplinar que possa desenvolver a

segurana da informao da empresa. O foco desse mtodo est nas prticas de segurana e nos riscos nicos de cada empresa, principalmente os operacionais, e no somente na tecnologia disponvel.

5 / 10

Ps-Graduao em Tecnologia da Segurana da Informao Turma Seg31 Campinas/SP

Assim, seu uso resume-se basicamente nos seguintes pontos: auto direcionamento das aes de avaliao; foco nos riscos operacionais e estratgicos; formao de uma equipe para implantao e anlise de riscos operacionais e prticas de segurana.

4. NORMA ISO/IEC TR 13335

ISO/IEC TR 13335 uma norma que descreve tcnicas de gesto de segurana para a rea de tecnologia da informao, constituda de cinco partes, quais sejam: 1- Conceitos e modelos para a segurana de TI 2- Gerir e planear a segurana de TI 3- Tcnicas de gesto da segurana de TI 4- Seleo de proteo 5- Orientaes de gesto na segurana de redes A parte 1 (ISSO/IEC 13335-1) oferece uma viso de alto nvel da gesto com em conceitos e modelos de gesto, planejamento, implantao e operaes de segurana da TI. A parte 2 (ISO/IEC 13335-2) refere-se s tcnicas de gesto de risco apropriadas na segurana das tecnologias da informao. J as partes 3, 4 e 5 constituem-se de documentos tcnicos, que se referem seleo de protees e o modo como pode ser suportada pelo uso de controles e orientao dos responsveis pela gesto de segurana quanto segurana de redes e comunicaes.

6 / 10

Ps-Graduao em Tecnologia da Segurana da Informao Turma Seg31 Campinas/SP 5. CERTIFICAO CISSP

O CISSP (Certified Information Systems Security Professional), certificado internacional emitido pelo International Information Systems Security Certification Consortium ou (ISC) o mais respeitado certificado na rea de segurana da informao, porm pouco comum no Brasil. Para a obteno desse certificado o interessado deve preencher os seguintes requisitos: passar por uma prova e ser aprovado; concordar e assinar o Cdigo de tica do (ISC); ter, no mnimo, trs anos de experincia profissional em alguns dos 10 domnios de conhecimento em segurana da informao testados pela prova de certificao e ser indicado por outro CISSP, empregador ou outra fonte digna de confiana.

6. NIST 800-XXX

O NIST - National Institute of Standards and Technology, Instituto Nacional de Padres e Tecnologia, uma agncia governamental do Departamento de Comrcio dos Estados Unidos, cuja funo promover padres e tecnologias para ampliar a segurana da informao. A norma NIST 800-30 publicada pelo NIST fornece uma base para o desenvolvimento de programa de gesto de riscos e tambm informaes sobre o custo efetivo dos controles de segurana. De acordo com a norma NIST 800-30, o processo de gesto de riscos deve ter como objetivo proteger a capacidade da organizao para realizar a sua misso e ser uma funo essencial de gesto, sendo este processo constitudo de trs etapas: avaliao do risco; reduo do risco e evoluo e acompanhamento. Assim, o mtodo de gerenciamento realizado da seguinte forma:
7 / 10

Ps-Graduao em Tecnologia da Segurana da Informao Turma Seg31 Campinas/SP

1. Levantamento de informaes relacionadas ao sistema da empresa (equipamentos, softwares, interfaces, dados, pessoas, misso da empresa); 2. Identificao de ameaas (naturais, humanas e ambientais) com base nos dados de agncias de inteligncia e de comunicaes; 3. Identificao de vulnerabilidade atravs de testes de segurana do sistema, alertas e checklist de requisitos de segurana; 4. Anlise de controles de ameaas e vulnerabilidades; 5. Determinao de ameaa, com base na classificao da probabilidade do risco (alta, mdia ou baixa); 6. Anlise do impacto do risco, com base na classificao da avaliao do impacto em alta, mdia ou baixa. 7. Determinao do risco, atravs da anlise da probabilidade de ameaa, magnitude do risco e adequao dos controles previstos ou em curso. 8. Recomendaes de controle contendo solues para reduzir ou eliminar os riscos, controles recomendados e alternativos; 9. Resultados da documentao obtidos por meio de relatrio de avaliao de risco, descrevendo as ameaas e vulnerabilidades, dimensionando riscos e fornecendo recomendaes de como implementar controles.

8 / 10

Ps-Graduao em Tecnologia da Segurana da Informao Turma Seg31 Campinas/SP 7. CONCLUSO

Da anlise dos assuntos abordados neste trabalho, conclui-se que, para que a tecnologia da informao atue com eficincia e eficcia, proporcionando resultados positivos para os seus usurios, necessrio que haja um efetivo e rigoroso gerenciamento das informaes manipuladas. O usurio deve estar atento quanto importncia desse gerenciamento, o que viabilizar maior garantia de controle e segurana das informaes. Deste modo, alm de implementar sistemas de gerenciamento, o usurio deve atentar-se para a necessidade de mantlos atualizados. Por outro lado, as instituies voltadas para o fornecimento de servios de gerenciamento so responsveis por garantir a efetividade desse servio, por meio de sistemas eficazes de identificao, anlise, determinao, tratamento e controle de riscos e ameaas, de forma a reduzi-los ou elimin-los; alm de dispor de profissionais capacitados para o desenvolvimento das atividades de gerenciamento.

9 / 10

Ps-Graduao em Tecnologia da Segurana da Informao Turma Seg31 Campinas/SP REFERNCIAS BIBLIOGRFICAS

- SITE OFICIAL - http://www.itil-officialsite.com/ - OGC - http://www.ogc.gov.uk/ - ITIL - http://www.itil.org/en/vomkennen/itil/index.php

10 / 10