Este é o quarto post da sequência de posts sobre segurança da informação, resumo preparatório para a realização do Exame de Certificação da ISO 27002.
4 – Medidas
4.1 – Físicas
4.1.1 – Conceito
• Protegem fisicamente os ativos de negócio
4.1.2 – Medidas p/ Equipamentos
• Inclui a proteção de equipamento por meio de controle de clima
4.1.2.1 – Exemplos
• Ar-condicionado
• Umidificador
• Filtros de energia (estabilizador)
4.1.3 – Medidas p/ Cabeamento
• Inclui cuidados para não haver interferências
4.1.3.1 – Exemplo
• Separar cabos de energia, telefone e dados.
• Proteger dutos de cabos
• Usar cabos separados para sala de servidores
4.1.4 – Medidas p/ Mídias de armazenamento
• Inclui cuidados com manuseio de pendrives, smartphones, cartões de memória, laptops, que armazenam informações sensíveis.
4.1.5 – Medidas p/ Anéis de proteção
4.1.5.1 – Anel Externo
• Proteção em torno do prédio da empresa
4.1.5.1.1 – Exemplos
• Muro
• Cerca
• Arame Farpado
• Guardas de Segurança
• Câmera de Segurança
4.1.5.2 – Edifício/Prédio
• Proteção para impedir acesso dentro da empresa
4.1.5.2.1 – Exemplos
• Janelas com Grade
• Portas Reforçadas
• Vidros Resistentes
• Controle de Acesso com Senha
• Sistemas Biométricos
• Detecção de Intrusos
4.1.5.2.2 – Salas especiais (sala de servidores)
• Precisam de medidas extras
• O ar precisa ser resfriado, desumidificado e filtrado.
• Uso de no-breaks (UPS), filtros de energia.
4.1.5.3 – Espaço de Trabalho
• Algumas áreas da empresa podem não estar acessíveis a todos, como RH.
4.1.5.4 – Objeto
• Refere-se a parte mais sensível que precisa ser protegida
4.1.5.4.1 – Exemplos
• Armários
• Cofre
4.1.6 – Alarmes
• Estes precisam ser monitorados
4.1.6.1 – Uso de Sensores
• Detecção por infravermelho
• Câmeras que detectam movimento
• Detecção de vibração
• Sensores de quebra de vidros
4.2 – Técnicas (segurança de TI)
4.2.1 – Conceito
• Inclui medidas para sistemas computadorizados e infraestrutura de TI associadas
4.2.2 – Gerenciamento de Acesso Lógico
4.2.2.1 – Controle de acesso discricionário
• A política de controle de acesso é determinada pelo proprietário (owner) do recurso (O usuário diz quem pode acessar o compartilhamento no seu computador).
4.2.2.2 – Controle de acesso mandatório
• A política de acesso é determinada pelo sistema e não pelo proprietário do recurso
4.2.2.3 – Passos para conceder o acesso
4.2.2.3.1 – Identificação
• Pessoa ou sistema apresenta o token (pode ser uma chave, usuário ou senha)
4.2.2.3.2 – Autenticação
• Sistema determina se o token é autêntico e quais recursos o usuário pode acessar
4.2.2.3.3 – Autorização
• Aloca o direito de acesso
4.2.3 – Requisitos de segurança para os sistemas
• Sistemas devem funcionar conforme pretendido
• Validação de dados de entrada e saída
4.2.4 – Criptografia
4.2.4.1 – Conceito
• É um meio de manter a informação secreta
• A informação é codificada para não ser lida por pessoas não autorizadas
4.2.4.2 – Tipos de Criptografia
4.2.4.2.1 – Simétrica
• Existe um algoritmo e uma chave secreta que o remetente e destinatário compartilham
• É mais vulnerável
4.2.4.2.2 – Assimétrica
• Diferentes chaves são usadas para criptograr e descriptografar
• Assinaturas digitais são criadas usando este tipo
4.2.4.2.3 – Infraestrutura de Chave Pública
• Através de acordos, procedimentos e estrutura de organização, ela garante quais pessoas ou sistemas pertencem a uma chave pública.
• É frequentemente gerenciada por uma autoridade independente
4.2.4.2.4 – Criptografia de mão única
• A mensagem é convertida em um valor numérico e não pode ser descriptografada
• Usando um algoritmo conhecido, o destinatário pode checar se a mensagem tem o valor correto. Neste caso, é verificado se dois valores hash combinam.
4.3 – Organizacionais
4.3.1 – Conceito
• Diz respeito ao trabalho dos funcionários na organização, políticas, plano de continuidade, sistema de gestão da segurança da informação.
4.3.2 – Sistema de Gestão da Segurança da Informação (SGSI)
• É uma medida organizacional
• ISO 27001 ajuda a definir uma estrutura para SGSI
• Serve para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação
• Baseado no ciclo PDCA
• Inclui estrutura organizacional, políticas, atividade de planejamento, responsabilidades, práticas, procedimentos e recursos.
• Existe para preservar a confidencialidade, integridade e disponibilidade.
4.3.3 – Política de segurança da informação
• Documento importante do SGSI
• Serve para a gerência fornecer direção e suporte a organização
• Precisa ser escrita de acordo com as necessidades do negócio, legislação e regulamentos.
• Deve ser divulgada para todos na organização
• Pode ser usado o ciclo PDCA para ver se a política está sendo seguida ou pode ser melhorada
4.3.4 – Pessoal
• Pessoas e seus conhecimentos são ativos importantes e precisam ser protegidos
• Pessoal precisa seguir o código de conduta
• Novos funcionários precisam passar por uma checagem de ficha limpa
• Dependendo do cargo é necessário assinar um Non DisclosureAgreement (NDA) - Acordo de confidencialidade
• Visitantes precisam passar por um controle de acesso
4.3.5 – Gerenciamento da continuidade do negócio
4.3.5.1 – Meta
• Visa garantir a continuidade das operações após um desastre (enchentes, terremotos, ataques terroristas, etc.).
4.3.5.2 – Continuidade
• Envolve manter disponibilidade dos sistemas de informação no momento em que eles são requeridos após um desastre
4.3.5.3 – Desastre
• Incidente de grande impacto
4.3.5.4 – Plano de Continuidade de Negócios (PCN)
• Estabelece qual a continuidade dos processos de negócio que será garantida
4.3.5.5 – Plano de Recuperação de Desastre (PRD)
• Como se recuperar do desastre
4.3.5.6 - Exemplos de ações
• Espaços de trabalho alternativos
• Data Center redundante
• Hot-site sob demanda
4.3.6 – Gerenciamento de comunicações e processos operacionais
• Documentar procedimentos de operação dos equipamentos e quem são os responsáveis
4.3.6.1 – As mudanças nos sistemas precisam ser gerenciadas
• A segregação de funções ajuda a estabelecer quem faz o que
• Testes e aceites antes de entrar em produção
4.3.6.2 – Segregação de funções
4.3.6.2.1 – Conceito
• Separar as funções e responsabilidades de cada um
4.3.6.2.2 – Benefícios
• Evita mudanças sendo realizadas por pessoas não autorizadas
• Diminui os riscos quando uma atividade critica tem mais de uma pessoa envolvida (ex: transferências bancárias)
• Com base na função se estabelece que informações podem ser acessadas
4.3.6.3 – Terceirização
• Documentar requisitos que precisam ser atendidos
• Estabelecer contratos/ acordos SLA
4.3.6.4 – Proteção contra malware, phishing e spam
4.3.6.4.1 – Malware
• Termo genérico para software malicioso.
• Pode ser um vírus, worm, trojan ou sypare
• Medida: usar scanners antivírus e firewall
4.3.6.4.2 – Phishing
• Uma forma de fraude na internet na qual a vítima recebe um e-mail pedindo para ela fazer alguma coisa ou confirmar dados confidenciais (dados bancários, por exemplo).
4.3.6.4.3 – Spam
• Nome do coletivo de mensagens indesejáveis
4.3.6.4.4 – Vírus
• Pequeno programa de computador que se replica
• Carrega código executável
• Tem natureza destrutiva
4.3.6.4.5 – Worm
• Pequeno programa de computador que se replica
• Não depende da ação do usuário para se espalhar pela rede
4.3.6.4.6 – Trojan
• É um programa que conduz atividades secundárias não percebidas pelo usuário
• Usado frequentemente para coletar informações confidenciais do sistema infectado
4.3.6.4.7 – Hoax
• Mensagem que tenta convencer o leitor da sua veracidade e então persuadi-lo a fazer alguma ação
4.3.6.4.8 – Logicbomb
• Pedaço de código deixado dentro de um sistema
• Exemplo: o programador deixa um código que pode ser ativado quando ele sair da empresa e destruir arquivos
4.3.6.4.9 – Spyware
• Programa de computador que coleta informação de um computador e envia para um terceiro
4.3.6.4.10 – Botnet
• Uma rede de computadores utilizando software de computação distribuída.
4.3.6.4.11 – Rootkit
• Conjunto de ferramentas de softwares utilizado por um hacker
4.3.6.5 – Manuseio de mídias
• Estabelecer orientações para como manusear mídias a fim de evitar que informações valiosas caiam nas mãos de pessoas erradas
• Política mesa limpa deve sempre ser empregada
Postagens
