terça-feira, 2 de outubro de 2012

Resumo para Certificação ISO 27002 - 04 / 05


Este é o quarto post da sequência de posts sobre segurança da informação, resumo preparatório para a realização do Exame de Certificação da ISO 27002.

4 – Medidas
4.1 – Físicas
4.1.1 – Conceito
Protegem fisicamente os ativos de negócio
4.1.2 – Medidas p/ Equipamentos
Inclui a proteção de equipamento por meio de controle de clima
4.1.2.1 – Exemplos
Ar-condicionado
Umidificador
Filtros de energia (estabilizador)
4.1.3 – Medidas p/ Cabeamento
Inclui cuidados para não haver interferências
4.1.3.1 – Exemplo
Separar cabos de energia, telefone e dados.
Proteger dutos de cabos
Usar cabos separados para sala de servidores
4.1.4 – Medidas p/ Mídias de armazenamento
Inclui cuidados com manuseio de pendrives, smartphones, cartões de memória, laptops, que armazenam informações sensíveis.
4.1.5 – Medidas p/ Anéis de proteção
4.1.5.1 – Anel Externo
Proteção em torno do prédio da empresa
4.1.5.1.1 – Exemplos
Muro
Cerca
Arame Farpado
Guardas de Segurança
Câmera de Segurança

4.1.5.2 – Edifício/Prédio
Proteção para impedir acesso dentro da empresa
4.1.5.2.1 – Exemplos
Janelas com Grade
Portas Reforçadas
Vidros Resistentes
Controle de Acesso com Senha
Sistemas Biométricos
Detecção de Intrusos
4.1.5.2.2 – Salas especiais (sala de servidores)
Precisam de medidas extras
O ar precisa ser resfriado, desumidificado e filtrado.
Uso de no-breaks (UPS), filtros de energia.
4.1.5.3 – Espaço de Trabalho
Algumas áreas da empresa podem não estar acessíveis a todos, como RH.
4.1.5.4 – Objeto
Refere-se a parte mais sensível que precisa ser protegida
4.1.5.4.1 – Exemplos
Armários
Cofre

4.1.6 – Alarmes
Estes precisam ser monitorados
4.1.6.1 – Uso de Sensores
Detecção por infravermelho
Câmeras que detectam movimento
Detecção de vibração
Sensores de quebra de vidros

4.2 – Técnicas (segurança de TI)
4.2.1 – Conceito
Inclui medidas para sistemas computadorizados e infraestrutura de TI associadas
4.2.2 – Gerenciamento de Acesso Lógico
4.2.2.1 – Controle de acesso discricionário
A política de controle de acesso é determinada pelo proprietário (owner) do recurso (O usuário diz quem pode acessar o compartilhamento no seu computador).
4.2.2.2 – Controle de acesso mandatório
A política de acesso é determinada pelo sistema e não pelo proprietário do recurso
4.2.2.3 – Passos para conceder o acesso
4.2.2.3.1 – Identificação 
Pessoa ou sistema apresenta o token (pode ser uma chave, usuário ou senha)
4.2.2.3.2 – Autenticação 
Sistema determina se o token é autêntico e quais recursos o usuário pode acessar
4.2.2.3.3 – Autorização
Aloca o direito de acesso
4.2.3 – Requisitos de segurança para os sistemas
Sistemas devem funcionar conforme pretendido
Validação de dados de entrada e saída
4.2.4 – Criptografia
4.2.4.1 – Conceito
É um meio de manter a informação secreta
A informação é codificada para não ser lida por pessoas não autorizadas
4.2.4.2 – Tipos de Criptografia
4.2.4.2.1 – Simétrica
Existe um algoritmo e uma chave secreta que o remetente e destinatário compartilham
É mais vulnerável
4.2.4.2.2 – Assimétrica
Diferentes chaves são usadas para criptograr e descriptografar
Assinaturas digitais são criadas usando este tipo
4.2.4.2.3 – Infraestrutura de Chave Pública
Através de acordos, procedimentos e estrutura de organização, ela garante quais pessoas ou sistemas pertencem a uma chave pública.
É frequentemente gerenciada por uma autoridade independente
4.2.4.2.4 – Criptografia de mão única
A mensagem é convertida em um valor numérico e não pode ser descriptografada
Usando um algoritmo conhecido, o destinatário pode checar se a mensagem tem o valor correto.  Neste caso, é verificado se dois valores hash combinam.

4.3 – Organizacionais
4.3.1 – Conceito
Diz respeito ao trabalho dos funcionários na organização, políticas, plano de continuidade, sistema de gestão da segurança da informação.
4.3.2 – Sistema de Gestão da Segurança da Informação (SGSI)
É uma medida organizacional
ISO 27001 ajuda a definir uma estrutura para SGSI
Serve para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação
Baseado no ciclo PDCA
Inclui estrutura organizacional, políticas, atividade de planejamento, responsabilidades, práticas, procedimentos e recursos.
Existe para preservar a confidencialidade, integridade e disponibilidade.
4.3.3 – Política de segurança da informação
Documento importante do SGSI
Serve para a gerência fornecer direção e suporte a organização
Precisa ser escrita de acordo com as necessidades do negócio, legislação e regulamentos.
Deve ser divulgada para todos na organização
Pode ser usado o ciclo PDCA para ver se a política está sendo seguida ou pode ser melhorada
4.3.4 – Pessoal 
Pessoas e seus conhecimentos são ativos importantes e precisam ser protegidos
Pessoal precisa seguir o código de conduta
Novos funcionários precisam passar por uma checagem de ficha limpa
Dependendo do cargo é necessário assinar um Non DisclosureAgreement (NDA) - Acordo de confidencialidade
Visitantes precisam passar por um controle de acesso
4.3.5 – Gerenciamento da continuidade do negócio
4.3.5.1 – Meta
Visa garantir a continuidade das operações após um desastre (enchentes, terremotos, ataques terroristas, etc.).
4.3.5.2 – Continuidade
Envolve manter disponibilidade dos sistemas de informação no momento em que eles são requeridos após um desastre
4.3.5.3 – Desastre
Incidente de grande impacto
4.3.5.4 – Plano de Continuidade de Negócios (PCN)
Estabelece qual a continuidade dos processos de negócio que será garantida
4.3.5.5 – Plano de Recuperação de Desastre (PRD)
Como se recuperar do desastre
4.3.5.6 - Exemplos de ações
Espaços de trabalho alternativos
Data Center redundante
Hot-site sob demanda
4.3.6 – Gerenciamento de comunicações e processos operacionais
Documentar procedimentos de operação dos equipamentos e quem são os responsáveis
4.3.6.1 – As mudanças nos sistemas precisam ser gerenciadas
A segregação de funções ajuda a estabelecer quem faz o que
Testes e aceites antes de entrar em produção
4.3.6.2 – Segregação de funções
4.3.6.2.1 – Conceito
Separar as funções e responsabilidades de cada um
4.3.6.2.2 – Benefícios
Evita mudanças sendo realizadas por pessoas não autorizadas
Diminui os riscos quando uma atividade critica tem mais de uma pessoa envolvida (ex: transferências bancárias)
Com base na função se estabelece que informações podem ser acessadas
4.3.6.3 – Terceirização
Documentar requisitos que precisam ser atendidos
Estabelecer contratos/ acordos SLA
4.3.6.4 – Proteção contra malware, phishing e spam
4.3.6.4.1 – Malware
Termo genérico para software malicioso.  
Pode ser um vírus, worm, trojan ou sypare
Medida: usar scanners antivírus e firewall
4.3.6.4.2 – Phishing
Uma forma de fraude na internet na qual a vítima recebe um e-mail pedindo para ela fazer alguma coisa ou confirmar dados confidenciais (dados bancários, por exemplo).
4.3.6.4.3 – Spam
Nome do coletivo de mensagens indesejáveis
4.3.6.4.4 – Vírus
Pequeno programa de computador que se replica
Carrega código executável
Tem natureza destrutiva
4.3.6.4.5 – Worm
Pequeno programa de computador que se replica
Não depende da ação do usuário para se espalhar pela rede
4.3.6.4.6 – Trojan
É um programa que conduz atividades secundárias não percebidas pelo usuário
Usado frequentemente para coletar informações confidenciais do sistema infectado
4.3.6.4.7 – Hoax
Mensagem que tenta convencer o leitor da sua veracidade e então persuadi-lo a fazer alguma ação
4.3.6.4.8 – Logicbomb
Pedaço de código deixado dentro de um sistema
Exemplo: o programador deixa um código que pode ser ativado quando ele sair da empresa e destruir arquivos
4.3.6.4.9 – Spyware
Programa de computador que coleta informação de um computador e envia para um terceiro
4.3.6.4.10 – Botnet
Uma rede de computadores utilizando software de computação distribuída.
4.3.6.4.11 – Rootkit
Conjunto de ferramentas de softwares utilizado por um hacker
4.3.6.5 – Manuseio de mídias
Estabelecer orientações para como manusear mídias a fim de evitar que informações valiosas caiam nas mãos de pessoas erradas
Política mesa limpa deve sempre ser empregada

Nenhum comentário:

Postar um comentário

BlogBlogs.Com.Br