Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Os Novos Desafios da SI
Estudo de Caso Prodam
Lílian Gibson Santos
Sumário
• Ameaças
• Sistema de Gestão da SI
• ISO/IEC 27.000
• Programa de SI da PRODAM
• Conclusão
Ameaças
◙ Spam chega a uma taxa de 90% do total do volume dos e-mails
◙ Uma média de 4 milhões de novos zumbies são criados por mês
◙ 2009 e 2010 foram os anos em que se bateram os record das ameaças baseadas em WEB
◙ E-mails e mensagens são os principais vetores para malwares e phishing scams
Ameaças
• Dispositivos Móveis
– Previsão de venda de Tablet PC
VAZAMENTO DE INFORMAÇÃO
NAVEGAÇÃO INAPROPRIADA
FALTA DE GERENCIAMENTO DE APLICAÇÕES
NECESSIDADE DE PROTEÇÃO DOS DADOS
FALTA DE COMPLIANCE
SEGURANÇA DO DISPOSITIVO (SENHA, TRAV)
CONTROLE DE ACESSO
DESCOBERTA DO DISPOSITIVO
AmeaçasCrescimento Exponencial da Mídias Sociais
Estima-se 750 milhões de usuários ativos no FacebookFacebook Press Office, Aug 2011
“ Em 2014, as redes sociais vão substituir os e-mails como principal forma de comunicação para 20% dos usuários coorporativos.”
Fonte: Gartner, Fev2010
LinkedIn informa ter mais de 75 milhões de professionais e cerca de um milhão de empresas
Fonte LinkedIn Press Office, August 25, 2010
You Tube registra 300 milhões de visitas e cincobilhões de streams de video por mês
Fonte CleanCut Media, February 2009
Vazamento de Informação
Software malicioso (35%)
Spyware (10%)
Vírus (15%)
Perda de produtividade
Uso de banda
Superexposição
ISO/IEC 27.002 - PRODAMIS
MS
–Si
ste
ma
de
G
est
ão d
e S
.I
Projeto e Implementação
do SGSI
Monitoramento e Revisão do
SGSI
Estabelecer o contexto do
SGSI e Avaliação de Riscos
Aperfeiçoamento do SGSI
Expectativas
e requisições
Gerenciamento da Segurança da
Informação
ISO/IEC 27.002 - PRODAMIS
MS
–Si
ste
ma
de
G
est
ão d
e S
.I
Gerenciamento;Responsabilidade;Competência;Treinamento;Comprometimento;Requisitos;Documentação.
Responsabilidade e Comprometimento
• A Segurança é responsabilidade de todos
ISO/IEC 27.002 - PRODAM
ISO/IEC 27.002 - PRODAMO
rgan
izaç
ão
10
-Tratamento de Incidentes-Análise de Artefatos-Monitoramento-Detecção de Intrusão-Teste de Aplicação
-Elaboração de Normas-Disseminação de Informações-Configuração Segura-Conscientização e treinamento-Elaboração de alertas e anúncios
-Análise de Riscos-Gestão de Vulnerabilidades-Continuidade de negóciose plano de recuperaçãode desastres
Supervisãode Segurança
da Informação
Normatizaçãode Segurança
Gestão de Riscoe Continuidade
Tratamentode Incidentesde Segurança
ISO/IEC 27.002 - PRODAM
ISO/IEC 27.002 - PRODAMP
OLÍ
TIC
A
ISO/IEC 27.002 - PRODAMP
OLÍ
TIC
A
ISO/IEC 27.002 - PRODAMG
est
ão d
e R
ISC
O Definição do Contexto
Análise e Avaliação de Riscos
Tratamento do Risco
Aceitação do Risco
Co
mu
nic
ação
do
Ris
co
Mo
nit
ora
me
nto
e A
nál
ise
crí
tica
d
e R
isco
s
Avaliação satisfatória?
Tratamento satisfatório?
Não
Sim
Não
Sim
Análise de Riscos – Parceria com ABIN
Ge
stão
de
RIS
CO
SPINF 15
Analise de RiscosParceria com ABIN
Ge
stão
de
RIS
CO
Gestão de Vulnerabilidades
Ge
stão
de
RIS
CO
SPINF 17
Vulnerabilidades
Recomendações
Avaliação dos Riscos
PRI = prioridade para executar a ação corretiva;CNS = consequência para os negócios se a não conformidade não for resolvida;CMP = comprometimento das atividades da empresa.
Graduação: 1 = muito baixo; 2 = baixo; 3 = médio; 4 = alto; 5 = muito alto
IGR = PRI x CNS x CMP
IGR - INDÍCE DE GRAVIDADE:ATÉ 16 = BAIXO;DE 18 ATÉ 30 = MÉDIO;DE 32 A 50 = ALTO;DE 60 A 125 = MUITO ALTO.
ISO/IEC 27.002 - PRODAMG
est
ão d
e R
ISC
O
ISO/IEC 27.002 - PRODAMC
on
form
idad
e
ISO/IEC 27.002 - PRODAMC
on
form
idad
e
ISO/IEC 27.002 - PRODAMG
est
ão d
e
ATI
VO
SGerenciamento de Configuração e Ativos de TI
ISO/IEC 27.002 - PRODAMG
est
ão d
e
ATI
VO
S
ISO/IEC 27.002 - PRODAMG
est
ão d
e In
cid
en
tes
ISO/IEC 27.002 - PRODAMG
est
ão d
e In
cid
en
tes
0
1
2
3
4
5
6
7
8
9
10
out/10 nov/10 dez/10 jan/11 fev/11 mar/11 abr/11 mai/11 jun/11 jul/11 ago/11 set/11 out/11
Incidentes reportados ao GTIS Prodam/mês
Cliente Prodam
Datacenter
2011 – Tentativas de invasão (Mensal)
Fevereiro 32.238
Abril 34.359
Julho 30.746
ISO/IEC 27.002 - PRODAMG
est
ão d
e In
cid
en
tes
32%
5%
7%
7%22%
3%7%
3%2%
10%
2%
Incidentes Reportados ao GTIS Prodam Out 2010 - Out 2011 Troca de Páginas
Scan
Phishing
Malware
Botnet
Outros
DDOS
Ataque de força Bruta
Ameaça
Tentativa de invasão
Equip/Sist não autoriz
ISO/IEC 27.002 - PRODAMSi
ste
mas
de
In
form
ação
ISO/IEC 27.002 - PRODAMC
on
tro
le d
e A
cess
o
Gerenciamento de Segurança em Redes:
Controle de acesso à rede cabeada
Controle de acesso à rede sem fio
ISO/IEC 27.002 - PRODAMC
on
tro
le d
e A
cess
o
• Gerenciamento de Senha;
• Gerenciamento de Privilégios;
• Controle de Acesso ao Sistema Operacional nas Estações de Trabalho.
Gerenciamento de Acesso do Usuário:
Políticas, padrões e procedimentosde segurança de TI para:
ISO/IEC 27.002 - PRODAMC
on
tro
le d
e A
cess
o
ISO/IEC 27.002 - PRODAMG
est
ão d
e O
pe
raçõ
es
eC
om
un
icaç
õe
sCorrelacionamento de Eventos
Monitora efetivamente
• Reduz eventos para uma lista gerenciável de ações
• Análise automática distingue ataques reais e invasores
Reage em tempo real
• Uso de inteligência artificial
• Aumentar efetiva detecção de incidentes
• Reduz tempo de reação
Aprimora o monitoramento
• Uso contínuo permite conhecer melhor o ambiente
• Aperfeiçoam-se regras de monitoramento
ISO/IEC 27.002 - PRODAMG
est
ão d
e O
pe
raçõ
es
eC
om
un
icaç
õe
sCorrelacionamento de Eventos
ISO/IEC 27.002 - PRODAMG
est
ão d
e O
pe
raçõ
es
eC
om
un
icaç
õe
sCorrelacionamento de Eventos
ISO/IEC 27.002 - PRODAMG
est
ão d
e O
pe
raçõ
es
eC
om
un
icaç
õe
s
ISO/IEC 27.002 - PRODAMSe
gura
nça
Fís
ica
ed
o A
mb
ien
teCriação de Áreas Seguras:
Reforço nos Perímetros de Segurança Física
Revisão dos Processos de Controle de Entrada
Física
Implantação doSistema de CFTV
Proteção Automática Contra Incêndios
ISO/IEC 27.002 - PRODAMSe
gura
nça
Fís
ica
ed
o A
mb
ien
te
ISO/IEC 27.002 - PRODAMR
ecu
rso
sH
um
ano
s
Campanhas de Conscientização
– Prodam Security Day;
– Prodam Security Happy Hour;
– Semana da Qualidade e Segurança.
ColaboradorFornecedor
ISO/IEC 27.002 - PRODAMR
ecu
rso
sH
um
ano
s
ISO/IEC 27.002 - PRODAMC
on
tin
uid
ade
do
Ne
góci
oContingência e Continuidade:
Site Backup
• Plano de Continuidade do Negócio;
• BIA – Analise de Impacto no Negócio;
• Plano de Continuidade de Serviços de TI.
Conclusão
• Segurança é Responsabilidade de Todos
• Objetivo da área de Segurança é a viabilização da realização das atividades de forma segura
• Infraestrutura de serviços em implantação segue as tendências da área de SI
• Programa da Segurança de TI
DATA 21.11.2011 22.11.2011 23.11.2011 24.11.2011 25.11.2011
PA
LEST
RA
S E
HO
RÁ
RIO
S
Credenciamento
Horário: 13h30- 14h
Abertura
Horário: 14h – 14h15
P5 – Analise de Riscos e
Gestão
Vulnerabilidades
Horário: 14h – 14h45
P9 – Segurança para Web
2.0
Horário: 14h – 14h45
P13 – A Nova Realidade
do Crime Cibernético
Horário: 14h – 14h45
P17 – Governança e
Segurança da
Informação
Horário: 14h – 14h45
P24 – A Segurança da
Informação e
Comunicação na
Administração Pública
Horário: 14h15 – 15h
P22 – Next Generation
Firewalls
Horário: 14h45 – 15h30
P2 – Segurança da
Informação na Nuvem e
em Ambientes Virtuais
Horário: 14h45 – 15h30
P14 – Aceleração WAN
Horário: 14h45 – 15h30
P18 – Sistema de
Gestão Integrado: ISO
9000 e 27000
Horário: 14h45 – 15h30P21 – Os Novos Desafios
da SI - Prodam
Horário: 15h – 15h30
Intervalo: 15h30-15h45 Intervalo: 15h30-15h45 Intervalo: 15h30-15h45 Intervalo: 15h30-15h45 Intervalo: 15h30-15h45
P11 – Agilidade na
Qualidade de Software
Horário: 15h45 - 16h45
P7 – Segurança em
Dispositivos Móveis
Horário: 15h45 - 16h45
P25 –Wireless Segura
Horário: 15h45 - 16h45
P12 – Desenvolvimento
Seguro
Horário: 15h45 - 16h45
P19 –NBR ISO 9001:2008
Horário: 15h45 - 16h45
P4 – Indicadores da
Qualidade e Segurança
Horário: 16h45-17h30
P8 – Monitoramento e
Gerenciamento de
Ferramentas na Rede
Horário: 16h45 - 17h30
P23 – NoSQL: onde,
como e por quê?
Cassandra e MongoDB
Horário: 16h45 - 17h30
P16 –
Correlacionamento de
Eventos
Horário: 16h45 - 17h30
P20 - Ferramentas da
Qualidade
Horário: 16h45 - 17h30
Programa da SQSI Prodam
Referências
• The Social Media Effect on the Threat Landscape Security and Control in a Web 2.0 World - Tim Roddy, Senior Director, Product Marketing e Bob Wicklund, Enterprise Solution Architect – McAfee; October 19, 2011
• Managing Personal Devices in the Workplace - ChenxiWang, Ph.D., Vice President, Principal Analyst; ForresterResearch, Inc. ; October 19, 2011
• Exin Information Security based on ISO/IEC 27002
• Programa de SI da Prodam 2011/2012