Recomendações de Segurança para Serviços Eletrônicos do Governo do Estado de São Paulo M anual de S egurança Fábio R. N. Fernandes

Apresentação em tema: "Recomendações de Segurança para Serviços Eletrônicos do Governo do Estado de São Paulo M anual de S egurança Fábio R. N. Fernandes"— Transcrição da apresentação:

1 Recomendações de Segurança para Serviços Eletrônicos do Governo do Estado de São Paulo M anual de S egurança Fábio R. N. Fernandes fnfernandes@sp.gov.br Marcos Tadeu Yazaki myazaki@sp.gov.br www.prodesp.sp.gov.br

2 P auta Apresentação do Manual de Segurança Introdução Segurança física Segurança lógica Hospedagem Monitoramento Modelo organizacional Considerações finais

3 I ntrodução Manual é um conjunto de recomendações básicas de segurança, baseado nas melhores práticas do mercado –Comitê Gestor da Internet no Brasil –ISO/IEC 17799 –Documentos de Governança A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação

4 I nformação A importância da Informação –Um dos bens mais valiosos do governo –Informações de terceiros custodiadas –Imagem do governo Armazenada em diversos meios Transita por diversos meios Cidadão Empresas E-Mails Arquivos Conversas Documentos Apresentações Papel Eletrônico Deve ser devidamente protegida !!!

5 R ede C omplexa INTERNET Secretarias Órgãos Empresas Redes Privadas Redes Públicas Rede do Governo G2B G2C G2G G2EG2E

6 R iscos Indisponibilidade Vazamento de informação Violação da integridade Fraude Acesso não autorizado Uso indevido Sabotagem Roubo de informações Ameaças programadas (vírus, worms, trojans) Espionagem

7 N úmero A tuais Tentativas de Ataque ao Ambiente

8 P ilares da S egurança Confidencialidade Integridade Disponibilidade Legalidade, Auditabilidade, Transparência, Não Repudio

9 Ações da Segurança Tecnologia Processos Pessoas Funcionários Fornecedores Clientes Parceiros Consultorias Cidadão

10 Segurança Física Ambiente Sala dos servidores CPD Datacenter Equipamentos Microcomputadores Roteadores Switches

11 1o) Terreno: muro, controle de acesso: guarita, seguranças PRODESP Perímetros 2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas 3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança 4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria 5o) Racks com chave, cameras 6o) Sala cofre

12 Segurança dos Ambientes Recomendações –Paredes sólidas –Portas e janelas protegidas –Alarme –Mecanismos de controle de acesso Prever riscos como –Fogo –Inundação –Explosão –Manifestações Levar em conta riscos dos prédios vizinhos

13 Segurança dos Equipamentos Proteger contra: acesso não autorizado Roubo / perda (notebook) Violações Considerar: Equipamento próprios Equipamentos alienados Equipamentos externos Proteger a infraestrutura: Cabines de fornecimento de energia elétrica Salas de distribuição dos cabeamentos lógicos (rede/telecomunicação) contra falhas ou anomalias de energia (estabilizadores, no-breaks, geradores) Manutenção preventiva Manter contingência dos sistemas críticos

14 S egurança L ógica Internet WAN, MAN ACLVPNFirewallVLAN´sIPS/IDSAutenticaçãoCriptografia Certificado Digital Sistema Operacional LAN Informação Regras de controle de acessos (quem, o que, quando, como) Auditoria: logs Premissa: Tudo deve ser proibido a menos que seja expressamente permitido Proteger pontos de rede Proteger dispositivos de rede (switches, routers) Segmentar rede

15 Deve-se definir uma política de backup As mídias devem ser: Controladas fisicamente protegidas contra roubo, furto e desastres naturais (fogo, inundação) armazenadas em locais adequados (cofres, controle de humidade) Os Data Centers podem ser utilizados para espelhamento dos sistemas críticos B ackup

16 O utros Manutenção preventiva e periódica Deve-se adotar uma política de aplicação das correções de segurança dos sistema operacionais e softwares Deve-se analisar as vulnerabilidades Deve-se utilizar softwares antivírus Recomenda-se a utilização de anti-spywares Deve-se ter cuidado com o descarte das informações Atenção com fotocopiadoras, gravadores de CD, FAX, filmadoras, câmeras em áreas críticas

17 H ospedagem Todos os órgãos e entidades da Administração Pública Estadual devem utilizar os “Data Centers” do Governo (Resolução CC-9, de 25/02/2005) –Hospedagem –Publicação de informações –Serviços eletrônicos via Internet Modalidades: –Colocation –Hosting Hospedagem dos servidores Hospedagem de conteúdo, aplicativos e serviços

18 H ospedagem ColocationHosting Acesso Restrito e ControladoXX AntivírusOpcionalX BackupOpcionalX Monitoramento 24x7XX Segurança física e lógicaXX Aplicação de PatchesOpcionalX RedundânciaXX Gerenciamento RemotoXX Upgrades Hardware/Softw.N.A.X Infraestrutura Link com a Internet Link com a Intranet Hardware Software Treinamento Manutenção Equipe de profissionais Climatização XXXXXXXXXXXX XXXXXXXXXXXXXXXXXXX Redução de Custos Segurança Confiabilidade Disponibilidade

19 M onitoramento Garantir a continuidade dos serviços Identificar anomalias e incidentes de segurança Acompanhar tendência de crescimento (capacity planning) Outros: alimentação elétrica, climatização, no-breaks, conectividade Disco Processamento Memória Segurança (patches, antivírus) Conectividadade (rede local, switches, roteadores, etc.) Equipamentos Login (usuário, data e hora, terminal) Acessos ao sistema Tentativas de acessos indevidos Serviços

20 M odelo O rganizacional Definição e adoção de um Modelo Organizacional, baseado na criação de um Grupo de Resposta à Incidentes Interno Distribuído Interno Centralizado Combinado Coordenador É importante o relacionamento do grupo de resposta à incidentes com áreas não técnicas, como Recursos Humanos e Jurídico Terceirização deve ser feita com cautela uma vez que envolve riscos Não existe um modelo mais indicado. Deve-se buscar implementar o que for melhor para a empresa.

21 Modelos Organizacionais Interno Distribuído Modelo inicial Possui um Coordenador para responder aos incidentes em conjunto com as áreas envolvidas O Coordenador não precisa ser um especialista em Segurança, mas alguém que se preocupe não somente em resolver o incidente como também procurar as causas e trabalhar para que não ocorra novamente. Interno Centralizado Existência de uma área de Segurança Funcionários exclusivos Serviços pró-ativos e reativos Atuação direta na resolução de problemas e manutenção das informações necessárias para investigação das causas e propostas de solução. Combinado (Distribuído e Centralizado) Coordenador Modelo para entidades que possuem órgãos ligados diretamente. A entidade organiza um grupo que coordena os demais grupos de segurança dos órgãos

22 C onsiderações F inais Política de Segurança Uma vez que o ambiente não conte com uma infra-estrutura física ou lógica adequada, deve- se utilizar os Data Centers do Estado Consultar outras instituições e sites As recomendações devem ser selecionadas e usadas de acordo com a legislação e regulamentações vigentes A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação

23 L inks para C onsultas Comitê Gestor da Internet no Brasil http://www.cg.org.br/ http://www.cg.org.br/ NIC BR Security Office http://www.nbso.nic.br http://www.nbso.nic.br CAIS-Centro de Atendimento a Incidentes de Segurança http://www.rnp.br/cais/ http://www.rnp.br/cais/

24 Fábio R. N. Fernandes fnfernandes@sp.gov.br www.prodesp.sp.gov.br Perguntas ? FIM