Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouVagner Madeira Monsanto Alterado mais de 8 anos atrás
1
Recomendações de Segurança para Serviços Eletrônicos do Governo do Estado de São Paulo M anual de S egurança Fábio R. N. Fernandes fnfernandes@sp.gov.br Marcos Tadeu Yazaki myazaki@sp.gov.br www.prodesp.sp.gov.br
2
P auta Apresentação do Manual de Segurança Introdução Segurança física Segurança lógica Hospedagem Monitoramento Modelo organizacional Considerações finais
3
I ntrodução Manual é um conjunto de recomendações básicas de segurança, baseado nas melhores práticas do mercado –Comitê Gestor da Internet no Brasil –ISO/IEC 17799 –Documentos de Governança A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação
4
I nformação A importância da Informação –Um dos bens mais valiosos do governo –Informações de terceiros custodiadas –Imagem do governo Armazenada em diversos meios Transita por diversos meios Cidadão Empresas E-Mails Arquivos Conversas Documentos Apresentações Papel Eletrônico Deve ser devidamente protegida !!!
5
R ede C omplexa INTERNET Secretarias Órgãos Empresas Redes Privadas Redes Públicas Rede do Governo G2B G2C G2G G2EG2E
6
R iscos Indisponibilidade Vazamento de informação Violação da integridade Fraude Acesso não autorizado Uso indevido Sabotagem Roubo de informações Ameaças programadas (vírus, worms, trojans) Espionagem
7
N úmero A tuais Tentativas de Ataque ao Ambiente
8
P ilares da S egurança Confidencialidade Integridade Disponibilidade Legalidade, Auditabilidade, Transparência, Não Repudio
9
Ações da Segurança Tecnologia Processos Pessoas Funcionários Fornecedores Clientes Parceiros Consultorias Cidadão
10
Segurança Física Ambiente Sala dos servidores CPD Datacenter Equipamentos Microcomputadores Roteadores Switches
11
1o) Terreno: muro, controle de acesso: guarita, seguranças PRODESP Perímetros 2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas 3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança 4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria 5o) Racks com chave, cameras 6o) Sala cofre
12
Segurança dos Ambientes Recomendações –Paredes sólidas –Portas e janelas protegidas –Alarme –Mecanismos de controle de acesso Prever riscos como –Fogo –Inundação –Explosão –Manifestações Levar em conta riscos dos prédios vizinhos
13
Segurança dos Equipamentos Proteger contra: acesso não autorizado Roubo / perda (notebook) Violações Considerar: Equipamento próprios Equipamentos alienados Equipamentos externos Proteger a infraestrutura: Cabines de fornecimento de energia elétrica Salas de distribuição dos cabeamentos lógicos (rede/telecomunicação) contra falhas ou anomalias de energia (estabilizadores, no-breaks, geradores) Manutenção preventiva Manter contingência dos sistemas críticos
14
S egurança L ógica Internet WAN, MAN ACLVPNFirewallVLAN´sIPS/IDSAutenticaçãoCriptografia Certificado Digital Sistema Operacional LAN Informação Regras de controle de acessos (quem, o que, quando, como) Auditoria: logs Premissa: Tudo deve ser proibido a menos que seja expressamente permitido Proteger pontos de rede Proteger dispositivos de rede (switches, routers) Segmentar rede
15
Deve-se definir uma política de backup As mídias devem ser: Controladas fisicamente protegidas contra roubo, furto e desastres naturais (fogo, inundação) armazenadas em locais adequados (cofres, controle de humidade) Os Data Centers podem ser utilizados para espelhamento dos sistemas críticos B ackup
16
O utros Manutenção preventiva e periódica Deve-se adotar uma política de aplicação das correções de segurança dos sistema operacionais e softwares Deve-se analisar as vulnerabilidades Deve-se utilizar softwares antivírus Recomenda-se a utilização de anti-spywares Deve-se ter cuidado com o descarte das informações Atenção com fotocopiadoras, gravadores de CD, FAX, filmadoras, câmeras em áreas críticas
17
H ospedagem Todos os órgãos e entidades da Administração Pública Estadual devem utilizar os “Data Centers” do Governo (Resolução CC-9, de 25/02/2005) –Hospedagem –Publicação de informações –Serviços eletrônicos via Internet Modalidades: –Colocation –Hosting Hospedagem dos servidores Hospedagem de conteúdo, aplicativos e serviços
18
H ospedagem ColocationHosting Acesso Restrito e ControladoXX AntivírusOpcionalX BackupOpcionalX Monitoramento 24x7XX Segurança física e lógicaXX Aplicação de PatchesOpcionalX RedundânciaXX Gerenciamento RemotoXX Upgrades Hardware/Softw.N.A.X Infraestrutura Link com a Internet Link com a Intranet Hardware Software Treinamento Manutenção Equipe de profissionais Climatização XXXXXXXXXXXX XXXXXXXXXXXXXXXXXXX Redução de Custos Segurança Confiabilidade Disponibilidade
19
M onitoramento Garantir a continuidade dos serviços Identificar anomalias e incidentes de segurança Acompanhar tendência de crescimento (capacity planning) Outros: alimentação elétrica, climatização, no-breaks, conectividade Disco Processamento Memória Segurança (patches, antivírus) Conectividadade (rede local, switches, roteadores, etc.) Equipamentos Login (usuário, data e hora, terminal) Acessos ao sistema Tentativas de acessos indevidos Serviços
20
M odelo O rganizacional Definição e adoção de um Modelo Organizacional, baseado na criação de um Grupo de Resposta à Incidentes Interno Distribuído Interno Centralizado Combinado Coordenador É importante o relacionamento do grupo de resposta à incidentes com áreas não técnicas, como Recursos Humanos e Jurídico Terceirização deve ser feita com cautela uma vez que envolve riscos Não existe um modelo mais indicado. Deve-se buscar implementar o que for melhor para a empresa.
21
Modelos Organizacionais Interno Distribuído Modelo inicial Possui um Coordenador para responder aos incidentes em conjunto com as áreas envolvidas O Coordenador não precisa ser um especialista em Segurança, mas alguém que se preocupe não somente em resolver o incidente como também procurar as causas e trabalhar para que não ocorra novamente. Interno Centralizado Existência de uma área de Segurança Funcionários exclusivos Serviços pró-ativos e reativos Atuação direta na resolução de problemas e manutenção das informações necessárias para investigação das causas e propostas de solução. Combinado (Distribuído e Centralizado) Coordenador Modelo para entidades que possuem órgãos ligados diretamente. A entidade organiza um grupo que coordena os demais grupos de segurança dos órgãos
22
C onsiderações F inais Política de Segurança Uma vez que o ambiente não conte com uma infra-estrutura física ou lógica adequada, deve- se utilizar os Data Centers do Estado Consultar outras instituições e sites As recomendações devem ser selecionadas e usadas de acordo com a legislação e regulamentações vigentes A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação
23
L inks para C onsultas Comitê Gestor da Internet no Brasil http://www.cg.org.br/ http://www.cg.org.br/ NIC BR Security Office http://www.nbso.nic.br http://www.nbso.nic.br CAIS-Centro de Atendimento a Incidentes de Segurança http://www.rnp.br/cais/ http://www.rnp.br/cais/
24
Fábio R. N. Fernandes fnfernandes@sp.gov.br www.prodesp.sp.gov.br Perguntas ? FIM
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.