Recomendações de Segurança para Serviços Eletrônicos do Governo do Estado de São Paulo M anual de S egurança Fábio R. N. Fernandes Marcos Tadeu Yazaki
P auta Apresentação do Manual de Segurança Introdução Segurança física Segurança lógica Hospedagem Monitoramento Modelo organizacional Considerações finais
I ntrodução Manual é um conjunto de recomendações básicas de segurança, baseado nas melhores práticas do mercado –Comitê Gestor da Internet no Brasil –ISO/IEC –Documentos de Governança A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação
I nformação A importância da Informação –Um dos bens mais valiosos do governo –Informações de terceiros custodiadas –Imagem do governo Armazenada em diversos meios Transita por diversos meios Cidadão Empresas s Arquivos Conversas Documentos Apresentações Papel Eletrônico Deve ser devidamente protegida !!!
R ede C omplexa INTERNET Secretarias Órgãos Empresas Redes Privadas Redes Públicas Rede do Governo G2B G2C G2G G2EG2E
R iscos Indisponibilidade Vazamento de informação Violação da integridade Fraude Acesso não autorizado Uso indevido Sabotagem Roubo de informações Ameaças programadas (vírus, worms, trojans) Espionagem
N úmero A tuais Tentativas de Ataque ao Ambiente
P ilares da S egurança Confidencialidade Integridade Disponibilidade Legalidade, Auditabilidade, Transparência, Não Repudio
Ações da Segurança Tecnologia Processos Pessoas Funcionários Fornecedores Clientes Parceiros Consultorias Cidadão
Segurança Física Ambiente Sala dos servidores CPD Datacenter Equipamentos Microcomputadores Roteadores Switches
1o) Terreno: muro, controle de acesso: guarita, seguranças PRODESP Perímetros 2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas 3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança 4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria 5o) Racks com chave, cameras 6o) Sala cofre
Segurança dos Ambientes Recomendações –Paredes sólidas –Portas e janelas protegidas –Alarme –Mecanismos de controle de acesso Prever riscos como –Fogo –Inundação –Explosão –Manifestações Levar em conta riscos dos prédios vizinhos
Segurança dos Equipamentos Proteger contra: acesso não autorizado Roubo / perda (notebook) Violações Considerar: Equipamento próprios Equipamentos alienados Equipamentos externos Proteger a infraestrutura: Cabines de fornecimento de energia elétrica Salas de distribuição dos cabeamentos lógicos (rede/telecomunicação) contra falhas ou anomalias de energia (estabilizadores, no-breaks, geradores) Manutenção preventiva Manter contingência dos sistemas críticos
S egurança L ógica Internet WAN, MAN ACLVPNFirewallVLAN´sIPS/IDSAutenticaçãoCriptografia Certificado Digital Sistema Operacional LAN Informação Regras de controle de acessos (quem, o que, quando, como) Auditoria: logs Premissa: Tudo deve ser proibido a menos que seja expressamente permitido Proteger pontos de rede Proteger dispositivos de rede (switches, routers) Segmentar rede
Deve-se definir uma política de backup As mídias devem ser: Controladas fisicamente protegidas contra roubo, furto e desastres naturais (fogo, inundação) armazenadas em locais adequados (cofres, controle de humidade) Os Data Centers podem ser utilizados para espelhamento dos sistemas críticos B ackup
O utros Manutenção preventiva e periódica Deve-se adotar uma política de aplicação das correções de segurança dos sistema operacionais e softwares Deve-se analisar as vulnerabilidades Deve-se utilizar softwares antivírus Recomenda-se a utilização de anti-spywares Deve-se ter cuidado com o descarte das informações Atenção com fotocopiadoras, gravadores de CD, FAX, filmadoras, câmeras em áreas críticas
H ospedagem Todos os órgãos e entidades da Administração Pública Estadual devem utilizar os “Data Centers” do Governo (Resolução CC-9, de 25/02/2005) –Hospedagem –Publicação de informações –Serviços eletrônicos via Internet Modalidades: –Colocation –Hosting Hospedagem dos servidores Hospedagem de conteúdo, aplicativos e serviços
H ospedagem ColocationHosting Acesso Restrito e ControladoXX AntivírusOpcionalX BackupOpcionalX Monitoramento 24x7XX Segurança física e lógicaXX Aplicação de PatchesOpcionalX RedundânciaXX Gerenciamento RemotoXX Upgrades Hardware/Softw.N.A.X Infraestrutura Link com a Internet Link com a Intranet Hardware Software Treinamento Manutenção Equipe de profissionais Climatização XXXXXXXXXXXX XXXXXXXXXXXXXXXXXXX Redução de Custos Segurança Confiabilidade Disponibilidade
M onitoramento Garantir a continuidade dos serviços Identificar anomalias e incidentes de segurança Acompanhar tendência de crescimento (capacity planning) Outros: alimentação elétrica, climatização, no-breaks, conectividade Disco Processamento Memória Segurança (patches, antivírus) Conectividadade (rede local, switches, roteadores, etc.) Equipamentos Login (usuário, data e hora, terminal) Acessos ao sistema Tentativas de acessos indevidos Serviços
M odelo O rganizacional Definição e adoção de um Modelo Organizacional, baseado na criação de um Grupo de Resposta à Incidentes Interno Distribuído Interno Centralizado Combinado Coordenador É importante o relacionamento do grupo de resposta à incidentes com áreas não técnicas, como Recursos Humanos e Jurídico Terceirização deve ser feita com cautela uma vez que envolve riscos Não existe um modelo mais indicado. Deve-se buscar implementar o que for melhor para a empresa.
Modelos Organizacionais Interno Distribuído Modelo inicial Possui um Coordenador para responder aos incidentes em conjunto com as áreas envolvidas O Coordenador não precisa ser um especialista em Segurança, mas alguém que se preocupe não somente em resolver o incidente como também procurar as causas e trabalhar para que não ocorra novamente. Interno Centralizado Existência de uma área de Segurança Funcionários exclusivos Serviços pró-ativos e reativos Atuação direta na resolução de problemas e manutenção das informações necessárias para investigação das causas e propostas de solução. Combinado (Distribuído e Centralizado) Coordenador Modelo para entidades que possuem órgãos ligados diretamente. A entidade organiza um grupo que coordena os demais grupos de segurança dos órgãos
C onsiderações F inais Política de Segurança Uma vez que o ambiente não conte com uma infra-estrutura física ou lógica adequada, deve- se utilizar os Data Centers do Estado Consultar outras instituições e sites As recomendações devem ser selecionadas e usadas de acordo com a legislação e regulamentações vigentes A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação
L inks para C onsultas Comitê Gestor da Internet no Brasil NIC BR Security Office CAIS-Centro de Atendimento a Incidentes de Segurança
Fábio R. N. Fernandes Perguntas ? FIM