Apresentação realizada no CNASI 2015, representando o ISSA Brasil.

1. Parceiro
Serviços Confiáveis

2. 2
Tiago Tavares
• Bacharel em Sistemas de Informação / UNIFIEO, Osasco
• Pós-graduado em Gerenciamento de Redes e Segurança da
Informação / UNIFIEO, Osasco
• 12 anos de experiência em TI, sendo 5 focados em Segurança da
Informação.
• Entre as principais certificações estão LPI-2, ComTIA Security+ e
CISSP.
tiagotvrs@gmail.com
@tiagotvrs

3. 3
Agenda
Introdução à Segurança da Informação.
Certificação CISSP.
Curso de Introdução à Certificação CISSP (CIC2).
Serviços Confiáveis

4. 4
Introdução
à
Segurança da
Informação

5. 5
Representação da
Segurança da Informação
Política de segurança
P
e
s
s
o
a
s
P
r
o
c
e
s
s
o
s
T
e
c
n
o
l
o
g
i
a
Confidencialidade
Integridade Disponibilidade
Ilustração: arquivo pessoal de Ricardo Leiva.

6. 6
Desafios dos
Profissionais de Segurança
Segurança da informação na realidade é uma complexa
composição de variados campos de estudo, incluindo:
Sociologia Criminologia
Psicologia Criptologia
Antropologia Etiologia
Virologia Tecnologia
Referencia: Information Security Management Handbook, 6th Ed. Vol. 2, Harold F. Tipton and
Micki Krause, 2008, Auerbach Publication, Preface.

7. 7
Certificação
CISSP

8. 8
Visão da Certificação CISSP
 Perspectiva holística da Segurança da Informação.
 Conceitual;
 Padronização dos termos utilizados na área;
 Visão gerencial.
Desafio: como reter grandes
quantidades de informação.

9. 9
Novos domínios CISSP
Domínio
Security & Risk Management
Asset Security
Security Engineering
Communications & Network Security
Identity & Access Management
Security Assessment & Testing
Security Operations
Security in the Sw Development Lifecycle

10. 10
 Obter aproveitamento de no mínimo 70% no exame CISSP
de 250 questões e 6 horas de duração;
 Experiência de 5 anos em pelo menos 2 domínios do CBK;
 Aprovação do endorserment assinado por um CISSP.
Manter:
 Mínimo de 40 CPEs por ano (Continuing Professional
Education Credits);
 Mínimo de 120 CPEs no ciclo de 3 anos;
 Pagamento da manutenção anual, AMF, US$85.
Requisitos para obter e manter a
certificação CISSP

11. 11
1. Proteger a sociedade, comunidade e infraestrutura;
2. Agir de forma, honorável, honesta, justa, responsável e
legal;
3. Prover serviços de forma diligente e competente;
4. Proteger e disseminar a profissão.
Código de Ética da (ISC)²

12. 12
CIC2

13. 13
Público alvo do CIC2
Objetivo Frequência
Participação
no simulado
Conhecimento mín. 80% Opcional
Certificação mín. 80% Recomendado
Obs.: é requisito frequência mínima de 80% para
solicitar certificado de participação.

14. 14
Estrutura do curso
Jul/15 Jun/16
CIC2 2015/2016
Apresentações (Teoria)
Resolução de questões (Prática)Jul/15 Jun/16
CAC2 2015/2016

15. 15
Formato encontros de Apresentações
 Um curso completo por ano;
 Duração de apróx. 10 meses para cada curso;
 Encontros quinzenais, aproximadamente dois Sábados
por mês;
 Total de 10 encontros por semestre;
 Um domínio por encontro;
 Duração de 4 horas para cada encontro, das 9:00h às
13:00h.

16. 16
Formato encontros de Resolução de
Questões
 Duração de 4h por encontro, das 9:00h às 13:00h
Pré-requisito: ter participado do CIC2, parcial ou
integralmente.

17. 17
O que o CIC2 oferece
 Total de até 160 horas de aula;
Calendário facilita estudo e assimilação;
 Interatividade e Participação;
 Orientação;
Resposta a dúvidas;
Técnicas de resposta a questões;
 Simulado com 250 questões;
Preparo psicológico e de resistência física.
Nosso Objetivo: Conhecimento.
Passar no exame CISSP é consequência.

18. 18
Livro utilizado
Official (ISC)2 Guide to the CISSP CBK,
4th Edition.

19. 19
Interessado em participar:
de imediato:
E-mail para: coordenador_cic2@issa.org.br
a partir do próximo semestre:
https://www.facebook.com/IssaBrasil
Próximos passos

20. 20
Serviços Confiáveis

21. 21
• Official (ISC)2 Guide to the CISSP CBK, 4th
Edition.
• Security Guidance For Critical Areas Of Focus in
Cloud Computing - Cloud Security Alliance
• NIST papers
Referências

22. 22
Houston, we have a problem.....

23. 23
Contratempo | Revés | Tragédia

24. 24

25. 25

26. Introdução
Segurança administrativa
Segurança de mídias
Gerenciamento de ativos
Continuidade das operações
Gerenciamento de resposta a incidentes
Cloud Computing
Tópicos

27. • Segurança em Operações: principalmente
preocupado com a proteção e controle de ativos
processamento de informações em centralizado e
ambientes distribuídos.
• Operações Seguras: preocupados principalmente
com as tarefas diárias necessária para manter os
serviços de segurança operacional confiável e
Introdução

28. 28
Introdução
“Segurança em Operações é a qualidade dos outros
serviços. Operações Seguras são um conjunto de
serviços em sim mesmo”.
Referencia: Official (ISC)2 Guide to the CISSP CBK 2nd Ed., Harold F. Tipton, 2010, CRC Press, page 540-541.
Segurança em
Operações
 Proteção dos ativos;
 Controle dos ativos;
 Qualidade dos serviços
de TI.
 Tarefas diárias de
Segurança;
 Conjunto de Serviços
de Segurança;
Operações
Seguras

29. Segurança
Administrativa

30. http://download.isdecisions.com/Images/manifesto/photo/user-suspects.jpg

31. • Um aspecto fundamental das operações de segurança é
garantir que todos os controles estejam corretamente
implementados para evitar que pessoas de forma
intencional ou não intencional possam comprometer a
confidencialidade, integridade e disponibilidade dos
dados.
• Segurança administrativa provê os controles
direcionados ao manuseio humano dos dados.
Segurança Administrativa

32.  Etiquetas (Labels)
– Objetos possuem etiquetas, e sujeitos possuem acessos
(clearances). As etiquetas de objetos usados por
governos de estado são confidential, secret ou top
secret.
• “Top secret” seria aplicado para toda informação cujo
conteúdo, caso fosse divulgado, impactaria irreversivelmente à
segurança nacional.
• “Secret” seria aplicado para toda informação cujo conteúdo,
conteúdo, caso fosse divulgado, causaria sérios danos à
segurança nacional.
• “Confidential” seria aplicado para toda informação cujo
conteúdo, caso fosse divulgado, haveria a chance de causar
algum dano à segurança nacional
– O setor privado tem adotado labels do tipo “Público”,
“Uso interno”, “Uso Restrito”, “Confidencial.
Classificação da Informação

33.  Um clearance determina se um usuário
poderá ou não estar autorizado a acessar um
nível específico de informação. Clearances
devem determinar a atual e futura
confiabilidade de uma pessoa.
 Uma forma de avaliar a confiabilidade de um
indivíduo é saber se...
 O indivíduo possui dívidas?
 Possui vícios em drogas, álcool ou jogos de azar?
 Possui algum segredo que poderia ser usado para
chantageá-lo?
Clearance

34.  A segregação de tarefas permite uma organização
a dividir entre os empregados a responsabilidade
do acesso privilegiado
 Quando mais de uma pessoa realiza uma
transação contendo informações sensíveis, cada
pessoa é incumbida de supervisionar o trabalho
do outro, pois a execução efetiva do seu trabalho
depende da informação íntegra recebida.
 Exemplo: mísseis nucleares
Segregação de Tarefas

35. 35
http://o.onionstatic.com/images/15/15184/2x1/1200.jpg?7427
Segregação de Tarefas

36.  O revezamento de funções se trata do processo que requer
diferentes membros a realizar a mesma tarefa. Ao revezar os
membros na execução da tarefa, a organização se protege ao ter este
trabalho sendo capaz de ser executado por diferentes pessoas com a
mesma performance.
 O revezamento evita o collusion (conspiração), onde dois ou mais
membros corrompem a segurança de um sistema.
 Este controle pode ser detective (detectivo) ou deterrent
(impeditivo).
 Detectivo pelo fato do revezamento poder mostrar fraudes que já
ocorrem
 Impeditivo pelo sujeito temer ser pego realizando ilegalidades
Revezamento de Funções

37.  Afastamento de indivíduos através de férias forçadas para que
seja investigado má conduta.
 O NDA ou acordo de confidencialidade o documento legal que
deve ser assinado por aquele que terá acesso à informações
confidenciais e que se responsabiliza por manter a
confidencialidade de toda a informação sensível.
 Funcionários novos, fornecedores, consultores sempre devem
assinar o NDA antes de obter acesso às informações.
Afastamento / Férias Forçadas
Non-disclosure agreement

38.  A verificação de antecedentes que possam
comprometer o perfil de um indivíduo que queira
ocupar uma posição que requer alta segurança
ou que seja cargo de confiança
 Hospitais
 Escolas
 Instituições Financeiras
 Aeroportos
 Governo
Verificação de Antecedentes

39. 39
Ou aplicar modelo Terry Tate

40. Gerenciamento de
mídias

41. 41

42.  Assim como a segurança e controles relacionados
a pessoas dentro de uma organização seja de
extrema importância, processos para o manuseio
de informação/mídias necessitam de atenção.
 Informações sensíveis requererem proteção,
portanto o acesso aos meios de armazenamento
deve ser controlado. O objetivo é discutir os
conceitos que são importantes componentes de
uma sólida postura em segurança da informação.
Segurança de mídias sensíveis

43. 43
Segurança de mídias sensíveis
 Etiquetar
 Manusear
 Armazenamento
 Retenção
 Destruição
 Wiping
 Degaussing
 Overwriting
 Shredding

44. Gerenciamento de
ativos

45. 45

46.  De forma geral, operações de segurança da
informação requerem que organizações
foquem em sistemas, pessoas, dados e mídias.
 Um dos pontos vitais para alcançar a
segurança em sistemas é cuidar do seu ciclo
de vida.
Gerenciamento de ativos

47. Gerenciamento de Configuração
 Avaliação, coordenação, aprovação e desaprovação, e
implementação de mudanças em artefatos que são
usados para construir e manter sistemas. Um artefato
pode ser um software ou um hardware.
 Conceito inicial
 Implementação
 Teste
 Baselining
 Construção
 Lançamento
 Manutenção

48.  O scan de vulnerabilidades é o meio de descobrir
configurações errôneas e software desatualizado
em um ambiente.
 O termo gerenciamento de vulnerabilidades ao
invés de scan de vulnerabilidades é usado pois
devemos enfatizar a necessidade do
gerenciamento dessas informações. A correção
ou mitigação das vulnerabilidades devem ser
priorizadas baseado no grau de risco e na
facilidade de correção.
Gerenciamento de vulnerabilidades

49.  Para manter a consistência da segurança de
operações, o regimento de gerenciamento de
mudança ou processo de controle de
mudança necessita ser acompanhado.
 O processo de gestão de mudança é entender,
comunicar e documentar qualquer mudança
com o objetivo de evitar impactos diretos e
indiretos na operação.
Gerenciamento de mudanças

50.  Identificar a mudança
 Propor a mudança
 Avaliar o risco associado a mudança
 Testar a mudança
 Agendar a mudança
 Notificar as partes impactadas da mudança
 Implementar a mudança
 Reportar os resultados de implementação de
mudança
Importante!
Fases do gerenciamento de mudanças

51.  Todas a mudanças devem ser controladas a auditadas
cuidadosamente;
 Todos os registros devem ser mantidos. Algumas
mudanças podem desestabilizar sistemas ou causar
outros problemas;
 A auditoria na gestão de mudanças permite o staff de
operações investigar problemas causados por erros na
realização da mudança;
 Os registros permitem que auditores verifiquem que a
política e os procedimentos de gestão de mudanças
estão sendo seguidos.
Atenção!

52. Continuidade das
Operações

53. 53

54. 54
 O Plano de Recuperação de Desastres e o Plano
de Continuidade de Negócios são a última linha de
defesa quando todos os outros planos falharam.
Business Disaster Recovery
& Business Continuity Plan

55. 55
BCP/DRP
 Plano de Continuidade de Negócios (Estratégico)
 Assegurar que o negócio irá continuar a operar
antes, durante e depois de um desastre;
 O foco do BCP é o negócio como um todo,
garantindo que serviços críticos operem no momento
e após um incidente.
 Planos de Recuperação de Desastres (Tático)
 Provê um plano de curto prazo para lidar com
disrupções específicas de TI.
 DRP foca na tentativa de mitigar o impacto de um
desastre, em sua resposta imediata e na
recuperação de sistemas críticos.
 .

56. 56
BCP/DRP
Humano (Erros, omissões,
cyberterrorismo)
Ambiental (Falha em
equipamento, falta de
eletricidade)
Natural (Terremotos,
tornados, tsunamis)
 Três típicos causadores de desastres

57. 57
BCP/DRP
 Plano de Continuidade de Negócios (Estratégico)
 Assegurar que o negócio irá continuar a operar
antes, durante e depois de um desastre;
 O foco do BCP é o negócio como um todo,
garantindo que serviços críticos operem no momento
e após um incidente.
 Plano de Recuperação de Desastres (Tático)
 Provê um plano de curto prazo para lidar com
disrupções específicas de TI.
 DRP foca na tentativa de mitigar o impacto de um
desastre, em sua resposta imediata e na
recuperação de sistemas críticos.
 .

58. 58
BCP/DRP
 Processo de implementação do BCP/DRP

59. 59
BCP/DRP
 Pirâmide de implantação do BCP/DRP

60. Gerenciamento de
Resposta a
Incidentes

61. 61

62.  Um incidente de segurança é uma ocorrência prejudicial em um
sistema ou rede. Toda organização está passível de sofrer incidentes
de segurança.
 O gerenciamento de resposta a incidentes é uma metodologia
regimentada e testada para identificar e responder aos incidentes.
 O CSIRT (Computer Security Incident Response Team) é o grupo
responsável por monitorar, identificar e responder aos incidentes
de segurança.
 O objetivo do time de resposta a incidentes é permitir que a
organização controle o custo e os danos associados com incidentes
e ajudar na recuperação rápida dos sistemas impactados.
Gerenciamento de resposta a incidentes

63. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
Gerenciamento de resposta a incidentes
 Comunicação com áreas externas

64. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
NIST 800-61 – Ciclo de vida de resposta a incidentes

65.  Preparação
 Treinamento dos profissionais;
 Políticas e procedimentos;
 Provisão de ferramentas (notebooks para “sniffar” a rede, cabos
crossover, mídia original de sistema operacional, discos removíveis
e etc.
 A preparação deve incluir tudo o que seja necessário para tratar
um incidente, ou algo que faça a resposta a incidentes mais rápida
e eficiente.
 Detecção e Análise
 Detecção (ou Identificação) é a fase onde os eventos são
analisados que forma que consiga determinar se eles se tratam de
um incidente de segurança. Um evento é qualquer ação que possa
ser auditado em um sistema ou rede, ex: Server reboot, user
logging). Um incidente é um evento prejudicial, por exemplo um
ataque DDoS que derruba um servidor.
NIST 800-61 – Ciclo de vida de resposta a incidentes

66.  Contenção
 A fase de contenção é o ponto na qual o time de resposta a
incidentes tenta fazer com que o incidente não cause estragos na
rede. A contenção pode-se resumir em tirar um sistema da rede,
isolar tráfego, desligar um servidor ou realizar qualquer outro
controle que possa evitar danos.
 Erradicação
 A fase de erradicação envolve duas etapas: remover qualquer
software malicioso de um sistema comprometido e entender a
causa do incidente de forma que o sistema possa estar limpo e
restaurado ao status operacional na fase de recuperação.
 Para uma organização se recuperar de forma confiável, a causa
deve ser determinada para que os sistemas possam retornar ao
estado seguro conhecido sem qualquer risco de serem
comprometidos novamente.
NIST 800-61 – Ciclo de vida de resposta a incidentes

67.  Recuperação
 A fase de recuperação envolve restaurar cuidadosamente os
sistemas ao status operacional. Tipicamente, a unidade de
negócios responsável pelo sistema irá ditar quando o sistema deve
irá voltar a operar. Considere a possibilidade que a infecção possa
ter persistido através da fase de erradicação. Por este motivo, um
monitoramento minucioso do sistema após seu retorno em
produção é necessário.
 Lições aprendidas
 Infelizmente, a fase de lições aprendidas (Também conhecida como
atividades pós-incidente, reporte ou post-mortem) é geralmente
negligenciada em um sistema de resposta a incidente imaturo. Este
fato é infeliz porque a fase de lições aprendidas, se feita
corretamente, é a fase que possui grande poder de mudar
positivamente a postura de segurança.
NIST 800-61 – Ciclo de vida de resposta a incidentes

68.  Lições aprendidas
 O objetivo desta fase é prover o relatório final do
incidente, que deve ser entregue à gestão.
 A experiência obtida nesta fase irá ajudar na
preparação contínua, onde as lições aprendidas são
aplicada para melhorar a preparação e o
tratamento de futuros incidentes.
NIST 800-61 – Ciclo de vida de resposta a incidentes

69. 69
Segurança em
Cloud Computing

70. 70

71. 71
Segurança em Cloud Computing
SSL/TLS não é a solução para tudo...
... E nem devemos nos esconder atrás
de contratos!

72. 72
Segurança em Cloud Computing
 Etapas
 Secure Software Development Life Cycle (SDLC)
 Autenticação
 Controle de Acessos
 Pentest
 Monitoramento
 Trusted Computing
 Auditoria

73. 73
SDLC

74. 74
Autenticação

75. 75
Controle de Acessos

76. 76
Pentest

77. 77
Monitoramento

78. 78
Trusted Computing
 Memory curtaining
 Secure I/O
 Sealed Storage
 Remote Attestation

79. 79
Auditoria

80. 80
Cloud Security Alliance
177 páginas
https://cloudsecurityalliance.org/

81. 81
Perguntas e
Comentários?

82. Parceiro
Obrigado!
tiagotvrs@gmail.com
@tiagotvrs