2. 2
Tiago Tavares
• Bacharel em Sistemas de Informação / UNIFIEO, Osasco
• Pós-graduado em Gerenciamento de Redes e Segurança da
Informação / UNIFIEO, Osasco
• 12 anos de experiência em TI, sendo 5 focados em Segurança da
Informação.
• Entre as principais certificações estão LPI-2, ComTIA Security+ e
CISSP.
tiagotvrs@gmail.com
@tiagotvrs
3. 3
Agenda
Introdução à Segurança da Informação.
Certificação CISSP.
Curso de Introdução à Certificação CISSP (CIC2).
Serviços Confiáveis
5. 5
Representação da
Segurança da Informação
Política de segurança
P
e
s
s
o
a
s
P
r
o
c
e
s
s
o
s
T
e
c
n
o
l
o
g
i
a
Confidencialidade
Integridade Disponibilidade
Ilustração: arquivo pessoal de Ricardo Leiva.
6. 6
Desafios dos
Profissionais de Segurança
Segurança da informação na realidade é uma complexa
composição de variados campos de estudo, incluindo:
Sociologia Criminologia
Psicologia Criptologia
Antropologia Etiologia
Virologia Tecnologia
Referencia: Information Security Management Handbook, 6th Ed. Vol. 2, Harold F. Tipton and
Micki Krause, 2008, Auerbach Publication, Preface.
8. 8
Visão da Certificação CISSP
Perspectiva holística da Segurança da Informação.
Conceitual;
Padronização dos termos utilizados na área;
Visão gerencial.
Desafio: como reter grandes
quantidades de informação.
10. 10
Obter aproveitamento de no mínimo 70% no exame CISSP
de 250 questões e 6 horas de duração;
Experiência de 5 anos em pelo menos 2 domínios do CBK;
Aprovação do endorserment assinado por um CISSP.
Manter:
Mínimo de 40 CPEs por ano (Continuing Professional
Education Credits);
Mínimo de 120 CPEs no ciclo de 3 anos;
Pagamento da manutenção anual, AMF, US$85.
Requisitos para obter e manter a
certificação CISSP
11. 11
1. Proteger a sociedade, comunidade e infraestrutura;
2. Agir de forma, honorável, honesta, justa, responsável e
legal;
3. Prover serviços de forma diligente e competente;
4. Proteger e disseminar a profissão.
Código de Ética da (ISC)²
13. 13
Público alvo do CIC2
Objetivo Frequência
Participação
no simulado
Conhecimento mín. 80% Opcional
Certificação mín. 80% Recomendado
Obs.: é requisito frequência mínima de 80% para
solicitar certificado de participação.
14. 14
Estrutura do curso
Jul/15 Jun/16
CIC2 2015/2016
Apresentações (Teoria)
Resolução de questões (Prática)Jul/15 Jun/16
CAC2 2015/2016
15. 15
Formato encontros de Apresentações
Um curso completo por ano;
Duração de apróx. 10 meses para cada curso;
Encontros quinzenais, aproximadamente dois Sábados
por mês;
Total de 10 encontros por semestre;
Um domínio por encontro;
Duração de 4 horas para cada encontro, das 9:00h às
13:00h.
16. 16
Formato encontros de Resolução de
Questões
Duração de 4h por encontro, das 9:00h às 13:00h
Pré-requisito: ter participado do CIC2, parcial ou
integralmente.
17. 17
O que o CIC2 oferece
Total de até 160 horas de aula;
Calendário facilita estudo e assimilação;
Interatividade e Participação;
Orientação;
Resposta a dúvidas;
Técnicas de resposta a questões;
Simulado com 250 questões;
Preparo psicológico e de resistência física.
Nosso Objetivo: Conhecimento.
Passar no exame CISSP é consequência.
19. 19
Interessado em participar:
de imediato:
E-mail para: coordenador_cic2@issa.org.br
a partir do próximo semestre:
https://www.facebook.com/IssaBrasil
Próximos passos
21. 21
• Official (ISC)2 Guide to the CISSP CBK, 4th
Edition.
• Security Guidance For Critical Areas Of Focus in
Cloud Computing - Cloud Security Alliance
• NIST papers
Referências
27. • Segurança em Operações: principalmente
preocupado com a proteção e controle de ativos
processamento de informações em centralizado e
ambientes distribuídos.
• Operações Seguras: preocupados principalmente
com as tarefas diárias necessária para manter os
serviços de segurança operacional confiável e
Introdução
28. 28
Introdução
“Segurança em Operações é a qualidade dos outros
serviços. Operações Seguras são um conjunto de
serviços em sim mesmo”.
Referencia: Official (ISC)2 Guide to the CISSP CBK 2nd Ed., Harold F. Tipton, 2010, CRC Press, page 540-541.
Segurança em
Operações
Proteção dos ativos;
Controle dos ativos;
Qualidade dos serviços
de TI.
Tarefas diárias de
Segurança;
Conjunto de Serviços
de Segurança;
Operações
Seguras
31. • Um aspecto fundamental das operações de segurança é
garantir que todos os controles estejam corretamente
implementados para evitar que pessoas de forma
intencional ou não intencional possam comprometer a
confidencialidade, integridade e disponibilidade dos
dados.
• Segurança administrativa provê os controles
direcionados ao manuseio humano dos dados.
Segurança Administrativa
32. Etiquetas (Labels)
– Objetos possuem etiquetas, e sujeitos possuem acessos
(clearances). As etiquetas de objetos usados por
governos de estado são confidential, secret ou top
secret.
• “Top secret” seria aplicado para toda informação cujo
conteúdo, caso fosse divulgado, impactaria irreversivelmente à
segurança nacional.
• “Secret” seria aplicado para toda informação cujo conteúdo,
conteúdo, caso fosse divulgado, causaria sérios danos à
segurança nacional.
• “Confidential” seria aplicado para toda informação cujo
conteúdo, caso fosse divulgado, haveria a chance de causar
algum dano à segurança nacional
– O setor privado tem adotado labels do tipo “Público”,
“Uso interno”, “Uso Restrito”, “Confidencial.
Classificação da Informação
33. Um clearance determina se um usuário
poderá ou não estar autorizado a acessar um
nível específico de informação. Clearances
devem determinar a atual e futura
confiabilidade de uma pessoa.
Uma forma de avaliar a confiabilidade de um
indivíduo é saber se...
O indivíduo possui dívidas?
Possui vícios em drogas, álcool ou jogos de azar?
Possui algum segredo que poderia ser usado para
chantageá-lo?
Clearance
34. A segregação de tarefas permite uma organização
a dividir entre os empregados a responsabilidade
do acesso privilegiado
Quando mais de uma pessoa realiza uma
transação contendo informações sensíveis, cada
pessoa é incumbida de supervisionar o trabalho
do outro, pois a execução efetiva do seu trabalho
depende da informação íntegra recebida.
Exemplo: mísseis nucleares
Segregação de Tarefas
36. O revezamento de funções se trata do processo que requer
diferentes membros a realizar a mesma tarefa. Ao revezar os
membros na execução da tarefa, a organização se protege ao ter este
trabalho sendo capaz de ser executado por diferentes pessoas com a
mesma performance.
O revezamento evita o collusion (conspiração), onde dois ou mais
membros corrompem a segurança de um sistema.
Este controle pode ser detective (detectivo) ou deterrent
(impeditivo).
Detectivo pelo fato do revezamento poder mostrar fraudes que já
ocorrem
Impeditivo pelo sujeito temer ser pego realizando ilegalidades
Revezamento de Funções
37. Afastamento de indivíduos através de férias forçadas para que
seja investigado má conduta.
O NDA ou acordo de confidencialidade o documento legal que
deve ser assinado por aquele que terá acesso à informações
confidenciais e que se responsabiliza por manter a
confidencialidade de toda a informação sensível.
Funcionários novos, fornecedores, consultores sempre devem
assinar o NDA antes de obter acesso às informações.
Afastamento / Férias Forçadas
Non-disclosure agreement
38. A verificação de antecedentes que possam
comprometer o perfil de um indivíduo que queira
ocupar uma posição que requer alta segurança
ou que seja cargo de confiança
Hospitais
Escolas
Instituições Financeiras
Aeroportos
Governo
Verificação de Antecedentes
42. Assim como a segurança e controles relacionados
a pessoas dentro de uma organização seja de
extrema importância, processos para o manuseio
de informação/mídias necessitam de atenção.
Informações sensíveis requererem proteção,
portanto o acesso aos meios de armazenamento
deve ser controlado. O objetivo é discutir os
conceitos que são importantes componentes de
uma sólida postura em segurança da informação.
Segurança de mídias sensíveis
46. De forma geral, operações de segurança da
informação requerem que organizações
foquem em sistemas, pessoas, dados e mídias.
Um dos pontos vitais para alcançar a
segurança em sistemas é cuidar do seu ciclo
de vida.
Gerenciamento de ativos
47. Gerenciamento de Configuração
Avaliação, coordenação, aprovação e desaprovação, e
implementação de mudanças em artefatos que são
usados para construir e manter sistemas. Um artefato
pode ser um software ou um hardware.
Conceito inicial
Implementação
Teste
Baselining
Construção
Lançamento
Manutenção
48. O scan de vulnerabilidades é o meio de descobrir
configurações errôneas e software desatualizado
em um ambiente.
O termo gerenciamento de vulnerabilidades ao
invés de scan de vulnerabilidades é usado pois
devemos enfatizar a necessidade do
gerenciamento dessas informações. A correção
ou mitigação das vulnerabilidades devem ser
priorizadas baseado no grau de risco e na
facilidade de correção.
Gerenciamento de vulnerabilidades
49. Para manter a consistência da segurança de
operações, o regimento de gerenciamento de
mudança ou processo de controle de
mudança necessita ser acompanhado.
O processo de gestão de mudança é entender,
comunicar e documentar qualquer mudança
com o objetivo de evitar impactos diretos e
indiretos na operação.
Gerenciamento de mudanças
50. Identificar a mudança
Propor a mudança
Avaliar o risco associado a mudança
Testar a mudança
Agendar a mudança
Notificar as partes impactadas da mudança
Implementar a mudança
Reportar os resultados de implementação de
mudança
Importante!
Fases do gerenciamento de mudanças
51. Todas a mudanças devem ser controladas a auditadas
cuidadosamente;
Todos os registros devem ser mantidos. Algumas
mudanças podem desestabilizar sistemas ou causar
outros problemas;
A auditoria na gestão de mudanças permite o staff de
operações investigar problemas causados por erros na
realização da mudança;
Os registros permitem que auditores verifiquem que a
política e os procedimentos de gestão de mudanças
estão sendo seguidos.
Atenção!
54. 54
O Plano de Recuperação de Desastres e o Plano
de Continuidade de Negócios são a última linha de
defesa quando todos os outros planos falharam.
Business Disaster Recovery
& Business Continuity Plan
55. 55
BCP/DRP
Plano de Continuidade de Negócios (Estratégico)
Assegurar que o negócio irá continuar a operar
antes, durante e depois de um desastre;
O foco do BCP é o negócio como um todo,
garantindo que serviços críticos operem no momento
e após um incidente.
Planos de Recuperação de Desastres (Tático)
Provê um plano de curto prazo para lidar com
disrupções específicas de TI.
DRP foca na tentativa de mitigar o impacto de um
desastre, em sua resposta imediata e na
recuperação de sistemas críticos.
.
57. 57
BCP/DRP
Plano de Continuidade de Negócios (Estratégico)
Assegurar que o negócio irá continuar a operar
antes, durante e depois de um desastre;
O foco do BCP é o negócio como um todo,
garantindo que serviços críticos operem no momento
e após um incidente.
Plano de Recuperação de Desastres (Tático)
Provê um plano de curto prazo para lidar com
disrupções específicas de TI.
DRP foca na tentativa de mitigar o impacto de um
desastre, em sua resposta imediata e na
recuperação de sistemas críticos.
.
62. Um incidente de segurança é uma ocorrência prejudicial em um
sistema ou rede. Toda organização está passível de sofrer incidentes
de segurança.
O gerenciamento de resposta a incidentes é uma metodologia
regimentada e testada para identificar e responder aos incidentes.
O CSIRT (Computer Security Incident Response Team) é o grupo
responsável por monitorar, identificar e responder aos incidentes
de segurança.
O objetivo do time de resposta a incidentes é permitir que a
organização controle o custo e os danos associados com incidentes
e ajudar na recuperação rápida dos sistemas impactados.
Gerenciamento de resposta a incidentes
65. Preparação
Treinamento dos profissionais;
Políticas e procedimentos;
Provisão de ferramentas (notebooks para “sniffar” a rede, cabos
crossover, mídia original de sistema operacional, discos removíveis
e etc.
A preparação deve incluir tudo o que seja necessário para tratar
um incidente, ou algo que faça a resposta a incidentes mais rápida
e eficiente.
Detecção e Análise
Detecção (ou Identificação) é a fase onde os eventos são
analisados que forma que consiga determinar se eles se tratam de
um incidente de segurança. Um evento é qualquer ação que possa
ser auditado em um sistema ou rede, ex: Server reboot, user
logging). Um incidente é um evento prejudicial, por exemplo um
ataque DDoS que derruba um servidor.
NIST 800-61 – Ciclo de vida de resposta a incidentes
66. Contenção
A fase de contenção é o ponto na qual o time de resposta a
incidentes tenta fazer com que o incidente não cause estragos na
rede. A contenção pode-se resumir em tirar um sistema da rede,
isolar tráfego, desligar um servidor ou realizar qualquer outro
controle que possa evitar danos.
Erradicação
A fase de erradicação envolve duas etapas: remover qualquer
software malicioso de um sistema comprometido e entender a
causa do incidente de forma que o sistema possa estar limpo e
restaurado ao status operacional na fase de recuperação.
Para uma organização se recuperar de forma confiável, a causa
deve ser determinada para que os sistemas possam retornar ao
estado seguro conhecido sem qualquer risco de serem
comprometidos novamente.
NIST 800-61 – Ciclo de vida de resposta a incidentes
67. Recuperação
A fase de recuperação envolve restaurar cuidadosamente os
sistemas ao status operacional. Tipicamente, a unidade de
negócios responsável pelo sistema irá ditar quando o sistema deve
irá voltar a operar. Considere a possibilidade que a infecção possa
ter persistido através da fase de erradicação. Por este motivo, um
monitoramento minucioso do sistema após seu retorno em
produção é necessário.
Lições aprendidas
Infelizmente, a fase de lições aprendidas (Também conhecida como
atividades pós-incidente, reporte ou post-mortem) é geralmente
negligenciada em um sistema de resposta a incidente imaturo. Este
fato é infeliz porque a fase de lições aprendidas, se feita
corretamente, é a fase que possui grande poder de mudar
positivamente a postura de segurança.
NIST 800-61 – Ciclo de vida de resposta a incidentes
68. Lições aprendidas
O objetivo desta fase é prover o relatório final do
incidente, que deve ser entregue à gestão.
A experiência obtida nesta fase irá ajudar na
preparação contínua, onde as lições aprendidas são
aplicada para melhorar a preparação e o
tratamento de futuros incidentes.
NIST 800-61 – Ciclo de vida de resposta a incidentes