Segurança a da Informação Aula 09. Aula 09

Transcrição

1 Segurança a da Informação Prof. Rossoni, Farias 1 A administração de segurança O acesso de cada funcionário às informações está diretamente relacionado ao exercício cio de suas funções. ões. Falaremos sobre a administração de segurança, a, em que explicaremos os diversos aspectos relacionados com a estrutura de administração de segurança, a, diretrizes que devem ser seguidas, considerações acerca do ferramental administrativo e técnico, t sugestões de padrões e controles. Prof. Rossoni, Farias 2 1

2 A administração de segurança O passo seguinte na implantação da estrutura de segurança, a, logo após s a definição das diretrizes da política de segurança, a, é a definição da estrutura da administração de segurança. a. Devem ser considerados aspectos como estrutura da administração de segurança, a, tipo de estrutura, sua localização dentro da estrutura da organização, perfil exigido do profissional que exercerá a função de administrador de segurança, a, diretrizes da segurança, a, ferramental administrativo e técnico a ser utilizado, equipe de projeto incumbida a implementar a segurança, a, grau de padronização ão exigido, etc. Ainda que a estrutura da administração de segurança a se volte mais para a segurança a de acesso lógico, l essa área também m deverá ser a responsável, ao menos em nível n normativo, pela segurança a física f dos ambientes de informações. Prof. Rossoni, Farias 3 A estrutura da administração de segurança Uma das primeiras coisas a ser consideradas após s a definição das diretrizes é a estrutura da administração de segurança. a. Deve ser montada uma estrutura que, ao final da implantação do projeto de segurança, a, assumirá as tarefas normais de administração de segurança a do ambiente de informações, tanto no aspecto físico f como no aspecto lógico, l definindo claramente o seu domínio de atuação, a autoridade e as regras sobre as quais se basearão sua atividades. Ainda que esse tipo de estrutura se aplique a qualquer organização, ela está mais relacionada com ambientes de informações baseados em facilidades de informática. Prof. Rossoni, Farias 4 2

3 Tipo de estrutura Tipo de estrutura de administração de segurança: a: centralizada descentralizada. Somente uma análise cuidadosa de cada ambiente de informática pode determinar o melhor tipo a ser aplicado. A seguir, alguns pontos que devem ser considerados no processo de d tomada de decisão: Prof. Rossoni, Farias 5 Tipo de estrutura (continuação): Segurança a centralizada: : proporciona controle mais eficiente com relação a mudanças as na segurança a e possivelmente nos esforços os para se impor na segurança. a. Mas o esforço o de manutenção da segurança a neste nível n pode requerer o gerenciamento de uma equipe considerável. Vantagens Maior simplificação organizacional e de procedimentos Especialistas de segurança dedicados Menor dispersão de esforços Menor sobreposição de estruturas de segurança Desvantagens Menor grau de flexibilidade Desconhecimento de condições locais Custo maior concentrado em uma única área Tempo de resposta mais lento Maior rapidez de manutenção Prof. Rossoni, Farias 6 3

4 Tipo de estrutura (continuação): Segurança a descentralizada: : distribui o esforço o de manutenção da segurança, a, de maneira que a função não se torne um ônus para uma única área. Além m disso, a manutenção poderá ser subordinada a uma área que pode ter um conhecimento maior e mais adequado dos recursos a ser protegidos.. Esforço adicional na área central para controlar as atividades dos administradores descentralizados. Maior flexibilidade Vantagens Manutenção local mais rápida Maior familiaridade com exigências locais Responsabilização e relacionamento distribuídos Aumento da burocracia Desvantagens Maior sobreposição de estruturas de segurança Menor conhecimento de segurança Maior suscetibilidade a pressões locais Maiores dificuldades de controle por parte da auditoria ou outro órgão de controle Prof. Rossoni, Farias 7 Tipo de estrutura (continuação): Para se tomar uma decisão a respeito de quem deve cuidar da administra nistração de segurança, a, deve-se levar em consideração o tamanho de cada organização, de suas instalações de processamento de informações e das atividades de manutenção necessária. Isso dependerá: Do número n de entidades hierárquicas rquicas e ferramentas envolvidas. Do número n de usuários definidos, bem como dos requisitos de movimentação de empregados. Da quantidade de recursos a ser protegidos. Da existência de padrões. Dos diferentes tipos de recursos a ser protegidos e da extensão da segurança a requerida para cada um. Lembre-se a Internet pode exigir uma estrutura exclusiva de controle. Prof. Rossoni, Farias 8 4

5 Do número n de entidades a ser protegidas, o que pode implicar um trabalho de manutenção muito grande. Das atividades de desenvolvimento de aplicações. Se a atividade de desenvolvimento for considerável, como é o caso da maioria das instalações, a revisão da segurança a e as atividades de manutenção também m serão consideráveis. Dos requisitos de auditoria e da freqüência de alterações dos mesmos. Do número n de recursos definidos para usuários e das atividades previstas para os mesmos. Muitas organizações começam com a administração centralizada e, posteriormente, descentralizam a função ão assim que os requisitos de manutenção tornem isso prático. Prof. Rossoni, Farias 9 Localização da Segurança: É melhor que o administrador de segurança esteja envolvido desde o início da implantação da estrutura de segurança, a, pelo menos em nível n central. Dessa forma, o administrador será mais capaz de gerenciar a tarefa diária. A função de administração de segurança a deve residir em algum lugar dentro da organização. Entretanto, o melhor lugar é onde a área de administração de segurança a se relacione mais diretamente com a alta administração, em um dado ambiente de informações. Isso é necessário para que a área rea se torne menos suscetível a pressões e comprometimentos resultantes de lealdades para com a área funcional à qual a administração de segurança a pertença. O custo de uma estrutura de segurança a pode ser muito alto para muitas organizações. Nesse caso, a administração de segurança, a, pelo menos, deve residir em uma área onde tenha o poder de impor a segurança. a. Prof. Rossoni, Farias 10 5

6 Perfil do profissional de segurança: O trabalho de um administrador de segurança é,, sem dúvidas, d difícil. É uma posição de alta responsabilidade, que requer segurança a e determinação. Entre as diversas características que um administrador de segurança a em potencial deve possuir, incluem-se: Conhecimento dos recursos dos ambientes de informações e dos requisitos de segurança a adequados aos mesmos. Alto grau de responsabilidade. Boa experiência analítica e organizacional. Sensibilidade para a política do ambiente de informações. Facilidade nos relacionamentos pessoais. (A maior parte do trabalho alho envolve convencimento de pessoas) Estabilidade emocional. Prof. Rossoni, Farias 11 Diretrizes da segurança: O ideal é que, as diretrizes de segurança, a, estejam definidas na política global de segurança a da empresa, como parte das atribuições e responsabilidades que se espera que todos os sigam; as diretrizes s de segurança a mais específicas devem constar de normas à parte da política e devem basear-se nas diretrizes gerais da política. Por diretrizes entende-se regrais gerais que orientarão a elaboração de normas e procedimentos subordinados à política de segurança. a. Em princípio, pio, as diretrizes de segurança a devem contemplar os seguintes aspectos: Procedimentos-padrão padrão de segurança a que serão usados dentro do ambiente da empresa. Documentação dos controles de segurança a disponíveis para cada tipo de recurso e sua comunicação a todos envolvidos. Prof. Rossoni, Farias 12 6

7 Estimativa dos riscos e comprometimento dentro do ambiente da empresa. Registro e relato das violações para as pessoas indicadas. Acompanhamento do desenvolvimento de requisitos de segurança para todos os projetos de usuários. Educação de todos os usuários com relação à política de segurança da empresa. Se for o caso, apoio às s administrações descentralizadas e seu controle. Responsabilização dos envolvidos com a função de segurança a desde o administrador central até o usuário final; deve ser dada ênfase especial ao papel das áreas de informática em relação à segurança, a, jáj que é aí que se concentram as vulnerabilidades. Prof. Rossoni, Farias 13 Ferramental administrativo e técnico: t Grande parte dos procedimentos administrativos é dependente da definição de outros aspectos da segurança, a, como as diretrizes globais e específicas da segurança, a, a estrutura e tipo de estrutura adotados, tamanho de equipe, o produto de segurança a adotado. O ferramental administrativo é altamente dependente da cultura de cada organização em particular. JáJ o ferramental técnico t é dependente do produto de segurança adotado. Prof. Rossoni, Farias 14 7

8 Padronização: Padronização de nomenclatura é o tipo de atividade que todos acham necessária mas que, freqüentemente, entemente, vai sendo adiada indefinidamente. Se a organização conseguiu desenvolver e impor padrões válidos v em nível n global antes da implantação da segurança, a, esta será muito mais fácil, f visto que os produtos de segurança a são baseados, em grande parte, no agrupamento de funções de segurança a proporcionado pela padronização. Exemplo de padronização para nomes de programas: UUAANNVV onde: UU unidade de negócio, dentro da corporação AA número seqüencial encial dentro da aplicação NN sigla da aplicação, dentro da unidade de negócio VV unidade de negócio, dentro da corporação Prof. Rossoni, Farias 15 Padronização (continuação) ão): O volume de manutenção exigido por uma estrutura de segurança é inversamente proporcional ao grau de padronização existente dentro da organização. Quanto maior esse grau, menor o volume de manutenção e vice-versa. versa. É conveniente observar que a implantação da segurança a será uma boa ocasião para desenvolver e implantar padrões de nomenclatura de recursos, tão importantes em cada organização. Prof. Rossoni, Farias 16 8

9 Equipe do projeto: A equipe de implantação do projeto deve estar constituída, ou pelo menos devem estar descritas as diretrizes que governarão o trabalho da equipe. O administrador de segurança a deve ser o coordenador da equipe. Se a estrutura da administração de segurança a jáj estiver sido implantada, é conveniente que pelo menos um dos integrantes participe da equipe, e, de preferência na função de relator e para providenciar os trâmites administrativos necessários. Prof. Rossoni, Farias 17 Controles: Algumas atividades administrativas necessitam de controles firmes, e segurança de informações é uma delas. É necessário controlar o domínio de usuários, o domínio de recursos e as interações entre os dois domínios. Todos os pacotes de segurança a (adquiridos ou desenvolvidos pela organização) devem dispor de recursos de emissão de relatórios rios sobre a estrutura da segurança a e das atividades dos usuários. Normalmente, serão necessários relatórios rios de controle de dois tipos: controle da estrutura de segurança a e controle sobre a atividades de usuários. A lista de relatórios rios que são citados nos próximos slides, são apenas uma sugestão; cada ambiente deve estabelecer sua própria pria lista em função de suas particularidades. Prof. Rossoni, Farias 18 9

10 Controle de estrutura de segurança: a: Basicamente, os relatórios rios de controle da estrutura destinam-se se a controlar os usuários, os recursos e as interações entre usuários e recursos. a) Usuários e grupos de usuários: Estrutura hierárquica rquica dos grupos de usuários Usuários de cada grupo Usuários com atributos especiais b) Recursos: Grupos de recursos protegidos Recursos de cada grupo Nível de proteção de cada grupo de recurso Nível de proteção de cada recurso individual Recursos com proteção especial c) Interações usuários versus recursos: Recursos que cada usuário pode acessar Usuários que acessam cada recurso Nível de acesso permitido a cada grupo / usuário Prof. Rossoni, Farias 19 Controle sobre as atividades de usuários: Basicamente, os relatórios rios de controle da estrutura destinam-se se a controlar a forma como os usuários fazem uso dos recursos que lhes são disponibilizados e as violações que os mesmos cometem. Violações de acesso a ambientes Violações de acesso a recursos Acesso a recursos monitorados Acesso de usuários monitorados Prof. Rossoni, Farias 20 10

11 Fluxo administrativo associado com a concessão de acesso a um recurso controlado: Etapas do processo Solicitação de acesso Análise: Autorização Recusa Inclusão de usuários Uso dos recursos Usuário Solicita Correção/ acertos Usa Agentes envolvidos no processo Administrador Recurso Informa adm.segur. Justifica Administrador Segurança Cria chave e inclui nas listas de acesso e informa Controles Controle de uso Controles/ violações/ correções Prof. Rossoni, Farias 21 Segurança a da Informação Termino da Prof. Rossoni, Farias 22 11