Saturday, January 9, 2010

Métricas ISO 27002 - Domínio: Organização de Segurança da Informação

Quanto aos controles propostos no domínio "Organização de Segurança da Informação" da ISO 27002, segue uma sugestão de indicadores. É importante reforçar que nem todos os controles propostos pela norma se aplicam a todo tipo de empresa. Tudo vai depender da área de atuação e do apetite ao risco da Alta Administração. Esta definição deve ser realizada no momento de implantação de um SGSI (Sistema de Gestão de Segurança da Informação).
Voltando aos indicadores, segue uma tabela com a sugestão para acompanhamento deste domínio da ISO 27002.

Norma ISO 27002 – Domínio 2 - “Organização de Segurança da Informação”
Indicador
Propósito
Fonte
Frequência
Quantidade (#) de reuniões realizadas pelo Comitê de Segurança.
Medir a regularidade das reuniões do comitê de Segurança da Companhia.
Atas de reunião do Comitê de Segurança
Mensal
Quantidade (#) de palestras/workshops e outros eventos relacionados a conscientização dos colaboradores.
Medir a regularidade da realização de eventos de Segurança cujo propósito é conscientizar os usuários quanto a quaisquer aspectos importantes para o tema Segurança da Informação.
Relação de eventos realizados.
Semestral/Anual
Percentual (%) de colaboradores que assinaram um Termo de Confidencialidade.
Verificar o percentual de adesão dos colaboradores ao Termo de Confidencialidade. Neste caso a ideia é verificar qual a porcentagem de colaboradores que efetivamente assinaram este tipo de documento.
Termos de Confidencialidade assinados (pode ser na versão impressa ou através de uma ferramenta computacional, como Intranet).
Mensal


Friday, January 8, 2010

Métricas ISO 27002 - Domínio: Política de Segurança da Informação

Retomando um post publicado já há algum tempo: http://cyberneurons.blogspot.com/2009/09/metricas-parte-1-um-aspecto-importante.html, vamos abordar um aspecto importantíssimo em Segurança da Informação, que é a medição de indicadores que nos permitam avaliar a efetividade dos controles propostos pela ISO 27002.
Não dá para simplesmente implantarmos os controles e não termos uma visão de sua efetividade. Até em função da necessidade de atender auditorias, que sempre procuram evidências...
Neste post vamos abordar o primeiro domínio de controles da ISO 27002, relativo a Política de Segurança da Informação. Este domínio tem por objetivo dar direcionamento e suporte para o tema Segurança da Informação, em consonância com os requisitos de negócio, leis e regulações (SOX, PCI, etc).
É um domínio que requer uma obtenção mais manual de dados, mas mesmo assim ainda dá para utilizar alguns indicadores. A tabela abaixo apresenta uma sugestão de indicadores. Obviamente não encerra o assunto e caso alguém tenha outras sugestões de indicadores, por favor compartilhe conosco, ok?

Norma ISO 27002 – Domínio 1 - “Política de Segurança da Informação”
Indicador
Propósito
Fonte
Frequência
Percentual (%) de políticas, normas e procedimentos revisados no ano.
Medir no ano fiscal as revisões e/o atualizações da Política de Segurança da Informação.
Processo de revisão das políticas de Segurança da Informação.
Mensal
Quantidade (#) de colaboradores que leram a Política e confirmaram sua adesão aos temos.
Medir no ano fiscal a aderência de colaboradores à Política de Segurança implantada.
Documentos assinados no momento da entrada na companhia ou anualmente (neste caso, a fonte é um documento em papel), ou resultados de aderência através de ferramentas como, por exemplo, uma intranet (normalmente após ler o conteúdo, o colaborador clica em um botão, onde concorda com os termos e se compromete a segui-los).
Anual/Semestral
Quantidade (#) de colaboradores que participaram de campanhas de conscientização, relativas à Política.
Medir no ano fiscal a participação efetiva de colaboradores em palestras, workshops, etc, que têm por objetivo a conscientização quanto à importância da aderência à Política.
Listas de presença nos eventos de divulgação.
Anual/Semestral

Tuesday, January 5, 2010

Livro Recomendado: Malware Forensics - Investigating and Analyzing Malicious Code


Livro muito interessante que mostra, através de forte embasamento teórico e de exemplos práticos, como realizar uma análise pericial em Malwares. Os autores, principalmente o Eoghan Casey, são bastante experientes nessa área e conseguiram preparar um material realmente de qualidade, para análise de malwares em ambientes Windows e Linux.

Está dividido em 10 capítulos:

Capítulo 1 - Coleta e Análise de dados voláteis em Sistemas Windows, através do uso de ferramentas para coleta e mapeamento de processos, usuários logados, dump de memória, conexões de rede, arquivos abertos, entre outros.

Capítulo 2 - Coleta e Análise de dados voláteis em Sistemas Linux, com a mesma abordagem do capítulo 1, porém relacionada ao ambiente Linux.

Capítulo 3 - Análise de dumps de Memória e Processos à procura de artefatos maliciosos. A organização da memória, tanto no ambiente Windows quanto no Linux, é dissecada neste capítulo.

Capítulos 4 e 5 - Relativos à análise Post-Mortem de sistemas Windows e Linux, respectivamente. Nestes capítulos são apresentadas as técnicas para análise dos dados coletados na fase inicial de uma resposta a incidentes. Sistemas de Arquivos, Registry, Usuários, entre outros temas são abordados.

Capítulo 6 - Considerações Legais. Embora este capítulo seja baseado na lei americana, é bastante ilustrativo quanto às questões legais de manipulação de informações e uso em juízo das provas coletadas.

Capítulos 7 e 8 - Abordam questões relativas à análise inicial de artefatos conseguidos nas fases anteriores. Uma grande ênfase é dada em questões como estrutura de arquivos executáveis, métodos de ofuscação de executáveis (criptografia/compactadores), interdependência com bibliotecas do sistema operacional, etc. O capítulo 7 é dedicado ao ambiente Windows e o capítulo 8 ao ambiente Linux.

Capítulos 9 e 10 - Nestes capítulos, são apresentadas técnicas mais aprofundadas para análise de programas suspeitos, tanto em ambiente Windows (cap. 9) quanto em ambiente Linux (cap. 10). Todo este processo de análise é realizado em ambiente controlado, especialmente criado para este tipo de atividade, e existe um controle de acessos à rede, a arquivos, a registry, etc.

Realmente é uma leitura que vale muito a pena para aqueles que querem se aprofundar mais na análise de artefatos maliciosos.


Monday, January 4, 2010

Neurônios Filosóficos - Parte 5: Esperança para 2010

Ano novo, vida nova, certo?

Baseados nesta premissa, devemos ter de que em 2010 finalmente seremos brindados com os seguintes fatos:
  • Empresas desenvolvedoras de software, tanto de aplicações quanto de sistemas operacionais, finalmente terão uma preocupação real (e não somente marketing) com aspectos de segurança. Finalmente elas realizarão auditorias em seus códigos-fonte; contratarão desenvolvedores com conhecimentos dos principais tipos de ataques. Caso elas ainda não saibam como fazer, aqui vai uma dica: http://www.openbsd.org...
  • Empresas que desenvolvem e comercializam ferramentas de Segurança não irão mais vender seus produtos através de FUD...
  • Sites de e-commerce não irão mais utilizar um selo dizendo que são 100% seguros, só porque usam SSL/TLS...
  • O SQL Injection deixará de ser uma técnica tão ridiculamente simples de exploração de vulnerabilidades em aplicações WEB;
  • Algumas empresas prestadoras de serviços na área de Segurança da Informação finalmente irão realizar serviços com qualidade, e vão parar de fingir que fazem testes de invasão, análises de vulnerabilidades, etc, além de finalmente produzirem relatórios de qualidade onde o cliente efetivamente poderá perceber o valor agregado do trabalho. Dica para alguns: Simplesmente pegar um resultado de scan de vulnerabilidades do nessus, dar uma maqueada, mandar isso para o cliente e, pior, ainda cobrar por isso, é de doer...
  • E, finalmente, alguns profissionais da área de Segurança da Informação deixarão de se achar a última bolacha (biscoito?) do pacote;
Bom, nunca podemos perder a esperança.
Um próspero ano novo, muita saúde e sucesso!