Thursday, March 11, 2010

Métricas ISO 27002 - Domínio: Segurança em Recursos Humanos

Quanto aos controles propostos no domínio "Segurança em Recursos Humanos" da ISO 27002, segue uma sugestão de indicadores.

É importante reforçar que nem todos os controles propostos pela norma se aplicam a todo tipo de empresa. Tudo vai depender da área de atuação e do apetite ao risco da Alta Administração. Esta definição deve ser realizada no momento de implantação de um SGSI (Sistema de Gestão de Segurança da Informação).
Voltando aos indicadores, segue uma tabela com a sugestão para acompanhamento deste domínio da ISO 27002.




Norma ISO 27002 – Domínio 4 - “Segurança em Recursos Humanos”
Indicador
Propósito
Fonte
Frequência
Percentual (%) de termos de responsabilidade assinados por colaboradores, terceiros e fornecedores, em relação às contratações realizadas no ano.
Medir o total de termos de responsabilidade assinados por colaboradores, terceiros e fornecedores.
Processo de revisão dos termos de responsabilidade.
Mensal
Percentual (%) de colaboradores e terceiros que realizaram treinamento de Segurança da Informação. Ter conhecimento sobre o total de colaboradores e terceiros que realizaram treinamentos focados em Segurança da Informação. Processo de treinamento de colaboradores e terceiros sobre Segurança da Informação. Mensal

Wednesday, March 10, 2010

Segurança nas Nuvens - Parte 2

Continuando o assunto segurança em Cloud Computing, vamos analisar o primeiro risco apontado pelo relatório da ENISA: Perda de Governança (R.2 Loss of Governance).

Mais uma prova de que questões técnicas  não devem ser a única preocupação para profissionais da área de Segurança da Informação. Este risco está classificado como Organizacional e de Política, e as questões levantadas são extremamente pertinentes, afinal de contas a terceirização de serviços pode representar um risco de não atendimento a requisitos regulatórios (PCI, SOX, entre outros) e outros riscos de segurança. Até que ponto a empresa contratada segue os procedimentos corretos para garantir (ou pelo menos fazer o melhor possível, porque não existe 100% de segurança) os níveis adequados de proteção para os dados que ficam na nuvem?

Existem SLA's adequados? Existem cláusulas contratuais que garantam à empresa cliente a possibilidade de realização de auditorias regulares, ou mesmo a contratação de empresas terceiras especializadas na realização de testes de vulnerabilidades e invasão? A fornecedora de serviços de computação em nuvem segue as boas práticas de Gestão de Segurança da Informação? Até que ponto a questão de segurança está bem definida em contrato e não provocará surpresas em caso de um incidente de segurança? Surpresas do tipo: Este serviço ou proteção não fazem parte do escopo deste serviço gerenciado...

É fundamental, portanto, garantir em contrato o correto atendimento às questões de segurança, sob pena de não atendimento a requisitos regulatórios, perda de credibilidade e danos à imagem da empresa.

Tuesday, March 9, 2010

BotNet Mariposa

Uma excelente análise da botnet Mariposa pode ser encontrada neste endereço: http://defintel.com/docs/Mariposa_Analysis.pdf. Esta botnet é um excelente exemplo da crescente capacidade de propagação e comando/controle das redes atuais. O principal destaque desta botnet é a sua capacidade de instalação de executáveis nas máquinas comprometidas, tornando assim ilimitadas as possibilidades de contaminação.

É importante lembrar que uma botnet não é um malware como worm, vírus, etc, e sim uma rede de computadores contaminados. É impressionante a "profissionalização" destas botnets. Após conseguir contaminar e controlar uma boa quantidade de máquinas, os grupos alugam/vendem o uso destas botnets. Sem dúvida um verdadeiro mercado. Aquele romantismo de grupos de hackers que invadiam computadores pelo puro prazer de aprender novas tecnologias, etc, é coisa do passado. Hoje a questão é grana mesmo.

Monday, March 8, 2010

Métricas ISO 27002 - Domínio: Gerenciamento de Ativos

Quanto aos controles propostos no domínio "Gerenciamento de Ativos" da ISO 27002, segue uma sugestão de indicadores. A definição de "ativos" é bem ampla, mas basicamente me refiro a: Informações (podem ser relatórios, arquivos de dados, contratos, procedimentos/políticas, etc), Softwares (aplicações, sistemas operacionais, aplicativos de desenvolvimento e ferramentas computacionais em geral), Dispositivos (computadores, impressoras, equipamentos de conectividade, mídias de armazenamento, etc), Serviços de Apoio (equipamentos de iluminação, ar condicionado, geração e armazenamento de energia, etc), Intangíveis (marcas e reputação) e Pessoas.

É importante reforçar que nem todos os controles propostos pela norma se aplicam a todo tipo de empresa. Tudo vai depender da área de atuação e do apetite ao risco da Alta Administração. Esta definição deve ser realizada no momento de implantação de um SGSI (Sistema de Gestão de Segurança da Informação).
Voltando aos indicadores, segue uma tabela com a sugestão para acompanhamento deste domínio da ISO 27002.



Norma ISO 27002 – Domínio 3 - “Gerenciamento de Ativos”
Indicador
Propósito
Fonte
Frequência
Quantidade (#) de ativos classificados.
Obter a quantidade total de ativos classificados, de acordo com labels pre-definidos.
Inventário de Classificação de Ativos.
Semestral
Percentual (%) de Termos de Responsabilidade de uso de equipamentos, assinados pelos colaboradores. Identificar a aderência dos colaboradores aos Termos de Responsabilidade de uso de equipamentos (laptops, celulares, etc). Relação de Termos de Responsabilidade de uso. Semestral

Sunday, March 7, 2010

Segurança nas Nuvens - Parte 1

O evento RSA Conference 2010, um dos maiores da atualidade, dedicado à temática de Segurança da Informação abordou, entre outros assuntos, aspectos relacionados à segurança de ambientes computacionais distribuídos (Cloud Computing, ou Computação em Nuvem). Este é realmente um assunto cada vez mais discutido e certamente ainda irá gerar muita pesquisa e, por que não, polêmicas.

Recentemente, a ENISA (European Network and Information Security Agency) publicou um relatório contendo benefícios, riscos e recomendações a respeito da Computação em Nuvem. O relatório pode ser obtido no seguinte endereço: http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment.

Nos próximos posts vou comentar os riscos e recomendações apresentados neste relatório. A ordem de análise obedecerá o nível de impacto e probabilidade de ocorrência, apresentados na tabela da página 24 do referido relatório.