Você pode ajudar adicionando referências ou removendo conteúdo não publicado. Veja a página de discussão para mais detalhes.
A segurança dos sistemas de informação ( ISS ) ou mais simplesmente segurança informática , são todos os recursos técnicos, organizacionais, jurídicos e humanos necessários à implementação de meios destinados a prevenir o uso não autorizado, uso indevido, modificação ou apropriação indevida do sistema de informação . Garantir a segurança do sistema de informação é uma atividade de gerenciamento de sistema de informação .
Hoje, a segurança é um grande problema para as empresas, bem como para todos os jogadores ao seu redor. Já não se limita apenas ao papel do cientista da computação. Seu objetivo de longo prazo é manter a confiança dos usuários e clientes. O objetivo de médio prazo é a consistência de todo o sistema de informação. No curto prazo, o objetivo é que todos tenham acesso às informações de que precisam. A norma que trata dos sistemas de gestão da segurança da informação (SGSI) é a ISO / CEI 27001 que enfatiza a Confidencialidade - Integridade - Disponibilidade , ou seja, em francês disponibilidade , integridade e confidencialidade .
Os gerentes de sistemas de informação há muito se preocupam com a proteção de dados. O caso mais difundido e, sem dúvida, um precursor em termos de segurança da informação , continua sendo a proteção de informações estratégicas e militares. O Departamento de Defesa dos Estados Unidos (DoD) está na origem do TCSEC , uma obra de referência no assunto. Da mesma forma, o princípio da segurança multinível tem suas origens na pesquisa para resolver problemas militares de segurança da informação . A defesa em profundidade , saída de uma antiga prática militar, e ainda hoje relevante. Essa prática consiste em proteger cada subconjunto de um sistema.
As consequências da falta de segurança podem afetar as organizações, mas também a vida privada de uma ou mais pessoas, em particular pela divulgação de informações confidenciais, como seus dados bancários, sua situação financeira, seus códigos confidenciais, etc. Em geral, a preservação de dados relativos a indivíduos está sujeita a obrigações legais regidas pela Lei de Proteção de Dados .
Hoje, é geralmente aceito que a segurança não pode ser garantida 100% e, portanto, na maioria das vezes requer a mobilização de uma panóplia de medidas para reduzir as chances de penetração dos sistemas de informação.
“O sistema de informação representa um patrimônio essencial da organização, que deve ser protegido. A segurança de TI trata de garantir que os recursos de hardware ou software de uma organização sejam usados apenas para os fins previstos. "
A segurança dos sistemas de informação tem os seguintes objetivos (CAID):
Outros aspectos também podem ser considerados como objetivos de segurança de sistemas de informação, tais como:
Uma vez determinados os objetivos de segurança, os riscos que pesam sobre cada um desses elementos podem ser estimados de acordo com as ameaças . O nível geral de segurança do sistema de informações é definido pelo nível de segurança do elo mais fraco. As precauções e contra-medidas devem ser consideradas com base nas vulnerabilidades específicas do contexto ao qual o sistema de informação deve fornecer serviço e suporte.
Para isso, é necessário estimar:
Para proteger os sistemas de informação, a abordagem adota uma espiral evolutiva regular: o fim de um ciclo leva ao início de um novo, como na roda de Deming . Em segurança, consiste em:
avaliar os riscos e sua criticidade quais riscos e ameaças, em quais dados e quais atividades, com quais consequências?É importante levar em consideração os ativos que têm valor, definindo um escopo do sistema de gestão do sistema de informação . Pode ser focado em toda a empresa, em um site específico, em um serviço dependendo da estratégia da empresa. O capital intelectual das empresas integra informações sensíveis , esse patrimônio de informações deve ser protegido. A empresa deve, portanto, implementar uma política de segurança para sistemas de informação, segurança de dados e mecanismos de identificação . Além disso, é necessário definir uma política de SGSI, que é o compromisso da empresa com um determinado número de pontos em termos de segurança. Esses dois pontos constituem a pedra angular da WSIS , com o objetivo de estabelecer a norma ISO / IEC 27001 e, assim, trazer confiança às partes interessadas.
Etapa 2: avaliação de riscoTentar proteger um sistema de informação equivale a tentar proteger-se contra ameaças intencionais e mais geralmente contra todos os riscos que possam ter uma influência na segurança deste ou das informações que processa.
Método de análise de riscoExistem diferentes métodos de análise de risco no sistema de informação. Aqui estão os métodos de avaliação de risco mais comuns:
Na França, o primeiro método desenvolvido foi o Marion. Hoje, foi substituído, ainda que algumas empresas tenham mantido este modelo inicial, pelo método Méhari (método harmonizado de análise de risco ) desenvolvido pela CLUSIF , e pelo método EBIOS ( expressão de necessidades e identificação de objetivos de segurança ) desenvolvido pela Agência Nacional de Segurança de Sistemas de Informação ( ANSSI ).
Na Inglaterra, o Cramm é um método de análise de risco desenvolvido pela organização governamental do Reino Unido ACTC (Central Communications and Telecommunications Agency). Este é o método de análise de risco preferido do governo do Reino Unido, mas também é usado por muitos outros países.
Os Estados Unidos usam OCTAVE ( Avaliação Operacionalmente Crítica de Ameaças, Ativos e Vulnerabilidades ), desenvolvido pela Carnegie Mellon University.
Internacionalmente, é usada a ISO / IEC 27005 , que é um padrão internacional que atende ponto a ponto os requisitos da certificação ISO / IEC 27001 . É o padrão mais recente, além de ser facilmente aplicável porque é pragmático.
Método | Autor | País |
---|---|---|
Avaliação de risco | Platina ao quadrado | Reino Unido |
Afhankelijkheids | Ministério holandês | Países Baixos |
ISAMM | Evosec | Bélgica |
IT-Grundschutz | BSI | Alemanha |
Magerit | Ministério espanhol | Espanha |
Migra | AMTEC / ElsagDatamat | Itália |
SP 800-30 | NIST | EUA |
ISO 17799 | ISO | Internacional |
ISO 13335 | ISO | Internacional |
ISO 14408 | ISO | Internacional |
Embora a finalidade desses métodos seja a mesma, os termos e expressões usados podem variar. Os usados acima são geralmente inspirados no método de Feros .
Paradoxalmente, nas empresas, revela-se delicada a definição de indicadores mensuráveis e relevantes de “segurança de SI” que permitam a definição de objetivos de tempo razoável a serem alcançados. Para medir o desempenho, podemos designar como indicadores os estados de instalação de ferramentas ou procedimentos, mas os indicadores de resultados são mais complexos de definir e avaliar, por exemplo os relativos a “alertas de vírus” .
Identificar ativosIsso consiste em fazer uma lista de todos os elementos de informação importantes dentro do perímetro do SGSI. Existem diferentes tipos de ativos:
Para a identificação de ativos, surgem três problemas:
Agora é essencial ter planos de segurança de negócios em vigor para garantir a continuidade e recuperação em caso de desastre ( plano de recuperação de negócios ). Esses planos tentam minimizar a perda de dados e aumentar a capacidade de resposta no caso de um grande desastre. Um plano de continuidade de negócios eficaz é virtualmente transparente para os usuários e garante a integridade dos dados sem nenhuma perda de informações.
Identifique as pessoas responsáveisÉ o responsável por um bem quem responde por ele. Normalmente é aquele que melhor conhece o valor e o impacto da disponibilidade , da integridade e da confidencialidade dos ativos . Em uma empresa, geralmente é o responsável pela segurança dos sistemas de informação quem melhor conhece os ativos de informação.
Identifique vulnerabilidadesCada ativo listado possui vulnerabilidades; é uma propriedade intrínseca do ativo que o expõe a ameaças.
Identificar e modelar ameaçasAs vulnerabilidades identificadas anteriormente expõem ativos a ameaças. O padrão ISO / CEI 27001 exige a identificação de ameaças para todos os ativos listados.
As principais ameaças que um sistema de informação pode enfrentar são:
A norma ISO 27001 obriga a avaliação das consequências; tais como: perda de confidencialidade, disponibilidade ou integridade. Isso equivale a dar uma pontuação tridimensional ( confidencialidade ; disponibilidade e integridade ), de acordo com critérios definidos, para cada ativo .
Identifique o danoQuatro tipos de danos podem afetar o sistema de informações de uma organização:
Isso envolve colocar o ativo de informação de volta em seu contexto ambiental e, portanto, levar em consideração as medidas que já estão em vigor ( por exemplo, se um arquivo de cliente já estiver criptografado, a probabilidade de ver sua confidencialidade comprometida é limitada). É possível avaliar a noção de verossimilhança por meio de uma pontuação em uma escala de 1 a 5.
Estimar os níveis de riscoA atribuição de uma pontuação final refletirá o nível real de risco, levando em consideração os elementos acima. O padrão ISO 27001 não impõe nenhuma fórmula, portanto, cabe ao implementador escolhê-la. Pode ser uma pontuação de 0 a 100 ou um código de cores.
Etapa 3: Trate o risco e identifique o risco residualA empresa pode lidar com os riscos identificados de 4 maneiras:
Aceite o risco solução ad hoc quando a ocorrência do risco resultar em repercussões aceitáveis para a empresa. Evite o risco solução quando as consequências de um ataque são consideradas muito perigosas para a empresa. Transfira o risco solução quando a empresa não pode enfrentar o risco por seus próprios meios (contratação de seguros ou terceirização ). Reduza o risco solução para tornar o risco aceitável.Por último, não devemos esquecer de ter em consideração os “riscos residuais” que persistem após a implementação de todas as medidas de segurança. Medidas de proteção adicionais devem ser tomadas para tornar esses riscos aceitáveis.
Etapa 4: Selecione as medidas a serem implementadas (Anexo A da ISO / IEC 27001)A implementação da norma ISO2 / CEI 27001 geralmente ocorre em cinco fases complementares:
A etapa de planejamento identifica as medidas a serem tomadas na organização, mas não permite que sejam concretizadas. Devem ser organizados, os meios necessários selecionados e as responsabilidades definidas, estabelecendo um plano de tratamento de risco. Esta etapa se enquadra no gerenciamento de projetos .
Implantar medidas de segurançaMuitos meios técnicos podem ser implementados para garantir a segurança do sistema de informações . É aconselhável escolher os meios necessários, suficientes e justos. Aqui está uma lista não exaustiva de meios técnicos que podem atender a certas necessidades de segurança do sistema de informação:
Um dos novos recursos da ISO / IEC 27001 é exigir verificações de segurança regulares. O gerente deve escolher indicadores que medem sua confiabilidade. Eles podem ser de dois tipos:
Informar a equipe é essencial para o sucesso de um projeto de segurança de SI, para que eles entendam sua utilidade e saibam como aplicá-la. Portanto, é uma boa prática conscientizar todos os funcionários sobre os problemas de segurança de TI de sua organização, de maneira geral. Esta explicação deve lembrar os compromissos da organização, e dar exemplos muito práticos e procedimentos internos para evitar os incidentes mais usuais. Os funcionários diretamente envolvidos com segurança de TI devem ser treinados para que saibam como usar as ferramentas corretamente.
O treinamento, incluindo vacinação psicológica contra técnicas de engenharia social, permite que as pessoas resistam à tentação de se desviar dos procedimentos e princípios de segurança.
Gerenciar o ISMS diariamenteA norma ISO / IEC 27001 não requer apenas a implementação de um sistema de segurança, mas também a comprovação de sua eficácia. As empresas devem, portanto, gerenciar adequadamente seus recursos e desenvolver rastreabilidade .
Detecção e resposta rápida a incidentesEsta fase é baseada na teoria da segurança baseada no tempo . O princípio é levar em consideração o tempo necessário para que um ataque à segurança seja bem-sucedido. Durante esse tempo, a empresa deve ser capaz de detectar e responder à ameaça, com uma margem adicional de segurança.
Deve haver meios de controle para monitorar a eficácia do SGSI, bem como seu cumprimento.
Existem ferramentas para verificar isso, como:
As auditorias internas Auditoria planejada com bastante antecedência e convocação de ouvintes.
O controle interno : Monitora constantemente dentro da organização para garantir que todos apliquem os procedimentos diariamente.
Revisões: Dê um passo para trás para alinhar a WSIS e seu ambiente.
Podemos ajudar a nós mesmos:
Depois de destacar qualquer mau funcionamento graças à fase de verificação, é importante analisá-los e colocar em prática: