Comunidade Portuguesa de Segurança da Informação

2007-12-25T10:10:00.000Z

Certificação ISO 27001: dados sobre a implementação na TV Cabo
Qual a metodologia? Qual a duração do projecto? Descubra os detalhes do projecto.

Visão Executiva (+)

Gestão de Serviços de SI/TI

Quais os referenciais nesta área? Links disponíveis.

Implementação de Gestão da Segurança da Informação (+)

Continuidade de Negócio

Quais os referenciais? Links e recursos disponíveis.

Segurança Informática (+)

Procedimentos legais para incidentes informáticos
Quais os procedimentos para reportar incidentes às autoridades em Portugal?

Recursos (+)

Pressupostos e decisões da Gestão de Segurança da Informação

Apresentação efectuada no SINO´2006 em Aveiro.

Links para directórios de weblogs

Web Blog Directory Blogarama

Lançamento da certificação em Gestão de Continuidade de Negócio - BS 25999

2007-11-29T18:51:00.000Z

Duas empresas do Reino Unido foram as primeiras organizações no mundo a alcançar a certificação em gestão de continuidade de negócio, de acordo com os requisitos da norma BS 25999.

Segundo o director-geral da BSI Management Systems, Flemming Norklit "o significado da apresentação [desta certificação] é enorme para as organizações que desejam minimizar o risco para os seus negócios de acontecimentos disruptivos." Segundo o mesmo responsável "a TDG e SunGard [as empresas certificadas] estão no centro de uma longa e crescente lista de corporações de topo que pretendem demonstrar ao mercado que a efectuar o que é requerido para protegerem os seus negócios."

Norma de gestão da continuidade de negócio

O referencial de gestão da continuidade de negócio, publicado pelo organismo britânico de normalização, British Standard Institution, com a denominação de BS 25999, possibilita que organizações que demonstrem conformidade com as boas práticas aceites de gestão da continuidade de negócio obtenham a certificação dos seus sistemas de gestão de continuidade de negócio.

A certificação BS 25999 é suportada em dois documentos normativos à semelhança de outras normas, nomeadamente a gestão de segurança da informação, designada como ISO 27001.

O primeiro destes documentos, denominado de BS 25999-1, estabelece o catálogo de boas práticas de gestão de continuidade de negócio, ou seja o conjunto de actividades estruturadas para desenvolver, implementar e monitorizar a gestão da continuidade de negócio, o que abrange, por exemplo, a realização de análises de impacto de negócio e o desenvolvimento de uma política de gestão de continuidade de negócio na organização.

A segunda norma, intitulada de BS 25999-2, define as especificações exactas que um sistema de gestão da continuidade de negócio existente numa organização deve atender para poder almejar conformidade face à presente norma.

Baseado no press release da BSI:

http://www.bsi-global.com/en/About-BSI/News-Room/BSI-News-Content/General/Presentation-of-the-worlds-first-certificates-for-BS-25999/

2007-09-07T15:51:00.000+01:00

Notícias de Gestão Segurança da Informação

Conferência "Inteligência Económica: Um Instrumento de Competitividade Estratégica
Dia 16 de Abril às 12h00 na SEDES em Lisboa

Workshop BS 25999 - Sistema de Gestão de Continuidade de Negócio
Conhece a norma para a certificação de organizações ao nível da continuidade de negócio?

Workshop Gestão de Risco e Conformidades
Apresentações disponíveis dos casos de aplicação reais do Risk Manager

Workshop de Boas Práticas de Segurança da Informação
Qual a utilidade das "boas práticas" de segurança? Quais os modelos aplicáveis?
Uma apresentação de 95 slides para si.

Exames CISA CISM em Portugal
ISACA irá realizar uma segunda época de exames em Lisboa.

Governo cria Sistema de Certificação Electrónica para o Estado

Decretos-Lei aprovados em 4 de Maio de 2006.

Organismo público brasileiro certificado
Certificação ISO 27001/BS7799 para a SERPRO.

Sapo noticia Comunidade

O Sapo Tek recomendou o nosso blog.

Curso de Auditorias Internas à ISO 27001
Curso para auditores internos. 15-16 Maio, em Sintra.

Gestão de Serviços de TI para a Segurança da Informação

Vantagens da BS 15000/ITIL (actual ISO 20000) para a gestão de Segurança da Informação.

Workshop - Gestão da Segurança da Informação
Apresentação disponível, descubra os próximos workshops gratuitos.

Ganhos com a Sarbanes-Oxley
Como o SOX permitiu melhores processos, mais segurança e até mesmo custos menores?

BP retira 18.000 laptops da LAN por motivos de segurança

Preocupações de crime organizado e os ciber-criminosos suscitou esta operação.

Workshop Gestão da Segurança da Informação

Apresentação disponível, descubra os próximos workshops gratuitos.

Novo referencial da gestão de riscos
Em Março será publicado a BS 7799-3, referência de gestão de risco.

Módulo Security: certificação ISO 27001
Primeira certificação no mundo de uma empresa de Segurança da Informação.

1º Curso de implantação de ISO 27001
Curso de metodologia de implementação de um ISMS, em Março, Portugal

Curso de Gestão de Segurança da Informação
Curso da BSI, organismo inglês de standard, em Lisboa e Porto (Janeiro de 2006).

Formação ISO 27001 e CISSP em Barcelona
Formação intensiva em 3 certificações de segurança.

Metodologia de mediação em revisão
Leia o draft ou contribua para o mesmo.

Curso na cidade do Porto
Um curso de introdução às normas ISO 17799 e nova ISO 27001 a realizar em Dezembro.

Nova versão da ISO/IEC 17799
As novidades do código de boas práticas.

As novidades da ISO 27001
O que a ISO 27001 difere da BS 7799?

Glossários de Segurança da Informação

Glossário em inglês para download.

Alinhamento formal entre o CobiT, ITIL e ISO/IEC 17799

Documento para donwload.

1º Curso de Auditor Coordenador em Portugal

O segundo curso de auditores coordenadores da ISO 27001 a nível mundial.

Lista das normas 27000 de Segurança de Informação

Do ISO 27000 ao ISO 27006.

Publicação da nova edição da BS 7799-2 como ISO 27001

Finalmente a nova versão.

Guia básico para recuperação de dados

2007-05-29T15:34:00.000+01:00

A perda de informação num disco rígido pode ocorrer dentro de dois cenários possíveis:

a) o utilizador ainda consegue aceder ao disco rígido, e o sistema operativo está a funcionar normalmente;
b) o computador “congelou”, não reinicia e podem inclusivé ouvir-se barulhos estranhos vindos do disco.

A. Vamos abordar primeiro o cenário a), usando regras simples e fáceis de seguir.

1. Depois de uma perda de dados, nunca escreva para o disco rígido.

Quando informação é perdida no disco, a primeira regra que se deve seguir é uma simples regra de senso comum: não escreva mais nada para o disco rígido antes de recuperar o que foi perdido.

Há uma razão muito simples para isto: quando se apaga alguma coisa no disco, o sistema operativo (windows, mac os ou linux, por exemplo) não apaga permanentemente a informação. Em vez disso, diz apenas ao utilizador que agora existe mais espaço livre na unidade – mas esse espaço continua ocupado pela informação apagada, apenas muda de “estado” para o utilizador, de ocupado para livre.

Uma coisa é sempre verdade, no que respeita à informação no seu disco – o que se vê nem sempre é tudo aquilo que se tem.

Isto é verdade para ficheiros perdidos, mas também para partições perdidas. Se apagar uma partição, deixe-a em branco. Pode não a conseguir ver, mas software especializado em recuperação de dados vai conseguir. O mesmo se aplica a discos formatados – é perfeitamente possível recuperar de uma formatação completa.

Como apago ficheiros permanentemente? Se quiser apagar ficheiros por razões de segurança e/ou privacidade deve usar software comercial produzido para essa função ou contactar uma empresa especializada em recuperação de dados.

2. Restore as suas cópias de segurança (backups)

Se fez o seu trabalho de casa, deve ter cópias de segurança actualizadas de toda a informação vital armazenada no seu disco rígido. Agora é o tempo certo para consultar esses backups, e eventualmente restaurá-los, para recuperar os dados perdidos.

Se não possuir cópias de segurança actualizadas, deve começar um processo de recuperação de dados, como explicado nos passos seguintes. Mas lembre-se que no futuro, cópias de segurança actualizadas são sempre a sua melhor hipótese de proteger informação vital e insubstituível. Por isso faça cópias de segurança em períodos regulares e armazene-as num lugar seguro.

3. Não instale software de recuperação de dados na mesma unidade em que ocorreu a perda de dados

Lembre-se o passo 1. Se instalar software no mesmo disco rígido onde perdeu os seus dados inicialmente, pode correr o sério risco de escrever por cima da informação que quer recuperar, perdendo-a definitivamente.

4. Desligue o seu computador

Para jogar pelo seguro, logo após uma perda de informação, deve desligar de imediato o computador. Basta iniciar o sistema operativo para que ocorram operações de leitura e escrita para o disco rígido, e o espaço onde está a sua informação perdida pode ser reescrito numa delas.

5. Proteja o seu disco rígido

Remova a unidade de disco do seu computador e conecte outra, mesmo que seja uma unidade antiga, desde que tenha um sistema operativo instalado, para que seja capaz de reiniciar o seu computador e analisar depois a unidade em que ocorreu a perda de informação. Como alternativa, pode instalar o seu disco rígido noutro computador, como drive secundária, para aceder a ele sem que ocorra o risco de escrever dados no mesmo.

Se perdeu dados em virtude de um ataque de virus, instale um software anti-virus no disco que vai usar para reiniciar o seu computador.

Discos de emergência ao socorro: Se está com medo de desmontar o seu computador, e tem um disco de emergência preparado, pode reiniciar o seu computador com ele (seja uma disquete, CD ou DVD) e seguir o processo a partir dai.

6. A escolha do software de recuperação de dados

Existem diversas escolhas gratuitas na Internet, bem como diversas versões de demonstração de programas comerciais.

Pode experimentar muitos destes programas, por sua conta e risco. Em qualquer caso, se tiver alguma questão, dúvidas, ou não sentir possuir os conhecimentos técnicos necessários para recuperar os seus dados sozinho, pode sempre consultar uma empresa de recuperação de dados na sua área.

B. O cenário b) é um cenário em que existe uma falha do disco rígido

Uma falha do disco rígido ocorre quando se torna impossível aceder ao mesmo, por influência de factores internos ou externos. Os factores podem variar, mas o mais comum é conhecido como “head crash” – a cabeça que lê a superfície magnética do seu disco toca na superfície metálica, friccionando contra ela e tornando as leituras normais impossíveis.

Como é constituído um disco rígido? Pratos, um motor, cabeças de leitura/escrita e actuaradores de cabeças. Os pratos rodam usando o motor e as cabeças lêem e escrevem informação no sitio para onde são movidas pelo braço actuador.

1. Desligue o computador e não tente reiniciá-lo

Quando ocorre um erro físico num disco rígido, a melhor coisa a fazer é não tentar reiniciar o sistema. Esta reiniciação pode causar mais problemas ao disco.

2. Proteja o disco rígido

Se o seu disco falhou devido a um problema externo, deve preservá-lo “tal como está”. Isto significa que, se por exemplo houve uma inundação e o disco entrou em contacto com água, deve preservá-lo dentro de água, nunca tente abri-lo ou secá-lo por si mesmo.

O meu computador esteve debaixo de água! Neste caso, a melhor coisa a fazer é tirar o disco do computador e armazená-lo dentro de um tupperware cheio de água. Envie de seguida essa embalagem para uma empresa especializada em recuperação de dados.

2. Como escolher uma empresa de recuperação de dados

Quando ocorre um erro físico, não deve tentar soluccioná-lo sozinho. Muitas das vezes certos componentes do disco têm de ser reparados ou substituidos, e esse processo apenas pode ter lugar numa “sala limpa”.

Para maximizar as suas hipóteses de recuperar os dados, deve encontrar rapidamente uma empresa de recuperação de dados perto de si.

São 4 as coisas principais a considerar, no processo de escolher essa empresa:

a) Ela deve possuir o equipamento adequado. A empresa que escolher deve ter os meios certos para recuperar a sua informação perdida. Pergunte directamente se ela possui pelo menos uma “sala limpa” de classe 100.

b) Existe uma possibilidade de parceria? A empresa que escolher está aberta a estabelecer uma parceria com a sua empresa? Oferecem formação e conselhos a longo prazo para melhor proteger os seus dados?

c) Experiência. Essa empresa especializa-se em recuperar dados no tipo de unidades em que está a tentar efectuar a recuperação de dados?

d) Lista de clientes. Visite o website da empresa que está a considerer contratar e consulte a lista de clientes passados. Ela inclui nomes de grandes empresas, e uma variada lista de indústrias diferentes? É sempre positivo se a resposta for sim.

3. Envie o disco para análise

A maioria das empresas não cobra absolutamente nada se não recuperarem os seus dados. Com toda a probabilidade estarão dispostos a dar uma estimativa de quanto lhe vai custar essa recuperação, por isso aproveite e peça-a sempre antes de se comprometer com um preço.

Consulte várias empresas e compare preços, mas lembre-se do passo 2 – é melhor pagar um pouco extra, se isso lhe assegura o acesso a melhor equipamento e a uma empresa com uma melhor lista de clientes satisfeitos.

Quando chegar a uma decisão, envie o seu disco para receber um orçamento. Use preferencialmente o material de embrulho que vinha originalmente com o mesmo. Se comprou o disco em conjunto com o seu computador, use material de embrulho macio, como por exemplo um envelope almofadado. Use espuma para compactar o disco rígido e impedir que este sofra com movimentos súbitos durante o transporte.

David Marques
Director Técnico
Data Recover Center
Empresa de recuperação de dados

Certificação ISO 27001: dados sobre a implementação na TV Cabo

2007-05-28T09:45:00.000+01:00

A primeira organização certificada em Gestão de Segurança da Informação - TV Cabo - disponibilizou amavelmente para o ISMSPT alguns dados sobre o processo de implementação de um sistema de gestão de segurança da informação. As informações foram prestadas por Nuno Schiappa Cruz (Responsável de Projectos Transversais da TV Cabo) e Rui Pedro Vaz (Senior Manager da GMS Consulting), aos quais agradecemos pelo facto de divulgarem à nossa comunidade alguns dados deste projecto pioneiro.

Q1: Qual o âmbito do sistema implementado? Explicitando a declaração de âmbito (a disponibilizar publicamente pela entidade certificadora). Se possível, definir qual o tipo de informação que o sistema protege.

O âmbito de certificação considerado para o ISMS da TV Cabo integra os activos de Informação, Sistemas de Informação e Direcções funcionais considerados relevantes para os processos de negócio "Gerir Clientes" e "Facturar e Cobrar".

Informações genéricas sobre qual a estrutura de gestão de segurança implementada (funções genéricas, quantas pessoas envolvidas na gestão do sistema)

Encontra-se definida uma estrutura de funções e responsabilidades associadas à gestão e manutenção do ISMS, nomeadamente:

Comissão Executiva da PTM: tem como principais responsabilidades a promoção das políticas de segurança da Informação na Organização e a disponibilização dos recursos humanos, financeiros e tecnológicos considerados adequados à sua efectiva operacionalização;
Comité de Segurança: tem como principais responsabilidades a coordenação e supervisão da adopção das políticas de segurança na Organização e a execução e/ou revisão periódica do ISMS; e
As Direcções de Recursos Humanos (DCRH), Jurídica (DCJ), Sistemas de Informação (DSI), Customer Care (DCC), Fidelização de Clientes (DFC), Operações e Engenharia (DOE), Rede de Distribuição (DRD), Financeira e Administrativa (DCFA): têm como principais responsabilidades assegurar a operacionalização e monitorização dos controlos de segurança da Informação cuja implementação lhes esteja atribuída.

Em termos globais, estas áreas de actuação concentram aproximadamente 100 colaboradores da TV Cabo nas funções âmbito de certificação.

Qual a metodologia de gestão de risco (se é qualitativa ou quantitativa)?

A TV Cabo optou por desenvolver e implementar uma metodologia própria de Gestão de Risco que assegura o apuramento quantitativo dos riscos brutos e net associados ao âmbito do ISMS, nomeadamente através da valorização ponderada dos seus activos face às vulnerabilidades e ameaças consideradas.

Exemplos de interfaces do sistema com os departamentos da TV Cabo (tipos de mecanismos de gestão de interfaces)

Constitui-se como uma responsabilidade das Direcções, Departamentos, Áreas e/ou Colaboradores TV Cabo, em coordenação com os proprietários da informação e com o Comité de Segurança, assegurar a operacionalização e monitorização dos controlos de segurança da Informação cuja implementação lhes esteja atribuída. Adicionalmente, estão definidos procedimentos e mecanismos específicos que asseguram:

Continuidade e refresh ao nível awarness e formação dos Colaboradores da TV Cabo no sistema e, em particular, nas Políticas de Segurança da Informação da Organização; e
Reporte de incidentes de segurança pelos Colaboradores da TV Cabo e o respectivo follow-up em termos de resolução.

Refira-se no entanto que a gestão integrada destes interfaces é maioritariamente da responsabilidade do Comité de Segurança.

Opinião sobre as dificuldades "genéricas" da implementação do sistema na TV Cabo.

As principais dificuldades sentidas ao nível da implementação do ISMS circunscreveram-se essencialmente à selecção e operacionalização de alguns dos controlos de segurança definidos (nomeadamente dos de cariz mais técnico), e à componente de awarness e formação dos Colaboradores da TV Cabo para a importância da Segurança de Informação no "dia-a-dia" da Organização. Refira-se , no entanto, que ultrapassada a barreira inicial de alguma resistência à mudança, a interiorização dos conceitos e princípios básicos de Segurança da Informação por parte dos Colaboradores da TV Cabo foi considerada como um dos pontos fortes nos resultados da Auditoria de Certificação.

Quais os drivers da implementação e quais são os benefícios esperados e (e já verificados, caso seja este o caso)?

A implementação do ISMS decorreu da operacionalização de um conjunto de controlos tecnológicos e funcionais que visaram garantir a conformidade da TV Cabo com os requisitos emanados do normativo SOX 404. Nesse sentido, o objectivo da certificação na norma ISO 27001 surgiu como uma resposta óbvia à necessidade de se implementar um sistema de gestão que permitisse a monitorização e melhoria contínua da Segurança de Informação da Organização, nomeadamente dos processos de negócio "Gerir Clientes" e Facturar e Cobrar" (considerados prioritários na sequência da análise de risco efectuada).

Com a implementação do ISMS constataram-se alguns benefícios imediatos, nomeadamente o incremento do controlo e formalismo das actividades desenvolvidas por prestadores de serviço externos (ex. inclusão de cláusulas de segurança e de monitorização da informação específicas nos contratos respectivos, etc.), o awarness e formação dos Colaboradores (internos e externos à TV Cabo) relativamente às regras e normas de segurança básicas a respeitar (ex. confidencialidade e integridade da informação manuseada, etc.), a melhoria do controlo de acessos físicos às diferentes instalações da Organização e uma maior proactividade na participação e resolução de incidentes de segurança.

De notar que existiram também impactos positivos ao nível dos Sistemas de Informação da TV Cabo mas, sendo esta uma área que tem tido desde sempre uma grande preocupação natural ao nível da segurança da informação armazenada/processada, foram menos visíveis (numa perspectiva de quick-win)

Informações sobre a metodologia seguida pela TV Cabo/GMS Consulting.

A metodologia utilizada para a implementação do ISMS foi a metodologia de PDCA (Plan-Do-Check-Act), que compreendeu:

PLAN: definição do âmbito do ISMS, definição e implementação do Risk Assessment, definição do Statement of Applicability (SOA), Gap Analysis com requisitos ISO 27001 e plano de acções;
DO: implementação dos planos de acções definidos, formação e awareness dos colaboradores inseridos no âmbito, planeamento das auditorias internas;
CHECK: realização das auditorias internas; e
ACT: implementação das acções correctivas e preventivas identificadas no decorrer das auditorias internas efectuadas.

Dados genéricos sobre o esforço de implementação sobretudo do lado da TV Cabo (recursos, tempo, etc.)?

A implementação do ISMS e respectiva certificação foi um projecto que envolveu, numa perspectiva de dedicação total, uma equipa de 4 Colaboradores da TV Cabo e 3 Consultores da GMS Consulting durante um período aproximado de 6 meses (com 2 meses prévios para a definição e implementação da metodologia de Gestão de Risco), complementada pelo apoio pontual dos diferentes intervenientes nos processos âmbito de certificação (ex. levantamento e valorização de riscos, actividades de auditoria, implementação de controlos, etc.)

De salientar que este projecto beneficiou de claras sinergias com o projecto de conformidade com o normativo SOX 404, nomeadamente ao nível da identificação e implementação dos controlos de segurança.

Video de Segurança Informática

2007-04-25T14:32:00.000+01:00

Videocast da Cisco sobre segurança informática, datado mas divertido.

Enquadramento legal

2007-04-17T13:10:00.000+01:00

Legislação:
Lista de legislação portuguesa do site da Polícia Judiciária
Legislação portuguesa aplicavél aos sistemas de informação.

Lista de legislação internacional do site da CNPD
Legislação comunitária e internacional.

Diário da República Electrónico
Acesso gratuito aos diplomas legais.

Comissão Nacional de Protecção de Dados
Supervisiona a aplicação da Lei de Protecção de Dados Pessoais (Lei n. 67/98).

Comissão de Acesso aos Documentos Administrativos
Supervisiona o acesso dos cidadãos aos documentos administrativos.

Recursos:
Direito na Sociedade da Informação LEFIS
Blogue da Rede LEFIS - "LEgal Framework for the Information Society" para a Língua Portuguesa.

Autoridade Europeia para a Protecção de Dados
Organismo europeu de cooperação e supervisão dos direitos de de protecção de dados de carácter pessoal.

2007-04-12T16:59:00.000+01:00

A Inteligência Económica deve ser entendida actualmente como um poderoso instrumento ao serviço dos Estados, das empresas e das organizações em geral.

A aplicação à realidade portuguesa será alvo de reflexão da parte do Prof. Didier Lucas, da École de Guerre Economique, e do Dr. André Magrinho, adjunto do Presidente da AIP.

O evento terá lugar no dia 16 de Abril, às 21h00, na SEDES.

Programa

«A necessidade da inteligência económica face aos desafios da globalização: uma reflexão sobre o caso de Portugal»
Prof. Didier Lucas, Director científico e pedagógico École de Guerre Économique (grupo ESLSCA), Paris

«As práticas de inteligência económica em Portugal: um ponto de situação»
Dr. André Magrinho, Adjunto da Presidência da Associação Industrial Portuguesa

Moderador:
Mestre Pedro Mendes Santos
Investigador associado do Centro de Administração e Políticas Públicas ISCSP-UTL
Investigador convidado da École de Guerre Économique (groupe ESLSCA), Paris

Este evento é organizado pela SEDES, Associação para o Desenvolvimento Económico e Social. No âmbito da SEDES está em formação um grupo de trabalho sobre inteligência económica, portanto o vosso contributo será bem-vindo.

Mais detalhes em http://www.sedes.pt/eventos.aspx?args=4,19&ID=59

TV Cabo: certificação ISO 27001

2007-02-04T16:26:00.000Z

A partir da leitura do press release da TV Cabo foi possível obter mais dados sobre a primeira certificação em segurança da informação de uma empresa portuguesa:

Âmbito do sistema: Processos “Facturar e cobrar” e ”Gerir Clientes”, os quais são "dois processos do modelo de negócio transversais à relação com o cliente, desde o atendimento do call center até ao trabalho de dados pessoais e confidenciais dos clientes".

Implicações:

Vasto conjunto de mecanismos de controlo "ao nível da gestão de informação interna, baseados numa metodologia de Gestão de Risco";
Procedimentos internos revistos e corrigidos;
Formação de 110 colaboradores da empresa "que, por sua vez, deram formação sobre as novas normas de segurança a todos os operadores dos call centers da TV Cabo" num total de 2000 pessoas.

Dados recolhidos do press release da TV Cabo.

Workshop: BS 25999 - Gestão da Continuidade do Negócio

2007-01-25T10:23:00.000Z

A BS 25999 é uma norma que especifica os requisitos de um Sistema de Gestão da Continuidade do Negócio. Esta norma britânica adopta o modelo dos sistemas de gestão (tal como o da ISO 9001) à gestão de continuidade do negócio, permitindo às organizações a obtenção de uma certificação das suas práticas de continuidade do negócio.

Nesta apresentação de 75 slides, poderá descobrir as especificações e as aplicações desta referência de continuidade de negócio.

Faça o download aqui.

Workshop: Gestão de risco e conformidades

2006-12-26T12:28:00.000Z

No passado dia 12 de Dezembro realizou-se em Lisboa o workshop “Gestão de Risco e Conformidade” no qual foram apresentados um conjunto de casos de aplicação da ferramenta Risk Manager como suporte à conformidade com o SOX, certificação ISO 27001 e gestão de risco.

O Risk Manager (denominado anteriormente de Check-up Tool) é um sistema que mede e analisa os riscos numa organização. O sistema executa o mapeamento dos riscos encontrados nos activos tecnológicos (software e equipamentos) e não-tecnológicos (ambientes, pessoas e processos), criando indicadores de segurança e fornecendo, de forma automática, relatórios detalhados para a equipa técnica e gráficos com informações consolidadas para os executivos. Esses relatórios, que informam o impacto de cada activo nos negócios, são usados tanto para implementar um maior nível de segurança quanto para priotizar os investimentos e gerar evidências, atendendo aos Regulamentações, Leis e Normas aplicáveis à organização.

A actual versão do software, lançado recentemente para o mercado internacional, integra na sua base de conhecimento, dentre outras funcionalidades, a implementação do COBIT 4 e da ISO 27001 e a verificação de conformidade com Sarbanes Oxley, entre outras matérias.

Descubra mais sobre o Risk Manager aqui .

No workshop foram realizadas as seguintes apresentações:

• SINFIC
• Módulo Security
• British Standard Institution
• BS 25999 - Business Continuity Management
• Demo do Risk Manager

Poderá ter acesso às apresentações, aqui.

Workshop: Boas Práticas em Segurança da Informação

2006-12-26T12:00:00.000Z

Uma apresentação de 95 slides que caracteriza o cenário de desafios de segurança colocados às organizações e as consequências derivadas da implantação da gestão de segurança da informação.

Porquê "Boas Práticas" nas organizações?
Ameaças às organizações
Protecção da Informação - as 3 dimensões fundamentais
Actos ilegais nas organizações (... por desconhecimento) - Legislação Portuguesa
Manuais de Boas Práticas para Passwords e outras áreas
O Código de Boas Práticas ISO 17799
Sistema de Gestão de Segurança da Informação

Faça o download aqui.

Continuidade de Negócio

2006-11-20T15:54:00.001Z

Referencial:

Recursos:

Introdução à Continuidade de Negócio (apresentação PPT com 61 slides)
Workshop Gestão de Risco e Conformidades (apresentação em Portugal da BS 25999)
Recuperação de Desastres: aplicação num caso prático (link externo)

Organismos internacionais:

Site da BSI sobre continuidade de negócio

BS 25999: Código de Práticas para a Gestão da Continuidade do Negócio

2006-11-20T15:34:00.000Z

A recente publicação do novo referencial BS 25999-1- ‘Código de Práticas para a Gestão da Continuidade do Negócio’ http://www.bsi-global.com/bs25999, substituirá o documento ‘PAS 56 – Guia para a Gestão da Continuidade do Negócio’ (Publically Available Specification 56 – Guide to Business Continuity Management), que estipulava já um conjunto de directrizes relativas à gestão efectiva da continuidade do negócio das organizações, não detendo contudo o estatuto de referencial.

Entre os temas abordados na BS 25999-1 encontram-se: a definição do conceito de Gestão da Continuidade do Negócio, bem como uma visão geral da mesma; a apresentação do conceito de Sistema de Gestão da Continuidade do Negócio; introdução à problemática da gestão de programas de continuidade do negócio (incluindo a documentação associada ao mesmo); a clarificação do papel da disciplina de Gestão da Continuidade do Negócio e relevância da mesma para as organizações; a determinação das diferentes abordagens à gestão da continuidade do negócio que as organizações podem eleger; o desenvolvimento e implementação de um plano de gestão da continuidade do negócio; a necessidade da realização de testes, auditorias, manutenção e auto-avaliação do processo de gestão da continuidade do negócio na organização; e por fim, a integração do conceito e processo de gestão da continuidade do negócio na cultura organizacional.

A publicação da segunda parte da norma britânica BS 25999 encontra-se prevista para o início do próximo ano, e possibilitará a obtenção de uma certificação, por parte das organizações, no que concerne aos seus Sistemas de Gestão da Continuidade do Negócio, enquanto a BS 25999-1 estipula o conjunto de boas práticas que as organizações devem considerar no sentido de garantir a continuidade do seu negócio face a um incidente de proporções significativas, encontrando-se alinhada com as boas práticas apresentadas pelo referencial internacional de excelência no que concerne à segurança da informação, a norma BS ISO/IEC 17799:2005.

Texto de Maria Manuela Gaivéo, Consultora na SINFIC.

PAS 56 – Guia para a Gestão da Continuidade do Negócio

2006-11-20T15:21:00.000Z

Um dos principais objectivos da implantação de um Sistema de Gestão da Segurança da Informação e/ou da definição de um processo formal para a Gestão da Segurança da Informação nas organizações, é assegurar que se encontram reunidas as condições que possibilitam a continuidade da realização dos seus processos de negócio, através da garantia da integridade, confidencialidade e disponibilidade da sua informação crítica de negócio, bem como das infra-estruturas de suporte ou a esta associadas.

A necessidade da definição de um modelo e estrutura para a Gestão da Continuidade do Negócio das organizações é pois, um dos aspectos que ganha especial relevância tanto no referencial BS ISO/IEC 17799:2005, como no referencial BS ISO/IEC 27001:2005, que apresentam respectivamente, o conjunto de boas práticas que as organizações devem seguir ao nível da gestão da segurança da informação e os requisitos para a implantação de um sistema de gestão da segurança da informação (Information Security Management System – ISMS). As práticas de gestão e controlos definidos nestes documentos têm por objectivo garantir que, uma vez ocorrido um incidente de segurança, de maior ou menor impacto (decorrentes de desastres naturais, ou de meras falhas temporárias de energia, por exemplo), a organização tem à sua disposição os meios que lhe permitem assegurar a continuidade do seu negócio, através da realização dos processos e actividades críticos que lhe estão associados.

Uma das dificuldades associadas à definição de um Plano de Continuidade de Negócio, ou mesmo do processo de Gestão da Continuidade do Negócio nas organizações prende-se com a complexidade que o desenvolvimento destes dois importantes elementos pode acarretar para estas. Atendendo às necessidades e dificuldades identificadas a este nível, a BSI (British Standards Institution), conjuntamente com o BCI (Business Continuity Institute), desenvolveu e publicou um conjunto de directrizes – ‘PAS 56 – Guia para a Gestão da Continuidade do Negócio’ (Publically Available Specification 56 – Guide to Business Continuity Management) -, que visa auxiliar as organizações nos processos de definição, desenvolvimento, implementação e gestão de um programa de Gestão da Continuidade do Negócio, atendendo à sua envolvente de riscos e requisitos de negócio.

Aplicável a todas as organizações, independentemente da sua dimensão e da natureza do seu negócio, o PAS 56 descreve as actividades e resultados envolvidos no estabelecimento de um processo de Gestão da Continuidade do Negócio, fornecendo ainda um conjunto de recomendações e boas práticas, bem como directrizes para a definição de critérios de avaliação da eficácia deste processo na organização, de acordo com as suas necessidades. De referir que o processo de Gestão da Continuidade não se cinge meramente a actividades de resposta a incidentes, abrangendo problemáticas como a recuperação de desastres, a gestão de situações de crise, gestão do risco bem como tecnologias de suporte, que devem ser geridas de forma unificada no sentido de assegurar a adequação e eficácia do processo de gestão da continuidade do negócio como um todo.

Encontra-se previsto que este documento dê origem, num futuro próximo, ao referencial BS 25999, norma esta que se dividirá em duas partes: ‘BS 25999-1 - Código de Práticas para a Gestão da Continuidade do Negócio’ (parte que substituirá o actual PAS 56), e ‘BS 25999-2 – Especificação para a Gestão da Continuidade do Negócio’, referencial que possivelmente, permitirá a obtenção de uma certificação a este nível, por parte das organizações.

Gestão de Serviço de SI/TI

2006-11-20T14:50:00.000Z

Referêncial:

O que é o ITIL?
Cinco Razões Porque o ITIL Não é Implementado "By The Book"?
Sete Aspectos Chave para a Implementação de uma Estrutura ITIL
Dez Razões Porque a Implementação do ITIL Falha nas Organizações
ISO 20000: O que deve uma organização fazer? (Whitepaper da BMC Software: leitura recomendada)

Organismos internacionais:

Site da BSI sobre a ISO 20000

Organismos nacionais:

Site Português

O que é o ISO 20000? - Parte I

2006-11-20T13:38:00.000Z

Desenvolvida a partir da BS 15000-1, norma britância preparada pela BSI (British Standards Institution), que descreve um conjunto integrado de processos de gestão que possibilitam a entrega eficaz de serviços de SI/TI quer à organização, quer aos seus clientes, estando alinhada com a abordagem por processos definida no ITIL (IT Infrastructure Library), a recentemente publicada BS ISO/IEC 20000-1:2005 tem por objectivo a promoção da adopção de uma abordagem por processos para a gestão integrada e efectiva dos serviços de SI/TI das organizações, no sentido de ir de encontro aos requisitos e objectivos quer do negócio, quer dos seus clientes a este nível.

A integração e implementação dos diferentes processos de gestão de serviços de SI/TI potenciam o alcance de um incremento da eficiência dos mesmos, o seu controlo e monitorização permanentes, bem como a capacidade de melhoria destes processos, por parte da organização. A garantia de que são levadas a cabo, de forma eficaz e eficiente, as actividades e processos relacionados com o desenvolvimento, entrega, operação, manutenção e suporte de serviços de SI/TI, requer por conseguinte, a organização e coordenação de recursos de ordens distintas, tais como recursos informáticos, infra-estruturas e como não poderia deixar de ser, das pessoas afectas às referidas actividades e processos, entre outros.

Atendendo à relevância destes aspectos, a BS ISO/IEC 20000-1:2005, apresenta as especificações e requisitos para o estabelecimento de um sistema de gestão de serviços de SI/TI, alicerçado em processos de gestão de serviços intimamente relacionados entre si e que incidem, nomeadamente: no planeamento e implementação do processo de gestão de serviços na organização, com especial atenção no que concerne ao planeamento e implementação de novos serviços ou de alterações a serviços já existentes e em utilização; nos requistos para o processo de entrega de serviço, incluindo a gestão de níveis de serviço, a gestão da continuidade e da disponibilidade de serviços, a gestão da capacidade de serviços e a gestão da segurança da informação; na clarificação de aspectos relacionados com processos de relação com terceiros, como é o caso de fornecedores; na definição de processos de resolução e gestão de incidentes e/ou problemas associados aos diferentes recursos alocados a serviços de SI/TI; na identificação de especificações no que diz respeito a processos de controlo (gestão da mudança e de configurações); e por fim, no processo de disponibilização do serviço, novo ou alterado, para o mercado.

Importa referir que a implantação da BS ISO/IEC 20000-1:2005 numa organização pressupõe a adopção de algumas das práticas estabelecidas pela BS ISO/IEC 20000-2:2005 – ‘Código de práticas para a gestão de serviços de SI/TI’, e possibilita às organizações a obtenção de uma certificação reconhecida internacionalmente no que diz respeito à gestão dos serviços de SI/TI que detém e/ou que disponibiliza a outrém. É ainda interessante constatar as relações e paralelismos existentes entre algumas das especificações supra mencionadas e as especificações da BS ISO/IEC 27001:2005, referencial de excelência ao nível de sistemas de gestão da segurança da informação.

Texto de Maria Manuela Gaivéo, Consultora na SINFIC.

O que é a ISO 20000-2?

2006-11-20T13:20:00.000Z

Tendo por base, à semelhança do que acontece com a BS ISO/IEC 20000-1, o referencial britânico BS 15000-2, desenvolvido pela BSI (British Standards Institution), a BS ISO/IEC 20000-2:2005 apresenta um conjunto de práticas de referencia para as organizações, no que concerne à Gestão de Serviços de SI/TI internos ou a disponibilizar a terceiros, mediante contrato de hosting, suporte ou manutenção, por exemplo, encontrando-se alinhada com o estipulado não só na BS ISO/IEC 20000-1:2005, mas também com a abordagem orientada a processos consubstanciada na framework ITIL (IT Infrastructure Library).

A BS ISO/IEC 20000-2:2005, estabelece pois o código de boas práticas, apresentando e descrevendo as diferentes práticas e processos reconhecidos pela indústria ao nível da qualidade dos processos de Gestão de Serviços de SI/TI, atendendo ao âmbito previamente definido à luz da BS ISO/IEC 20000-1:2005, sendo de especial utilidade para as organizações que pretendam a certificação atendendo aos requisitos desta ou que se encontrem em processo de revisão e/ou de melhoria de serviços e processos a estes associados.

Atendendo a que a definição, desenvolvimento, implementação, operação e manutenção adequadas de serviços de SI/TI, possibilitam a maximização da eficiência e eficácia destes mesmos serviços, com vista a ir de encontro quer aos requisitos de negócio organizacionais, quer aos requisitos e necessidades estabelecidos pelos seus clientes, a implementação das boas práticas estipuladas na BS ISO/IEC 20000-2 torna-se um aspecto de crucial relevância para a garantia da qualidade dos seus serviços de SI/TI, e por conseguinte, do cumprimento dos requisitos internos e externos a que a organização deve responder.

Neste sentido, a BS ISO/IEC 20000-2:2005 estabelece, num conjunto de oito capítulos, práticas de referência no que diz respeito à gestão de Serviços de SI/TI, nomeadamente ao nível de:

Sistema de Gestão – estipula a necessidade da definição e implantação de um sistema de gestão (BS ISO/IEC 20000-1:2005), que deverá incluir as políticas da organização a este nível, bem como de uma framework que possibilite a gestão e implementação efectivas de todos os serviços de TI das organização.
Planeamento de implementação de gestão de serviços – identifica a necessidade da definição/realização de um processo de planeamento estruturado e sustentado que possibilite a gestão de serviços de SI/TI, com enfoque na sua implementação e entrega.
Planeamento e implementação de novos serviços ou de serviços alterados – visa o alcance da garantia de que novos serviços e alterações a serviços já existentes, poderão ser alvo de entrega e gestão, cumprindo com estipulado com o acordo estabelecido entre as partes, nomeadamente ao nível de custos e de qualidade dos serviços.
Processos de entrega de serviços – tem por objectivo assegurar que se encontram definidos, acordados, registados e geridos os diferentes níveis de serviço estabelecidos entre a organização e terceiros.
Processos de relação (com terceiros) – com vista a garantir que todas as partes envolvidas num acordo de disponibilização de serviços de SI/TI se encontram cientes, compreendem e vão de encontro a necessidades de negócio, compreendem quer as capacidades quer constrangimentos à disponibilização dos serviços acordados, e ainda que compreendem as suas responsabilidades e obrigações.
Processos de resolução – visam dotar as organizações de procedimentos e políticas que lhes possibilitem a gestão do processo de resposta a incidentes e problemas verificados aquando da disponibilização de serviços de SI/TI interna e externamente.
Processos de controlo – têm por objectivo assegurar a definição e controlo de componentes dos serviços e infra-estruturas, mantendo igualmente informação de configuração precisa.
Processos de disponibilização do serviço para o exterior – com vista a garantir a entrega, distribuição e acompanhamento adequados de uma ou mais alterações verificadas em serviços em ambiente de procução.

Tendo em consideração o apresentado, será de inegável utilidade para as organizações que pretendem o alcance de uma certificação internacional à luz da BS ISO/IEC 27001:2005, a análise do estipulado em ambos referenciais BS ISO/IEC 20000:2005 e posterior implementação, atendendo a que esta estabelece as boas práticas ao nível da gestão de serviços de SI/TI muitas das vezes sujeitos ao impacto e consequências decorrentes de quebras de segurança, apresentando ainda o benefício de ambas se encontrarem alinhadas e obedecerem a um conjunto de princípios comuns.

Texto de Maria Manuela Gaivéo, Consultora na SINFIC.

Workshop Gestão de Risco e Conformidades

2006-11-16T11:26:00.000Z

Apresentação de casos de organizações que utilizam a Ferramenta Risk Manager
Conhecer e avaliar riscos deixou de ser uma necessidade técnica para se transformar numa questão estratégica para as organizações, em função da exigência do mercado, governo, de agências reguladoras e Clientes. O conhecimento de Casos de Estudo, reais e actuais, sobre a forma inteligente de gerir riscos e conformidades, utilizando ferramentas de gestão auxiliares são o mote deste evento.

Agenda
16:40 - Recepção
17:00 - Apresentação de Casos de Estudo (1ª Sessão): Xerox; Justiça do Trabalho; Vivo (telecomuniacções)
18:00 - Apresentação da parceria entre Sinfic, S.A. e Módulo Security
18:15 - Apresentação de Casos de Estudo (2ª Sessão): Módulo Security; Banco Santander; Continuidade de Negócio - Operacionalidade face à Gripe das Aves
19:15 - Gestão de Continuidade de Negócio segundo a BS 25999
19:30 - Cocktail
20:00 - Encerramento

Inscrições e informações em

http://www.sinfic.com/modulo

Sobre o Risk Manager
O Risk Manager foi premiado pela Microsoft como a melhor solução de segurança do mundo na categoria de Security Management.

Workshop Auditorias Internas - 16 de Outubro

2006-10-18T17:05:00.000+01:00

Faça download aqui da apresentação "Auditorias Internas" realizada no workshop de dia 18 de Outubro. Ficheiro com 84 slides.

Pressupostos e decisões da Gestão de Segurança da Informação

2006-10-11T12:10:00.000+01:00

Uma apresentação, em inglês, com 41 slides sobre os pressupostos e decisões para implementação de um Sistema de Gestão de Segurança da Informação. Apresentação realizada na 2ª Conferência sobre Segurança Informática nas Organizações - SINO´2006 em Aveiro.

Tópicos abordados:

IT security vs Information security
Security management concept (in relation to risk and compliance management)
A security management system: mandatory activities, optional controls, protected business process
ISMS scope dilemma: macro vs micro scope
Asset identification criteria
Asset evaluation scale
Risk identification techniques
Risk assessment formula
Risk treatment options
Polices and procedures

Boa leitura.

Requisitos de um SGSI – Sistema de Gestão de Segurança da Informação

2006-09-29T10:30:00.000+01:00

1. O que é um SGSI?
A norma BS ISO/IEC 27001:2005 (antiga BS 7799-2), tal como a ISO/IEC 9000 e ISO/IEC 14000, tem como propósito o desenvolvimento de um sistema de gestão nas organizações. No caso da ISO/IEC 27001, o sistema de gestão é orientado para a protecção dos recursos informativos da organização, sendo por isso designado de sistema de gestão de segurança da informação ou SGSI, a que corresponde em Inglês o acrónimo de ISMS. Um SGSI é definido pela ISO como “that part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security” [ISO05:p.4].

Neste sentido, um SGSI envolve as actividades de gestão e as estruturas de suporte à gestão relevantes para a segurança da informação.

2. Quais os requisitos de um SGSI?
Um SGSI para ser passível de ser certificado tem de obedecer a um conjunto de requisitos definidos pela norma ISO/IEC 27001. Estes requisitos podem ser classificados como obrigatórios e selectivos. Vamos começar pelos primeiros.

3. Requisitos obrigatórios
A norma de segurança da informação herda os mecanismos de controlo de gestão dos sistemas de qualidade (ISO/IEC 9001) e de gestão ambiental (ISO/IEC 14000). Desta forma um SGSI deverá possuir um conjunto de actividades documentadas, as quais deverão estar estruturadas em processos. Assumindo a óptica de processos, num hipotético SGSI poderão coexistir os seguintes processos:

(a) gestão do âmbito,
(b) gestão de inventário,
(c) gestão do risco,
(d) gestão da formação e de acções de sensibilização de segurança,
(e) gestão de registos de incidentes e eventos de segurança,
(f) auditorias internas,
(g) acções preventivas e correctivas.

Todos estes processos são suportados pelo:

(h) processo planeamento e revisão de segurança (designado como revisão de gestão), bem como o
(i) processo de definição, aprovação, publicação e comunicação de documentos e registos do SGSI e finalmente
(j) deverão existir mecanismos de monitorização continua dos vários processos de segurança.

Os 10 processos mencionados resultam da aplicação das cláusulas obrigatórias (do capítulo 4 ao 7) da norma ISO/IEC 27001:2005. Registe-se que esta lista não é exaustiva e que, em organizações específicas, os processos citados podem ser surgir agrupados ou decompostos em outros.

4. Requisitos selectivos
O que distingue um SGSI de um outro sistema de gestão são os controlos do Anexo A do ISO/IEC 27001:2005. Neste Anexo foram reproduzidas as 136 medidas de protecção do ISO/IEC 17799:2005.

Cabe à organização, com base nos objectivos de negócio, avaliação do risco que executou e nos requisitos legais aplicáveis, ajuizar da aplicabilidade ou não do controlo à organização. Dado o carácter discricionário destes requisitos, o número de medidas implementadas numa organização depende do nível de conforto face ao risco que esta tenha adoptado.

Neste conjunto de 136 controlos, 10 medidas concretas relacionadas com aspectos legais ou de gestão de segurança da informação são caracterizadas como aplicáveis na maior parte das organizações. Por conseguinte, estes 10 controlos definidos pela ISO/IEC 17799:2005 constituem requisitos selectivos, mas com um grau de aplicabilidade reforçado. E, podemos, inferir que efectivamente, os controlos onde a discricionariedade se aplica são realmente apenas 126.

5. Conclusão
A gestão de segurança para ter sucesso numa organização não se pode limitar a seguir modelos, mas terá que com base nestes, desenvolver processos adaptados aos seus objectivos e constrangimentos de negócio. Não existe, por isso, um receituário universal de desenvolvimento de processos de gestão de segurança. Todavia, as organizações para alcançarem o reconhecimento público da sua gestão de segurança por uma certificação externa deverão provar a sua conformidade face a um núcleo essencial de mecanismos de controlo de gestão (requisitos obrigatórios) e aplicar as medidas de salvaguarda (requisitos selectivos) necessárias para proteger a sua informação crítica de negócio.

Requirements of ISO 27001:2005

Texto de Paulo Coelho

Consultor

Sinfic, SA

Exames CISA CISM em Portugal

2006-09-26T16:45:00.000+01:00

O ISACA organizará em Dezembro os exames CISA e CISM em local a definir na cidade de Lisboa (detalhes aqui).

Esta já é a terceira vez que os exames são organizados em Portugal, depois de uma primeira experiência de realização de exames - em Junho de 2005 - ter contado com 28 inscritos, o ISACA efectuou este ano em Junho uma segunda época de exames, e dado a afluência resolveu dar uma nova oportunidade para todos os profissionais que pretendam efectuar os exames citados.

Estas informações foram gentilmente facultadas por Carlos Alexandre, auditor profissional que juntamente com outros profissionais está envolvido na criação de um chapter do ISACA em Portugal.

TV Cabo certificada ISO 27001

2006-09-26T15:17:00.000+01:00

Segundo o Jornal de Negócios de 18 de Setembro, a TV Cabo obteve no dia 15 de Setembro a Certificação ISO 27001.

À falta de outras fontes noticiosas, transcreve-se o texto da notícia:

"A TV Cabo torna-se, assim, na primeira empresa portuguesa a obter esta certificação. No total são 127 os controlos implementados ao nível da segurança da informação interna na fornecedora de televisão por subscrição, tendo a empresa do Grupo PT sido apoiada pela GMS - Global Managment Solutions - para o conseguir.

A TV Cabo reforçou as suas capacidades internas ao nível de desenho, adaptação, avaliação e correcção de alguns procedimentos de tratamento e disponibilização da informação da organização. Mais do que ao nível informático e "virtual" da segurança, a atribuição da ISO 27001 à TV Cabo confere também à empresa um elevado grau de fiabilidade em termos de segurança no acesso a certas zonas das instalações da empresa ou armazéns e mesmo protecção da base de dados de clientes. Os próprios trabalhadores tiveram "direito" a acções de formação sobre as novas normas de segurança da empresa."

In Jornal de Negócios de 18 de Setembro de 2006

Lisboa na rota do Information Security Forum (ISF)

2006-09-08T16:15:00.000+01:00

No dia 26 de Setembro irá decorrer em Lisboa uma sessão de apresentação do Information Security Fórum, com entrada sujeita à marcação prévia no site desta instituição.

08:00 – 08:30 Continental breakfast and registration
08:30 – 09:00 Welcome and introduction to ISF
09:00 – 09:15 An information security approach based on
global best practice
09:15 – 09:45 Major issues in information security /
threat horizon
09:45 – 10:10 Information risk analysis, benchmarking, security
evaluation and compliance
10:10 – 10:25 A Member’s view of the ISF
10:25 – 10:30 Summary and close

O ISF é um organismo com fins não lucrativos que reúne 270 das principais corporações de todo o mundo, em projectos de investigação de segurança da informação. Alguns destes projectos resultaram em contribuições práticas para a comunidade, tal como é o caso de:

The Standard of Good Practice for Information Security - um catálogo de boas práticas com um histórico de 16 anos.
FIRM - uma metodologia de gestão de risco que recorre a uma fórmula de 5 dimensões (criticality, control weaknesses, special circumstances, level of threat, business impact) para avaliar os riscos existentes.

Introdução à Continuidade de Negócio

2006-06-23T18:18:00.000+01:00

Veja aqui a apresentação de 61 slides sobre Continuidade de Negócio.

Esta apresentação foi efectuada no dia 8 de Junho de 2006 pelo Eng. Fernando Fevereiro Mendes da Uniddade de Segurança da Informação da SINFIC.

SIS lança Programa de Segurança Económica para empresas portuguesas

2006-06-23T16:16:00.000+01:00

O Serviço de Informações de Segurança (SIS) criou o Programa de Segurança Económica (PSE) com o objectivo de alertar as organizações contra as ameaças da espionagem industrial e económica.

No sítio citado é possível comunicar casos suspeitos ou solicitar um contacto pessoal da PSE para apoio em situações de espionagem.

Sítio: http://www.pse.com.pt

Linha de atendimento da CNPD

2006-06-23T15:47:00.000+01:00

A Comissão Nacional de Protecção de Dados disponibiliza uma linha de atendimento telefónico e um email duvidas@cnpd.pt para esclarecer questões relativas aplicação da Lei de Protecção de Dados.

Necessita de contactar a CNPD no caso de:

pretender desenvolver uma base de dados com dados de clientes, de colaboradores (se for para outro fim que não o processamento de retribuições), de parceiros.
pretende implementar controlo de acessos por impressão digital (o registo e tratamento de dados biométricos requer a notificação da CNPD).
pretende instalar uma câmara de videovigilância à porta das suas instalações.

Curso de Implantação ISO/IEC 27001

2006-06-02T14:04:00.000+01:00

Curso de Implantação ISO/IEC 27001

19 a 23 de Junho

Pousada de Portugal Santa Cristina, Condeixa-a-Nova

O objectivo deste curso é disponibilizar aos participantes as necessárias competências para a implantação de um ISMS que esteja em conformidade com os requisitos da BS ISO/IEC 17799 e que cumpra os requisitos para certificação BS ISO/IEC 27001. Este curso utiliza uma abordagem dinâmica desenvolvida pela BSI disponibilizando aos participantes uma metodologia comprovada para a implantação.

Informações adicionais

Emissão de certificado de participação reconhecido internacionalmente (emissão BSI-UK)
Nome original do curso ‘ISO 27001: 2005 Information Security Management System Implementation Course’ (da BSI)
Curso de cinco dias em regime residencial (serão efectuados exercícios específicos em horário pós-laboral; solicita-se aos formandos a posse de um computador pessoal na formação).

Conteúdo programático

Determinação do âmbito
Identificação de recursos de informação
Determinação do valor dos recursos de informação
Determinação do risco
Determinação da(s) política(s) e do nível de exigência requeridos aos controlos
Identificação dos objectivos de controlo e controlos
Definição de políticas, normas e procedimentos para implantação dos controlos
Produção e implementação das políticas, normas e procedimentos
Finalização dos requisitos documentais do ISMS Auditoria e revisão do ISMS

Horário

Dia 1 a 4 (2ª feira a 5ª feira) : 09:00 às 13:00, das 14:30 às 18:00.

Dia 5 (6ª feira) : 09:00 às 13:00

Inscrições e informações
Mais informações em Sinfic.

Semana do Comércio Electrónico

2006-05-10T16:32:00.000+01:00

Está a decorrer a 3ª semana do Comércio Electrónico até 14 de Maio. Entre as iniciativas destaca-se:

Guia das Compras na Internet para o Consumidor (documento para download);
Guia Compras na Internet para as Empresas (documento para download);
Vários seminário workshops.

Organização: ACEP - Associação do Comércio Electrónico em Portugal, em parceria com a UMIC - Agência para a Sociedade do Desenvolvimento.

Descubra tudo aqui.

Síndrome de Dédalo: Dilemas éticos e jurídicos do profissional de segurança da informação

2006-05-04T20:54:00.000+01:00

Pretende-se sob o título de Síndrome de Dédalo estabelecer um paralelo entre as pressões sofridas por este “herói” mitológico e o papel do profissional de segurança da informação como definidor de políticas de segurança, sujeito aos interesses e processos de negócios de uma organização.

Para que seja possível o perfeito entendimento dessa correlação, torna-se necessário realizar uma breve revisão da mitologia grega e conceituar o termo síndrome, enfatizando a conotação assumida no âmbito deste trabalho.

Na mitologia grega, Dédalo simboliza o inventor genial que não põe sua arte a serviço de seus ideais, mas à mercê de seus senhores.

"Todo profissional tem o dever de aconselhar corretamente os seus clientes. Sob esse preceito o PSI deve delinear todas as suas ações, decidindo a cada momento entre uma transformação tranqüila ou uma revolução.

A segurança da informação parece simples, no entanto, os seus conceitos não são facilmente assimiláveis, mas, uma vez adquiridos, permitem ao profissional sentir-se mais confortável mesmo quando não possui solução para todos os problemas. Enfim, o novo perfil do PSI caracteriza-se pelo árduo exercício de humildade, do aprendizado contínuo e da capacidade de ouvir. "

In Jorge Luiz Passos, Instituto de pesquisas energéticas e nucleares - Autarqia associada à Universidade de São Paulo, p. 47.

Monografia de 55 páginas disponivel aqui.

Fonte: Módulo Security

Conferencia FIST Maio 2006 Lisboa

2006-05-04T18:57:00.000+01:00

Pela primeira vez em Portugal, será realizada uma Conferência FIST.

Esta será uma oportunidade única para discutir a experiência de empresas indianas, espanholas e portuguesas na gestão da segurança da informação.

Reserve já o seu local no próximo dia 26 de Maio, na Universidade Autónoma de Lisboa.

Site: http://www.fistconference.org/lisbon.php

Data: Sexta-feira, 26 de Maio às 18:00.

Local: Universidade Autónoma de Lisboa (Palácio dos Condes do Redondo, Rua de Santa Marta, 56, 1169-023 Lisboa).

Inscrições: Registo em http://www.fistconference.org/inscripcionlisboa/inscripcion.php

Governo cria Sistema de Certificação Electrónica para o Estado

2006-05-04T18:49:00.000+01:00

Foram hoje aprovados em Conselho de Ministros dois Decretos-Lei com impacto ao nível do sistema de certificação electrónica para a Administração Pública.

A criação do Sistema de Certificação Electrónica do Estado, agora legislado pelo Governo, é fundamental para o desenvolvimento de alguns programas de eGovernment e para a introdução de processos de relacionamento com o cidadão que exijam a comprovação da identidade dos utilizadores. O Governo tinha já estabelecido, em Outubro do ano passado, a Autoridade para certificação electrónica, mas faltava ainda dar este passo de criação do Sistema de Certificação Electrónica do Estado que permitirá o estabelecimento de uma estrutura de confiança electrónica, que garanta a realização de transacções electrónicas seguras e a assinatura electrónica de documentos.

O Sistema de Certificação Electrónica do Estado inclui o Conselho Gestor, a Entidade de Certificação Electrónica do Estado e as entidades certificadoras do Estado. O Decreto-lei agora aprovado atribui ao CEGER - Centro de Gestão da Rede Informática do Governo, a direcção da Entidade de Certificação Electrónica do Estado - que ficará encarregue da emissão de certificados para as entidades certificadoras do Estado. O mesmo diploma atribui à Autoridade Nacional de Segurança as funções de autoridade credenciadora, que até agora se encontravam atribuídas ao Instituto das Tecnologias da Informação da Justiça. Recorde-se que Mário Valente, presidente do ITIJ, tinha já admitido ao TeK considerar que fazia mais sentido separar as funções de entidades credenciadora da certificação. Para contemplar as novas funções do CEGER, um segundo Decreto-lei hoje aprovado altera a sua a lei orgânica.

In http://tek.sapo.pt/4L0/664479.html

Decreto-Lei que cria o Sistema de Certificação Electrónica do Estado – Infra-estrutura de Chaves Públicas e que atribui à Autoridade Nacional de Segurança as competências de autoridade credenciadora.

Este Decreto-Lei cria o Sistema de Certificação Electrónica do Estado – Infra-estrutura de Chaves Públicas (SCEE – ICP), que funcionará para as entidades públicas e para os serviços e organismos da Administração Pública.

Deste modo, é objectivo do SCEE – ICP estabelecer uma estrutura de confiança electrónica, de forma a que os serviços disponibilizados pelas entidades certificadoras que a compõem proporcionem, nomeadamente, a realização de transacções electrónicas seguras, a autenticação forte e um meio de assinar electronicamente transacções ou informações e documentos electrónicos, com vista à implementação do governo electrónico (e-governement).

A criação deste sistema é essencial para o desenvolvimento dos programas públicos para a promoção das tecnologias de informação e comunicação e para a introdução de novos processos de relacionamento em sociedade, com vista ao fortalecimento da sociedade da informação e do governo electrónico (e-governement).

São exemplos de projectos programados ou em curso, no âmbito da sociedade da informação e do governo electrónico, a completa desmaterialização do processo legislativo do Governo, a implementação do Cartão do Cidadão e do Passaporte Electrónico Português, a certificação electrónica do Governo, a disponibilização de serviços da Administração Pública através da Internet, que requeiram autenticação digital forte de identidades e assinaturas electrónicas, e a desmaterialização dos processos intra e inter serviços e organismos do Estado que requeiram esse tipo de autenticação.

O SCEE – ICP compreende o Conselho Gestor, a Entidade de Certificação Electrónica do Estado e as entidades certificadoras do Estado. A Entidade de Certificação Electrónica do Estado é a entidade certificadora raiz do Estado, incumbida da emissão de certificados para as entidades certificadoras do Estado, sendo dirigida, por inerência, pelo director do Ceger.

Por outro lado, o diploma comete à Autoridade Nacional de Segurança as funções de autoridade credenciadora, que até agora se encontravam atribuídas ao Instituto das Tecnologias da Informação da Justiça, assistida no exercício das suas funções por um conselho técnico com competências consultivas.

Decreto-Lei que altera a lei orgânica do Centro de Gestão da Rede Informática do Governo (Ceger), aprovada pelo Decreto-Lei n.º 184/98, de 6 de Julho

Este Decreto-Lei visa permitir a adaptação do Centro de Gestão da Rede Informática do Governo (Ceger) às novas atribuições no domínio da segurança electrónica do Estado emergentes da implementação do Sistema de Certificação Electrónica do Estado – Infra-estrutura de Chaves Públicas, bem como da evolução tecnológica da Internet e dos projectos e serviços.

In Portal do Conselho de Ministros

Procedimentos legais para incidentes informáticos

2006-04-26T17:58:00.000+01:00

A Agência Europeia de Segurança da Informação e de Rede disponibilizou uma base de dados online de procedimentos legais para incidentes informáticos nos vários países da União Europeia.

Caso pretenda conhecer os procedimentos para reportar às autoridades um incidente, aceda aqui.

Caso pretenda saber a moldura penal para os vários tipos de incidentes, aceda aqui.

Organismo público brasileiro certificado

2006-04-26T17:35:00.000+01:00

O Serviço Federal de Processamento de Dados (Serpro) acaba de tornar-se a primeira empresa pública brasileira a conquistar a certificação British Standard 7799, mais conhecida como BS 7799 e actualmente designado de ISO 27001. Com o fato, o certificado BS7799/ISO 27001 passa a assegurar que o Serpro adota padrões rígidos de segurança e que se submete a auditorias freqüentes. No país, apenas seis organizações o obtiveram.

Criada em 1995, a norma britânica é referência mundial em segurança da informação e a sua certificação é concedida apenas a empresas que comprovadamente geram, implementam e mantêm um sistema de gerenciamento que garanta integridade, disponibilidade e confidencialidade em seus serviços.

Comemorando a histórica realização, que coloca o Serpro em uma posição de vanguarda no quesito segurança, seu diretor, Antônio Sérgio Cangiano, ressalta que "com o certificado, a empresa torna-se referência em segurança, tanto para o governo como para o empresariado brasileiro em geral".

"A conquista do certificado mostra que todos os procedimentos ligados à certificação digital adotados pelo Serpro acontecem corretamente. Além disso, temos um órgão internacional aferindo que nossos serviços de segurança estão de acordo com normas internacionais e plenamente vivos dentro da empresa", explica.

"Essa certificação vem coroar o Serpro como uma empresa com foco em segurança, tanto interna como para os clientes", diz, por sua vez, Gilberto Netto, coordenador do Centro de Certificação Digital do Serpro.

A certificação conquistada pela empresa está ligada ao serviço de criação, operação e manutenção de Autoridades Certificadoras (ACs), serviço que hoje é prestado pelo Serpro para a Receita Federal, Presidência da República, Justiça Federal, além das ACs do próprio Serpro.

Fonte: Módulo Security Magazine

Denny Roger ao vivo no UOL

2006-04-25T12:13:00.000+01:00

A jornalista Lillian Witte Fibe entrevista nesta terça-feira (25/04) Denny Roger, diretor da Batori Software & Security e membro da Comunidade ISMSPT.

Lillian entrevistará Denny Roger ao vivo no UOL News às 14h30. O auditório virtual de bate-papo William Shakespeare estará disponível, permitindo a transmissão de vídeos ao mesmo tempo em que o público participa por escrito.

Todo o material da entrevista será editado e oferecido on demand (disponível para ser visto a qualquer momento) em dois tipos de codificação: uma para banda larga e outra para banda estreita.Lillian Witte Fibe começou sua carreira de jornalista em 1973 no jornal Folha de S.Paulo e passou pela Gazeta Mercantil e Jornal do Brasil. Ela estreou no vídeo em 1982, na TV Bandeirantes. Lillian foi repórter, comentarista econômica, editora e apresentadora do Jornal Nacional, da TV Globo. Foi também editora-chefe e apresentadora do Jornal da Globo e do Jornal do SBT.

Link para o UOL News: http://noticias.uol.com.br/uolnews/.

SAPO noticia ISMSPT

2006-04-24T16:23:00.000+01:00

O Sapo TEK recomendou o blog da Comunidade Portuguesa de Segurança da Informação (ISMSPT).

A Comunidade Portuguesa de Segurança da Informação (ISMS.PT) foi fundada em Outubro de 2005 por um conjunto de profissionais de várias organizações e de diversos países (neste momento, reúne pessoas do Brasil, Cabo-Verde, Espanha, Índia, Portugal e Quénia).

Partilhando uma visão que os actuais desafios da segurança se colocam mais no domínio da gestão que no tecnológico, esta comunidade preconiza como resposta a estes desafios, a adopção de práticas de gestão da segurança nas organizações. Neste âmbito, esta Comunidade defende a criação de um sistema de gestão de segurança da informação, de acordo com as normas internacionais de segurança ISO 27000 (substitui a ISO 17799 e BS 7799).

Com base nesta orientação fundadora, a Comunidade adoptou como designação em inglês a expressão Information Security Management System Portugal ou apenas ISMS PT. Titulo presente no URL do seu site www.ismspt.blogspot.com.

Como colectividade, a Comunidade Portuguesa de Segurança da Informação ou apenas ISMS PT está aberto a todos os gestores de segurança e interessados nesta temática.

A Comunidade desenvolve actividades orientadas para os seus membros, tais como workshops, conferências, reuniões, bem como disponibiliza um portfólio de recursos electrónicos na sua página web.

Grupo SEC.pt no LinkedIn

2006-04-21T20:05:00.000+01:00

A Comunidade Portugesa de Segurança da Informação apoia o grupo SEC.pt no LinkedIn. O objectivo desta iniciativa é permitir um maior relacionamento entre os Profissionais de Segurança portugueses utilizando a ferramenta de Networking LinkedIn.

Este grupo é privado, apenas do conhecimento dos seus membros e não tem qualquer objectivo comercial, mas antes social e profissional, permitindo o contacto e a troca de experiências entre os seus elementos.

Para pertencer, apenas tem que ter um perfil criado no LinkedIn e aceitar o convite que lhe fazemos. Para mais informações sobre um grupo LinkedIn, por favor veja LinkedIn for Groups.

Contamos nesta iniciativa também com o apoio do InfoSecONline.pt.

Sensibilizar para a segurança

2006-04-21T17:36:00.000+01:00

Muitas das vezes não basta existirem controlos...

Sendo o principal actor de um programa de segurança, os colaboradores de uma organização são por vezes retratados como a principal ameaça à segurança da informação. Neste contexto nota-se, em várias organizações, um esforço de sensibilização e formação dos recursos humanos para a segurança da informação. Para quem se interesse por esta área, apresentamos em seguida algumas sugestões.

Um boa introdução
The true value of information security awareness
http://www.noticebored.com/html/why_awareness_.html

Recursos
Materiais de Awareness da Microsoft (120 MB de templates de qualidade)

http://www.microsoft.com/technet/security/understanding/awareness.mspx

Security Awareness Program
http://www.ussecurityawareness.org/highres/security-awareness.html

Computer Security Awareness Materials-Activities
http://csrc.nist.gov/ATE/materials.html

Newsletter gratuita
http://www.noticebored.com/html/nbnewsletter.html

Organismo de formadores nesta área

http://csrc.nist.gov/organizations/fissea/

Protecção dos trabalhadores contra a gripe das aves

2006-04-19T09:59:00.000+01:00

O Centro Internacional de informações de segurança e saúde do trabalho (CIS/OIT) seleccionou algumas fontes de informação na Internet relativas à protecção dos trabalhadores contra a gripe aviária. Estas informações foram preparadas e disponibilizadas ao público por organizações nacionais e internacionais. Os documentos tratam dos riscos a que estão expostos os trabalhadores do sector da produção avícola, o pessoal de laboratório, as tripulações das aeronaves, etc..

As linhas de defesa incluem medidas de precaução e uma protecção adequada, bem assim como a formação dos trabalhadores a fim de prevenir uma epidemia na população humana. A lista de fontes de informação está actualizada a 15 Março de 2006 e poderá aqui ser consultada.

Fonte: Inspecção-Geral do Trabalho

Introdução à Gestão de Serviços de SI/TI

2006-04-17T17:16:00.001+01:00

A norma BS 15000 (ISO 20000) é o primeiro standard mundial orientado especificamente para a gestão de serviços. Este standard foi publicado pela British Standards Institution (BSI) e define os aspectos dos processos de gestão de serviços que são essenciais para o fornecimento de serviços de elevada qualidade na área de SI/TI.

Os textos citados foram publicados na Newsletter Sinfic Insight n.º 60 de 17 Abril 2006.

Information Security Management Maturity Model

2006-04-10T16:45:00.000+01:00

Foi publicado a última versão do Information Security Management Maturity Model (ISM3). Este modelo possibilita a implementação e auditoria de um sistema de gestão de segurança da segurança, sendo compatível com os standards ITIL, ISO9001, Cobit e ISO27001.

A framework pode ser descarregada aqui.

Estabelecimento e Manutenção de um Sistema de Gestão da Segurança da Informação – parte 1

2006-04-07T14:28:00.000+01:00

A norma internacional ISO/IEC 27001:2005 (ex-BS7799-2:2002), referencial de excelência juntamente com a ISO/IEC 17799:2005, no que concerne à gestão da segurança da informação, estipula os requisitos para o estabelecimento, implantação, operação, monitorização, revisão, manutenção e melhoria contínua de um sistema de gestão da segurança da informação (Information Security Management Systems – ISMS), em 4 capítulos de especificações que as organizações devem observar e cumprir aquando da adopção de um sistema desta natureza e/ou da sua candidatura a uma certificação sob a égide da ISO/IEC 27001:2005.

O primeiro dos quatro capítulos mencionados dedica os seus primeiro e segundo sub-capítulos aos requisitos para a definição e estabelecimento de um ISMS, numa abordagem baseada no modelo PDCA (Plan-Do-Check-Act), especificando ainda requisitos mínimos que uma organização deve cumprir para implantar, operar, monitorizar, rever, manter e melhorar continuamente o seu ISMS. No que concerne ao estabelecimento do ISMS, a norma internacional ISO/IEC 27001:2005 identifica como necessário:

a determinação do âmbito e delimitação do ISMS, de acordo com as características do negócio da organização;
a definição de uma politica de topo ao nível da segurança da informação;
a definição de uma abordagem para a sistematização e realização da análise do risco que pende sobre os recursos e informação crítica de negócio da organização;
o desenvolvimento de uma metodologia para a identificação dos riscos, bem como para a sua avaliação;
a identificação e avaliação das opções para a gestão ou tratamento dos riscos previamente determinados;
a selecção dos objectivos de controlo e dos controlos ou medidas de segurança a constar do plano de tratamento dos riscos identificados pela organização;
a obtenção da aprovação, por parte da gestão da organização, do nível de risco residual que permanecerá sobre os seus recursos críticos de negócio;
a obtenção da autorização e compromisso, também por parte da gestão de topo da organização, no que diz respeito à implantação e operação do ISMS;
por fim, a preparação e desenvolvimento de um Statement Of Applicability (declaração de aplicabilidade).

Relativamente à implantação e operação do ISMS, a norma ISO/IEC 27001:2005 estabelece a necessidade de: desenvolver um plano de tratamento do risco, definindo igualmente as responsabilidades e o calendário para a sua implementação; a determinação de meios para medir a eficiência dos controlos implementados, incluindo indicadores de desempenho; de definir e implantar programas de formação e sensibilização no que diz respeito à devida utilização e manutenção dos controlos implementados; gerir as operações e os recursos afectos ao ISMS e implementar procedimentos e outros controlos que possibilitem a detecção atempada de eventos e incidentes de segurança com potencial danoso para a actividade da organização.

Ao nível da monitorização e revisão do ISMS, a ISO/IEC 27001:2005 determina por outro lado, a obrigatoriedade, por parte da organização, de: levar a cabo actividades no sentido identificar pronta e atempadamente potenciais quebras de segurança, no sentido de implementar as medidas adequadas à mitigação das suas consequências para a continuidade do negócio da organização; realizar revisões periódicas da eficiência do seu ISMS, tendo em consideração incidentes verificados e resultados de auditorias, entre outros aspectos; medir a eficiência dos controlos e medidas de segurança implementados, no sentido de verificar se os requisitos de segurança foram cumpridos; rever análises e avaliações de risco realizadas anteriormente; realizar auditorias internas e regulares ao seu ISMS; rever formalmente o ISMS, nomeadamente ao nível da adequação do seu âmbito à realidade do negócio da organização; actualizar os planos de segurança determinados, face às constatações efectuadas previamente; e por fim, registar as acções e eventos que uma vez verificados, possam, directa ou indirectamente, ter impacto na eficiência do ISMS.

No que diz respeito à manutenção e melhoria do ISMS, a organização deverá: implementar mecanismos que lhes permita tirar partido das oportunidades de melhoria identificadas no decorrer de auditorias e revisões do ISMS; implementar as medidas correctivas e preventivas no sentido de fazer face a potenciais não-conformidades; comunicar as acções e melhorias implementadas a colaboradores internos e externos, parceiros e fornecedores, de acordo com as suas necessidades de informação; e ainda incorrer nos esforços necessários para garantir que as melhorias implementadas atingem os seus objectivos.

Texto de Maria Manuela Gaivéo
Information Security Consultant,
Sinfic

2006-04-07T13:59:00.000+01:00

Destaques da Sinfic Insigth de Segurança da Informação

Benefícios da Gestão de Serviços de TI para a Segurança da Informação

2006-04-03T16:26:00.000+01:00

É um facto inegável que a informação, enquanto recurso crítico para o negócio das organizações, necessita de ser adequadamente protegida, independentemente do formato em que se encontra, quer esteja escrita em papel, em formato electrónico ou na mente dos colaboradores, comunicada oral ou visualmente.

Restante artigo aqui.

Legal requirements for security management in the Portuguese context

2006-03-24T16:47:00.001Z

1. The role of law in security management
ISO 27001:2005 (as also former BS 7799-2) demands organizations to identify the laws and contracts that may pose constraints or requirements to security management. Organizations in their chore to enhance the protection of its information capital may be confronted with decisions involving security measures, which may interfered with rights of individuals or organizations safeguarded by law and contracts.

To depict this assertion, we may ponder the following decisions:

- Can an organization use video cameras to observe their employee’s security posture?
- Can an organization access personal e-mails of an worker?
- If an organization decides to save and process biometric data, it there any particular requisite?
- Are new employees in an organization compliant to their existing security regulations?

These are some of the interrogations, which in some cases, may lead decision makers to quandary judgments regarding legalities.

Next, we are going to present some legal requirements derived from laws as the Labour Code (Código do Trabalho) and then specify some particular questions related to this law.

2. Some laws with influence in security management
Security management, in the context of an organizations functioning under the Portuguese legal framework, must be conformed to a group of legal requisites. As result of a preliminary effort, we may recognize the following sources of compliance:

a. Inform employees of security norms to make them legally accountable under the Portuguese labour legislation (Código do Trabalho - Law n. 99/2003 of 27 of August).

b. Protect the privacy of personal information according to (1) European Commission’s Data Privacy Directive (Directive 95/46/EC), (2) Portuguese Data Privacy Law (Lei de Protecção de Dados Pessoais, law number 67/98 from 26th October) and (3) Rulings from the Portuguese National Committee of Data Protection (Comissão Nacional de Protecção de Dados).

c. Protect software rights according to Portuguese legislation on software licensing (1) Código dos Direitos de Autor e dos Direitos Conexos - law number 144/91, (2) Regime de Protecção Jurídica das Bases de Dados - law number 252/94 and (3) Protecção Jurídica das Bases de Dados - law number 122/00).

d. In case of security violation apply the (1) European Convention on Cyber crime and (2) Portuguese Informatics Criminal Law (Lei da Criminalidade Informática, law number 109/91 from 17th August).

e. Comply with other applicable Portuguese legislation.

f. Comply with applicable rulings from the Portuguese National Forum of Data Protection (Comissão Nacional de Protecção de Dados).

g. Storage of all documents concerning accounting (Código das Sociedades Comerciais)

3. Some questions regulated by the Labour Code (Código do Trabalho)
As a significant part of managing security is, actually nothing more than, managing people, security management is heavily dependent on human resource legislation.

In Portugal labour legislation is based on (1) the Labour Code, Código do Trabalho Law n. 99/2003 of 27 of August identified by CT in the text and (2) its special legislation, Legislação Especial do Código do Trabalho, Law n. 35/2004 of 29 of July, identified by LECT in the text.

May the organization employ video-surveillance to watch their employee’s work performance?
No. According to art. 20 of the CT, video-surveillance can sonly be used, in work premises, due to security reasons concerning assets and people. Furthermore, this situation requires specific authorization of the National Committee of Data Protection (art. 28º1 of the LECT).

Can the organization access emails with personal content?
No. The worker has the right to his privacy. The Labour Code recognizes the right of reserve and confidentiality (direito de reserva e confidencialidade) of workers regarding the content of electronic messages and personal information (art. 21º1 of the CT). Nevertheless, the organization may define usage rules of communication devices (art. 21º2 of the CT) and verifies its application, employing non-intrusive means (more details at CNPD site).

Are employees in an organization compliant to accept security regulations?
The Labour Code stipulates that employees, during the first 21 working days, after the presentation of new regulations may oppose to them by writing. If nothing is presented during this period of time, it is acknowledged that the worker has tacitly accepted those (art. 95º of the CT).

The organization has the duty to inform employees about their working conditions and applicable internal regulations (art. 97 of the CT). Therefore, new regulations must be communicated to employees and the organization must maintain records of signed declarations to prove that the employees were – in fact - informed.

Are new employees compliant to accept security regulations?
New employees also enjoy of the same 21 working days period to present written opposition to regulations. This period for new employees starts with the commencement of the the labour delivery.

The organizations must inform the worker of the existing regulations, during the subsequent 60 days after the commencement of the labour delivery (and not from contract formulation) (art. 99.4 of the CT).

4. Conclusions
Organizations to ensure compliance of security management with the legal and contractual requirements must clearly (1) enumerate the list of applicable laws and contracts and then (2) analyse the legal implications of any security measure.

The first task – identifying legal constraints – should be done in an ongoing manner, due to mutable nature of laws (new laws are enacted every day).

The ultimate task - legal assessments - can be done during the implementation of the Information Security Management System (ISMS) and should be done for every new proposed measure.

In sum, under the aegis of ISO 27001:2005 (the standard that defines security management) organizations should seek legal counselling to assist them in the verification of legal compliance.

Francisco Falinhas

Security Consultant

Sinfic

Workshop – Gestão da Continuidade de Negócio

2006-03-23T10:59:00.000Z

Workshop – Gestão da Continuidade de Negócio
8 de Junho de 2006

Sinopse

A gestão da continuidade de negócio é um processo de gestão holístico que identifica potenciais impactos que ameaçam a organização disponibilizando uma metodologia para criação de resiliência e capacidade de resposta efectiva à salvaguarda dos interesses dos accionistas, da reputação da organização e das suas actividades de criação de valor.

Agenda
09:30 - Recepção e Boas Vindas
09:45 - Introdução à Gestão da Continuidade de Negócio
10:10 – Processos, activos, ameaças e riscos
10:30 – A necessidade de Gestão do Risco
10:00 – Boas práticas para a Gestão da Continuidade de Negócio
11:00 - Coffee Break
11:15 - Boas práticas para a Gestão da Continuidade de Negócio (cont.)
11:45 – A BS ISO/IEC 17799, BS ISO/IEC 27001 e a Gestão da Continuidade de Negócio
12:20 - Perguntas & Respostas

Contamos consigo no próximo dia 8 de Junho de 2006

Inscrições gratuitas, lugares limitados
Inscreva-se hoje através do site Sinfic ou pelos endereços sdi@sinfic.pt ou local-do-costume@sinfic.pt

Local: Sinfic, S.A.
Estrada da Ponte, nº2 - Quinta Grande, Alfragide, 2720-459 Amadora
Tel. +351 210 103 900, Fax. +351 210 103 999

Teste de Invasão em Redes Wireless

2006-03-22T16:38:00.000Z

Resumo
Este artigo fornece uma visão geral sobre o teste de invasão em redes wireless com base nas experiências práticas do autor. O leitor irá conhecer as vulnerabilidades das redes wireless, a metodologia para realizar o teste de invasão e as técnicas de ataque. Com as informações deste artigo, o leitor poderá realizar uma auditoria em sua rede wireless e criar regras de segurança no seu ambiente computacional sem fio.

Este documento também fornece a relação de antenas e softwares necessários para a realização da auditoria e do teste de invasão.

Introdução
Instalar redes wireless nos dias atuais tornou-se relativamente simples. Na realidade, quando a tecnologia das redes sem fio estava sendo desenvolvida, os principais objetivos sempre foram conectividade e acessibilidade de forma fácil. A segurança da informação não era um dos principais objetivos das redes sem fio. Podemos perceber isso claramente porque os mecanismos de segurança não oferecem uma solução robusta.

Realizar o teste de invasão na rede wireless da sua empresa, ajudará a minimizar os riscos e a entender, por exemplo, que filtros por Media Access Control (MAC) podem ser insuficientes contra um ataque de um hacker.

O teste de invasão na rede wireless é essencial para que sua empresa esteja em conformidade com o Sarbanes-Oxley, California Senate Bill 1386 (SB 1386) e HIPAA (Health Insurance Portability and Accountability Act). Estes regulamentos exigem que as empresas protejam informações de identificação pessoal. Sendo assim, as organizações devem considerar o teste de invasão em sua rede wireless para aumentar a segurança da informação.

Vulnerabilidades em Redes Wireless
Basicamente, existem dois tipos de vulnerabilidades em redes wireless. A primeira e a mais comum é a instalação/configuração padrão da rede wireless. A segunda vulnerabilidade está na criptografia utilizada para proteger as informações.

a) Problemas de configuração

A configuração padrão de uma rede sem fio é insegurança. Este tipo de configuração facilita o acesso indevido à rede sem fio. O atacante precisa apenas configurar sua placa de rede wireless para acessar a rede.

b) Auditoria no WEP, WAP e LEAP

O administrador de rede pode determinar o tipo de criptografia que será utilizada na rede wireless. O Wired Equivalent Privacy (WEP) foi o primeiro recurso de segurança disponibilizado para redes wireless. Existem diversas ferramentas gratuitas que “quebram” a criptografia do WEP. O Aircrack (http://www.wirelessdefence.org/Contents/Aircrack_aircrack.htm) é uma suíte de ferramentas que consegue descobrir a chave do WEP, permitindo que o teste de invasão seja realizado com sucesso.

O WiFi Protected Access (WPA) e a solução proprietária da CISCO (LEAP) também estão vulneráveis. É possível durante o teste de invasão, realizar um ataque de dicionário para descobrir a chave utilizada para acesso à rede wireless. Caso a sua rede wireless utilize o WPA, o CoWPAtty (http://sourceforge.net/projects/cowpatty) realizará um ataque offline de dicionário para descobrir a chave compartilhada. É possível conseguir através da própria internet, uma lista de palavras em vários idiomas para o ataque de dicionário. Para download, acesse http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/.

Caso a sua rede utilize o Cisco’s Lightweight Extensible Authentication Protocol (LEAP) é possível realizar um ataque offline de dicionário. Isso ocorre devido ao LEAP trabalhar de forma semelhante ao Microsoft Challenge Handshake Protocol version 2 (MS-CHAPv2). Ou seja, assim como no MS-CHAPv2, o LEAP trabalha no esquema de pergunta e resposta, passando o usuário em texto claro pela rede. A vulnerabilidade foi descoberta em março de 2003. O engenheiro de redes, Joshua Wright (http://home.jwu.edu/jwright/), desenvolveu a ferramenta batizada de Asleap para realizar o ataque de dicionário sobre o LEAP.

Localizando sua Rede Wireless
Agora que você já conhece algumas vulnerabilidades das redes wireless é necessário escolher a antena correta para iniciar o teste de invasão.

Fundamentalmente, existem dois tipos de antenas que você pode utilizar durante o teste de invasão: omnidirecional e direcional.

As antenas omnidirecional cobrem 360º no plano horizontal. Utilize este tipo de antena quando o teste de invasão for realizado em áreas amplas.

As antenas direcionais concentram o sinal em uma única direção. Este tipo de antena é utilizado quando você já identificou a rede wireless da sua empresa e precisa direcionar o sinal para esta rede. Ou seja, quando você executar os ataques para auditar a rede da sua empresa, todas as técnicas serão aplicadas na rede wireless correta. Utilize uma antena Yagi para o teste de invasão.

O próximo passo é interligar a antena ao seu laptop. Para mais informações, acesse http://www.warchalking.com.br/cgi-bin/base/tutoriais2.444?40.

Observação: O autor deste artigo utiliza um cartão PCMCIA Orinoco com um conector externo para a antena. A antena utilizada pelo autor deste artigo é uma direcional Corneta de polarização horizontal ou vertical para trabalhar na frequência de 2.4-2.48Ghz. O custo do cartão PCMCIA com a antena é de aproximadamente R$ 360,00 ou US$ 171,43. A antena tem aproximadamente 30cm e pesa 760g, excelente para levar dentro do carro ou mochila.

É importante observarmos a partir deste ponto, que existem diversas ferramentas para localizar uma rede wireless. Cada profissional deverá escolher a ferramenta que mais se identifica com o seu perfil técnico.

Wellenreiter
O Wellenreiter é uma excelente ferramenta, com interface gráfica, para localizar e monitorar redes wireless. Através do Wellenreiter é possível identificar diversas informações da rede wireless que está sendo monitorada, tais como: Canal de comunicação, o ESSID, MAC Address, se a rede utiliza ou não algum recurso de criptografia, o fabricante do Access Point, entre outras informações.

A ferramenta também registra todo o tráfego da rede wireless. Sendo assim, você poderá utilizar o Ethereal para abrir o arquivo que foi registrado todo o tráfego, para uma análise mais detalhada das informações.

“Diz a lenda” que as ferramentas disponíveis para monitoramento de redes wireless, não conseguem identificar se a rede está utilizando o WEP ou o WPA. As ferramentas apresentam a informação que a rede está utilizando o WEP. Isso obriga o profissional que está realizando a auditoria na rede wireless, a procurar (utilizando o Ethereal) o frame que contem “.P....”. Para facilitar o diagnóstico, o profissional poderá procurar nos “Tag information” por “WPA IE, type 1, version 1”.

Airodump
O Airodump (parte da suíte do Aircrack) é a ferramenta que ajudará o profissional a capturar o tráfego da rede wireless. O profissional deve utilizar esta ferramenta para capturar o tráfego porque é possível determinar qual será a rede monitorada. Ou seja, caso existam redes wireless de outras empresas próximas a rede wireless da sua empresa, você irá utilizar o Airodump para monitorar apenas o tráfego da rede wireless da sua empresa.

O Airodump também consegue identificar se a rede está utilizando o WEP ou o WPA, facilitando muito as técnicas de ataque para descobrir a chave utilizada na rede.

Observação: Utilize o tráfego capturado pelo Airodump em conjunto com as ferramentas que descobrem a chave utilizada em redes wireless com o WEP ou WPA. Antes de executar o Airodump, execute o Wellenreiter e deixe-o funcionando no seu laptop. Os dois programas irão trabalhar em conjunto.

Ferramentas e Procedimentos

Hardware para o teste de invasão (http://www.amazon.com/gp/product/B0009UC2A2/sr=8-6/qid=1142777224/ref=pd_bbs_6/002-5332413-6799242?%5Fencoding=UTF8)

Wellenreiter (http://www.wellenreiter.net/)

WAP Cracking (http://www.crimemachine.com/Tuts/Flash/WPA.html)

Aircrack para Linux ou Windows (http://tinyshell.be/aircrackng/wiki/index.php?title=Downloads).

Asleap (http://asleap.sourceforge.net/).

Procedimento de ataque ao WEP e ao WPA (http://www.grape-info.com/doc/linux/config/aircrack-2.3.html).

Apresentação de Joshua Wright para o Defcon 2003 (http://home.jwu.edu/jwright/presentations/asleap-defcon.pdf).

Mais informações sobre a vulnerabilidade no LEAP da CISCO (http://www.cisco.com/warp/public/707/cisco-sn-20030802-leap.shtml).

Observações Finais

a) Ataques por dicionário: A lista de palavras disponíveis no site http://ftp.se.kde.org/pub/security/tools/net/Openwall/wordlists/ é excelente para ataques de dicionário. O ponto positivo da utilização desta lista é que não existem palavras repetidas no arquivo. O ponto negativo é que não existe um dicionário para o idioma Português.

b) WEP: É necessário capturar um número grande de pacotes quando a rede wireless está sendo protegida pelo WEP. Durante os testes de invasão realizados pelo autor deste artigo, foi necessário a captura de um número superior a 300.000 IVs (Initialization Vectors). Para capturar um número tão grande de pacotes contendo IVs, podem ser necessárias várias horas de monitoramento da rede alvo. Existem técnicas intrusivas (capturar e re-injetar pacotes ARP, desconectar as estações de trabalho do Access Point, etc) que forçam o tráfego de pacotes contendo IVs que não foram apresentadas ou discutidas neste artigo.

c) WPA: Não é necessário um número grande de pacotes. Porém, é necessário capturar o tráfego de pacotes TKIP (Temporal Key Integrity Protocol) para que as ferramentas consigam descobrir a chave utilizada na rede wireless.

d) WPA2: O autor deste artigo não conhece vulnerabilidades no WPA2. As técnicas e ferramentas descritas no artigo não funcionam em redes wireless que utilizam o WPA2.

e) Pacotes mal formatados: durante o monitoramento da rede serão capturados diversos pacotes mal formatados. As ferramentas utilizadas durante o teste de invasão não funcionaram corretamente com pacotes mal formatados. Utilizando o Ethereal você poderá identificar quais são os pacotes mal formatados.

f) KNOPPIX: para não prejudicar o HD do seu laptop, utilize o Knoppix (http://www.knoppix.org/).

g) Modelos de placas PCMCIA:
http://www.radiolabs.com/products/wireless/networking/buffalo-wireless-notebook-card.php?PHPSESSID=1ad36f381c77246796ae012f035955e6

http://store.microcom.us/nl2511cdplusx2.html

http://www.seattlewireless.net/HardwareComparison

g) Antena utilizada pelo autor do artigo: http://www.pluton.com.br/Site_Portugues/antenas/ptx18.htm

Sobre o autor:
Denny Roger (denny@batori.com.br) é especialista nas áreas de projeto de rede segura e intrusão de rede, liderando regularmente os esforços de teste de penetração na Batori Software & Security, onde pode demonstrar, em primeira mão, sobre o impacto das vulnerabilidades da rede no dia-a-dia. Atualmente é diretor de negócios de segurança da Batori Software & Security.

Auditoria Interna à BS ISO/IEC 27001

2006-03-17T13:48:00.000Z

Este curso inovador possibilita a criação de uma base sólida sobre todos os aspectos de um processo de auditoria à Segurança da Informação. Passo a passo, através de um programa estruturado e correctamente balanceado entre a teoria e a prática, utilizando uma combinação de trabalhos e exercícios práticos, os participantes ganham profundos conhecimentos sobre as actividades chave de uma auditoria eficaz.

Local: Pestana Sintra Golf (Qta Beloura - Sintra)

Calendário: 15 e 16 de Maio de 2006, entre as 09:00 e as 18:00.

Conteúdo programático
O curso versará as seguintes temáticas:

Os requisitos chave da ISO/IEC 27001:2005
Boas práticas de auditoria, segundo definição da ISO 19011:2002
Como planear, executar e reportar uma auditoria de segurança
A importância da segurança da informação e conformidades
Como o processo de auditoria facilita o melhoramento contínuo dos controlos de segurança
Os benefícios de implantação de acções correctivas e preventivas.

Estrutura do curso

Estrutura e definições na ISO 19011
Requisitos de segurança do sistema
Planeamento de uma auditoria
Produção de formulários de controlo
Execução da auditoria de segurança
Comunicação de evidências detectadas
Implementação de acções correctivas
Opções de acompanhamento
Melhoria contínua
Exercícios ISO 27001:
- Caso de estudo
- Sessões plenárias
- Trabalho em grupo

Benefícios para o negócio
Somente com auditorias planeadas e executadas profissionalmente se poderão identificar potenciais e actuais quebras de segurança da informação, que proporcionam oportunidades para o iniciar de acções que mitiguem preventivamente os impactos nefastos de ameaças existentes.

Certificados
Os participantes receberão o certificado de participação emitido pela British Standard Institution, organismos britânico de standards.

Inscrições e informações:

Tel.: 210 103 900 * formacao@sinfic.pt

BP retira 18.000 laptops da LAN por motivos de segurança

2006-03-12T21:51:00.000Z

O grupo de energia BP afastou milhares de utilizadores da sua LAN numa tentativa de repelir o crime organizado e os ciber-criminosos. Leia o artigo que mostra alguma razão na forma de aumentar a segurança dos recursos essenciais.

Restante artigo aqui.

PS: Artigo sugerido por Luís Quintino da Vantagem +.

Os ganhos com a Sarbanes-Oxley

2006-03-12T21:45:00.000Z

"As companhias brasileiras que se adaptaram à Sox perceberam que os procedimentos da nova lei ajudam a melhorar controles, a facilitar a gestão e até a cortar custos. Alguns exemplos:

A Siemens reduziu de 30% para 5% os problemas em suas compras (como diferenças de preço, quantidade e características da mercadoria). O tempo de processamento caiu de cinco dias para 48 horas.
O ABN Amro Real baixou de oito para quatro dias úteis o prazo para fechamento das demonstrações contábeis mensais.
A CPFL Energia reduziu em cerca de 60% o número de processos gerenciais que eram realizados manualmente.
A operadora de TV a cabo Net reduziu de 11 para quatro as versões de cada documento legal a ser encaminhado ao mercado e também cortou pela metade o prazo para consolidar suas demonstrações contábeis.
A siderúrgica Gerdau, que ainda está em processo de adaptação, já avalia que poderá reduzir de 50% para 20% os procedimentos manuais em ati vidades estratégicas para o negócio, como controle de estoques e processos de compra."

Leia o restante artigo no site da EXAME (Brasil) aqui.

Estrutura Nacional de Segurança da Informação (ENSI)

2006-03-04T21:00:00.000Z

1. O que é?
Comité formado por várias instituições públicas, a qual foi atribuído a responsabilidade de definir os objectivos de segurança e estabelecer uma política de topo para a Segurança da Informação em Portugal. As directrizes da ENSI são obrigatórias para os organismos da Administração Pública e recomendadas para o sector privado. “A ENSI tem como objectivo facilitar a coordenação de todos os esforços de Segurança da Informação, dinamizando a implementação de uma cultura nacional de segurança e minimizando a duplicação de recursos e competências” (in ENSI, Carta de Segurança a da Informação, 2005).

2. Que instituições formam a ENSI?
A ENSI reúne as seguintes instituições:

a) UMIC – Agência para a Sociedade do Conhecimento, IP
b) ANACOM
c) FCCN – Fundação para Computação Científica Nacional
d) GNS – Gabinete Nacional de Segurança

A liderança do comité foi atribuída à UMIC.

3. O que foi publicado pela ENSI?

3.1 Carta de Segurança da Informação
Este documento político define as finalidades e limites globais da ENSI, reflectindo-se nos outros documentos subordinados (como a Política Nacional da Segurança da Informação).

A carta é constituída pelos seguintes elementos:

• Declaração da Missão (objectivo da ENSI);
• Estratégia (como forma será realizada);
• Objectivos de Segurança (objectivos principais que orientam e
enquadram o desenvolvimento da ENSI);
• Estrutura (identifica os componentes da ENSI e a sua inter-relação);
• Responsabilidades (entidades responsáveis pelos vários
aspectos ao nível da ENSI);
• Liderança e Supervisão (garante a conformidade e a actualização contínua);
• Plano de Acção (a aproximação de alto nível para implementar a
ENSI);

3.2 Política Nacional de Segurança da Informação (PNSI)
Define os objectivos de segurança da política nacional para a Segurança da Informação (“para garantir que todos os recursos de informação em Portugal se encontram protegidos de forma adequada”). Esta política servirá de base para a formulação dos documentos subordinados de segurança.

3.3 Política de Segurança da Informação da Entidade (PSIE)
Cada entidade da Administração Pública terá este tipo de documento que definirá os objectivos de Segurança da Informação específicos para esse organismo. Estes objectivos devem estar em conformidade com a PNSI.

3.4 Política de Segurança da Informação Detalhada da Entidade
Este documento detalha os “objectivos de controlo da PSIE”. Estes objectivos de controlo são baseados no articulado da ISO/IEC 17799:2000 e percorrem vários domínios de segurança numa organização. Este documento corresponde ao Statement of Applicability da certificação ISO/IEC 27001 (antiga BS 7799-2). O Statement of Applicability é a lista dos controlos aplicados numa organização, extraídos do total de 127 controlos da ISO/IEC 17799:2000.

3.5 Normas e Procedimentos
As Normas e Procedimentos aplicam-se a pessoas, processos e tecnologias. “Estes documentos são específicos para cada implementação tecnológica e temporal e necessitam de rigor no seu desenvolvimento.” Este tipo de documentos pode seguir a seguinte estrutura:

• Assunto: Antivírus
• Objectivo
• Âmbito
• Política
• Responsabilidades
• Palavras-chave
• Contactos
• Glossário
• Controlo de Versão

Para fazer downlod destes documentos clique aqui.

Texto de Paulo Coelho
Consultor de Segurança da Informação
Sinfic, SA

Workshop “Gestão de Segurança da Informação"

2006-02-24T17:07:00.000Z

Na sequência do Workshop “Gestão de Segurança da Informação”, organizado ontem (23 de Fevereiro de 2006) pela Sinfic, nas suas instalações em Alfragide, disponibilizamos a apresentação utilizada como suporte à exposição.

Para aceder à apresentação de suporte ao workshop carregue aqui.

Este evento insere-se num conjunto de workshops gratuitos sobre segurança da informação organizados pela Sinfic. Os próximos workshops serão:

Diagnóstico de Segurança da Informação
29 de Março de 2006
9h30-12h45

Metodologias de Salvaguada de Informação de Negócio
20 de Abril de 2006
14h30-17h30

Disaster Recovery
17 de Maio de 2006
9h30-12h45

Business Continuity Plan
8 de Junho de 2006
9h30-12h45

Veja no site da comunidade, mais dados sobre os futuros workshops.

Metodologias de Threat Modelling / Modelação de Ameaças

2006-02-23T16:33:00.000Z

To secure ourselves against defeat lies in our own hands, but the opportunity of defeating the enemy is provided by the enemy himself.

Sun Tzu, The Art of War

1. Para que serve threat modelling?

Quem desenvolve software com preocupações de segurança ou quem faz análise de segurança de sistemas, depara-se com um desafio complexo: como identificar e descrever riscos de uma forma sistemática?

O grau de granularidade do diagnóstico do risco, que é requerido em situações de desenvolvimento software, pode implicar que além da constatação da fragilidade (vulnerabilidade), se faça também a decomposição do processo de exploração. Nestes casos há que perceber a cadeia de relações entre as acções do agente ameaça (hacker) e os vários componentes do sistema. Identificando, por exemplo, qual o ponto de entrada no sistema (que pode ser o módulo de autenticação), quais as acções desencadeadas pelo agente para aceder, de modo autorizado, ao um outro módulo, e como estas acções incidiram sobre os vários componentes do software em análise.

Uma forma simples de descrever as acções de tentativa de intrusão do agente ameaça é usar um tipo diagrama denominado de attack tree; um modo mais sistemático é usar uma metodologia de modelação de ameaças.

2. Árvores de ataque (attack tree)
Este tipo de diagrama foi popularizado por Schneier (aliás citar o artigo deste autor é uma cânone de qualquer texto com pretensões.… ; -).

A raiz da árvore (de ataque) consiste nos objectivos do ataque. A primeira tarefa é, portanto, identificar qual a finalidade do ataque. As acções do atacante para alcançar essa meta serão os futuros nós da árvore.

A estratégia do atacante pode envolver acções ligadas por ANDs ou ORs. Os ANDs são representados por 2 linhas, e os ORs por uma linha.

Como ilustração de uma árvore de ataque temos a figura em baixo. Um atacante para obter acesso a um eventual servidor ISMSPT terá que sucessivamente executar as acções do primeiro nível (identificar ISMSPT domain name, por exemplo). Cada uma destas acções pode ser conseguida concretizando apenas uma das acções do segundo nível (ligadas por OR´s).

Em suma, as árvores de ataque podem descrever, de forma simples, as técnicas de hacking de sistemas. Este tipo de diagrama é ideal para ilustrar ataques desensacados por hackers ou por softwares que estejam a correr scripts de ataque.

3. Modelação de ameaças
Uma forma mais complexa de descrever riscos é usar uma metodologia de modelação. No mercado, coabitam pelo menos duas: CORAS e a da Microsoft.

3.1 CORAS
O CORAS é uma metodologia de modelação de riscos, que recorre a diversos tipos de diagramas, como o Fault Tree Analysis (FTA), Failure Mode, Effect and Criticality Analysis (FMECA) e Event Tree Analysis (ETA).

Estes diagramas assumem ângulos de análise distintos. O Fault Tree Analysis (FTA) começa por definir um evento não desejado (incidente de segurança) e depois deduz os factores que levaram ao incidente. Por outro lado, o Failure Mode Effect and Criticality Analysis (FMECA) começa por identificar para cada componente do sistema, todas as falhas e consequências possíveis. Posteriormente, estas falhas são classificadas em termos do seu grau de criticidade. Registe-se que estes diagramas são provenientes de áreas tão diversas, como a análise de acidentes aéreos, prevenção de acidentes na indústria química.

Mais sobre o CORAS.

3.2 Microsoft
Esta metodologia é eventualmente a aposta segura. A empresa de software parece ter adoptado o threat modelling. Primeiro, é editado a metodologia em livro, segue-se a ferramenta de desenho (Threat Modeling Tool; versão beta desta ferramenta está disponível) e agora até existe um portal dedicado ao tema e um blog da equipa da Microsoft de Threat Modeling.

A ferramenta citada (freeware, by the way) permite desenhar o processo completo de modelação. Cumulativamente integra-se com o Visio (como se pode visualizar pelas imagens) e gera relatórios.

Um artigo interessante em português sobre modelação de ameaças, aqui.

4. Conclusão

A modelação de riscos (ou modelação de ameaças, na terminologia mais comum) é uma área em crescimento (daí aposta da Microsoft). O nível de granularidade, que as metodologias de modelação permitem na descrição de riscos, torna-as adequadas para a análise de segurança de sistemas, no âmbito do desenvolvimento de software. Como metodologias de modelação, podemos reconhecer as árvores de ataque (attack tree), CORAS e Microsoft, com destaque para a última (registe-se que a metodologia da Microsoft inclui as árvores de ataque).

Paulo Coelho

Consultor de Segurança Informação

Sinfic

PS: Este artigo foi motivado pelo contacto de Wagner Elias, autor do site http://wagnerelias.blogspot.com/. Este é um excelente blog em termos de segurança informática, valendo a pena uma visita.

Standard de gestão de risco em português

2006-02-23T14:31:00.000Z

A FERMA (Federação Europeia de Associações de Gestão de Risco) publicou em português a sua Norma de Gestão de Risco.

Este documento de 16 páginas expõe, em detalhe, como se aplica as várias fases de gestão de risco (ilustradas na figura ao lado).

O documento pode ser descarregado aqui.

A Gestão da Segurança da Informação e o SOX

2006-02-22T18:44:00.000Z

Diligence and hard working: these are the safest securities.

Jean de La Fontaine, Fables

O Sarbanes-Oxley Act (intitulado oficialmente de Public Company Accounting Reform and Investor Protection Act) impõe um conjunto de exigências às empresas cotadas em Bolsas norte-americanas ao nível da protecção da informação financeira.

O SOX estabelece requisitos de como a informação financeira deve ser gerada, auditada, guardada e disponibilizada publicamente. Por exemplo, segundo o SOX os auditores devem manter os documentos de trabalho da auditoria durante 5 anos (Title VIII: Corporate and Criminal Fraud Accountability Act of 2002).

Paralelamente, as sessões 302 e 404 do SOX definem que a Administração de cada empresa deve avaliar e registar a eficácia dos seus controlos internos relativamente à informação financeira.

Como se pode deduzir, estes requisitos ao nível da informação financeira têm uma implicação directa nos sistemas de informação das empresas. No caso destas organizações possuírem uma gestão integrada de segurança, parte das medidas de protecção implementadas e monitorizadas pela gestão da segurança, podem ser correlacionadas com os controlos necessários para o SOX.

Para esta combinação entre o SOX e a gestão da segurança (tal como definida pelos standards ISO 27000 e ISO 17799) ser possível, é conveniente que o âmbito da gestão de segurança inclua a área financeira. Por outro lado, se o âmbito do sistema de gestão de segurança não tiver nenhuma relação com o domínio de aplicação do SOX, os dois sistemas – SOX e gestão da segurança – podem coexistir independentemente um do outro.

Partindo, deste pressuposto de sobreposição do domínio de aplicação da gestão da segurança e do SOX (isto é, processo de produção, salvaguarda e auditoria de informação financeira), é possível existir um reaproveitamento de controlos de um sistema para outro.

Neste âmbito de correlação entre SOX e ISO 17799 (catálogo de medidas de protecção de gestão de segurança) merece destaque o seguinte artigo de Haworth e Pietron, disponível aqui.

O texto da legislação norte-americana pode ser descarregado aqui.

Texto de Paulo Coelho

Consultor de Segurança Informação

Sinfic

Key Strategies for Implementing ISO 27001

2006-02-21T17:51:00.000Z

Texto em inglês que reflecte sobre as decisões iniciais de uma implementação da ISO 27001 (tais como identificar objectivos de negócio e seleccionar o âmbito).

O texto completo pode ser visualizado aqui.

Workshop "Gestão da Segurança da Informação"

2006-02-17T15:59:00.000Z

Quinta-feira - 23 Fevereiro

Sinopse

A segurança da informação é crítica para qualquer organização e seus Clientes. A SINFIC, em conjunto com a BSI, desenvolveu este workshop específico que explora as principais implicações para com o negócio relacionadas com a segurança da informação, sua gestão e os referenciais internacionais ISO/IEC 17799 e ISO/IEC 27001:2005. Exemplos actuais e fundamentais sobre quebras de segurança da informação fazem parte do suporte deste evento.

Agenda:
9h30 - Recepção e Boas Vindas
9h40 - O que é a informação?
9h50 - Que informação proteger?
10h15 - A norma ISO/IEC 17799 e série ISO/IEC 2700x
10h30 - Pilares fundamentais para a Segurança da Informação
11h30 - Café e Bolinhos
12h00 - ISO/IEC 27001 - Metodologia para implantação
12h30 - A parceria Sinfic/BSI
12h45 - Perguntas & Respostas

Workshop gratuito - inscreva-se já aqui.
Mais informações.

Comparação entre standards de segurança

2006-02-13T18:33:00.000Z

O ISO 17799, GMITS, GASSP e COBIT são colecções de objectivos e mecanismos de protecção que uma organização pode escolher e adaptar à sua realidade, de modo a melhorar o seu nível de protecção.

O paper compara estes 4 catálogos de medidas de segurança concluindo que o GMITS e o GASSP centram-se na protecção de sistemas de SI/TI, o COBIT na gestão de SI/TI e o ISO 17799 na segurança da informação.

Faça o download do paper aqui (em breve).

Novo referencial da gestão de riscos

2006-02-13T17:31:00.000Z

O próximo mês de Março assistirá à tão aguardada publicação da nova norma BS7799-3:2006 que, em consonância com o estabelecido no referencial ISO/IEC 27001:2005 no que concerne ao processo de gestão dos riscos para a segurança da informação, dotará as organizações que pretendem alcançar a conformidade ou mesmo uma certificação ao nível desta norma internacional, de directrizes e orientação para a identificação, avaliação, tratamento e gestão suportadas dos riscos que pairam sobre os recursos abrangidos pelo seu sistema de gestão da segurança da informação (Information Security Management System – ISMS).

O novo referencial britânico, cujo contributo e necessidade são inegáveis para a garantia de uma gestão eficaz da segurança da informação nas organizações, estabelece as directrizes e abrange temáticas diversas, mas complementares como: a realização de análises de risco; a definição e planeamento das actividades de tratamento do risco; a determinação do processo para a tomada de decisão ao nível da gestão; a revisão das análises e avaliações de risco realizadas previamente; a caracterização dos riscos para a segurança da informação no contexto de ‘Corporate Governance’; e por fim, o alcance da conformidade com outros referenciais e regulamentos ao nível da gestão de risco.

Importa referir que se prevê que em 2007, à semelhança do que acontecerá com a actual norma ISO/IEC 17799:2005, a nova BS7799-3:2006, se torne também parte da família ISO/IEC 2700X, enquanto ISO/IEC 27005. Recorde-se que as designações ISO/IEC 27003 e ISO/IEC 27004 encontram-se até ao momento, reservadas para novos referenciais ainda em desenvolvimento, ao nível de directrizes para a implementação de sistemas de gestão da segurança da informação e ao nível de métricas para a avaliação da eficácia e eficiência também de sistemas desta natureza, respectivamente.

Texto de Maria Manuela Gaivéo

Consultora de Segurança da Informação

Sinfic

Técnicas para ocultar informações e identificar ataques no Windows

2006-02-09T19:28:00.000Z

A melhor forma de começarmos a discutir técnicas de resposta a incidentes é considerarmos algumas técnicas para ocultar informações e intrusão no Windows.

Este artigo tem como objetivo apresentar algumas questões importantes relacionadas aos ataques que ocultam evidências de ataques ao ambiente computacional.

Escondendo informações

Vamos imaginar a seguinte situação: um funcionário interno da sua empresa conseguiu ter acesso ao arquivo da folha de pagamento. A folha de pagamento está em um arquivo com extensão .doc. O funcionário interno conseguiu copiar este arquivo para sua estação de trabalho, porém, será necessário esconder a evidência do ataque dos administradores de rede. Sendo assim, o funcionário interno irá executar os seguintes procedimentos:

Observação: Antes de executar os procedimentos descritos neste artigo, desmarque a opção “Ocultar as extensões dos tipos de arquivo conhecido” em “Ferramentas”, “Opções de Pastas”, “Modo de exibição” do seu sistema operacional Windows.

1. Crie um arquivo com extensão .doc para a realização dos testes.

2. Renomeie o arquivo com extensão .doc para a extensão/nome fopag.dll.

3. Clique em “Iniciar”, “Executar” e digite %windir%\system32. Neste diretório você irá encontrar centenas de componentes do Windows e de outros softwares instalados.

4. Copie o arquivo fopag.dll para este diretório.

O diretório %windir%\system32 é um excelente local para esconder as informações. Isso ocorre porque neste diretório existem diversos arquivos com extensão .dll. É pouco provável que durante a “caçada virtual” das evidencias de um ataque, o administrador de rede procure informações “ocultas” neste diretório.

Algumas técnicas para detectar as informações que podem estar sendo escondidas são:

a) Procure pela data e hora de criação/modificação do arquivo.

b) É possível realizar pesquisas específicas no Windows definindo data ou hora.

c) Você pode realizar um scan no seu computador a procura de arquivos modificados.

Para realizar um scan nos arquivos protegidos do Windows digite no Command Prompt “sfc /scannow”. Para mais informações, acesse http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/2a2ba2f1-11ab-46ba-bec3-945b0b4cbf5f.mspx.

d) Alguns profissionais preferem catalogar os arquivos do Windows e incluir um hash MD5 para identificarem modificações nos arquivos.

Você pode utilizar a ferramenta Samhain para identificar a integridade dos arquivos do Windows. Para mais informações, acesse http://la-samhna.de/samhain/HOWTO-samhain-on-windows.html.

Outra forma mais simples de identificar a integridade dos arquivos no Windows é através da ferramenta de “Verificação de assinatura de arquivo”.

Clique em “Iniciar”, “Executar” e digite “sigverif”.

Siga as orientações descritas na tela para a verificação dos arquivos.

Para mais informações, acesse http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sig_verification_tool.mspx.

Analisando a assinatura dos arquivos no Windows

Continuando a análise do caso do funcionário que renomeou um arquivo .doc para .dll, vamos entender como identificar o verdadeiro formato do arquivo através da sua assinatura.

Arquivos com extensão .dll, .exe, .ocx, .sys e .drv possuem uma assinatura MZ nos dois primeiros bytes do arquivo. Para visualizar a assinatura do arquivo no Windows, execute o seguinte procedimento:

Clique em “Iniciar”, “Executar” e digite “cmd”.

Digite “cd \windows\system32” e pressione “Enter”.

Digite “notepad sol.exe” e pressione “Enter”. (sol.exe é o jogo de Paciência do Windows).

Nos dois primeiros bytes do arquivo que foi aberto no Bloco de Notas você irá encontrar a assinatura MZ.

Execute o mesmo procedimento para o arquivo criado como exemplo: fopag.dll.

Você irá identificar a seguinte assinatura no arquivo: “ÐÏ.à¡±.á”. Isso significa que esse é um arquivo do Microsoft Office applications (Word, Powerpoint, Excel, Wizard).

Para visualizar uma tabela completa sobre assinaturas de arquivos, acesse http://www.garykessler.net/library/file_sigs.html.

Construindo arquivos

Alguns atacantes e até mesmo Trojans preferem realizar ataques utilizando arquivos do próprio Windows.

Existem ferramentas que permitem a “construção de arquivos”. Por exemplo, você pode determinar que todas as vezes que o arquivo sol.exe (jogo de Paciência do Windows) for executado, automaticamente execute o notepad.exe (bloco de notas do Windows).

Utilize o software inPEct para construir arquivos. Para download, acesse http://sysd.org/proj/exe.php#inpect.

Observação: Realize os testes de construção de arquivos em outros programas que não sejam do seu Windows. Por exemplo, utilize o software TCP View junto com o programa Process Explorer para construir arquivos de teste.

Para download do programa TCP View, acesse http://www.sysinternals.com/Utilities/TcpView.html.

Para download do programa Process Explorer, acesse http://www.sysinternals.com/Utilities/ProcessExplorer.html.

Utilize o inPEct para que quando você execute o programa TCP View também seja executado o programa Process Explorer. Dessa forma, o seu teste será realizado com sucesso e segurança.

Conclusão

Existem diversas formas de esconder evidencias ou ferramentas que são utilizadas durante o ataque. Alguns softwares comerciais focados em perícia forense podem ajudar a responder o incidente e identificar o autor dos ataques.

Por fim, é importante monitorar os arquivos do Windows e entender as técnicas de ataque. Dessa forma, conseguiremos minimizar o risco de ocorrer um ataque bem sucedido ou ocorrer o vazamento de informação de uma determinada organização.

Sobre o autor
Denny Roger é líder da equipe de análise e gerenciamento de riscos e diretor da Batori Software & Security (http://www.batori.com.br/), uma empresa especializada em consultoria e treinamentos em segurança. Especialista em mapeamento e avaliação de topologia de rede segura, constantemente desenvolve projetos que buscam identificar desvios na política de segurança da informação de seus clientes. Pesquisador ativo no campo, com publicações analisadas por colegas na área de análise de segurança de rede. Autor dos cursos Segurança da Informação em Ambientes de Rede e Sistema de Gestão da Segurança da Informação – ISO 17799. Autor de diversos artigos sobre invasões de redes, fraudes em ambiente computacional e segurança da informação. Autor de 6 palestras em segurança da informação e membro ativo de vários comitês de segurança da informação.

Versão Brasileira da ISO 27001 disponível para download

2006-02-08T19:21:00.000Z

A versão brasileira da norma internacional ISO 27001 está disponível para download, no âmbito do período de consulta pública que terminará no dia 28/02/2006. Até essa data poderão ser efectuadas sugestões para modificação do texto da norma.

Para download da norma, deverá aceder ao seguinte URL e criar uma conta de utilizador (gratuito): http://www.abntnet.com.br/consultanacional/Default.aspx.

O documento encontra-se no comité técnico ABNT/CB-21 - Computadores e Processamento de Dados.

Lista de discussão da Comunidade PT Segurança da Informação

2006-02-08T18:50:00.000Z

A Comunidade PT de Segurança da Informação convida os seus membros e visitantes a aderir à lista de discussão electrónica ISO27000-BR.

Esta lista, mantida por um membro da nossa comunidade (Paulo Barbosa), possui actualmente 143 membros e mantém uma politica de bloqueio de mensagens publicitárias. Estas duas condições juntamente com a pertinência das questões levantadas pelos seus membros fazem-nos recomendar a subscrição desta lista.

A subscrição desta lista poderá ser realizada em http://groups.yahoo.com/group/ISO27000-BR/.

A subscrição requer uma conta de utilizador do Yahoo.

Equipa do ISMSPT
Fevereiro de 2005

Protecção da informação: prioridade baixa!

2006-01-30T23:04:00.000Z

De facto é preocupante constatar que muitas organizações não conseguem proteger adequadamente os diferentes recursos de informação que possuem ou de que necessitam, para a realização dos diferentes processos críticos de negócio, sobre os quais sustentam a sua actividade, favorecendo a protecção de recursos tecnológicos em detrimento do recurso ‘informação’.

Este facto prende-se frequentemente com a incapacidade por parte das organizações, de identificar exactamente quais são os seus recursos críticos e quem é por eles responsável. Esta informação, à semelhança de outros dados relativos aos referidos recursos é crucial para a sua gestão e protecção adequadas, devendo por esta razão, as organizações recorrerem à realização e manutenção de um inventário dos seus recursos de informação, nomeadamente dos recursos abrangidos pelo âmbito do seu ISMS. Tendo em consideração que a informação é cada vez mais tida como um recurso crucial para o sucesso e mesmo para a sobrevivência das organizações, é indispensável que estas garantam a sua segurança; contudo a difícil valorização da informação propriamente dita, faz com que esta seja muitas das vezes deixada fora de inventários de recursos, o que contribui para uma análise de risco e protecção ineficazes.

O conceito ‘inventário de recursos’, objecto de incidência no capítulo de controlos do referencial internacional ISO/IEC 17799 dedicado à Gestão de Recursos (Asset Management), é na grande maioria das vezes, associado pelas organizações ao conceito de ‘ inventário contabilístico’, que possibilita o conhecimento do valor residual e amortizado dos diferentes bens organizacionais. Contudo, o conceito ‘inventário de recursos’ no léxico da gestão da segurança da informação, vai além do mero valor contabilístico associado aos recursos abrangidos pelo ISMS (Information Security Management System – Sistema de Gestão da Segurança da Informação) da organização, na medida que inclui tanto recursos tangíveis como recursos intangíveis, de valor dificilmente calculável, como é o caso da informação, cujo valor poderá não ser nada análogo ou equivalente ao preço da infra-estrutura que a suporta ou imagem e reputação da organização. Neste sentido torna-se necessário esclarecer no que consiste um inventário de recursos, ao nível da gestão da segurança da informação, e que tipo de dados deverá fornecer à entidade responsável por esta disciplina na organização.

Ao nível da gestão da segurança da informação, podemos entender inventário de recursos como um levantamento dos recursos de informação considerados críticos para o negócio da organização, estando por essa razão abrangidos pelo seu ISMS, e entre os quais se contam bens de natureza distinta como: informação (documentada ou não documentada, em formato tangível ou intangível, incluindo bases de dados, contratos e acordos, manuais, registos e relatórios de auditoria, políticas e procedimentos documentados, etc.); software e respectivas licenças (sistemas operativos e outras aplicações e ferramentas); hardware e equipamento diverso e de suporte (equipamento de escritório e outras infra-estruturas); serviços de comunicação e serviços de fornecimento de energia eléctrica, entre outros; e por último, mas não menos importante, as pessoa, atendendo às suas qualificações, competências e experiência. Acresce referir que muitas vezes a reputação e a boa imagem da organização deverão igualmente serem vistos como recursos organizacionais, cuja contabilização é contudo impossível, mas cujo compromisso poderá representar a descontinuidade do negócio da organização.

Entre os dados fornecidos por um inventário de recursos inserido num ISMS, devem constar, entre outros elementos: uma referência ou número de identificação único do recurso em questão; a sua designação e respectiva descrição; a sua natureza (recurso de hardware, de software, etc.); o nome do responsável pela sua gestão (criação, aquisição, manutenção, operação, etc.); localização e formato; data de criação ou de aquisição; classificação (especialmente no que concerne a documentos e informação); marca e/ou fornecedor e número de série (ao nível de hardware, software, outro equipamento e serviços); e ainda o número de funcionário, nome, função, departamento ou unidade, local de trabalho e contacto, no que concerne a colaboradores.

Texto de Maria Manuela Gaivéo

Consultora na Sinfic

Este texto foi publicado originalmente na SSN Sinfic Security News - Edição nº40, newsletter de segurança da Sinfic. Pedidos de subscrição podem ser remetidos para sdi@sinfic.pt

Módulo: primeira empresa de Segurança da Informação a ser certificada ISO 27001

2006-01-26T11:18:00.000Z

A Módulo Security, empresa brasileira líder em Segurança da Informação na América Latina, é a primeira empresa de Segurança da Informação do mundo a conquistar a certificação ISO 27001. A ISO 27001 é a primeira norma mundial para certificação em segurança da informação e é a evolução do padrão britânico BS 7799-2 Ela trata da definição de requisitos para implementação de um Sistema de Gestão de Segurança da Informação - SGSI. Em outubro de 2005, a norma foi incorporada pela "The International Organization for Standardization (ISO)", que cuida de padrões internacionais de certificação.

"A publicação da ISO 27001 demonstra a importância conquistada pela Segurança da Informação, que passa a ser percebida como estratégica para o negócio de qualquer companhia. Um dos resultados do fortalecimento desta norma é o aumento do interesse das organizações em obter um certificado reconhecido mundialmente, a exemplo do que aconteceu com ISO 9001 para qualidade e ISO 14001, para meio ambiente", diz Fernando Nery, sócio-fundador da Módulo Security. A previsão é que a ISO 27001 seja publicada em português pela ABNT até março de 2006.

Exportação e destaque mundial no setor
A conquista da certificação destaca a empresa globalmente e fortalece a estratégia de internacionalização, que tem como foco a exportação do Check-up Tool, software de análise de riscos e gestão do conhecimento em Segurança da Informação, adotado no Brasil por diversas empresas, inclusive multinacionais. A expectativa da companhia para 2006 é que a exportação do software corresponda a 5% de seu faturamento. Atualmente, o Check-up Tool é comercializado nos Estados Unidos, Portugal, Argentina, Venezuela e Chile.

"Acreditamos que a conquista desta certificação fortalecerá nossa imagem na comunidade de segurança da informação em todo o mundo e ajudará na entrada no mercado internacional, que já valoriza e possui amplo conhecimento sobre esta norma. A tecnologia brasileira de segurança da informação ainda não é muito conhecida no exterior, o pioneirismo na certificação servirá como cartão de visitas em qualquer país – deixaremos de ser ‘uma empresa talentosa no Brasil’ e passaremos a ser ‘a primeira certificada no mundo’, isso faz diferença no mercado internacional", diz Nery.

Certificação em tempo recorde e novos produtos
A conquista da certificação em tempo recorde pela Módulo Security (a norma foi publicada em outubro de 2005) é atribuída ao uso do Check-up Tool™. "O uso do Check-up Tool foi decisivo para a certificação. A utilização de um checklist específico de apoio à certificação agilizou o processo de auditoria que precede a certificação em cerca de 50%", afirma Alberto Bastos, sócio-fundador da Módulo Security. A Módulo lançará em fevereiro o serviço de consultoria para certificação na ISO 27001 e uma série de cursos para a norma. "Acreditamos que até o fim de 2006 pelo menos vinte empresas brasileiras estarão certificadas, mas o importante é que a ISO 27001 será usada como referência por praticamente todas as equipes e profissionais de segurança da informação", diz Alberto.

Características do Check-up Tool ™
O Check-up Tool™ é a evolução da ferramenta utilizada pela equipe de consultoria da Módulo Security, aplicada em mais de 800 projetos. De forma rápida, simples e estruturada realiza análise de riscos para ativos tecnológicos (software e equipamentos) e não tecnológicos (pessoas, processos e ambientes).

O Check-up Tool™ possui atualmente mais de 110 checklists de Segurança da Informação com mais de 7.000 controles de segurança, constantemente atualizados pela equipe do Módulo Security Lab. Por meio dos relatórios gerados pelo Check-up Tool™, o administrador pode detectar áreas, departamentos, processos, sistemas e regiões geográficas mais críticas, além de priorizar e otimizar os investimentos, obtendo parâmetros para acompanhar tanto a evolução dos riscos quanto a eficácia das ações de segurança. O Check-up Tool tem como clientes grandes empresas do setor financeiro, telecomunicações, energia, indústria e órgãos de governo.

Sobre a Módulo Security
Fundada em 1985, a Módulo Security possui cerca de 250 profissionais permanentemente atualizados e certificados. Com soluções que utilizam o PESI®, metodologia proprietária certificada ISO 9001 e em conformidade com a ISO 27001, a Módulo já realizou mais de 4.000 projetos, muitos deles inovadores e reconhecidos mundialmente, como a participação nas eleições eletrônicas brasileiras e a entrega de imposto de renda via Internet.

Mais sobre a Módulo.

Texto de C. Britto, membro da Comunidade ISMS PT.

1º Curso de Implantação de ISO 27001 em Portugal

2006-01-19T16:14:00.000Z

Depois de vários cursos de implantação da antiga versão da norma, será pela primeira vez realizado em Portugal, de 13 a 17 de Março, o curso de implantação de ISO 27001.

Informações adicionais
- Emissão de certificado de participação reconhecido internacionalmente (emissão BSI-UK)
- Nome original do curso ‘ISO 27001: 2005 Information Security Management System Implementation Course’ (da BSI)
- Curso de cinco dias em regime residencial (serão efectuados exercícios específicos em horário pós-laboral; solicita-se aos formandos a posse de um computador pessoal na formação).

Conteúdo programático
Determinação do âmbito
Identificação de recursos de informação
Determinação do valor dos recursos de informação
Determinação do risco
Determinação da(s) política(s) e do nível de exigência requeridos aos controlos
Identificação dos objectivos de controlo e controlos
Definição de políticas, normas e procedimentos para implantação dos controlos
Produção e implementação das políticas, normas e procedimentos
Finalização dos requisitos documentais do ISMS
Auditoria e revisão do ISMS

Horário
Dia 1 a 4 (2ª feira a 5ª feira) : 09:00 às 13:00, das 14:30 às 18:00.
Dia 5 (6ª feira) : 09:00 às 13:00

Inscrições e informações

Mais informações em Sinfic.

About us

2006-01-17T18:23:00.000Z

The Portuguese community of Information Security Management System gathers security managers and professionals, of some of the leading Portuguese corporations and institutions, interested in fostering management practices of information security.

This community adopted the international framework of security management, formed by ISO 27001 (former BS 7799-2) and ISO 17799 (which will be replaced by ISO 27002). As other ISMS communities in the world, ISMS Portugal aims to support its members in the chore of implementing and administrating Information Security Management Systems in Portuguese organizations.

ISMS PT was established in 2005 and, as part of its activities, maintains a blog (

www.ismspt.blogspot.com) and promotes workshops and other events, some of them free of charge for its members.

Although, most of the ISMS PT communication is held in Portuguese, part of its events are in English language. Therefore, non-speak Portuguese speakers may participate and are welcome in our community.

See our other pages in English.

ISMS PT Team
October, 2005

Monitoramento do uso de Web

2006-01-13T17:26:00.000Z

Qual o limite entre a sua privacidade e a segurança corporativa?

É notável como este assunto gera polêmica, mesmo depois de tão discutido e abordado pela imprensa durante os casos de demissões que ocorreram no ano passado em grandes organizações brasileiras, motivadas pelo acesso de seus funcionários a conteúdos pornográficos ou “sem relação ao negócio da empresa”.

Este é o típico assunto que nos faz figurar prontamente em uma posição – já imaginou os prós e contras na visão da empresa e do seu funcionário? George Orwell, em seu best-seller “1984” predizia uma sociedade fantasticamente vigiada – protagonista de uma espécie de “Big Brother”.

Imaginemos você como diretor de uma empresa de tecnologia, que está investindo um capital considerável no desenvolvimento de uma nova solução para a telefonia celular. Pouco antes do lançamento do produto um dos desenvolvedores entrega sua carta de demissão. Passado algum tempo, você descobre que seu ex-funcionário foi empregado pela concorrência. Será que a confidencialidade de suas informações foi comprometida?

É claro que há diversos meios de se transmitir informações, são muitas as alternativas para um funcionário verdadeiramente mal intencionado. Para conter estas ameaças existem diversos controles tecnológicos e administrativos, que devem ser coordenados por uma Política de Segurança da Informação. De qualquer forma, a redução da produtividade e a deterioração da imagem da empresa são riscos evidentes quando ocorre o uso inapropriado de recursos de monitoração. Por outro lado, podemos considerar a própria legislação brasileira como principal opositor às práticas de monitoração. O projeto de Crimes de Informática, que tramita no Congresso Nacional não trata de crimes por uso indevido de sistemas tecnológicos, trata apenas de crime de invasão, intenção deliberada de transmitir vírus, ou dano dos dados.

O anteprojeto da AMCHAM/SP insere no art. 151 do Código Penal Brasileiro (Devassar indevidamente o conteúdo de correspondência fechada, dirigida a outrem), uma cláusula que trata da inviolabilidade da correspondência, o § 5º, prescrevendo:

§ 5º - Para todos os fins deste artigo, o correio eletrônico equipara-se à correspondência fechada.

Equiparando-se o e-mail à correspondência fechada, o mesmo se tornará inviolável, ou seja, em nenhuma hipótese poderá ser aberto pelo empregador. Para ilustrar o cenário acima citado, tomemos como exemplo um caso registrado em uma grande instituição financeira no Brasil. Um funcionário foi demitido em função da transmissão de uma mensagem pornográfica. No entanto, o juiz da ação decidiu que não haveria razão para demiti-lo por justa causa, já que a monitoração não é permitida legalmente.

Todos podem ter direito de acessar a interminável quantidade de informações disponibilizadas pela Internet, desde que as regras sejam claras e pré-estabelecidas, entendendo que a empresa disponibiliza recursos para seus funcionários com a finalidade de que estes sejam utilizados em sintonia com os interesses da companhia e não em atividades paralelas ou necessidades particulares. Tratam-se as exceções, como, por exemplo, o uso da Internet como instrumento educativo e em casos de real necessidade, como o uso de Internet Banking.

Como solução a estas questões envolvendo o monitoramento do uso de web, devemos estabelecer que todas as permissões, e as exceções devem ser claramente estabelecidas em uma Política de Segurança da Informação, suportada por um termo de aceitação das condições de trabalho assinado por todos os funcionários, garantindo o reconhecimento às normas vigentes, e fornecendo amparo legal à organização contra possíveis processos realizados por funcionários demitidos devido ao não cumprimento destas regras.

Tendo em vista que o funcionário deve fazer uso estritamente profissional dos equipamentos fornecidos pela corporação, a restrição de uso é cabível, sendo que este controle se tornou necessidade primordial para a contenção de prejuízos. Por outro lado, cabe à empresa garantir que o monitoramento se configure com respeito aos funcionários e em sigilo, restringindo ao máximo a divulgação destas informações e não configurando qualquer tipo de perseguição ao funcionário. A monitoração por amostragem das atividades rotineiras dos funcionários deve ser contínua e fazer parte da gestão da segurança da informação.

Verificar a suspeita da ocorrência de vazamento de informação configura uma atividade de investigação. Lembre-se que ninguém poderá ser condenado por enviar informações confidenciais se: (1) não houver uma definição clara do que é informação confidencial; (2) não houver uma regra formal e reconhecida pelo funcionário de que estas informações consideradas confidenciais não podem ser enviadas; e (3) não for evidenciado que a organização possui controles que objetivam evitar a ocorrência destes eventos.

Na ocorrência de eventos de risco à organização, em decisões que possam comprometer a estratégia do negócio, deve haver o envolvimento da Alta Administração na homologação do plano de tratamento do risco. Seguindo estas premissas, estou certo de que cada vez haverão menos investidas quanto à privacidade do funcionário, e de que ficará extremamente difícil burlar as regras estabelecidas na política tecnológica e administrativa da sua organização.

Texto de Paulo Barbosa, CISSP, ISSMP
Consultor de segurança da informação (Brasil).

Membro da Comunidade PT Segurança da Informação

Certificação Common Criteria do Windows 2003 e Windows XP

2006-01-13T10:10:00.000Z

A Microsoft conseguiu recentemente a certificação EAL4+ do Common Criteria nos seus produtos Windows 2003 e Windows XP. Mas, em termos que toda a gente possa entender, o que é que isto realmente significa?

Este texto foi elaborado com o objectivo de dar a conhecer um pouco mais sobre o Common Criteria, os níveis de certificação e o seu significado.

O que é o Common Criteria?

O Common Criteria (CC) é um standard internacional (ISO15408) para segurança informática. O seu propósito é permitir os seguintes pontos:

que utilizadores possam avaliar os seus requisitos de segurança;
que programadores possam especificar os requisitos de segurança dos seus produtos;
que avaliadores possam determinar se um determinado produto está de acordo com o que diz ser.

A génese do CC é mapeada para três standards importantes -- o ITSEC, standard europeu desenvolvido no início da década de 90 pelo Reino Unido, a França, a Holanda e a Alemanha, embora seja também utilizado noutros países (p.ex.: a Austrália); o TCSEC (também conhecido como 'Orange Book'), standard nos EUA e o CTCPEC, standard canadiano.

Leia a continuação do artigo aqui

Texto da InfoSecOnline.pt.

ISO 27001 methodology

2006-01-12T16:07:00.000Z

ISO 27001 (former BS 7799-2) presents the requirements to implement and operate an Information Security Management System (ISMS). Bellow, there is interpretation of the major requirements and deliverables of each phase of the ISMS implementation method established by ISO 27001.

1 - Define the ISMS scope

1.1 Major requirements
a) Delimitation of the ISMS scope using a documented procedure;
b) Identification of legal and business requirements and constraints;
c) Identification of the information assets within the ISMS scope.

1.2 Required outputs
a) Scope statement (description of what the scope is);
b) List of legal and business requisites and constraints;
c) List of information assets,

2 - Define the ISMS policy

2.1 Major requirements

The document entitle of Information Security Policy should include:

a) definition of objectives of information security;
b) management statement in support;
c) reference to other internal security regulations (e.g. procedures);
d) identification of legal requirements;
e) responsibilities for management;
f) references to other documents.

2.2 Required outputs
a) Information security policy document;
b) Specific policies (if applicable);
c) Standards, procedures, guidelines (if applicable).

3 - Define a risk assessment approach

3.1 Major requirements

A risk assessment method must be:

a) systematic and;
b) suitable to the ISMS and legal requirements.

3.2 Required outputs

Definition of the formula type of risk calculation.

4 - Identify the risk

4.1 Major requirements

a) Identify the threats to assets;
b) Identify the vulnerabilities that might be exploited by those threats;
c) Identify the impacts that losses of CIA dimensions on assets.

4.2 Required outputs
A list of risks.

5 - Analyze and evaluate the risk

5.1 Major requirements

To calculate the risk, it should be consider:

a) Business impact of a security failure, taking into account the losses on CIA dimensions;
b) Likelihood of it.

5.2 Required outputs

A calculated risk level (an estimation of the probability and impact of a risk).

6 - Identify and evaluate options for the treatment of risks

6.1 Major requirements

The risk may be:

a) accept it;
b) avoid it;
c) transfer it to insurers or suppliers;
d) reduce it.

6.2 Required outputs
Risk treatment decision (in terms of the 4 strategies defined above).

7 - Select control objectives and controls for the treatment of risk

7.1 Major requirements

The risk treatment plan should include:

a) Mandatory measures from BSI´s chapters 4, 5, 6 and 7.
b) Selective measures from Annex A that may be chosen or excluded.
c) Measures derived from other sources, as long as they provide more assurance than the BSI`s controls.

7.2 Required outputs
Risk treatment plan (defines for each risk, its strategy, and if this decision is to reduce, includes appropriate controls).

8 - Prepare a Statement of Applicability

8.1 Major requirements
Produce a Statement of Applicability (with the reasons for the choice of controls or its exclusion).

8.2 Required outputs
Statement of Applicability (SoA).

9 - Obtain management approval

9.1 Major requirements

a) Approve residual risks;
b) Authorization to operate the ISMS.

9.2 Required outputs

a) Residual risks approved;
b) ISMS operation authorization.

Summary of ISO 27001 methodology

Text by Paulo Coelho

Information Security Consultant at Sinfic, SA.

Certificações CISSP e SSCP reconhecidas pelo ISO

2006-01-10T10:05:00.000Z

O (ISC)², organismo responsável pelas certificações CISSP e SSCP, foi acreditado como entidade emissora de certificações de segurança da informação no âmbito do ISO/IEC 17024.

O ISO/IEC 17024 – “Conformity assessment - General requirements for bodies operating certification of persons” estabelece os requisitos para as certificações de segurança da informação, sendo internacionalmente, nomeadamente pelo Departmento de Defensa norte-americano.

Segundo Dr. Roy Swift da ANSI, organismo norte-americano filiada no sistema ISO, "o ISO/IEC 17024 foi desenvolvido em resposta à procura por parte de empresas e agências de uma referência válida para certificar profissionais (na área da segurança da informação).

A funny Information Security Dictionary

2006-01-03T11:14:00.000Z

Texto publicado inicialmente na CSO Magazine, com base em fontes como o The Hackers Dictionary" de Eric Raymond e "The Devil's DP Dictionary" by Stan Kelly-Bootle.

24/7
The window of time in which systems are most vulnerable to attack.

Access Control List (ACL)
The operating system file that gives users access to files and programs they have no good reason to access.

Analyst
A mercenary paid vast sums of money to tell you that your systems can't be secured.

Back door
A hacker's front door.

Backup
A process you don't need until you don't do it.

BC/DR (Business Continuity/Disaster Recovery Planning)
An alternate spelling for "CISO".

Biometrics
Strong authentication mechanism that streamlines insider attacks.

Bot
See "Zombie".

Business case
A creative writing project, the quality of which is directly proportional to your security budget.

Client/server
Two types of easily hacked computers.

Clean desk policy
What document users admit to ignoring during your intellectual property theft investigation.

Confidentiality, integrity and availability
The three great myths of the Internet Age.

Crackers
Hackers.

Cryptography
The science of applying a complex set of mathematical algorithms to sensitive data with the aim of making Bruce Schneier exceedingly rich.

Cybercrime
Crime.

Distributed Denial of Service (DDoS)
See "Bot".

Downtime
Refers to computer systems' natural state; the opposite of anticipated downtime.

E-Commerce
A historical fad (fashion) from the late '90s meant to generate hundreds of billions of dollars in new profits; the inciting factor that generated hundreds of billions of dollars being spent on security products.

Firewalls
Speed bumps.

Hackers
Self-righteous crackers.

Help desk
A place where rude people read instruction manuals to confused people over the phone, for a fee.

Identity theft
The transfer of your personally identifying information from corporations that want to exploit it to hackers who want to exploit it.

Intrusion Detection Systems (IDS)
Log file generators.

JOOTT ("jute")
Acronym for Just One Of Those Things; the primary explanation for most information security problems.

Laptop
A computer designed to allow employees to easily store vast amounts of customer data in the backseat of a taxicab.

Logging
The practice of filling shelves with printouts.

Logical security
A goal; also, an oxymoron (contradition).

Mission critical
Term used to help hackers identify their targets.

Non-repudiation
The opposite of repudiation; repudiation, only not.

O.S. hardening
An attempt to secure your operating system against the next hack by closing the hole used by the previous one

Passwords
Authentication tool that, when properly implemented, drives growth at the help desk

Patching
A mandatory fool's errand.

Pharming and phishing
Ways to obtain phood (i. e. food).

PKI (Public-Key Infrastructure)
A system designed to transfer all of the complexities of strong authentication onto end users.

Regression testing
The process by which you learn how the patches that fixed your system also broke your system.

Road warriors
Traveling employees responsible for delivering malicious code back to headquarters.

Scope creep
Stage three of the standard software development model.

Security administrator
Firefighter.

Security officer
Fall guy.

Total Cost of Ownership (TCO)
In security, an incalculable number always equal to or greater than the budget.

Upgrade
The process by which you introduce new vulnerabilities into software.

Virus
Sort of like a worm, but not exactly.

Worm
Similar to a virus, but different.

Zombie
See "Distributed Denial of Service".

Publicado em

Directory organized by subject, including Security.

O ano de 2005 em retrospectiva

2006-01-02T10:24:00.000Z

No final de mais um ano pautado pela insegurança da informação, chegou o momento de passar em retrospectiva alguns dos eventos e acontecimentos mais relevantes ou marcantes no que concerne a esta problemática.

2005 foi um ano profícuo no que diz respeito a casos evidentes de insegurança da informação: além do já previsto aumento do número e complexidade dos ataques de phishing, verificou-se o aparecimento de um novo tipo de ataque – o pharming; por outro lado, assistimos ainda a um caso de espionagem industrial com recurso a spyware que teve por palco Israel, mas que depressa tomou contornos internacionais, atendendo a que os acusados apresentavam nacionalidade inglesa; outra tendência cada vez mais concreta prende-se com o desenvolvimento e disseminação de código malicioso com o objectivo de alcançar ganhos financeiros, ao invés de fazê-lo ‘apenas’ para reconhecimento do atacante, até há pouco tempo a principal motivação dos autores dos vírus.

Também os casos de roubo de identidade se multiplicaram durante o ano de 2005, sendo que a estimativa do valor total das perdas associadas a estes e outros ataques realizados on-line (incluindo extorsão e fraude), tenham excedido os montantes gerados pelo tráfico de estupefacientes; o número de botnets existentes e do recurso a key loggers e a trojans para acesso não autorizado a sistemas informáticos pautaram igualmente pela negativa a realidade das organizações a nível internacional; por fim, é penoso constatar que as pessoas continuam a ser consideradas uma das maiores fontes de ameaças à segurança da informação e que a engenharia social permanece uma prática comum, ainda que cada vez mais sofisticada, através da persuasão dos utilizadores a abrirem um determinado anexo de e-mail ou a visitarem um link fornecido também via e-mail, por exemplo.

Mas nem tudo foi mau em 2005; entre laptops furtados e cópias de backup perdidas, entre o aumento do número de vírus capazes de infectar telemóveis e simples descuidos que resultaram em significativas quebras de segurança, alguns aspectos positivos caracterizam o ano de 2005:

a revisão do referencial internacional ISO/IEC 17799 e a tão esperada publicação da BS 7799-2 enquanto norma internacional, tomando a designação de ISO/IEC 27001 e dando origem à família ISO 27000;
o aumento, ainda que singelo, da sensibilidade das organizações e particulares para com a problemática da insegurança da informação e ao nível das ameaças e riscos que sobre esta pairam, bem como o aumento da procura de formação e certificações por parte de profissionais da segurança da informação, atendendo à constatação de que a aquisição e implementação de tecnologia não resolve, por si só, os problemas com que as organizações se deparam;
a tão aguardada criação da Autoridade Reguladora dos mecanismos de certificação electrónica do Estado Português, responsável pela criação e garantia dos meios de autenticação seguros para a transmissão electrónica de dados no âmbito deste;
o surgimento da iniciativa Comunidade ISMS Portugal, um Weblog dedicado à divulgação de notícias e eventos nacionais e internacionais relacionados com a Segurança da Informação, constituída por profissionais da segurança da informação; o desenvolvimento, também em Portugal, de uma Estrutura Nacional de Segurança da Informação (ENSI), projecto que conta com a colaboração do Gabinete Nacional de Segurança, ANACOM, FCCN e UMIC;
e por fim, não podíamos deixar de mencionar a realização em Portugal, da primeira acção de formação (segunda a nível internacional) ‘ISO/IEC 27001 Auditor Coordenador’ no passado mês de Novembro.

Avaliando tanto os aspectos positivos como os negativos verificados em 2005, podemos constatar que a insegurança da informação é ainda uma realidade no dia-a-dia de particulares e das organizações, e prever que continuará a sê-lo, caso estas não adoptem uma postura pró-activa face a esta problemática e fomentem uma cultura de segurança junto dos seus colaboradores, clientes, fornecedores e parceiros de negócio. Muito se encontra ainda por fazer a este nível, contudo a evolução verificada, lenta mas sustentada, traz alento à expectativa do alcance da segurança da informação, porque esta começa em nós.

Texto de Maria Manuela Gaivéo, Consultora de Segurança da Informação.
Sinfic.

The Best of 2005

2005-12-28T17:59:00.000Z

Uma selecção dos melhores artigos publicados no ano 2005.

Lista das normas 27000 de Segurança de Informação
Do ISO 27000 ao ISO 27006.

As novidades da ISO 27001
O que a ISO 27001 difere da BS 7799?

Nova versão da ISO 17799

As novidades do Código de Boas Práticas.

Catálogos de segurança

Descubra o que o ISO 17799, CobiT, GAISP e NIST têm em comum.

Careers in Information Security

What are the certifications and profiles in this field? By Anup Narayanan.

O que eu não gostaria, mas preciso dizer sobre segurança

As várias ópticas em relação à Segurança da Informação. Por Marcos Sêmola.

Etapa I - Determinação do âmbito
Primeiro de uma série de artigos sobre o processo de implementação de um Sistema de Gestão de Segurança da Informação.

Metodologias de análise de risco

ISO 27001 vs GMITS, CRAMM, OCTAVE, CORAS, NIST 800-30 e IT Baseline Protection Manual.

Relatórios de implementação
Um conjunto de artigos sobre implementações reais de gestão de Segurança da Informação.

Técnicas de ataques em redes Wireless
Descubra como a sua rede wireless pode ser atacada e veja como pode verificar a sua segurança.
Por Denny Roger.

Lista dos melhores sites
Conhece os melhores sites de Segurança da Informação? Veja e vote nos seus favoritos.

Leia também

2005 em retrospectiva

Site oficial das normas de Segurança da Informação

2005-12-28T17:08:00.000Z

O grupo de trabalho responsável pelas normas 27000 disponibilizou recentemente um conjunto de apresentações, das quais destacamos:

TedHumphreys_SC27WokshopDec2005 - explica as novos standard da série 27000.

APlate_BerlinSC27WokshopDec2005 - referente às mudanças da nova edição do código de boas práticas (ISO 17799), como pode ver pela imagem em baixo.

Ambas apresentações estão disponíveis aqui.
Pode aproveitar para visitar o site do grupo de editores das normas aqui.

As 6 ideias mais estúpidas de segurança informática

2005-12-01T18:16:00.000Z

Para Marcus J. Ranun, um dos criadores da proxy firewall, as piores 6 ideias para a insegurança informática são:

Permissões por defeito.
Enumeração do que é mau e perigoso.
Penetrar e corrigir (segundo o autor os patchs não são assim tão eficazes).
É errado pensar que fazer hacking é fixe (apesar de não crime).
Educação dos utilizadores (discordo desta ideia, o humaware têm de ser instruído a não criar tantos problemas).
Acção é melhor que a inacção.

Descubra os motivos desta selecção no texto do autor.

Descobrimos esta informação no blog teKnoW do Prof. Carlos Serrão (ISCTE).

Técnicas de ataques em redes Wireless

2005-11-30T17:03:00.000Z

Ao mesmo tempo em que as redes wireless podem trazer praticidade, produtividade e até mesmo economia, elas representam um aumento de riscos aos processos de negócios, se não forem implementadas de modo adequado. Os perigos da utilização indiscriminada dessas redes são grandes.

Vamos discutir algumas técnicas de ataque às redes wireless neste artigo com o objetivo de minimizar os riscos.

As redes sem fio tornam-se cada vez mais comuns e maiores, justificadas pela busca de praticidade e acessibilidade nos meios de comunicação. A realização de negócios ou a compra de quaisquer tipos de produtos, por exemplo, estão cada vez mais sendo realizados através de telefones celulares ou redes wireless (públicas ou privadas).

Um estudo do Gartner estima que até 2006, quase metade de todos os equipamentos possuirá suporte a tecnologia wireless. Outro estudo, do IDC, estima que no mesmo período o mercado de equipamentos de redes sem fio crescerá a uma taxa anual de 41%. Ao mesmo tempo, o suporte a redes wireless em PDAs e telefones celulares também tem como tendência um grande crescimento.

Hoje você pode ter uma rede wireless em sua casa sem o seu conhecimento. Por exemplo, no site

http://www.bluetooth.com/products/ você poderá encontrar uma relação de produtos que utilizam comunicação sem fio, com alcance entre 10 a 100 metros.

Principal fator de risco
Uma rede wireless mal projetadas pode driblar todo o arsenal de defesa já implementado. Vamos imaginar a seguinte situação: sua empresa colocou uma muralha (o firewall) para proteção dos ataques. Porém, a muralha é completamente ineficiente contra os ataques aéreos (wireless). Antes de começar a implementar uma rede wireless, faça um planejamento e estude toda a topologia da rede. Não se esqueça de evitar os ataques aéreos!

War Driving
Um dos ataques mais comuns e comentados em redes wireless é o War Driving. Esse ataque tira proveito de uma característica fundamental: é difícil controlar e limitar o alcance de redes wireless. O atacante pode estar neste exato momento "passeando" no seu carro e com o laptop ligado "procurando" redes wireless vulneráveis.

Ataque ao protocolo WEP
As informações que trafegam em uma rede wireless podem ser criptografadas. O protocolo WEP (Wired Equivalent Privacy) aplica criptografia avançada ao sinal e verifica os dados com uma "chave de segurança" eletrônica.

Porém, a Universidade de Berkeley revelou a possibilidade de alguns tipos de ataques que exploram falhas no algoritmo WEP. Baseados em análises que exploram fraquezas do algoritmo RC4, uma senha WEP pode ser descoberta.

Humphrey Cheung escreveu o artivo How To Crack WEP, descrevendo passo a passo como descobrir a senha do protocolo WEP. Acesse http://www.tomsnetworking.com/Sections-article118-page1.php.

Cuidado com os SSIDs padrões
Os SSIDs padrões são conhecidos e estão sujeitos a ataques de força bruta. Além disso, eles trafegam em modo "clear text" e podem ser alvos de sniffing.

MAC spoofing e sessão hijacking
É relativamente simples você "forjar" o endereço físico da sua placa de rede. O programa SMAC pode ajudá-lo a alterar o MAC Address do seu sistema Windows. Para download da ferramenta, acesse

http://www.klcconsulting.net/smac/. É importante observar que cada frame tem um endereço de origem, mas não existem garantias que a máquina que envia o frame é realmente a que põe o frame na rede. Dessa forma, é possível realizar ataques de spoofing dos frames da máquina de origem.

Ataques clássicos do TCP/IP

ARP Spoofing
Neste caso, o atacante redireciona todo o tráfego via spoofing (falsificação) do endereço MAC, para sua máquina. Utilize a ferramenta SMAC para testar a segurança da sua rede.

DNS Spoofing
O atacante pode redirecionar todo o tráfego via adulteração dos pacotes DNS. Mais informações sobre esta técnica podem ser obtidas através do site http://www.sans.org/rr/whitepapers/dns/1567.php.

Smurf
O Smurf é um ataque pelo qual um grande tráfego de pacotes ping (ICMP Echo) é enviado para o endereço de IP de broadcast da rede. Porém, a origem é o endereço IP falsificado (IP spoofing) da vítima. As máquinas da rede recebem a requisição ICMP echo, passando todas as máquinas a responderem para o endereço de origem falsificado. Dessa forma, a vítima que teve seu endereço falsificado, recebe os pacotes de todas máquinas da rede. Para mais informações sobre essa técnica, acesse http://www.cert.org/advisories/CA-1998-01.html.

DHCP Spoofing
O atacante pode colocar um servidor DHCP impostor próximo a sua rede wireless, forçando uma configuração imprópria das estações de trabalho da rede.

Ataques de engenharia elétrica
A antena utilizada em uma rede wireless emite um sinal na freqüência de 2.4 GHz (freqüência livre para operação) que é a mesma freqüência dos fornos de microondas. É possível utilizar um magnetron de um forno microondas para gerar uma interferência elétrica na antena Wireless.

Conclusão
Este artigo demonstrou apenas algumas técnicas de ataques as redes wireless. Recomendo que você sempre realize uma análise de segurança para minimizar grandes dores de cabeça e prejuízos. Sempre imagine sua rede wireless como uma rede externa. Ou seja, crie uma DMZ só para sua rede wireless. Utilize sempre criptografia nas comunicações entre dispositivos autorizados na rede wireless. Você pode utilizar proteções adicionais, tais como: SSH ou o IPSec. Utilize as ferramentas disponíveis nos sites abaixo para testar a segurança da sua rede wireless:

NetStumbler (http://www.netstumbler.com/)
WarLinux (http://sourceforge.net/projects/warlinux/)
AirSnort (http://sourceforge.net/projects/airsnort)
WepCrack (http://sourceforge.net/projects/wepcrack)

Texto de Denny Roger. Membro da Comunidade ISMS PT. Especialista nas áreas de projeto de rede segura e intrusão de rede, liderando regularmente os esforços de teste de invasão na Batori Software & Security, onde pode demonstrar, em primeira mão, sobre o impacto das vulnerabilidades da rede no dia-a-dia.
www.batori.com.br

Etapa I: Determinação do âmbito do SGSI

2005-11-29T19:48:00.000Z

Iniciamos hoje uma série de artigos sobre as principais fases de um processo de implementação de um Sistema de Gestão de Segurança da Informação.

A BSI (British Standards Intitution), é a entidade responsável pelo desenvolvimento das normas BS 7799-1 (actualmente ISO/IEC 17799:2005), referencial de excelência no que concerne às práticas de gestão da segurança da informação) e BS 7799-2:2005 (actual ISO/IEC 27001), norma que especifica os requisitos para o estabelecimento, implementação, revisão, manutenção e melhoria continua de um ISMS (Information Security Management System - Sistema de Gestão de Segurança da Informação).

Adicionalmente a BSI desenvolveu uma metodologia para possibilitar a implementação efectiva de um sistema desta natureza, por parte de qualquer organização. Esta metodologia, composta por dez fases distintas inicia-se precisamente pela determinação do âmbito do sistema de gestão de segurança da informação.

Quando uma organização considera ou dá início ao processo de implementação dos controlos da ISO/IEC 17799:2005 e/ou de um ISMS, tem por objectivo a garantia da confidencialidade, integridade e disponibilidade da informação crítica de negócio da organização, mas também a segurança das infra-estruturas que a suportam, no sentido de assegurar a continuidade do seu próprio negócio na eventualidade de um conjunto de ocorrências que o possam colocar em causa. Indispensáveis à continuidade do negócio são sem dúvida, os seus processos críticos e os recursos que lhes estão alocados ou associados, pelo que a definição do âmbito de um ISMS deve começar precisamente por determinar quais são estes processos e recursos e cingir-se o mais possível a estes pelo menos na fase inicial do ISMS.

Este facto não significa que de futuro e uma vez implementado e certificado o ISMS, a organização não alargue ou estenda o seu âmbito a outros processos de negócio cuja criticidade é também ela significativa, contudo, uma abordagem desta natureza permite um maior controlo sobre as actividades associadas à gestão do ISMS que numa primeira fase podem requerer um maior esforço por parte de gestão e demais colaboradores da organização, atendendo à necessidade de definir as políticas e procedimentos pioneiros a este nível.

É extremamente importante salientar que o âmbito definido para um determinado ISMS condiciona todas as etapas que se seguem no processo de implementação, pelo que a decisão sobre o perímetro efectivo de aplicação de um ISMS deve ser gravemente ponderada e estudada, não devendo ser tomada de ânimo leve. Outro aspecto a ter em consideração é o facto de o âmbito de um ISMS não ser ‘forçado’ a cumprir ou respeitar as barreiras organizacionais, ao nível de departamentos, unidades, direcções ou mesmo hierarquia, facto que leva muitas das vezes as organizações a incluir recursos alocados a diferentes unidades, departamentos ou direcções, no âmbito do seu ISMS.

Texto de Maria Manuela Gaivéo

Consultora de Segurança da Informação
Sinfic

Mais informações sobre as normas de segurança

2005-11-27T16:18:00.000Z

1. Artigos:

Lista das normas 27000 de Segurança de Informação
Do ISO 27000 ao ISO 27006.
As novidades da ISO 27001
O que a ISO 27001 difere da BS 7799-2?
Nova versão da ISO/IEC 17799
As novidades do código de boas práticas.

Mais disponíveis na secção de notícias

2. Links externos:

Vantagens da certificação ISO 27001

2005-11-27T14:37:00.000Z

Uma organização ao ser certificada em termos de Gestão da Segurança da Informação obtém, além de outros, os seguintes benefícios:

- Credibilidade comercial

O facto da organização ser reconhecida ao nível da protecção da informação é uma garantia para os seus clientes e parceiros da forma como os seus dados são tratados pela organização.

- Redução de custo
O custo de um único incidente de segurança poderá ser consideravelmente superior ao investimento em sistemas de protecção. Por outro a certificação pode diminuir o custo de eventuais prémios de seguros que tenham como objecto a segurança da organização.

- Cumprimento de leis e regulamentos
A certificação demonstra às autoridades competentes e accionistas que a organização cumpre as leis e regulamentos aplicáveis, tanto do ordenamento jurídico português como regulamentos sectoriais (como o Sarbanes-Oxley ou Basel II).

- Redução do risco de incidentes de segurança
A certificação proporciona um melhor conhecimento dos sistemas de informação, das suas vulnerabilidades e da forma como os proteger, o que resulta num aumento do nível de protecção contra riscos de negócio.