Planejamento de Unidade de Perícia Corporativa

 Levantei os seguintes aspectos introdutórios antes de falar sobre a Unidade de Perícia Corporativa.

a) A perícia computacional corporativa é um tópico que poucas ou quase nenhuma empresa ‘leva a sério’;

b) Quando se tem alguma atividade de pericial computacional é uma iniciativa isolada e por um objetivo específico.

c) Geralmente, esta atividade é feita por pessoa sem competência (falta de conhecimentos especializados) e que trabalham em outras atividades em paralelo, deixando a desejar a qualidade deste processo de análise forense.

Como evitar problemas assim?
Ter na estrutura organizacional da área de segurança da informação uma equipe especializada em pericial computacional, focada nestas atividades, com conhecimentos técnicos, processuais e legais sobre o assunto, e principalmente, com aquiescência da alta administração.

Antes de implementar a perícia computacional, é importante realizar um processo de coleta de dados e informação, e alguns itens devem ser avaliados:

• Política e procedimentos.
• Infraestrutura.
• Controle de acesso.
• Forense.
• Impacto.

Planejamento da Unidade de Perícia Computacional Corporativa

A dificuldade de viabilizar internamente um processo de forense computacional esta diretamente relacionado ao fato que algumas organizações tratam esse assunto como um procedimento simples, sem fazer uso de um processo bem definido e documentado. Algumas perguntas podem ilustrar essa dificuldade:

• Como implementar um processo de análise?
• Quais áreas devem ser envolvidas?
• Quem são os maiores interessados?
• Existem ferramentas?
• Quais os custos envolvidos?
• Quais os benefícios?
• Qual a relação custo-benefício?Quais são os pontos que devem ser levados em consideração no momento de planejar e criar uma estratégia para implantar o processo de perícia (análise) forense computacional?

Ng (2007) diz que esses pontos estão adequados a três grandes pilares: a organização, a estratégia e os processos de análise. Alguns desses pontos são:

• Objetivos da análise: identificar falhas no processo; identificar responsáveis; eliminar fraudes; aprimorar processo; identificar violações de políticas e procedimentos; e punir os responsáveis.
• Custos envolvidos.
• Momento de atuação.
• Princípios.
• Métodos.
• Recursos.
• Treinamentos.
• Motivadores.
• Foco.
• Impacto nos resultados.

Dessa lista, os motivadores são o principal ponto para que a organização inicie e defina seu processo de investigação. De tal modo temos motivadores por planejamento e por eventos. Uma vez que os motivadores estiverem identificados, sejam eles por planejamento ou por evento, será possível definir e planejar detalhadamente a condução de um processo de análise forense dentro da organização.
Os motivadores influenciados por planejamento permitem uma visão mais planejada para a implementação eficaz de um processo de análise forense computacional. Dessa forma, é possível ter uma visão mais clara e pró-ativa, que permite mitigar os riscos existentes e a focar a análise forense computacional neles. Alguns pontos-chave dos motivadores influenciados pelo planejamento são, segundo Ng (2007):

• Continuidade e impactos financeiros.
• Imagem organizacional.
• Compliance.
• Leis e regulamentações.
• Proteção adequada.

Os motivadores influenciados por eventos são os que levam as ações reativas, consequência de as organizações ainda não conseguirem mensurar o quanto um risco pode impactar num determinado processo. Nesse caso, a organização está sempre correndo atrás dos problemas e não se antecipando a eles.

Referências:
UCB Virtual. Disciplina Perícia Computacional. Assunto: A Unidade de Perícia Computacional Corporativa
NG, Reynaldo. Forense computacional corporativa. Rio de Janeiro: Brasport, 2007.

Termos e definições básicas da Segurança da Informação

Existem alguns termos que foram extraídos da NBR-ISO 27001 que são interessantes para o entendimento básico da prática da segurança da informação. Segue abaixo algumas definições:

Ativo:
Qualquer coisa que tenha valor para a organização.

Disponibilidade:
Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.

Confidencialidade:
Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.

Segurança da informação:
Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.

Evento de segurança da informação:

Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Incidente de segurança da informação:
Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Sistema de gestão da segurança da informação -SGSI:
A parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.

Obs: O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.

Integridade:
Propriedade de salvaguarda da exatidão e completeza de ativos.

Risco residual:
Risco remanescente após o tratamento de riscos.

Aceitação do risco:
Decisão de aceitar um risco.

Análise de riscos:
Uso sistemático de informações para identificar fontes e estimar o risco.

Análise/avaliação de riscos:
Processo completo de análise e avaliação de riscos.

Avaliação de riscos:
Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.

Gestão de riscos:
Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.

Referência:

ABNT NBR ISO/IEC 27001

Introdução a Segurança em Banco de dados

Segurança de banco de dados mudou radicalmente nos últimos anos e ultrapassou o crescimento do mercado de segurança em geral. A criação do nível recorde de acesso via queries de consulta e modificações virtual privada de banco de dados e a capacidade de realizar auditoria são dois exemplos dessas mudanças.
Para alcançar a segurança necessária para projetos no ambiente atual, você deve compreender não só como as coisas funcionam, mas também porque trabalham. A intenção de um produto ou tecnologia é a primeira pista para compreender a sua utilidade e aplicabilidade de seus projetos de banco de dados. 

A evolução das tecnologias

Modelos de tecnologia simples sempre foram usados para explicar sistemas complexos, e um modelo pode ser usado para explicar a segurança também. Segurança pode ser descrito como uma compreensão de quem tem acesso ao que, a partir de onde, quando e como. A segurança física e segurança digital são largamente centrada sobre a capacidade de controlar todos os aspectos de pessoas e coisas interagindo entre si.

Com isto em mente, pense como a segurança tem evoluído. Segurança está centrada em  implicações em torno de duas coisas: a identificação do usuário para fins de auditoria e prestação de contas e controles de acesso para permitir ou impedir que os usuários executem ações específicas ou acessem dados específicos. Na seqüência, temos a tendência de pensar no processo de segurança, como identificação e autenticação que (autorização e controle de acesso) tem acesso a quê, onde e quando e como (via auditoria). Vamos traduzir isso em como a tecnologia da Oracle tem evoluído ao longo do tempo.

Nos primeiros anos, a maior parte de segurança da Oracle foi baseada no conceito de um usuário de banco de dados, no qual o usuário se conecta diretamente a base de dados e possui uma conta, privado dedicado.  

Como você sabe, em um banco de dados Oracle, um usuário e um esquema são consideradas a mesma coisa. As razões para isso são muitos, mas para o arquiteto de segurança, isso pode representar alguns problemas. Os controles de acesso e auditoria no banco de dados Oracle são otimizados para a noção de usuários que se conectam diretamente a esquemas de banco de dados. O problema é que, no entanto, que a construção de uma aplicação é hoje diferente do que foi quando muitos dos modelos de segurança de base foram concebidos.

Nos próximos artigos será feito um detalhamento maior sobre como aplicar a Segurança em base de dados Oracle.

Referências:

David C. Knox, Scott G. Gaetjen, Hamza Jahangir, Tyler Muth, Patrick Sack, Richard Wark, Bryan Wise. Applied Oracle Security: Developing Secure Database and Middleware Environments. McGraw Hill, 2010.

Classificação da Informação

 Processo de classificação da informação permite identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção necessários a cada uma delas.

A primeira legislação específica no Brasil sobre Classificação da Informação em âmbito militar/governamental foi sancionada pelo ex-presidente Fernando Collor, em 8 de janeiro de 1991. Essa Lei possui alguns artigos a serem regulamentados através de decretos, como o art.23, que aborda os níveis de classificação.

Benefícios da classificação

O ciclo de vida da informação passa por fazes do uso até o descarte, por isso é preciso adotarmos uma visão com intuito de proteger as informações de ameaças e vulnerabilidades que o local por onde essa informação transita pode oferecer. Quanto maior o nível de proteção que um controle oferece, maiores são custos financeiros em termos de aquisição e manutenção e é preciso realizar o provisionamento com um requinte de detalhes maior. Dentre os benefícios visíveis que notamos com a adoção da classificação podemos descatar:

• Concientização: Um efetivo programa de classificação da informação requer o envolvimento de praticamente todas as pessoas dentro de uma organização.

• Responsabilidades: A classificação da informação necessita de uma divisão e atribuição de responsabilidades

• Níveis de proteção: Muitas vezes, um efetivo e bem implementado programa de classificação da informação é a maneira mais eficaz de protegermos as informações realmente importantes na organização.

Política de Classificação da Informação

Há diversos tipos de informação que requerem proteção especial. Alguns exemplos muito comuns:

• base de dados de clientes e fornecedores;
• segredos industriais;
• balanços financeiros;
• informações pessoais.

Essa classificação visa um tipo de informação específica com objetivo de tornar o processo prático e eficaz.

Exemplo da classificação da informação:

Meio Governamental Brasileiro	Empresa Privada
Ultra-secreto	Interna
Secreto	Pública
Confidencial	Restrita
Reservado	Privada

Referências:
Disciplina Segurança e Auditoria de Sistemas do curso de Graduação em Tecnologia em Segurança da Informação da UCB Virtual, assunto Classificação da Informação.

Cenários comuns da prática da perícia computacional

Falando um pouco mais sobre os cenários mais comuns da prática da perícia computacional, atualmente, muitos incidentes de segurança estão relacionados à web, ou seja, das vulnerabilidades na web, e o simples desligamento de um funcionário pode acarretar danos materiais irreversíveis a empresa pelo simples fato do "CTRL+C e CRTL+V". Para tanto, profissionais de computação forense com bagagem em programação e banco de dados possuem uma demanda muito grande para serviços de auditoria de log, análise de código fonte, etc. O perito computacional ao fazer o seu trabalho, pode ter acesso à informações do cliente que são dados estratégicos da companhia, que uma vez divulgados na internet, acarretariam enormes consequências, como uma falência, por exemplo.
Cito abaixo alguns casos onde existe cenários a serem explorados pela perícia computacional:

• Busca e preservação de evidências para suporte a processos judiciais, tais evidências poderão ou não transformar-se em provas;
• Evasão (furto, roubo, etc.) de informação;
• Análise de Invasões de computadores;
• Análise de abusos de propriedade intelectual violada;
• Controle de políticas e normas corporativas de segurança da informação;
• Estabelecimento da ordem cronológica de eventos ocorridos nos computadores

Um artigo interessante da Advogada Patrícia Peck aborda sobre um cenário típico hoje em dia nas empresas: Furto de dados por funcionários aumenta em tempos de crise. Vale a pena fazer uma leitura.



Referências:
Marcos Monteiro. Disponível em
http://marcosmonteiro.com.br/index.php?option=com_content&view=article&id=86:furto-de-dados&catid=43:pericia-computacional-forense&Itemid=71. Acesso em 23 de agosto de 2010.

Respostas do último Quiz Night

De acordo com a ISO 17799 a disponibilidade da informação é um atributo de que a informação deve estar disponível para qualquer pessoa da organização 24 horas por dia durante 7 dias da semana.

a. Verdadeiro

b. Falso ( apenas para pessoa AUTORIZADA)

2) Uma eficaz implementação de segurança se baseia na utilização de tipos diferentes de proteções que se complementam, sobrepõem-se e fornecem redundância entre si, caso alguma delas falhe ou seja violada.

a. Verdadeiro

b. Falso

3) O nome proteção é atribuído às medidas que visam livrar os ativos de situações que possam trazer prejuízo à organização. Da mesma maneira que os ativos, elas também podem ser classificadas de diversas formas. São exemplos de Proteção?

Proteção lógica: Permissão em sistemas de arquivos, firewalls, controle de acesso de usuários em aplicações.

Proteção administrativa: Conjunto de regras e procedimentos, políticas de segurança, boletins semanais de segurança

Proteção física: Proteção de Portas, fechaduras, trincos e equipamentos de biometria.

4) Segundo a ISO/IEC 17799:2000, a segurança da informação é caracterizada pela preservação dos três atributos básicos da informação:

a. Formato, Conteúdo, Tempo

b. Confidencialidade, Temporalidade, não repúdio

c. Confidencialidade, Integridade. Disponibilidade

d. Valor, Disponibilidade, Tempo


Até a próxima!

Quiz Night: Segurança e Auditoria de Sistemas I

1) De acordo com a ISO 17799 a disponibilidade da informação é um atributo de que a informação deve estar disponível para qualquer pessoa da organização 24 horas por dia durante 7 dias da semana.
a. Verdadeiro
b. Falso

2) Uma eficaz implementação de segurança se baseia na utilização de tipos diferentes de proteções que se complementam, sobrepõem-se e fornecem redundância entre si, caso alguma delas falhe ou seja violada.
a. Verdadeiro
b. Falso

3) O nome proteção é atribuído às medidas que visam livrar os ativos de situações que possam trazer prejuízo à organização. Da mesma maneira que os ativos, elas também podem ser classificadas de diversas formas. São exemplos de Proteção?

4) Segundo a ISO/IEC 17799:2000, a segurança da informação é caracterizada pela preservação dos três atributos básicos da informação:

a. Formato, Conteúdo, Tempo
b. Confidencialidade, Temporalidade, não repúdio
c. Confidencialidade, Integridade. Disponibilidade
d. Valor, Disponibilidade, Tempo

No próximo post digo as respostas!

Abs!

Como sensibilizar a Segurança da Informação nas empresas?

Muitas são as formas de iniciar a construção da cultura de segurança. Algumas delas se aplicam a públicos com perfis diferentes; outras se aplicam a todos os perfis, mas em momentos distintos.

Alguns agentes motivadores da cultura organizacional em pró da segurança:

• Seminários: O trabalho deve começar com seminários abertos voltados a compartilhar a percepção dos riscos associados às atividades da empresa, os impactos potenciais ao negócio e, principalmente, o comprometimento dos processos críticos se alguma ameaça se concretizar;

• Campanha de Divulgação: É importante que a empresa disponha de uma política de segurança atualizada e alinhada às necessidades e estratégias do negócio, mas é fundamental que ela seja reconhecida pelos funcionários como o manual de segurança da empresa. Lembrando que os resultados efetivos de comprometimento ocorrem lentamente e, muitas vezes, requerem ações complementares. Pode ser usado na campanha diversos artifícios para comunicar os padrões e instruções operacionais como cartazes, jogos, peças promocionais, protetores de tela, e-mails informativos, e-mails de alerta, comunicados inernos, páginas especiais na Internet;

• Carta do Presidente: Tem o papel de oficializar os interesses da empresa em adequar o nível de segurança de suas informações de todos os níveis hierárquicos partindo que é conveniente estimulado a partir do Presidente, diretor e membros de conselhos superiores visa fortalecer o plano estratégico de segurança da informação;

Exitem outros itens também como Termo de Responsabilidade e Confidencialidade, cursos de capacitação e certificação.

Qual a importância do Estudo da Forense Computacional?

Com estudo da Forense Computacional podemos definir técnicas para a identificação e coleta de evidências digitais sendo essencial para uma possível ação judicial contra o autor de um ataque bem sucedido. Este fato, faz com que a criação de metodologias para identificar evidências se torne um dos pontos mais importantes de uma análise forense computacional. Analisando o cenário mundial analisamos que a importância se deve principalmente pelos seguintes aspectos:

• Alta dependência da Tecnologia da Informação;
• Virutalização da Sociedade (comunidades on-line, ex: Facebook, twitter, Orkut)
• Alta oferta de serviços on-line, desde instituições financeiras, até supermercados;
• Empresas tangendo e apoiando suas estratégias em componentes tecnológicos: significa fazer mais, melhor e com mais controle, em menor tempo  e com menor custo.

Segundo estatísticas do CERT.br os incidentes de segurança da informação crescem 191% em 2006, fraudes com aumento de 53%. Devido a este cenário precisamos obter conhecimento para realizar uma perícia melhor utilizando técnicas em Forense Computacional.

Referências:

Slideshare, Introdução à Computação Forense. Disponível em: http://www.slideshare.net/datasecurity1/introduo-forense-computacional. Acesso em 12 agosto 2010.

Inventário - Vulnerabilidades x Ativos x ISO 17799

Sêmola (2003) diz que em qualquer iniciativa de solução é preciso identificar primeiramente o problema com requinte de detalhes e segmentá-lo de forma a permitir maior profundidade na análise de suas características.

Nas empresas o desafio é realizar ações que mapeiem e identifiquem ameaças, vulnerabilidades, riscos, sensibilidades e impactos, a fim de permitir o adequado dimensionamento e modelagem da situação.

Para iniciar esse mapeamento, abaixo listei conforme a proposta deste artigo um inventário dos principais ativos atingidos pela vulnerabilidade apresentada associada a cláusula correspondente da ISO 17799.

Inventário (ISO 17799 aplicável)
Vulnerabilidade	Ativo	Cláusula aplicável
Não foi restingido o monitoramento de acesso a recursos (inclusive críticos) por parte dos usuários.	Servidores, Desktops, impressoras, scanners	15.1.5 Prevenção de mau uso de recursos de processamento da informação.
As listas de controle de acesso (ACLs) não tem verificação periódica.	Informações	11.4.6 Controle de conexão de rede.
Os horários de logon e uso de recursos computacionais é ilimitado.	Rede de computadores e materiais	11.5.6 Limitação de horário de conexão.
Não há controle adequado de entrada/saída de visitantes.	Recursos computacionais e informações	9.1.2 Controles de entrada física.
O acesso a computadores e impressoras que manipulam informações confidenciais não é restrito adequadamente	Informações	6.1.5 Acordos de confidencialidade e 9 Segurança física e do ambiente.
Durante a construção do prédio, não foram utilizados materiais resistentes à ação do fogo, nem a instalação de para-raios.	Todos	9.1.1 Perímetro de segurança física.
Os funcionários não têm conhecimento a respeito de procedimentos de uso dos dispositivos para emergências, tais como extintores de incêndio.	Todos	9.1.4 Proteção contra ameaças externas e do meio ambiente.
O grupo moto-gerador é antigo, não confiável e pequeno em relação ao prédio da Matriz.	Todos ( Falta de energia e falha no funcionamento do grupo moto-gerador)	9.2.2 Utilidades.
O descarte de material eletrônico, dispositivos e documentos em papel é feito sem controle.	Informação (Parte do ciclo de vida da informação, o descarte deve ser adotado critérios sob controle da empresa).	10.7.2 Descarte de mídias.
Há contas/senhas de ex-funcionários. habilitadas	Informação (ex-colaboradores ainda com acesso ao sistema)	8.3 Encerramento ou mudança de contratação; 8.3.3 Retirada de direitos de acesso.