Arquivo

Arquivo do Autor

Vamos falar um pouco sobre NIST – volume 2 – Protect

15 de novembro de 2019 Deixe um comentário

Saudações,

Este volume demorou pra sair porque estive ocupado em demasia com outros projetos no trabalho do meu MBA, mas vamos em frente.

Em continuidade à nossa série de posts sobre o framwork NIST, vamos agora entrar na próxima função – Protect (Proteger).

Pra quem ainda não leu os volumes anteriores da série, segue abaixo os links:

Vamos falar um pouco sobre o NIST – Introdução

Vamos falar um pouco sobre o NIST – volum1 1 – Identity

O intuito do post de hoje é discorrer um pouco sobre a função “Protect” e suas categorias para que, com o entendimento necessário, possamos pensar em estratégias de gestão para Segurança e a correta implementação do framework.

Identity Management, Authentication and Access Control – PR.AC

Neste tópico o framework fala da importância dos processos de gestão em acessos físicos e lógicos em sua empresa.

Em termos de acesso físico, o controle que começa na análise do entorno, prédio e entrada na empresa. Em Segurança da Informação chamamos de “Anéis de Proteção”, uma metodologia que contempla o controle de acesso desde o entorno físico até o dado propriamente dito.

O exposto acima engloba os tipos de acesso ao ambiente físico… salas, data center, locais específicos os quais representem um risco à companhia quando do acesso de pessoas sem autorização, sejam funcionários ou visitantes.

Empresas de call center, principalmente aquelas que processam informações de cartão de crédito onde não só o local deve ser protegido contra acessos indevidos, mas, também as devidas segregações de função no aspecto físico deverão ser executadas.

Departamentos que trabalham com informações sensíveis também devem ser isolados física e logicamente, tais como RH, Financeiro, Alta Gestão, etc.

É necessário medir o risco associado a cada uma das opções acima para providenciar o devido controle de acesso a estes lugares.

Seja pelo isolamento físico, até a instalação de sistemas de controle com biometria ou iris do olho, e por aí vai.

Na parte lógica deste item, ter certeza de que todos os acessos se dêm a partir de uma autenticação com uma política de senhas devidamente qualificada e métodos adicionais de autenticação que deverão ser definidos de acordo com a criticidade do acesso (ex: Token, PIN, MFA, etc).

A segregação de redes também é um ponto importante dessa categoria. Pode ser feita a partir de regras no roteador criando redes e definindo controles de acesso a elas, ou até mesmo via camada de software.

Acessos a sistemas, pastas e documentos da rede deverão ser devidamente definidos usando a métrica do “Least Privilege” (mínimo privilégio) para que o usuário acesse somente aquilo que seja inerente a suas funções.

Ao menos semestralmente uma revisão de acessos deverá ser executada a fim de que se garanta a integridade dos acessos concedidos aos usuários de cada setor, tanto no âmbito físico, quanto lógico, sendo esse item de auditoria.

Segue as sub-categorias e a documentação referenciada:

– PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes:

CIS CSC 1, 5, 15, 16, COBIT 5 DSS05.04, DSS06.03, ISA 62443-2-1:2009 4.3.3.5.1,
ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.3, SR 1.4, SR 1.5, SR 1.7, SR 1.8, SR 1.9,
ISO/IEC 27001:2013 A.9.2.1, A.9.2.2, A.9.2.3, A.9.2.4, A.9.2.6, A.9.3.1, A.9.4.2, A.9.4.3,
NIST SP 800-53 Rev. 4 AC-1, AC-2, IA-1, IA-2, IA-3, IA-4, IA-5, IA-6, IA-7, IA-8, IA-9, IA-10, IA-11

– PR.AC-2: Physical access to assets is managed and protected:

COBIT 5 DSS01.04, DSS05.05, ISA 62443-2-1:2009 4.3.3.3.2, 4.3.3.3.8,
ISO/IEC 27001:2013 A.11.1.1, A.11.1.2, A.11.1.3, A.11.1.4, A.11.1.5, A.11.1.6, A.11.2.1, A.11.2.3, A.11.2.5, A.11.2.6, A.11.2.7, A.11.2.8,
NIST SP 800-53 Rev. 4 PE-2, PE-3, PE-4, PE-5, PE-6, PE-8

– PR.AC-3: Remote access is managed:

CIS CSC 12, COBIT 5 APO13.01, DSS01.04, DSS05.03, ISA 62443-2-1:2009 4.3.3.6.6,
ISA 62443-3-3:2013 SR 1.13, SR 2.6, ISO/IEC 27001:2013 A.6.2.1, A.6.2.2, A.11.2.6, A.13.1.1, A.13.2.1, NIST SP 800-53 Rev. 4 AC-1, AC-17, AC-19, AC-20, SC-15

– PR.AC-4: Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties:

CIS CSC 3, 5, 12, 14, 15, 16, 18, COBIT 5 DSS05.04, ISA 62443-2-1:2009 4.3.3.7.3, ISA 62443-3-3:2013 SR 2.1, ISO/IEC 27001:2013 A.6.1.2, A.9.1.2, A.9.2.3, A.9.4.1, A.9.4.4, A.9.4.5, NIST SP 800-53 Rev. 4 AC-1, AC-2, AC-3, AC-5, AC-6, AC-14, AC-16, AC-24

– PR.AC-5: Network integrity is protected (e.g., network segregation, network segmentation):

CIS CSC 9, 14, 15, 18, COBIT 5 DSS01.05, DSS05.02, ISA 62443-2-1:2009 4.3.3.4, ISA 62443-3-3:2013 SR 3.1, SR 3.8, ISO/IEC 27001:2013 A.13.1.1, A.13.1.3, A.13.2.1, A.14.1.2, A.14.1.3, NIST SP 800-53 Rev. 4 AC-4, AC-10, SC-7

– PR.AC-6: Identities are proofed and bound to credentials and asserted in interactions:

CIS CSC, 16, COBIT 5 DSS05.04, DSS05.05, DSS05.07, DSS06.03, ISA 62443-2-1:2009 4.3.3.2.2, 4.3.3.5.2, 4.3.3.7.2, 4.3.3.7.4, ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.4, SR 1.5, SR 1.9, SR 2.1, ISO/IEC 27001:2013, A.7.1.1, A.9.2.1, NIST SP 800-53 Rev. 4 AC-1, AC-2, AC-3, AC-16, AC-19, AC-24, IA-1, IA-2, IA-4, IA-5, IA-8, PE-2, PS-3

– PR.AC-7: Users, devices, and other assets are authenticated (e.g., single-factor, multi-factor) commensurate with the risk of the transaction (e.g., individuals’ security and privacy risks and other organizational risks):

CIS CSC 1, 12, 15, 16, COBIT 5 DSS05.04, DSS05.10, DSS06.10, ISA 62443-2-1:2009 4.3.3.6.1, 4.3.3.6.2, 4.3.3.6.3, 4.3.3.6.4, 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8, 4.3.3.6.9, ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.5, SR 1.7, SR 1.8, SR 1.9, SR 1.10, ISO/IEC 27001:2013 A.9.2.1, A.9.2.4, A.9.3.1, A.9.4.2, A.9.4.3, A.18.1.4,
NIST SP 800-53 Rev. 4 AC-7, AC-8, AC-9, AC-11, AC-12, AC-14, IA-1, IA-2, IA-3, IA-4, IA-5, IA-8, IA-9, IA-10, IA-11

Awareness and Training – PR.AT

Nesta categoria são definidos os processos de documentação, treinamento e conscientização dos usuários e do time de segurança.

O time de segurança tem claramente definido suas funções e como irão proceder e, por sua vez, os usuários são treinados e conscientizados da importância de adequar o tema de segurança da informação em suas atividades diárias.

É nesta fase que o tema deve ser bem difundido entre os usuários fazendo-os conscientes de forma a atuarem como parceiros do time de segurança não só na aplicação dos conceitos em suas atividades, mas, orientando outros acerca das práticas exigidas pela empresa.

Este tipo de traballho envolve o processo de conscientização no momento do ingresso do funcionáiro e também reciclagens anuais com conteúdos atualizados.

Um bom exemplo de reciclagem é usar de videos, páginas da intranet, palestras, forçar papéis de parede e descansos de tela com temas referentes ao trabalho de segurança da informação na empresa e seus benefícios, os riscos de não seguir o que foi definido, etc.

Este tipo de trabalho envolve todos os funcionários da empresa, desde o menor até o maior da alta gestão, inclusive terceiros que atuem nas dependências da empresa. Envolve também pessoal terceiro de manutenção (limpeza, segurança, etc).

Outro ponto importante é a definição de responsabilidades previamente à contratação de um funcionário e/ou terceiro. É importante o time de segurança gerenciar entre as áreas da empresa e o RH um documento contendo as responsabilidades previstas em todos os cargos e todos os acessos (sistemas, pastas, arquivos, servidores, aplicações, salas, etc) que o funcionário irá precisar. Este perfil deve ser considerado para que o novo contratato já entre com seus acessos configurados e ciente das responsabilidades do cargo.

Além disso, o termo de responsabilidade sobre os equipamentos que vai usar (computadores, notebooks, celulares, tablets) e o termo de confidencialidade quanto a informações sigilosas da companhia deverão ser assinados no momento da contratação.

Vale lembrar que auditorias internas e externas pedem evidências de treinamento de conscientização de segurança, perfil de responsabilidades e os termos de responsabilidade e confidencialidade citados. Se você pratica tudo isso em parceria com seu RH, não terá problemas no processo de resposta a qualquer auditoria.

Abaixo as sub-categorias e suas referências:

– PR.AT-1: All users are informed and trained:

CIS CSC 17, 18, COBIT 5 APO07.03, BAI05.07, ISA 62443-2-1:2009 4.3.2.4.2, ISO/IEC 27001:2013 A.7.2.2, A.12.2.1, NIST SP 800-53 Rev. 4 AT-2, PM-13

– PR.AT-2: Privileged users understand their roles and responsibilities:

CIS CSC 5, 17, 18, COBIT 5 APO07.02, DSS05.04, DSS06.03, ISA 62443-2-1:2009 4.3.2.4.2, 4.3.2.4.3, ISO/IEC 27001:2013 A.6.1.1, A.7.2.2, NIST SP 800-53 Rev. 4 AT-3, PM-13

– PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities:

CIS CSC 17, COBIT 5 APO07.03, APO07.06, APO10.04, APO10.05, ISA 62443-2-1:2009 4.3.2.4.2, ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.7.2.2, NIST SP 800-53 Rev. 4 PS-7, SA-9, SA-16

– PR.AT-4: Senior executives understand their roles and responsibilities:

CIS CSC 17, 19, COBIT 5 EDM01.01, APO01.02, APO07.03, ISA 62443-2-1:2009 4.3.2.4.2
ISO/IEC 27001:2013 A.6.1.1, A.7.2.2, NIST SP 800-53 Rev. 4 AT-3, PM-13

– PR.AT-5: Physical and cybersecurity personnel understand their roles and responsibilities:

CIS CSC 17, COBIT 5 APO07.03, ISA 62443-2-1:2009 4.3.2.4.2, ISO/IEC 27001:2013 A.6.1.1, A.7.2.2, NIST SP 800-53 Rev. 4 AT-3, IR-2, PM-13

Data Security – PR.DS

Nesta categoria entramos num ponto dos mais importantes que trata da proteção de dados em diversos aspectos:

1. Evitar vazamento de dados – políticas de DLP

2. Proteger o dado em descanso – Data at Rest

3. Proteger o dado em trânsito – Data in Transit

4. Estar e conformidade com as correntes normas de proteção de dados pessoais (GDPR, LGPD).

É importante um mapeamento dos dados criticos de sua empresa através de DPIA – Data Privacy Impact Analysis para termos idéia do que temos classificado como dados críticos, dados sensíveis, dados pessoais, os níveis de criticidade de cada um e seu ciclo de vida dentro do tratamento propriamente dito.

No mesmo caminho de um BIA (Business Impact Analysis), determinar onde estão, qual a probabilidade de um breach em relação a atual situação de tratamento destes dados, níveis de criticidade em termos de confidencialidade, integridade e disponibilidade, qual o impacto de um data breach de acordo com o tempo em que o dados foi vazado em ordem crescente e assim determinar naqueles de risco muito alto e alto, quais os controles a serem implementados para mitigar o risco.

É importante que a devida atenção seja dada a pastas em servidores de arquivo, qualificando estes dados e definindo quem pode acessar estes dados e qual nível de permissão adequado.

As impressoras de sua organização também deverão estar preparadas para este controle. Nenhuma impressão deverá ocorrer de forma imediata à solicitação do usuário. O job deverá ficar armazenado na impressora que irá entregar o documento ao usuário mediante a um PIN# ou um smart card, etc. Deixar papel sobre a impressora também caracteriza um data breach e pode causar danos sensíveis à organização.

Acessos a arquivos via pen drive, HD´s externos ou serviços como OneDrive, Google Drive e Drop Box deverão ser avaliados e permitidos na medida em que o usuário realmente seja habilitado a tal.

Fique atento também a leis de proteção de dados pessoais aos quais sua empresa possa estar sujeita.

Se assegure que sua estrutura está apta a suportar a massa de dados que o negócio demanda para que estes dados possam ser tratados, processados e descartados no momento em que for definido pela lei ou pela política de retenção de dados da sua organização.

Ainda sobre proteção de dados… sejam eles sensíveis, pessoais, financeiros atue nos contextos de security by design (desenvolvendo métricas e controles de segurança desde a concepção de um projeto que envolva tratamento de dados) e privacy by design (no mesmo contexto do security by design, porém, voltado a privacidade de dados).

Separe ambientes de desenvolvimento, teste e produção de modo a que qualquer teste feito em determinada a aplicação de tratamento de dados, seja feita de forma segura, sem afetar o ambiente produtivo e também que o data-mask (mascaramento de dados ou embaralhamento) seja feito a fim de que a privacidade seja mantida.

Abaixo as subcategorias e suas referências:

– PR.DS-1: Data-at-rest is protected:

CIS CSC 13, 14, COBIT 5 APO01.06, BAI02.01, BAI06.01, DSS04.07, DSS05.03, DSS06.06, ISA 62443-3-3:2013 SR 3.4, SR 4.1, ISO/IEC 27001:2013 A.8.2.3, NIST SP 800-53 Rev. 4 MP-8, SC-12, SC-28

– PR.DS-2: Data-in-transit is protected:

CIS CSC 13, 14, COBIT 5 APO01.06, DSS05.02, DSS06.06, ISA 62443-3-3:2013 SR 3.1, SR 3.8, SR 4.1, SR 4.2, ISO/IEC 27001:2013 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3, NIST SP 800-53 Rev. 4 SC-8, SC-11, SC-12

– PR.DS-3: Assets are formally managed throughout removal, transfers, and disposition:

CIS CSC 1, COBIT 5 BAI09.03, ISA 62443-2-1:2009 4.3.3.3.9, 4.3.4.4.1
ISA 62443-3-3:2013 SR 4.2, ISO/IEC 27001:2013 A.8.2.3, A.8.3.1, A.8.3.2, A.8.3.3, A.11.2.5, A.11.2.7, NIST SP 800-53 Rev. 4 CM-8, MP-6, PE-16

– PR.DS-4: Adequate capacity to ensure availability is maintained:

CIS CSC 1, 2, 13, COBIT 5 APO13.01, BAI04.04, ISA 62443-3-3:2013 SR 7.1, SR 7.2, ISO/IEC 27001:2013 A.12.1.3, A.17.2.1, NIST SP 800-53 Rev. 4 AU-4, CP-2, SC-5

– PR.DS-5: Protections against data leaks are implemented:

CIS CSC 13, COBIT 5 APO01.06, DSS05.04, DSS05.07, DSS06.02, ISA 62443-3-3:2013 SR 5.2, ISO/IEC 27001:2013 A.6.1.2, A.7.1.1, A.7.1.2, A.7.3.1, A.8.2.2, A.8.2.3, A.9.1.1, A.9.1.2, A.9.2.3, A.9.4.1, A.9.4.4, A.9.4.5, A.10.1.1, A.11.1.4, A.11.1.5, A.11.2.1, A.13.1.1, A.13.1.3, A.13.2.1, A.13.2.3, A.13.2.4, A.14.1.2, A.14.1.3, NIST SP 800-53 Rev. 4 AC-4, AC-5, AC-6, PE-19, PS-3, PS-6, SC-7, SC-8, SC-13, SC-31, SI-4

– PR.DS-6: Integrity checking mechanisms are used to verify software, firmware, and information integrity:

CIS CSC 2, 3, COBIT 5 APO01.06, BAI06.01, DSS06.02, ISA 62443-3-3:2013 SR 3.1, SR 3.3, SR 3.4, SR 3.8, ISO/IEC 27001:2013 A.12.2.1, A.12.5.1, A.14.1.2, A.14.1.3, A.14.2.4, NIST SP 800-53 Rev. 4 SC-16, SI-7

– PR.DS-7: The development and testing environment(s) are separate from the production environment:

CIS CSC 18, 20, COBIT 5 BAI03.08, BAI07.04, ISO/IEC 27001:2013 A.12.1.4
NIST SP 800-53 Rev. 4 CM-2

– PR.DS-8: Integrity checking mechanisms are used to verify hardware integrity:

COBIT 5 BAI03.05, ISA 62443-2-1:2009 4.3.4.4.4, ISO/IEC 27001:2013,  A.11.2.4, NIST SP 800-53 Rev. 4 SA-10, SI-7

Information Protection Processes and Procedures – PR.IP

Nesta fase se olha muito profundamente processos de documentação que também vimos nos itens anteriores mas, com um viés mais voltado a sua área técnica e também o RH.

Temos que averiguar nesta fase todos os procedimentos operacionais voltados a assets, disaster recovery e gestão de mudanças.

Integridade de todos o hardware usado com os devidos contratos de garantia e manutenção. Além disso a gestão de hardware e contratos garantem a continuidade ou um tempo menor de parada em caso de problemas com um asset.

Nesta categoria também se verifica todo o processo de configuração de um asset de rede, estação, servidor, roteador, etc, do ponto de vista de segurança – ex: a configuração inicial de um roteador deverá ser revista, suas credenciais de acesso revisadas e alteradas de acordo com as melhores práticas e que este padrão se extenda aos demais equipamentos da empresa.

Também se implementa um processo e SDLC (System Development Life Cycle) para software desenvolvidos “in-houve” (desenvolvimento próprio) em uma perspectiva de segurança diminuindo assim brechas a partir de aplicações corporativas.

O processo de gestão de mudanças também é avaliado e implementado (caso não exista) garantindo que todas as mudanças em sistemas e infra estrutura sejam feitas sem impacto na operação do core business e que sejam devidamente documentados a fim de histórico e auditorias.

O processo de backup deverá ser verificado nessa fase e, apesar de atualmente vermos equipes de backup bem mais independentes, este tema também é levando em consideração numa auditoria de segurana da informação, pois, afeta a disponibilidade da informação.

Processos de operação de ativos de rede e infra estrutura são devidamente documentados a fim de que o fluxo previamente estabelecido possa ser seguido mantendo o ambiente em operação sem interrupções.

Planos de descarte e destruição são criados para que dados que não são mais utilizados sejam inutilizados com segurança. Neste caso os processos deverão assegurar que nenhum dado, em tese descartado, possa ser recuperado.

O plano de disaster recovery deverá ser implantado de forma a garantir o funcionamento do core business da corporação em um tempo mínimo de parada. Testes deverão ser executados e documentados, contendo os ativos a serem transferidos ao ambiente de DR (disaster recovery) e todos os relatórios dos testes deverão ser devidamente guardados para fins de aprendizado e histórico.

Aqui também temos práticas de RH a fim de que dados críticos e pessoais sejam protegidos, tais como o treinamento de pessoal, entrega e devolução de equipamentos, etc.

Por fim, um plano de gestão de vulnerabilidades deverá ser implementado para sistemas e equipamentos, a fim de evitar invasões a partir de pontos vulneráveis em sistemas e aplicações, além de equiapmentos de rede.

As sub-categorias incluem os documentos abaixo:

PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality):

CIS CSC 3, 9, 11, COBIT 5 BAI10.01, BAI10.02, BAI10.03, BAI10.05, ISA 62443-2-1:2009 4.3.4.3.2, 4.3.4.3.3, ISA 62443-3-3:2013 SR 7.6, ISO/IEC 27001:2013 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4,  NIST SP 800-53 Rev. 4 CM-2, CM-3, CM-4, CM-5, CM-6, CM-7, CM-9, SA-10

– PR.IP-2: A System Development Life Cycle to manage systems is implemented:

CIS CSC 18, COBIT 5 APO13.01, BAI03.01, BAI03.02, BAI03.03, ISA 62443-2-1:2009 4.3.4.3.3, ISO/IEC 27001:2013 A.6.1.5, A.14.1.1, A.14.2.1, A.14.2.5
NIST SP 800-53 Rev. 4 PL-8, SA-3, SA-4, SA-8, SA-10, SA-11, SA-12, SA-15, SA-17, SI-12, SI-13, SI-14, SI-16, SI-17

– PR.IP-3: Configuration change control processes are in place:

CIS CSC 3, 11, COBIT 5 BAI01.06, BAI06.01, ISA 62443-2-1:2009 4.3.4.3.2, 4.3.4.3.3, ISA 62443-3-3:2013 SR 7.6, ISO/IEC 27001:2013 A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, NIST SP 800-53 Rev. 4 CM-3, CM-4, SA-10

– PR.IP-4: Backups of information are conducted, maintained, and tested:

CIS CSC 10, COBIT 5 APO13.01, DSS01.01, DSS04.07, ISA 62443-2-1:2009 4.3.4.3.9, ISA 62443-3-3:2013 SR 7.3, SR 7.4, ISO/IEC 27001:2013 A.12.3.1, A.17.1.2, A.17.1.3, A.18.1.3, NIST SP 800-53 Rev. 4 CP-4, CP-6, CP-9

– PR.IP-5: Policy and regulations regarding the physical operating environment for organizational assets are met:

COBIT 5 DSS01.04, DSS05.05, ISA 62443-2-1:2009 4.3.3.3.1 4.3.3.3.2, 4.3.3.3.3, 4.3.3.3.5, 4.3.3.3.6, ISO/IEC 27001:2013 A.11.1.4, A.11.2.1, A.11.2.2, A.11.2.3,NIST SP 800-53 Rev. 4 PE-10, PE-12, PE-13, PE-14, PE-15, PE-18

– PR.IP-6: Data is destroyed according to policy:

COBIT 5 BAI09.03, DSS05.06, ISA 62443-2-1:2009 4.3.4.4.4, ISA 62443-3-3:2013 SR 4.2, ISO/IEC 27001:2013 A.8.2.3, A.8.3.1, A.8.3.2, A.11.2.7
NIST SP 800-53 Rev. 4 MP-6

– PR.IP-7: Protection processes are improved:

COBIT 5 APO11.06, APO12.06, DSS04.05, ISA 62443-2-1:2009 4.4.3.1, 4.4.3.2, 4.4.3.3, 4.4.3.4, 4.4.3.5, 4.4.3.6, 4.4.3.7, 4.4.3.8, ISO/IEC 27001:2013 A.16.1.6, Clause 9, Clause 10, NIST SP 800-53 Rev. 4 CA-2, CA-7, CP-2, IR-8, PL-2, PM-6

– PR.IP-8: Effectiveness of protection technologies is shared:

COBIT 5 BAI08.04, DSS03.04, ISO/IEC 27001:2013 A.16.1.6, NIST SP 800-53 Rev. 4 AC-21, CA-7, SI-4

– PR.IP-9: Response plans (Incident Response and Business Continuity) and recovery plans (Incident Recovery and Disaster Recovery) are in place and managed:

CIS CSC 19, COBIT 5 APO12.06, DSS04.03, ISA 62443-2-1:2009 4.3.2.5.3, 4.3.4.5.1, ISO/IEC 27001:2013 A.16.1.1, A.17.1.1, A.17.1.2, A.17.1.3, NIST SP 800-53 Rev. 4 CP-2, CP-7, CP-12, CP-13, IR-7, IR-8, IR-9, PE-17

– PR.IP-10: Response and recovery plans are tested:

CIS CSC 19, 20, COBIT 5 DSS04.04, ISA 62443-2-1:2009 4.3.2.5.7, 4.3.4.5.11
ISA 62443-3-3:2013 SR 3.3, ISO/IEC 27001:2013 A.17.1.3, NIST SP 800-53 Rev. 4 CP-4, IR-3, PM-14

– PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening):

CIS CSC 5, 16, COBIT 5 APO07.01, APO07.02, APO07.03, APO07.04, APO07.05, ISA 62443-2-1:2009 4.3.3.2.1, 4.3.3.2.2, 4.3.3.2.3, ISO/IEC 27001:2013 A.7.1.1, A.7.1.2, A.7.2.1, A.7.2.2, A.7.2.3, A.7.3.1, A.8.1.4
NIST SP 800-53 Rev. 4 PS-1, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, PS-8, SA-21

– PR.IP-12: A vulnerability management plan is developed and implemented:

CIS CSC 4, 18, 20, COBIT 5 BAI03.10, DSS05.01, DSS05.02, ISO/IEC 27001:2013 A.12.6.1, A.14.2.3, A.16.1.3, A.18.2.2, A.18.2.3, NIST SP 800-53 Rev. 4 RA-3, RA-5, SI-2

Maintenance – PR.MA

Nesta categoria pensamos mais no quesito “disponibilidade” em termos da triad de segurança.

É importante que manutenções sejam feitas de forma organizada com agendamento prévio, menor impacto possível no ambiente e o devido registro para possivel análise de root causes, lições aprendidas, etc.

No caso de manutenções em datacenter on-premisses da corporação, garantir que o técnico esteja devidamente identificado, que seu acesso seja registrado para posterior auditoria e sempre acompanhado de um representante da empresa e/ou responsável pelo asset em manutenção.

Para o caso de manutenções remotas a nível de software é preferível que o mesmo seja feito pelo próprio service desk de forma monitorada.

Caso o trabalho seja feito por terceiros, vale a pena rever os conceitos apresentados neste artigo e também nos volumes anteriores sobre a segurança de terceiros e os tipos de acesso e a devida análise prévia.

As sub-categorias deste item trazem as sugestões de controles abaixo:

– PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools:

COBIT 5 BAI03.10, BAI09.02, BAI09.03, DSS01.05, ISA 62443-2-1:2009 4.3.3.3.7, ISO/IEC 27001:2013 A.11.1.2, A.11.2.4, A.11.2.5, A.11.2.6, NIST SP 800-53 Rev. 4 MA-2, MA-3, MA-5, MA-6

– PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access:

CIS CSC 3, 5, COBIT 5 DSS05.04, ISA 62443-2-1:2009 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8, ISO/IEC 27001:2013 A.11.2.4, A.15.1.1, A.15.2.1, NIST SP 800-53 Rev. 4 MA-4

Protective Technology – PR.PT

Nesta categoria o importante é ter configurado uma boa ferramenta de SIEM (Ex: Splunk) para que você possa ter um controle completo de log´s para auditoria e támbém na ajuda à resposta de incidentes, além de um bom entendimento de como determinados eventos tem ocorrido ambiente.

Além disso, esta categoria preza pela proteção de dados através do controle de uso de dispositivos USB, além de orientar o acesso a serviços de armazenamento tais como one drive (office 365), entre outros.

Também é importante orientar seus responsáveis pelas aplicações corporativas acerca do tipo de acesso que os funcionários terão nos principais sistema da organização, buscando sempre primar pelo conceito do “least privilege” e a segregação de funções.

Nesta categoria também se olha para a parte de segmentação de redes, protegendo ativos críticos como servidores de apliação e bancos de dados, não só on-premisses, como em cloud também.

Um ponto muito importante a se considerar é que alta disponibilidade também é um tema importante em segurança da informação, então, é importante avaliar suas tecnologias envolvidas no processo que garante a disponibilidade entre serviços de rede, links, servidores e acesso a internet, bem como, provedor de computação em nuvem.

As sub-categorias relativas a protective technology sugerem os controles abaixo:

– PR.PT-1: Audit/log records are determined, documented, implemented, and reviewed in accordance with policy:

CIS CSC 1, 3, 5, 6, 14, 15, 16, COBIT 5 APO11.04, BAI03.05, DSS05.04, DSS05.07, MEA02.01, ISA 62443-2-1:2009 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2, 4.4.2.4, ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR 2.11, SR 2.12, ISO/IEC 27001:2013 A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1, NIST SP 800-53 Rev. 4 AU Family

– PR.PT-2: Removable media is protected and its use restricted according to policy:

CIS CSC 8, 13, COBIT 5 APO13.01, DSS05.02, DSS05.06, ISA 62443-3-3:2013 SR 2.3, ISO/IEC 27001:2013 A.8.2.1, A.8.2.2, A.8.2.3, A.8.3.1, A.8.3.3, A.11.2.9, NIST SP 800-53 Rev. 4 MP-2, MP-3, MP-4, MP-5, MP-7, MP-8

– PR.PT-3: The principle of least functionality is incorporated by configuring systems to provide only essential capabilities:

CIS CSC 3, 11, 14, COBIT 5 DSS05.02, DSS05.05, DSS06.06, ISA 62443-2-1:2009 4.3.3.5.1, 4.3.3.5.2, 4.3.3.5.3, 4.3.3.5.4, 4.3.3.5.5, 4.3.3.5.6, 4.3.3.5.7, 4.3.3.5.8, 4.3.3.6.1, 4.3.3.6.2, 4.3.3.6.3, 4.3.3.6.4, 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8, 4.3.3.6.9, 4.3.3.7.1, 4.3.3.7.2, 4.3.3.7.3, 4.3.3.7.4, ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.3, SR 1.4, SR 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 1.10, SR 1.11, SR 1.12, SR 1.13, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR 2.5, SR 2.6, SR 2.7, ISO/IEC 27001:2013 A.9.1.2, NIST SP 800-53 Rev. 4 AC-3, CM-7

– PR.PT-4: Communications and control networks are protected:

CIS CSC 8, 12, 15, COBIT 5 DSS05.02, APO13.01, ISA 62443-3-3:2013 SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR 5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6, ISO/IEC 27001:2013 A.13.1.1, A.13.2.1, A.14.1.3, NIST SP 800-53 Rev. 4 AC-4, AC-17, AC-18, CP-8, SC-7, SC-19, SC-20, SC-21, SC-22, SC-23, SC-24, SC-25, SC-29, SC-32, SC-36, SC-37, SC-38, SC-39, SC-40, SC-41, SC-43

– PR.PT-5: Mechanisms (e.g., failsafe, load balancing, hot swap) are implemented to achieve resilience requirements in normal and adverse situations:

COBIT 5 BAI04.01, BAI04.02, BAI04.03, BAI04.04, BAI04.05, DSS01.05, ISA 62443-2-1:2009 4.3.2.5.2, ISA 62443-3-3:2013 SR 7.1, SR 7.2, ISO/IEC 27001:2013 A.17.1.2, A.17.2.1, NIST SP 800-53 Rev. 4 CP-7, CP-8, CP-11, CP-13, PL-8, SA-14, SC-6

Longo o post né? Mas acho que conseguimos bastante informação pra ajudar no entendimento desta função.

Espero que possa ser útil pra você e até o próximo volume que será sobre a função “Detect”.

Abraço

Uilson

Categorias:Não categorizado

Vamos falar um pouco sobre o NIST–volume 1 Identify

17 de setembro de 2019 Deixe um comentário

Saudações,

Depois da introdução feita a respeito do framwork NIST, vamos agora entrar na primeira função – Identify (Identificar).

Pra quem ainda não leu a introdução, segue abaixo link:

Vamos falar um pouco sobre o NIST – Introdução

O intuito do post de hoje é discorrer um pouco sobre a função “Identify” e suas categorias para que, com o entendimento necessário, possamos pensar em estratégias de gestão para Segurança e a correta implementação do framework.

Asset Management – ID.AM

São poucas as empresas que hj realizam uma gestão de ativos com qualidade e informações completas. As vezes a gente não se dá conta da importância deste processo, mas, nos momentos em que precisamos ter informações claras e confiáveis para tomada de decisões, muitas vezes vejo lamentos sobre a falta de um preenchimento correto de cadastros.

Além disso é importante pensar na relação existente entre ativos. Se uma informação confidencial ou crítica da organização está num determinado banco de dados, então você precisa saber todos os outros ativos relacionados a esta informação. Obviamente que, a indisponibilidade de um ponto ativo central irá determinar a impossibilidade de acesso a tudo que você possui, mas, pensando na relação entre ativos, se uma informação está em um banco de dados, ela também pertence a um servidor, que está em determinado domínio, Unidade Organizacional, subnet, VLAN, switches e roteadores. Ela está acessível (ou não) a requisições externas? Qual a classificação desta informação e nível de criticidade e importância ao negócio e/ou imagem da empresa junto ao mercado e ao cliente final?

Em termos de aplicações (também um ativo importante), o que cada uma delas faz? Que tipo de dado armazena e como armazena? Se trata de uma aplicação ERP com dados críticos da empresa? Isso tem que estar claro no cadastro do ativo.

Isso se aplica também a pessoal (os funcionários, funções e seus perfis de acesso, programas de conscientização em segurança da informação, orgcharts, etc), dispositivos (celulares, tablets, computadores, notebooks, impressoras e demais equipamentos corporativos), etc.

Em termos de comunicação, informação também é um ativo valioso, pois, vai determinar o andamento de todos os itens que falamos até agora, ou seja, o andamento de processos, tarefas e o fluxo de trabalho do negócio como um todo.

O NIST provê nesta categoria, outras 6 sub-categorias que orientam na correta implementação da sua gestão de ativos, com as referências de documentação que englobam os próprio documentos do NIST e até mesmo outros frameworks. Vale lembrar que não se trata de nenhum cheklist a seguir, apenas recomendações com referências documentadas:

– ID.AM-1 – Physical devices and systems within the organization are inventoried:

CIS CSC 1, COBIT 5 BAI09.01, BAI09.02, ISA 62443-2-1:2009 4.2.3.4, ISA 62443-3-3:2013 SR 7.8, ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, NIST SP 800-53 Rev. 4 CM-8, PM-5

– ID.AM-2 – Software platforms and applications within the organization are inventoried:

CIS CSC2, COBIT 5 BAI09.01, BAI09.02, BAI09.05, ISA 62443-2-1:2009 4.2.3.4, ISA 62443-3-3:2013 SR 7.8, ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, A.12.5.1, NIST SP 800-53 Rev. 4 CM-8, PM-5

– ID.AM-3 – Organizational Communication anda data flows are mapped:

CIS CSC 12, COBIT 5 DSS05.02, ISA 62443-2-1:2009 4.2.3.4, ISO/IEC 27001:2013 A.13.2.1  A.13.2.2, NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8

– ID.AM-4 – External Information systems are catalogued:

CIS CSC 12, COBIT 5 APO02.02 APO10.04 DSS01.02, ISO/IEC 27001:2013 Rev 4 AC-20 SA-9

– ID.AM-5 – Resources (e.g., hardware, devices, data, time, personnel, and software) are prioritized based on their classification, critically and business value:

CIS CSC 13, 14, COBIT 5 APO03.03, APO03.04, APO12.01, BAI04.02, BAI09.02, ISA 62443-2-1:2009 4.2.3.6, ISO/IEC 27001:2013 A.8.2.1, NIST SP 800-53 Rev. 4 CP-2, RA-2, SA-14, SC-6

Business Environment – ID.BE

Esta parte a meu ver deveria ser a primeira de todas, afinal, pra aplicar conceitos de segurança da informação, sejam eles quais forem, você precisa saber o que a empresa faz, a missão e objetivos, quem são as partes interessadas, etc.

Além disso entendemos como a empresa funciona sob a pressão de algum evento que venha a causar um impacto de grandes proporções e como atuar nessa situação.

Aqui podemos priorizar a busca pelo apoio da alta gestão no processo de gestão de segurança da informação, parte fundamental no início de um trabalho.

Com estas informações, a estratégia de segurança da informação começa a tomar corpo com a definição das equipes e atividades a serem desempenhadas.

É nesta fase que você vai entender todas as atividades executadas pela empresa e seus processos, além definir quais áreas processos entrarão no sistema de gestão de segurança, priorizando as atividades mais críticas do negócio.

Nesta categoria você encontra mais 5 sub-categorias com toda documentação de apoio necessária:

– ID.BE-1 – The organization´s role in the supply chain is identified and communicated:

COBIT 5 APO08.01, APO08.04, APO08.05, APO10.03, APO10.04, APO10.05, ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2, NIST SP 800-53 Rev. 4 CP-2, SA-12

– ID.BE-2 – The organization´s place in critical infrastructure and its industry sector is identified and communicated:

COBIT 5 APO02.06, APO03.01, ISO/IEC 27001:2013 Clause 4.1, NIST SP 800-53 Rev. 4 PM-8

– ID.BE-3 – Priorities for organizational mission, objectives, and activities are established and communicated:

COBIT 5 APO02.01, APO02.06, APO03.01, ISA 62443-2-1:2009 4.2.2.1, 4.2.3.6, NIST SP 800-53 Rev. 4 PM-11, SA-14

– ID.BE-4 – Dependencies and critical functions for delivery of critical servers are established:

COBIT 5 APO10.01, BAI04.02, BAI09.02, ISO/IEC 27001:2013 A.11.2.2, A.11.2.3, A.12.1.3, NIST SP 800-53 Rev. 4 CP-8, PE-9, PE-11, PM-8, SA-14

– ID.BE-5 – Resilience requirements to support delivery of critical services are established for all operating states (e. g. under duress/attack, during recovery, normal operations:

COBIT 5 BAI03.02, DSS04.02, ISO/IEC 27001:2013 A.11.1.4, A.17.1.1, A.17.1.2, A.17.2.1, NIST SP 800-53 Rev. 4 CP-2, CP-11, SA-13, SA-14

Governance – ID. GV

A categoria governance orienta quanto a toda parte de documentação e definição de procedimentos. Todos os processos de regulação, jurídico, riscos e outros requerimentos operacionais, além de normas ligadas ao core business da empresa que devem ser de conhecimento da área de segurança da informação.

É nesta fase que você define as políticas, diretrizes e processos que irão guiar a empresa nas melhores práticas de segurança da informação. Ex: Política de segurança da informação, Política de Prevenção a vazamento de dados, Política de Retenção de Dados, etc.

Mas uma coisa é fundamental para o sucesso desta categoria na sua empresa… não é só colocar no papel. Tem que fazer funcionar.

Se você tem documentado que é proibido o uso de pen drives ou qualquer outro dispositivo externo via USB em seus computadores, você tem que fazer isso acontecer na prática aplicando os devidos controles técnicos.

A documentação tem que ser expressa, clara e ter em si a aprovação dos responsáveis das áreas as quais são responsáveis pelo processo.

Neste ponto é importante parcerias com seu RH e seu setor de comunicação para que o processo flua da melhor forma.

A govenança tb foca na monitoração dos processos e sua correta utilização, além de melhoria contínua e os riscos do negócio, ou seja, avaliações constantes a partir de uma análise de eventos ocorridos e auditorias.

Para esta categoria temos a documentação de apoio a seguir:

ID.GV-1 – Organizational cybersecurity policy is established and communicated:

CIS CSC 19, COBIT 5 APO01.03, APO13.01, EDM01.01, EDM01.02, ISA 62443-2-1:2009 4.3.2.6, ISO/IEC 27001:2013 A.5.1.1, NIST SP 800-53 Rev. 4 -1 controls from all security control families

ID.GV-2 – Cybersecurity roles and responsabilities are coodinated and aligned with internal roles and external partners:

CIS CSC 19, COBIT 5 APO01.02, APO10.03, APO13.02, DSS05.04, ISA 62443-2-1:2009 4.3.2.3.3, ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.15.1.1, NIST SP 800-53 Rev. 4 PS-7, PM-1, PM-2

ID.GV-3 – Legal and regulatory requirements regarding cybersecurity, including privacy and civil liberties obligations, are understood and managed:

CIS CSC 19, COBIT 5 BAI02.01, MEA03.01, MEA03.04, ISA 62443-2-1:2009 4.4.3.7, ISO/IEC 27001:2013 A.18.1.1, A.18.1.2, A.18.1.3, A.18.1.4, A.18.1.5, NIST SP 800-53 Rev. 4 -1 controls from all security control families

ID.GV-4 – Governance and risk management processes address cybersecurity risks

COBIT 5 EDM03.02, APO12.02, APO12.05, DSS04.02, ISA 62443-2-1:2009 4.2.3.1, 4.2.3.3, 4.2.3.8, 4.2.3.9, 4.2.3.11, 4.3.2.4.3, 4.3.2.6.3, ISO/IEC 27001:2013 Clause 6, NIST SP 800-53 Rev. 4 SA-2, PM-3, PM-7, PM-9, PM-10, PM-11

Risk Assessment – ID.RA

A parte de riscos é um tema muito mais complexo do que as definições que podemos colocar neste post. É tema para um longo artigo, video ou palestra. Envolve todas as áreas da companhia e precisa ser seriamente levada a sério.

Em termos de riscos, é fundamental ter todos os processos mapeados em cada departamento e dentro destes processos você precisa medir o impacto quantitativo e qualitativo no negócio e acima disso, na imagem da corpração junto ao mercado e ao cliente final.

Basicamente, o risco é medido a partir de uma vulnerabilidade que está sujeita a uma ameaça, conforme abaixo:

image

OBS: O desenho acima é baseado no exemplo dado pelo Daniel Donda no treinamento que ele ministra sobre LGPD no Udemy. Recomendo que o façam!

A partir desse pensamento e com as informações de tudo que envolve o fluxo operacional, funções, ativos, pessoas e a imagem da organização, teremos que definir o nível do risco de cada processo do negócio, seja em que departamento for e os impactos de cada um deles ao negócio.

ID.RA-1: Asset vulnerabilities are identified and documented:

CIS CSC 4, COBIT 5 APO12.01, APO12.02, APO12.03, APO12.04, DSS05.01, DSS05.02, ISA 62443-2-1:2009 4.2.3, 4.2.3.7, 4.2.3.9, 4.2.3.12, ISO/IEC 27001:2013 A.12.6.1, A.18.2.3, NIST SP 800-53 Rev. 4 CA-2, CA-7, CA-8, RA-3, RA-5, SA-5, SA-11, SI-2, SI-4, SI-5

ID.RA-2: Cyber threat intelligence is received from information sharing forums and sources:

CIS CSC 4, COBIT 5 BAI08.01, ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12, ISO/IEC 27001:2013 A.6.1.4, NIST SP 800-53 Rev. 4 SI-5, PM-15, PM-16

ID.RA-3: Threats, both internal and external, are identified and documented:

CIS CSC 4, COBIT 5 APO12.01, APO12.02, APO12.03, APO12.04, ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12, ISO/IEC 27001:2013 Clause 6.1.2, NIST SP 800-53 Rev. 4 RA-3, SI-5, PM-12, PM-16

ID.RA-4: Potential business impacts and likelihoods are identified:

CIS CSC 4, COBIT 5 DSS04.02, ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12, ISO/IEC 27001:2013 A.16.1.6, Clause 6.1.2, NIST SP 800-53 Rev. 4 RA-2, RA-3, SA-14, PM-9, PM-11

ID.RA-5: Threats, vulnerabilities, likelihoods, and impacts are used to determine risk:

CIS CSC 4, COBIT 5 APO12.02, ISO/IEC 27001:2013 A.12.6.1, NIST SP 800-53 Rev. 4 RA-2, RA-3, PM-16

ID.RA-6: Risk responses are identified and prioritized:

CIS CSC 4, COBIT 5 APO12.05, APO13.02, ISO/IEC 27001:2013 Clause 6.1.3, NIST SP 800-53 Rev. 4 PM-4, PM-9

Risk Assessment Strategy – ID.RM

A estratégia do risco agora vem baseado no que o assessment levantou lá atrás. Quais as prioridades em determinado processo, qual o apetite de risco da empresa que definirá a tolerância ao risco propriamente dita? Quais riscos serão mitigados com controles específicos? Quais riscos serão assumidos pela direção? Não perguntas a serem respondidas tendo em mãos o resultado da avaliação inicial.

Como referência para sua estratégia de risco, o NIST traz as sub-categorias abaixo:

ID.RM-1 – Risk Management processes are established, managed and agreed to by organizational stakeholders:

CIS CSC 4, COBIT 5 APO12.04, APO12.05, APO13.02, BAI02.03, BAI04.02, ISA 62443-2-1:2009 4.3.4.2, ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3, Clause 9.3, NIST SP 800-53 Rev. 4 PM-9

ID.RM-2 – Organizational risk tolerance is determined and clearly expressed:

COBIT 5 APO12.06, ISA 62443-2-1:2009 4.3.2.6.5, ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3, NIST SP 800-53 Rev. 4 PM-9

ID.RM.3 – The organization’s determination of risk tolerance is informed by its role in critical infrastructure and sector specific risk analysis:

COBIT 5 APO12.02, ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3, NIST SP 800-53 Rev. 4 SA-14, PM-8, PM-9, PM-11

Supply Chain – ID.SC

Todos os riscos mapeados e a estratégia definida dão suporte para diversas decisões a serem tomadas, sendo a parte de Suply Chain uma delas (e das mais importantes).

Para todo e qualquer fornecedor contratado, a área de segurança da informação deve estar trabalhando em parceria com a área comercial e a área contratante, durante o processo de avaliação da solução a ser implementada e/ou o serviço a ser prestado.

Qual tipo de serviço será prestado? Existe envolvimento do terceiro com dados críticos e/ou pessoais geridos pela empresa contratante? Haverá o ingresso de funcionários/consultores deste fornecedor na contratante? Tendo o fornecedor funcionário que irão atuar na contratante, haverá acesso dos mesmos à infraestrutura da contratante? Caso afirmativo, quais os níveis de acesso que este consultor vai ter? São perguntas que devem ser colocadas no momento da avaliação e devem ser prontamente esclarecidas pelas partes interessadas.

Para casos em que a contratante terá consultores externos é recomendado que este consultor passe pelos processos de conscientização de segurança da informação tal qual um funcionário da contratante, que assine os termos de responsabilidade e confidencialidade dos dados aos quais estará manipulando e que seus acessos, além de limitados ao trabalho que será desempenhado, sejam revistos trimestralmente, ou ao final do contrato. Ou seja, o acesso de um consultor externo expira na data de expiração do contrato, devendo a área contratante solicitar a renovação do acesso mediante data do novo contrato celebrado entre as partes.

O que acabei de descrever é um exemplo básico de acesso a terceiros, mas, poderiamos citar outros exemplos, como o contrato entre a contratante e o fornecedor para troca de informações entre as partes. Dessa forma é necessário toda uma análise de segurança no sistema responsável por essa troca de dados e um assessment prévio da empresa para avaliação de seu nível de maturidade em termos de segurança da informação. Caso esse nível de maturidade seja um risco para a contratante, a área de segurança deverá intervir e mostrar os pontos que significam um risco para a contratante.

Além de todo o exposto, o fornecedor deverá assinar um NDA (Non Disclosure Agreement), garantindo a confidencialidade dos dados da contratante que serão manipulados por ele.

Podemos citar muitos outros exemplos, mas, vou ficar nesses e colocar abaixo a sub categorias e as referências de documentação para referência e estudo:

ID.SC-1: Cyber supply chain risk management processes are identified, established, assessed, managed, and agreed to by organizational stakeholders:

CIS CSC 4, COBIT 5 APO10.01, APO10.04, APO12.04, APO12.05, APO13.02, BAI01.03, BAI02.03, BAI04.02, ISA 62443-2-1:2009 4.3.4.2, ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2, NIST SP 800-53 Rev. 4 SA-9, SA-12, PM-9

ID.SC-2: Suppliers and third party partners of information systems, components, and services are identified, prioritized, and assessed using a cyber supply chain risk assessment process:

COBIT 5 APO10.01, APO10.02, APO10.04, APO10.05, APO12.01, APO12.02, APO12.03, APO12.04, APO12.05, APO12.06, APO13.02, BAI02.03, ISA 62443-2-1:2009 4.2.3.1, 4.2.3.2, 4.2.3.3, 4.2.3.4, 4.2.3.6, 4.2.3.8, 4.2.3.9, 4.2.3.10, 4.2.3.12, 4.2.3.13, 4.2.3.14, ISO/IEC 27001:2013 A.15.2.1, A.15.2.2, NIST SP 800-53 Rev. 4 RA-2, RA-3, SA-12, SA-14, SA-15, PM-9

ID.SC-3: Contracts with suppliers and third-party partners are used to implement appropriate measures designed to meet the objectives of an organization’s cybersecurity program and Cyber Supply Chain Risk Management Plan:

COBIT 5 APO10.01, APO10.02, APO10.03, APO10.04, APO10.05, ISA 62443-2-1:2009 4.3.2.6.4, 4.3.2.6.7, ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, NIST SP 800-53 Rev. 4 SA-9, SA-11, SA-12, PM-9

ID.SC-4: Suppliers and third-party partners are routinely assessed using audits, test results, or other forms of evaluations to confirm they are meeting their contractual obligations:

COBIT 5 APO10.01, APO10.03, APO10.04, APO10.05, MEA01.01, MEA01.02, MEA01.03, MEA01.04, MEA01.05, ISA 62443-2-1:2009 4.3.2.6.7
ISA 62443-3-3:2013 SR 6.1, ISO/IEC 27001:2013 A.15.2.1, A.15.2.2, NIST SP 800-53 Rev. 4 AU-2, AU-6, AU-12, AU-16, PS-7, SA-9, SA-12

ID.SC-5: Response and recovery planning and testing are conducted with suppliers and third-party providers:

CIS CSC 19, 20, COBIT 5 DSS04.04, ISA 62443-2-1:2009 4.3.2.5.7, 4.3.4.5.11, ISA 62443-3-3:2013 SR 2.8, SR 3.3, SR.6.1, SR 7.3, SR 7.4, ISO/IEC 27001:2013 A.17.1.3, NIST SP 800-53 Rev. 4 CP-2, CP-4, IR-3, IR-4, IR-6, IR-8, IR-9

Para não tomar tempo colocando hyperlink para cada uma das referências, peço que, caso se interesse em pesquisar cada uma mais a fundo, busque o documento pelo ID que vai abaixo de cada sub-categoria.

Bastante coisa né? Mas vale a pena separar um tempo para leitura deste post, suas referências e também a reflexão dos pontos que tratamos aqui em seu ambiente.

Espero que possa ser util e até o próximo volume onde trataremos da categoria “Protect” do NIST.

Abraços

Uilson

Categorias:Não categorizado

Vamos falar um pouco sobre o NIST–Introdução

19 de agosto de 2019 1 comentário

Saudações,

Tenho andado afastado deste espaço por questões profissionais e o tempo que me tem faltado pra escrever, mas, quero retomar o andor aqui falando sobre o NIST para gestão e adequação de processos de segurança da informação.

Começarei pelos próximos dias uma série com explanações do modelo, documentos e referências para que possamos entender bem como usa-lo e se o mesmo cabe no dia a dia da sua empresa.

Pra quem ainda não sabe o NIST (National Institute of Technology and Standards), anteriormente conhecido como The National Bureau of Standards, é uma agência governamental não regulatória da administração de tecnologia do Departamento de Comércio dos Estados Unidos. A missão do instituto é promover a inovação e a competitividade industrial dos Estados Unidos, promovendo a metrologia, os padrões e a tecnologia de forma que ampliem a segurança econômica e melhorem a qualidade de vida. Fonte: Wikipedia

No nosso caso, o framework NIST consiste em 5 funções e 23 Categorias (com ID único) conforme abaixo:

image

Além do exposto acima, o NIST possui mais 108 sub-categorias distribuídas nas 5 funções que trazem consigo referências para implementação dos controles necessários a adequar o negócio às melhores práticas.

As referências não se limitam a controles escritos nas publicações especias do NIST (Ex: NIST SP-800-53), mas também a controles das nomas ISO, PCI, entrou outras.

Mas como eu implemento o NIST numa corporação? Fui perguntado a este respeito uns dias atrás e confesso que ali, percebi da necessidade de entrar mais a fundo nesta seara, não só para poder ajudar a quem precisa, mas também pelo fato da empresa onde trabalho ter adotado este framework e eu mesmo estar desenhando projetos de governança baseados nele. Outro fator a se considerar é a usabilidade cada vez maior deste framework no mercado atualmente, por isso, vamos começar no básico e ir se aprofundando nos próximos volumes desta série que começo hoje com vocês.

Se faz necessário um levantamento prévio do seu negócio antes de definir o método de implementação do NIST, ou até mesmo para saber se ele é o framework certo para sua realidade:

1. Se você é novo na área de segurança da informação e não atua mais no ambiente técnico, procure sair da sua mesa um pouco, se fazer conhecido por todos e buscar conhecer os detalhes do negócio que sua empresa atua. Essa é a base principal que vai ser o alicerce de todas as análises que serão feitas no decorrer do processo de implementação deste ou de qualquer framework de segurança existente.

2. Mostre a importância que segurança da informação tem para sua alta diretoria. Faça-os entender a necessidade do investimento e o quanto a empresa pode ser afetada por ataques, ou vazamento de dados… ou ambos. Não precisa “tocar o terror”, mas mostre a realidade de quem passou por experiências amargas no mercado. Traga pra si a confiança da alta diretoria mostrando o trabalho que está sendo feito e o que está por vir.

3 Mantenha bom relacionamento com sua área de TI… você precisará deles para implementações de segurança no ambiente técnico. Procure entender bem a situação atual da infra estrutura implementada para entender quais melhorias precisariam ser feitas.

4. Iremos abordar isso nos próximos volumes da série mas, organize reuniões com os departamentos diversos da corporação, principalmente RH, Jurídico e Financeiro, entendendo os processos de cada área e fazendo um mapeamento prévio de dados sensíveis, críticos e financeiros. Atue em parceria com sua área de TI (Infra estrutura e aplicações) para entender onde esses dados estão armazenados.

5. Tenha certeza de que o usuário final sabe que a corporação tem uma gestão de segurança da informação. Isso não tem o intuito de criar um clima de caça às bruxas, ou simplesmente monitorar se algo está errado, mas, fazer de forma a que o usuário se sinta um parceiro do time de segurança… falaremos disso mais para frente.

Agora que temos uma base na cabeça, iremos seguir com as formas de se implementar o framework NIST em sua corporação. A cada novo volume desta série irei abordar uma função do framework em detalhes. Aguardem!

Espero que essa iniciativa possa ser de grande ajuda!

Abraços

Uilson

Sobre a Prova EXIN Privacy & Data Protection Foudation

17 de dezembro de 2018 18 comentários

Saudações!

Depois de um longo tempo e com muita alegria, volto a este querido espaço!

Durante os últimos meses, este que vos escreve passou por uma série de mudanças profissionais que ainda estão meio que em andamento, mas, o espaço ainda está ativo e recebo com muita alegria contato de pessoas que estão usando o conteúdo da prova CLO-001 da CompTIA ou que passaram na prova usando os posts como parte de seus estudos, então, nada mais correto que continuar investindo tempo este espaço que vai completar 10 anos em abril de 2019!

No mais, vamos tentar manter, para o próximo ano, uma frequência nos posts para não haver tantos espaços como este.

Bom, vamos ao tema de hj! No último mês de outubro fui convidado pela Daryus Management Business School a fazer o treinamento de Privay & Data Protection da EXIN… confesso que não estava nos meus planos, mas, em virtude dos temas que estava trabalhando na época, e por agregar conhecimento, resolvi me aventurar e acabei conseguindo certificação.

image

Para quem tem intenções de fazer a prova e vai fazer o treinamento, é necessário procurar uma escola autorizada da EXIN (A Daryus é uma delas) para um treinamento de 16 horas (2 dias de 8 horas) com opção de já fazer a prova ao final do segundo dia, ou agendar para até 5 dias uteis para rever conceitos e estudar mais – caso sinta ser necessario.

O que é pedido no exame:

Este exame é todo ele baseado no GDPR – General Data Protection Regulation da União Européia – a qual falei no meu último post neste blog no mês de julho deste ano. Neste post você tem os principais fundamentos, principais artigos, as penalidades e o que se espera das áreas técnicas para colocar a empresa em concordância com a lei, além do tempo de adequação dado pela União Européia.

É importante entender um ponto que é cobrado na prova – a diferença entre privacidade e proteção de dados. A leitura dos materiais que vou passar mais a frente e/ou o próprio curso em si mostrará que privacidade é um direito garantido de todo e qualquer cidadão e a proteção de dados se dá a partir deste direito, ou seja, proteger dados e privacidade não são a mesma coisa.

A proteção de dados pessoais é a maneira como as informações de um determinado cidadão serão mantidas em sigilo.

Para quem já conhece, ou ao menos deu uma lida na GDPR sabe que é importante o consentimento do dono do dado para o devido processamento, além do direito a ser esquecido e o direito de portabilidade sem burocracia, ou seja, os dados que um cidadão europeu tem cadastrado em um clinica médica estão sujeitos a serem completamente apagados, ou prontamente migrados para outra clínica sem que qualquer cópia ou parte deles fiquem na anterior.

Quem processa dados pessoais:

Data Controller – responsável pelos dados de seus clientes

Data Processor – responsável pelo processamento dos dados do Data controller

Nas definições acima, suponhamos que uma empresa de telefonia terceiriza os serviços de controle de seus clientes a uma empresa… temos aí um data controller (empresa de telefonia) e um data processor (empresa terceira que vai manipular os dados), que obviamente deverá ter um contrato de confidencialidade garantindo que os dados tratados não serão divulgados e nem processados de forma fora do escopo.

O que são dados sensíveis: Em suma, dados médicos, opção sexual, ideologia política, dados de associação a sindicatos diversos, etc.

É importante saber diferenciar dados pessoais diretos e indiretos;

Diretos – são dados que podem ser atribuídos diretamente a um indivíduo específico sem o uso de informações adicionais. Por exemplo, a foto do indivíduo, seu DNA, impressão digital.

Indiretos – são dados que podem estar ou poderão estar no futuro vinculados a um indivíduo específico usando informações adicionais. Por exemplo, a placa numérica de um carro é um dado pessoal indireto, porque é possível rastrear o carro até seu proprietário usando informações adicionais (neste caso, as informações em um banco de dados eram as placas de matrícula relacionadas aos proprietários dos carros).

Importante também entender a figura do DPO (Data Protection Officer) – lider do seguimento de data protection e data privacy da empresa.

Também sobre a entidade controladora – DPA (Data Protection Authority). Qual o papel dela e em qual momento incidentes de vazamento de dados sensíveis diretos e indiretos deverão ser reportados.

Você também será cobrado pelas definições de minimização dos dados, subsidiarização, entre outros descritos na tabela abaixo que mostra o conteúdo a ser cobrado na prova. Vale lembrar que a mesma traz questões de múltipla escolha com definições e estudos de casos com cenários variados, portanto, firme bem os conceitos:

image

Abaixo vou deixar alguns links uteis para seu estudo:

Página do Exame – No link abaixo você encontra a página oficial do exame EXIN Privacy & Data Protection Foundation. Nesta página além das informações do exame você pode agendar o exame e escolher o lugar onde você poderá fazer a prova. Ainda tem a opção de comprar um vouchert que te permite fazer o exame em sua residência:

https://www.exin.com/certifications/privacy-and-data-protection-foundation-exam?language_content_entity=pt-br

Preparation Guide – Aqui vc baixa o guia de preparação da prova com a tabela que colei neste post e muito mais sobre o que estudar, quais os principais artigos envolvidos na prova entre outros.

https://dam.exin.com/api/&request=asset.permadownload&id=138&type=this&token=712adc3fe51eed0f03fcf1b642996828

White Paper – Este documento no link abaixo é importante para que vc, após ler a GDPR, possa firmar bem todos os conceitos que foram expostos neste post com todas as explicações:

https://dam.exin.com/api/&request=asset.permadownload&id=2648&type=this&token=0f72677bc0854e354cee83e18760ccca

Simulado -  No link abaixo um simulado do exame para que possa posa medir seu nível de conhecimento pós estudos:

https://dam.exin.com/api/&request=asset.permadownload&id=384&type=this&token=7ceee7e9b29ba9d2a28cc46fc3298e7d

DICA DE OURO DO UILSON – porque eu fiz o exame logo em seguida ao curso? Porque já tinha lido e relido a GDPR e atualmente estou estudando a LGPD (Lei Geral de Proteção de Dados) Brasileira. Mas no caso de quem ainda não o fez, recomendo que, se for fazer o curso, não faça a prova em seguida (a menos que esteja totalmente seguro). Pegue o tempo dado para estudo relendo a lei e reforçando a leitura dos links acima, refazendo o simulado e suas anotações pessoais. Para quem não vai fazer o curso, recomendo fortemente ler, reler e anotar tudo que for possível da lei. No link para o meu artigo sobre a norma no começo deste post tem o link para o texto completo da GDPR na íntegra. Em seguida leia o White Paper e reforce os conceitos. A EXIN recomenda 60 horas de estudo para quem não tem familiaridade com a norma e não vai fazer o treinamento oficial.

Espero que este post possa ser útil e ajudar você.

Abraços

Uilson

GDPR–Fundamentos que o ITPro precisa saber

20 de junho de 2018 1 comentário

Saudações,

Desde 25 de maio deste ano está em vigor a norma GDPR (General Data Protection Regulation), visando melhor proteção de dados pessoais para União Européia. Neste post vamos descrever alguns fundamentos, os principais artigos e como os principais players de mercado estão agindo em relação a isso.

Pra quem segue minha fan page (https://facebook.com/usouzajr), estou postando diversos videos da equipe do Microsoft Mechanics, sobre como integrar Office 365 e demais ferramentas Microsoft (Azure) à norma.

Mas, se a norma é para União Européia, porque eu, que estou aqui no Brasil ou continente americano como um todo precisaria saber disso? Vejo dois fortes motivo para que você aprenda sobre GDPR:

1. A norma engloba qualquer empresa que, mesmo em outros continentes, tenham acordos, contratos ou qualquer tipo de envolvimento com empresas européias que envolvam o armazenamento de dados pessoais de cidadãos europeus. Se você é consultor e vai prestar algum serviço para uma empresa européia que contemple manuseamento de dados pessoais, ou se sua empresa, mesmo fora da Europa armazena dados de cidadãos europeus… ou seja, podemos concluir que norma não é uma exclusividade para europeus ou emperesas européias.

2. Como todas as outras normas que conhecemos (ISO, PCI, entre outtras), muitas começaram em um mercado restrito e hoje são padrões para o mundo todo, além do que, conversando com algumas autoridades em compliance, eles têm a certeza de que a norma GDPR vai se expandir em caráter mundial muito em breve.

Bom, então vamos falar de GDPR:

GDPR

No que se baseia:

Personal Data (Dados Pessoais) – Tudo o que identifica alguém (RG, CPF, Social Security # pra quem é de US, informações médicas, etc).

Sensitive Data (Dados Sensíveis) – Uma categoria que, dentro do GDPR requer uma proteção mais forte. Trata-se de dados genéricos, biometria e qualquer tipo de dados que revele informações sobre regligião, raça ou origem étnica.

Data Privacy (Privacidade de dados) – A relação de coleta e disseminação de dados, tecnologia, expectativas públicas de privacidade e os aspectos legais e políticos ao redor do tema.

Consent (Consentimento) – Quando da concordância da pessoa em questão, informações específicas sobre ela são livremente divulgadas.

Processing (Processamento) – Qualquer operação executada com dados pessoais em que envolva coleta, armazenamento, alteração, recuperação, deleção ou destruição de dados.

Origens:

O GDPR foi criado e é mantido pela União Européia em 2018, sendo a evolução de outra norma criada em 1995 – o DPD (Data Protection Directive 95/46/EC).

O DPD não contempla manipulações de dados que podem ocorrer em infras de Cloud Computing, IOT (Internet of Things) e big data, sendo que o GDPR se torna uma resposta rápida a estas tecnologias.

A norma é resultado de um trabalho de 4 anos do Parlamento da União Européia para criação de uma norma que atenda de forma eficaz a demanda por segurança para o processamento de dados pessoais.

A União Européia contabilizou em suas pesquisas mais de 1.000 brechas encontradas em armazenamentos de dados de seus cidadãos em 2016, num total de 36.6 milhões de registros vazados. Já em 2017 esse número subiu para 1.222 brechas com vazamento de mais de  172 milhões de registros – um aumento absurdo não?

Algumas normas que transitaram pela europa desde 1995 – ano de criação do DPD:

– Safe Harbor Privacy Principle – ano 2000 – Norma extinta

– Privacy Shield – Norma criada em 2016

O GDPR vem contemplando todas as anteriores de forma mais completa

Benefícios:

– Controle: Dá à pessoa mais controle sobre como seus dados pessoais são usados, podendo revogar esta divulgação a qualquer momento.

– Confiança – Controles mais rígidos para aumentar a confiança na economia digital.

– Simplicidade – Dá ao negócio uma visão jurídica mais clara para bom seguimento das operações.

Escopo:

Envolve todos os setores que fazem negócios com empresas européias – seja Europa ou não. Como falei acima, se eu, como empresa, vou atuar em corporações européias em projetos qu envolvam manipulação de dados, também terei que me adequar à norma.

Outro caso é… empresas fora da União Européia que armazena dados de cidadãos europeus – também entram na norma.

Composição:

A norma GDPR possui 11 capítulos com 99 artigos em cada capítulo. Todo o conteúdo pode ser lido no site da norma – https://gdpr-info.eu/

image

No link acima também é possível fazer o download do arquivo PDF com todos os artigos da norma nos seus 11 capítulos.

Fluxo de ação da norma:

O fluxo da GDPR tem dois atores importantes:

Data Controller – Autoridade que define por si ou em grupos os propósitos e significados para o processamento de dados pessoais. Deve assegurar a conformidade da norma, informar detalhs dos dados, exigir medidas ténicas e acordos firmados com processos.

Data Processor – Autoridade que processa dados pessoais em nome do data controller – geralmente uma empresa que presta serviços para outra que atua como data controller. Exemplo: Uma empresa seguradora que armazena seu banco de dados de clientes em um Azure SQL. Neste caso a seguradora seria o Data Controller e a Microsoft o Data Processor.

O Data Processor tem por tarefa:

. Gravar o processamento das operações

. Implementar medidas de segurança

. Informar brechas – qualquer uma que for encontrada – desde a maior até a menor

. Definir um DPO (Data Protection Officer)  – Figura de liderança na segurança corporativa do Data Processor e função obrigatória para empresas que seguem a GDPR.

Abaixo uma tabela comparativa das tarefas do Data Controller e do Data Processor:

image

Ainda sobre a figura do DPO:

. Necessita ser um profissional independente, ou seja, sem conflito de interesses

. Deve exercer a função para um determinado Data Processor por um mínimo de 2 anos e deverá ficar no máximo 4 anos.

. Não poderá deixar o cargo sem estar religiosamente em dia com as obrigações da norma, salvo por justificativa apreciada e aprovada pelo alto comando.

Tem como tarefas:

. Informar a situação da empresa em relação a norma

. Aconselhar melhores práticas

. Registrar todas as operações garantindo o cumprimento da norma

. Estar sempre em conformidade

. Ser o ponto de contato para qualquer dúvida do process

. Cooperar com a União Européia e demais agências governamentais

Para que o Data Processor e o DPO possam exercer todas as funções citadas, existem uma série de responsabilidades que o Data Controller deverá preencher:

. Implementar medidas técnicas/organizacionais e demonstrar que está fazendo tudo da forma correta – documentar todo o processo

. Considerar a natureza, escopo, contexto e propósito da corporação

. Considerar a probabilidade e a gravidade dos riscos para os direitos das pessoas e impactos provenientes de um vazamento de dados.

. Definir e implementar a política de proteção de dados

. Definir e implementar um código de conduta demonstrando conformidade com as obrigações da norma

Multa para não conformidades:

Tenho visto alguns artigos sobre o tema em que a questão da multa para não conformidades é tratada de forma um pouco rasa, então quero aqui colocar mais detalhes sobre a multa.

Empresas que não estiverem em conformidade com os artigos 8, 15, 25 a 39, 41, 42 e 43, estão sujeitas a multa que varia de 10 milhões de Euros a 2% da receita anual.

Empresas que não estiverem em conformidade com os artigos 5, 6, 7 a 9, 12 a 22, 44 a 49, Capítulo IX e 58, estão sujeitas a multa de 20 milhões de Euros a 4% da receita anual.

Principais artigos:

Artigo 16 – dos direitos de correção – para qualquer dado cadastrado de forma errada ou imcompleta. A correção destes dados é de responsabilidade do Data Controller com tempo de resposta no mínimo de 1 mês e no máximo 2 meses – dependendo do caso.

Artigo 17 – do direito de ser esquecido. Quando da solicitação de deleção de dados de uma determinada base. De responsabilidade do Data Controller que deverá proceder a deleção de dados por solicitação do dono dos mesmos ou quando sua existência não se justifica. A deleção de dados se fundamenta no propósito, consentimento, objeção, legalidade e conformidade.

Artigo 21 – Direito do objeto – quando a legalidade do dado é de interesse público ou de interesse legítimo. O Data Controller deverá cessar o processamento com apenas duas exceções; Sob Requerimento ou sob motivos justificados.

Artigo 8 – Requerimentos especiais. Aplicado a menores de 16 anos. Neste caso, dados de menores precisam do consentimento parental.

Artigo 20 – Direito de portabilidade – quando o dono do dado requer a transferência de seus dados de um data controller para outro. Nestes casos o processo tem prazo máximo de 30 dias para ser concluído.

Artigo 33 – Tempo de notificação – em caso de riscos a direitos e liberalidades do dono do dado, uma notificação deverá ser feita a autoridade supervisora. Começa com notificações internas (Time de Segurança da Informação, Tecnologia da informação, Jurídico, áreas de suporte, direção), em seguida para partes externas (orgãos de aplicação de leis, seguradoras, perícias e relações públicas). A autoridade supervisora deverá ser informada do risco pelo data controller em até 72 após descoberta de determinada brecha de dados. Esta informação deverá conter a natureza da brecha, contato do DPO, prováveis consequências, mitigação proposta e plano de ação que poderá ser executado em fases distintas.

Artigo 83 – Também focado em medidas de notificação em caso de uma brecha de dados pessoais. Neste caso para exposição acidental ou deliberada sob risco de perda, destruição, alteração, divulgação sem autorização e acesso a dados pessoais transmitidos, armazenados ou de alguma forma processados. De igual forma ao artigo 33, o data controller tem que notificar a autoridade supervisora em até 72 após descoberta do fato, exceto se uma determinada brecha não causa risco. Caso o prazo de 72 horas seja excedido, cabe à autoridade supervisora elaborar a justificativa ao data subjetc (dono do dado). A informação deverá conter a natureza da brecha (numero de pessoas e registros), contato do DPO, consequência provável, mitigação proposta e plano de ação que poderá ser executado em fases distintas.

Medidas Tecnicas:

O artigo 32 da GDPR (dos quais resulta multa o não cumprimento), trata das medidas técnicas a serem adotadas. Estão divididas em 4 fase:

1. Criptografar dados e torna-los anônimos

2. Classificar os dados quanto a confidencialidade, integridade e diponibilidade, resiliência no processamento de sistemas e serviços, alinhados com as normas da CIS Controls.

3. Controle crítico de segurança:

. Inventários – hardware, software, etc

. Configuração segura de equipamentos

. Análise de vulnerabilidades

. Controle de privilégios administrativos

. Implementação de ferramentas de anti-virus e anti-malware

. Controle e segurança de rede – perímetro, etc.

. Pentest – Teste de penetração de forma regular

. Data Protection

. Monitoramento

. Treinamento

4. Backup / Restore – Definição de política e testes contínuos de restore

Demais controles:

A GDPR também requer a adoção de um Run Book (Diário de bordo de operações e processos). Neste diário de bordo devemos ter as seguintes informações:

. Informações do sistema

. Segurança e controle de acesso

. Configuração do sistema

. Monitoração e alertas

. Tarefas operacionais

. Tarefas de manutenção

. Procedimento de recuperação de falhlas

. Contatos

Como os principais players de mercado estão agindo na GDPR:

Veja abaixo alguns links para as principais novidades oferecidas por Microsoft e AWS no que tange a norma:

Microsoft se torna o primeiro provedor de cloud a oferecer comprometimento total com obrigações da GDPR

Cópia de dados pessoais dentro da norma GDRP para clientes do Office 365

GDPR for Office On-premisses servers

Adequando Azure Active Directory ao artigo 17 – Direito de ser esquecido

Conferindo se sua infra estrutura na AWS está em conformidade com a norma GDPR

Como a GDPR afeta usuários da AWS

AWS e a norma GDPR

Anúncio da AWS sobre a conformidade de seus serviços em 100% em relação à GDPR

Abaixo você tem um resumo da norma em uma forma mais visual:

GDPR_2

Neste post mostrei um resumo da norma GDPR para ITPros com os principais artigos e como Microsoft e AWS (principais players de mercado em cloud) se ajustaram à ela.

Para quem quiser mais detalhes, o meu amigo, Prof. Eduardo Popovic gravou um video detalhando a norma GDPR e PCI com base neste artigo. No link abaixo você assiste à apresentação dele que ficou sensacional:

https://youtu.be/6CEMuKU2Zp4

Espero que possa ser útil e não se esqueça, estamos prestes a ter aprovada pelo governo brasileiro a lei de proteção de dados pessoais, ou seja, com este conhecimento você se adianta e, como disse no começo deste post, existe grande possibilidade da GDPR se expandir além do território da comunidade européia.

Abraços

Uilson

Categorias:Não categorizado

Meus apontamentos sobre a prova CLO-001–Cloud Essentials da CompTIA–Capitulo 6

2 de maio de 2018 Deixe um comentário

Saudações,

Hoje chegamos no último volume desta série de posts sobre a prova CLO-001 – Cloud Essentials da CompTIA. Peço desculpas pela demora, mas, o trabalho andou tomando um tempo grande e só pude retomar hoje.

Agregado a este post você terá também o link para um webcast que entreguei sobre esta prova para o Canal vBrownBagBrasil no Youtube. 

Reitero que essa série de posts foi autorizada pelo autor Yuri Diógenes.

Nenhuma imagem do livro será compartilhada aqui. Recomendo a aquisição do mesmo. Caso se interesse, me procure que posso lhe ajudar.

A quem está chegando agora, comecei no dia 12/02 essa série com a introdução onde faço algumas considerações e coloco os objetivos da prova. Além disso você pode acessar todos os volumes desta série nos links abaixo:

Meus apontamentos sobre a prova CLO-001 – Cloud Essentials da CompTIA – Introdução

Meus apontamentos sobre a prova CLO-001 – Cloud Essentials da CompTIA – Capitulo 1

Meus apontamentos sobre a prova CLO-001 – Cloud Essentials da CompTIA – Capitulo 2

Meus apontamentos sobre a prova CLO-001 – Cloud Essentials da CompTIA – Capitulo 3

Meus apontamentos sobre a prova CLO-001 – Cloud Essentials da CompTIA – Capitulo 4

Meus apontamentos sobre a prova CLO-001 – Cloud Essentials da CompTIA – Capitulo 5

Cap 06 – Riscos e consequências da computação em nuvem

Este capítulo trata dos riscos e consequências do uso da computação em nuvem. Reforça os problemas que podem ocorrer com a integração entre o ambiente empresarial e o ambiente de computação em nuvem. Discute a relação entre o conceito de flexibilidade estratégica e computação em nuvem.

Segurança, Legalidade, Conformidade e Privacidade na nuvem

Particularmente a integração da computação na nuvem com a infraestrutura existente na empresa, como no modelo de nuvem híbrida, deve considerar aspectos de segurança e acesso:

Riscos Operacionais

Falta de privacidade – Baixo grau de confidencialidade e deficiencia de isolamento no ambiente de nuvem – risco de acessos indevidos e/ou adultaração de dados e/ou aplicativos de consumidores.

Falhas de integridade – introdução fraudulenta de agentes de software com funções destinadas a provocar o mau funcionamento de serviço operador na nuvem

Suporte Inadequado – Falhas diversas no serviço de suporte, pessoal mal preparado, gargalos no atendimento, indisponibilidade do serviço, etc.

Baixo Desempenho – Desempenho insatisfatório dos serviços contratados, em decorrência de picos de demanda, balanceamento inadequado e/ou subdimensionamento dos recursos ou outros fatores assemelhados.

Ataques por saturação – Não detecção em tempo hábil de ataques que geram sobrecarga dos servidores ao tentar interpretar solicitações em sentido que desestabilizam o ambiente.

Dificuldades para escalar – Demora excessiva ou dificuldades para provisionar ou liberar recursos da nuvem.

Baixa interoperabilidade – Dificuldade significativa ou no limite, impossibilidade de intercambiar dados e/ou aplicativos entre provedores distintos.

Riscos de Negócio

Indisponibilidade – Interrupção temporária dos serviços em decorrência de problemas técnicos ou de outra ordem de parte do provedor.

Não continuidade – Interrupção definitiva da prestação de serviços do provedor.

Riscos estruturais

Não conformidade – Não atendimento a aspectos ditados pela legislação ou disciplinados por padrões de larga aceitação na indústria.

Licenciamento de software – Limitações impostas ao provedor por contratos de licenciamento de software inadequadamente pactuados com seus fornecedores.

Aprisionamento – Dificuldade significativa ou no limite, impossibilidade de trocar de provedor devido a particularidades do ambiente.

Má reputação – ampla repercussão de aspectos negativos envolvendo a prestação de serviços a um determinado consumidor ou a um grupo de consumidores.

Para fixar:

image

Existem duas formas de licenciar software para ser utilizado na nuvem. A forma tradicional, onde o próprio provedor já licenciou o software para o uso e o BYOL (Bring Your Own License), que permite ao cliente utilizar suas próprias licenças quando da utilização na nuvem.

O BYOL trata de um contrato específico relacionado diretamente com o fornecedor.

No modelo "License Included" não é necessário adquirir licenças do fornecedor separadamente, pois o software já foi licenciado pelo provedor de nuvem. A definição de preço desta modalidade por hora inclui software, recursos de hardware subjacentes e as capacidades de gerenciamento do provedor de nuvem.

BYOL em resumo:

. Estender o valor da licença de aplicações de servidor implantando-as na nuvem ou em uma solução com parte interna (on-premisses) e outra na nuvem;

. Tirar proveito da infraestrutura de computação em nuvem e mudar a forma de adquirir serviços de infraestrutura de TI.

O livro também apresenta instruções dadas pela Microsoft para clientes que usam licenciamento por volume.

. Avalie as licenças

. Implante as licenças

. Verifique as licenças

Estas definições e instruções para cada um delas podem ser vistas no livro – pags 137, 138 e 139.

Na parte de verificação de licenças, vale ressaltar a importância da implementação de uma SGI (Sistema de Gerenciamento de identidades) – responsável pelo controle de acesso (autorização e autenticação) para cada tipo de usuário.

Este sistema reduz custo com auditoria, administração e controle de auditoria de forma centralizada.

De forma resumida, o SGI, além da autenticação, controla o acesso do usuárioi, impedindo a consulta e execução de serviços não autorizados. Todo acesso que este usuário precisa está associado a seu perfil.

Este processo também agiliza a construção de aplicações em nuvem, as tornando mais seguras e proporcionando aos desenvolvedores uma camada que garante privacidade e segurança, além de adequar nas políticas de segurança e controle de acesso estabelecido.

Na pag 139 o autor destaca tudo que é possível fazer numa gestão de SGI.

Além de tudo citado acima, a migração para a nuvem reforça a necessidade de sistemas de gerenciamento de identidade e acessos mais bem estruturados e integrados, em virtude do aumento dos riscos.

Na pag 140 o autor descreve os conceitos de Usuário, Identidade e Credencial, os quais recomendo você assimilar bem para a prova.

Os conceitos descritos pelo autor na pag 140 também é atrelado aos conceitos de Autenticação e Autorizado, também descritos na mesma pagina.

Com os conceitos de gerenciamento de identidade, se faz importante a implementação dos métodos de Federação e SSO (Single-Sign-On) com seus conceitos descritos na pag 141.

A conformidade (compliance) também é um aspect-chave da computação em nuvem com implicações de risco. Ela existe para facilitar o atendimento de padrões ditados por normas e regras.

Ao se analisar o gerenciamento de identidade e controle de acesso, o autor dá a dica de que se trata de uma tarefa que está inclusa na auditoria de conformidade.

Implicações para custos diretos e custos de alocação

O livro traz a algumas situações para pensar:

A maioria das áreas de TI não possuem um parâmetro de custos de seus serviços e nesse caso, analisar custos dos serviços on-premisses em relação ao custo dos mesmos serviços em nuvem não nos traz uma visão muito conclusiva.

Além disso, fatores como flexibilidade, agilidade e elasticidade devem contar na avaliação de uso do modelo de computação em nuvem a ser seguido. O autor relata que executivos reforçam que aplicativos que executam um alto numero de transações poderiam sofrer um impacto de performance caso fossem migrados para nuvem e dependem de uma cadeia de comunicação mais complexa envolvendo provedores de acesso, internet, redes internas, etc.

Desde o começo do livro os autores citam por diversas vezes o fato dos custos CAPEX mudarem para OPEX no modelo de computação em nuvem, sendo esta uma das principais questões a serem abordadas na apresentação do modelo aos executivos de sua empresa (diretores e gestores financeiros).

Entre os fatores que podem ser citados na questão de custo podemos colocar o fato de datacenters corporativos apresentarem uma série de custos capitais e operacionais.

No caso de serviços de nuvem, você tem a cobrança basicamente por uso ou por hora e são custos operacionais.

Estruturas on-premisses trazem custos com hardware, software, local (espaço físico, energia elétrica, água, manutenção, etc), tornando a tarefas (como sempre foi) complicada. Pode se adicionar tb o custo e tempo com suporte e gerencimamento de rede, banco de dados e storage.

Os provedores de nuvem oferecem uma gama de serviços cobrados conforme o uso, ou seja, você paga aquilo pela quantidade de recursos utilizados durante o tempo de uso.

O modelo de precificação é baseado nos aspectos abaixo:

Pay as you go – onde vc paga se usar, sem compromissos mínimos, nem contratos de longo prazo. Nesse caso não há a necessidade de um planejamento de uso de recursos de forma detalhada.

Pague pelo uso – Não há necessidade de pagar adiantado para o excesso de capacidade ou ser penalizado por problemas de falta de planejamento.

Pague menos usando mais – Para preço de transferência de armazenamento de dados, o preço é definido em camadas. Quanto mais usa, mais paga. Pague ainda menos quando for feita uma reserva, podendo investir em capacidade reservada para determinados produtos. – aqui temos um pequeno exemplo de economia em escala, citado em posts e capítulos anteriores.

Preço personalizado – para projetos de alto volume com necessidades específicas.

É importante o entedimento da precificação em computação em nuvem, sendo que existem 3 características fundamentais que determinam os preços de uso: computação, armazenamento e transferência de dados para for a da nuvem. Estes preços podem variar dependendo dos serviços que estão sendo utilizados e da forma como são adquiridos.

Flexibilidade Estratégica

Aqui o autor trata da capacidade da empresa de mudar sua estratégia de negócios sem perdas significativas, ou seja, mudar seus objetivos iniciais, caso se conclua estes não serem os mais adequados.

Caso uma estratégia de negócios já definida e implementada tenha que ser mudada, a computação em nuvem permite faze-lo sem problemas pois é possível alterar capacidade de processamento e armazenamento baseado na demanda, pois os ativos de TI em computação em nuvem são adquiridos na forma de serviços e são simplesmente devolvidos ou adquiridos.

Em resumo – a capacidade do sistema acompanha a demanda, promovendo a otimização de uso dos recursos.

E aqui encerramos esta série de posts com meus apontamentos. Espero, sinceramente, ter ajudado na compreensão dos temas envolvidos na prova e recomendo que assistam ao webcast que citei no começo deste volume. Leiam o livro, façam seus próprios apontamentos e façam a prova. Qualquer dúvida ou ajuda que precisarem, por favor, não hesitem em me procurar.

Um abraço

Uilson

Categorias:Não categorizado

Meus apontamentos sobre a prova CLO-001–Cloud Essentials da CompTIA–Capitulo 5

3 de abril de 2018 Deixe um comentário

Saudações,

Hoje vamos entrar nos apontamentos do quinto capítulo do livro “Cloud Essentials – Preparatório para a prova CLO-001”. Apontamentos estes que fiz durante meu período de estudos.

Reitero que essa série de posts foi autorizada pelo autor Yuri Diógenes.

Nenhuma imagem do livro será compartilhada aqui. Recomendo a aquisição do mesmo. Caso se interesse, me procure que posso lhe ajudar.

A quem está chegando agora, comecei no dia 12/02 essa série com a introdução onde faço algumas considerações e coloco os objetivos da prova. Além disso você pode acessar todos os volumes desta série nos links abaixo:

Meus apontamentos sobre a prova CLO-001 – Cloud Essentials da CompTIA – Introdução

Meus apontamentos sobre a prova CLO-001 – Cloud Essentials da CompTIA – Capitulo 1

Meus apontamentos sobre a prova CLO-001 – Cloud Essentials da CompTIA – Capitulo 2

Meus apontamentos sobre a prova CLO-001 – Cloud Essentials da CompTIA – Capitulo 3

Meus apontamentos sobre a prova CLO-001 – Cloud Essentials da CompTIA – Capitulo 4

Cap 5 – Impactos e Mudanças da Computação em Nuvem no Gerenciamento de Serviços de TI

Capítulo baseado no gerenciamento de serviços de nuvem usando ITIL como parâmetro, mostrando como a computação em nuvem muda o modelo do ITIL. Neste ponto, o conhecimento prévio na biblioteca ajuda, mas, o conteúdo aqui é suficiente para fazer a prova, visto que ITIL não é o foco principal do exame e nem será abordado em sua totalidade. Reforço que a aquisição do livro vai complementar itens que aponto neste volume da série.

Visão geral do Modelo de Gerenciamento de Serviço baseado em ITIL

A ideia central do ITIL é trazer uma coleção de melhores práticas, recomendações e processos para gerenciamento de serviços de TI. O ITIL foi estabelecido nos anos 80 e é extramente usado até os dias de hj, tendo sua última versão revisada em 2011.

A biblioteca ITIL é formada foi 30 livros que documentam todo o ciclo de vida do serviço. Na última versão de 2011 foi consolidado em 26 processos distribuidos em 5 volumes.

Estratégia de serviço

Fornece ao provedor do serviço diretrizes na classificação e priorização dos investimentos que devem ser feitos para os serviços.

A estratégia de serviço possibilita a área de TI a ficar alinhada com o negócio principal da empresa através da delimitação dos processos:

. Gerenciamento de Estratégia

. Gerenciamento de Demanda

. Gerenciamento de Portfólio de Serviços

. Gerenciamento de Serviços

. Gerenciamento de Relacionamentos do Negócio

Implementar a estratégia de serviços em Cloud pode ser desafiador, principalmente no que tange ao Gerenciamento de Demanda, pois especificamente no modelo SaaS, os usuários da empresa podem gerar demandas diretamente com o provedor para obter mais serviços.

Se faz necessário que a área de TI reajuste o processo para deixar claro e documentado que qualquer provisionamento de serviços de nuvem para a empresa precisa primeiramente passar por ele.

O processo pode ser ajustado para algo automatizado através de um portal, pelo qual serviço possa ser requisitado, abstendo obviamente o cliente final do que ocorrem em background quando o provisionamento é realizado.

O clientes (usuários finais) deverão ser tratados como inquilinos da nuvem e passaraão a fazer uso dos recursos de forma correta.

Podemos concluir que a identidade utilizada pela empresa para fazer acesso aos serviços de nuvem oferecidos pelo provedor contratado não deve ser acessada diretamente pelo usuário final.

Desenho do Serviço

O principal objetivo do desenho de serviço é fornecer diretrizes no desenho de novos serviços e melhoria dos serviços existentes.

O desenho do serviço é também de suma importância para agregar os elementos que são relevantes para que o serviço possa ser entregue como prometido.

É no desenho do serviço que os 4 P´s são usados como fatores de consideração:

. Pessoas – quais papéis serão atribuídos e para quem

. Processos – quais processos serão mensurados

. Parceiros – quais são os fornecedores

. Produtos – quais são os produtos (tecnologia, serviços, ferramentas, etc) envolvidos

Processos estabelecidos para o desenho do serviço – pag 115 do livro

Processo de gerenciamento de capacidade ganha mais importância na adoção da computação em nuvem, pois vai avaliar a capacidade da área de TI em entregar a demanda corrente e futura para o negócio através de um custo efetivo.

Transição do serviço

Tem como objetivo fornecer diretrizes na tansição dos serviços desenhados para operacionalização – transição para produção.

Processos da transição de serviço – pag 116 do livro

Dica – A distribuição de software tende a sofrer uma alteração dentro dos processos de gerenciamento de mudança com a adoção da computação em nuvem.

Operação do Serviço

Fornece diretrizes para assegurar que o serviço seja entregue para os usuários da empresa da forma como foi acordada.

Processos da operação de serviço – pag 117 do livro

Se faz necessário redesenhar processos de cumprimento de serviço (Cumprimento de pedido – Request Fulfillment) tendo a experiência do usuário em mente após adoção da computação em nuvem.

Aplicando ITIL para computação em nuvem

Não existe um ITIL para nuvem. O que o exame Cloud Essentials porpõe é que alguns conceitos do mesmo podem ser aplicados a computação em nuvem para melhor gerenciamento de recursos, tendo em vista a computação em nuvem ser considerada um modelo computacional que permite ao área de TI entregar serviçosd e forma mais dinâmica.

Planejamento de Estratégia do Serviço para nuvem

Um dos processos da estragégia de serviços que pode ser aplicada a computação em nuvem é o Gerenciamento de Demandas.

Possibilita entender e antecipar as demandas do cliente, trabalhando como um gerenciamento de capacidade de forma a assegurar que o provedor de serviços tem capacidade de atender o que o consumidor está pedindo.

O resultado destas demandas deve ser analisado e a conclusão pode ser que novos serviços sejam necessários, ou seja, crescer o portfólio. Com isso fica fácil de entender que o gerenciamento de portfólio de serviços é outro processo que se aplica à computação em nuvem.

O Gerenciamento de portfólio aplicado à nuvem vai monitorar as dependências dos serviços e receber possíveis eventos acerca destes serviços. Isso é uma nova função do subcomponente chamado Modelo de Serviço, que por sua vez é definido no ITIL, como um componente responsável por ter uma descrição dos componentes necessários para o serviço que será entregue.

Como exemplo podemos citar que unidades de armazenamento estão prestes a ficar cheias, este serviço não deverá ser oferecido ao cliente, caso contrário o mesmo não será entregue. O armazenamento destas informações ficam em uma CMDB (Configuration Management Database).

O aspecto financeiro tb entra na computação em nuvem – o ROI precisa ser informado em um relatório com o máximo de assertividade, tendo também em vista a implementação do processo de Charge Back – cobrança de volta – Ex: Um departamento solicita mais processamento em um servidor que executa um sistema de sua responsabilidade. Com a liberação destes recursos o departamento receberá um cobrança posterior do depto de TI discriminando exatamente o que eles utilizaram e o quanto vai custar… (o que foi requisitado, o que foi usado e o quanto vão pagar).

Gerenciamento de relacionamento de negócio – Vai obter entradas desde pesquisa de satisfação de clientes até requisitos de serviços para então repassar ao departamento de TI, que por sua vez vai aplicar nos serviços da nuvem – processo importante para melhoria continua dos serviços.

Operação e Suporte na Computação em Nuvem

De acordo com o ITIL os dois principais propósitos do serviço de operação são o controle de incidentes e a comunicação com o cliente. É importante saber como estes incidentes serão manuseados quando o serviço é adaptado à computação em nuvem. E isso pode variar de acordo com o modelo da nuvem.

image

Quando fala-se em "Camada Intermediária" (*) – usar somente o serviço de suporte interno para solicitações – afim de evitar que se acione dois serviços de suporte – da visão do usuário final.

A idéia central destes serviços é evitar que clientes internos tenhanm contato direto com o provedor de serviços da nuvem e que todo gerenciamento de incidentes seja de responsabilidade interna.

Fica também como responsabilidade do serviço interno de operação e suporte:

. Documentar os serviços e saber como lidar com a abertura de incidente de cada serviço.

. Fazer a categorização de cada serviço, ou seja, à medida que o incidente for aberto é necessário entender o tipo de aplicação em uso e aonde tal aplicação está armazenada (localmente ou na nuvem).

. Entender as responsabilidades de cada serviço do ponto de vista de quem fornece.

Uma forma de manter o acompanhamento próximo dos serviços e obter dados que venham a melhorar o serviço oferecido é através de análise de desempenho com utilização de métricas.

A forma de medição de um serviço baseado em computação em nuvem varia de acordo com o fornecedor – Microsoft, AWS ou SalesForce oferecem formas variadas de monitoramento.

No caso da nuvem, a disponibilidade é o maior fator de monitoramento de serviço.

Uma forma de averiguar este valor poderia ser através da verificação do MTBF (Mean Time Between Failures) de cada componente e com isso entender o quão disponível cada serviço / componente vai ficar.

Em geral, para ambientes de alta disponibilidade, a regra é que clientes demandem de uma disponibilidade de 99.999%, também conhecida como "5 9s". Esta regra era pouco oferecia por provedores em nuvem até 2009, visto sua incapacidade no momento.

A evolução do monitoramento de disponibilidade hoje em dia já não se preocupa tanto com "o serviço estar disponivel ou não". Na realidade é preciso que o monitoramento obtenha muito mais informações:

. Qual inquilino está sendo afetado

. Qual aplicação que está em uso pelo inquilino

. Quais componentes envolvidos que podem estar impactando o desempenho

. Quem mais está sendo afetado com tal problema

Monitoramento de acordo com o modelo de nuvem

O monitoramento dos serviços também vão variar de acordo com o modelo de nuvem (IaaS, PaaS, SaaS) em uso, até mesmo porque vão existir diferentes métricas para cada tipo de modelo.

Outra variação é do ponto de vista do consumo do serviço ou do oferecimento de serviço.

Monitoramento contínuo do serviço para nuvem

Prevê o trabalho contínuo no intuíto de aperfeiçoar os serviços, aprendendo com as falhas antigas e corrigindo estas falhas. Os processos existentes são:

. Avaliação do serviço

. Avaliação do processo

. Definição das iniciativas de melhoria

. Monitoramento contínuo

E aqui finalizo os apontamentos do capítulo 5. Na próxima semana vou postar o último volume da série. Mais uma vez espero estar lhe ajudando nesta empreitada para a certificação Cloud Essentials.

Abraço

Uilson

Categorias:Não categorizado
%d blogueiros gostam disto: