Sensibilização e Treino em SegInfo e Cibersegurança (presentation)
Descrição do Produto
11/01/16
Segurança da Informação e Cibersegurança: Sensibilização e treino para empresas José Carlos Lourenço Martins Lisboa, 16 de novembro de 2015
Sumário
Visão Geral Sensibilização e Treino Programa da FeelSec © José Carlos L. Martins
1
11/01/16
Relevância “An Organiza+on´s informa+on security strategy should comprehensively address the human factors such as security awareness and security training.” (Tu & Yuan, 2014)
© José Carlos L. Martins
4
2
11/01/16
Exemplos Várias empresas portuguesas estão a ser alvo de uma nova vaga de ataque informático Ransomware, com os "piratas" a exigirem o pagamento de um resgate, em ‘bitcoins', para desbloquearem os sistemas afectados. Tudo começa quando qualquer funcionário da empresa abre um email infectado. Fonte: http:// economico.sapo.pt/noticias/hackers-atacam-empresas-portuguesas-e-exigembitcoins_211444.html - 2Fev15
Um grupo de hackers auto-‐inItulado “Guardians of Peace” conseguiu entrar nas contas de email de vários funcionários e sócios da Sony Pictures e divulgar dezenas de dados pessoais de figuras da indústria cinematográfica. Fonte: h7p://observador.pt/2014/12/11/o-‐que-‐se-‐sabe-‐roubo-‐de-‐dados-‐sony/
5
© José Carlos L. Martins
THE HUMAN FACTOR IN DATA PROTECTION
PONEMON INSTITUTE, JAN2012 Pelo menos 78% dos entrevistados indicaram que a sua empresa tinha experimentado uma falha de segurança de dados, como resultado de negligência humana ou maldade. O Ponemon identificou 10 práticas arriscadas em que os funcionários se envolvem rotineiramente e que estão diretamente relacionadas com a SegInf: 1. A conexão de computadores à Internet através de uma rede sem fios insegura; 2. Não eliminar a informação do computador quando deixa de ser necessária; 3. Partilhar passwords com outras pessoas; 4. Reutilizar a mesma password e nome de utilizador em diferentes sites; 5. Usar dispositivos USB não crifrados ou salvaguardados por outros meios; 6. Deixar os computadores sem supervisão quando ausente do local de trabalho; 7. Perder um dispositivo USB com dados confidenciais e não notificar de imediato a empresa; 8. Trabalhar com um portátil em viagem (ou locais públicos) sem usar ecrã de privacidade; 9. Levar informações confidenciais desnecessárias num laptop quando se viaja; 10. Usar de dispositivos móveis pessoais para se conectar à rede da empresa. Fonte: World Economic Forum / Global Risks (2014, p.16)
6 x
3
11/01/16
Campo de Batalha - Ciberespaço
© José Carlos L. Martins
7
Níveis de Atuação do Adversário NIVEL DE ATUAÇÃO
ALVO
! Nível Humano
Nível da Infraestrutura Tecnológica
! Nível Físico
Fonte: World Economic Forum / Global Risks (2014, p.16)
Fonte: MarIns (2014) © José Carlos L. Martins
8x
4
11/01/16
Segurança da Informação FÍSICA & AMBIENTAL SegInfo e Cibersegurança
HUMANA
ORGANIZACIONAL
TECNOLÓGICA
9
computadores (hardware e
er C ri Cyb
Application Security
y fet
que visam proteger os
Information Security
a er S
técnicas ou não-técnicas,
Cyb
Conjunto de atividades
me
Cibersegurança
Cyber Security
software), as redes de computadores e a Internet.
Network Security
Internet Security
Critical Information Infrastructure Protection Fonte: ISO/IEC 27032 (2012, p. 11) © José Carlos L. Martins
10
5
11/01/16
Sensibilização
Organizacional Público em Geral
ÉFca Computadores
PoliFco -‐ Social
Educação InsFtucional Fonte: adaptado de Siponen (2001)
© José Carlos L. Martins
11
Sensibilização e Treino Awareness: “which is used to stimulate, motivate and remind the audience what is expected of them”. Training: “the process that teaches a skill or the use of a required tool”.
Fonte: Peltier (2005, p.1)
© José Carlos L. Martins
12
6
11/01/16
O Elemento Humano Social engineering is the hardest form of attack to defend against because it cannot be defended with hardware and software alone. A successful defense will require an effective information security architecture, starting with policies and standards and following through with a vulnerability assessment process. Fonte: Peltier (2006, p.3)
© José Carlos L. Martins
14 x
7
11/01/16
Awareness “Awareness programs start from the first day of employment and address the requirements of policy, social engineering, and security requirements. Training and education are often expensive programs required to ensure staff has adequate skills to maintain a security posture, maintain equipment, manage projects, and other key business operations”. Fonte: (ISC) 2 – CISSP – V7.0 (p. 30)
© José Carlos L. Martins
15
Elementos Chave Validar a Aprendizagem Passar a Mensagem
Definir os ObjeFvos Elaborar o Programa e Materiais Segmentar a Audiência Fonte: adaptado de PelIer (2005)
© José Carlos L. Martins
16
8
11/01/16
Segmentação do Grupo
Tipo / Grupo Todos os colaboradores
Elementar Intermédia Avançada x
IT e SegInfo
x
Gestores Intermédios
x
x
Concelho AdministraFvo
x
x
Fonte: NIST 800-50 (2003, p. 8)
© José Carlos L. Martins
17
© José Carlos L. Martins
18
Passar a Mensagem
9
11/01/16
Que competências? Indústria/Normas • ISO/IEC 27001:2013 • ISO/IEC 27032:2012 • ISO/IEC 27035:2011 ....
CerIficações • CISSP • CEH • CHFI • Security+
Academia
Doutrina Militar
• ArIgos e Livros
• Doutrina NATO
…..
…..
…..
Competências na ótica do utilizador em SegInfo e Cibersegurança Casos de Estudo • Relatórios • Experiência
…..
10
11/01/16
Programa Grupo
Produto Workshops EssenFals Técnicos
Workshops Gestores
Grupo I
(all users)
Grupo II (gestores)
Grupo III
(IT e SegInf) Não fale em público de assuntos sensíveis da sua organização!
D
Grupo IV
(administração)
D+15d
D+45d
D+60d
D+90d © José Carlos L. Martins
21
Essentials
11
11/01/16
Workshops Técnicos 1. Passwords 2. Phishing 4. Redes Sociais 3. Malware Nota: são presenciais e tem a duração de aproximadamente 2h.
© José Carlos L. Martins
23
© José Carlos L. Martins
24
Workshops para Gestores
Visão MulIdisciplinar da SegInfo
IdenIficação e Avaliação do Risco
Principais Frameworks de SegInfo e Cibersegurança
Construção de PoliIcas de SegInfo
Nota: são presenciais e tem a duração de aproximadamente 1h.
12
11/01/16
Exercício Coletivo de Treino (Exemplo) Objectivo
Entradas
Saídas
Controlo
Meios (recursos)
Recolha e tratamento de Informação da organização alvo através da Internet. Organização alvo; Grupos de participantes.
Relatório de lições aprendidas; Questionário de avaliação do exercício. Regras de realização do exercício; Fita do tempo de planeamento e execução; Correta utilização das ferramentas Open Source disponibilizadas. Salas de apoio ao funcionamento do exercício; Rede de computadores com acesso à Internet; Aplicações Open Source; Plataforma de apoio aos conteúdos necessários; Google Survey.
Principais Stakeholders
Organização alvo; Tutores (acompanhamento dos grupos); Avaliadores externos da organização alvo; Entidades da cadeia de comando das organizações participantes.
Identificação e Avaliação dos Riscos
Listagem de Riscos
Documentação Principal
Guião do exercício; Lista de itens de informação a obter pelos grupos; Modelo de relatório de recolha de informação a apresentar pelos grupos; Documentos de suporte ao funcionamento das aplicações utilizadas.
! Fonte: Martins, Silva, Galindro, Rocha, Custódio e Pimentel (2015). Sensibilização e Treino em Cibersegurança - Exercício de Recolha de Informação, Revista Proelium, Academia Militar.
© José Carlos L. Martins
25
13
11/01/16
Resistência à Mudança
© José Carlos L. Martins
27
NAS ORGANIZAÇÕES PRECISAMOS DE PESSOAS ALTAMENTE PREPARADAS
APOSTAR EM PESSOAS COM COMPETÊNCIAS
& PROCESSOS
…
E NÃO SOMENTE EM TECNOLOGIA 22 28
14
11/01/16
Referências Bibliográficas ISO/IEC 27032 (2012). Information technology — Security techniques — Guidelines for cybersecurity Martins, José Carlos L. (2014). Um Método de Planeamento de Segurança da Informação, para Organizações Militares em Ambiente de Guerra de Informação. Tese de Doutoramento. Universidade do Minho. Martins, Silva, Galindro, Rocha, Custódio e Pimentel (2015). Sensibilização e Treino em Cibersegurança - Exercício de Recolha de Informação, Revista Proelium, Academia Militar. NICE (2014). The National Cybersecurity Workforce Framework, USA. NIST 800-50 (2003). Computer Security, Tecnology Awareness and Training Program, USA. Peltier, Thomas R. (2005). Implementing an Information Security Awareness Program, The EDP Audit, Control, and Security Newsletter, Vol. XXXIII, Nº 1. Peltier, Thomas R. (2006). Social Engineering: Concepts and Solutions, The EDP Audit, Control, and Security Newsletter, Vol. XXXIII, Nº 8. Ponemon (2012). The Human Factor in Data Protection, Research Report, Ponemon Institute. Siponen, Mikko T. (2001). Five Dimension of Information Security Awareness. Computers and Society. Tu, Zhiling and Yuan, Yufei (2014). Critical Success Factors Analysis on Effective Information Security Management: A Literature Review. Twentieth Americas Conference on Information Systems, Savannah. Walker, Matt (2012). Certified Ethical Hacker, Exam Guide, McGraw-Hill. © José Carlos L. Martins
www
.feel sec.c
29
om
15
11/01/16
© José Carlos L. Martins
31
© José Carlos L. Martins
32
16
11/01/16
© José Carlos L. Martins
33
José Carlos L. Martins
www
.feel sec.c
om
17
Lihat lebih banyak...
Comentários