Sensibilização e Treino em SegInfo e Cibersegurança (presentation)

11/01/16  

Segurança da Informação e Cibersegurança: Sensibilização e treino para empresas José Carlos Lourenço Martins Lisboa, 16 de novembro de 2015

Sumário

 Visão  Geral    Sensibilização  e  Treino    Programa  da  FeelSec   © José Carlos L. Martins

1  

11/01/16  

Relevância “An   Organiza+on´s   informa+on   security   strategy   should   comprehensively   address   the   human  factors  such  as  security  awareness  and  security  training.”  (Tu  &  Yuan,  2014)  

© José Carlos L. Martins

4

2  

11/01/16  

Exemplos Várias empresas portuguesas estão a ser alvo de uma nova vaga de ataque informático Ransomware, com os "piratas" a exigirem o pagamento de um resgate, em ‘bitcoins', para desbloquearem os sistemas afectados. Tudo começa quando qualquer funcionário da empresa abre um email infectado. Fonte: http:// economico.sapo.pt/noticias/hackers-atacam-empresas-portuguesas-e-exigembitcoins_211444.html - 2Fev15

Um   grupo   de   hackers   auto-­‐inItulado   “Guardians   of   Peace”   conseguiu   entrar   nas   contas   de   email   de   vários   funcionários   e   sócios   da   Sony   Pictures   e   divulgar   dezenas   de   dados   pessoais   de   figuras   da   indústria   cinematográfica.     Fonte:  h7p://observador.pt/2014/12/11/o-­‐que-­‐se-­‐sabe-­‐roubo-­‐de-­‐dados-­‐sony/  

5

© José Carlos L. Martins

THE HUMAN FACTOR IN DATA PROTECTION
 PONEMON INSTITUTE, JAN2012 Pelo menos 78% dos entrevistados indicaram que a sua empresa tinha experimentado uma falha de segurança de dados, como resultado de negligência humana ou maldade. O Ponemon identificou 10 práticas arriscadas em que os funcionários se envolvem rotineiramente e que estão diretamente relacionadas com a SegInf: 1. A conexão de computadores à Internet através de uma rede sem fios insegura; 2. Não eliminar a informação do computador quando deixa de ser necessária; 3. Partilhar passwords com outras pessoas; 4. Reutilizar a mesma password e nome de utilizador em diferentes sites; 5. Usar dispositivos USB não crifrados ou salvaguardados por outros meios; 6. Deixar os computadores sem supervisão quando ausente do local de trabalho; 7. Perder um dispositivo USB com dados confidenciais e não notificar de imediato a empresa; 8. Trabalhar com um portátil em viagem (ou locais públicos) sem usar ecrã de privacidade; 9. Levar informações confidenciais desnecessárias num laptop quando se viaja; 10. Usar de dispositivos móveis pessoais para se conectar à rede da empresa. Fonte:  World  Economic  Forum  /   Global  Risks  (2014,  p.16)  

6 x

3  

11/01/16  

Campo de Batalha - Ciberespaço

© José Carlos L. Martins

7

Níveis de Atuação do Adversário NIVEL DE ATUAÇÃO

ALVO

! Nível Humano

Nível da Infraestrutura Tecnológica

! Nível Físico

Fonte:  World  Economic  Forum  /   Global  Risks  (2014,  p.16)  

Fonte:  MarIns  (2014)   © José Carlos L. Martins

8x

4  

11/01/16  

Segurança da Informação FÍSICA  &  AMBIENTAL   SegInfo e Cibersegurança

HUMANA  

ORGANIZACIONAL  

TECNOLÓGICA  

9

computadores (hardware e

er  C ri Cyb

Application Security

y   fet

que visam proteger os

Information Security

a er  S

técnicas ou não-técnicas,

Cyb

Conjunto de atividades

me  

Cibersegurança

Cyber   Security  

software), as redes de computadores e a Internet.

Network Security

Internet Security

Critical Information Infrastructure Protection Fonte: ISO/IEC 27032 (2012, p. 11) © José Carlos L. Martins

10

5  

11/01/16  

Sensibilização

Organizacional   Público  em   Geral  

ÉFca   Computadores  

PoliFco  -­‐  Social  

Educação   InsFtucional   Fonte:  adaptado  de  Siponen  (2001)  

© José Carlos L. Martins

11

Sensibilização e Treino Awareness: “which is used to stimulate, motivate and remind the audience what is expected of them”. Training: “the process that teaches a skill or the use of a required tool”.

Fonte: Peltier (2005, p.1)

© José Carlos L. Martins

12

6  

11/01/16  

O Elemento Humano Social engineering is the hardest form of attack to defend against because it cannot be defended with hardware and software alone. A successful defense will require an effective information security architecture, starting with policies and standards and following through with a vulnerability assessment process. Fonte: Peltier (2006, p.3)

© José Carlos L. Martins

14 x

7  

11/01/16  

Awareness “Awareness programs start from the first day of employment and address the requirements of policy, social engineering, and security requirements. Training and education are often expensive programs required to ensure staff has adequate skills to maintain a security posture, maintain equipment, manage projects, and other key business operations”. Fonte: (ISC) 2 – CISSP – V7.0 (p. 30)

© José Carlos L. Martins

15

Elementos Chave Validar  a   Aprendizagem   Passar  a   Mensagem  

Definir    os   ObjeFvos   Elaborar    o   Programa  e   Materiais   Segmentar  a   Audiência   Fonte:  adaptado  de  PelIer  (2005)  

© José Carlos L. Martins

16

8  

11/01/16  

Segmentação do Grupo

Tipo  /  Grupo   Todos  os   colaboradores  

Elementar   Intermédia   Avançada   x  

IT  e  SegInfo  

x  

Gestores   Intermédios  

x  

x  

Concelho   AdministraFvo  

x  

x  

Fonte: NIST 800-50 (2003, p. 8)

© José Carlos L. Martins

17

© José Carlos L. Martins

18

Passar a Mensagem

9  

11/01/16  

Que competências? Indústria/Normas   •   ISO/IEC  27001:2013   •   ISO/IEC  27032:2012   •   ISO/IEC  27035:2011   ....

 

CerIficações   • CISSP   •   CEH   •   CHFI   •   Security+  

Academia  

Doutrina  Militar  

•   ArIgos  e  Livros    

• Doutrina  NATO  

…..  

…..  

…..  

Competências na ótica do utilizador em SegInfo e Cibersegurança Casos  de  Estudo     • Relatórios   • Experiência  

…..  

10  

11/01/16  

Programa Grupo  

Produto     Workshops   EssenFals   Técnicos  

Workshops   Gestores  

Grupo  I  

(all  users)  

Grupo  II   (gestores)  

Grupo  III  

(IT  e  SegInf)   Não  fale  em  público  de   assuntos   sensíveis  da  sua  organização!  

D

Grupo  IV  

(administração)  

D+15d

D+45d

D+60d

D+90d © José Carlos L. Martins

21

Essentials

11  

11/01/16  

Workshops Técnicos       1.  Passwords     2.  Phishing           4.  Redes  Sociais   3.  Malware   Nota:  são  presenciais  e  tem  a  duração  de  aproximadamente  2h.  

© José Carlos L. Martins

23

© José Carlos L. Martins

24

Workshops para Gestores

Visão  MulIdisciplinar   da  SegInfo  

IdenIficação  e   Avaliação  do  Risco  

               

Principais  Frameworks  de   SegInfo  e  Cibersegurança  

Construção  de  PoliIcas   de  SegInfo  

Nota:  são  presenciais  e  tem  a  duração  de  aproximadamente  1h.  

12  

11/01/16  

Exercício Coletivo de Treino (Exemplo) Objectivo

Entradas

Saídas

Controlo

Meios (recursos)

Recolha e tratamento de Informação da organização alvo através da Internet. Organização alvo; Grupos de participantes.

Relatório de lições aprendidas; Questionário de avaliação do exercício. Regras de realização do exercício; Fita do tempo de planeamento e execução; Correta utilização das ferramentas Open Source disponibilizadas. Salas de apoio ao funcionamento do exercício; Rede de computadores com acesso à Internet; Aplicações Open Source; Plataforma de apoio aos conteúdos necessários; Google Survey.

Principais Stakeholders

Organização alvo; Tutores (acompanhamento dos grupos); Avaliadores externos da organização alvo; Entidades da cadeia de comando das organizações participantes.

Identificação e Avaliação dos Riscos

Listagem de Riscos

Documentação Principal

Guião do exercício; Lista de itens de informação a obter pelos grupos; Modelo de relatório de recolha de informação a apresentar pelos grupos; Documentos de suporte ao funcionamento das aplicações utilizadas.

! Fonte: Martins, Silva, Galindro, Rocha, Custódio e Pimentel (2015). Sensibilização e Treino em Cibersegurança - Exercício de Recolha de Informação, Revista Proelium, Academia Militar.

© José Carlos L. Martins

25

13  

11/01/16  

Resistência à Mudança

© José Carlos L. Martins

27

NAS ORGANIZAÇÕES PRECISAMOS DE PESSOAS ALTAMENTE PREPARADAS

APOSTAR EM PESSOAS COM COMPETÊNCIAS

& PROCESSOS

…

E NÃO SOMENTE EM TECNOLOGIA 22 28

14  

11/01/16  

Referências Bibliográficas ISO/IEC 27032 (2012). Information technology — Security techniques — Guidelines for cybersecurity Martins, José Carlos L. (2014). Um Método de Planeamento de Segurança da Informação, para Organizações Militares em Ambiente de Guerra de Informação. Tese de Doutoramento. Universidade do Minho. Martins, Silva, Galindro, Rocha, Custódio e Pimentel (2015). Sensibilização e Treino em Cibersegurança - Exercício de Recolha de Informação, Revista Proelium, Academia Militar. NICE (2014). The National Cybersecurity Workforce Framework, USA. NIST 800-50 (2003). Computer Security, Tecnology Awareness and Training Program, USA. Peltier, Thomas R. (2005). Implementing an Information Security Awareness Program, The EDP Audit, Control, and Security Newsletter, Vol. XXXIII, Nº 1. Peltier, Thomas R. (2006). Social Engineering: Concepts and Solutions, The EDP Audit, Control, and Security Newsletter, Vol. XXXIII, Nº 8. Ponemon (2012). The Human Factor in Data Protection, Research Report, Ponemon Institute. Siponen, Mikko T. (2001). Five Dimension of Information Security Awareness. Computers and Society. Tu, Zhiling and Yuan, Yufei (2014). Critical Success Factors Analysis on Effective Information Security Management: A Literature Review. Twentieth Americas Conference on Information Systems, Savannah. Walker, Matt (2012). Certified Ethical Hacker, Exam Guide, McGraw-Hill. © José Carlos L. Martins

www

.feel sec.c

29

om  

15  

11/01/16  

© José Carlos L. Martins

31

© José Carlos L. Martins

32

16  

11/01/16  

© José Carlos L. Martins

33

José Carlos L. Martins

www

.feel sec.c

om  

17