Segurança Informática - EDP

INSTITUTO POLITÉCNICO DE COIMBRA Instituto Superior de Contabilidade e Administração de Coimbra

Políticas de Segurança ao nível Empresarial

Licenciatura em Informática de Gestão Segurança Informática Ano Letivo 2016/2017 Maio 2017 José Pedro Piedade nº 11882 Hugo Costa nº 13849

Políticas de Segurança ao nível Empresarial - EDP - 2016/2017

1. Índice 1. Índice ......................................................................................................................... 2 2. Índice de Figuras ....................................................................................................... 3 3. Introdução.................................................................................................................. 4 4. Contexto Geral da EDP ............................................................................................. 5 4.1.

Âmbito ............................................................................................................... 5

4.2.

Compromissos ................................................................................................... 5

5. Gestão da Segurança Informática EDP ..................................................................... 6 5.1.

SOC EDP ........................................................................................................... 6

5.2.

Áreas e eixos de atuação da Segurança de Informação ..................................... 8

6. Para que servem as Políticas de Segurança das Empresas ........................................ 9 6.1.

Definição e o principal propósito de uma política de Segurança....................... 9

6.2.

Quem deve ser envolvido na formulação da política? ....................................... 9

6.3.

O que faz uma boa política de segurança? ....................................................... 10

7. O Que Deve Constar da Política de Segurança da Informação? ............................. 11 8. Perguntas frequentes sobre Segurança Informática da EDP ................................... 12 9. Conclusão ................................................................................................................ 14 10.

Referências Bibliográficas ................................................................................... 15

P á g i n a 2 | 15


2. Índice de Figuras Figura 1 - Estrutura funcional SOC .................................................................................. 7 Figura 2 - Áreas de Atuação ............................................................................................. 8

P á g i n a 3 | 15


3. Introdução O presente trabalho foi realizado no âmbito da unidade curricular de Segurança Informática, do terceiro ano da Licenciatura em Informática de Gestão. Pretende-se com o mesmo, especificar as políticas de segurança da informação da empresa EDP. A maioria dos incidentes de segurança ocorrem no ambiente interno mas também no ambiente externo. É necessário mostrar aos gestores através de uma política de segurança bem estruturada como é fundamental proteger a informação das ameaças internas e externas. Esta é uma empresa de caracter mundial, e não foge à regra, assim precisa de ter as suas políticas de segurança bem definidas. A empresa EDP utiliza um tipo de política de segurança operacional cujo nome é SOC EDP (Security Operations Center) que é um conjunto de pessoas, tecnologias e processos com o objetivo de providenciar serviços de segurança, análise e capacidade de resposta a eventuais incidentes de segurança como iremos abordar ao longo do trabalho.

P á g i n a 4 | 15


4. Contexto Geral da EDP A Energias de Portugal é uma empresa do sector energético, verticalmente integrada, com uma posição consolidada na Península Ibérica, quer ao nível de produção, distribuição e comercialização de eletricidade, como de gás. O grupo EDP tem hoje uma presença forte no panorama energético mundial, estando presente em países como Portugal, Espanha, França, Estados Unidos, Reino Unido, Itália, Bélgica, Polónia, Roménia e Brasil, contando com mais de 10 milhões de clientes e mais de 12 mil colaboradores em todo o mundo.

4.1.

Âmbito

A EDP está consciente de que a informação gerida no Grupo EDP, é nomeadamente sensível de Clientes e de Negócio, deve ser gerida de forma a assegurar a credibilidade junto do mercado, dos clientes e dos colaboradores e que para tal é necessário: 

  

Garantir e reforçar a conformidade com a regulamentação e exigências legais em vigor; Manter o comprometimento da organização com a Segurança da Informação; Assegurar a integridade, a confidencialidade e a disponibilidade da informação; Estabelecer um padrão de qualidade consistente com a dimensão e importância da organização.

Neste sentido, o Grupo EDP desenvolveu uma Política de Segurança de Informação, alinhada com as melhores práticas do mercado, e que serve de base ao sistema de gestão e organização de Segurança de Informação.

4.2. 









Compromissos

Confidencialidade: garantia de que a informação não é divulgada de forma inadequada a entidades ou processos; Integridade: garantia da prevenção contra a modificação e/ou destruição não autorizada de informação; Disponibilidade: garantia da acessibilidade da informação onde e quando necessária e sem demora indevida; Não Repúdio: garantia das evidências da ocorrência de eventos, impedindo a negação da sua autoria pelo respetivo responsável; Conformidade Legal: garantia do respeito pelas leis civis e criminais, regulamentações ou obrigações contratuais e requisitos de Segurança de Informação. P á g i n a 5 | 15


5. Gestão da Segurança Informática EDP CSIRT EDP -Equipa de

resposta a Incidentes de Segurança do Grupo EDP História

O CSIRT EDP é parte integrante da área de Segurança de Informação e Continuidade de Serviços de TI do Grupo EDP, fundada em 2010. O desenvolvimento e competências técnicas nesta equipa, bem como a implementação de ferramentas e processos indispensáveis à sua atuação, permitiu ao CSIRT EDP aderir à rede nacional de CSIRT, coordenada pelo CERT.PT.

Objetivos e Atribuições

O CSIRT EDP tem como objetivo implementar o Processo de Gestão de Incidentes de Segurança, respondendo aos incidentes que ocorram em redes ou sistemas do Grupo EDP. Faz ainda parte das atribuições do CSIRT EDP a coordenação com outros membros da rede nacional de CSIRT, cooperando para a resolução de incidentes de segurança informática transversais a várias organizações. A atuação do CSIRT EDP está alinhada com os compromissos do Grupo EDP. A Rede Nacional de CSIRTs tem como objetivos: 







5.1.

Estabelecer laços de confiança entre elementos responsáveis pela segurança informática de forma a criar um ambiente de cooperação e assistência mútua no tratamento de incidentes e na partilha de boas práticas de segurança; Criar indicadores e informação estatística nacional sobre incidentes de segurança com vista à melhor identificação de contramedidas proactivas e reativas; Criar os instrumentos necessários à prevenção e resposta rápida num cenário de incidente de grande dimensão; Promover uma cultura de segurança em Portugal;

SOC EDP

Um SOC (Security Operations Center) é o alinhamento de pessoas, tecnologias e processos com o objetivo de providenciar um leque de serviços de segurança que permitirão uma monitorização eficaz da segurança da infra-estrutura de TI, assim como a capacidade de resposta e análise a incidentes de segurança de informação. Serviços Prestados 

Monitorização de Segurança em Tempo Real - Este serviço tem como objetivo recolher e relacionar eventos de segurança provenientes de diversos componentes da infraestrutura (aplicações, bases de dados, firewall, IPS entre outros) de modo a P á g i n a 6 | 15








controlar e detetar atividades anómalas na infraestrutura IT. Os alertas gerados por este serviço servirão de entradas para outros serviços como a Gestão de Incidentes de Segurança de Informação. Gestão de Incidentes de Segurança de Informação - Este serviço consiste na análise e resolução de Incidentes de Segurança, bem como na adoção de medidas corretivas sempre que possível e a elaboração de relatórios. Análise Forense - Este serviço permitirá garantir a coleção, preservação, documentação e análise de evidências sobre os incidentes de segurança de informação. Estas ações são essenciais sempre que se necessite de apresentar provas em tribunal ou possibilitar a investigação a entidades judiciais. Alertas e Avisos de Segurança - Este serviço consiste em disseminar pela comunidade servida alertas e avisos sobre segurança de informação tais como vulnerabilidades conhecidas, alertas de intrusão, vírus ou ainda as melhores práticas em termos de segurança de informação.

Figura 1 - Estrutura funcional SOC

Podemos distinguir seis operações a serem executadas por um SOC: 1. 2. 3. 4. 5. 6.

Identificação de eventos de segurança; Coleta; Armazenamento; Análise; Reação. observação

Assim, um SOC é composto por cinco módulos distintos:     

Geradores de alertas; Coletores de eventos; Base de Dados de mensagens; Mecanismos de análise; Software de gestão de reação. P á g i n a 7 | 15


5.2.

Áreas e eixos de atuação da Segurança de Informação

Liderança – Suporte e patrocínio, ao nível da gestão de topo, dos planos estratégicos e

diretores para a segurança de informação. Cooperação – Entende-se

como atuação no relacionamento entre as diversas equipas, quer ao nível interno, entre colaboradores, quer ao nível externo (outras empresas e organizações). Competência – O

reforço das competências específicas na área da segurança para os

colaboradores. Cultura – Processos, comportamentos e atitudes em relação

à segurança de informação.

Continuidade de Serviço IT – Processos e atividades que têm

como objetivo assegurar

a continuidade de serviço IT. Segurança Física – Reforço

da segurança de instalações que albergam os sistemas de informação do Grupo EDP (ex: CPDs). Segurança Lógica/Aplicacional – Projetos

tecnológicos e soluções de segurança que têm como objetivo a diminuição do risco relacionado com a segurança de informação. Monitorização de Segurança – Competências de monitorização e reação em tempo real

a eventos de segurança; gestão de incidentes de segurança e análise forense (ex: solicitações legais). Atividades relacionadas com o desenvolvimento e gestão de políticas, normas e procedimentos corporativos para a segurança de informação. Politicas e Normas –

Gestão de Identidades e Acessos – Entende-se

como toda a gestão (processos mais ferramentas) das identidades e acessos dos colaboradores do grupo EDP.

Figura 2 - Áreas de Atuação

P á g i n a 8 | 15


6. Para que servem as Políticas de Segurança das Empresas 6.1.

Definição e o principal propósito de uma política de Segurança

Uma política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. O principal propósito de uma política de segurança é informar aos utilizadores, equipas e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação. A política deve especificar os mecanismos através dos quais estes requisitos podem ser alcançados. Outro propósito é oferecer um ponto de referência a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. Portanto, uma tentativa de utilizar um conjunto de ferramentas de segurança na ausência de pelo menos uma política de segurança implícita não faz sentido.

6.2.

Quem deve ser envolvido na formulação da política?

Para que uma política de segurança se torne apropriada e efetiva, ela deve ter a aceitação e o suporte de todos os níveis de empregados dentro da organização. É especialmente importante que a gerência corporativa suporte de forma completa o processo da política de segurança, caso contrário haverá pouca probabilidade que ela tenha o impacto desejado. A seguinte lista de indivíduos deveria estar envolvida na criação e revisão dos documentos da política de segurança:      

O administrador de segurança do website; O pessoal técnico de tecnologia da informação; Os administradores de grandes grupos de utilizadores dentro da organização; A equipa de reação a incidentes de segurança; Os representantes de grupos de usuários afetados pela política de segurança; O conselho legal.

P á g i n a 9 | 15


6.3.

O que faz uma boa política de segurança?

As características de uma boa política de segurança são: 1. Deve ser implementável através de procedimentos de administração, publicação das regras de uso aceitáveis, ou outros métodos apropriados. 2. Deve ser exigida com ferramentas de segurança, onde apropriado, e com sanções onde a prevenção efetiva não seja tecnicamente possível. 3. Deve definir claramente as áreas de responsabilidade para os usuários, administradores e gerentes. Uma vez que a política tenha sido estabelecida ela deve ser claramente comunicada aos usuários, pessoal e gerentes. Deve-se criar um documento que os usuários assinem, dizendo que leram, entenderam e concordaram com a política estabelecida. Esta é uma parte importante do processo. Finalmente a política deve ser revisada regularmente para verificar se ela está suportando com sucesso as necessidades de segurança.

P á g i n a 10 | 15


7. O Que Deve Constar da Política de Segurança da Informação? A política de segurança deve conter diretrizes claras a respeito, pelo menos, dos seguintes aspetos: 

Objetivo da segurança: deve explicar de forma rápida e sucinta a finalidade da

política de segurança. 

A quem se destina: deve definir claramente quais as estruturas organizacionais

às quais a mesma se aplica. 

Propriedade dos recursos: deve definir de forma clara as regras que regerão os

diversos aspetos relacionados com a propriedade dos ativos de informações. 

Responsabilidades: deve

definir de forma clara qual tipo de responsabilidades envolvidas com o uso de informações, a quem as mesmas devem ser atribuídas e os mecanismos de transferência.



Requisitos de acesso: deve



Generalidades: nesta

indicar de forma clara quais os requisitos a serem atendidos para o acesso a ativos de informações. seção podem ser incluídos os aspetos que não estão nas demais. Pode-se incluir uma definição dos conceitos envolvidos, um glossário.

P á g i n a 11 | 15


8. Perguntas frequentes sobre Segurança Informática da EDP 8.1.

Dicas para distinguir mensagens e como evitar consequências?

1. Nunca enviar informação pessoal que seja solicitada por e-mail tal como: nº do cartão de crédito, username, password ou outra informação privada. A EDP nunca pedirá este tipo de informação por este veículo de comunicação; 2. Não seguir as ligações de e-mails suspeitos. Caso queira aceder, introduza diretamente no browser o endereço da entidade referida no e-mail e navegue a partir daí; 3. Em caso de dúvida contacte a entidade para confirmar a veracidade do e-mail , mas nunca use os contactos indicados no e-mail. Faça-o da forma que costuma fazer habitualmente; 4. Certifique-se que atualiza o software que utiliza no seu computador, nomeadamente o browser e software de proteção como antivírus e firewall .

8.2.

Onde se obtêm os endereços de e-mail para enviarem este tipo de mensagens?

Os endereços de e-mail utilizados para o envio de e-mails de phishing em nome da EDP não foram obtidos de qualquer base de dados da EDP. O esquema usual nestes ataques consiste no envio de e-mails falsos para a lista de contactos de utilizadores cujo equipamento, ligada a internet, se encontra infetado com malware, propagando o esquema de phishing.

8.3.

A EDP pode fazer alguma coisa para mitigar os impactos dos ataques de phishing?

Apesar de ser totalmente alheia aos esquemas de phishing, a EDP pode e tem realizado ações com o objetivo de mitigar as consequências destes ataques de phishing, em concreto: 



Á semelhança de todas as entidades que contribuem para o esforço de melhoria da cibersegurança nacional, lançar avisos de alerta e informações relevantes, através dos meios de comunicação que tem ao seu dispor; Sempre que detetar um novo site que aloja malware, alertar o administrador desse site para o facto de o mesmo estar a ser usado de forma abusiva, devendo ser tomadas as medidas de correção das vulnerabilidades existentes. P á g i n a 12 | 15


8.4.

A fatura eletrónica EDP é segura?

A fatura eletrónica é o método mais eficaz de respeitar a privacidade e segurança da informação do cliente. A consulta da fatura está protegida por controlos de segurança robustos que regulam o serviço da fatura eletrónica, acessível para consulta ou impressão através da área reservada de cliente. Os casos de phishing que envolveram o nome da EDP não alteram em nada o nível de segurança de utilização da fatura eletrónica.

P á g i n a 13 | 15


9. Conclusão A Equipa de resposta a Incidentes de Segurança do Grupo EDP (CSIRT EDP) em simultâneo com o SOC (Security Operations Center) expõe que o apoio da administração no processo da implementação de um modelo PSI é fundamental, também Mamede (2006) entende que o processo de segurança não é algo meramente executado por um pequeno grupo de pessoas no seio da organização, mas pelo contrário, envolve todas as pessoas da organização. Tanto administradores como gestores assumem que a segurança da informação interna é algo de senso comum, mas isso não é a realidade, colaboradores cometem graves erros de segurança diariamente sem o saber. A empresa necessita de se proteger através da formação dos seus colaboradores, é necessário implementar um modelo de PSI detalhado com o conhecimento e cooperação dos colaboradores, apoio dos administradores, uma motorização e atualização periódica através de auditorias internas e externas. O não cumprimento da Politica de Segurança da Informação tem que implicar advertências disciplinares.

P á g i n a 14 | 15


10.

Referências Bibliográficas

https://www.edp.pt/pt/aedp/sobreaedp/principiosepoliticas/Pages/Politica_SegurancaInf ormacao.aspx http://www.edp.pt/pt/sustentabilidade/prevencaoeseguranca2/gestaodaseguranca/Pages/ GestaoSeguranca.aspx http://www.edp.pt/pt/particulares/Pages/Seguran%C3%A7aInform%C3%A1tica.aspx http://penta.ufrgs.br/gereseg/rfc2196/cap2.htm http://www.oocities.org/ferujo/unidade-ii.htm http://www.cert.rcts.pt/index.php/rede-nacional-csirt/objectivos

Mamede, S. Henrique, (2006), Segurança Informática nas Organizações, FCA-Editora Informática, Lda.

P á g i n a 15 | 15

Segurança Informática - EDP

Recommend Documents