Plano de Gestão de Incidentes  de Segurança da Informação

Plano de Gestão de Incidentes de Segurança da Informação

Plano de Gestão de Incidentes

de Segurança da Informação

Rio de Janeiro – 2018

Universidade Federal do Rio de Janeiro – UFRJ

Roberto Leher

Reitor


Superintendência de Tecnologia da Informação e Comunicação

Marcio Ayala

Superintendente

Diretoria de Segurança da Informação

Felipe Ribas Coutinho

Diretor

Equipe

Aline Nery

Lidio Santos

Lilian Chagas

Patricia do Amaral Gurgel

Robert Sachsse

Roberta Bordalo


1.Apresentação

A SegTIC tem como missão atuar na detecção, resolução, prevenção e redução a ocorrência de incidentes de segurança da informação na Universidade Federal do Rio de Janeiro, proporcionando um ambiente cada vez mais confiável, disponível e íntegro.

Para assegurar o atingimento da sua missão é fundamental que se faça a gestão dos incidentes de forma adequada, eficiente e eficaz, a fim de proteger a informação contra roubo, fraude, espionagem, perda não intencional, acidentes e outras ameaças. Para tal, a SegTIC tem como objetivo promover ações de redução das ocorrências de incidentes de segurança da informação propiciando o ambiente desejável por sua missão.

2.Objetivo

Este plano tem por objetivo apresentar de forma sistêmica o processo de Tratamento de Incidentes da Segurança da Informação executado pela SegTIC. Estão representados os macroprocessos da SegTic com detalhamento do processo de Tratamento de Incidentes da Segurança da Informação, bem como a descrição de suas atividades.

Para o mapeamento do referido processo foi utilizada a notação BPMN (Business Processo Modeling Notation) por ser de fácil entendimento e amplamente difundida no âmbito global. Os diagramas foram confeccionados através da ferramenta Bizagi por atender o padrão BPMN, ser utilizada por diversas organizações e ser gratuita.

3.Escopo

As ações apresentadas neste plano abrangem os serviços referentes ao tratamento de incidentes da segurança da informação no intuito de atender as necessidades de segurança da informação de toda a comunidade acadêmica da UFRJ.

Define-se como incidente de segurança, conforme descrito na 05/IN01/DSIC/GSIPR, qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores. Os incidentes da segurança da informação podem ser reportados a SegTic através de seus canais de comunicação, descritos mais abaixo neste documento. A equipe trabalha em regime 24 x 7, onde faz atendimento local de 8:00 às 17:00 de segunda a sexta-feira e ainda se matém de plantão fora do horário de serviço.

4.Conceitos e definições

BOT: Código malicioso o qual permite que o atacante controle remotamente o computador ou dispositivo que hospeda;

CAIS: Centro de Atendimento à Incidentes de Segurança da Informação;

COR : Centro de Operações de Rede;

DefaceBot: algorítmo executado para monitoramento de possíveis ataques de desfiguração de sites da universidade;

DdoS: (Distributed Denial of Service) Incidente de Segurança da Informação capaz de degradar ou indisponibilizar sistemas, redes ou serviços;

Ethos: Equipe de Treinamento Holístico Orientado a Segurança;

IP: Protocolo da internet ( Internet Protocol) ;

Log: Arquivo que contém registros de eventos de um sistema de informação;

OSTicket: Sistema de gestão de ticket de código aberto.

Ransomware: Código malicioso que torna inacessível os dados armazenados em um equipamento;

Responsável Técnico: Pessoa qualificada em TI que possa prestar suporte ao tratamento do incidente de segurança da informação;

RNP: Rede Nacional de Ensino e Pesquisa;

SGIS: Sistema de Gerenciamento de Incidentes de Segurança do CAIS/RNP

TeemIP: Sistema de Gerenciamento de endreços de IP de código aberto;

TROTI: Time de Resposta, Orientação e Tratamento de Incidentes;

Tratamento de Incidentes de Segurança em Redes Computacionais: é o serviço que consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de tendências;

Vulnerabilidade: é qualquer fragilidade dos sistemas computacionais e redes de computadores que permitam a exploração maliciosa e acessos indesejáveis ou não autorizados.

5.Fluxo do processo

5.1. Macro Processo da SegTIC

 

 

 

 

 

 

 

 

5.2.Tratamento de Incidentes da Segurança da Informação

 

 

 

 

 

 

 

 

 

O processo de tratamento de incidentes da segurança da informação tem o objetivo de atender aos incidentes de segurança da informação detectados na UFRJ e pode se iniciar de três maneiras distintas:

1) através do recebimento de um alerta disparado pelo sistema DefaceBot que monitora as páginas eletrônicas da UFRJ com o objetivo de detectar possíveis ataques de desfiguração (defacement);

2) com a abertura de um chamado pelo sistema OSTicket (https://suporte.tic.ufrj.br/), telefone ((21) 3938-0704), e-mail (seguranca@tic.ufrj.br ou abuse@ufrj.br) ou ainda através de preenchimento de formulário padrão na págian eletrônica da SegTic (https://www.security.ufrj.br/denuncie-um-incidente/);

3) duas vezes ao dia é realizado um mapeamento das vulnerabilidades das unidades da UFRJ. Podendo ser realizado mais vezes ao dia através de solicitação do sistema SGIS.

A seguir são descritas as atividades do processo:

Recebe o chamado do OSTicket e inicia o atendimento. Além dos chamados abertos pelos usuários da UFRJ, o sistema da RNP, SGIS, envia chamados por email e este abre chamados automaticamente para serem atendidos pelo TROTI

Quando o chamado for referente ao atendimento a um incidente: Verifica se o chamado é considerado um caso grave. Entende-se como casos graves: Bot, DDos e Servidor Invadido.

A busca pelo Responsável Técnico é feita por telefone ou email, caso não consiga identificar o TROTI verifica no sistema TeemIP. Se ainda assim, o Responsável Técnico, não for identificado, é solicitado a unidade da UFRJ, a qual pertence o IP referente a notificação, para que identifique o Responsável Técnico. Se ainda assim, o Responsável Técnico não for identificado, o TROTI solicita a COR, através de e-mail, a sua identificação.

No momento em que o Resposável Técnico é notificado o TROTI envia material (tutorial) para solução do chamado.

Verifica se Responsável Técnico resolveu o chamado na sua totalidade.

Em alguns casos o bloqueio não é realizado imediatamente, o TROTI disponibiliza mais um tempo para o Respnsável Técnico responder. Ultrapassando o limite desta prorrogação, o Responsável Técnico é bloqueado.

Encaminhado para o processo de Tratamento, quando a notificação não é solucionada pelo Responsável Técnico. O sistema OSTicket é atualizado com informações pertinentes ao chamado para a Equipe de atendimento.

Em caso de incidente identificado como grave, o TROTI confecciona um tutorial e a Diretoria Segtic publica na página da SegTic.

Em caso de incidente identificado como grave, o TROTI confecciona um tutorial e a Diretoria Segtic publica na página da SegTic.

A Ethos produz o material para o alerta (imagem, texto, tutorial, video).

A Ethos publica na página eletrônica o material produzido.

Este processo tem por objetivo normalizar a rede de computadores após a detecção de um incidente de segurança da informação.

Atualiza o chamado para fechado, quando o atendimento a notificação foi realizado em sua totalidade ou quando o Responsável Técnico é bloqueado por não ter atendido a notificação

 

Read more about Plano de Gestão de Incidentes de Segurança da Informação

Política de Segurança da Informação da UFRJ

Política de Segurança da Informação da UFRJ

Download do documento principal – Clique aqui: Download Normas de Utilização de Serviços Para usuários finais Norma de Utilização de Correio Eletrônico – Download – ( Aprovada em: 10/10/2014 ) Normas de Utilização da Internet – Download – ( Aprovada em: 10/10/2014 ) Normas de Utilização de Estações de Trabalho – Download– ( Aprovada em:Read more about Política de Segurança da Informação da UFRJ[…]