universidade candido mendes pÓs-graduaÇÃo lato … · o tema gerenciamento da segurança de...
TRANSCRIPT
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO LATO SENSU
INSTITUTO A VEZ DO MESTRE
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
UM DESAFIO NA ERA DO CONHECIMENTO
Por: Cosme Martins Nunes
Orientador
Prof. Fabiane Muniz
Rio de Janeiro
2009
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO LATO SENSU
INSTITUTO A VEZ DO MESTRE
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
UM DESAFIO NA ERA DO CONHECIMENTO
Apresentação de monografia ao Instituto A Vez do
Mestre – Universidade Candido Mendes como
requisito parcial para obtenção do grau de
especialista em Gestão Empresarial.
Por: . Cosme Martins Nunes
3
AGRADECIMENTOS
Ao meu filho, Rodrigo, que é o motivo
maior de me fazer voltar a estudar
após vinte anos longe da sala de aula.
À minha esposa, Verônica, por estar ao
meu lado sempre, pelo apoio, carinho e
amor que sempre me dedica.
A Deus, por me dar condições de
realizar mais este sonho.
A Professora Fabiane Muniz pelos
conselhos e pela paciência na ajuda
da criação deste trabalho.
Ao Pink Floyd, por prover a trilha
sonora que embalou as madrugadas
em que estive redigindo esta
monografia.
4
DEDICATÓRIA
Este trabalho é dedicado à memória de
minha mãe, Izaura que mesmo em face
das maiores dificuldades, nunca deixou
de sorrir e nos contagiar com sua alegria.
Te amo demais!
5
RESUMO
O presente trabalho trata do tema Segurança da Informação, o objetivo
deste estudo é destacar a importância do tema considerando que muitas das
informações estratégicas e confidenciais das empresas simplesmente vazam
por falta de um tratamento adequado dispensado ao assunto. Este trabalho foi
estruturado em três partes. A primeira parte aborda os aspectos básicos,
conceitos e definições do tema visando esclarecer a relação entre a
informação, seu valor estratégico e as implicações advindas de um possível
vazamento. A segunda parte trata mais especificamente das conformidades,
diretrizes e bases e como implantar a Política de Segurança da Informação nas
organizações. Por fim, a terceira parte busca apresentar alternativas para a
implantação da Gestão de Segurança da Informação, visando minimizar este
problema nas organizações.
Considerando a afirmação de vários autores de que em segurança da
informação praticamente não existe nada totalmente seguro, evitar a
ocorrência do vazamento de informações em sua plenitude é pouco provável.
Porém é fato que muito ainda se pode realizar nas empresas para mitigar este
risco. É importante destacar que muitas das ações para inibir ou até mesmo,
em certos casos, evitar o vazamento de informações são decorrentes de
melhorias nos processos de tratamento das informações sensíveis nas
empresas e também da necessidade de programas de conscientização
constantes, pois por mais automatizados que estejam os processos, sempre
existirá o elemento humano, ou seja, pessoas usando, manipulando e até
mesmo vazando as informações corporativas.
6
METODOLOGIA
A metodologia de pesquisa utilizada neste trabalho foi bibliografias e
conceitos encontrados em livros, artigos em revistas especializadas e sites
sobre o tema proposto, como também outras referências para fundamentação
do assunto.
Foi feito um levantamento da literatura dos conceitos básicos de
segurança da informação, abordagem das políticas de segurança da
informação, suas normas, regulamentações e diretrizes, como também sua
implantação e manutenção.
Este trabalho teve como característica a pesquisa descritiva, onde o
objetivo foi mensurar o quanto a informação é valiosa e o quanto é importante
mantê-la em segurança, fazendo um levantamento dos principais atributos da
segurança da informação - confidencialidade, integridade e disponibilidade -
seus conceitos e práticas e analisando a criação e implantação das políticas de
segurança nas organizações. Os três principais autores usados para este fim
foram, Beal, Sêmola e Laureano.
7
LISTA DE ABREVIATURAS E SIGLAS
Ø ABNT – Associação brasileira de normas técnicas
Ø COBIT – Control objectives information and related technology
Ø ISACF – Information Systems Audit and Control Association
Ø ISO – International Organization for Standardzation
Ø ITIL – It Infrastructure Library
Ø NBR – Norma brasileira
Ø PDCA – Plan, Do, Check, Act
Ø PSI – Política de Segurança da Informação
Ø SGSI – Sistema de Gerenciamento de Segurança da Informação
Ø TI – Tecnologia da Informação
8
LISTA DE FIGURAS
Figura 1 – Os quatro princípios da segurança 19
Figura 2 – PDCA no Sistema de Gestão de Segurança da Informação 34
Figura 3 – Proposta de metodologia para implantação do SGSI 37
Figura 4 - Gerenciamento das áreas de risco de segurança da informação 45
Figura 5 – Etapas da estratégia pró-ativa 45
9
SUMÁRIO
INTRODUÇÃO 10
CAPÍTULO I – Princípios Básicos de Segurança da Informação 12
CAPÍTULO II – Políticas de Segurança da Informação 22
CAPÍTULO III – Implantando a Gestão de Segurança da Informação 33
CONCLUSÃO 48
BIBLIOGRAFIA 50
WEBGRAFIA 51 ÍNDICE 52
10
INTRODUÇÃO
Este trabalho acadêmico, organizado na forma de monografia, tem
como objetivo, mostrar ao longo de seus três capítulos os principais aspectos
relativos à Gestão de Segurança da Informação nas organizações e
tentará responder a esta e outras questões referentes ao tema proposto.
Serão abordados neste trabalho quais são as melhores práticas
de segurança da informação em redes de computadores aplicando a norma
ABNT NBR SO/IEC 17799:2005.
O tema gerenciamento da segurança de informação em redes de
computadores é de extrema importância na atualidade, com o aumento
expressivo de negócios realizados por meios de comunicação, os altos
investimentos e lucros obtidos, é obrigatório que as organizações
mantenham a comunicação entre seus clientes e fornecedores, sempre
disponibilizadas, integras e confiáveis.
Este trabalho está organizado em três capítulos fornecendo todo o
conteúdo teórico para a utilização das diretrizes de segurança. O capitulo um
apresenta as informações teóricas, aspectos básicos, conceitos e definições, é
neste capítulo que está definido o que é informação, o porquê da segurança da
informação e qual a sua importância. O capitulo dois apresenta as
conformidades da NBR ISO/IEC 17799:2005, diretrizes e bases e como
criar a política de segurança da informação na organização. O capítulo três
descreve algumas ameaças e vulnerabilidades técnicas e humanas,
apresenta um estudo de alguns dos principais problemas que podem ocorrer
por falta de medidas básicas de segurança da informação nas empresas e por
fim, mostra os pontos principais para implantação da gestão de segurança da
informação.
11
Encontramos hoje um cenário de comunicação e troca de informações
entre empresas e seus clientes dentro de um processo totalmente globalizado,
onde não existem barreiras culturais, físicas e temporais, utilizando-se de
estruturas tecnológicas totalmente diferentes onde a internet torna-se cada vez
mais a ferramenta de integração pelo seu extenso alcance, área de atuação e
custo reduzido.
Observamos a migração contínua e exponencial das informações que
antes tínhamos armazenadas em mídias físicas, tais como documentos, fotos
e músicas e vídeos para o mundo virtual (digital), onde não só as informações
mas também os serviços são oferecidos através de estruturas digitais (bancos,
consultas, reservas e etc.), transformando a vida pessoal e profissional de
todos criando novas formas de emprego e alterando para sempre o nosso
cotidiano.
Invasão de hackers, espionagem industrial, é cada vez mais fácil
enviar as informações ou mesmo torná-las indisponíveis. Sempre houve a
preocupação em adquirir novos equipamentos de segurança, mas não se
imaginava que o ser humano é um sistema de informação e que pode
transportar essas informações. Por esse motivo é necessária uma norma
que possa implementar a partir da alta direção, uma política de
segurança na organização. Mas como fazer isso?
É possível ter uma rede de computadores totalmente segura em uma
organização?
12
CAPÍTULO I
PRINCÍPIOS BÁSICOS DA SEGURANÇA DA
INFORMAÇÃO
Os princípios básicos da Segurança da Informação são a
confidencialidade, integridade e disponibilidade das informações segundo a
norma ABNT NBR ISO/IEC 17799:2005. Os benefícios evidentes são reduzir
os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens, roubo de
informações e diversos outros problemas que possam comprometer estes
princípios básicos.
A Segurança da Informação visa também aumentar a produtividade
dos usuários através de um ambiente mais organizado, maior controle sobre os
recursos de informática e finalmente, viabilizar aplicações críticas das
empresas.
As vulnerabilidades existem, os ataques também existem e crescem a
cada dia, tanto em quantidade quanto em qualidade. Uma infra-estrutura de
segurança não é só necessária como obrigatória, devendo existir, além de um
investimento específico, um planejamento, uma gerência e uma metodologia
bem definida.
É importante lembrar que os seres humanos são o elo mais fraco
dessa corrente. Podemos ter os mais perfeitos produtos de segurança, mas
eles não serão nada se não tivermos consciência que eles serão gerenciados e
utilizados por pessoas, isto nos faz refletir sobre a necessidade de uma infra-
estrutura de segurança e forma de como montá-la.
13
1.1 O que é Segurança da Informação?
Para que esta pergunta possa ser respondida precisamos entender
primeiro o seguinte conceito:
O que é Informação?
Informação é uma palavra que nunca foi fácil definir, mas seu uso
regular está sempre presente em nossa vida como elemento imprescindível -
podemos dizer que vivemos em uma sociedade da informação. Ou ainda,
como aponta Küppers:
“Assim como o homem da idade do
bronze e do ferro lidava com esses
elementos mas não dispunha de
estruturas conceituais apropriadas para
defini-los, também nós, habitantes da era
da informação, teremos que aguardar o
desenvolvimento das ciências para
podermos ir além das metáforas na
descrição do conceito de informação
(Küppers, 1990)”.
A informação é o dado com uma interpretação lógica ou natural dada a
ele por seu usuário (Rezende e Abreu, 2000). A informação tem um valor
altamente significativo e pode representar grande poder para quem a possui. A
informação contém valor, pois está integrada com os processos, pessoas e
tecnologias.
14
Informação é o resultado do processamento, manipulação e
organização de dados de tal forma que represente uma modificação
(quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou
máquina) que a recebe (Wikipédia – http://pt.wikipedia.org ).
Informação enquanto conceito, carrega uma diversidade de
significados, do uso cotidiano ao técnico. Genericamente, o conceito de
informação está intimamente ligado às noções de restrição, comunicação,
controle, dados, forma, instrução, conhecimento, significado, estímulo, padrão,
percepção e representação de conhecimento.
O armazenamento de informação, a comunicação de dados e a
transformação de dados em informação são novos insumos básicos da
economia global. A rede computacional internacional, com seus protocolos
universais abertos e extremamente flexíveis, aliada à existência de micro-
computadores poderosos nas pontas de cada ramificação capilar, permitiu
grande capacidade de armazenamento, alta velocidade de comunicação e
transformação eficiente de dados. Essa forte mudança quantitativa leva à
mudança qualitativa que é referida como “revolução’’ (Mandel, 1997)”.
Segundo a definição da Norma (ISO/IEC 17799:2005) A informação é
um ativo que, como qualquer outro ativo importante, é essencial para os
negócios de uma organização e conseqüentemente necessita ser
adequadamente protegida. Isto é especialmente importante no ambiente dos
negócios, cada vez mais interconectados. Como um resultado deste incrível
aumento da interconectvidade, a informação está agora exposta a um
crescente número e a uma grande variedade de ameaças e vulnerabilidades.
Podemos afirmar também que a é todo o conhecimento que possa ser
criado, usado, armazenado, transportado, descartado, independente do meio
em que se encontre. A informação é um dos patrimônios mais importantes das
organizações, vital para a continuidade dos negócios.
15
Observa-se que o com o resultado do incrível aumento da
interconectvidade das empresas as informações ficam expostas a um
crescente número e a uma grande variedade de ameaças e vulnerabilidades
que devem imediatamente ser identificadas e reduzidas a níveis aceitáveis ou
se possível evitadas, para que não comprometam os processos de negócio.
Segundo ainda (ISO/IEC 17799:2005) a informação pode existir em
diversas formas. Ela pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida pelo correio ou por meios eletrônicos,
apresentada em filmes ou falada em conversas.
Informações corporativas são ativos e devem ser protegidos desde sua
criação até o fim de sua vida útil, devem ser mantidas em local seguro, correto
e de forma confiável sendo prontamente disponibilizada para uso autorizado.
Para se converter dados, em informações úteis e valiosas é necessário
o estabelecimento de regras e relações para maior organização de dados. A
transformação de dados em informações é um processo, uma série de
tarefas logicamente relacionadas, executadas para atingir um resultado
definido. O processo de definição de relações entre dados requer
conhecimento.
A importância da informação em nossas vidas e a forma como a
estamos encarando estão sendo modificadas. O valor da informação está
diretamente ligado à maneira como ela ajuda os tomadores de decisões
a atingirem seus objetivos. A informação e o conhecimento serão os
diferenciais das empresas e dos profissionais que pretendem destacar-se
no mercado e manter a sua competitividade.
16
Na gestão empresarial, a informação é tratada como ativo que
como qualquer outro ativo importante para os negócios, tem um valor
para a instituição. É o principal patrimônio de uma empresa. As
empresas já perceberam que o domínio da tecnologia como aliado para
o controle da informação é vital.
Como a implementação da Segurança da Informação é um processo
de gestão, estes controles precisam ser estabelecidos, implementados,
monitorados, analisados criticamente e melhorados, onde necessário, para
garantir que os objetivos do negócio e de segurança da organização sejam
atendidos de forma continuada. A implementação da Segurança da Informação
deve ser efetuada sempre alinhada e em conjunto com outros processos de
gestão do negócio.
Alguns exemplos da necessidade de se efetuar uma gestão de
segurança para a proteção adequada das informações:
• Pelo seu valor no processo de negócio • Pelo impacto de sua ausência ou importância de sua existência • Pelo impacto resultante de seu uso por terceiros • Pela relação de dependência com a sua atividade
A Segurança da Informação é um processo de gestão que tem como
objetivo principal a proteção da informação dos diversos tipos de ameaças
para que seja possível garantir a continuidade do negócio, minimizar o risco ao
negócio, maximizar o retorno sobre os investimentos e as oportunidades de
negócio para a empresa e seus usuários.
Os administradores de hoje devem saber como estruturar e coordenar
as diversas tecnologias de informação e aplicações de sistemas empresariais
para atender às necessidades de informação de cada nível da organização e
às necessidades da organização como um todo.
17
A Segurança da Informação é a proteção dos sistemas de informação
contra a negação de serviço a usuários autorizados, assim como contra a
intrusão, e a modificação não-autorizada de dados ou informações,
armazenados, em processamento ou em trânsito, abrangendo a segurança
dos recursos humanos, da documentação e do material, das áreas e
instalações das comunicações e computacional, assim como as destinadas a
prevenir, detectar, deter e documentar eventuais ameaças a seu
desenvolvimento (Laureano, 2004).
Segurança é a base para dar às empresas a possibilidade e a
liberdade necessária para a criação de novas oportunidades de negócio. É
evidente que os negócios estão cada vez mais dependentes das tecnologias e
estas precisam estar de tal forma a proporcionar confidencialidade, integridade
e disponibilidade – que conforme observado por (Sêmola, 2003), são os
princípios básicos para garantir a segurança da informação:
• Confidencialidade ou Privacidade: A informação deve ser protegida
de acordo com o grau de sigilo de seu conteúdo, visando à limitação de
seu acesso e uso apenas às pessoas para quem elas são destinadas.
• Integridade dos dados: A Informação deve ser mantida na mesma
condição em que foi disponibilizada pelo seu proprietário, visando protegê-las
contra alterações indevidas, intencionais ou acidentais.
• Disponibilidade: Toda a informação gerada ou adquirida por um
individuo ou instituição deve estar disponível aos seus usuários no
momento em que os mesmos delas necessitem para qualquer finalidade.
18
O item integridade não pode ser confundido com confiabilidade do
conteúdo (seu significado) da informação. Uma informação pode ser imprecisa,
mas deve permanecer integra (não sofrer alterações por pessoas não
autorizadas).
A segurança visa também aumentar a produtividade dos usuários
através de um ambiente mais organizado, proporcionando maior controle sobre
os recursos de informática, viabilizando até o uso de aplicações de missão
crítica.
Alguns autores (Sêmola, 2003, Beal, 2008, Resende e Abreu, 2000)
defendem que para que uma informação seja considera segura, o sistema que
a administra ainda deve respeitar os seguintes critérios:
• Autenticidade: Toda a informação deve ter a garantia de identificação
das pessoas ou organizações envolvidas na comunicação.
• Não-repúdio: A informação deve ter a garantia que o emissor de uma
mensagem ou a pessoa que executou determinada transação de forma
eletrônica, não poderá posteriormente negar sua autoria.
• Legalidade: Garante a legalidade (jurídica) da informação; Aderência de
um sistema à legislação; Característica das informações que possuem valor
legal dentro de um processo de comunicação.
• Privacidade: Foge do aspecto da confiabilidade, pois uma informação
pode ser considerada confidencial, mas não privada.
• Auditoria: Rastreabilidade dos diversos passos que um negócio ou
processo realizou ou que uma informação foi submetida, identificando os
participantes, os locais e horários de cada etapa.
19
Em (Laureano, 2004) é sugerido que a segurança somente é obtida
através da relação e correta implementação de quatro princípios da segurança:
confidencialidade, integridade, disponibilidade e auditoria. A figura abaixo
ilustra a relação dos princípios para a obtenção da segurança da informação.
Figura 1 – Os quatro princípios da segurança segundo (Laureano, 2004).
A confidencialidade é dependente da integridade, pois se a integridade de um
sistema for perdida, os mecanismos que controlam a confidencialidade não
são mais confiáveis.
A integridade é dependente da confidencialidade, pois se alguma informação
confidencial for perdida (senha de administrador do sistema, por exemplo) os
mecanismos de integridade podem ser desativados.
Auditoria e disponibilidade são dependentes da integridade e
confidencialidade, pois estes mecanismos garantem a auditoria do sistema
(registros históricos) e a disponibilidade do sistema (nenhum serviço ou
informação vital é alterado).
Confidencialidade
Integridade
Integridade
Confidencialidade
Disponibilidade Auditoria
Confidencialidade
Integridade Confidencialidade
Integridade
SEGURA�ÇA
20
1.2 A importância da Segurança da Informação
A informação, assim como todos os processos de apoio, os sistemas
de infra-estruturas tecnológicas, os recursos humanos e os ambientes físicos
também são importantes ativos para os negócios.
“A dependência nos sistemas de
informação e serviços significa que as
organizações estão cada vez mais
vulneráveis às ameaças de segurança.
A interconexão de redes públicas e
privadas e o compartilhamento de
recursos de informação aumentam a
dificuldade de se controlar o acesso. A
tendência da computação distribuída
dificulta a implementação de um
controle de acesso centralizado
realmente eficiente (ISO/IEC
17799:2005)”.
As organizações e seus sistemas de informação são expostos
constantemente a diversos tipos de ameaças à segurança da informação,
como por exemplo, fraudes, espionagem, sabotagem, vandalismo, incêndio e
inundação, danos causados por códigos maliciosos, usuários mal
intencionados, hackers1, e ataques planejados aos sistemas de informação
(crime organizado) estão se tornando cada vez mais comuns, mais ambiciosos
e incrivelmente mais sofisticados.
21
Definir, alcançar, manter e melhorar a segurança da informação podem
ser atividades essenciais para assegurar a competitividade, a lucratividade, a
redução de custo, o atendimento aos requisitos legais e a imagem da
organização junto ao mercado.
A segurança da informação é de extrema importância para os negócios
e para proteger as infra-estruturas críticas. A interconexão de redes públicas e
privadas e o compartilhamento de recursos de informação aumentam a
dificuldade de se controlar o acesso. A tendência da computação distribuída
reduz a eficácia da implementação de um controle de acesso centralizado.
Vale ressaltar que, atualmente, a grande maioria das informações
disponíveis nas organizações encontra-se armazenadas e são trocadas entre
os mais variados sistemas automatizados. Dessa forma, inúmeras vezes
decisões e ações tomadas decorrem das informações manipuladas por esses
sistemas.
Dentro deste contexto, toda e qualquer informação deve ser correta,
precisa e estar disponível, a fim de ser armazenada, recuperada, manipulada
ou processada, além de poder ser trocada de forma segura e confiável. É
oportuno salientar que, nos dias atuais, a informação constitui uma mercadoria,
de suma importância para as organizações dos diversos segmentos. “Por esta
razão, Segurança da Informação tem sido uma questão de elevada prioridade
nas organizações”. Segundo artigo de Silva Filho disponível em
(http://espacoacademico.com.br).
1 Hackers - Fanático por computação especializado em desvendar códigos de acesso a
22
CAPÍTULO II
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A Política de Segurança da Informação (PSI) serve como base ao
estabelecimento de normas e procedimentos que garantem a segurança da
informação, bem como determina as responsabilidades relativas à segurança
dentro da empresa segundo (Beal, 2008).
De acordo com (Sêmola, 2003) o primeiro desafio é conseguir
enxergar a segurança em todos os aspectos — físicos, tecnológicos e
humanos — e tratar todos eles de forma igualitária. As questões de segurança
não podem mais ser atribuídas simplesmente à ação de hackers. Dependem
também do comportamento dos funcionários, de documentos formais que
estabeleçam uma política de segurança e criem uma cultura nas pessoas, e da
segurança física nas próprias instalações.
.
O principal propósito de uma política de segurança é informar aos
usuários, equipe e gerentes, as suas obrigações para a proteção da tecnologia
e do acesso à informação. A política deve especificar os mecanismos através
dos quais estes requisitos podem ser alcançados. Outro propósito é oferecer
um ponto de referência a partir do qual se possa adquirir, configurar e auditar
sistemas computacionais e redes, para que sejam adequados aos requisitos
propostos. Portanto, uma tentativa de utilizar um conjunto de ferramentas de
segurança na ausência de pelo menos uma política de segurança implícita não
faz sentido, conforme especifica o Site Security Handbook2, 1997 disponível
em (http://penta.ufrgs.br/gereseg/rfc2196/cap2.htm).
computadores. (Dicionário Folhaonline em http://www1.folha.uol.com.br). 2 Site Security Handbook - Guia para administradores de sistemas e redes – Criado pelo time de resposta a incidentes de segurança da Universidade de Stanford, 1997. EUA.
23
O objetivo da Política de Segurança da Informação (PSI) é o de prover
uma orientação e apoio da direção para a segurança da informação de acordo
com os requisitos do negócio e com as leis e regulamentações relevantes.
Segundo a (ISO/IEC 17799:2005) “Convém que a direção estabeleça
uma política clara e demonstre apoio e comprometimento com a
segurança da informação através da emissão e manutenção de uma política
de segurança da informação para toda a organização”.
A Política de Segurança deve ser estabelecida de forma clara, alinhada
com os objetivos do negócio e demonstre apoio e comprometimento com a
segurança da informação por meio da publicação e manutenção de uma
política de segurança da informação para toda a organização.
Normalmente a Política de Segurança da Informação é formada por
um conjunto de documentos denominados: Diretrizes, Normas e
Procedimentos. - Documento da política de segurança da informação (ISO IEC
27001:2006).
O documento ou o conjunto de documentos que constituem a política
de segurança da informação deve ser aprovado pela alta direção, publicado e
comunicado para todos os funcionários e partes externas relevantes da
organização.
“A simples utilização de mecanismos de
segurança para a proteção dos recursos
de um sistema de informação não é
suficiente para garantir que os serviços de
segurança desejados sejam alcançados.
Sem a compreensão de todos os
aspectos envolvidos na segurança de um
sistema, todo o trabalho pode estar
comprometido (Beal, 2008)“.
24
Para que seja possível a implantação da política é necessário que a
alta direção tenha aprovado, comunicado e publicado, de maneira
adequada para os funcionários. É necessário que a alta direção esteja
sempre preocupada com o processo e estabeleça as linhas mestras para
a gestão da segurança da informação. Onde devem ser estabelecidas no
mínimo as seguintes orientações:
Ø Definição de segurança da informação, resumo das metas e
escopo e a importância da segurança como um mecanismo que habilita o
compartilhamento da informação;
Ø Declaração do comprometimento da alta direção, apoiando as
metas e princípios da segurança da informação;
Ø Breve explanação das políticas, princípios, padrões, e requisitos de
conformidade de importância específica para a organização, por exemplo:
1. Conformidade com a legislação e cláusulas contratuais;
2. Requisitos na educação de segurança;
3. Prevenção e detecção de vírus e software maliciosos;
4. Gestão da continuidade no negócio;
5. Conseqüências das violações na política de segurança da informação;
Ø Definição das responsabilidades gerais e específicas na gestão da
segurança da informação, incluindo o registro dos incidentes de segurança;
Ø Referencias à documentação que possam apoiar a política, por
exemplo, políticas e procedimentos de segurança mais detalhados de
sistemas de informação específicos ou regras de segurança que convém
que os usuários sigam. (ISO/IEC 17799, 2005).
25
2.1 Normas e Padrões de Segurança da
Informação
De acordo com (Beal, 2008) normas e padrões técnicos representam
uma referência importante para a qualidade de qualquer processo. Quando
processos de produção de bens e serviços são desenvolvidos em
conformidade com um padrão de referência de qualidade, aumentam as
garantias de que estes sejam eficientes, eficazes e confiáveis.
Existem diversas referências internacionais criadas para auxiliar as
organizações a implementar as melhores práticas na gestão da segurança da
informação e da TI (Tecnologia da Informação). São elas:
ITIL (It infrastructure library) – O ITIL é um conjunto de documentos
desenvolvidos pelo governo do Reino Unido para registrar as melhores práticas
na área de gestão de serviços de TI. o ITIL contempla as áreas de gestão de
incidentes, problemas, configuração, atendimento ao usuário final, nível de
serviço e desenvolvimento, implantação e suporte de softwere3, colaborando
assim tanto para a padronização e a melhoria da qualidade do serviço ofertado
pela área de TI, quanto para o estabelecimento de processos voltados para o
alcance dos objetivos de segurança da informação.
COBIT (Control objectives information and related technology) - O
COBIT é um conjunto de diretrizes para a gestão e auditoria de processos,
práticas e controles de TI. Desenvolvido pela Informations Systems Audit and
Control Association (ISACF) e pelo IT Governance Institute, o COBIT contém
mais de 300 pontos de controle para 34 processos, sendo um deles o de
segurança da informação.
3 Softwere – Conjunto de programas, procedimentos e regras que permite ao computador a realização de certas tarefas (Dicionário Enciclopédico Ilustrado Larousse).
26
ISO Guide 73 – A ISO/IEC Guide 73 (Risk managemente – vocabulary
– guidelines for use in standards), publicada em 2002, define 29 termos da
Gestão de Riscos, os quais foram agrupados nas seguintes categorias: termos
básicos; termos relacionados a pessoas ou organizações afetadas por riscos;
termos relacionados à avaliação de riscos; termos relacionados a tratamento e
controle de riscos. A norma é útil para uniformizar o entendimento em relação
aos conceitos relacionados ao risco.
ISO 13335 – A ISO/IEC 13335 (Guidelines for the management of IT
security), é um conjunto de diretrizes de gestão de segurança voltadas
especificamente para tecnologia da informação. A norma é composta de cinco
partes, que tratam de conceitos e modelos para a segurança de TI, da
administração e planejamento de segurança de TI, das técnicas para a gestão
da segurança de TI, da seleção de medidas de proteção e da orientação
gerencial em segurança de redes. A ISO 13335 tem por objetivo não só servir
de base para o desenvolvimento e o aprimoramento de uma estrutura de
segurança de TI, como também estabelecer uma referência comum de gestão
de segurança para todas as organizações.
BS 7799 e ISO/IEC 17799 – A “família” de padrões BS 7799 trata da
gestão da segurança da informação. Está dividida em duas partes sendo a
parte 1 desse conjunto de padrões, que corresponde a um “código de práticas
para a gestão da segurança da informação”. A segunda parte do padrão , BS
7799-2, é voltada para a definição de um sistema de gestão de segurança da
informação (ISMS, de Information Security Management System). Especifica
uma série de processos voltados para garantir não só a avaliação e o
tratamento dos riscos, mas também a revisão e melhoria dos processos para
garantir que o ISMS seja atualizado frente às mudanças no ambiente de
negócios e seus efeitos na organização, e oferece certificação. O sistema de
controle implementado para gerenciar os riscos é derivado dos controles
mencionados na ISO/IEC 177999 (Beal, 2008, ps. 31,32,33).
27
2.1 Conformidade com a Norma ABNT NBR
ISO/IEC 17799:2005
Várias organizações começaram a se preocupar com a segurança da
informação, mas não possuíam nenhum tipo de metodologia e controles
que atendessem suas necessidades, pelo motivo de que cada organização
trabalha de uma maneira e suas prioridades entre os níveis de segurança
podem variar de uma organização para a outra.
A NBR (Norma Brasileira) ISO/IEC 17799 - Tecnologia da Informação –
Código de prática para a gestão da segurança da informação, é originada da
Norma Britânica BS7799 Parte 13, desenvolvida pela British Standards Institute
(BSI), com inicio em 1995, e depois padronizada pela International
Organization for Standardization (ISO) em 2000, como ISO/IEC 17799.
Com isso a International Organization for Standardization (ISO), onde
seu objetivo é criar normas e padrões universalmente aceitos, criou a Norma
ISO 17799, sendo no Brasil controlada pela Associação Brasileira de Norma
Técnicas (ABNT), como NBR ISO/IEC 17799, que tem como nome
Tecnologia da Informação – Código de prática para a gestão da segurança da
informação, onde proporciona para as organizações os controles
necessários para a segurança da informação.
Esta norma tem como objetivo fornecer recomendações para a gestão
da segurança da informação para uso dos departamentos responsáveis pela
introdução, implementação ou manutenção da segurança em suas
organizações. Proporcionando uma base para o desenvolvimento das normas
de segurança organizacional e das práticas efetivas de gestão da segurança.
28
A NBR ISO/IEC 17799, abrange ao todo 10 domínios, reunidos em 36
grupos que se totalizam em 127 controles, sendo seus domínios, a
Política de Segurança, a Segurança Organizacional, a Classificação e
Controle dos Ativos de Informação, a Segurança de Pessoas, a
Segurança Física e do Ambiente, o Gerenciamento das Operações e
Comunicações, o Controle de Acesso, o Desenvolvimento e Manutenção de
Sistemas, a Gestão da Continuidade do Negócio e a Conformidade conforme
descrito por (Beal, 2008):
1. Política de Segurança – Convém que Alta Direção estabeleça
uma Política clara e demonstre apoio e comprometimento com a
segurança da informação através da emissão e manutenção de
uma política de segurança da informação para toda
organização.
2. Segurança Organizacional – Convém que uma Estrutura de
Gerenciamento seja estabelecida para iniciar e controlar a
implementação da segurança da informação dentro da
organização.
3. Classificação e Controle dos Ativos de Informação –
Convém que todos os principais ativos de informação sejam
inventariados e tenham um proprietário responsável.
4. Segurança em Pessoas – Convém que responsabilidades de
segurança sejam atribuídas na fase de recrutamento, incluídas
em contratos e monitoradas durante a vigência de cada contrato
de trabalho.
5. Segurança Física e do Ambiente – Convém que os recursos e
instalações de processamento de informações criticam ou
sensíveis do negócio sejam mantidos em áreas Seguras.
29
6. Gerenciamento das Operações e Comunicações – Convém
que os procedimentos e responsabilidades pela gestão e
operação de todos os recursos sejam definidos. Isto abrange o
desenvolvimento de procedimentos operacionais apropriados e
de resposta a incidentes.
7. Controle de Acesso – Convém que o acesso à informação e
processo do negócio seja controlado na base dos requisitos de
segurança e do negócio, para protegê-los contra abusos
internos e ataques externos.
8. Desenvolvimento e Manutenção de Sistemas – Convêm que
todos os requisitos de segurança, incluindo a necessidade de
acordos de contingência, sejam, identificados na fase de
levantamento de requisitos de um projeto e justificados,
acordados e documentados como parte do estudo de caso de
um negócio para um sistema de informação.
9. Gestão da Continuidade do Negócio – Convém que o
processo de gestão da continuidade seja implementado para
reduzir, para um nível aceitável, a interrupção causada por
desastres ou falhas da segurança, através da combinação de
ações de prevenção e recuperação.
10. Conformidade – Convém que consultoria em requisitos legais
específicos seja procurada em organizações de consultoria
jurídica ou profissionais liberais, adequadamente qualificados
nos aspectos legais, com as normas e diretrizes internas e com
os requisitos técnicos de segurança.
30
2.2 Divulgação da Política de Segurança
De acordo com (Laureano, 2004) uma política de segurança somente
tem significado prático se for adequadamente divulgada em todos os níveis
hierárquicos da organização. Uma vez que todos os envolvidos (incluindo
usuários externos) tenham tomado conhecimento das diretrizes e normas
gerais de segurança, deixa de ser admissível a alegação de desconhecimento
das regras existentes como justificativa para sua violação.
Segundo (Beal, 2008) a responsabilidade pela comunicação da
Política de Segurança da Informação e pela implantação de um programa de
conscientização dos usuários deve ser atribuída formalmente a uma unidade
organizacional (departamento de recursos humanos, assessoria de
comunicação ou outra), que poderá solicitar da unidade de TI e de outros
setores da organização sua colaboração na produção de material de
esclarecimentos sobre detalhes da política. O uso de diferentes instrumentos,
como workshops4, murais, boletins e comunicação eletrônica (intranet5 e e-
mail), proporciona um melhor entendimento e comprometimento dos
colaboradores com as questões de segurança.
É recomendado o treinamento dos usuários em segurança da
informação, como forma de conscientização e divulgação da política de
segurança a ser seguida por todos. O programa de treinamento em segurança
deve fazer parte do programa de integração de novos funcionários e do
programa de integração de novos colaboradores, devendo ser feitos
treinamentos de reciclagem para os funcionários mais antigos.
4 Worshop – Treinamento utilizado em grupos de trabalho. 5 Intranet – Rede interna de computadores em que se usam os mesmos programas e protocolos de comunicação empregados na Internet (Dicionário Enciclopédico Ilustrado Larousse).
31
Em muitos casos é útil destacar do documento os trechos aplicáveis à
determinados grupos de funcionários ou colaboradores. A divulgação de
informações selecionadas da Política de Segurança da Informação, incluindo
apenas as regras e recomendações aplicáveis ao grupo ao qual se destina a
comunicação ou a um aspecto específico da segurança, aumenta o potencial
de retenção da informação pelos seus destinatários, colaborando para a
melhor compreensão e aplicação das regras existentes. Por exemplo, para
encarregados de serviços gerais, faxineiros, vigilantes e outros colaboradores,
que não fazem uso dos recursos computacionais, mas precisam ser
informados das regras relativas às suas responsabilidades de segurança
durante o desempenho de suas atividades, podem-se excluir os trechos
relativos às políticas de TI, mantendo-se as relativas a manipulação e descarte
de documentos em papel e mídias eletrônicas, procedimentos de controle de
acesso físico ao ambiente de trabalho, forma previstas para a comunicação de
incidentes de segurança física e outros. Igualmente, após um evento
relacionado a disseminação de vírus na rede da organização, uma nova
divulgação das diretrizes e procedimentos de segurança aplicáveis
especificamente à prevenção do problema (uso de antivírus para verificação de
mídias e arquivos antes de utilizá-los, exclusão de mensagem com anexos
suspeitos etc.) pode renovar a tenção dos funcionários e evitar a repetição do
incidente.
Independentemente da distribuição da comunicação direcionadas
sobre a Política de Segurança da Informação, sua versão integral deve
permanecer disponível para consulta pelos seus destinatários a qualquer
tempo, para que dúvidas e esquecimentos possam ser corrigidos e o nível de
proteção proporcionado pela política seja mantido ao longo do tempo.
32
2.3 Conformidade com a Política de Segurança
da Informação
Sozinhos, os esforços de elaboração, aprovação, manutenção e
divulgação da Política de segurança da Informação não são suficientes para
assegurar o cumprimento das diretrizes de segurança definidas pela
organização. A garantia de conformidade com a política de segurança depende
ainda de uma avaliação periódica do comportamento de todos os envolvidos
na implementação dos controles, de modo que eventuais desvios em relação
às diretrizes estabelecidas possam ser identificados e corrigidos. Essa
avaliação deve abranger todos os processos críticos da organização, e é
provável que as responsabilidades precisem ser divididas entre as áreas
responsáveis pelos diferentes aspectos de segurança (humano, tecnológico,
físico, administrativo e etc.).
Eventuais auditorias de conformidade com a Política de Segurança da
Informação devem ser desempenhadas por indivíduos que não participem
diretamente das atividades auditadas, para garantir a necessária isenção da
análise (por exemplo, para conferir se os procedimentos de recrutamento e
admissão de pessoal estão em conformidade com o previsto na política de
segurança, o ideal é designar um funcionário que não seja da área de recursos
humanos). Adicionalmente, cada unidade organizacional deve ser informada
das maneiras pelas quais ela pode colaborar com as verificações pertinentes (
por exemplo, comunicando situações incompatíveis com a determinação da
Política de Segurança da Informação, como o compartilhamento de senhas
individuais por grupo de funcionários, denunciando a presença de estranhos
não identificados nas dependências da organização etc.). Sempre que
possível, além das avaliações internas devem ser planejadas auditorias
externas para garantir a independência da análise.
33
CAPÍTULO III
IMPLANTANDO A GESTÃO DE SEGURANÇA DA
INFORMAÇÃO
Segundo (Sêmola, 2003) um Sistema de Gestão de Segurança da
Informação (SGSI) é um conjunto de processos e procedimentos, baseado em
normas e na legislação, que uma organização implementa para prover
segurança no uso de seus ativos tecnológicos. Tal sistema deve ser seguido
por todos aqueles que se relacionam direta ou indiretamente com a infra-
estrutura de TI da organização, tais como: funcionários, prestadores de
serviço, parceiros e terceirizados. O SGSI deve possuir obrigatoriamente o aval
da direção e do departamento jurídico da organização para conferir sua
legitimidade.
A implantação de um SGSI envolve primeiramente a análise de riscos
na infra-estrutura de TI. Esta análise permite identificar os pontos vulneráveis e
as falhas nos sistemas, que deverão ser corrigidos. Além disso, no SGSI, são
definidos processos para detectar e responder a incidentes de segurança e
procedimentos para auditorias.
Um assunto bastante relevante no SGSI é a implementação de um
programa de treinamento e conscientização dos usuários nas questões
relativas à Segurança da Informação. Isto se deve ao fato do usuário ser um
ponto fraco para os casos de invasão de sistemas devido à falta de
conhecimento das principais técnicas utilizadas pelos invasores. Prova disso é
o sucesso dos ataques de spam, onde o usuário recebe um e-mail que o induz
a executar um programa ou a acessar um site que coleta informações e as
envia para algum invasor.
34
3.1 O Processo de Implantação de um SGSI
A análise detalhada dos documentos apresentados no capítulo
anterior permitiu a identificação da superposição dos controles extraídos dos
diversos padrões e normas, e também, da complementaridade entre vários de
seus aspectos.
(Laureano, 2004) salienta que a implantação da SGSI começa pela
definição de quais dos itens especificados em cada padrão devem ser
implementados na organização. Em resumo, é necessário definir se os
itens do padrão estão adequados às características da organização.
Um SGSI é um sistema de gestão análogo a um Sistema da Qualidade
e como tal é passível de certificação. Esta certificação se dá a partir das
evidências (documentos e práticas) do conjunto de controles implantados e
que devem ser continuamente executados e devidamente registrados. Este
modelo de gestão está baseado no ciclo com melhoria contínua PDCA (Plan-
Do-Check-Act) como mostrado na figura abaixo.
Figura 2 – PDCA no Sistema de Gestão de Segurança da Informação (Laureano, 2004).
35
O Ciclo PDCA foi criado em 1920 e ainda hoje, é o principal
método da Administração pela Qualidade Total, sendo indicado na
BS7799 como meio de facilitar o gerenciamento do projeto de Segurança
da Informação. O modelo começa com a execução das atividades na fase
Plan, passando para as fases Do, Check e Act, sucessivamente. A idéia é que
este processo seja executado continuamente e que a cada novo ciclo, o
sistema seja melhorado.
Etapas do processo:
1. Plan (planejar) Estabelecer o SGSI – Estabelecer a política,
objetivos, processos e procedimentos do SGSI, relevantes para
a gestão de riscos e a melhoria da segurança da informação
para produzir resultados de acordo com as políticas e objetivos
globais de uma organização.
2. Do (fazer) Implementar e operar o SGSI – Implementar e
operar a política, controles, processos e procedimentos do
SGSI.
3. Check (checar) Monitorar e analisar criticamente o SGSI –
Avaliar e, quando aplicável, medir o desempenho de um
processo frente à política, objetivos e experiência prática do
SGSI e apresentar os resultados para a análise crítica pela
direção.
4. Act (agir) Manter e melhorar o SGSI – Executar as ações
corretivas e preventivas, com base nos resultados da auditoria
interna do SGSI e da análise crítica pela direção ou outra
informação pertinente, para alcançar a melhoria contínua do
SGSI.
36
O sucesso do Sistema Integrado de Gestão organizacional, começa
com a garantia de que uma das mais importantes recomendações da ISO
13335 está sendo aplicada. Em suma, deve ser acordado que os
representantes de todos os setores da organização estão comprometidos
com a Política de Segurança da Informação a ser implantada. Este
comprometimento é obtido através da criação de um comitê ou fórum de
segurança da informação, que deve se encontrar regularmente para balizar
e respaldar o trabalho.
.
Uma das funções principais deste comitê é definir o nível de
risco aceitável pela organização. Dependendo do tamanho da
organização, além deste comitê, é recomendada a criação de um
departamento de segurança da informação, sob responsabilidade do
Security Officer6. Algumas organizações podem ter também uma diretoria
de segurança que engloba as áreas de segurança física ou patrimonial
e segurança lógica. A inexistência do comitê afastará o departamento de
segurança das decisões estratégicas, fazendo com que este se torne um
departamento meramente operacional da área de TIo.
A norma BS 7799 oferece as ferramentas para a implantação e
gestão através do modelo PDCA. As fases Plan-Do do PDCA
correspondem às etapas de construção do SGSI envolvendo a
elaboração da política de segurança, definição do escopo,
desenvolvimento da análise de riscos, formalização da estratégia de gestão
de riscos, documentação e seleção dos controles aplicáveis para reduzir os
riscos quando necessário. Assim, a implantação do SGSI se dá efetivamente
nas duas primeiras fases do primeiro ciclo PDCA. Ainda no ciclo do modelo
PDCA, as fases Check-Act estão relacionadas à verificação de que as
medidas de segurança especificadas estão sendo aplicadas, às soluções
de segurança utilizadas e à melhoria contínua do conjunto de segurança, além
das auditorias periódicas de cada componente do sistema.
37
Questionário e relatório de análise de risco
3.2 Metodologia de Implantação de um SGCI
Cabe deixar claro que elaborar uma metodologia de
implementação para o projeto de segurança da informação é uma tarefa
complexa devido ao nível de detalhamento que inclui todos os tópicos,
itens e aspectos, tanto os técnicos quanto os de caráter gerencial. Porém
com um esforço adicional de detalhamento, a metodologia poderia vir a se
tornar uma referência para implantação e acompanhamento de Sistemas
de Gestão da Segurança da Informação em organizações (Laureano, 2004)
1º Passo: Estabelecimento Política de Segurança da
Informação
2º Passo: Definição do Escopo
3º Passo: Análise de Risco
4º Passo: Gerenciamento das áreas de risco
5º Passo: Seleção dos controles
6º Passo: Implementação e acompanhamento dos indicadores
Concepção
7º Passo: Auditoria do sistema e Plano de
melhorias
PLA�
DO
CHECK ACT
Plano de Ação, Políticas SGSI
Inventário e Mapa
Matriz e criticidade
Planilha de controles
Indicadores
Relatório do sistema de não conformidade
Figura 3 – Proposta de metodologia para implantação do SGSI (Laureano, 2004).
38
3.3 A Concepção do Sistema
A etapa inicial, que ocorre antes da realização do primeiro passo
da metodologia, corresponde à fase de concepção do sistema. É neste
momento em que se determina a viabilidade do projeto, realiza-se o
planejamento inicial de suas fases, bem como algumas estimativas iniciais de
custo, alocação de pessoal, cronograma, escopo, objetivos e metas.
Normalmente, a fase de concepção abrange duas etapas:
a) Diagnóstico da situação atual – verifica-se a existência de
alguma política de Segurança da Informação, aproveitando-se de controles já
implementados.
b) Planejamento do SGSI e preparação para a sua
implantação – nesta etapa, conforme as normas ISO/IEC TR 13335 e
BS7799, recomenda-se a formação do comitê responsável pela
implantação do Sistema na organização. O papel fundamental deste grupo é
de realizar formação básica e conscientização dos colaboradores, o
planejamento e a preparação do sistema, o detalhamento do projeto e a
definição / consolidação da Política de Segurança da Informação da empresa
conforme as normas e finalmente, o estabelecimento dos objetivos e
metas para o Programa de Gerenciamento da Segurança da Informação,
em conformidade com o planejamento estratégico da organização.
.
39
3.4 Estabelecimento de uma Política de
Segurança da Informação
Para construir as políticas de segurança da organização, o
comitê deve tomar como base os padrões e normas apresentados
anteriormente, sendo que dentre eles, o mais recomendado para esta
finalidade é: A BS7799/ISO17799 (Beal, 2008).
Política de Segurança é um documento que deve descrever as
recomendações, as regras, as responsabilidades e as práticas de
segurança. Entretanto, sabe-se que não existe uma “Política de Segurança
Modelo” que possa ser implementada em toda e qualquer organização,
pois a política deverá ser moldada à especificidade de cada caso. portanto,
elaborar uma política de segurança é uma tarefa complexa e que necessita
ser constantemente monitorada, revisada e atualizada. Além disso, os seus
resultados normalmente só poderão ser notados a médio e longo prazo.
É fundamental a existência de uma política de segurança que
seja realmente referência para os colaboradores da organização, possibilitando
a garantia dos três princípios básicos da segurança da informação:
integridade, disponibilidade e confiabilidade.
O comitê criado deverá ser responsável pela gestão da segurança da
informação, portanto, normalmente, este grupo propõe as políticas
necessárias para gestão da segurança da informação e seus recursos.
buscando realizar a implantação, acompanhamento e revisões periódicas.
40
A Política de Segurança deverá apresentar algumas
características, conforme specifica a ISO / IEC17799: ser aprovada pela
diretoria, divulgada e publicada de forma ampla para todos os colaboradores;
ser revisada regularmente, com garantia de que, em caso de alteração,
ela seja revista; estar em conformidade com a legislação e cláusulas
contratuais; deve definir as responsabilidades gerais e específicas; deve
dispor as conseqüências das violações.
Além destas características a Política de Segurança deverá abranger
os seguintes tópicos:
a) Propriedade da Informação – é interessante determinar o
responsável pela informação, pessoa que poderá definir quem poderá ter
acesso às informações e que nível de acesso é permitido, e qual a
periodicidade necessária para a realização do backup desta informação.
b) Classificação da informação – o gestor deverá classificar a
informação quantos aos princípios de disponibilidade, confidencialidade e
integridade.
c) Controle de acesso – deve atender ao princípio de menor privilégio.
Todo pedido de acesso deve ser documentado. Deve-se evitar a segregação
de função, por exemplo um mesmo usuário não deve ter acesso à geração de
pagamento e liberação do mesmo é importante, também, que se mantenham
as trilhas de auditoria no sistema.
d) Gerência de Usuários e Senhas – As senhas devem ser
únicas e individuais, seguindo critérios de qualidade, isto é, senhas fortes
com trocas periódicas. A responsabilidade da senha é do usuário proprietário
da mesma.
41
e) Segurança Física – Os acessos a áreas de servidores devem
ser consentidos mediante autorização. Deve-se ter controle quanto à entrada
e saída de equipamentos e pessoas, recomendando-se a criação de
normatizações de controles internos referentes à segurança física, os quais
deverão ser auditados periodicamente.
f) Desenvolvimento de sistemas ou compra de sistemas /
software – é importante definir uma sistemática interna com ênfase nos
requisitos de segurança.
g) Plano de continuidade de Negócios – é um dos mais
importantes tópicos na Política de Segurança, sendo recomendada a
geração de controles e padrões especificando detalhes quanto ao plano de
contingência e continuidade dos negócios.
h) Definição do Escopo – A definição do escopo inclui o
levantamento dos ativos que serão envolvidos, tais como: Equipamentos;
sistemas; nome da organização; estrutura de comunicação (Internet,
correio eletrônico); pessoas; serviços; infra-estrutura de rede interna e externa
e classificação da informação. À medida que evolui, o projeto deve ser
revisado e detalhado. Esta revisão é baseada no escopo do projeto, pois a
declaração do escopo é um documento que contém a base para as futuras
decisões. A delimitação do escopo é extremamente necessária, pois
quanto maior o escopo maior a complexidade do SGSI a ser implementado.
Esta etapa produz os seguintes resultados: o mapa do perímetro da
rede de computadores onde será aplicado o SGSI; o inventário dos
ativos e a classificação desses ativos.
Além das características mencionadas, vale ressaltar que as
políticas criadas devem ser seguidas por todos os colaboradores da
empresa e devem servir como referência e guia de segurança da
informação. Para isto, é necessária a realização de uma campanha de
divulgação e conscientização de sua importância para a organização.
42
3.5 Análise de Risco
Neste passo é realizado o diagnóstico da segurança para o
escopo definido, através da identificação dos ativos de informação envolvidos
e do mapeamento de todas as ameaças relacionadas a estes (Sêmola,
2003). Para cada ameaça deve ser determinado o nível de risco envolvido.
No desenvolvimento da análise de riscos, a ISO 13335 ocupa um papel
importante. Conforme apresentado na seção 2.1, esta norma trata
detalhadamente a questão de análise de riscos, apresentando diversas
opções e estratégias de condução da análise de riscos que podem ser
escolhidas em função do tempo e orçamento existente e dos objetivos.
Após esta fase, o uso da BS 7799 na atividade de decidir a estratégia de
gestão de riscos é de grande utilidade (Beal, 2008)
Após o diagnóstico dos riscos, deve-se definir junto à alta
administração da empresa, quais os níveis de risco aceitáveis e não-
aceitáveis. Entre os não aceitáveis, pode-se escolher uma entre as seguintes
opções:
• Reduzir o nível de risco – através da aplicação de controles de
segurança.
• Aceitar o risco – considerar que ele existe, mas não aplicar
qualquer controle.
• Transferir o risco – repassar a responsabilidade de
segurança a um terceiro, como, por exemplo, um data center.7
• Negar o risco – esta é a opção menos recomendada.
.
7 Data Center - é o local onde são concentrados os computadores e sistemas confiáveis (software) responsáveis pelo processamento de dados de uma empresa ou organização. (Wikipédia em http://pt.wikipedia.org/wiki/DataCenter )
43
A análise de riscos pode ser tanto quantitativa – baseada em
estatísticas, numa análise histórica dos registros de incidentes de segurança –
quanto qualitativa – baseada em know-how8 e geralmente realizada por
especialistas. Não é possível afirmar com certeza qual é a melhor
abordagem, uma vez que cada uma delas fornece uma ferramenta valiosa
para a estruturação das atividades de identificação de riscos.
A abordagem quantitativa se baseia nas informações coletadas
no processo qualitativo. Novamente, ferramentas computacionais
específicas para computar os dados de análise de risco podem ser de
grande utilidade nesta fase.
Devido a sua agilidade, geralmente as empresas tendem a adotar
o modelo qualitativo, que não requer cálculos complexos. Independentemente
do método adotado, uma Análise de Riscos deve contemplar algumas
atividades, como o levantamento de ativos a serem analisadas, definições
de uma lista de ameaças e identificação de vulnerabilidades nos ativos.
O relatório de análise de risco deve conter identificação e classificação
de ativos e processos de negócio, análise de ameaças e vulnerabilidades,
e análise e parametrização de riscos e definição de tratamento dos riscos.
8 Know-How - é o conhecimento de como executar alguma tarefa. (Wikipédia em http://pt.wikipedia.org/wiki/KnowHow )
44
3.6 Gerenciamento das Áreas de Risco
O Gerenciamento de Riscos é um processo contínuo, que não
termina com a implementação de uma medida de segurança. Através de uma
monitoração constante, é possível identificar quais áreas foram bem
sucedidas e quais precisam de revisões e ajustes.
Nessa etapa é estimado o impacto que um determinado risco
pode causar ao negócio. Como é praticamente impossível oferecer
proteção total contra todas as ameaças existentes, é preciso identificar
os ativos e as vulnerabilidades mais críticas, possibilitando a priorização
dos esforços e os gastos com segurança. Uma vez que os riscos tenham
sido identificados e a organização definiu quais serão tratados, as
medidas de segurança devem ser de fato implementadas.
Nessa etapa ainda podem ser definidas medidas adicionais de
segurança, como os Planos de Continuidade dos Negócios – que visam
manter em funcionamento os serviços de missão-crítica, essenciais ao
negócio da empresa, em situações emergenciais – e Response Teams9 – que
possibilitam a detecção e avaliação dos riscos em tempo real, permitindo que
as providências cabíveis sejam tomadas rapidamente. Todo o processo do
gerenciamento das áreas de risco de segurança da informação,
praticamente desenvolve-se em nove etapas, conforme salienta
(Laureano,2004) na figura 4.
9 Response Teams – É o Grupo de Resposta a incidentes de segurança responsável por receber, analisar e responder a incidentes de segurança envolvendo redes conectadas à Internet (http://www.cert.br )
45
Figura 4 - Gerenciamento das áreas de risco de segurança da informação (Laureano, 2004).
Figura 5 – Etapas da estratégia pró-ativa (Laureano, 2004).
Deve-se buscar implantar a gestão pró-ativa dos riscos, que envolve
um conjunto de etapas predefinidas que devem ser seguidas para impedir
ataques antes que eles ocorram. Essas etapas incluem verificar como um
ataque poderia afetar ou danificar o sistema de computador e quais as suas
vulnerabilidades. O conhecimento obtido nessas avaliações pode ajudar a
implementar diretivas de segurança que vão controlar ou minimizar os
ataques. A figura 5 ilustra as quatro etapas da estratégia pró-ativa.
Seguir estas etapas para analisar cada tipo de ataque resultará em um
benefício indireto: começará a surgir um padrão dos fatores comuns a
diferentes ataques. Esse padrão pode ser útil para determinar as áreas
de vulnerabilidade que representam o maior risco para a empresa.
Como pode ser notado, este passo está totalmente associado ao
passo anterior e, portanto, deve-se ter sempre em mente a necessidade de
equilibrar o custo da perda de dados e o custo da implementação dos controles
de segurança.
1– Análise e atribuição de valores e
2 – Identificação de riscos de segurança
3 – Análise e priorização de
riscos
4 – Controle , planejamento e agendamento
5 – Desenvolvimento e correções
6 – Teste de correções
7 – Registro de
conhecimento
8 – Reavaliação de ativos de
risco
9 – Estabilização e implantação de
contramedidas novas e
1– Determinar os dados que o ataque causará
2 – Vulnerabilidades e os pontos fracos que
poderão ser explorados
3 – Minimizar as vulnerabilidades e os pontos fracos
4 – Determinar o nível de contramedidas a serem implantadas
46
3.7 Seleção dos Controles
Após a identificação dos requisitos de segurança, convêm que os
controles sejam selecionados e implementados para assegurar que os riscos
sejam reduzidos a um nível aceitável. Dentre os 127 controles da BS 7799 são
selecionados, aqueles são aplicáveis à Gestão de Segurança da Informação.
Deve-se ainda observar os controles contidos nas demais normas e técnicas
existentes para que estes possam ser integrados de forma natural ao
SGSI (como proposto na seção anterior).
Não basta instituir uma série de regras a serem cumpridas
internamente. Para garantir a segurança de uma empresa, é necessário
estabelecer procedimentos e controles para o acesso de parceiros
externos à corporação, como por exemplo: definição de convênios para
acesso às bases corporativas e da política de uso da intranet e Internet;
definição de modelo de identificação de pirataria; de gerenciamento de rede;
de distribuição de versões de software e de padrões Internet; detecção de
inatividade de modems ligados à rede; definição do padrão de atualização de
antivírus e do acesso de empregados ao provedor corporativo; padronização
do portal institucional e do site comercial; implantação, roteamento,
criptografia, certificação digital, configuração de firewall, dentre outras
ferramentas e tecnologias necessárias.
Após levantamento dos controles, devem ser realizadas a análise e
seleção dos mesmos. Após sua definição, os controles devem ser
implementados dentro do escopo estabelecido, seguindo as informações
geradas durante o processo de análise de riscos, tomando o cuidado de
sempre manter o foco nos propósitos do negócio, evitando prejudicar,
inviabilizando ou retardando demasiadamente, a atividade fim da
organização.
47
3.8 Auditoria do Sistema
As auditorias internas do SGSI têm a finalidade de verificar, com
base em evidências objetivas, se as seguintes condições ocorrem
satisfatoriamente: Os procedimentos e instruções operacionais são
adequados e eficazes; Os setores da Empresa vêm atuando em
concordância com os documentos normativos; Os subsídios fornecidos são
suficientes para elaboração dos relatórios periódicos de análise crítica do
SGSI.
Para que as auditorias internas ocorram com eficácia, recomenda-se
que alguns princípios sejam seguidos, como por exemplo, a independência
dos auditores, o planejamento e notificação prévios, o aprimoramento
contínuo do SGSI e a busca de constatações e observações que agreguem
valores às atividades referentes à segurança da informação, aos objetivos e
metas da organização e às suas políticas.
As não conformidades (reais e potenciais) detectadas no SGSI
devem ser registradas de acordo com procedimento específico, incluindo
ações para registro e tomada de ação para encerramento da mesma. É
indicada uma análise crítica destas não conformidades e, se pertinente, é
executada a investigação de suas causas, a definição e a implantação de
ações corretivas e o registro das alterações em procedimentos. Após a
implantação das ações corretivas, deve ser feita uma avaliação de sua eficácia
antes de seu encerramento.
Conforme apresentado, a implantação de um SGSI é um
processo que busca continuamente o aprimoramento do modelo de gestão da
segurança da informação. Para tal, o acompanhamento e gerenciamento do
fluxo como ciclo PDCA devem ser uma constante na organização, seja
através de auditorias periódicas ou de ações de melhorias inseridas na rotina
diária de administração da informação.
48
CONCLUSÃO
O objetivo deste trabalho foi fornecer aos novos gestores, informações
sobre as formas de políticas de controle das vulnerabilidades, buscar
alternativas, soluções e esclarecimentos sobre Segurança da Informação,
tentar entender e elucidar quais os desafios de uma gestão nesta área.
Logicamente pode-se concluir que o processo de busca de
soluções para os problemas de segurança em ambientes computacionais
envolve a necessidade do desenvolvimento de padrões, os quais serão
tanto utilizados no apoio à construção de sistemas computacionais
"seguros", como para a avaliação dos mesmos. A existência de um SGSI
implantando na organização, permite ao usuário tomar conhecimento do quão
protegidas e seguras estarão as suas informações. Do ponto de vista dos
profissionais técnicos, eles passarão a possuir um modelo de atuação
comum, evitando assim que cada equipe tenha para si um padrão
desconexo das demais equipes. A grande contribuição da metodologia é
permitir que o responsável pela implementação do projeto de segurança
tenha uma visão única do sistema de segurança da informação e dos
diversos padrões, controles e métodos que o compõem.
A implementação e manutenção de um SGSI exigem uma
dedicação e análise profunda do ambiente computacional e
organizacional. Esta não é uma tarefa fácil e obrigaria o apoio da direção
da organização e a participação de todos os funcionários com esta
finalidade. Além disso, o processo poderia envolver a participação de
terceiros, como clientes e fornecedores, bem como a contratação de
uma consultoria externa. Por tudo isso, tornar seguro um ambiente
computacional pode ser uma tarefa bastante complexa, requerendo gestão e
procedimentos apropriados.
49
Uma das contribuições deste trabalho foi justamente a geração de
subsídios para o gerenciamento da implementação de um SGSI. Assim, as
etapas descritas no capítulo 3 desta pesquisa devem ser vistas como
modelo gerencial. Isto é, elas são, na verdade, documentos (como
relatórios, procedimentos, formulários e planos), ao invés de produtos de
natureza muito técnica (como, por exemplo, a instalação de um firewall).
Este fato demonstra a preocupação em desenvolver o esboço de
implementação segundo uma linha mais gerencial do que técnica. Desta
forma, a abordagem utilizada segue o que parece ser uma tendência das
modernas técnicas de gestão, que focalizam mais os resultados obtidos
em detrimento dos processos empregados para obtê-los.
Outro ponto importante foi a constatação de que garantir a
segurança da informação exige muito mais do que simplesmente instalar a
ferramenta ou tecnologia mais poderosa disponível no mercado. Antes de
optar por soluções tecnológicas, a organização precisa avaliar cuidadosamente
os riscos no contexto mais amplo possível e repetir esse processo
periodicamente para garantir que as mudanças no ambiente interno e externo
sejam consideradas. Implantar segurança exige investimentos elevados, e
tratar a segurança da informação usando um referencial de gestão de risco
facilita a obtenção de respostas precisas para perguntas como “o que
proteger”, “de que ameaças”, “por que razão”, e “a que custo”.
Existem diferentes formas de gerenciar os riscos de segurança da
informação. Os princípios e melhores práticas apresentados ao longo desta
pesquisa, embora representem uma fonte de referência para os responsáveis
pela implantação de uma estrutura de gestão de segurança corporativa, não
substituem a análise aprofundada do contexto organizacional. Compreender
claramente as características da organização , sua estrutura, suas
capacidades, objetivos, estratégias, restrições legais dos ativos de informação ,
em termos de seus valores tangíveis e intangíveis, é fundamental para que
possam definir critérios adequados para avaliar os riscos e selecionar as
melhores alternativas entre as medidas de proteção para reduzi-los.
50
BIBLIOGRAFIA
BEAL, Adriana. Segurança da Informação – Princípios e Melhores Práticas
para a Proteção de Ativos de Informação nas Organizações. Editora Atlas.
São Paulo, 2008.
Dicionário Enciclopédico Ilustrado Larousse – São Paulo: Larousse do
Brasil, 2007.
KÜPPERS, B. Informação e a Origem da Vida. Editora Atlas. São Paulo,
1990.
LAUREANO, Marcos Aurelio Pchek. Uma Abordagem Para a Proteção de
Detectores de Intrusão Baseadas em Máquinas Virtuais. Dissertação de
Mestrado apresentado ao Programa de Pós-Graduação em Informática
Aplicada da Pontifícia Universidade Católica do Paraná, 2004.
NBR ISO/IEC 17799:2005 – Tecnologia da informação – Técnicas de
Segurança – Código de Prática para a gestão da segurança da
informação, Rio de Janeiro: ABNT, 2005.
NBR ISO/IEC 27001:2006 – Tecnologia da informação – Sistemas de
gestão de segurança da informação, Rio de Janeiro: ABNT, 2006.
REZENDE, Denis Alcides e ABREU, Aline França. Tecnologia da Informação
Aplicada a Sistemas de Informação Empresariais. Editora Atlas. São Paulo,
2000.
SÊMOLA, Marcos. Gestão da Segurança da Informação – Uma visão
Executiva. Editora Campus. Rio de Janeiro, 2003.
51
WEBGRAFIA
CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil (http://www.cert.br) Acessado em 08/08/2009
Dicionário Folhaonline (http://www1.folha.uol.com.br) Acessado em
08/08/2009
Mandel, Arnaldo. Informação: Computação e Comunicação. Disponível em
http://www.ime.usp.br/~is/abc/abc/abc.html. Acessado em 27/07/2009
Silva Filho, Antonio Mendes da. Segurança da Informação: Sobre a
Necessidade de Proteção de Sistemas Informações. Disponível em
http://www.espacoacademico.com.br/042/42amsf.htm. Acessado em
25/07/2009
Site Security Handbook. 1997 - Guia para Administradores de Sistemas e
Redes, acessado em 31/07/2009.
http://penta.ufrgs.br/gereseg/rfc2196/cap2.htm).
Wikipédia - www.pt.wikipedia.org, Definição de Informação. 2009, acessado
em 27/07/2009 http://pt.wikipedia.org/wiki/Informacao
Wikipédia - www.pt.wikipedia.org, Definição de Data Center. 2009, acessado
em 16/08/2009 http://pt.wikipedia.org/wiki/DataCenter
Wikipédia - www.pt.wikipedia.org, Definição de Know-How. 2009, acessado em
16/08/2009 http://pt.wikipedia.org/wiki/KnowHow
52
ÍNDICE
FOLHA DE ROSTO 2
AGRADECIMENTO 3
DEDICATÓRIA 4
RESUMO 5
METODOLOGIA 6
LISTA DE ABREVIATURAS E SIGLAS 7
LISTA DE FIGURAS 8
SUMÁRIO 9
INTRODUÇÃO 10
CAPÍTULO I
Princípios Básicos da Segurança da Informação 12
1.1 - O que é Segurança da Informação? 13
1.2 - A importância da Segurança da Informação 20
CAPÍTULO II
Políticas de Segurança da Informação
2.1 - Normas e Padrões de Segurança da Informação 25 2.2 - Conformidade com a Norma ISO/IEC 17799:2005 27 2.3 - Divulgação da Política de Segurança 30 2.4 - Conformidade com a Política de Segurança da Informação 32
CAPÍTULO III
Implantando a Gestão de Segurança da Informação
3.1 - O Processo de Implantação de um SGSI 34
3.2 - Metodologia de Implantação de um SGSI 37
3.3 - A Concepção do Sistema 38
3.4 - Estabelecimento de uma Política de Segurança da Informação 39
3.5 - Análise de Risco 42
3.6 - Gerenciamento das Áreas de Risco 44
3.7 - Seleção dos Controles 46
3.8 - Auditoria do Sistema 47