52566307 apostila-gestao-de-seguranca-da-informacao

4,534 views
4,384 views

Published on

0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,534
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
320
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

52566307 apostila-gestao-de-seguranca-da-informacao

  1. 1. Índice AnalíticoI. Segurança Estratégica da Informação ..................................................................5 Objetivos da Segurança da Informação ..................................................................12II. Pilares da Segurança da Informação ..................................................................14 Conceitos ....................................................................................................................15 Confidencialidade .................................................................................................15 Integridade.............................................................................................................16 Disponibilidade......................................................................................................16 Aspectos .....................................................................................................................17 Autenticação ..........................................................................................................17 Autorização ............................................................................................................17 Auditoria ................................................................................................................18 Autenticidade.........................................................................................................18 Não Repúdio ..........................................................................................................19 Legalidade ..............................................................................................................19 III. Divisão da Segurança da Informação .........................................................20 Segurança Física e do Ambiente ..............................................................................21 Segurança pessoal .................................................................................................21 Segurança patrimonial .........................................................................................21 Segurança das edificações ....................................................................................22 Segurança de infra-estruturas .............................................................................22 Classificação de perímetros de segurança ..........................................................22 Controles de acessos ..............................................................................................22 Eventos naturais ....................................................................................................23 Eventos sociais .......................................................................................................23 Segurança Lógica e Sistêmica ..................................................................................24 Perímetro lógico de segurança .............................................................................24 Redes ......................................................................................................................24 Segurança de sistemas e Hosts .............................................................................25 Controle de acesso .................................................................................................25 Segurança em Pessoas...............................................................................................26 Engenharia social ..................................................................................................26 Acompanhamento de pessoal ...............................................................................26 Conscientização .....................................................................................................27 Educação ................................................................................................................27 Política de segurança ............................................................................................28 Gerência de mudança ...........................................................................................28
  2. 2. Quebra de paradigma social ................................................................................29 Controle e monitoração ........................................................................................30 Reforço negativo ou positivo ................................................................................30Ciclo de vida da informação.........................................................................................32 Fases do Ciclo ............................................................................................................32 Manipulação ..............................................................................................................32 Armazenamento ........................................................................................................33 Transporte .................................................................................................................33 Descarte......................................................................................................................34IV. Gestão da Segurança da Informação ..................................................................35 SGSI – Sistema de Gestão da Segurança da Informação ......................................35 Information Security Officer (Gestor de Segurança da Informação) ..............36 Atribuições do Information Security Officer .................................................36 Conselho de Segurança .........................................................................................37 Atribuições do Conselho de Segurança ...........................................................37 Plano Diretor de Segurança da Informação - PDSI ..........................................38V. Política de Segurança da Informação .................................................................39 Objetivos da Política de Segurança .........................................................................41 Desenvolvimento da Política de Segurança ............................................................45 Realização de Campanha de Conscientização ........................................................47 Conscientização .....................................................................................................48 Educação ................................................................................................................48 Treinamento ..........................................................................................................49 Implantação da Política ........................................................................................49VI. Norma BS 7799 ......................................................................................................50 Objetivo da Norma ...................................................................................................51 Controles requeridos pela Norma ...........................................................................51 Seleção dos controles.................................................................................................53 2
  3. 3. Introdução A Segurança Estratégica da Informação, à qual estamos vivenciando o surgimento como área doconhecimento, área esta que se utiliza da várias ciências – psicologia, sociologia, tecnologia,administração, arquivologia, antropologia, forense, direito, etc. - é de vital importância para o ‘mundo’corporativo, governamental e mesmo para o mundo privado e pessoal – sem a segurança este tende adesaparecer. Uma frase muito dita nos últimos tempos é: ‘A informação é um dos ativos mais valiosos dasorganizações’. Não poderia ser diferente, afinal estamos em plena transição da era da informação para aera do conhecimento, conhecimento este que necessita de informações para que seja adquirido ecompartilhado. Nada mais natural que se procure, portanto, assegurar que este ‘ativo’ tão importante àsorganizações esteja em total segurança. Sim, é natural, mas isto não significa necessariamente que todasas organizações estejam preparadas para a tarefa de manter suas informações em segurança. Nesta apostila vou procurar apresentar a Segurança Estratégica da Informação de maneira didática emostrar o que é necessário para que ela seja implementada, sem a pretensão de esgotar o assunto oufazer deste trabalho ‘a verdade’ sobre segurança da informação, pois esta é a minha visão sobre esteassunto, e nem sei por quanto tempo esta visão permanecerá. Espero que por pouco, pois ao mudarestarei evoluindo, assim como a Segurança Estratégica da Informação evoluirá. “O fator humano é o elo mais fraco da segurança”1 Vou apresentar também alguns conceitos de Gestão de Riscos e Continuidade de Negócios, que aomeu ver são indissociáveis do tema Segurança da Informação.1 Mitnick, Kevin D. - A Arte de Enganar. Makron Books, 2003 3
  4. 4. Clemente Nóbrega diz, em seu livro ‘Antropomarketing’ [Senac Rio 2002], que “Marketing é sobreo ser humano”, onde “Precisamos compartilhar significados para obter reciprocidade e ficar vivos”. Euouso adaptar suas palavras para: “Segurança da Informação é sobre o ser humano”, onde precisamoscompartilhar responsabilidades e conhecimentos para obter reciprocidade e ficar vivos, no sentido decontinuidade. Esta visão é corroborada por uma das máximas da Segurança da Informação que afirma que “ASegurança da Informação se mede pela segurança de seu elo mais fraco: o ser humano”. Lembrem-se: Errar é humano, e trapacear também! A transição da ‘era da informação’ para a ‘era do conhecimento’, apesar de parecer e em algunscasos não passar mesmo de apenas clichê modista para gurus e vendedores de milagres corporativos, éde fundamental importância para o tema e para que entendamos a expansão do escopo e da abordagemque o assunto passa a exigir. Mal começamos a aplicar conceitos de Segurança da Informação e já nos éapresentado a Segurança do Conhecimento. Já utilizamos conceitos e práticas de Segurança doConhecimento há muito tempo, como no caso de proteção e segredos de propriedades industriais eintelectuais, mas o escopo deve ser ampliado e fundido ao da Segurança da Informação, queconvencionei chamar de Segurança Estratégica da Informação. 4
  5. 5. I. Segurança Estratégica da Informação Informação: dados coletados, combinados e contextualizados que explicam e informam fatos (passado). Conhecimento: absorção e aplicação da informação de maneira a gerar valor, propor soluções e apresentar tendências (presente e futuro). A Informação é um ativo importante das organizações, e em muitos casos o mais importante, e como tal deve ser protegido adequadamente durante todo seu ciclo de vida: criação, manipulação, armazenamento, transporte e descarte. Por informação, entendem-se, neste contexto, todos os dados armazenados e manipulados em meios eletrônicos, em papel, micro-filmes, ou qualquer outro meio que os suporte, que quando contextualizados geram informações e conhecimentos de valor para a empresa. Sendo o conhecimento adquirido a partir da informação, este deve ser englobado no nosso escopo de trabalho para que também seja protegido. Isso nos remete à ‘gestão do conhecimento’, tema que não será tratado aqui, mas que é verdadeiramente importante neste contexto. O conhecimento que não está em suporte físico ou eletrônico, que é o conhecimento tácito de funcionários chaves e estratégicos, também deve ser considerado no SGSI (Sistema de Gestão de Segurança da Informação) e sempre que possível deve ser transformando em conhecimento explícito - documentado - para que possa ser compartilhado e perpetuado (disponibilidade). Isso nos coloca em um processo cíclico, pois informações geram conhecimentos que, por sua vez, geram novas informações. Todas estas informações devem ser protegidas devido o valor que representam para as organizações. 5
  6. 6. Informação é um bem estratégico para as organizações, principalmente para as organizações doconhecimento, mas não limitado a estas, pois informações e conhecimentos são, em muitos casos, maisvaliosos que os bens físicos. Sendo assim, é imprescindível que todas as ações de segurança sejamtomadas com participação efetiva e apoio direto, explícito e irrestrito da alta direção da organização,pois segurança deixou de ser apenas opção ou diferencial competitivo, é estratégica. Ativo: qualquer coisa que tenha valor para a organização [ISO/IEC 1335-1:2004] Em sendo estratégico, e aqui me lembro bem do professor “Altino” [Introdução à Administração -UNIBERO:2000] que não se cansava de nos apresentar a pirâmide hierárquica: estratégica no topo;tático na área central e operacional na base. A responsabilidade pela segurança da informação é toda a organização, mas para que sejaestratégica, cuidando de ativos estratégicos, deve ter como principais responsáveis os gestores das áreasde negócio, sob a coordenação ou direção de um especialista no assunto, ou por um diretor apoiado porconsultores, uma vez que o tema traz consigo uma série de fatores técnicos e multidisciplinares. A Gestão da área, e assuntos específicos relativos à Segurança da Informação, deve estar, portanto,sob a tutela de um cargo situado no plano estratégico da hierarquia. CSO (Chief Security Officer), paraos que preferem termos americanos, ou simplesmente Diretor de Segurança da Informação, em bomportuguês. Este cargo, ou função, pode ser desempenhado pelo próprio Diretor de Riscos Corporativos, eem outros casos em que a empresa não comporte tal cargo, pode ser dado como função eresponsabilidade a outro diretor, mas deve estar no nível estratégico e há que se ter um verdadeirocompromisso e responsabilidade com tal função. Este diretor deve ser assessorado por especialistas nosdiversos domínios que a Segurança da Informação engloba, ainda que consultores externos. 6
  7. 7. A gestão ou administração da Segurança da Informação pode ser delegada, mas a responsabilidaderecairá sempre sobre os gestores do negócio. É destes a responsabilidade, inclusive legal, de zelar pelasegurança, resiliência e continuidade dos negócios. Não se pode esperar que processos estratégicos sejam implementados a partir de níveis táticos ouoperacionais, pois o conflito de interesse - principalmente quando se trata de assunto que provocaalterações na cultura organizacional, tira as pessoas do seu centro de conforto e altera suas atividades dodia-a-dia, é muito forte e o poder do ‘fogo amigo’ - é grande suficiente para que as ações não passem depontuais e localizadas, e assim sendo, não serão incorporadas pela organização e as pessoas continuarãosendo o ‘elo mais fraco da segurança’. Infelizmente sabemos muito bem como funciona o ‘sabe comquem está falando?’. Sabemos que não estamos num mundo perfeito, portanto não vamos agir como seassim fosse. Muitas empresas têm a ilusão de que ‘segurança tecnológica’ é segurança da informação. Narealidade é apenas parte, apenas ferramenta de suporte e aplicação da Política Corporativa de Segurançada Informação, esta que deve fazer parte de algo maior, que é a Gestão de Riscos Operacionais, que,juntamente com seus pares Gestão de Riscos Financeiros e Gestão de Riscos de Mercado fazem parte daGestão de Riscos Corporativos. O pior desta ilusão é que esta falsa segurança acaba por tornar míopes osque deveriam cuidar de tão estratégico ativo, que além de se vangloriarem de ter ‘segurança dainformação’ agem como se realmente a tivessem. A falsa sensação de segurança é mais prejudicial doque a certeza da insegurança, pois elimina a possibilidade de defesa, tolhe o poder da desconfiança e dáforça até às fraquezas que poderiam ser eliminadas com pouco esforço. É imperativo, também, que haja coerência entre a implementação da segurança da informação e acultura organizacional, o planejamento estratégico, o nível de maturidade cultural e de dependência em 7
  8. 8. TI e os riscos inerentes ao ambiente e ao negócio, o que não é possível existir senão no nível estratégicoda organização. Para que um plano de segurança estratégica da informação alcance o resultado esperado deve seguiras seguintes premissas: Personalizado – elaborada sob medida para a empresa; Não existe ‘plano de segurança estratégica da informação’ em prateleiras de lojas ou empresas de consultorias. Desconfie e duvide de quem oferecer tal solução milagrosa. Como diria o Presidente Lula, “não tem solução milagrosa”. As coisas devem ser feita da maneira correta, no tempo certo e com os custos financeiros e de esforços necessários a cada organização. É algo que para funcionar deve ser feito sob-medida, seguindo padrões e normas internacionais e consagradas, aplicando as melhores práticas conhecidas no mercado, seguindo as regulamentações setoriais, os requisitos específicos de cada tipo de negócio e seguindo as leis aplicáveis a cada assunto abordado no plano. Voltando aos conceitos, o conhecimento deve ser compartilhado e aplicado, mas as informações sobre o plano, em sua maioria, terão que ser geradas internamente, a não ser aquelas comuns ao mercado, como leis e regulamentações. Justificável – orientada a Riscos, ou seja, deve mitigar os riscos aos quais a empresa está sujeita, mantendo-os em níveis aceitáveis; e Permanente – aplicável, de maneira contínua, contra as ‘ameaças reais’ às quais os processos e ativos da empresa estão expostos. 8
  9. 9. Não existe segurança 100% e nem risco zero. É importante sabermos que não há segurança 100% e que o aumento do nível da segurança não élinear ao investimento aplicado. Chamo isso de “efeito escalada”, pois quanto mais alto o nível desegurança, menos o avanço é proporcional ao investimento. Investimento Segurança O investimento e avanço em segurança reagem de maneira semelhante às curvas geradas por PG(progressão geométrica) e PA (progressão aritmética), respectivamente, como se fosse necessárioaumento geométrico dos investimentos financeiros e esforços para se conseguir um aumento aritméticono nível de segurança. Ao atingirmos o nível desejado de segurança a curva de investimento tem seuponto de inflexão e a de segurança passa a ser estável por um período e passará a decair. É importantenotar que o investimento em segurança diminuirá a partir deste ponto, mas jamais poderá ser eliminadopor completo, pois o custo de manutenção deverá ser mantido para que o nível de segurança alcançadoseja mantido e que o processo de gestão (PDCA) seja preservado. 9
  10. 10. Investimento = 1, 2, 4, 8, 16, 32, 64 .....(PG)Segurança = 1, 3, 5, 7, 9, 11, 13....... (PA) 70 60 50 40 30 20 10 0 1 2 3 4 5 6 7 Investimento Segurança Relação Investimento x Segurança O efeito escalada não incide somente sobre o aspecto financeiro, mas também sobre o gerencial e ofuncional. A administração de ambientes seguros requer mais controles e cuidados, sob pena de se perder oesforço feito para chegar ao patamar alcançado e ficar desatualizado no que diz respeito aos controlesnecessários para garantir a segurança no nível atual. Isso gera revisões e atualizações constantes, mas emcontrapartida reduz o tempo gasto com paradas indesejadas. Cabe a cada empresa descobrir o ponto deequilíbrio para que o benefício seja satisfatório e o investimento aceitável. 10
  11. 11. O nível de segurança é inversamente proporcional ao nível de conforto na utilização, para osusuários, e à facilidade de gerenciamento, para os administradores. Os usuários finais também podem sentir os efeitos deste maior controle, principalmente aqueles quese acostumaram em ambientes muito flexíveis, para não dizer relaxados, pois não mais terão liberdadepara fazer o que quiserem, mas apenas o que precisarem e sob controle e monitoração constante. Estescontroles podem, se não bem implementados e adequados ao ambiente, causar alguns inconvenientes, osquais devem ser minimizados no decorrer do processo evolutivo da segurança, e também conforme osusuários vão se habituando a trabalhar em ambientes mais seguros, e portanto, controlados. A conscientização e educação constante dos usuários são grandes aliados dos gestores de segurança,pois transforma os usuários em colaboradores. Isso acontece naturalmente quando estes entendem o realobjetivo da segurança. O investimento em segurança deve ser proporcional ao valor do bem que se pretende proteger. Visto que proteger as informações requer investimento e esforço, devemos atentar para o fato de quenem todas as informações têm o mesmo valor, e que o valor destas variam de acordo com seu ciclo devida. É essencial que se faça a classificação das informações, e sua reclassificação, sempre quenecessário, para que não se invista mais que o necessário para garantir a segurança das mesmas. Ninguém compraria um cofre de R$ 10.000,00 para guardar uma jóia de R$ 3.000,00. Seria umdesperdício de recurso. E um carro que hoje custa R$ 50.000,00 terá seu valor depreciado no ano 11
  12. 12. seguinte, não sendo, portanto, aceitável que se invista o mesmo valor em seu seguro por dois anosconsecutivos, pressupondo-se que não houve alteração considerável no fator risco.Objetivos da Segurança da Informação A segurança da informação tem dois objetivos principais: o primeiro é preservar (Confidencialidade,Integridade e Disponibilidade) os dados e informações da organização, de seus clientes, funcionários eparceiros. O segundo é garantir a continuidade operacional do negócio em caso de incidente,minimizando os impactos financeiros, de imagem e operacionais, decorrentes deste incidente. Segurança da Informação = Preservação + Continuidade. Nenhum empresário irá investir em segurança da informação se não tiver claro, e se não estiverconsciente de quais serão os benefícios e retorno deste investimento para a organização. Esta é uma das árduas tarefas do responsável pela segurança da informação: conscientizar econvencer os executivos da necessidade de investir em segurança. Alguns negócios dependem diretamente da segurança e em outros a regulamentação da atividade ouLeis e Decretos exigem investimento em segurança e o ‘Information Security Officer’, como é chamadoo responsável pela segurança da informação, não precisará despender muito esforço para conseguirinvestimento. Os bancos, por exemplo, estão muito à frente de muitos outros tipos de negócio, pois dependem dasegurança para sobreviver. Já as indústrias ainda estão caminhando a passos lentos para a maturidade,mas já tendo algumas áreas mais avançadas, como as de pesquisa e desenvolvimento. 12
  13. 13. Na maioria das organizações o ‘Information Security Officer’ precisará se esforçar para mostrar asvantagens que o investimento em ações estruturadas em segurança trarão como retorno. Uma dasmelhores maneiras de demonstrar que o investimento trará retorno, e sua real necessidade, é a realizaçãoestudos de Análise de Riscos e Avaliação de Impactos, estudos estes que irão aclarar o quão aorganização está vulnerável, quais são os riscos aos quais está exposta e qual será o impacto em caso deincidente. Uma estratégica que pode auxiliar no convencimento é demonstrar o quanto a empresa poderá perdercaso não invista em segurança, uma vez que é difícil demonstrar o retorno do investimento. Podemoschamar isso de Perda por Não Investimento (PpNI). Exemplo: Seguir uma regulamentação setorial podenão trazer retorno à empresa, mas não seguir pode trazer prejuízo.Alguns objetivos da segurança da informação: Agregar valor ao negócio; diferencial competitivo; continuidade operacional; gerenciamento dos riscos; proteção de investimentos; conformidade com determinações legais e setoriais; etc.Alguns motivadores da segurança da informação: Dependência crescente da informação; a informação é um dos ativos mais importantes das organizações; responsabilidade administrativa, legal e social – acionistas, clientes, funcionários, governo, sociedade; proteção da propriedade intelectual – patentes, marcas, direitos autorais, segredos de negócio, segredo de fábrica; etc. 13
  14. 14. Para que seja possível alcançar os objetivos da segurança da informação é necessário que se siga alguns passos, a saber: - Realização de Análise de Risco; - Realização de Avaliação de Impactos nos Negócios; - Elaboração de uma Política de Segurança que reflita os objetivos do negócio; - Realização de campanhas de conscientização e treinamento dos funcionários; - Elaboração de um Plano de Continuidade do Negócio. - Revisar tudo periodicamente Segurança da Informação é um processo, não um projeto. Para completar, segurança da informação não é projeto, e sim um processo, e como tal deve ser contínuo, cíclico, monitorado, revisado e evoluído permanentemente, sob pena de se tornar obsoleto e de perder seu valor para o negócio.II. Pilares da Segurança da Informação A segurança da informação é composta por pilares básicos, e todo o resto gira em torno disto: Confidencialidade; Integridade; e Disponibilidade. Este tripé da segurança da informação pela é conhecido pela sigla CID. 14
  15. 15. Temos ainda alguns aspectos originados dos conceitos do CID. Vamos destacar aqui alguns deles: Autenticação; Autorização; Auditoria; Autenticidade; Não Repúdio e Legalidade.Conceitos Confidencialidade Garantia de que o acesso às informações seja obtido somente por entidades autorizadas. A confidencialidade pode ser classificada em níveis de acordo com as necessidades da empresa, podendo ser: Confidencial – Pode ser manipulada por um número reduzido de pessoas ou um setor da empresa, como por exemplo P&D; Restrita – Informação restrita pode ser manipulada por contingente maior de pessoas ou um nível hierárquico, como por exemplo o plano estratégico da empresa que pode ser visto até no nível hierárquico de diretoria; Interna – Este tipo de informação deve ser limitado à da empresa, como as listas de ramais, memorandos internos, norma internas, manuais, etc.; Pública – Estas informações podem também ser divulgadas ao público ou publicadas em revistas, sites, etc. Informações públicas podem também ser conhecidas como ‘não classificadas’, pois entende-se que se não foi classificada é porque é pública. Isso pode trazer sérios problemas para a empresa, pois uma falha de classificação pode expor informações confidenciais ao público. O mais seguro seria adotar que tudo o que não é classificado é interna. 15
  16. 16. Integridade Garantia de que as informações serão protegidas contra alterações não autorizadas e mantidas aexatidão e a inteireza das mesmas, tal qual como foi armazenada e disponibilizada. Um dado, ou informação, armazenado deve permanecer integra para quando for recuperado. Paraque isso seja verdadeiro não poderá sofrer interferência alguma que o modifique, seja por falhasintencionais ou não. Os métodos de processamento, normalmente sistemas, devem também ter aintegridade preservada, pois uma alteração num sistema pode comprometer as informações resultantesdo processamento. Este conceito não garante que os dados estejam corretos, pois se forem armazenados errados, assimpermanecerão até que uma entidade autorizada os corrija. Disponibilidade Garantia de que as informações estarão disponíveis onde e quando as entidades autorizadasnecessitarem, com total segurança. A informação não tem valor para a empresa caso não esteja disponível quando for requisitada.Muitos ataques tentam derrubar este pilar da segurança por meio da negação de serviço com ataques dotipo DoS ou DDoS, interrompendo o acesso aos serviços e informações das empresas. Para que esteproblema seja apresentado não é necessário ataque sofisticado, bastando para isso apenas que uma linhade comunicação seja interrompida ou que um servidor seja fisicamente comprometido, intencionalmenteou não. A falta de energia que alimenta o servidor de dados pode causar indisponibilidade, caso não hajacontramedidas para este problema. A manutenção deste pilares da segurança da informação só será atingida se houver a integração entresegurança física e do ambiente, tecnológica e em pessoas como já foi apresentado. 16
  17. 17. Aspectos Autenticação Processo de autenticar uma entidade como sendo aquela que se apresenta. Entende-se por entidade, pessoas, sistemas, redes ou qualquer outra parte que necessite deidentificação para que possa manipular as informações. Este aspecto é de suma importância para amanutenção da segurança da informação, pois se não for possível autenticar a entidade toda a cadeia desegurança estará comprometida, seja por permitir acesso à entidade falsa ou negar acesso à entidadelegítima. Pode-se dizer que a negação de serviço é melhor que a autorização indevida, mas isso deve sermuito bem resolvido pela empresa, pois nem sempre isso pode ser verdadeiro. Autorização Processo de concessão de direitos para que uma entidade autenticada acesse as informaçõessomente com as permissões a ela atribuída. (ler, gravar, modificar, apagar, executar, visualizar). Esse aspecto é totalmente dependente da autenticação, pois se for autenticada uma entidade falsacomo verdadeira, esta receberá todas as permissões atribuídas à verdadeira como se ela fosse. No processo de autorização deve-se sempre que possível utilizar o preceito de mínimo privilegio,preceito este que diz que uma entidade deve ter o mínimo privilégio de acesso às informações dentro desistemas quanto for necessário para o cumprimento de suas funções. Outro preceito é a ‘necessidade de saber’ – need to know. Questiona-se se realmente é necessárioque a entidade tenha acesso a determinadas informações ou sistemas para cumprir suas funções, em casonegativo o acesso deve ser negado. 17
  18. 18. Auditoria Processo de registrar as ações realizadas pelas entidades durante a interação com as informações esistemas. Para que a segurança da informação seja efetiva é necessário que se possa determinar com precisãoquem, quando e o que foi feito nos sistemas de informações e repositórios de dados. Sem isso não serápossível responsabilizar violação de normas e quebras de segurança. Este registro de trilhas de auditoriadeve se dar em todos os ambientes da empresa, tanto físicos quanto lógicos. Em sistemas de informação isso é feito por meio de coleta de ‘logs’, arquivos que registram todos oseventos configurados para serem registrados e com a riqueza de detalhes que for necessário à empresa.Em segurança física, um simples relatório manual de acesso a determinadas dependências da empresatambém pode ser considerado trilha de auditoria, assim como câmeras de vigilância e outros dispositivosde monitoração. Estes três aspectos compõem a sigla AAA, de Autenticação, Autorização e AuditoriaEsta sigla é utilizada por técnicos de informática voltados para segurança de sistemas e redes, mas podeser aplicada a qualquer sistema de segurança da informação. Autenticidade 18
  19. 19. Processo que certifica a legitimidade das informações, quer seja de credenciais de acesso queautenticam as entidades ou que as informações por estas entidades transmitidas são autênticas, assimcomo a entidade remetente ou destinatária como legítima. Os certificados digitais, que inclusive já tem valor jurídico e provê a irrevogabilidade, vêm sendoutilizados principalmente em assinatura de documentos, cifração em trocas de mensagens e autenticaçãode entidades. A biometria vem ganhando espaço principalmente para controle de acesso e autenticação deusuários. Não RepúdioCaracterística das informações que garante o não repúdio, seja referente à autenticidade dedocumentos ou transações financeiras e comerciais.Mais uma vez o certificado digital (assinatura eletrônica), juntamente com as certificadoras de tempo,estão se apresentando como as tecnologias mais adequadas à esta tarefa, muitas vezes já com garantiajurídica nos processo. Legalidade Característica das informações estarem em conformidade legal, assim como os processos que asmanipulam e provê validade jurídica. Este aspecto rege que as informações devem ser mantidas dentro das determinações legais. Umexemplo disso são as assinaturas digitais de documentos, que só terão efeito legal se forem feitas comcertificados digitais fornecidos por Entidades Certificadoras – ACs - integrantes do ICP Brasil ou por 19
  20. 20. entidades reconhecidas previamente por todos os participantes do processo de validação do documento. Isso vale também para transações comerciais e financeiras. Para que sejam realizadas transações entre o Sistema Financeiro ou Órgãos Governamentais é obrigatório que as ACs sejam integrantes do ICP Brasil.III. Divisão da Segurança da Informação Para que a segurança da informação seja efetiva e completa, podemos dividi-la em três partes: Segurança Física e do Ambiente; Segurança Tecnológica; Segurança em Pessoas. FÍSICA TECNOLÓGICA AMBIENTE PESSOAS Divisão da Segurança da Informação 20
  21. 21. Segurança da Informação é a aplicação conjunta da segurança física e do ambiente, da segurançatecnológica e da segurança em pessoas, com foco na gestão dos riscos inerentes aos negócios, tantodiretos quanto indiretos. A falsa certeza da segurança é mais prejudicial que a certeza da insegurança. Com a não implementação de apenas uma dessas partes da segurança da informação, o máximo quese conseguirá é criar uma falsa sensação de segurança, que é muito pior do que ter a certeza dainsegurança, pois se acreditamos, falsamente, que estamos seguros, acabamos por não tomar as medidasnecessárias para prevenção, detecção, correção e redução de impacto, mas sabendo que estamosvulneráveis só ignoramos a necessidade de tais medidas de maneira consciente, e portanto imprudente einconseqüente.Segurança Física e do Ambiente A Segurança Física e do Ambiente é composta por (mas não somente por): Segurança pessoal Medidas a serem tomadas para garantir a segurança dos funcionários, prestadores de serviços e pessoas chave da organização; Segurança patrimonial Controles a serem implementados para garantir a segurança do patrimônio da organização, principalmente daqueles necessários à continuidade operacional; 21
  22. 22. Segurança das edificações Cada tipo de atividade requer edificações apropriadas para tal, com níveis de segurança estruturale monitoração apropriada ao negócio ou atividade realizada na edificação. Processos de manutenção,brigadas de incêndio, controle ambiental e controle de pestes podem ser considerados escopos dasegurança das edificações;Segurança de infra-estruturas Infra-estrutura de cabeamento lógico (backbone de rede), elétrica, de água, de condicionamentode ar, de exaustão, de controle do ar, de detecção e combate a fogo, dentre outros, devem serprotegidas e controladas. Devemos atentar para a infra-estrutura interna e externa, esta última umpouco mais complicada de gerenciar por estar, na maioria dos casos, fora do controle daorganização, mas nem por isso deve ser ignorada;Classificação de perímetros de segurança Áreas diferentes abrigam equipamentos e processos diferentes, devendo, portanto, seremclassificadas de acordo com suas características, podendo ser: restrito, controlado e público, ou outraclassificação que atenda as necessidades de segurança;Controles de acessos O acesso às instalações da organização deve ser controlado e monitorado para que a segurançaseja efetiva. 22
  23. 23. Quando falamos em segurança física e de ambiente, boa parte das ações serão tomadas para limitar o acesso às dependências a serem protegidas. Sem o devido controle de acesso, seja este administrativo e simples ou tecnológico e complexo, a segurança será falha. Eventos naturais A natureza é bela e perfeita, não podemos contestar isso, mas em muitas situações acaba por colocar em risco a segurança das organizações. Raios, enchentes, chuvas de granizo, temporais, ventanias, terremotos; maremotos; calor; etc. podem afetar a continuidade operacional da organização caso esta não mesure os riscos e implemente as medidas necessárias de segurança. Eventos sociais Muitos eventos sociais podem acabar por afetar a segurança das empresas, em diversos níveis esituações. A disponibilidade a pode ser afetada caso haja, por exemplo, uma mobilização social nasimediações da empresa, seja por greve, revolta, baderna, etc. Empresas que atuam na Av. Paulista, emSão Paulo, sofrem este tipo de transtorno constantemente, uma vez que a avenida é palco de diversasmanifestações, festivas ou não. Em muitos casos pode ocorrer de tais manifestações fugirem ao controle e passar para ações emmassa de quebra-quebra, baderna e violência. Empresas podem ter suas dependências invadidas,depredadas e saqueadas, estes riscos devem ser levados em consideração no processo de gestão de riscose segurança das informações. Mesmo ações individuais, seja por imprudência ou sabotagem, podem levar a empresa asituações como as acima apresentadas. 23
  24. 24. Segurança Lógica e Sistêmica A segurança lógica e sistêmica deve prever ações de funcionários, hackers e crackers, parceiros,clientes, fornecedores e quaisquer outros que interagem com a organização, prevendo e tratando osriscos de: espionagem, sabotagem, erros, facilitação, roubo, furto e desvio de dados e informações, etc. Perímetro lógico de segurança A composição lógica das redes da organização pode ser composta por várias redes, redes estas que requerem níveis diferentes de segurança. Não se pode, por exemplo, dar a mesma atenção para a rede onde estão alocados os servidores de produção e a rede onde estão os servidores públicos, como os que hospedam os sistemas e Sites na Internet. O firewall é a ferramenta mais utilizada para segmentação de perímetros lógicos de segurança, por sua capacidade de proteção e pela facilidade de customização, uma vez que a proteção é baseada principalmente em regras de permissão e / ou negação de acesso, regras estas que definem quem pode entrar em qual rede e utilizando que tipo de protocolo ou serviço. Muitos roteadores têm a capacidade de auxiliar na segurança de perímetro por meio de implementação de listas de acessos que, ainda que de maneira limitada, conseguem determinar regras de acesso (endereço IP e protocolos) às redes por trás deles. Redes As redes da organização devem ser providas de mecanismos de monitoração, detecção e proteção contra códigos maliciosos, assim como contra ataques e intrusões. A ferramenta mais aplicável para 24
  25. 25. esta tarefa é o IDS (NIDS - Network Intruder Detection System). Para monitoração podem serutilizadas ferramentas Sniffer, que capturam tráfego da rede para estudo e monitoração.Segurança de sistemas e Hosts Dentro da segurança lógica e sistêmica, a segurança de sistemas e aplicativos tem um papelfundamental, pois são estes que irão manipular os dados da organização. A segurança deve serprevista e implementada desde a concepção e projeto dos sistemas e aplicativos, pois é quaseimpossível e inviável economicamente a implementação posterior. O que se faz quando o sistemanão é seguro é implementar uma ‘camada’ externa de segurança, normalmente com softwaresespecialistas de terceiros, como Host IDS, antivírus, sistemas de controle de acesso, etc. Ainda dentro da segurança de sistemas, há que se ter cuidado especial no processo dedesenvolvimento, implementando a segregação de ambientes e funções, assim como controleeficiente de homologações, versões e atualizações dos sistemas de produção.Controle de acesso O controle de acessos aos sistemas e dados é uma parte de extrema importância da segurança. Ocontrole de acesso deve prever as seguintes funcionalidades: Autenticação, Autorização e Auditoria. Os bancos de dados não passam, simplificadamente falando, de repositórios de dados. O controlede acessos a estes dados deve ser previsto desde a concepção e estruturação do banco de dados,podendo, e devendo, ser feito de maneira integrada aos sistemas que farão a interação entre osusuários e o banco de dados. 25
  26. 26. Segurança em Pessoas A segurança em pessoas é normalmente relegada a segundo plano, mas acredito ser a maisimportante das três, por serem as pessoas o ‘elo mais fraco da corrente’.A resistência da corrente é equivalente a resistência de seu elo mais fraco. É nas pessoas que a segurança começa e é nelas que termina. Equipamentos tecnológicos podem serdesligados, trocados e ligados novamente, é tudo muito previsível. Com pessoas a situação é diferente,não podemos prever as atitudes das pessoas em situações adversas. Não devemos falar de desconfiança,mas de precaução.Dentro da Segurança em Pessoas, devemos trabalhar com as seguintes questões, dentre outras que sejamnecessárias à organização: Engenharia social Um dos grandes vilões da segurança da informação é a engenharia social, técnica que é utilizada em larga escala por engenheiros sociais, hackers e crackers, espiões, curiosos, estelionatários, dentre outros. A maioria das espionagens industriais e comerciais se dá por engenharia social, e quando esta não é a principal técnica empregada pelos espiões, é utilizada no mínimo como auxiliar para outras técnicas. Acompanhamento de pessoal 26
  27. 27. As organizações são compostas fundamentalmente por pessoas, às quais estão sujeitas aalterações de comportamento de acordo com diversos fatores, tais como humor, problemasfamiliares, financeiros, com drogas, com doenças, chantagem, dentre outras tantas.Conscientização A conscientização do pessoal é peça chave na implementação da segurança da informação. Aspessoas devem estar cientes e conscientes da necessidade da segurança das informações, bem comodo valor dessas informações, assim como o risco e o impacto que a violação da segurança poderácausar à organização e conseqüentemente para as pessoas que nela trabalham. Se as pessoas nãoentenderem e aceitarem os argumentos apresentados pela organização a segurança poderá não serefetiva.Educação É muito comum as empresas desenvolverem Política de Segurança, implementarem uma grandeparafernália tecnológica voltada para a segurança, e tomarem muitas das medidas necessárias àsegurança da informação sem dar a devida atenção e o devido investimento à educação de seusfuncionários. As pessoas estão acostumadas a acreditar em seus interlocutores, a ajudar aos quesolicitam, a abrir arquivos que recebem, a seguir orientações recebidas por e-mail ou telefone, aconfiar em sites que se dizem seguros, a crer que os e-mails recebidos de um amigo são confiáveis, ater boa receptividade com seus colegas de trabalho ou enviados por estes. Estes costumes podemabrir uma enorme lacuna de segurança se alguns cuidados não forem tomados para certificar que asinformações apresentadas são realmente verdadeiras e confiáveis. 27
  28. 28. A engenharia social nada mais é do que uma técnica para explorar algumas característicashumanas como ego, vaidade, ambição, confiança, medo, bondade, reciprocidade, corporativismo,coleguismo, dentre outras. Se as pessoas não forem educadas em como agir nas situações que podemcausar incidentes de segurança e colocar as informações em risco, com certeza a segurança seráviolada e a organização será prejudicada.Política de segurança É um conjunto de normas que traduz as necessidades da organização quanto à segurança dainformação, objetivando a normalização das ações necessárias para levar a organização a um nívelde risco aceitável e confortável. A política de segurança deve ser desenvolvida sob medida para aorganização à qual será aplicada, devendo contemplar a estratégia de negócios e as expectativas desegurança da direção. Deve, ainda, ser clara e objetiva, factível e aplicável, mensurável, relevante etemporal. A Política de Segurança da Informação de uma organização deverá ser aprovada pela alta direçãoe publicada de maneira que todos os funcionários e parceiros tomem conhecimento da parte que lhescabe seguir.Gerência de mudança A implementação da segurança da informação comumente provoca inúmeras e profundasmudanças nas organizações, sejam mudanças de comportamento ou em processos. Estas mudançasdevem ser acompanhadas e gerenciadas por uma pessoa que tenha bom relacionamento pessoal einterdepartamental e com liderança e autoridade suficiente para contornar problemas que surgirãoem decorrência dessas mudanças. É natural que haja resistência por parte do pessoal, quer seja por 28
  29. 29. perda de direitos nos sistemas, maior monitoração e controle, falta de entendimento dos objetivos damaior segurança, etc., mas tal resistência deve ser contornada com medidas de conscientização e emúltimo caso com medidas de reforço - prêmios e ou punições.Quebra de paradigma social Um dos paradigmas a serem quebrados é o da posse. É comum ouvirmos e dizermos: meu micro,minha sala, meu e-mail, quando falamos das coisas pertencentes à organização. Este comportamentofará com que as pessoas apresentem resistência às mudanças que acabarão por aumentar o controle ea monitoração, e ninguém gosta de ter ‘suas’ coisas monitoradas por terceiros. Deve-se reforçar, durante a conscientização e educação, que os bens, ferramentas e informaçõespertencem à organização, que têm real valor para esta e por isso necessitam de monitoração econtrole, o que acabará por proteger, por conseqüência, também os interesses dos funcionários. 29
  30. 30. Controle e monitoração As normas de segurança descritas na política de segurança devem ser seguidas por toda aorganização, e para que se meça a aderência e obediência às normas é necessário que hajamonitoração das ações previstas. A monitoração não deverá ser utilizada como fonte de ameaças e punições, mas sim paracorreções e ajustes das normas, dos comportamentos e das tecnologias aplicadas. É necessário, ainda, que se deixe claro que o controle e a monitoração são para proteger asinformações e os recursos da organização e não para ‘bisbilhotar’ as ações dos funcionários,deixando claro que a privacidade será preservada, desde que não coloque a segurança em risco, e taisações se darão por meio de processos transparentes estabelecidos pela organização.Reforço negativo ou positivo Assim como em cada lei existe a punição – reforço negativo - aplicável em caso dedescumprimento, na política de segurança deverá constar as punições aplicáveis caso sejamdescumpridas ou burladas. Se não for assim, corre-se o risco da política de segurança cair em desusoe a área de segurança em descrédito, o que fará com que os esforços e investimentos efetuados sejamperdidos e a segurança não seja mantida. A organização pode, para aumentar a aderência às normas, promover reforço positivo –premiação - para os que se destacarem no cumprimento e aderência às normas e à observância dasegurança da informação. Esta estratégia deve ser muito bem implementada para que não desvirtue areal motivação das ações de segurança. O objetivo principal é proteger as informações, e isso nãopode ser esquecido. 30
  31. 31. O incidente de segurança mais freqüente é a que tem o ser humano - o elo mais fraco da corrente -como principal ator, podendo ser intencional ou não. Causas de incidentes não intencionais: falta de treinamento, desatenção, falta decomprometimento, imperícia ou imprudência, negligência, dentre outros. Causas de incidentes intencionais: sabotagens, facilitações, espionagens, ataques hackers,engenharia social, etc. Temos ainda os incidentes com causas não humanas, que podem ser tecnológicas e naturais: falhasde sistemas, falhas de hardware, falhas de infra-estrutura, tempestades, alagamentos, raios etc. A implementação de defesas pode ser feita sob uma abordagem de camadas. A figura abaixo ilustra,com alguns exemplos, como se dá a segurança nas várias camadas de profundidade e como cada camadaé dependente da anterior. Dados Permissões de acesso, encriptação, auditoria Aplicativos Antivírus, anti-spyware, desenvolvimento Servidores Autenticação, correções de S.O / aplicativos, HIDS Rede Interna Firewalls, VLAN, NIDS, VPN, HIDS Perímetros Firewalls, VLAN, DMZ, NIDS, VPN, HIDS Segurança Segurança patrimonial, vigilância, edificações Física Normas, procedimentos, monitoração, Política de Segurança conscientização, educação e treinamento 31
  32. 32. Ciclo de vida da informação A informação deve ser protegida durante todo seu ciclo de vida. Neste ciclo de vida os requisitos desegurança podem variar, e normalmente variam, devendo, portanto, ser investido esforço adequado àproteção que se fizer necessário em cada fase da vida da informação. Como exemplo podemos citar informações de um determinado produto, que durante sua fase dedesenvolvimento tais informações devem ser tratadas como confidenciais, devido sua natureza e dosinvestimentos que estão sendo feitos para o desenvolvimento do produto. Após o término dodesenvolvimento, se for o caso, realiza-se o registro da patente, momento em que boa parte dasinformações do produto passam a ser públicas. Neste caso, não faria mais sentido continuar a tratar todas as informações do produto comoconfidencial, podendo reduzir o investimento a partir da reclassificação dos mesmos, mantendo comoconfidencial apenas aquelas que forem realmente necessárias.Fases do CicloManipulação Refere-se a todo ato de manuseio da informação durante os processos de criação, alteração eprocessamento. 32
  33. 33. Nesta fase do ciclo de vida da informação é onde há maior interação entre esta e as entidades, e,conseqüentemente, é onde ocorre a maioria das falhas de segurança.Armazenamento Refere-se ao armazenamento e arquivamento da informação em meios digitais, magnéticos ouqualquer outro que a suporte. Durante a fase do armazenamento, em que meio seja, a informação deve estar salvaguardada dosriscos a que está sujeita, tendo preservadas a Confidencialidade, Integridade e Disponibilidade, deacordo com a necessidade de cada tipo de informação. Nesta fase a segurança física é muito importante, não que as outras não o sejam, pois estarão sujeitasaos riscos ambientais, naturais ou não, mais do que os da fase de manuseio. Aqui deve-se dividir ‘armazenamento’ de ‘arquivamento’, sendo entendido como armazenada ainformação que está à disposição das entidades que a utiliza, que está em área de produção, quandomuito em backup de segurança. O arquivamento deve ser entendido como o processo de guarda dasinformações que não estão mais em produção, ou seja, não ficam disponíveis para as entidadesutilizarem nos processos de negócio. Estas são as informações contábeis, fiscais e tributárias e arquivosmortos, dentre outros que na maioria das vezes são arquivadas para que sejam colocadas à disposiçãodos órgãos públicos, caso sejam solicitadas, ou para consultas futuras.Transporte Refere-se a todos os atos de movimentação e transferência da informação, seja entre processos,mídias ou entidades internas ou externas. 33
  34. 34. O transporte requer atenção especial, pois, normalmente, quando as informações estão em transporte,estão fora do perímetro de segurança do ambiente que a suporta: Cartas, e-mails, caixas de arquivos,pastas, notebooks e PDAs, comunicação telefônica e transmissões eletrônicas via rede, principalmenteredes públicas como a Internet. Tomemos todos os tipos de comunicação como fazendo parte do ambiente de transporte, inclusive, emuito importante, o diálogo falado, pois ao falar, transporta-se a informação pelo ambiente (ar), dolocutor ao interlocutor, e pode-se deixar vazar informações valiosas neste momento.Descarte Refere-se às ações de descarte e destruição das informações no meio em que se encontram. Muitas pessoas, na realidade a maioria, acham que a informação que vai ser descartada não temvalor. Ledo engano, e engano que pode custar muito caro para as organizações que não atentam paraeste pormenor. Em geral, ao jogarmos um documento em papel, uma cópia ou rascunho no lixo não estamosdescartando a informação, estamos, na realidade, nos desfazendo do meio que a suporta, neste caso opapel. Com a modernização e automação dos escritórios esta questão ficou ainda mais preocupante, poisbasta que se tire uma cópia ou impressão de má qualidade para que a mesma seja lançada na lixeira, semcritérios e sem que se observe os cuidados necessários à segurança das informações ali contidas. O papelcarbono é outro vilão, apesar de ser cada vez menos utilizado. 34
  35. 35. O mesmo cuidado se deve ter com qualquer meio que suporte a informação: papel, discos magnéticos, cartuchos, fitas de backup, CDs, micro-filmes, dentre tantos outros. Cada meio requer um cuidado especial no descarte, para que as informações estejam protegidas. Os cuidados com descarte devem ser considerados, também, ao se vender computadores, discos, papéis para reciclagem, dentre outras maneiras de descartar, sem que seja necessariamente jogando no lixo. Esta prática é muito perigosa, principalmente no descarte de produtos magnéticos, pois não basta apagar o arquivo do disquete ou disco rígido para que a informação seja perdida. Se a eliminação da informação não for feita com técnica apropriada ao meio, a informação poderá ser ‘reconstruída’ a partir de resíduos das mesmas que permanecem nos meios magnéticos. É o mesmo que apagar uma escrita à lápis de um papel, com um pouco de esforço ou com alguma técnica, podemos descobrir o que ali estava escrito.IV. Gestão da Segurança da Informação SGSI – Sistema de Gestão da Segurança da Informação Um SGSI é um sistema de gerenciamento utilizado para estabelecer a política e os objetivos da segurança da informação baseado em uma abordagem de análise de risco do negócio, com o intuito de definir, implementar, operar, monitorar, manter e melhorar a segurança da informação. O SGSI deve abranger: Infra-estrutura organizacional da política de segurança; segurança organizacional; classificação e controle dos ativos de informação; segurança pessoal; segurança física e 35
  36. 36. do ambiente; gerenciamento das operações e comunicações; controle de acesso; desenvolvimento emanutenção de sistemas; gestão da continuidade dos negócios; aspectos legais e de conformidade. A gestão da segurança da informação deve ser feita com visão estratégica para que esteja alinhadaaos planos estratégicos de negócios e que sirva de apoio para estes. Information Security Officer (Gestor de Segurança da Informação) O Information Security Officer deverá ser um profissional especializado em segurança dainformação. Dependendo da área de formação deste profissional ele poderá tender a ser um “SecurityOfficer Tecnológico”, mais voltado para a aplicação de tecnologias, ou “Security Officer Estratégico”,mais voltado às normatizações e gerenciamento dos riscos. Seja qual for a tendência do profissional, éimperativo que as duas funções sejam cobertas, tanto a tecnológica quanto a estratégica, buscandosempre a melhor dosagem de esforços para uma e outra. Este profissional deverá, de preferência, se reportará ao ‘Conselho de Segurança’, ao ‘ComitêExecutivo’ ou diretamente ao Presidente da empresa. Em muitas empresas ele já aparece com status dediretoria para que possa apoiar e interagir com a alta direção da empresa e para que esteja a par dasestratégias de negócios, às quais a segurança da informação deverá estar alinhada e suportando. O posicionamento do Security Officer é determinante para que não haja conflito de interesses quepossam prejudicar as determinações e ações ou retardar a implementação das medidas necessárias àsegurança das informações. Atribuições do Information Security Officer Dentre as atribuições do Security Officer estão: 36
  37. 37. - Elaborar e aplicar o SGSI; - Elaborar e aplicar a Política de Segurança; - Promover a manutenção da segurança da informação; - Promover a disseminação da cultura da segurança da informação; - Realizar, ou acompanhar, análises de riscos e avaliações de impactos; - Definir as medidas de segurança a serem implementadas; - Gerenciar as medidas de segurança implementadas - Analisar os incidentes de segurança e manter a Diretoria informada sobre a ocorrência deincidentes ou ameaças de segurança; - Apresentar e justificar o plano de investimentos em segurança; Conselho de Segurança O Conselho de Segurança, caso seja constituído, deverá ser composto por um representante de cadaprocesso de negócio ou párea da empresa e ainda por: Tecnologia da Informação; Recursos Humanos; Jurídico; representantes da Diretoria ou ConselhoExecutivo. Atribuições do Conselho de Segurança - Apoiar e participar da elaboração do SGSI; - Participar da elaboração e homologar a Política de Segurança; - Apoiar a manutenção da segurança da informação; - Apoiar a disseminação da cultura da segurança da informação; 37
  38. 38. - Homologar as medidas de segurança a serem implementadas; - Apoiar a elaboração do Plano de Continuidade dos Negócios; - Homologar o Plano de Continuidade dos Negócios; - Participar e aprovas análises de riscos e avaliações de impactos; - Garantir os recursos necessários à manutenção da segurança da informação. Plano Diretor de Segurança da Informação - PDSI O PDSI deverá direcionar as ações de segurança da informação e mantê-las alinhadas aoplanejamento estratégico da empresa. Este plano deverá descrever: - Missão e visão da área de segurança; - Estrutura departamental e relacionamento interdepartamental e com entidades externas; - Definição de estratégias para segurança da informação; - Planejamento de aplicação da Política; - Planejamento de implementações técnicas; - Planejamento financeiro; - Planejamento de treinamentos; - Fatores críticos de sucesso e provisão de recursos; - Modelo de atuação e gestão da segurança da informação – SGSI; - Definição de responsabilidades; - Aderência à NBR ISSO/IEC 17799 ou outras normas de segurança adotadas pela empresa; - Estudo de impacto e adequação aos dispositivos e decretos legais e resoluções ou regulamentaçõessetoriais como SUSEP, Basiléia, diretrizes da CVM ou Banco Central, dentre outras; 38
  39. 39. - Gerenciamento da segurança da informação com apuração de resultados.V. Política de Segurança da Informação A Política de Segurança da Informação é um documento que deve ser aprovado pela alta administração da Empresa, demonstrando comprometimento e apoio às determinações. Este documento, ou conjunto de documentos, deve ser publicado respeitando a necessidade de saber de cada área ou pessoa, e comunicado de forma adequada para todos aqueles que devem obedecê-la, sejam estes funcionários, parceiros, fornecedores ou terceiros. A Política de Segurança da Informação, em todos os seus níveis, deve ser elaborada, publicada e comunicada de forma e em linguagem que seja apropriada a cada público, sejam genéricas ou específicas, de maneira a atingir o objetivo da segurança. A aderência às normas depende muito do entendimento das mesmas, bem como do grau de conscientização sobre o assunto. Este conjunto de documentos deve refletir, em alto nível, os objetivos do negócio, num nível intermediário os objetivos táticos e no nível mais baixo, os objetivos operacionais. Se os objetivos estiverem alinhados e claros, a aderência se dará de forma mais suave, uma vez que toda normatização ou obrigatoriedade sempre provoca resistência. Por isso a conscientização da empresa (pessoas) é fator crítico para o sucesso da segurança da informação. Outro aspecto, bastante relevante, que deve ser levado em conta é a cultura organizacional e o nível de maturidade na utilização de normas gerais, como de qualidade, e em segurança da informação ou outras que limitam a ação. 39
  40. 40. O enfoque da Política deve ser de HABILITAÇÃO e não de RESTRIÇÃO: Se tudo o que não forpermitido fazer não é necessário às atividades, significa que não há restrição. Se a segurança da informação permitir que novos processos operacionais e tecnologias sejamempregados nos processos de negócio, isso demonstra que houve habilitação, pois sem o nível desegurança alcançado tais processos e tecnologias poderiam ser inviáveis ao negócio, devido aos riscosque poderiam trazer a reboque. Por fim, sem pretender exaurir os aspectos possíveis, a Política de Segurança da Informação deve serelaborada sob a abordagem de GESTÃO DE RISCOS e CONFORMIDADE. Todas as normas devemter a finalidade de reduzir riscos presentes no cenário corporativo. A tríade: Confidencialidade,Integridade e Disponibilidade, deve estar presente em todas as determinações, quer seja diretamente ouindiretamente, como por exemplo, focar a Gestão de Identidade (autenticação e autorização), quecontempla os três pilares da segurança. Se não for baseado em riscos, deve ser em função de cumprimento Legal ou Regulatório, que, emúltima análise, o não cumprimento representa um risco. Não faria sentido elaborar uma norma de segurança que não prevê a gestão de riscos ouconformidade, pois seria apenas incremento burocrático sem finalidade prática. Diante do exposto até então, podemos afirmar que a Política de Segurança da Informação deve serelaborada de forma exclusiva e personalizada para cada empresa, uma vez que o cenário é único paracada uma, ainda que alguns aspectos sejam comuns. 40
  41. 41. Objetivos da Política de Segurança A Política de Segurança da Informação tem por objetivos principais: - Alinhar as ações em segurança da informação com as estratégias de negócio; - Explicitar a visão da alta direção em relação à segurança da informação; - Exprimir o comprometimento da alta direção com a manutenção da segurança da informação; - Normatizar as ações referentes à segurança da informação; - Alinhar as ações em segurança da informação com as Leis e Regulamentações pertinentes; - Buscar conformidade com Normas externas e cláusulas contratuais; - Instruir sobre procedimentos relativos à segurança da informação; - Delegar responsabilidades; - Definir requisitos de Conscientização, Educação e Treinamentos; - Definir ações disciplinares; - Alinhar ações em segurança da informação com a continuidade do negócio; - Ser o pilar de sustentação da segurança da informação; dentre outros. A Política de Segurança da Informação é, portanto, uma coletânea de documentos, conforme abaixorelacionados hierarquicamente, usada para definir controles em aplicativos, estabelecer critérios paraautenticação e autorização, definir critérios para análise de riscos e avaliação de impactos, critérios paraauditoria e investigações, além de disciplinar sobre violações da Política e Normas. Em todos os documentos da Política, é importante que conste, fora as determinações, algumasinformações sobre o documento e responsáveis pelo mesmo, tais como: 41
  42. 42. Nome da empresa; identificação do documento; assunto abordado no documento; objetivos dodocumento; áreas e pessoas responsáveis pela elaboração, aprovação e manutenção; data da elaboração eda última alteração; classificação do documento. - Política de Segurança – é o conjunto de todos os documentos; - Carta do Presidente – pode ser do Conselho, da Diretoria ou outra, mas deve ser do alto escalão daempresa, demonstrando o comprometimento com a questão e esclarecendo os motivos para tal; - Diretrizes para Segurança da Informação – é a sintetização do que a Empresa espera que sejafeito em relação ao assunto. São diretriz de alto nível, aplicáveis em qualquer ambiente da empresa esem termos técnicos. Exemplos: Todos os usuários de sistemas e informações deverão ter acesso gerenciado por identidade,utilizando tecnologias e procedimentos de acordo com a classificação e criticidade das informações aque terão acesso; Todas as informações deverão ser classificadas e ter medidas de proteção de acordo com aclassificação e risco; Os recursos de informação deverão ter sua continuidade preservada, de acordo com suaclassificação e criticidade para os processos operacionais e de negócio; - Normas de Segurança da Informação – Podem ser gerais (para quem usa) ou específicas (paraquem cuida). São as determinações a serem seguidas por todos ou por aqueles que participam dedeterminados processos. Expressa o que deve ser feito em relação à segurança da informação naoperacionalização dos processos de negócios e operacionais, quais os padrões aceitáveis de utilizaçãodos recursos e informações e quais as medidas disciplinares em caso de violação das mesmas. Nas 42
  43. 43. normas poderão conter ‘chamadas’ ou ‘links’ para outros documentos, normas, leis ou regulamentaçõesque devem ser seguidos, conforme determinação na norma que os invocou. Normas são mandatórias.Exemplo: - A autenticação dos usuários deve ser feito por meio de ‘usuário’ e ‘senha’ para todos os sistemasde informação, sendo que os classificados como críticos (alta confidencialidade e integridade) deverãousar mais um fator de autenticação, podendo ser biométrico, one-time-password (token) ou certificadosdigitais;. - O recurso ‘mensagem eletrônica’ (e-mail) disponibilizado pela empresa, deve ser utilizado apenaspara fins corporativos, uma vez que é um recurso da empresa e disponibilizado para este fim; - As mensagens eletrônicas (e-mail) serão monitoradas via sistema e poderão sofrer auditoriasperiódicas ou sempre que a área responsável julgar necessário. Sendo assim, não há que se terexpectativa de ‘privacidade pessoal’ nas mensagens enviadas ou recebidas por meio deste recurso daempresa. - Procedimentos – É o detalhamento da Norma. Explica como as Normas devem ser seguidas,podendo detalhar os procedimentos relevantes do processo normatizado, visando facilitar oentendimento e aplicação das mesmas. Nos procedimentos devem ter informações do tipo: Como,quando, quem, onde e porque. Procedimentos são mandatórios. Exemplos: - Os backups de bancos de dados deverão ser realizados com periodicidade mínima diária,utilizando tecnologias e processos que preservem a confidencialidade, disponibilidade e integridadedas informaçõe;. 43
  44. 44. - A área de TIC será responsável pela operacionalização dos backups, seguindo determinações dosgestores dos processos que utilizam tais informações e de acordo com a classificação de riscos dasmesmas; - Os gestores de processos e informações deverão proceder análise de riscos e impactos para quesirvam de base para a determinação da periodicidade dos backups e restores, devendo delegar aoperação para a área de TIC e proceder análises e auditorias nos processos, a fim de garantir suaeficácia. - Instruções – São os documentos mas detalhados, normalmente técnicos, de como configurar,manipular ou administrar recursos tecnológicos, ou então manuais de processos operacionais. Exemplos: - Para criação de novos usuários, usar o tamplate ‘New_User’; - Colocar todos os usuários no grupo ‘Corporativo’, do Exchange; - Preencher os campos do Active Directory necessários para a assinatura padronizada no Outlook,para todos os usuários novos; - Guide lines (guias) – São explicações de tarefas que fazem parte de procedimentos e processosnormatizados, visando facilitar a compreensão e a aplicação das regras, minimizando as diferenças deentendimento e nivelando o conhecimento. São sugestões não obrigatórias de serem seguidas, visto queuma tarefa pode ser feira de várias maneiras e ainda assim apresentar o mesmo resultado. Podem serguias fornecidos pelos próprios fornecedores de sistemas ou outros recursos. 44
  45. 45. Desenvolvimento da Política de Segurança O desenvolvimento da Política de Segurança da Informação deve ser feito com a participação efetivade todos os gestores de processos, de maneira que seja desenvolvida de acordo com as necessidades denegócio de cada área, aderente aos padrões, costumes e cultura organizacional, ajustando ou alterandopadrões quando necessário, além de estar em sintonia com os planos estratégicos da Empresa enecessidades do mercado. Devem ser seguidas as melhores práticas expressas em normas oficiais e ‘frameworks’ de segurançadas informações e gestão de riscos, como as normas ISO da série 27000, o que proporcionará à Empresaum diferencial competitivo, pois o mercado valoriza cada dia mais as empresas resilientes, seguras ecom condições de superar incidentes que poderiam afetar a continuidade operacional. É umademonstração de Governança Corporativa, outro assunto valorizado no mercado, e que não é possível deser alcançada sem segurança da informação e continuidade. A Política de Segurança das Informações é constituída por uma série de normas, procedimentos,guias e outros documentos, que serão suportados por tecnologias e processos que garantam a aderência eobediência às mesmas. É a Política de Segurança que regerá todas as ações referentes à segurança,devendo, portanto, ser clara, específica, atemporal e exclusiva para a Empresa. Política de Segurança da Informação, conforme já dito, deve estar em alinhamento com a NormaNBR ISO/IEC 17799:2005 (ou 27001 e 27002), e deverá contar uma série de normas, como porexemplo as listadas abaixo: 45
  46. 46. - Diretivas de Segurança da Informação; - Norma de Gestão de Segurança da Informação (GSI); - Norma de Contratação e Demissão de Colaboradores; - Norma de Contratação de Serviços de Terceiros; - Norma de Conscientização, Educação e Treinamento em Segurança da Informação; - Norma de Utilização de Sistemas de Comunicação (e-mail, MSN. ICQ, etc.); - Norma de Acesso à Internet e Redes de Terceiros; - Norma de Controle de Acesso e Administração de Usuários; - Norma de Classificação da Informação; - Norma de Classificação de Ativos; - Norma de Classificação de Ambientes; - Norma de Segurança e Gerenciamento de Mídias; - Norma de Segurança Física e de Ambiente; - Norma de Gerenciamento de Ativos, Configuração e Controle de Mudanças; - Norma de Auditoria e Análise Crítica; - Norma de Backup e Recuperação de Informações e Sistemas; - Norma para Análise de Riscos e Avaliação de Impactos; - Norma de Gestão de Continuidade Operacional; dentre outras normas que forem necessárias. Para cada norma podem ser criados um ou mais procedimentos, guias ou manuais, sabendo-se quequanto mais baixo o documento na hierarquia da Política, mais alteração poderá sofrer, por seremoperacionais. O operacional sofre mais alterações que o tático, que por sua vez sofre mais alterações queo estratégico. Esse é o motivo para não se colocar todas as informações em um mesmo documento: 46
  47. 47. facilitar o gerenciamento, a atualização e a disseminação das alterações sofridas, uma vez que todaalteração deverá ser publicada e comunicada aos interessados. Para que o investimento feito no desenvolvimento da Política perdure, deverá ser formatado oprocesso de atualização e revisão da mesma, seja periodicamente ou por mudanças no cenáriocorporativo ou de risco.Realização de Campanha de Conscientização Como o processo de segurança da informação afeta a todos da Empresa, requerendo mudançasde hábitos, ajustes de padrões e às vezes certo sacrifício durante a transição e aculturamento, esteprocesso tende a gerar resistências e conflitos, quase sempre por desconhecimento dos perigos querondam a Empresa, seus Funcionários e Clientes, e dos benefícios que o processo de segurança dainformação pode proporcionar - habilitação. Pessoas são o elo mais fraco da segurança – a campanha de conscientização procurará fazer com queas pessoas se tornem aliadas da segurança, sabendo os motivos, o que e como agir em situações de riscopara a segurança das informações. Engenharia social só funciona porque as pessoas não estão atentas às situações de riscos, não estãoalertas às ameaças e às situações que não são pertinentes ou que fogem ao padrão ou às regras. A campanha constante e segmentada manterá as pessoas alertas e atualizadas, e assim serão comoguardiãs das informações e alarmes de riscos. 47
  48. 48. A campanha de conscientização deve trabalhar em três níveis: - Conscientização: Porque fazer - Educação: O que e quando fazer - Treinamento: Como fazer Conscientização Porque fazer – As pessoas tendem a reduzir a resistência às mudanças quando sabem exatamente osmotivos que as trouxeram, quais serão os benefícios das mudanças e quais os malefícios de não realizá-las. Esta abordagem imprime respeito ás pessoas envolvidas e gera cumplicidade e colaboração.Conscientização é o primeiro nível para a aceitação. Educação O que e quando fazer – Não basta saber as motivações que fizeram com que a mudança fossenecessária. Há que se saber, e ter claro, o que fazer quando determinada situação ocorrer. O quandofazer está relacionado à necessidade de diferentes ações dependendo da situação e ocasião. Sabendo-se oque fazer, e quando fazer, elimina-se os fatores medo, apreensão e ansiedade. Bastará que algo aconteçapara que as pessoas saibam exatamente o que fazer naquela determinada situação, tendo em mente,também, o porque. Isso dá segurança e firmeza nas ações. 48
  49. 49. Treinamento Como fazer – Esta é a parte que mais se ouve quando fala-se em novos processos, ferramentas ouqualquer mudança. É de extrema importância que cada um saiba como fazer as ações demandadas pelassituações específicas, mas este ‘saber’ isolado gera pouco resultado. Depois de aplicados os dois primeiros níveis da campanha, as pessoas estarão havidas por sabercomo agir, quais as técnicas e quais as ferramentas disponíveis para que reajam às situações. Este desejonão será forçado, mas brotado de forma natural decorrente da necessidade de saber como fazer o que jáse sabe o motivo de fazer e o quando fazer. É a peça que falta e que será apresentada no treinamento. O treinamento em técnicas ou ferramentas específicas será, então, um processo natural e agradável atodos, o que trará maior resultado de aplicação e retenção do que for ensinado. Os níveis de ‘treinamento’ poderão ser realizados numa mesma sessão, desde que conscientementeseja planejado e estruturado para seguir estas etapas. Implantação da Política O desenvolvimento, elaboração e ajustes da Política de Segurança é, por si só, um trabalhoextraordinário, dependendo do porte e complexidade da organização onde será aplicada. Mas de nadaadiantará tal elaboração se a aplicação não for feita de forma a atingir os objetivos pretendidos nasmesmas. 49
  50. 50. O Plano Diretor de Segurança da Informação é onde deve constar o planejamento geral da aplicação da Política, uma vez que irá requerer recursos financeiros e de pessoal, bem como a estruturação para administração das tecnologias e processos implementados para suportar a Política.VI. Norma BS 7799 A norma BS 7799 é a Norma que deu origem tanto à versão americana ISO/IEC 17799 quanto à versão brasileira NBR ISO/IEC 17799. O Brithish Standart 7799 é uma norma de segurança da informação criada na Inglaterra que teve seu desenvolvimento iniciado em 1995 e está dividida em duas partes. BS 7799-1, a primeira parte da norma, contém uma introdução, definição de extensão e condições principais de uso da norma. Nesta parte disponibiliza 148 controles divididos em dez partes distintas e foi planejada para ser um documento de referência para implementação de "boas práticas" de segurança da informação. Como esta primeira parte é apenas um código de prática para segurança da informação, não é objeto de certificação. A BS 7799-2, a segunda parte da norma, tem como objetivo proporcionar uma base para gerenciamento da segurança da informação. Esta á a parte da norma que a empresa deve seguir para conseguir a certificação na BS 7799. 50
  51. 51. Objetivo da Norma A Norma BS 7799 fornece recomendações para gestão da segurança da informação para uso poraqueles que são responsáveis pela introdução, implementação ou manutenção da segurança em suasorganizações. Tem como propósito prover uma base comum para o desenvolvimento de normas desegurança organizacional e das práticas efetivas de gestão da segurança, e prover confiança nosrelacionamentos entre as organizações. Convém que as recomendações descritas nesta Norma sejamselecionadas e usadas de acordo com as necessidades do negócio, com a legislação e as regulamentaçõesvigentes e que dizem respeito ao cenário da empresa.Controles requeridos pela Norma Primeiramente devemos saber o que são e para que se prestam os controles descritos na Norma. São 10 domínios de objetivos de controle (relacionados abaixo) divididos em 36 objetivos decontroles que se subdividem em 127 controles específicos. Os controles listados na BS 7799 estão divididos nas seguintes áreas: - Política de Segurança da Informação; - Segurança Organizacional; - Classificação e controle de ativos; - Segurança de pessoal; - Segurança física e de ambiente; - Gerenciamento das comunicações e operações; - Controle de Acesso; - Desenvolvimento e manutenção de sistemas; - Gerenciamento da continuidade do negócio; 51
  52. 52. - Aderência. A Norma não obriga a implementação de todos os controles e nem mesmo que sejam utilizadossomente os controles constantes na mesma, podendo, então, uma empresa não utilizar alguns controlessugeridos pela Norma e aplicar outros necessário ao negócio. Como cada domínio de objetivos de controle se expande em outros controles específicos, algumasquestões precisam ser respondidas para que se determine quais são aplicáveis à organização. Exemplos: - Na Análise de Risco foi identificado algum risco que pode ser coberto por este objetivo de controle? - Se nada foi identificado na Análise de Risco que pode ser coberto por este objetivo de controle, acrescente no Statement of Aplicability (SoA) a justificativa da não aplicação deste objetivo de controle; - Se foi identificado, na Análise de Risco, algum risco que pode ser coberto por este objetivo de controle, acrescente no Summary of Controls a justificativa da aplicação deste objetivo de controle, com um pequeno resumo do risco a ser mitigado; - Dentro do objetivo de controle selecionado, devem ser selecionados quais controles específicos serão aplicados. É neste contexto que entra o documento “Statement of Applicability”, ou “Declaração deAplicabilidade”, onde serão especificados e justificados tanto a utilização como a não utilização decontroles, assim como a especificação e justificativa da implementação de outros controles que não osda BS 7799. 52
  53. 53. Cada controle objetiva definir o que deve ser feito para que determinados processos tenham asegurança assegurada e deve ser aplicado dentro dos processos de negócio para mitigar os riscos a queestes estão sujeitos.Seleção dos controles Para que sejam definidos quais controles a ser implementados na empresa é necessário que se tenhaclaramente definido quais os processos de negócio serão contemplados pelos controles e qual aaplicabilidade destes, ou seja, a que risco o controle se propõe a mitigar. Não faz sentido implementar um controle sem um objetivo claro e real. Para isso, é necessário que alguns passos sejam seguidos: - O objetivo deste trabalho deve estar totalmente entendido e aceito pelos gestores da empresa e dosprocessos que serão alvo dos controles; - O trabalho de conscientização quanto aos objetivos deste trabalho deverá ser feito em todos osníveis de usuários que serão afetados pelos controles; - É imperativo que não se confunda a etapa de levantamento de requisitos de segurança definição decontroles com auditoria, pois isso acabará criando limitação na colaboração que os envolvidos poderiamdar ao trabalho. - Antes que sejam definidos quais controles implementar, deverá ser feito um trabalho meticuloso deAnálise de Risco e Impacto nos Negócios, no qual constará o levantamento e detalhamento dosprocessos de negócio, dos ativos que suportam tais processos e dos riscos e vulnerabilidades a que são 53
  54. 54. suscetíveis, assim como a interdependência entre os processos e a dependência entre os processos e osativos; (Veja mais em “Análise de Riscos”) A seleção de controles deverá se dar baseado na análise de riscos e nos requisitos de segurançanecessários à segurança dos processos de negócio, objetivando a mitigação e controle dos riscosidentificados na “Análise de Riscos”. Como já foi dito, pode acontecer, e normalmente acontece, de nem todos os controles da Normaserem aplicáveis à organização, devendo constar no “Statement of Applicability” a especificação e ajustificativa da aplicação e também da não aplicação do controle pela organização. Neste documentodeverá constar também os controles que não os especificados pela BS 7799. (ver “Statement ofApplicability” (SoA)). Uma boa ferramenta de verificação é a criação de um “Summary of Controls” (SoC), que éequivalente ao documento de pré-auditoria, documento este que enumera todos os controles aplicados,bem como um resumo de seus objetivos. Para que o processo de seleção de controles seja bem realizado e tenha o comprometimento de toda aempresa, o mesmo deverá ser realizado pelo Security Officer em parceria com: - alta direção da organização; - gestores dos processos de negócio; - responsáveis por auditoria; - responsáveis por processos operacionais; 54
  55. 55. - responsáveis por setores da organização; - responsáveis por áreas específicas de controle; - responsáveis por tecnologias aplicadas ao negócio; - Usuários; e - Todos os envolvidos nos processos da organização que não constam desta lista ou que o SecurityOfficer julgue que possa agregar ao processo decisório e de implementação. Cada participação deverá acontecer a seu tempo, de acordo com a fase do processo, seja decisório oude implementação.Cabe aos níveis estratégico e tático da organização decidir quais controles deverão ser implementados,dentre os selecionados, definindo sempre o objetivo e relacionando o controle ao risco a ser mitigado, eao nível operacional a implementação e, caso necessário, propor mudanças e melhorias nos controles aserem implementados, desde que não mude o objetivo e nem perca o foco do risco em questão.Apostila elaborada por: Prof. Salomão de Oliveira.Para utilização na disciplina ‘Normas e Políticas de Segurança da Informação’ no curso ‘Gestão deTecnologia’, no ‘Centro Universitário Radial Estácio’ de São Paulo – Campus Jabaquara. 55

×