Resposta a Incidentes de Segurança com ferramentas SIEM
Normas ABNT-NBR-ISO/IEC 17799 e 27001 para segurança da informação
1. Alinhando ABNT-NBR-ISO/IEC 17799 e 27001
para a Administração Pública -USP
César Augusto Asciutti
Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br
Resumo
Este artigo apresenta uma breve descrição sobre a abrangência das normas técnicas brasileira sobre segurança
da informação. Apresenta também um novo modelo arquitetônico para segurança de redes descrito pela
associação internacional de segurança da informação. Finalmente apresenta uma ferramenta de trabalho que
auxilia o responsável pela segurança computacional do instituto/departamento/órgão a planejar as implantações
necessárias em atendimento às normas brasileiras.
Palavras-Chave (exemplo): Segurança Computacional, NBR-17799 e NBR27001, Norma Técnica, Brigada
de Segurança da Informação.
1. Introdução informação tem valor e deve ser protegido. As pessoas,
seus conhecimentos, também são ativos, marca,
Inicialmente devemos esclarecer o porquê de imagem, também são ativos, todos devem ser
adotarmos determinadas normas, para posteriormente preservados e mantidos pelo valor que todos
entendermos a sua abrangência e a sua aplicabilidade. representam.
Após este entendimento do porque adotarmos ações Aqui, mais do que em qualquer lugar, o
condizentes com as normas, passaremos a observar a conhecimento é o ativo, além de ativo, conhecimento é
norma sobre a analise dos grandes grupos de ação o “produto” que a universidade “comercializa”. É na
abrangidos tanto pela NBR-17799 como pela NBR- transferência deste conhecimento que reside a sua
27001. Posteriormente apresentaremos uma ferramenta missão, assim como também é sua missão, gerar mais
de trabalho que facilita a visualização da situação na conhecimento.
qual o instituto encontra-se parametrizado com a O conhecimento gerado na USP está nas pessoas,
norma e os objetivos propostos para adaptação das mas também está nos computadores, sejam servidores
operações com as exigências normativas. ou computadores pessoais, sendo nos computadores
Normas são entendidas como um conjunto de regras que armazenamos estes ativos/conhecimentos. É no
ou orientações que visam qualidade, na atuação de ambiente computacional que é armazenado,
uma tarefa. As normas em estudo buscam tornar o manipulado, organizado, construído e disponibilizado
ambiente computacional das empresas, neste caso os grande parte deste ativo/conhecimento. Defender de
institutos ou órgãos ligados à USP, mais seguros com ataques externos e ataques internos é o objetivo da
relação à mitigar os incidentes computacionais, além segurança computacional
de orientar sobre ações a serem tomadas, quando estes
incidentes ocorrerem. 1.2 Tecnologia por si só não garante segurança da
informação, diz estudo Módulo Security News-30 Out 2006 -
1.1 Motivação para um ambiente seguro. “-Os dois itens mais importantes na hora de manter
Aplicar normas de segurança em um ambiente as informações da empresa em segurança são: a
computacional, é mais do que modismo, é uma forma elaboração de políticas de segurança e o
de garantir a existência de coerência nas ações dos gerenciamento de suporte adequados, seguido do nível
coordenadores e executores das tarefas de de conscientização dos funcionários. Este é o resultado
administração dos ambientes computacionais. Adotar de um estudo conduzido pela ONG educacional
padrões reconhecidamente eficientes minimiza-se especializada em certificar profissionais de segurança
problemas de incidentes relacionados às operações The International Information Systems Security
sustentadas por computadores. Certification Consortium, em parceria com a
Inicialmente devemos entender que informação é consultoria IDC.“
um dos ativo de uma empresa/instituto. Como ativo, a
2. 1.3 Nova Arquitetura para segurança de rede. Um breve histórico da evolução da norma até
Proteger estruturas computacionais com aplicação chegar a ISO 27001:
de barreiras por camadas é o modelo mais usual para a - 1995: publicada a primeira versão da BS 7799-1
blindagem das informações e dos recursos da rede. (BS 7799-1:1995 - Tecnologia da Informação - Código
Com grande parte dos serviços e ambientes de prática para gestão da segurança da informação)
computacionais suportado pela ethernet, novos - 1998: publicada a primeira versão da BS 7799-2
modelos de barragens estão sendo propostos. (BS 7799-2:1998 - Sistema de gestão da Segurança da
Informação - Especificações e guia para uso)
- 1999: publicada uma revisão da BS 7799-1 (BS
7799-1:1999 - Tecnologia da Informação - Código de
prática para gestão da segurança da informação)
- 2000: publicada a primeira versão da norma
ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da
Informação - Código de prática para gestão da
segurança da informação também referenciada como
BS ISO/IEC 17799:2000)
- 2001: publicada a primeira versão da norma no
Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC
17799:2001 - Tecnologia da Informação - Código de
prática para gestão da segurança da informação)
- 2002: publicada revisão da norma BS 7799 parte
2 (BS7799-2:2002 - Sistema de gestão da Segurança
da Informação - Especificações e guia para uso).
- Agosto/2005: publicada a segunda versão da
Segurança por zona em três camadas, (ISSA Journal, abril 2006) norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC
17799:2005 - Tecnologia da Informação - Código de
prática para gestão da segurança da informação);
O modelo que apresentarei é uma nova abordagem
- Outubro/2005: publicada a norma ISO 27001
arquitetônica para este bloqueio. A proposta
(ISO/IEC 27001:2005 - Tecnologia da Informação -
encontrada em publicações específicas, apresenta uma
Técnicas de segurança - Sistema de gestão da
nova forma de blindar os serviços e os recursos.
Segurança da Informação - Requisitos).
Baseado em virtualização do serviços e recursos,
podemos formar uma barreira única de acesso
2.1 Tópicos Relevantes da ABNT NBR ISO/IEC-
facilitando os serviços de controle e manutenção desta
17799
barreira. Ao virtualizar o data center, estas barreiras
Segurança para sistemas de informações foi um dos
facilitam o planejamento de ações minimizando os
primeiros itens a definirem padrões. A gerência de
recursos oferecidos aos essencialmente necessários.
segurança da informação visa identificar os riscos e
implantar medidas que de forma efetiva tornem estes
riscos gerenciáveis e minimizados.
A NBR ISO IEC 17799:2005 é um código de
práticas de gestão de segurança da informação. Sua
importância pode ser dimensionada pelo número
crescente de pessoas e variedades de ameaças a que a
informação é exposta na rede de computadores.
2.2 Os objetivos explícitos desta norma são:
Estabelecer um referencial para as organizações
desenvolverem, implementarem e avaliarem a gestão
da segurança de informação.
Em sua documentação a ABNT NBR-ISO/IEC-
Nova Arquitetura de segurança, usuários com acesso por rede ao
Virtual Data Center. (ISSA Journal, abril 2006)
17799:2005 aborda 11 tópicos principais:
• 1. Política de segurança - onde descreve a
importância e relaciona os principais assuntos que
devem ser abordados numa política de segurança.
• 2. Segurança organizacional - aborda a estrutura
2. Entendendo a NBR 17799 de uma gerência para a segurança de informação,
assim como aborda o estabelecimento de
2.2 Linha do Tempo da Norma responsabilidades incluindo terceiros e fornecedores
ISO /IEC 17799:2000 & ISO/IEC 27001:2005 de serviços.
3. • 3. Classificação e controle de ativos de c-) monitoração e analise crítica do desempenho e
informação - trabalha a classificação, o registro e o eficácia do SGSI; e
controle dos ativos da organização. d-) melhoria contínua baseada em medições
• 4. Segurança em pessoas - tem como foco o risco objetivas.
decorrente de atos intencionais ou acidentais feitos por Para a execução e implantação desta norma, é
pessoas. Também é abordada a inclusão de sugerido uma atuação baseada no modelo PDCA.
responsabilidades relativas à segurança na descrição "Plan-Do-Check-Act"(PDCA)
dos cargos, a forma de contratação e o treinamento em
assuntos relacionados à segurança.
• 5. Segurança ambiental e física - aborda a
necessidade de se definir áreas de circulação restrita e
a necessidade de proteger equipamentos e a infra-
estrutura de tecnologia de Informação.
• 6. Gerenciamento das operações e
comunicações - aborda as principais áreas que devem
ser objeto de especial atenção da segurança. Dentre
estas áreas destacam-se as questões relativas a
procedimentos operacionais e respectivas
responsabilidades, homologação e implantação de “Plan” – Planejar – Estabelecer o SGSI –
sistemas, gerência de redes, controle e prevenção de Estabelecer a política, objetivos, processos e
vírus, controle de mudanças, execução e guarda de procedimentos do SGSI, relevantes para a gestão de
backup, controle de documentação, segurança de riscos e a melhoria da segurança da informação para
correio eletrônico, entre outras. produzir resultados de acordo com as políticas e
• 7. Controle de acesso - aborda o controle de objetivos globais de uma organização.
acesso a sistemas, a definição de competências, o “Do” – Fazer – Implementar e Operar o SGSI -
sistema de monitoração de acesso e uso, a utilização de Implementar e operar as políticas, controles, processos
senhas, dentre outros assuntos. e procedimentos do SGSI.
• 8. Desenvolvimento e manutenção de sistemas - “Check” – Checar/Monitorar/Analisar Criticamente
são abordados os requisitos de segurança dos sistemas, – Avaliar e, quando aplicável, medir o desempenho de
controles de criptografia, controle de arquivos e um processo frente à política, objetivos e experiências
segurança do desenvolvimento e suporte de sistemas. práticas do SGSI e apresentar os resultados para a
• 9. Gestão de incidentes de segurança - incluída analise crítica pela direção.
na versão 2005, apresenta dois itens: Notificação de “Act” – Agir – Manter e melhorar o SGSI –
fragilidades e eventos de segurança da informação e Executar as ações corretivas e preventivas, com base
gestão de incidentes de segurança da informação e nos resultados da auditoria interna do SGSI e da
melhorias. análise crítica pela direção ou outra informação
• 10. Gestão da continuidade do negócio - reforça pertinente, para alcançar a melhoria contínua do SGSI.
a necessidade de se ter um plano de continuidade e (ABNT ISO/IEC-27001)
contingência desenvolvido, implementado, testado e
atualizado. 3.1 Norma ABNT NBR ISO/IEC-27001-2005
• 11. Conformidade - aborda a necessidade de “- A nova família da série ISO IEC 27000-27009
observar os requisitos legais, tais como a propriedade está relacionada com os requisitos mandatários da
intelectual e a proteção das informações de clientes. ISO/IEC 27001:2005, como, por exemplo, a definição
do escopo do Sistema de Gestão da Segurança da
3. Entendendo a NBR 27001 Informação, a avaliação de riscos, a identificação de
ativos e a eficácia dos controles implementados.”
3.1 Processo de Gestão (Módulo Security- acesso 01/11/2006 -
A abordagem de processo para a gestão da http://www.modulo.com.br/checkuptool/artigo_15.htm)
segurança da informação apresentada nesta norma Esta Norma promove a adoção de uma abordagem
encoraja que seus usuários enfatizem a importância de: de processo para estabelecer e implementar, operar,
a-) entendimento dos requisitos de segurança da monitorar, analisar criticamente, manter e melhorar o
informação de uma organização e da necessidade de SGSI- Sistema de Gerenciamento da Segurança da
estabelecer uma política e objetivos para a segurança Informação, de uma organização.
da informação; Para esta abordagem, a norma orienta à observação
b-) implantação e operação de controles para de um conjunto de ações e tarefas. Estas ações devem
gerenciar os riscos de segurança da informação de uma ser planejadas visando à eficiência de sua aplicação.
organização no contexto dos riscos de negócio globais Destaco como pontos importantes para a
da organização; aplicabilidade da norma as ações referidas em 3.2,
destaco ainda que todas as ações propostas devam ser
4. discutidas e aperfeiçoadas em conjunto com os Desenhar um mapa com estes requisitos, seus
usuários envolvidos. Assim o sendo, a aplicabilidade desdobramentos, suas ações, as ações já implantadas
torna-se um consenso e uma regra apoiada por todos. as em implantação as primordiais, as polêmicas,
Obter o envolvimento e aprovação da direção é outro facilita as decisões necessárias.
ponto fundamental para a adoção da regra.
4.1 Preparação dos Requisitos
3.2 Tabela dos principais requisitos referenciados O mapa conceitual destes requisitos deve refletir a
na ABNT-NBR-27001 ligação entre as ações identificadas e os requisitos
O planejamento das ações relativas à norma deve descritos nas normas.
atender a um conjunto de requisitos. Na tabela a seguir Utilizando de cores, símbolos, marcas, sinais e
apresento alguns destes macro requisitos. outros, o mapa torna claros os objetivos do plano de
ação.
Requisitos gerais
4.2 - Estabelecendo e Gerenciando o SGSI. 4.2 Preparação do Mapa
4.2.1 - Estabelecer o SGSI. O “Mapa Conceitual” construído a partir destes
4.2.2 - Implementar e operar o SGSI. requisitos deve refletir a ligação entre as ações
4.2.3 - Monitorar e analisar criticamente o identificadas e os requisitos normativos.
SGSI. A construção do Mapa de Segurança deve observar
4.2.4 - Manter e melhorar o SGSI. a área sobre a qual se quer atuar, levando-se em conta
4.3 – Requisitos de Documentação a mais abrangente e completa avaliação como foco do
4.3.1 – A documentação de SGSI deve levantamento e desenho do SGSI.
incluir. (disponibilize, publique, torne Para a construção do SGSI observamos a mais
público) completa avaliação para mapearmos a área de atuação
4.3.2 – Controle de documentos. desejada. Devemos também planejar as etapas de
(disponibilize, publique, torne público) implantação seguimentando o Mapa de Atuação, de
4.3.3 –Controle de registros uma forma aplicável levando-se em conta sempre o
grau de maturidade existente no ambiente de sua
5 – Responsabilidade da direção.
aplicação, “Não ser mais realista que o Rei”,
5.1 – Comprometimento da direção
identificada no levantamento do mapa da situação
5.2 – Gestão de Risco atual de maturidade para segurança.
5.2.1 – Provisão de Recursos. O “Mapa” deve conter informações que permitam
5.2.2 – Treinamento, conscientização e identificar ações facilitadoras para a pulverização da
competência cultura de segurança da informação como a construção
6 – Auditorias internas. de uma “Brigada de Segurança da Informação” nos
6.1 – Questões a serem auditadas. moldes de uma brigada de incêndio, com o objetivo de
7 – Analise crítica do SGSI. “Pulverizar e Conscientizar” sobre as práticas de
7.1 – Analisar com periodicidade, ao menos segurança da Informação.
uma vez por ano. Deve constar no “Mapa” às ações de divulgação
7.2 - Entradas para analise crítica. planejadas para atingir as etapas previstas no SGSI,
7.3 – Saídas da analise crítica. devendo ainda desenhar os modelos de “Documentos
8 – Melhoria do SGSI. Padrão” que objetivam a divulgação bem como os
8.1 – Melhoria continuada. locais de afixação destes avisos facilitando a
8.2 – Ação corretiva. pulverização dos conceitos de segurança.
8.3 – Ação preventiva. Deverá ainda conter o plano de treinamento que
Estes macro requisitos devem ser observados e será aplicado, contendo conteúdos, públicos alvos e
seguidos para a composição do SGSI. possíveis datas para estas ações. Ao planejarmos os
treinamentos, devemos fazê-lo para todos os níveis e
4. Ferramenta para trabalhar normalizado todos os envolvidos, Docentes, Discentes,
Funcionários. Todas estas ações deverão estar contidas
Elaborar um plano sobre segurança da informação no mapa de forma clara e objetiva, tornando-se uma
requer uma metodologia. A metodologia aqui ferramenta de trabalho e planejamento do SGSI.
apresentada relaciona as ações identificadas nas Ao término desta fase devemos ter em mãos dois
normas e as ações identificadas no ambiente foco da mapas, um relativo aos itens abrangidos pela
ação. normalização e um outro construído pela avaliação do
Obter com clareza as ações necessárias, as ações escopo pretendido com a geração destas regras, o
emergenciais, as ações facilitadoras, permite o SGSI.
planejamento do SGSI. A ferramenta proposta, além
de facilitar a visualização, facilita o acompanhamento
e a localização das etapas já decorridas do SGSI.
5. 4.3 Construção do Mapa 4.3 Aplicação do Mapa
Para a construção do mapa conceitual deve-se partir O “Mapa de Segurança” como ferramenta para
pelo objeto a ser construído, o SGSI, qual deve rápida visualização do SGSI adotado, deve ficar
conectar-se aos requisitos exigidos pelas normas. exposto em lugar visível e de fácil acesso aos
A junção dos dois “Mapas” apresentará um mapa envolvidos diretamente na implantação do SGSI,
onde facilita a localização das ações do plano e os assim como poderá ser apresentado etapa por etapa aos
requisitos das normas. demais membros da comunidade envolvida na
Podemos então, utilizando-se de cores, símbolos, implantação do SGSI.
marcas, sinais e outros métodos demarcadores de
posição, utilizar o mapa com uma ótica mais clara para 5. Conclusão
qualquer leitor, dos objetivos do plano de ação.
Administrar ambientes computacionais implica em
atender as normas e diretrizes da organização. A não
conformidade às normas ou o descumprimento ou a
não observância implica em penalização legal por
omissão a estas. A alegação de desconhecimento não
tem valor legal.
Referências
ABNT NBR ISO/IEC27001 de 03/2006
ABNT NBR ISO/IEC17799 de 2001
ABNT NBR ISO/IEC 13335-1:2004
ABNT NBR ISO/IEC TR 18044-1:2004
ABNT NBR ISO/IEC Guia 73:2005]
ISSA-Information System Security Association Journal.
Módulo Security News -visitado em 30 Out 2006–
http://www.modulo.com.br/index.jsp?page=3&catid=7&o
bjid=4885&pagecounter=0&idiom=0
Anexo 1
Vocabulário referencial para SI
Ativo – qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004]
Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [ISO/IEC 13335-1:2004]
Confiabilidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não
autorizados. [ISO/IEC 13335-1:2004]
Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras
propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT
NBR ISO/IEC 17799:2005]
Evento de segurança da Informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível
violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser
relevante para a segurança da informação. [ISO/IEC TR 18044-1:2004]
Incidente de Segurança da Informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados,
que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC
TR 18044-1:2004]
SGSI – Sistema de gestão da segurança da informação – a parte do sistema de gestão global, baseado na abordagem de riscos do
negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.
(nota o sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas,
procedimentos, processos e recursos).
Integridade – propriedade de salvaguarda da exatidão e completeza de ativos. [ISO/IEC 13335-1:2004]
Risco residual – risco remanescente após o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005]
Aceitação do risco – decisão de aceitar um risco. [ABNT ISO/IEC Guia 73:2005]
Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005]
Análise/Avaliação de riscos – processo completo de analise e avaliação de risco. [ABNT ISO/IEC Guia 73:2005]
Avaliação de riscos – processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.
[ABNT ISO/IEC Guia 73:2005]
Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos
geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT
ISO/IEC Guia 73:2005]
Tratamento do risco – processo de selleção e implementação de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005]
Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e
aplicáveis ao SGSI da organização.