View
10.451
Download
11
Category
Preview:
Citation preview
Índice Analítico
I. Segurança Estratégica da Informação ..................................................................5
Objetivos da Segurança da Informação ..................................................................12
II. Pilares da Segurança da Informação ..................................................................14
Conceitos ....................................................................................................................15
Confidencialidade .................................................................................................15
Integridade.............................................................................................................16
Disponibilidade ......................................................................................................16
Aspectos .....................................................................................................................17
Autenticação ..........................................................................................................17
Autorização ............................................................................................................17
Auditoria ................................................................................................................18
Autenticidade.........................................................................................................18
Não Repúdio ..........................................................................................................19
Legalidade ..............................................................................................................19
III. Divisão da Segurança da Informação .........................................................20
Segurança Física e do Ambiente ..............................................................................21
Segurança pessoal .................................................................................................21
Segurança patrimonial .........................................................................................21
Segurança das edificações ....................................................................................22
Segurança de infra-estruturas .............................................................................22
Classificação de perímetros de segurança ..........................................................22
Controles de acessos ..............................................................................................22
Eventos naturais ....................................................................................................23
Eventos sociais .......................................................................................................23
Segurança Lógica e Sistêmica ..................................................................................24
Perímetro lógico de segurança .............................................................................24
Redes ......................................................................................................................24
Segurança de sistemas e Hosts .............................................................................25
Controle de acesso .................................................................................................25
Segurança em Pessoas...............................................................................................26
Engenharia social ..................................................................................................26
Acompanhamento de pessoal ...............................................................................26
Conscientização .....................................................................................................27
Educação ................................................................................................................27
Política de segurança ............................................................................................28
Gerência de mudança ...........................................................................................28
2
Quebra de paradigma social ................................................................................29
Controle e monitoração ........................................................................................30
Reforço negativo ou positivo ................................................................................30
Ciclo de vida da informação.........................................................................................32
Fases do Ciclo ............................................................................................................32
Manipulação ..............................................................................................................32
Armazenamento ........................................................................................................33
Transporte .................................................................................................................33
Descarte ......................................................................................................................34
IV. Gestão da Segurança da Informação ..................................................................35
SGSI – Sistema de Gestão da Segurança da Informação ......................................35
Information Security Officer (Gestor de Segurança da Informação) ..............36
Atribuições do Information Security Officer .................................................36
Conselho de Segurança .........................................................................................37
Atribuições do Conselho de Segurança ...........................................................37
Plano Diretor de Segurança da Informação - PDSI ..........................................38
V. Política de Segurança da Informação .................................................................39
Objetivos da Política de Segurança .........................................................................41
Desenvolvimento da Política de Segurança ............................................................45
Realização de Campanha de Conscientização ........................................................47
Conscientização .....................................................................................................48
Educação ................................................................................................................48
Treinamento ..........................................................................................................49
Implantação da Política ........................................................................................49
VI. Norma BS 7799 ......................................................................................................50
Objetivo da Norma ...................................................................................................51
Controles requeridos pela Norma ...........................................................................51
Seleção dos controles.................................................................................................53
3
Introdução
A Segurança Estratégica da Informação, à qual estamos vivenciando o surgimento como área do
conhecimento, área esta que se utiliza da várias ciências – psicologia, sociologia, tecnologia,
administração, arquivologia, antropologia, forense, direito, etc. - é de vital importância para o ‘mundo’
corporativo, governamental e mesmo para o mundo privado e pessoal – sem a segurança este tende a
desaparecer.
Uma frase muito dita nos últimos tempos é: ‘A informação é um dos ativos mais valiosos das
organizações’. Não poderia ser diferente, afinal estamos em plena transição da era da informação para a
era do conhecimento, conhecimento este que necessita de informações para que seja adquirido e
compartilhado. Nada mais natural que se procure, portanto, assegurar que este ‘ativo’ tão importante às
organizações esteja em total segurança. Sim, é natural, mas isto não significa necessariamente que todas
as organizações estejam preparadas para a tarefa de manter suas informações em segurança.
Nesta apostila vou procurar apresentar a Segurança Estratégica da Informação de maneira didática e
mostrar o que é necessário para que ela seja implementada, sem a pretensão de esgotar o assunto ou
fazer deste trabalho ‘a verdade’ sobre segurança da informação, pois esta é a minha visão sobre este
assunto, e nem sei por quanto tempo esta visão permanecerá. Espero que por pouco, pois ao mudar
estarei evoluindo, assim como a Segurança Estratégica da Informação evoluirá.
“O fator humano é o elo mais fraco da segurança”1
Vou apresentar também alguns conceitos de Gestão de Riscos e Continuidade de Negócios, que ao
meu ver são indissociáveis do tema Segurança da Informação.
1 Mitnick, Kevin D. - A Arte de Enganar. Makron Books, 2003
4
Clemente Nóbrega diz, em seu livro ‘Antropomarketing’ [Senac Rio 2002], que “Marketing é sobre
o ser humano”, onde “Precisamos compartilhar significados para obter reciprocidade e ficar vivos”. Eu
ouso adaptar suas palavras para: “Segurança da Informação é sobre o ser humano”, onde precisamos
compartilhar responsabilidades e conhecimentos para obter reciprocidade e ficar vivos, no sentido de
continuidade.
Esta visão é corroborada por uma das máximas da Segurança da Informação que afirma que “A
Segurança da Informação se mede pela segurança de seu elo mais fraco: o ser humano”.
Lembrem-se: Errar é humano, e trapacear também! A transição da ‘era da informação’ para a ‘era do conhecimento’, apesar de parecer e em alguns
casos não passar mesmo de apenas clichê modista para gurus e vendedores de milagres corporativos, é
de fundamental importância para o tema e para que entendamos a expansão do escopo e da abordagem
que o assunto passa a exigir. Mal começamos a aplicar conceitos de Segurança da Informação e já nos é
apresentado a Segurança do Conhecimento. Já utilizamos conceitos e práticas de Segurança do
Conhecimento há muito tempo, como no caso de proteção e segredos de propriedades industriais e
intelectuais, mas o escopo deve ser ampliado e fundido ao da Segurança da Informação, que
convencionei chamar de Segurança Estratégica da Informação.
5
I. Segurança Estratégica da Informação
Informação: dados coletados, combinados e contextualizados que explicam e informam fatos
(passado).
Conhecimento: absorção e aplicação da informação de maneira a gerar valor, propor soluções e
apresentar tendências (presente e futuro).
A Informação é um ativo importante das organizações, e em muitos casos o mais importante, e como
tal deve ser protegido adequadamente durante todo seu ciclo de vida: criação, manipulação,
armazenamento, transporte e descarte.
Por informação, entendem-se, neste contexto, todos os dados armazenados e manipulados em meios
eletrônicos, em papel, micro-filmes, ou qualquer outro meio que os suporte, que quando
contextualizados geram informações e conhecimentos de valor para a empresa. Sendo o conhecimento
adquirido a partir da informação, este deve ser englobado no nosso escopo de trabalho para que também
seja protegido. Isso nos remete à ‘gestão do conhecimento’, tema que não será tratado aqui, mas que é
verdadeiramente importante neste contexto.
O conhecimento que não está em suporte físico ou eletrônico, que é o conhecimento tácito de
funcionários chaves e estratégicos, também deve ser considerado no SGSI (Sistema de Gestão de
Segurança da Informação) e sempre que possível deve ser transformando em conhecimento explícito -
documentado - para que possa ser compartilhado e perpetuado (disponibilidade). Isso nos coloca em um
processo cíclico, pois informações geram conhecimentos que, por sua vez, geram novas informações.
Todas estas informações devem ser protegidas devido o valor que representam para as organizações.
6
Ativo: qualquer coisa que tenha valor para a organização [ISO/IEC 1335-1:2004]
Informação é um bem estratégico para as organizações, principalmente para as organizações do
conhecimento, mas não limitado a estas, pois informações e conhecimentos são, em muitos casos, mais
valiosos que os bens físicos. Sendo assim, é imprescindível que todas as ações de segurança sejam
tomadas com participação efetiva e apoio direto, explícito e irrestrito da alta direção da organização,
pois segurança deixou de ser apenas opção ou diferencial competitivo, é estratégica.
Em sendo estratégico, e aqui me lembro bem do professor “Altino” [Introdução à Administração -
UNIBERO:2000] que não se cansava de nos apresentar a pirâmide hierárquica: estratégica no topo;
tático na área central e operacional na base.
A responsabilidade pela segurança da informação é toda a organização, mas para que seja
estratégica, cuidando de ativos estratégicos, deve ter como principais responsáveis os gestores das áreas
de negócio, sob a coordenação ou direção de um especialista no assunto, ou por um diretor apoiado por
consultores, uma vez que o tema traz consigo uma série de fatores técnicos e multidisciplinares.
A Gestão da área, e assuntos específicos relativos à Segurança da Informação, deve estar, portanto,
sob a tutela de um cargo situado no plano estratégico da hierarquia. CSO (Chief Security Officer), para
os que preferem termos americanos, ou simplesmente Diretor de Segurança da Informação, em bom
português. Este cargo, ou função, pode ser desempenhado pelo próprio Diretor de Riscos Corporativos, e
em outros casos em que a empresa não comporte tal cargo, pode ser dado como função e
responsabilidade a outro diretor, mas deve estar no nível estratégico e há que se ter um verdadeiro
compromisso e responsabilidade com tal função. Este diretor deve ser assessorado por especialistas nos
diversos domínios que a Segurança da Informação engloba, ainda que consultores externos.
7
A gestão ou administração da Segurança da Informação pode ser delegada, mas a responsabilidade
recairá sempre sobre os gestores do negócio. É destes a responsabilidade, inclusive legal, de zelar pela
segurança, resiliência e continuidade dos negócios.
Não se pode esperar que processos estratégicos sejam implementados a partir de níveis táticos ou
operacionais, pois o conflito de interesse - principalmente quando se trata de assunto que provoca
alterações na cultura organizacional, tira as pessoas do seu centro de conforto e altera suas atividades do
dia-a-dia, é muito forte e o poder do ‘fogo amigo’ - é grande suficiente para que as ações não passem de
pontuais e localizadas, e assim sendo, não serão incorporadas pela organização e as pessoas continuarão
sendo o ‘elo mais fraco da segurança’. Infelizmente sabemos muito bem como funciona o ‘sabe com
quem está falando?’. Sabemos que não estamos num mundo perfeito, portanto não vamos agir como se
assim fosse.
Muitas empresas têm a ilusão de que ‘segurança tecnológica’ é segurança da informação. Na
realidade é apenas parte, apenas ferramenta de suporte e aplicação da Política Corporativa de Segurança
da Informação, esta que deve fazer parte de algo maior, que é a Gestão de Riscos Operacionais, que,
juntamente com seus pares Gestão de Riscos Financeiros e Gestão de Riscos de Mercado fazem parte da
Gestão de Riscos Corporativos. O pior desta ilusão é que esta falsa segurança acaba por tornar míopes os
que deveriam cuidar de tão estratégico ativo, que além de se vangloriarem de ter ‘segurança da
informação’ agem como se realmente a tivessem. A falsa sensação de segurança é mais prejudicial do
que a certeza da insegurança, pois elimina a possibilidade de defesa, tolhe o poder da desconfiança e dá
força até às fraquezas que poderiam ser eliminadas com pouco esforço.
É imperativo, também, que haja coerência entre a implementação da segurança da informação e a
cultura organizacional, o planejamento estratégico, o nível de maturidade cultural e de dependência em
8
TI e os riscos inerentes ao ambiente e ao negócio, o que não é possível existir senão no nível estratégico
da organização.
Para que um plano de segurança estratégica da informação alcance o resultado esperado deve seguir
as seguintes premissas:
Personalizado – elaborada sob medida para a empresa;
Não existe ‘plano de segurança estratégica da informação’ em prateleiras de lojas ou empresas de
consultorias. Desconfie e duvide de quem oferecer tal solução milagrosa. Como diria o Presidente
Lula, “não tem solução milagrosa”. As coisas devem ser feita da maneira correta, no tempo certo e
com os custos financeiros e de esforços necessários a cada organização. É algo que para funcionar
deve ser feito sob-medida, seguindo padrões e normas internacionais e consagradas, aplicando as
melhores práticas conhecidas no mercado, seguindo as regulamentações setoriais, os requisitos
específicos de cada tipo de negócio e seguindo as leis aplicáveis a cada assunto abordado no plano.
Voltando aos conceitos, o conhecimento deve ser compartilhado e aplicado, mas as informações
sobre o plano, em sua maioria, terão que ser geradas internamente, a não ser aquelas comuns ao
mercado, como leis e regulamentações.
Justificável – orientada a Riscos, ou seja, deve mitigar os riscos aos quais a empresa está sujeita,
mantendo-os em níveis aceitáveis; e
Permanente – aplicável, de maneira contínua, contra as ‘ameaças reais’ às quais os processos e
ativos da empresa estão expostos.
9
Não existe segurança 100% e nem risco zero.
É importante sabermos que não há segurança 100% e que o aumento do nível da segurança não é
linear ao investimento aplicado. Chamo isso de “efeito escalada”, pois quanto mais alto o nível de
segurança, menos o avanço é proporcional ao investimento.
O investimento e avanço em segurança reagem de maneira semelhante às curvas geradas por PG
(progressão geométrica) e PA (progressão aritmética), respectivamente, como se fosse necessário
aumento geométrico dos investimentos financeiros e esforços para se conseguir um aumento aritmético
no nível de segurança. Ao atingirmos o nível desejado de segurança a curva de investimento tem seu
ponto de inflexão e a de segurança passa a ser estável por um período e passará a decair. É importante
notar que o investimento em segurança diminuirá a partir deste ponto, mas jamais poderá ser eliminado
por completo, pois o custo de manutenção deverá ser mantido para que o nível de segurança alcançado
seja mantido e que o processo de gestão (PDCA) seja preservado.
Segurança
Investimento
10
Investimento = 1, 2, 4, 8, 16, 32, 64 .....(PG)
Segurança = 1, 3, 5, 7, 9, 11, 13....... (PA)
Relação Investimento x Segurança
O efeito escalada não incide somente sobre o aspecto financeiro, mas também sobre o gerencial e o
funcional.
A administração de ambientes seguros requer mais controles e cuidados, sob pena de se perder o
esforço feito para chegar ao patamar alcançado e ficar desatualizado no que diz respeito aos controles
necessários para garantir a segurança no nível atual. Isso gera revisões e atualizações constantes, mas em
contrapartida reduz o tempo gasto com paradas indesejadas. Cabe a cada empresa descobrir o ponto de
equilíbrio para que o benefício seja satisfatório e o investimento aceitável.
0
10
20
30
40
50
60
70
1 2 3 4 5 6 7
Investimento
Segurança
11
O nível de segurança é inversamente proporcional ao nível de conforto na utilização, para os
usuários, e à facilidade de gerenciamento, para os administradores.
Os usuários finais também podem sentir os efeitos deste maior controle, principalmente aqueles que
se acostumaram em ambientes muito flexíveis, para não dizer relaxados, pois não mais terão liberdade
para fazer o que quiserem, mas apenas o que precisarem e sob controle e monitoração constante. Estes
controles podem, se não bem implementados e adequados ao ambiente, causar alguns inconvenientes, os
quais devem ser minimizados no decorrer do processo evolutivo da segurança, e também conforme os
usuários vão se habituando a trabalhar em ambientes mais seguros, e portanto, controlados.
A conscientização e educação constante dos usuários são grandes aliados dos gestores de segurança,
pois transforma os usuários em colaboradores. Isso acontece naturalmente quando estes entendem o real
objetivo da segurança.
O investimento em segurança deve ser proporcional ao valor do bem que se pretende proteger.
Visto que proteger as informações requer investimento e esforço, devemos atentar para o fato de que
nem todas as informações têm o mesmo valor, e que o valor destas variam de acordo com seu ciclo de
vida. É essencial que se faça a classificação das informações, e sua reclassificação, sempre que
necessário, para que não se invista mais que o necessário para garantir a segurança das mesmas.
Ninguém compraria um cofre de R$ 10.000,00 para guardar uma jóia de R$ 3.000,00. Seria um
desperdício de recurso. E um carro que hoje custa R$ 50.000,00 terá seu valor depreciado no ano
12
seguinte, não sendo, portanto, aceitável que se invista o mesmo valor em seu seguro por dois anos
consecutivos, pressupondo-se que não houve alteração considerável no fator risco.
Objetivos da Segurança da Informação
A segurança da informação tem dois objetivos principais: o primeiro é preservar (Confidencialidade,
Integridade e Disponibilidade) os dados e informações da organização, de seus clientes, funcionários e
parceiros. O segundo é garantir a continuidade operacional do negócio em caso de incidente,
minimizando os impactos financeiros, de imagem e operacionais, decorrentes deste incidente.
Segurança da Informação = Preservação + Continuidade.
Nenhum empresário irá investir em segurança da informação se não tiver claro, e se não estiver
consciente de quais serão os benefícios e retorno deste investimento para a organização.
Esta é uma das árduas tarefas do responsável pela segurança da informação: conscientizar e
convencer os executivos da necessidade de investir em segurança.
Alguns negócios dependem diretamente da segurança e em outros a regulamentação da atividade ou
Leis e Decretos exigem investimento em segurança e o ‘Information Security Officer’, como é chamado
o responsável pela segurança da informação, não precisará despender muito esforço para conseguir
investimento.
Os bancos, por exemplo, estão muito à frente de muitos outros tipos de negócio, pois dependem da
segurança para sobreviver. Já as indústrias ainda estão caminhando a passos lentos para a maturidade,
mas já tendo algumas áreas mais avançadas, como as de pesquisa e desenvolvimento.
13
Na maioria das organizações o ‘Information Security Officer’ precisará se esforçar para mostrar as
vantagens que o investimento em ações estruturadas em segurança trarão como retorno. Uma das
melhores maneiras de demonstrar que o investimento trará retorno, e sua real necessidade, é a realização
estudos de Análise de Riscos e Avaliação de Impactos, estudos estes que irão aclarar o quão a
organização está vulnerável, quais são os riscos aos quais está exposta e qual será o impacto em caso de
incidente.
Uma estratégica que pode auxiliar no convencimento é demonstrar o quanto a empresa poderá perder
caso não invista em segurança, uma vez que é difícil demonstrar o retorno do investimento. Podemos
chamar isso de Perda por Não Investimento (PpNI). Exemplo: Seguir uma regulamentação setorial pode
não trazer retorno à empresa, mas não seguir pode trazer prejuízo.
Alguns objetivos da segurança da informação:
Agregar valor ao negócio; diferencial competitivo; continuidade operacional; gerenciamento dos
riscos; proteção de investimentos; conformidade com determinações legais e setoriais; etc.
Alguns motivadores da segurança da informação:
Dependência crescente da informação; a informação é um dos ativos mais importantes das
organizações; responsabilidade administrativa, legal e social – acionistas, clientes, funcionários,
governo, sociedade; proteção da propriedade intelectual – patentes, marcas, direitos autorais,
segredos de negócio, segredo de fábrica; etc.
14
Para que seja possível alcançar os objetivos da segurança da informação é necessário que se siga alguns
passos, a saber:
- Realização de Análise de Risco;
- Realização de Avaliação de Impactos nos Negócios;
- Elaboração de uma Política de Segurança que reflita os objetivos do negócio;
- Realização de campanhas de conscientização e treinamento dos funcionários;
- Elaboração de um Plano de Continuidade do Negócio.
- Revisar tudo periodicamente
Segurança da Informação é um processo, não um projeto.
Para completar, segurança da informação não é projeto, e sim um processo, e como tal deve ser
contínuo, cíclico, monitorado, revisado e evoluído permanentemente, sob pena de se tornar obsoleto e de
perder seu valor para o negócio.
II. Pilares da Segurança da Informação
A segurança da informação é composta por pilares básicos, e todo o resto gira em torno disto:
Confidencialidade; Integridade; e Disponibilidade.
Este tripé da segurança da informação pela é conhecido pela sigla CID.
15
Temos ainda alguns aspectos originados dos conceitos do CID. Vamos destacar aqui alguns deles:
Autenticação; Autorização; Auditoria; Autenticidade; Não Repúdio e Legalidade.
Conceitos
Confidencialidade Garantia de que o acesso às informações seja obtido somente por entidades autorizadas.
A confidencialidade pode ser classificada em níveis de acordo com as necessidades da empresa,
podendo ser:
Confidencial – Pode ser manipulada por um número reduzido de pessoas ou um setor da empresa,
como por exemplo P&D;
Restrita – Informação restrita pode ser manipulada por contingente maior de pessoas ou um nível
hierárquico, como por exemplo o plano estratégico da empresa que pode ser visto até no nível
hierárquico de diretoria;
Interna – Este tipo de informação deve ser limitado à da empresa, como as listas de ramais,
memorandos internos, norma internas, manuais, etc.;
Pública – Estas informações podem também ser divulgadas ao público ou publicadas em revistas,
sites, etc. Informações públicas podem também ser conhecidas como ‘não classificadas’, pois
entende-se que se não foi classificada é porque é pública. Isso pode trazer sérios problemas para a
empresa, pois uma falha de classificação pode expor informações confidenciais ao público. O mais
seguro seria adotar que tudo o que não é classificado é interna.
16
Integridade Garantia de que as informações serão protegidas contra alterações não autorizadas e mantidas a
exatidão e a inteireza das mesmas, tal qual como foi armazenada e disponibilizada.
Um dado, ou informação, armazenado deve permanecer integra para quando for recuperado. Para
que isso seja verdadeiro não poderá sofrer interferência alguma que o modifique, seja por falhas
intencionais ou não. Os métodos de processamento, normalmente sistemas, devem também ter a
integridade preservada, pois uma alteração num sistema pode comprometer as informações resultantes
do processamento.
Este conceito não garante que os dados estejam corretos, pois se forem armazenados errados, assim
permanecerão até que uma entidade autorizada os corrija.
Disponibilidade Garantia de que as informações estarão disponíveis onde e quando as entidades autorizadas
necessitarem, com total segurança.
A informação não tem valor para a empresa caso não esteja disponível quando for requisitada.
Muitos ataques tentam derrubar este pilar da segurança por meio da negação de serviço com ataques do
tipo DoS ou DDoS, interrompendo o acesso aos serviços e informações das empresas. Para que este
problema seja apresentado não é necessário ataque sofisticado, bastando para isso apenas que uma linha
de comunicação seja interrompida ou que um servidor seja fisicamente comprometido, intencionalmente
ou não. A falta de energia que alimenta o servidor de dados pode causar indisponibilidade, caso não haja
contramedidas para este problema.
A manutenção deste pilares da segurança da informação só será atingida se houver a integração entre
segurança física e do ambiente, tecnológica e em pessoas como já foi apresentado.
17
Aspectos
Autenticação
Processo de autenticar uma entidade como sendo aquela que se apresenta.
Entende-se por entidade, pessoas, sistemas, redes ou qualquer outra parte que necessite de
identificação para que possa manipular as informações. Este aspecto é de suma importância para a
manutenção da segurança da informação, pois se não for possível autenticar a entidade toda a cadeia de
segurança estará comprometida, seja por permitir acesso à entidade falsa ou negar acesso à entidade
legítima. Pode-se dizer que a negação de serviço é melhor que a autorização indevida, mas isso deve ser
muito bem resolvido pela empresa, pois nem sempre isso pode ser verdadeiro.
Autorização
Processo de concessão de direitos para que uma entidade autenticada acesse as informações
somente com as permissões a ela atribuída. (ler, gravar, modificar, apagar, executar, visualizar).
Esse aspecto é totalmente dependente da autenticação, pois se for autenticada uma entidade falsa
como verdadeira, esta receberá todas as permissões atribuídas à verdadeira como se ela fosse.
No processo de autorização deve-se sempre que possível utilizar o preceito de mínimo privilegio,
preceito este que diz que uma entidade deve ter o mínimo privilégio de acesso às informações dentro de
sistemas quanto for necessário para o cumprimento de suas funções.
Outro preceito é a ‘necessidade de saber’ – need to know. Questiona-se se realmente é necessário
que a entidade tenha acesso a determinadas informações ou sistemas para cumprir suas funções, em caso
negativo o acesso deve ser negado.
18
Auditoria
Processo de registrar as ações realizadas pelas entidades durante a interação com as informações e
sistemas.
Para que a segurança da informação seja efetiva é necessário que se possa determinar com precisão
quem, quando e o que foi feito nos sistemas de informações e repositórios de dados. Sem isso não será
possível responsabilizar violação de normas e quebras de segurança. Este registro de trilhas de auditoria
deve se dar em todos os ambientes da empresa, tanto físicos quanto lógicos.
Em sistemas de informação isso é feito por meio de coleta de ‘logs’, arquivos que registram todos os
eventos configurados para serem registrados e com a riqueza de detalhes que for necessário à empresa.
Em segurança física, um simples relatório manual de acesso a determinadas dependências da empresa
também pode ser considerado trilha de auditoria, assim como câmeras de vigilância e outros dispositivos
de monitoração.
Estes três aspectos compõem a sigla AAA, de Autenticação, Autorização e Auditoria
Esta sigla é utilizada por técnicos de informática voltados para segurança de sistemas e redes, mas pode
ser aplicada a qualquer sistema de segurança da informação.
Autenticidade
19
Processo que certifica a legitimidade das informações, quer seja de credenciais de acesso que
autenticam as entidades ou que as informações por estas entidades transmitidas são autênticas, assim
como a entidade remetente ou destinatária como legítima.
Os certificados digitais, que inclusive já tem valor jurídico e provê a irrevogabilidade, vêm sendo
utilizados principalmente em assinatura de documentos, cifração em trocas de mensagens e autenticação
de entidades.
A biometria vem ganhando espaço principalmente para controle de acesso e autenticação de
usuários.
Não Repúdio
Característica das informações que garante o não repúdio, seja referente à autenticidade de
documentos ou transações financeiras e comerciais.
Mais uma vez o certificado digital (assinatura eletrônica), juntamente com as certificadoras de tempo,
estão se apresentando como as tecnologias mais adequadas à esta tarefa, muitas vezes já com garantia
jurídica nos processo.
Legalidade
Característica das informações estarem em conformidade legal, assim como os processos que as
manipulam e provê validade jurídica.
Este aspecto rege que as informações devem ser mantidas dentro das determinações legais. Um
exemplo disso são as assinaturas digitais de documentos, que só terão efeito legal se forem feitas com
certificados digitais fornecidos por Entidades Certificadoras – ACs - integrantes do ICP Brasil ou por
20
entidades reconhecidas previamente por todos os participantes do processo de validação do documento.
Isso vale também para transações comerciais e financeiras.
Para que sejam realizadas transações entre o Sistema Financeiro ou Órgãos Governamentais é
obrigatório que as ACs sejam integrantes do ICP Brasil.
III. Divisão da Segurança da Informação Para que a segurança da informação seja efetiva e completa, podemos dividi-la em três partes:
Segurança Física e do Ambiente;
Segurança Tecnológica;
Segurança em Pessoas.
Divisão da Segurança da Informação
AMBIENTE
FÍSICA TECNOLÓGICA
PESSOAS
21
Segurança da Informação é a aplicação conjunta da segurança física e do ambiente, da segurança
tecnológica e da segurança em pessoas, com foco na gestão dos riscos inerentes aos negócios, tanto
diretos quanto indiretos.
A falsa certeza da segurança é mais prejudicial que a certeza da insegurança.
Com a não implementação de apenas uma dessas partes da segurança da informação, o máximo que
se conseguirá é criar uma falsa sensação de segurança, que é muito pior do que ter a certeza da
insegurança, pois se acreditamos, falsamente, que estamos seguros, acabamos por não tomar as medidas
necessárias para prevenção, detecção, correção e redução de impacto, mas sabendo que estamos
vulneráveis só ignoramos a necessidade de tais medidas de maneira consciente, e portanto imprudente e
inconseqüente.
Segurança Física e do Ambiente A Segurança Física e do Ambiente é composta por (mas não somente por):
Segurança pessoal
Medidas a serem tomadas para garantir a segurança dos funcionários, prestadores de serviços e
pessoas chave da organização;
Segurança patrimonial
Controles a serem implementados para garantir a segurança do patrimônio da organização,
principalmente daqueles necessários à continuidade operacional;
22
Segurança das edificações
Cada tipo de atividade requer edificações apropriadas para tal, com níveis de segurança estrutural
e monitoração apropriada ao negócio ou atividade realizada na edificação. Processos de manutenção,
brigadas de incêndio, controle ambiental e controle de pestes podem ser considerados escopos da
segurança das edificações;
Segurança de infra-estruturas
Infra-estrutura de cabeamento lógico (backbone de rede), elétrica, de água, de condicionamento
de ar, de exaustão, de controle do ar, de detecção e combate a fogo, dentre outros, devem ser
protegidas e controladas. Devemos atentar para a infra-estrutura interna e externa, esta última um
pouco mais complicada de gerenciar por estar, na maioria dos casos, fora do controle da
organização, mas nem por isso deve ser ignorada;
Classificação de perímetros de segurança
Áreas diferentes abrigam equipamentos e processos diferentes, devendo, portanto, serem
classificadas de acordo com suas características, podendo ser: restrito, controlado e público, ou outra
classificação que atenda as necessidades de segurança;
Controles de acessos
O acesso às instalações da organização deve ser controlado e monitorado para que a segurança
seja efetiva.
23
Quando falamos em segurança física e de ambiente, boa parte das ações serão tomadas para
limitar o acesso às dependências a serem protegidas. Sem o devido controle de acesso, seja este
administrativo e simples ou tecnológico e complexo, a segurança será falha.
Eventos naturais
A natureza é bela e perfeita, não podemos contestar isso, mas em muitas situações acaba por
colocar em risco a segurança das organizações. Raios, enchentes, chuvas de granizo, temporais,
ventanias, terremotos; maremotos; calor; etc. podem afetar a continuidade operacional da
organização caso esta não mesure os riscos e implemente as medidas necessárias de segurança.
Eventos sociais
Muitos eventos sociais podem acabar por afetar a segurança das empresas, em diversos níveis e
situações. A disponibilidade a pode ser afetada caso haja, por exemplo, uma mobilização social nas
imediações da empresa, seja por greve, revolta, baderna, etc. Empresas que atuam na Av. Paulista, em
São Paulo, sofrem este tipo de transtorno constantemente, uma vez que a avenida é palco de diversas
manifestações, festivas ou não.
Em muitos casos pode ocorrer de tais manifestações fugirem ao controle e passar para ações em
massa de quebra-quebra, baderna e violência. Empresas podem ter suas dependências invadidas,
depredadas e saqueadas, estes riscos devem ser levados em consideração no processo de gestão de riscos
e segurança das informações.
Mesmo ações individuais, seja por imprudência ou sabotagem, podem levar a empresa a
situações como as acima apresentadas.
24
Segurança Lógica e Sistêmica
A segurança lógica e sistêmica deve prever ações de funcionários, hackers e crackers, parceiros,
clientes, fornecedores e quaisquer outros que interagem com a organização, prevendo e tratando os
riscos de: espionagem, sabotagem, erros, facilitação, roubo, furto e desvio de dados e informações, etc.
Perímetro lógico de segurança
A composição lógica das redes da organização pode ser composta por várias redes, redes estas
que requerem níveis diferentes de segurança. Não se pode, por exemplo, dar a mesma atenção para a
rede onde estão alocados os servidores de produção e a rede onde estão os servidores públicos, como
os que hospedam os sistemas e Sites na Internet. O firewall é a ferramenta mais utilizada para
segmentação de perímetros lógicos de segurança, por sua capacidade de proteção e pela facilidade de
customização, uma vez que a proteção é baseada principalmente em regras de permissão e / ou
negação de acesso, regras estas que definem quem pode entrar em qual rede e utilizando que tipo de
protocolo ou serviço.
Muitos roteadores têm a capacidade de auxiliar na segurança de perímetro por meio de
implementação de listas de acessos que, ainda que de maneira limitada, conseguem determinar
regras de acesso (endereço IP e protocolos) às redes por trás deles.
Redes
As redes da organização devem ser providas de mecanismos de monitoração, detecção e proteção
contra códigos maliciosos, assim como contra ataques e intrusões. A ferramenta mais aplicável para
25
esta tarefa é o IDS (NIDS - Network Intruder Detection System). Para monitoração podem ser
utilizadas ferramentas Sniffer, que capturam tráfego da rede para estudo e monitoração.
Segurança de sistemas e Hosts
Dentro da segurança lógica e sistêmica, a segurança de sistemas e aplicativos tem um papel
fundamental, pois são estes que irão manipular os dados da organização. A segurança deve ser
prevista e implementada desde a concepção e projeto dos sistemas e aplicativos, pois é quase
impossível e inviável economicamente a implementação posterior. O que se faz quando o sistema
não é seguro é implementar uma ‘camada’ externa de segurança, normalmente com softwares
especialistas de terceiros, como Host IDS, antivírus, sistemas de controle de acesso, etc.
Ainda dentro da segurança de sistemas, há que se ter cuidado especial no processo de
desenvolvimento, implementando a segregação de ambientes e funções, assim como controle
eficiente de homologações, versões e atualizações dos sistemas de produção.
Controle de acesso
O controle de acessos aos sistemas e dados é uma parte de extrema importância da segurança. O
controle de acesso deve prever as seguintes funcionalidades: Autenticação, Autorização e Auditoria.
Os bancos de dados não passam, simplificadamente falando, de repositórios de dados. O controle
de acessos a estes dados deve ser previsto desde a concepção e estruturação do banco de dados,
podendo, e devendo, ser feito de maneira integrada aos sistemas que farão a interação entre os
usuários e o banco de dados.
26
Segurança em Pessoas
A segurança em pessoas é normalmente relegada a segundo plano, mas acredito ser a mais
importante das três, por serem as pessoas o ‘elo mais fraco da corrente’.
A resistência da corrente é equivalente a resistência de seu elo mais fraco.
É nas pessoas que a segurança começa e é nelas que termina. Equipamentos tecnológicos podem ser
desligados, trocados e ligados novamente, é tudo muito previsível. Com pessoas a situação é diferente,
não podemos prever as atitudes das pessoas em situações adversas. Não devemos falar de desconfiança,
mas de precaução.
Dentro da Segurança em Pessoas, devemos trabalhar com as seguintes questões, dentre outras que sejam
necessárias à organização:
Engenharia social
Um dos grandes vilões da segurança da informação é a engenharia social, técnica que é utilizada
em larga escala por engenheiros sociais, hackers e crackers, espiões, curiosos, estelionatários, dentre
outros. A maioria das espionagens industriais e comerciais se dá por engenharia social, e quando esta
não é a principal técnica empregada pelos espiões, é utilizada no mínimo como auxiliar para outras
técnicas.
Acompanhamento de pessoal
27
As organizações são compostas fundamentalmente por pessoas, às quais estão sujeitas a
alterações de comportamento de acordo com diversos fatores, tais como humor, problemas
familiares, financeiros, com drogas, com doenças, chantagem, dentre outras tantas.
Conscientização
A conscientização do pessoal é peça chave na implementação da segurança da informação. As
pessoas devem estar cientes e conscientes da necessidade da segurança das informações, bem como
do valor dessas informações, assim como o risco e o impacto que a violação da segurança poderá
causar à organização e conseqüentemente para as pessoas que nela trabalham. Se as pessoas não
entenderem e aceitarem os argumentos apresentados pela organização a segurança poderá não ser
efetiva.
Educação
É muito comum as empresas desenvolverem Política de Segurança, implementarem uma grande
parafernália tecnológica voltada para a segurança, e tomarem muitas das medidas necessárias à
segurança da informação sem dar a devida atenção e o devido investimento à educação de seus
funcionários. As pessoas estão acostumadas a acreditar em seus interlocutores, a ajudar aos que
solicitam, a abrir arquivos que recebem, a seguir orientações recebidas por e-mail ou telefone, a
confiar em sites que se dizem seguros, a crer que os e-mails recebidos de um amigo são confiáveis, a
ter boa receptividade com seus colegas de trabalho ou enviados por estes. Estes costumes podem
abrir uma enorme lacuna de segurança se alguns cuidados não forem tomados para certificar que as
informações apresentadas são realmente verdadeiras e confiáveis.
28
A engenharia social nada mais é do que uma técnica para explorar algumas características
humanas como ego, vaidade, ambição, confiança, medo, bondade, reciprocidade, corporativismo,
coleguismo, dentre outras. Se as pessoas não forem educadas em como agir nas situações que podem
causar incidentes de segurança e colocar as informações em risco, com certeza a segurança será
violada e a organização será prejudicada.
Política de segurança
É um conjunto de normas que traduz as necessidades da organização quanto à segurança da
informação, objetivando a normalização das ações necessárias para levar a organização a um nível
de risco aceitável e confortável. A política de segurança deve ser desenvolvida sob medida para a
organização à qual será aplicada, devendo contemplar a estratégia de negócios e as expectativas de
segurança da direção. Deve, ainda, ser clara e objetiva, factível e aplicável, mensurável, relevante e
temporal.
A Política de Segurança da Informação de uma organização deverá ser aprovada pela alta direção
e publicada de maneira que todos os funcionários e parceiros tomem conhecimento da parte que lhes
cabe seguir.
Gerência de mudança
A implementação da segurança da informação comumente provoca inúmeras e profundas
mudanças nas organizações, sejam mudanças de comportamento ou em processos. Estas mudanças
devem ser acompanhadas e gerenciadas por uma pessoa que tenha bom relacionamento pessoal e
interdepartamental e com liderança e autoridade suficiente para contornar problemas que surgirão
em decorrência dessas mudanças. É natural que haja resistência por parte do pessoal, quer seja por
29
perda de direitos nos sistemas, maior monitoração e controle, falta de entendimento dos objetivos da
maior segurança, etc., mas tal resistência deve ser contornada com medidas de conscientização e em
último caso com medidas de reforço - prêmios e ou punições.
Quebra de paradigma social
Um dos paradigmas a serem quebrados é o da posse. É comum ouvirmos e dizermos: meu micro,
minha sala, meu e-mail, quando falamos das coisas pertencentes à organização. Este comportamento
fará com que as pessoas apresentem resistência às mudanças que acabarão por aumentar o controle e
a monitoração, e ninguém gosta de ter ‘suas’ coisas monitoradas por terceiros.
Deve-se reforçar, durante a conscientização e educação, que os bens, ferramentas e informações
pertencem à organização, que têm real valor para esta e por isso necessitam de monitoração e
controle, o que acabará por proteger, por conseqüência, também os interesses dos funcionários.
30
Controle e monitoração
As normas de segurança descritas na política de segurança devem ser seguidas por toda a
organização, e para que se meça a aderência e obediência às normas é necessário que haja
monitoração das ações previstas.
A monitoração não deverá ser utilizada como fonte de ameaças e punições, mas sim para
correções e ajustes das normas, dos comportamentos e das tecnologias aplicadas.
É necessário, ainda, que se deixe claro que o controle e a monitoração são para proteger as
informações e os recursos da organização e não para ‘bisbilhotar’ as ações dos funcionários,
deixando claro que a privacidade será preservada, desde que não coloque a segurança em risco, e tais
ações se darão por meio de processos transparentes estabelecidos pela organização.
Reforço negativo ou positivo
Assim como em cada lei existe a punição – reforço negativo - aplicável em caso de
descumprimento, na política de segurança deverá constar as punições aplicáveis caso sejam
descumpridas ou burladas. Se não for assim, corre-se o risco da política de segurança cair em desuso
e a área de segurança em descrédito, o que fará com que os esforços e investimentos efetuados sejam
perdidos e a segurança não seja mantida.
A organização pode, para aumentar a aderência às normas, promover reforço positivo –
premiação - para os que se destacarem no cumprimento e aderência às normas e à observância da
segurança da informação. Esta estratégia deve ser muito bem implementada para que não desvirtue a
real motivação das ações de segurança. O objetivo principal é proteger as informações, e isso não
pode ser esquecido.
31
O incidente de segurança mais freqüente é a que tem o ser humano - o elo mais fraco da corrente -
como principal ator, podendo ser intencional ou não.
Causas de incidentes não intencionais: falta de treinamento, desatenção, falta de
comprometimento, imperícia ou imprudência, negligência, dentre outros.
Causas de incidentes intencionais: sabotagens, facilitações, espionagens, ataques hackers,
engenharia social, etc.
Temos ainda os incidentes com causas não humanas, que podem ser tecnológicas e naturais: falhas
de sistemas, falhas de hardware, falhas de infra-estrutura, tempestades, alagamentos, raios etc.
A implementação de defesas pode ser feita sob uma abordagem de camadas. A figura abaixo ilustra,
com alguns exemplos, como se dá a segurança nas várias camadas de profundidade e como cada camada
é dependente da anterior.
Dados
Aplicativos
Servidores
Rede Interna
Perímetros
Segurança Física
Política de Segurança
Permissões de acesso, encriptação, auditoria
Antivírus, anti-spyware, desenvolvimento
Autenticação, correções de S.O / aplicativos, HIDS
Firewalls, VLAN, NIDS, VPN, HIDS
Firewalls, VLAN, DMZ, NIDS, VPN, HIDS
Segurança patrimonial, vigilância, edificações
Normas, procedimentos, monitoração, conscientização, educação e treinamento
32
Ciclo de vida da informação
A informação deve ser protegida durante todo seu ciclo de vida. Neste ciclo de vida os requisitos de
segurança podem variar, e normalmente variam, devendo, portanto, ser investido esforço adequado à
proteção que se fizer necessário em cada fase da vida da informação.
Como exemplo podemos citar informações de um determinado produto, que durante sua fase de
desenvolvimento tais informações devem ser tratadas como confidenciais, devido sua natureza e dos
investimentos que estão sendo feitos para o desenvolvimento do produto. Após o término do
desenvolvimento, se for o caso, realiza-se o registro da patente, momento em que boa parte das
informações do produto passam a ser públicas.
Neste caso, não faria mais sentido continuar a tratar todas as informações do produto como
confidencial, podendo reduzir o investimento a partir da reclassificação dos mesmos, mantendo como
confidencial apenas aquelas que forem realmente necessárias.
Fases do Ciclo
Manipulação
Refere-se a todo ato de manuseio da informação durante os processos de criação, alteração e
processamento.
33
Nesta fase do ciclo de vida da informação é onde há maior interação entre esta e as entidades, e,
conseqüentemente, é onde ocorre a maioria das falhas de segurança.
Armazenamento
Refere-se ao armazenamento e arquivamento da informação em meios digitais, magnéticos ou
qualquer outro que a suporte.
Durante a fase do armazenamento, em que meio seja, a informação deve estar salvaguardada dos
riscos a que está sujeita, tendo preservadas a Confidencialidade, Integridade e Disponibilidade, de
acordo com a necessidade de cada tipo de informação.
Nesta fase a segurança física é muito importante, não que as outras não o sejam, pois estarão sujeitas
aos riscos ambientais, naturais ou não, mais do que os da fase de manuseio.
Aqui deve-se dividir ‘armazenamento’ de ‘arquivamento’, sendo entendido como armazenada a
informação que está à disposição das entidades que a utiliza, que está em área de produção, quando
muito em backup de segurança. O arquivamento deve ser entendido como o processo de guarda das
informações que não estão mais em produção, ou seja, não ficam disponíveis para as entidades
utilizarem nos processos de negócio. Estas são as informações contábeis, fiscais e tributárias e arquivos
mortos, dentre outros que na maioria das vezes são arquivadas para que sejam colocadas à disposição
dos órgãos públicos, caso sejam solicitadas, ou para consultas futuras.
Transporte
Refere-se a todos os atos de movimentação e transferência da informação, seja entre processos,
mídias ou entidades internas ou externas.
34
O transporte requer atenção especial, pois, normalmente, quando as informações estão em transporte,
estão fora do perímetro de segurança do ambiente que a suporta: Cartas, e-mails, caixas de arquivos,
pastas, notebooks e PDAs, comunicação telefônica e transmissões eletrônicas via rede, principalmente
redes públicas como a Internet.
Tomemos todos os tipos de comunicação como fazendo parte do ambiente de transporte, inclusive, e
muito importante, o diálogo falado, pois ao falar, transporta-se a informação pelo ambiente (ar), do
locutor ao interlocutor, e pode-se deixar vazar informações valiosas neste momento.
Descarte
Refere-se às ações de descarte e destruição das informações no meio em que se encontram.
Muitas pessoas, na realidade a maioria, acham que a informação que vai ser descartada não tem
valor. Ledo engano, e engano que pode custar muito caro para as organizações que não atentam para
este pormenor.
Em geral, ao jogarmos um documento em papel, uma cópia ou rascunho no lixo não estamos
descartando a informação, estamos, na realidade, nos desfazendo do meio que a suporta, neste caso o
papel.
Com a modernização e automação dos escritórios esta questão ficou ainda mais preocupante, pois
basta que se tire uma cópia ou impressão de má qualidade para que a mesma seja lançada na lixeira, sem
critérios e sem que se observe os cuidados necessários à segurança das informações ali contidas. O papel
carbono é outro vilão, apesar de ser cada vez menos utilizado.
35
O mesmo cuidado se deve ter com qualquer meio que suporte a informação: papel, discos
magnéticos, cartuchos, fitas de backup, CDs, micro-filmes, dentre tantos outros. Cada meio requer um
cuidado especial no descarte, para que as informações estejam protegidas.
Os cuidados com descarte devem ser considerados, também, ao se vender computadores, discos,
papéis para reciclagem, dentre outras maneiras de descartar, sem que seja necessariamente jogando no
lixo.
Esta prática é muito perigosa, principalmente no descarte de produtos magnéticos, pois não basta
apagar o arquivo do disquete ou disco rígido para que a informação seja perdida. Se a eliminação da
informação não for feita com técnica apropriada ao meio, a informação poderá ser ‘reconstruída’ a partir
de resíduos das mesmas que permanecem nos meios magnéticos. É o mesmo que apagar uma escrita à
lápis de um papel, com um pouco de esforço ou com alguma técnica, podemos descobrir o que ali estava
escrito.
IV. Gestão da Segurança da Informação
SGSI – Sistema de Gestão da Segurança da Informação
Um SGSI é um sistema de gerenciamento utilizado para estabelecer a política e os objetivos da
segurança da informação baseado em uma abordagem de análise de risco do negócio, com o intuito de
definir, implementar, operar, monitorar, manter e melhorar a segurança da informação.
O SGSI deve abranger: Infra-estrutura organizacional da política de segurança; segurança
organizacional; classificação e controle dos ativos de informação; segurança pessoal; segurança física e
36
do ambiente; gerenciamento das operações e comunicações; controle de acesso; desenvolvimento e
manutenção de sistemas; gestão da continuidade dos negócios; aspectos legais e de conformidade.
A gestão da segurança da informação deve ser feita com visão estratégica para que esteja alinhada
aos planos estratégicos de negócios e que sirva de apoio para estes.
Information Security Officer (Gestor de Segurança da Informação)
O Information Security Officer deverá ser um profissional especializado em segurança da
informação. Dependendo da área de formação deste profissional ele poderá tender a ser um “Security
Officer Tecnológico”, mais voltado para a aplicação de tecnologias, ou “Security Officer Estratégico”,
mais voltado às normatizações e gerenciamento dos riscos. Seja qual for a tendência do profissional, é
imperativo que as duas funções sejam cobertas, tanto a tecnológica quanto a estratégica, buscando
sempre a melhor dosagem de esforços para uma e outra.
Este profissional deverá, de preferência, se reportará ao ‘Conselho de Segurança’, ao ‘Comitê
Executivo’ ou diretamente ao Presidente da empresa. Em muitas empresas ele já aparece com status de
diretoria para que possa apoiar e interagir com a alta direção da empresa e para que esteja a par das
estratégias de negócios, às quais a segurança da informação deverá estar alinhada e suportando.
O posicionamento do Security Officer é determinante para que não haja conflito de interesses que
possam prejudicar as determinações e ações ou retardar a implementação das medidas necessárias à
segurança das informações.
Atribuições do Information Security Officer
Dentre as atribuições do Security Officer estão:
37
- Elaborar e aplicar o SGSI;
- Elaborar e aplicar a Política de Segurança;
- Promover a manutenção da segurança da informação;
- Promover a disseminação da cultura da segurança da informação;
- Realizar, ou acompanhar, análises de riscos e avaliações de impactos;
- Definir as medidas de segurança a serem implementadas;
- Gerenciar as medidas de segurança implementadas
- Analisar os incidentes de segurança e manter a Diretoria informada sobre a ocorrência de
incidentes ou ameaças de segurança;
- Apresentar e justificar o plano de investimentos em segurança;
Conselho de Segurança
O Conselho de Segurança, caso seja constituído, deverá ser composto por um representante de cada
processo de negócio ou párea da empresa e ainda por:
Tecnologia da Informação; Recursos Humanos; Jurídico; representantes da Diretoria ou Conselho
Executivo.
Atribuições do Conselho de Segurança
- Apoiar e participar da elaboração do SGSI;
- Participar da elaboração e homologar a Política de Segurança;
- Apoiar a manutenção da segurança da informação;
- Apoiar a disseminação da cultura da segurança da informação;
38
- Homologar as medidas de segurança a serem implementadas;
- Apoiar a elaboração do Plano de Continuidade dos Negócios;
- Homologar o Plano de Continuidade dos Negócios;
- Participar e aprovas análises de riscos e avaliações de impactos;
- Garantir os recursos necessários à manutenção da segurança da informação.
Plano Diretor de Segurança da Informação - PDSI
O PDSI deverá direcionar as ações de segurança da informação e mantê-las alinhadas ao
planejamento estratégico da empresa. Este plano deverá descrever:
- Missão e visão da área de segurança;
- Estrutura departamental e relacionamento interdepartamental e com entidades externas;
- Definição de estratégias para segurança da informação;
- Planejamento de aplicação da Política;
- Planejamento de implementações técnicas;
- Planejamento financeiro;
- Planejamento de treinamentos;
- Fatores críticos de sucesso e provisão de recursos;
- Modelo de atuação e gestão da segurança da informação – SGSI;
- Definição de responsabilidades;
- Aderência à NBR ISSO/IEC 17799 ou outras normas de segurança adotadas pela empresa;
- Estudo de impacto e adequação aos dispositivos e decretos legais e resoluções ou regulamentações
setoriais como SUSEP, Basiléia, diretrizes da CVM ou Banco Central, dentre outras;
39
- Gerenciamento da segurança da informação com apuração de resultados.
V. Política de Segurança da Informação
A Política de Segurança da Informação é um documento que deve ser aprovado pela alta
administração da Empresa, demonstrando comprometimento e apoio às determinações. Este documento,
ou conjunto de documentos, deve ser publicado respeitando a necessidade de saber de cada área ou
pessoa, e comunicado de forma adequada para todos aqueles que devem obedecê-la, sejam estes
funcionários, parceiros, fornecedores ou terceiros.
A Política de Segurança da Informação, em todos os seus níveis, deve ser elaborada, publicada e
comunicada de forma e em linguagem que seja apropriada a cada público, sejam genéricas ou
específicas, de maneira a atingir o objetivo da segurança. A aderência às normas depende muito do
entendimento das mesmas, bem como do grau de conscientização sobre o assunto.
Este conjunto de documentos deve refletir, em alto nível, os objetivos do negócio, num nível
intermediário os objetivos táticos e no nível mais baixo, os objetivos operacionais. Se os objetivos
estiverem alinhados e claros, a aderência se dará de forma mais suave, uma vez que toda normatização
ou obrigatoriedade sempre provoca resistência. Por isso a conscientização da empresa (pessoas) é fator
crítico para o sucesso da segurança da informação.
Outro aspecto, bastante relevante, que deve ser levado em conta é a cultura organizacional e o nível
de maturidade na utilização de normas gerais, como de qualidade, e em segurança da informação ou
outras que limitam a ação.
40
O enfoque da Política deve ser de HABILITAÇÃO e não de RESTRIÇÃO: Se tudo o que não for
permitido fazer não é necessário às atividades, significa que não há restrição.
Se a segurança da informação permitir que novos processos operacionais e tecnologias sejam
empregados nos processos de negócio, isso demonstra que houve habilitação, pois sem o nível de
segurança alcançado tais processos e tecnologias poderiam ser inviáveis ao negócio, devido aos riscos
que poderiam trazer a reboque.
Por fim, sem pretender exaurir os aspectos possíveis, a Política de Segurança da Informação deve ser
elaborada sob a abordagem de GESTÃO DE RISCOS e CONFORMIDADE. Todas as normas devem
ter a finalidade de reduzir riscos presentes no cenário corporativo. A tríade: Confidencialidade,
Integridade e Disponibilidade, deve estar presente em todas as determinações, quer seja diretamente ou
indiretamente, como por exemplo, focar a Gestão de Identidade (autenticação e autorização), que
contempla os três pilares da segurança.
Se não for baseado em riscos, deve ser em função de cumprimento Legal ou Regulatório, que, em
última análise, o não cumprimento representa um risco.
Não faria sentido elaborar uma norma de segurança que não prevê a gestão de riscos ou
conformidade, pois seria apenas incremento burocrático sem finalidade prática.
Diante do exposto até então, podemos afirmar que a Política de Segurança da Informação deve ser
elaborada de forma exclusiva e personalizada para cada empresa, uma vez que o cenário é único para
cada uma, ainda que alguns aspectos sejam comuns.
41
Objetivos da Política de Segurança
A Política de Segurança da Informação tem por objetivos principais:
- Alinhar as ações em segurança da informação com as estratégias de negócio;
- Explicitar a visão da alta direção em relação à segurança da informação;
- Exprimir o comprometimento da alta direção com a manutenção da segurança da informação;
- Normatizar as ações referentes à segurança da informação;
- Alinhar as ações em segurança da informação com as Leis e Regulamentações pertinentes;
- Buscar conformidade com Normas externas e cláusulas contratuais;
- Instruir sobre procedimentos relativos à segurança da informação;
- Delegar responsabilidades;
- Definir requisitos de Conscientização, Educação e Treinamentos;
- Definir ações disciplinares;
- Alinhar ações em segurança da informação com a continuidade do negócio;
- Ser o pilar de sustentação da segurança da informação; dentre outros.
A Política de Segurança da Informação é, portanto, uma coletânea de documentos, conforme abaixo
relacionados hierarquicamente, usada para definir controles em aplicativos, estabelecer critérios para
autenticação e autorização, definir critérios para análise de riscos e avaliação de impactos, critérios para
auditoria e investigações, além de disciplinar sobre violações da Política e Normas.
Em todos os documentos da Política, é importante que conste, fora as determinações, algumas
informações sobre o documento e responsáveis pelo mesmo, tais como:
42
Nome da empresa; identificação do documento; assunto abordado no documento; objetivos do
documento; áreas e pessoas responsáveis pela elaboração, aprovação e manutenção; data da elaboração e
da última alteração; classificação do documento.
- Política de Segurança – é o conjunto de todos os documentos;
- Carta do Presidente – pode ser do Conselho, da Diretoria ou outra, mas deve ser do alto escalão da
empresa, demonstrando o comprometimento com a questão e esclarecendo os motivos para tal;
- Diretrizes para Segurança da Informação – é a sintetização do que a Empresa espera que seja
feito em relação ao assunto. São diretriz de alto nível, aplicáveis em qualquer ambiente da empresa e
sem termos técnicos. Exemplos:
Todos os usuários de sistemas e informações deverão ter acesso gerenciado por identidade,
utilizando tecnologias e procedimentos de acordo com a classificação e criticidade das informações a
que terão acesso;
Todas as informações deverão ser classificadas e ter medidas de proteção de acordo com a
classificação e risco;
Os recursos de informação deverão ter sua continuidade preservada, de acordo com sua
classificação e criticidade para os processos operacionais e de negócio;
- Normas de Segurança da Informação – Podem ser gerais (para quem usa) ou específicas (para
quem cuida). São as determinações a serem seguidas por todos ou por aqueles que participam de
determinados processos. Expressa o que deve ser feito em relação à segurança da informação na
operacionalização dos processos de negócios e operacionais, quais os padrões aceitáveis de utilização
dos recursos e informações e quais as medidas disciplinares em caso de violação das mesmas. Nas
43
normas poderão conter ‘chamadas’ ou ‘links’ para outros documentos, normas, leis ou regulamentações
que devem ser seguidos, conforme determinação na norma que os invocou. Normas são mandatórias.
Exemplo:
- A autenticação dos usuários deve ser feito por meio de ‘usuário’ e ‘senha’ para todos os sistemas
de informação, sendo que os classificados como críticos (alta confidencialidade e integridade) deverão
usar mais um fator de autenticação, podendo ser biométrico, one-time-password (token) ou certificados
digitais;.
- O recurso ‘mensagem eletrônica’ (e-mail) disponibilizado pela empresa, deve ser utilizado apenas
para fins corporativos, uma vez que é um recurso da empresa e disponibilizado para este fim;
- As mensagens eletrônicas (e-mail) serão monitoradas via sistema e poderão sofrer auditorias
periódicas ou sempre que a área responsável julgar necessário. Sendo assim, não há que se ter
expectativa de ‘privacidade pessoal’ nas mensagens enviadas ou recebidas por meio deste recurso da
empresa.
- Procedimentos – É o detalhamento da Norma. Explica como as Normas devem ser seguidas,
podendo detalhar os procedimentos relevantes do processo normatizado, visando facilitar o
entendimento e aplicação das mesmas. Nos procedimentos devem ter informações do tipo: Como,
quando, quem, onde e porque. Procedimentos são mandatórios. Exemplos:
- Os backups de bancos de dados deverão ser realizados com periodicidade mínima diária,
utilizando tecnologias e processos que preservem a confidencialidade, disponibilidade e integridade
das informaçõe;.
44
- A área de TIC será responsável pela operacionalização dos backups, seguindo determinações dos
gestores dos processos que utilizam tais informações e de acordo com a classificação de riscos das
mesmas;
- Os gestores de processos e informações deverão proceder análise de riscos e impactos para que
sirvam de base para a determinação da periodicidade dos backups e restores, devendo delegar a
operação para a área de TIC e proceder análises e auditorias nos processos, a fim de garantir sua
eficácia.
- Instruções – São os documentos mas detalhados, normalmente técnicos, de como configurar,
manipular ou administrar recursos tecnológicos, ou então manuais de processos operacionais. Exemplos:
- Para criação de novos usuários, usar o tamplate ‘New_User’;
- Colocar todos os usuários no grupo ‘Corporativo’, do Exchange;
- Preencher os campos do Active Directory necessários para a assinatura padronizada no Outlook,
para todos os usuários novos;
- Guide lines (guias) – São explicações de tarefas que fazem parte de procedimentos e processos
normatizados, visando facilitar a compreensão e a aplicação das regras, minimizando as diferenças de
entendimento e nivelando o conhecimento. São sugestões não obrigatórias de serem seguidas, visto que
uma tarefa pode ser feira de várias maneiras e ainda assim apresentar o mesmo resultado. Podem ser
guias fornecidos pelos próprios fornecedores de sistemas ou outros recursos.
45
Desenvolvimento da Política de Segurança
O desenvolvimento da Política de Segurança da Informação deve ser feito com a participação efetiva
de todos os gestores de processos, de maneira que seja desenvolvida de acordo com as necessidades de
negócio de cada área, aderente aos padrões, costumes e cultura organizacional, ajustando ou alterando
padrões quando necessário, além de estar em sintonia com os planos estratégicos da Empresa e
necessidades do mercado.
Devem ser seguidas as melhores práticas expressas em normas oficiais e ‘frameworks’ de segurança
das informações e gestão de riscos, como as normas ISO da série 27000, o que proporcionará à Empresa
um diferencial competitivo, pois o mercado valoriza cada dia mais as empresas resilientes, seguras e
com condições de superar incidentes que poderiam afetar a continuidade operacional. É uma
demonstração de Governança Corporativa, outro assunto valorizado no mercado, e que não é possível de
ser alcançada sem segurança da informação e continuidade.
A Política de Segurança das Informações é constituída por uma série de normas, procedimentos,
guias e outros documentos, que serão suportados por tecnologias e processos que garantam a aderência e
obediência às mesmas. É a Política de Segurança que regerá todas as ações referentes à segurança,
devendo, portanto, ser clara, específica, atemporal e exclusiva para a Empresa.
Política de Segurança da Informação, conforme já dito, deve estar em alinhamento com a Norma
NBR ISO/IEC 17799:2005 (ou 27001 e 27002), e deverá contar uma série de normas, como por
exemplo as listadas abaixo:
46
- Diretivas de Segurança da Informação;
- Norma de Gestão de Segurança da Informação (GSI);
- Norma de Contratação e Demissão de Colaboradores;
- Norma de Contratação de Serviços de Terceiros;
- Norma de Conscientização, Educação e Treinamento em Segurança da Informação;
- Norma de Utilização de Sistemas de Comunicação (e-mail, MSN. ICQ, etc.);
- Norma de Acesso à Internet e Redes de Terceiros;
- Norma de Controle de Acesso e Administração de Usuários;
- Norma de Classificação da Informação;
- Norma de Classificação de Ativos;
- Norma de Classificação de Ambientes;
- Norma de Segurança e Gerenciamento de Mídias;
- Norma de Segurança Física e de Ambiente;
- Norma de Gerenciamento de Ativos, Configuração e Controle de Mudanças;
- Norma de Auditoria e Análise Crítica;
- Norma de Backup e Recuperação de Informações e Sistemas;
- Norma para Análise de Riscos e Avaliação de Impactos;
- Norma de Gestão de Continuidade Operacional; dentre outras normas que forem necessárias.
Para cada norma podem ser criados um ou mais procedimentos, guias ou manuais, sabendo-se que
quanto mais baixo o documento na hierarquia da Política, mais alteração poderá sofrer, por serem
operacionais. O operacional sofre mais alterações que o tático, que por sua vez sofre mais alterações que
o estratégico. Esse é o motivo para não se colocar todas as informações em um mesmo documento:
47
facilitar o gerenciamento, a atualização e a disseminação das alterações sofridas, uma vez que toda
alteração deverá ser publicada e comunicada aos interessados.
Para que o investimento feito no desenvolvimento da Política perdure, deverá ser formatado o
processo de atualização e revisão da mesma, seja periodicamente ou por mudanças no cenário
corporativo ou de risco.
Realização de Campanha de Conscientização
Como o processo de segurança da informação afeta a todos da Empresa, requerendo mudanças
de hábitos, ajustes de padrões e às vezes certo sacrifício durante a transição e aculturamento, este
processo tende a gerar resistências e conflitos, quase sempre por desconhecimento dos perigos que
rondam a Empresa, seus Funcionários e Clientes, e dos benefícios que o processo de segurança da
informação pode proporcionar - habilitação.
Pessoas são o elo mais fraco da segurança – a campanha de conscientização procurará fazer com que
as pessoas se tornem aliadas da segurança, sabendo os motivos, o que e como agir em situações de risco
para a segurança das informações.
Engenharia social só funciona porque as pessoas não estão atentas às situações de riscos, não estão
alertas às ameaças e às situações que não são pertinentes ou que fogem ao padrão ou às regras.
A campanha constante e segmentada manterá as pessoas alertas e atualizadas, e assim serão como
guardiãs das informações e alarmes de riscos.
48
A campanha de conscientização deve trabalhar em três níveis:
- Conscientização: Porque fazer
- Educação: O que e quando fazer
- Treinamento: Como fazer
Conscientização
Porque fazer – As pessoas tendem a reduzir a resistência às mudanças quando sabem exatamente os
motivos que as trouxeram, quais serão os benefícios das mudanças e quais os malefícios de não realizá-
las. Esta abordagem imprime respeito ás pessoas envolvidas e gera cumplicidade e colaboração.
Conscientização é o primeiro nível para a aceitação.
Educação
O que e quando fazer – Não basta saber as motivações que fizeram com que a mudança fosse
necessária. Há que se saber, e ter claro, o que fazer quando determinada situação ocorrer. O quando
fazer está relacionado à necessidade de diferentes ações dependendo da situação e ocasião. Sabendo-se o
que fazer, e quando fazer, elimina-se os fatores medo, apreensão e ansiedade. Bastará que algo aconteça
para que as pessoas saibam exatamente o que fazer naquela determinada situação, tendo em mente,
também, o porque. Isso dá segurança e firmeza nas ações.
49
Treinamento
Como fazer – Esta é a parte que mais se ouve quando fala-se em novos processos, ferramentas ou
qualquer mudança. É de extrema importância que cada um saiba como fazer as ações demandadas pelas
situações específicas, mas este ‘saber’ isolado gera pouco resultado.
Depois de aplicados os dois primeiros níveis da campanha, as pessoas estarão havidas por saber
como agir, quais as técnicas e quais as ferramentas disponíveis para que reajam às situações. Este desejo
não será forçado, mas brotado de forma natural decorrente da necessidade de saber como fazer o que já
se sabe o motivo de fazer e o quando fazer. É a peça que falta e que será apresentada no treinamento.
O treinamento em técnicas ou ferramentas específicas será, então, um processo natural e agradável a
todos, o que trará maior resultado de aplicação e retenção do que for ensinado.
Os níveis de ‘treinamento’ poderão ser realizados numa mesma sessão, desde que conscientemente
seja planejado e estruturado para seguir estas etapas.
Implantação da Política
O desenvolvimento, elaboração e ajustes da Política de Segurança é, por si só, um trabalho
extraordinário, dependendo do porte e complexidade da organização onde será aplicada. Mas de nada
adiantará tal elaboração se a aplicação não for feita de forma a atingir os objetivos pretendidos nas
mesmas.
50
O Plano Diretor de Segurança da Informação é onde deve constar o planejamento geral da aplicação
da Política, uma vez que irá requerer recursos financeiros e de pessoal, bem como a estruturação para
administração das tecnologias e processos implementados para suportar a Política.
VI. Norma BS 7799
A norma BS 7799 é a Norma que deu origem tanto à versão americana ISO/IEC 17799 quanto à
versão brasileira NBR ISO/IEC 17799.
O Brithish Standart 7799 é uma norma de segurança da informação criada na Inglaterra que teve seu
desenvolvimento iniciado em 1995 e está dividida em duas partes.
BS 7799-1, a primeira parte da norma, contém uma introdução, definição de extensão e condições
principais de uso da norma. Nesta parte disponibiliza 148 controles divididos em dez partes distintas e
foi planejada para ser um documento de referência para implementação de "boas práticas" de segurança
da informação. Como esta primeira parte é apenas um código de prática para segurança da informação,
não é objeto de certificação.
A BS 7799-2, a segunda parte da norma, tem como objetivo proporcionar uma base para
gerenciamento da segurança da informação. Esta á a parte da norma que a empresa deve seguir para
conseguir a certificação na BS 7799.
51
Objetivo da Norma
A Norma BS 7799 fornece recomendações para gestão da segurança da informação para uso por
aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança em suas
organizações. Tem como propósito prover uma base comum para o desenvolvimento de normas de
segurança organizacional e das práticas efetivas de gestão da segurança, e prover confiança nos
relacionamentos entre as organizações. Convém que as recomendações descritas nesta Norma sejam
selecionadas e usadas de acordo com as necessidades do negócio, com a legislação e as regulamentações
vigentes e que dizem respeito ao cenário da empresa.
Controles requeridos pela Norma
Primeiramente devemos saber o que são e para que se prestam os controles descritos na Norma.
São 10 domínios de objetivos de controle (relacionados abaixo) divididos em 36 objetivos de
controles que se subdividem em 127 controles específicos.
Os controles listados na BS 7799 estão divididos nas seguintes áreas:
- Política de Segurança da Informação;
- Segurança Organizacional;
- Classificação e controle de ativos;
- Segurança de pessoal;
- Segurança física e de ambiente;
- Gerenciamento das comunicações e operações;
- Controle de Acesso;
- Desenvolvimento e manutenção de sistemas;
- Gerenciamento da continuidade do negócio;
52
- Aderência.
A Norma não obriga a implementação de todos os controles e nem mesmo que sejam utilizados
somente os controles constantes na mesma, podendo, então, uma empresa não utilizar alguns controles
sugeridos pela Norma e aplicar outros necessário ao negócio.
Como cada domínio de objetivos de controle se expande em outros controles específicos, algumas
questões precisam ser respondidas para que se determine quais são aplicáveis à organização. Exemplos:
- Na Análise de Risco foi identificado algum risco que pode ser coberto por este objetivo de
controle?
- Se nada foi identificado na Análise de Risco que pode ser coberto por este objetivo de controle,
acrescente no Statement of Aplicability (SoA) a justificativa da não aplicação deste objetivo de
controle;
- Se foi identificado, na Análise de Risco, algum risco que pode ser coberto por este objetivo de
controle, acrescente no Summary of Controls a justificativa da aplicação deste objetivo de controle,
com um pequeno resumo do risco a ser mitigado;
- Dentro do objetivo de controle selecionado, devem ser selecionados quais controles específicos
serão aplicados.
É neste contexto que entra o documento “Statement of Applicability”, ou “Declaração de
Aplicabilidade”, onde serão especificados e justificados tanto a utilização como a não utilização de
controles, assim como a especificação e justificativa da implementação de outros controles que não os
da BS 7799.
53
Cada controle objetiva definir o que deve ser feito para que determinados processos tenham a
segurança assegurada e deve ser aplicado dentro dos processos de negócio para mitigar os riscos a que
estes estão sujeitos.
Seleção dos controles
Para que sejam definidos quais controles a ser implementados na empresa é necessário que se tenha
claramente definido quais os processos de negócio serão contemplados pelos controles e qual a
aplicabilidade destes, ou seja, a que risco o controle se propõe a mitigar.
Não faz sentido implementar um controle sem um objetivo claro e real.
Para isso, é necessário que alguns passos sejam seguidos:
- O objetivo deste trabalho deve estar totalmente entendido e aceito pelos gestores da empresa e dos
processos que serão alvo dos controles;
- O trabalho de conscientização quanto aos objetivos deste trabalho deverá ser feito em todos os
níveis de usuários que serão afetados pelos controles;
- É imperativo que não se confunda a etapa de levantamento de requisitos de segurança definição de
controles com auditoria, pois isso acabará criando limitação na colaboração que os envolvidos poderiam
dar ao trabalho.
- Antes que sejam definidos quais controles implementar, deverá ser feito um trabalho meticuloso de
Análise de Risco e Impacto nos Negócios, no qual constará o levantamento e detalhamento dos
processos de negócio, dos ativos que suportam tais processos e dos riscos e vulnerabilidades a que são
54
suscetíveis, assim como a interdependência entre os processos e a dependência entre os processos e os
ativos; (Veja mais em “Análise de Riscos”)
A seleção de controles deverá se dar baseado na análise de riscos e nos requisitos de segurança
necessários à segurança dos processos de negócio, objetivando a mitigação e controle dos riscos
identificados na “Análise de Riscos”.
Como já foi dito, pode acontecer, e normalmente acontece, de nem todos os controles da Norma
serem aplicáveis à organização, devendo constar no “Statement of Applicability” a especificação e a
justificativa da aplicação e também da não aplicação do controle pela organização. Neste documento
deverá constar também os controles que não os especificados pela BS 7799. (ver “Statement of
Applicability” (SoA)).
Uma boa ferramenta de verificação é a criação de um “Summary of Controls” (SoC), que é
equivalente ao documento de pré-auditoria, documento este que enumera todos os controles aplicados,
bem como um resumo de seus objetivos.
Para que o processo de seleção de controles seja bem realizado e tenha o comprometimento de toda a
empresa, o mesmo deverá ser realizado pelo Security Officer em parceria com:
- alta direção da organização;
- gestores dos processos de negócio;
- responsáveis por auditoria;
- responsáveis por processos operacionais;
55
- responsáveis por setores da organização;
- responsáveis por áreas específicas de controle;
- responsáveis por tecnologias aplicadas ao negócio;
- Usuários; e
- Todos os envolvidos nos processos da organização que não constam desta lista ou que o Security
Officer julgue que possa agregar ao processo decisório e de implementação.
Cada participação deverá acontecer a seu tempo, de acordo com a fase do processo, seja decisório ou
de implementação.
Cabe aos níveis estratégico e tático da organização decidir quais controles deverão ser implementados,
dentre os selecionados, definindo sempre o objetivo e relacionando o controle ao risco a ser mitigado, e
ao nível operacional a implementação e, caso necessário, propor mudanças e melhorias nos controles a
serem implementados, desde que não mude o objetivo e nem perca o foco do risco em questão.
Apostila elaborada por: Prof. Salomão de Oliveira.
Para utilização na disciplina ‘Normas e Políticas de Segurança da Informação’ no curso ‘Gestão de
Tecnologia’, no ‘Centro Universitário Radial Estácio’ de São Paulo – Campus Jabaquara.
Recommended