avaliação de conformidade a modelos de gestão de segurança da
Transcrição
avaliação de conformidade a modelos de gestão de segurança da
Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão de Segurança da Informação e Comunicações Rubem Ribeiro Veloso AVALIAÇÃO DE CONFORMIDADE A MODELOS DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA MARINHA DO BRASIL (MB) Orientador: Prof José Ricardo Souza Camelo Brasília, dezembro de 2008. ii Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão de Segurança da Informação e Comunicações Rubem Ribeiro Veloso AVALIAÇÃO DE CONFORMIDADE A MODELOS DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA MARINHA DO BRASIL (MB) Orientador: Prof José Ricardo Souza Camelo Brasília, dezembro de 2008. iii AVALIAÇÃO DE CONFORMIDADE A MODELOS DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA MARINHA DO BRASIL (MB) Monografia apresentada como requisito parcial para a obtenção do título de Especialização defendida sobre o tema “Avaliação de Conformidade a Modelos de Gestão de Segurança da Informação na Marinha do Brasil”, do Curso de Gestão da Segurança da Informação e Comunicações da Universidade de Brasília. Prof orientador: José Ricardo Souza Camelo Brasília, dezembro de 2008. iv ERRATA Folha Linha Onde se lê Leia-se v AVALIAÇÃO DE CONFORMIDADE A MODELOS DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA MARINHA DO BRASIL (MB). Rubem Ribeiro Veloso Monografia de Especialização submetida e aprovada pela Universidade de Brasília como parte do requisito parcial para obtenção do certificado de Especialista em Gestão de Segurança da Informação e Comunicações. Aprovada em: Prof. José Ricardo Souza Camelo, Dr. (Orientador) Universidade de Brasília Prof. Jorge Henrique Cabral Fernandes, Dr. Universidade de Brasília Prof. João Gondim, Dr. Universidade de Brasília Brasília, dezembro de 2008. vi DEDICATÓRIA Dedico esta pesquisa a minha esposa Bianca pelo incentivo nas horas mais difíceis e aos meus filhos Ananda e Khayyam pela paciência companhia. e espera pela minha vii AGRADECIMENTOS A todos os colegas de turma, pela amizade, profissionalismo, incentivo e colaboração nos vários grupos formados para elaboração dos diversos trabalhos. Ao Prof. Dr. Jorge Henrique Cabral Fernandes, pela compreensão de nossas dificuldades e ajuda na confecção dos muitos trabalhos elaborados. À Prof. Dra. Magda Fernanda Medeiros Fernandes, Pelas orientações no trabalho “Problema de Pesquisa” que me deu o “norte” para a elaboração desta Monografia. À minha família, Pela compreensão, apoio e paciência com as minhas ausências. A Deus, Por tudo de bom que ele me deu inclusive as dificuldades que acompanhadas pela Fé, Trabalho e Perseverança, me ajudaram a crescer e me tornar mais forte. viii "Em toda luta por um ideal se tropeça por adversários e se cria inimizades. O homem firme não os ouve e nem se detém a contá-los. Segue sua rota irredutível em sua fé, imperturbável em sua ação, porque quem marcha em direção de uma luz não pode ver o que ocorre nas sombras." Autor Desconhecido. ix RESUMO Esta pesquisa visa a atender a necessidade de aprimoramento da Gestão da Segurança da Informação na Marinha do Brasil e também verificar se os instrumentos normativos internos sobre Segurança da Informação estão em conformidade com a norma ABNT NBR ISO/IEC 17999 (Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação). O levantamento dos assuntos relevantes foi realizado por meio de uma pesquisa exploratória constituída por uma análise bibliográfica e a análise documental. A análise documental está baseada nos documentos formalmente publicados no âmbito da Marinha do Brasil. Os dados obtidos na pesquisa documental são tratados de forma qualitativa. São abordados temas da gestão da segurança da informação e apresentado como a Marinha do Brasil trata a Gestão da Segurança da Informação, sua infra-estrutura de intranet e internet. É feita uma avaliação de conformidade dos controles: “Política de Segurança da Informação”, “Organizando a Segurança da Informação” e “Gestão de Riscos”. Ao final conclui-se que a Marinha do Brasil possui documentação formalmente instituída e estruturada de forma a se adequar e manter atualizada frente às constantes inovações de TI e preparada para se contrapor as possíveis ameaças no campo da segurança da Informação. x ABSTRACT This research aims at to take care of the necessity of improvement of the Management of the Security of the Information in the Brazilian Navy and also to verify if the internal normative instruments on Security of the Information are in compliance with norm ABNT NBR ISO/IEC 17999 (Technology of the information - Techniques of security - Code of practical for the management of the security of the information). The survey of the relevant subjects were carried through by means of explanatory research consisting by bibliographical and documentary analysis. The documentary analysis is based on legal documents published in the scope of the Brazilian Navy. The data gotten in the documentary research were dealt with qualitative form. There were boarded subjects of the management of the security and presented information how Brazilian Navy deals with the Management the Security of the Information, its infrastructure of Intranet and Internet. An evaluation of conformity of the controls is made in the “Politics of Security of the Information”, “Organizing the Security of the Information” and “Management of Risks”. And finally, it is concluded that the Brazilian Navy possess formal documentation instituted and structuralized to adjust and to keep brought up to date in front to the constant innovations of Information Tecnology and prepared to oppose the possible threats in the field of the Information Security. xi LISTAS DE ILUSTRAÇÕES Figura 1: Tipos de ataques ou abusos detectados nos últimos 12 meses por percentual de entrevistados. Pesquisa CSI/FBI 2006 _______________________ 25 Figura 2: Backbone Principal da RECIM _________________________________ 32 Figura 3: Rede Metropolitana do 1º DN __________________________________ 32 Figura 4: Conjunto de Equipamentos que constituem o Ponto de Interligação entre os DN ____________________________________________________________ 33 Figura 5: Conjunto de Equipamentos por onde um Complexo se interliga a outros dentro da Área Metropolitana __________________________________________ 34 Figura 6: Níveis entre Política, Normas e Procedimentos ____________________ 57 xii LISTA DE TABELAS Tabela 1: Conformidade da “Política de Segurança da Informação” ____________ 56 Tabela 2: Conformidade da "Organização da Segurança da Informação" ________ 58 Tabela 3: Conformidade da "Gestão de Riscos" ___________________________ 60 xiii LISTA DE ABREVIATURAS E SIGLAS ABNT: ADMIN: APF: BAeNSPA: BONO: C&T: CASNAV: CDMB: CETELMA: CM: COMCITEM: COMIMSUP: COMOPNAVINST: COTEC-TI: COTIM: COTIM: CTIM: CTMSP: DAdM: DCTIM: DE: DGMM: DN: DTM: EEM: e-Gov: EMA: e-Ping: GSIC: GT: GT-TI: HRL: ICP-Brasil: IEC: IP: ISID: ISSO: MB: NBR: ODE: ODG: ODS: OI: OM: OMOT-T: OMOT-TI: Associação Brasileira de Normas Técnicas Administrador da rede local Administração Pública Federal Base Aeronaval de São Pedro da Aldeia Boletim de Ordens e Notícias Ciência e Tecnologia Centro de Análise de Sistemas Navais Centro de Dados da Marinha do Brasil Central Telefônica da Marinha Comandante da Marinha Comissão de Ciência e Tecnologia da Marinha Comando Imediatamente Superior Instrução do Comando de Operações Navais Comissão Técnica em Tecnologia da Informação Conselho de Tecnologia da Informação da Marinha Conselho de TI na Marinha do Brasil Centro de Tecnologia e Informação da Marinha Centro Tecnológico da Marinha em São Paulo Diretoria de Administração da Marinha Diretoria de Comunicações e Tecnologia da Informação da Marinha Diretoria Especializada Diretoria Geral do Material da Marinha Distrito(s) Naval(is) Diretoria de Telecomunicações da Marinha Estudo de Estado-Maior Programa de Governo Eletrônico Estado Maior da Armada Padrões de Interoperabilidade do Governo Gestão de Segurança da Informação e Comunicações Grupo de Trabalho Grupo de Trabalho em Tecnologia da Informação Histórico da Rede Local Infra-estrutura de Chaves Públicas Brasileira International Electrotechnical Commission Internet Protocol Instrução de Segurança das Informações Digitais International Organization for Standardization Marinha do Brasil Norma Brasileira Órgãos de Direção Especializada Órgão de Direção Geral Órgãos de Direção Setorial Ordem Interna Organização MIlitar Organização Militar Orientadora Técnica de Telecomunicações Organização Militar Orientadora Técnica de TI xiv OSID: PLCONT: RCC: RECIM: RETELMA: RI: SegOrg: SI: SIC: SID: SIDRL: SISCOM: SISNC2: SOA: SPD: TCP: TI: TRET: TRI: WAN: Oficial de Segurança das Informações Digitais Plano de Contingência Recursos Computacionais Críticos Rede de Comunicações Integrada da Marinha Rede de Telefônica da Marinha Relato do Incidente Segurança Orgânica Segurança da Informação Segurança da Informação e Comunicações Segurança das Informações Digitais Segurança das Informações Digitais em Redes Locais Sistema de Comunicações da Marinha Sistema Naval de Comando e Controle Supervisor Operacional de Área Sistemática do Plano Diretor Transmission Control Protocol Tecnologia da Informação Termo de Recebimento de Estação de Trabalho Termo de Responsabilidade Individual Wide Area Network xv SUMÁRIO 1 2 INTRODUÇÃO _________________________________________________ 17 1.1 Apresentação _______________________________________________ 17 1.2 Formulação da Situação Problema _______________________________ 19 REQUISITOS PRÉ-PESQUISA_____________________________________ 20 2.1 Objetivos ___________________________________________________ 20 2.1.1 Objetivo Geral _____________________________________________ 20 2.1.2 Objetivos Específicos ________________________________________ 20 2.2 Justificativa _________________________________________________ 20 2.3 Delimitação _________________________________________________ 20 2.4 Metodologia _________________________________________________ 21 2.4.1 Classificação da Pesquisa ____________________________________ 21 2.4.2 Universo __________________________________________________ 21 2.4.3 Análise e Tratamento dos Dados _______________________________ 21 3 4 REVISÃO DE LITERATURA E FUNDAMENTOS _______________________ 22 3.1 Informação _________________________________________________ 22 3.2 Sociedade da Informação ______________________________________ 22 3.3 Segurança da Informação ______________________________________ 23 3.4 Controles de Segurança _______________________________________ 27 GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA MB _________________ 29 4.1 Segurança __________________________________________________ 29 4.2 Segurança da Informação na MB ________________________________ 29 4.3 RECIM_____________________________________________________ 30 4.4 Estrutura Física ______________________________________________ 31 4.5 Responsabilidades no gerenciamento ____________________________ 33 4.6 A Internet na MB _____________________________________________ 34 4.7 O Método de Acesso __________________________________________ 35 4.8 A Modernização da Infra-estrutura da RECIM e do acesso a INTERNET _ 35 4.9 Governança de TI na MB ______________________________________ 37 5 AVALIAÇÃO PRELIMINAR DE CONFORMIDADE DOS PROCEDIMENTOS DE SI DA MB AOS CONTROLES GERENCIAIS DE SI ________________________ 39 5.1 Política de Segurança da Informação _____________________________ 39 xvi 5.1.1 O previsto na norma ABNT NBR ISO/IEC 17799:2005 ______________ 39 5.1.2 O previsto na MB ___________________________________________ 40 5.2 Organizando a Segurança da Informação __________________________ 42 5.2.1 O previsto na norma ABNT NBR ISO/IEC 17799:2005 ______________ 42 5.2.2 O previsto na MB ___________________________________________ 43 5.2.2.1 Atribuições do Estado-Maior da Armada (EMA) ________________ 43 5.2.2.2 Atribuições da Diretoria Geral do Material da Marinha (DGMM) ____ 43 5.2.2.3 Atribuições da DCTIM ____________________________________ 43 5.2.2.4 Atribuições do Titular (Comandante ou Diretor) da OM___________ 45 5.2.2.5 Atribuições do OSID _____________________________________ 46 5.2.2.6 Atribuições do ADMIN ____________________________________ 47 5.2.2.7 Atribuições do Usuário ___________________________________ 48 5.3 Gestão de Riscos ____________________________________________ 49 5.3.1 O previsto na norma ABNT NBR ISO/IEC 17799:2005 ______________ 49 5.3.2 O previsto na MB ___________________________________________ 51 5.3.2.1 Descrição da Rede ______________________________________ 51 5.3.2.2 Atividades de Rotina _____________________________________ 52 5.3.2.3 Incidentes _____________________________________________ 53 5.3.2.4 Vulnerabilidades e Riscos _________________________________ 53 6 7 DISCUSSÃO ___________________________________________________ 56 6.1 Política de Segurança da Informação _____________________________ 56 6.2 Organizando a Segurança da Informação__________________________ 58 6.3 Gestão de Riscos ____________________________________________ 60 CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS _________________ 62 REFERÊNCIAS ____________________________________________________ 65 APÊNDICE A ______________________________________________________ 67 APÊNDICE B ______________________________________________________ 68 APÊNDICE C ______________________________________________________ 70 APÊNDICE D ______________________________________________________ 71 APÊNDICE E ______________________________________________________ 72 17 1 INTRODUÇÃO 1.1 Apresentação Desde a passagem da Economia Industrial para a Economia da Informação, empresas e governos têm buscado se reestruturarem em função das novas possibilidades, vulnerabilidades e ameaças impulsionadas pelos constantes avanços em Tecnologia de Informação (TI). A partir da década de 90, inúmeras novidades surgiram, principalmente, nas áreas de automação, informática e comunicações, influenciando de forma bastante intensa a sociedade moderna. A história da humanidade comprova o fato do mundo estar em constante transformação no cenário político, econômico e social. De modo dinâmico, os processos de mudança exigem adaptações das pessoas, organizações e governos. Adaptar é uma mudança de paradigma, que no caso da segurança da informação está sustentado fundamentalmente nos seguintes pilares: tecnologia, informação, conhecimento e comportamento. Na esfera dos Estados a necessidade de se proteger as informações é ainda maior pelas conseqüências que a disseminação dessas pode causar. O Governo Brasileiro, por meio do Gabinete de Segurança Institucional, vem envidando esforços para a implementação da Segurança da Informação e Comunicações. Resultados desses esforços foram concretizados por meio: a) do relatório elaborado pelo Grupo de Trabalho constituído por membros do GSIPR e por outros funcionários da APF intitulado “metodologia para gestão de segurança da informação para a administração pública federal”, de 30 de maio de 2006(1); e b) da Instrução Normativa GSI nº 01, de 13 de junho de 2008(2) O primeiro documento apresenta uma Metodologia de Gerenciamento de Segurança da Informação a ser inserida na estratégia geral de Segurança da Informação da APF, e tem como objetivo o fortalecimento da proteção das informações. Esse objetivo está sintetizado no Decreto nº 3.505/00, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos órgãos e entidades da APF, em seu § 2 do artigo 2º(3) define Segurança da Informação como: “II - Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a 18 modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento”. Assim, Segurança da Informação ultrapassa o uso da tecnologia da informação. De acordo com Costa(4): “A Segurança da Informação envolve pessoas, processos e questões institucionais, organizacionais e legais. A Segurança da Informação não deve ficar restrita à área de informática. Pelo contrário, deve estar integrada a visão, a missão, ao negócio e as metas institucionais, bem como ao plano estratégico de informática e às políticas da organização concernentes à segurança em geral”. A Segurança da Informação é um processo permanente que necessita de planejamento, implementação, gerenciamento e atualização em função das demandas tecnológicas, legais e organizacionais, além de outras existentes na APF. Na busca por um modelo de metodologia, várias ações e programas estão sendo implementados pelo Governo como os Padrões Brasil de Governo Eletrônico (e-Gov1), o Modelo de Acessibilidade de Governo Eletrônico (eMAG2), Padrões de Interoperabilidade do Governo (e-Ping3), a Infra-estrutura de Chaves Públicas Brasileira (ICP-Brasil4). Contudo, para a implementação de uma Metodologia de Gerenciamento de Segurança da Informação são necessários instrumentos normativos internos que definam uma Política de Segurança da Informação adequada. 1 e-Gov são recomendações de boas práticas agrupadas em formato de cartilhas com o objetivo de aprimorar a comunicação e o fornecimento de informações e serviços prestados por meios eletrônicos pelos órgãos do Governo Federal. Disponível em: <http://www.governoeletronico.gov.br/acoes-eprojetos/padroes-brasil-e-gov>. Acesso em: 25 out. 2008. 2 e-MAG são recomendações a serem consideradas para que o processo de acessibilidade dos sítios e portais do governo brasileiro seja conduzido de forma padronizada e de fácil implementação. Disponível em: <http://www.governoeletronico.gov.br/acoes-e-projetos/e-MAG>. Acesso em: 25 out. 2008. 3 e-Ping é uma arquitetura que define um conjunto mínimo de premissas, políticas e especificações técnicas que regulamentam a utilização da Tecnologia de Informação e Comunicação (TIC) no governo federal, estabelecendo as condições de interação com os demais Poderes e esferas de governo e com a sociedade em geral. Disponível em: <http://www.governoeletronico.gov.br/acoes-eprojetos/e-ping-padroes-de-interoperabilidade>. Acesso em: 25 out. 2008. 4 ICP-Brasil é uma Infra-Estrutura para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. Medida Provisória nº 2.200-2, de 24 de agosto de 2001. Disponível em: <https://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htm>. Acesso em: 25 out. 2008. 19 Nesse contexto, a MB, ambiente no qual essa pesquisa é desenvolvida, está submetida as suas próprias regras, estruturada por doutrinas, diretrizes e normas, que regem a segurança da informação e que estão contidas no Apêndice A. 1.2 Formulação da Situação Problema A norma ABNT. NBR ISO/IEC 17799:2005 - Tecnologia da Informação: código de prática para a gestão da segurança da informação pode ser um instrumento no auxílio para a implementação de tal metodologia, contudo, não existe uma obrigatoriedade para o administrador público em cumprir esta norma, seja do ponto de vista legislativo, por meio de um decreto ou lei; ou do ponto de vista normativo, como uma instrução normativa; ou ainda uma determinação de um órgão como o TCU(1). Contudo, a Instrução Normativa GSI nº 01, de 13 de junho de 2008(2), aprova orientações para Gestão de Segurança da Informação e Comunicações que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta. No artigo quinto desta Instrução Normativa está prescrito que aos órgãos e entidades da Administração Pública Federal, direta e indireta, competem aprovar a Política de Segurança da Informação e Comunicações e as demais normas de afins(2). No contexto da APF, mais especificamente na MB, que cada vez mais depende de tecnologia, informação, conhecimento e comportamento, o problema de pesquisa pode ser resumido com a seguinte pergunta: os instrumentos normativos internos da MB sobre Segurança da Informação estão em conformidade com a norma ABNT NBR ISO/IEC 17999 (Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação) (1)? No capítulo seguinte, definido o problema de pesquisa, o mesmo está desmembrado em outras perguntas que têm como objetivo verificar se os instrumentos normativos internos a MB estão baseadas em uma estrutura de gestão de segurança formalmente instituída. 20 2 REQUISITOS PRÉ-PESQUISA 2.1 Objetivos 2.1.1 Objetivo Geral Verificar se os instrumentos normativos internos da MB sobre Segurança da Informação estão em conformidade com a norma ABNT NBR ISO/IEC 17999:2005(1). 2.1.2 Objetivos Específicos a) efetuar uma revisão da documentação da MB relacionada com a Segurança da Informação; b) estabelecer os controles utilizados na verificação; e c) realizar o processo de verificação de conformidade. 2.2 Justificativa Considerando-se a Instrução Normativa GSI nº 01(2) que aprova orientações para Gestão de Segurança da Informação e Comunicações que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta, a relevância deste trabalho se justifica pela possibilidade do mesmo agregar conhecimento à: a) GSI, ao se verificar se à MB: I. por meio de conformidade, possui documentação com uma estrutura de SI, formalmente instituída; e II. está estruturada de formar a se adequar e manter atualizada frente às constantes inovações de TI de modo a estar preparada para se contrapor as possíveis ameaças no campo da SI; e b) à MB em SI, motivado pelo interesse do autor com o tema e pelo vínculo que possui com a instituição. 2.3 Delimitação O presente estudo está delimitado aos instrumentos normativos internos da MB e aos controles sobre Segurança da Informação. Os resultados deste estudo não permitem, assim, generalidades acerca de outras organizações com relação à Segurança da Informação. 21 2.4 Metodologia 2.4.1 Classificação da Pesquisa Para realizar esse trabalho, com base nos seus objetivos, foi adotada a pesquisa exploratória. Os procedimentos técnicos adotados para realizar a investigação exploratória foram: a análise bibliográfica para fundamentar teoricamente o trabalho e a análise documental. A análise documental da pesquisa será constituída com base nos documentos formalmente publicados no âmbito da MB e que estão relacionados no Apêndice A. 2.4.2 Universo O universo de pesquisa é constituído pelos documentos constantes no Apêndice A. A seleção desta instituição justifica-se pelo critério de acessibilidade. 2.4.3 Análise e Tratamento dos Dados Os dados obtidos na pesquisa documental serão tratados de forma qualitativa, de forma a interpretar e identificar nas ações e publicações da MB as funcionalidades de gestão da Segurança da Informação. A metodologia deste trabalho foi desenvolvida e pautada no estudo de todas as publicações da MB que tratam sobre Segurança da Informação e assuntos correlatos. Todas essas publicações constam no Apêndice A. No capítulo seguinte está descrita a revisão de literatura e fundamentos abordando aspectos da "Informação", da "Sociedade da Informação", da "Segurança da Informação" e dos "Controles de Segurança". 22 3 REVISÃO DE LITERATURA E FUNDAMENTOS 3.1 Informação Antes de se tecer qualquer comentário sobre segurança da informação é indispensável saber o que é informação. Essa definição é apresentada de várias formas na literatura consultada. Segundo Cassarro(5), a informação pode ser definida como “um fato, um evento, um comunicado”. Para Turban(6), “informação é dado organizado ou processado, preciso e fornecido no momento oportuno”. McGarry(7) afirma que a informação pode ser “a matériaprima da qual se extrai o conhecimento”. Já para Davenport(8), é um pouco mais abrangente, pois relaciona a definição de informação com dado(7) e conhecimento(8), quais sejam: a) dados: são observações sobre um determinado estado; b) informações: são dados dotados de relevância que visa um uso; e c) conhecimento: trata-se de um raciocínio mais elaborado da informação, utilizando-se uma lógica, exclusiva de seres humanos. Ao observar essas definições nota-se que existe uma correlação nos conceitos expostos, que pode levar, em determinados momentos, a confusão entre os mesmos. Contudo, há uma distinção entre dado, informação e conhecimento. Segundo a norma ABNT NBR ISO/IEC 17999:2005(1): “a informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegido”. A adequação dessa proteção, há uns trinta anos atrás, era uma tarefa bem mais simples. Com o advento da internet e dos modernos computadores, a segurança da informação tornouse mais complexa, pois a capacidade dessas máquinas em termos de banco de dados é enorme e a interligação entre as mesmas por meio da internet esta a nível mundial. 3.2 Sociedade da Informação A Sociedade da Informação introduziu novas formas de organização e produção em escala global. A informação tornou-se uma necessidade, um ativo e um bem de consumo que as pessoas não abrem mão. Pesquisar preços de determinada mercadoria, serviço ou produto pela Internet ou ter acesso a informações financeiras como a variação das bolsas de valores são necessidades corriqueiras, quase que primárias para o homem moderno. 23 O profissional que possui celular com cobertura 3G, “notebook” ou “laptop” com acesso à internet e banda larga de alta velocidade está mais capacitado e leva vantagens sobre àquele que obtém informações por meio de veículos de comunicações já tradicionais como jornais e revista. Ou seja, a troca de informações, em uma velocidade antes inimaginável, tem alterado os paradigmas da atual sociedade. “Através das redes eletrônicas que interconectam as empresas em vários pontos do planeta, trafega a principal matéria prima desse novo paradigma: a informação. A capacidade de gerar, tratar e transmitir informação é a primeira etapa de uma cadeia de produção que se completa com sua aplicação no processo de agregação de valor a produtos e serviços. Nesse contexto, impõe-se, para empresas e trabalhadores, o desafio de adquirir a competência necessária para transformar informação em recurso econômico estratégico, ou seja, o conhecimento(9)”. 3.3 Segurança da Informação “Segurança da informação é a busca da proteção da informação de vários tipos de ameaças para garantira continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades do negócio(1)” Com a globalização, as ameaças e os conseqüentes riscos para as inumeráveis quantidades de negócios são desafio para a gestão da segurança da informação. Qualquer tipo de falha ou descuido em uma proteção sobre uma informação pode acarretar prejuízos imensos às pessoas físicas e jurídicas. Informações estratégicas para uma empresa podem causar grandes prejuízos ao serem repassadas para empresas concorrentes ou para pessoas mal intencionadas. Como exemplo, o acesso ao banco de dados de empresas de cartão de crédito poderiam trazer prejuízos com cifras astronômicas para a empresa e para os clientes decorrente do uso dessas informações. A segurança da informação é diretamente proporcional aos fatores comportamentais de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca. Pessoas mal intencionadas que têm o objetivo de roubar, aniquilar, modificar ou introduzir informações podem produzir grandes danos. Confidencialidade, integridade, disponibilidade e autenticidade representam os principais conceitos que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. Outros conceitos como legitimidade e autenticidade estão sendo apresentadas na medida em que o número de transações eletrônicas (públicas e privadas) se desenvolve. De acordo com a Instrução Normativa GSI Nº 01(2), os conceitos básicos podem ser explicados conforme abaixo: a) confidencialidade - propriedade de que a informação não esteja disponível ou revelada à pessoa física, sistema, órgão ou entidade não autorizado e credenciado; 24 b) integridade - propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental; c) disponibilidade - propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade; e d) autenticidade - propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade. “A segurança da informação busca proteger a informação dos riscos a que está exposta para garantir a confidencialidade, a integridade e a disponibilidade”(1). De acordo com Bauer(10),: “A informação, os processos de apoio, os sistemas e as redes são importantes ativos para os negócios. A informação tem tanto ou mais valor que qualquer outro bem da organização. Confidencialidade, integridade, disponibilidade e autenticidade da informação podem ser essenciais para preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e à imagem que uma organização tem no mercado”. De acordo com Peltier(11), as organizações procuram segurança para assegurar a integridade, confidencialidade e disponibilidade da informação e garantir a perenidade do negócio, entendendo que a informação é um ativo de propriedade da organização e que necessita de apropriados níveis de controle. Um programa de segurança da informação necessita de políticas, padrões e procedimentos. Qualquer situação que impeça ativos e processos de realizarem suas atividades, potencialmente, destroem a capacidade da organização de obter sucesso. Partindo desta perspectiva, assegurar que os ativos e processos permaneçam produtivos é o benefício real e foco dos investimentos da organização em segurança. “A segurança da informação está interligada à gestão de riscos, pois a avaliação de riscos permite sugerir os controles mínimos, os documentos e o plano de segurança para os sistemas de informação”(12). De acordo com Allemand et al(13), que faz referência a pesquisa conjunta do CSI - Computer Security Institute – e do FBI - Federal Bureau of Investigation – denominada “2006 CSI/FBI Computer Crime and Security Survey”, os quatros principais tipos de incidentes de segurança ocorridos em 616 organizações nos EUA, no ano de 2006, foram: vírus (65%), roubo de notebooks (47%), acesso não autorizado por empregados (42%), acessos não autorizados por terceiros (32%). 25 Segundo a mesma pesquisa5, estes quatro tipos de incidente foram responsáveis por quase 75% das perdas financeiras reportadas pelas organizações pesquisadas. O restante dos ataques citado na legenda é composto de: ataques de negação de serviço (25%), invasões de sistemas (15%), uso não autorizado de redes sem fio (14%), roubo de informações (9%), fraudes financeiras (9%), fraude nas telecomunicações (8%), uso incorreto de aplicações web públicas (8%), descaracterização de páginas web (6%) e sabotagem (3%). Esses ataques têm suas origens motivadas pelos mais diversos motivos. As causas mais comuns são vingança (principalmente realizadas por empregados), vantagens financeiras, fama e auto-estima. Figura 1: Tipos de ataques ou abusos detectados nos últimos 12 meses por percentual de entrevistados. Pesquisa CSI/FBI 2006 Identificado os tipos e potenciais ataques, é necessário que as organizações identifiquem os recursos físicos e lógicos a serem protegidos e decidam o nível de segurança a ser estabelecido a cada um. Os custos das conseqüências dos ataques e das implementações de segurança para combatê-los devem ser quantificados e comparados de modo a se decidir qual a ação a ser tomada (aceitar, mitigar ou rejeitar os riscos). 5 Disponível em: <http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2006.pdf>. Acesso em: 27 out. 2008. 26 Para se minimizar os riscos devemos aumentar o nível de segurança desejado que possa ser consubstanciado pela definição de uma "POLÍTICA DE SEGURANÇA" a ser seguida por uma organização, de modo a garantir que uma vez estabelecida, permita o alcance e a manutenção do nível desejado de segurança. Segundo Peltier(11), a definição de uma política de segurança deve se situar no contexto dos riscos de negócio da organização. De acordo com a norma ABNT NBR ISO/IEC 17799:2005(1), a política de segurança tem por objetivo “prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes”. A política de segurança estabelecida deve ser clara; alinhada com os objetivos do negócio; aprovada pela direção; publicada e comunicada para todos os funcionários e partes externas relevantes; e convém conter, dentre outras, as seguintes declarações: a) definição de segurança da informação, as metas globais, escopo e importância da segurança como mecanismo que habilita o compartilhamento de informações; b) declaração do comprometimento da direção, apoiando as metas e princípios da segurança, alinhado com os objetivos estratégicos do negócio; c) estrutura para estabelecer os objetivos de controle e os controles, incluindo a análise, avaliação e gerenciamento de riscos. d) breve explanação das políticas, princípios, normas e requisitos de conformidade da segurança da informação especifico para a organização; e) definição de responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro de incidentes de segurança; e f) referências à documentação que possam apoiar a política. Segundo a RFC6 2196, a política de segurança é uma declaração formal das regras pelas quais as pessoas que tenham acesso a ativos de uma organização da tecnologia e da informação devem respeitar7. A gestão da segurança da informação deve ser guiada pela política de segurança da informação. De acordo com Krutz(14), procedimentos, são ações com a finalidade de detalhar os passos para executar uma rotina especifica, de acordo com a política estabelecida. 6 RFC (Requests for Comments) são usadas pela comunidade Acadêmica e científica na definição de novos padrões para Rede. Disponível em: <http://webmasters.neting.com/msg14433.html>. Acesso em: 27 out. 2008. 7 Disponível em: <http://translate.google.com.br/translate?hl=pt-BR&sl=en&u=http://www.isi.edu/innotes/rfc2196.txt&sa=X&oi=translate&resnum=1&ct=result&prev=/search%3Fq%3DThe%2BSite%2BSecurity% 2BHandbook)%26hl%3Dpt-BR%26rlz%3D1T4GGLL_pt-BR>. Acesso em: 27 out. 2008. 27 3.4 Controles de Segurança Segundo o relatório final do estudo realizado pelo Grupo de Trabalho (GT) Metodologia de Gestão de Segurança da Informação para a APF(15), conduzido pelo GSI-PR, que também seguem as normas ABNT NBR ISO/IEC 17799:2005(1), os controles adotados para servir como referência são os seguintes: a) POLÍTICA DE SEGURANÇA: Documento fundamental para o estabelecimento da segurança na organização que tem como objetivos principais fornecer o direcionamento e o suporte administrativo necessário para a Segurança da Informação. b) ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO: I. Infra-estrutura da Segurança da Informação: Definição de uma área da organização como responsável pela implantação das determinações da Política de Segurança da Informação e de seus desdobramentos, bem como pelo gerenciamento da Segurança da Informação na organização; e II. Partes Externas: Classificação dos riscos relacionados com partes externas à organização relacionados à segurança dos recursos de tratamento de informação que são acessados, processados, comunicados ou gerenciados por partes externas. c) GESTÃO DE RISCOS: Processo de monitoramento dos riscos a que a informação a ser protegida está submetida de acordo com o seu valor estimado. d) GESTÃO DE ATIVOS: Inventário dos principais ativos da organização e atribuição de responsabilidades aos seus gestores por qualquer quebra de segurança provocada por ação ou omissão decorrente de ato ilícito. e) SEGURANÇA EM RECURSOS HUMANOS: Garantia de que os funcionários, fornecedores e terceiros entendem as suas responsabilidades e têm conhecimento das normas técnicas sobre procedimentos e medidas de segurança. f) SEGURANÇA FÍSICA E DO AMBIENTE: Conjunto de medidas voltadas para a prevenção e a obstrução das ações ou ocorrências adversas de qualquer natureza que possam comprometer as áreas e as instalações da organização onde sejam tratadas informações classificadas. g) GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES: Planejamento e orientação de uma área estratégica e competente de governo, de maneira a dar o 28 suporte técnico necessário aos órgãos para que estes não fiquem completamente dependentes de serviços terceirizados. h) CONTROLE DE ACESSOS: Controle de acesso à informação através de credencial de segurança e demonstração da necessidade de conhecer. i) AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS DE INFORMAÇÃO: Definição de uma metodologia para a identificação e a especificação dos requisitos de segurança antes do desenvolvimento e/ou implementação de sistemas de informação. Na metodologia devem estar contemplados: sistemas operacionais, infra-estrutura, aplicações e serviços desenvolvidos inclusive por usuários internos. Os acordos baseados em requisitos de segurança devem ser explicitamente formulados com os fornecedores, quando da aquisição e desenvolvimento de sistemas pela APF. j) GESTÃO DE INCIDENTES E SEGURANÇA DA INFORMAÇÃO: Conjunto de processos destinados a assegurar que fragilidades e eventos de segurança da informação, associados com os sistemas de informação, sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. k) GESTÃO DA CONTINUIDADE DE NEGÓCIO: Mecanismo utilizado para impedir ou evitar a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil. l) CONFORMIDADE: Processo no qual é verificada a conformidade entre as ações de segurança implementadas e todos os requisitos de segurança específicos do ambiente independentemente do tipo de norma em que foi estabelecido. 29 4 GESTÃO DE SEGURANÇA DA INFORMAÇÃO NA MB 4.1 Segurança Em 10 de junho de 1999 o Estado-Maior das Forças Armadas foi extinto e o Ministério da Defesa foi criado, conseqüentemente, os ministérios da Marinha, Exército e Aeronáutica foram transformados em Comandos. A MB passou a ser designada por Comando da Marinha. A MB tem como missão: "Preparar e empregar o Poder Naval, a fim de contribuir para a defesa da Pátria”8. Na sua missão podemos destacar a palavra “defesa” que, segundo Michaelis(16), significa “proteção contra um ataque ou ofensa”. O conceito de defesa está intimamente relacionado ao conceito de segurança, que, também segundo o Michaelis(16), significa “certeza, confiança ou firmeza”, pois para se ter proteção contra um ataque ou ofensa é necessário o pressuposto de ser ter certeza, confiança ou firmeza. A missão da MB, agregada à sua tradição de salvaguarda do material e da vida humana (com operações de resgate, condução de exercícios e manuseio de equipamentos e armamentos caros e perigosos) gerou uma cultura em segurança. A conectividade entre os componentes da MB, capazes de partilhar informação e trabalhar em colaboração (operações em rede), facilitou a estrapolação dessa cultura em segurança para outras áreas de atuação. Na área de SIC, não poderia ser diferente. 4.2 Segurança da Informação na MB A utilização cada vez mais acentuada de informações sendo transferidas e armazenadas digitalmente, assim como a evolução tecnológica dos sistemas envolvidos, acarretaram na necessidade da MB possuir instrumentos que contenham diretrizes voltadas a auxiliar as Organizações Militares (OM) no planejamento, definição e implementação de mecanismos de segurança (normas, procedimentos, padrões, equipamentos, dispositivos e controles) no trato da informação digital, orientando as atividades que visam garantir a autenticidade, a integridade, a disponibilidade e o sigilo das informações armazenadas e trafegadas por meio magnético, eletrônico ou digital. 8 Disponível em: <https://www.mar.mil.br/menu_v/instituicao/missao_visao_mb.htm>. Acesso em: 27 out. 2008. 30 Na MB a SIC tem outro nome. Ela é chamada de “Segurança das Informações Digitais” (SID) e esta possui o mesmo conceito contido no Decreto n.º 3.505, de 13 de junho de 2000(3), que institui a Política de Segurança da Informação nos órgãos e entidades da APF, e que está contido na DGMM 0520(17), qual seja: “O conceito de Segurança das Informações Digitais (SID) está associado às ações de proteção dos sistemas de informação digital contra a negação de serviços a usuários autorizados, assim como contra a interceptação, a intrusão e a modificação desautorizada de dados (ou informações digitais) armazenados, em processamento ou em trânsito em meio eletrônico ou digital. A SID também deve prevenir detectar, deter e documentar eventuais ameaças ou ataques” Na MB, a SID é um dos desdobramentos da Segurança Orgânica (SegOrg), tendo em vista que o conhecimento de interesse da Marinha ou do País que se busca proteger está vinculado não só à informática, mas aos recursos humanos, à documentação, ao material, às comunicações e às áreas físicas relacionados à sua produção, manuseio, trâmite e arquivamento. As Normas para a SID visam garantir um nível aceitável de segurança em termos do risco calculado, aplicando-se a: a) todas as atividades que envolvam algum trâmite, processamento ou arquivamento de informação em meio eletrônico nas redes locais da MB; b) todos os recursos de informática e os respectivos sistemas de informações digitais; c) todo usuário dos serviços disponibilizados pela rede local; e d) contratos efetuados pela MB com empresas privadas, cujo escopo envolva algum tratamento de informações em meio eletrônico ou integradas por meio de uma rede local. Como a conceito de Segurança da Informação está associado a sistemas de informação digital (ações de proteções - a SID é um dos desdobramentos da SegOrg na MB) é conveniente que se comente um pouco sobre duas estruturas desse sistema, quais sejam, a sua intranet que tem o nome de Rede de Comunicações Integradas da MB (RECIM) e a internet na MB, por serem “portas de entradas” de possíveis ameaças externas e internas. 4.3 RECIM A RECIM tem como propósito a interconexão de dispositivos eletrônicos, possibilitando a comunicação entre usuários (voz, dados ou voz e dados), obedecendo aos seguintes itens: confiabilidade, rapidez nas respostas às solicitações, disponibilidade, eficiência e custo. 31 Ela pode ser definida como a infra-estrutura para uma rede de grande área privada, composta por redes metropolitanas Distritais, tendendo a ser independente das prestadoras de serviço de telecomunicações e fundamentada em suporte de comunicação de alta qualidade. Utiliza-se de uma CETELMA (Central Telefônica da Marinha) e/ou equipamento de conectividade que dispõem de dispositivos com capacidade de manipulação de voz e dados, para efetuar a integração das redes que fazem parte de um Distrito, Comando ou Complexo Naval. Pode ser estruturada em três áreas de atuação: a) Área restrita à OM: A primeira área de atuação restringe-se, basicamente, a uma OM. Cada OM pode ter ao menos uma rede de dados local que, em conjunto com ramais telefônicos ou centrais telefônicas ligadas a uma CETELMA, são integradas à RECIM. A responsabilidade administrativa e técnica de suas redes ficam a critério da própria OM. b) Área dos Distritos, Comandos ou Complexos Navais: A segunda área de atuação refere-se aos Distritos, Comandos ou Complexos Navais (exemplo: Complexo de Mocanguê). Cada um desses elementos constitui uma rede metropolitana integrada pelas redes locais das OM situadas em sua área de responsabilidade. A responsabilidade administrativa e técnica dessas redes ficam a cargo dos respectivos Distritos, Comandos ou Complexos Navais. c) Integração das redes metropolitanas: A terceira área de atuação abrange a integração de todas as redes metropolitanas formando uma rede de grande área privada. Essa WAN (Wide Area Network) possibilitará a integração de todas as sub-redes da Marinha. Caberá à DCTIM (Diretoria de Comunicações e Tecnologia da Informação da Marinha) a responsabilidade administrativa, bem como, a responsabilidade técnica. 4.4 Estrutura Física Em sua estrutura física, a RECIM é dividida em três grandes redes, estando, atualmente, seu gerenciamento diferenciado em REDE DE TELEFONIA - RETELMA (voz), REDE DE PACOTES (dados) e REDE DE INTEGRADORES (voz e dados). A figura 2 apresenta a configuração do "backbone" principal da RECIM, interligando todas as Redes Metropolitanas de todos os Distritos Navais (DN), Centro Tecnológico da Marinha em São Paulo (CTMSP) e a Base Aeronaval de São Pedro da Aldeia (BAeNSPA). 32 É um suporte de serviços de comunicação de voz e dados integrados conectados aos transceptores de comunicação com o satélite. 3º DN 4º DN CNAO 2º DN 5º DN 1º DN CTEMSP 6º DN Antena DATASAT PLUS 7º DN BAeNSPA 1º DN 8º Figura 2: Backbone Principal da RECIM A figura 3 apresenta uma representação simbólica da Rede Metropolitana (de Comunicações Integradas) do 1º DN. Nesta representação estão simbolizadas as redes de voz e dados. As outras Redes Metropolitanas se assemelham, em menor escala e complexidade, à apresentada. Distritos Navais, Comandos Navais, BAeNSPA e CTMSP CMM Complexo Av. Brasil DHN Antena DATASAT PLUS CIAW Complexo Bananal Complexo Ribeira Complexo Lucas Complexo Mocangüê Ed. Alte. Tamandaré Complexo Ilha das Flores Ed. Br. de Ladário Complexo Ilha das Cobras CMASM Diretoria de Finanças da Marinha Complexo do 1º DN EGN EN Figura 3: Rede Metropolitana do 1º DN 33 4.5 Responsabilidades no gerenciamento As responsabilidades de gerenciamento são distribuídas da seguinte forma: a) Cada OM, constituindo uma rede local, efetua o seu próprio gerenciamento; b) Cada Distrito, Comando e Complexo Naval, constituindo uma rede metropolitana, efetuam o gerenciamento da rede à qual estarão conectadas as redes locais das OM localizadas em sua área; e c) A DCTIM efetua o gerenciamento da rede à qual estão conectadas as redes metropolitanas, conduzindo, ainda, um acompanhamento passivo de todas as atividades do gerenciamento, inclusive descendo ao nível da OM, podendo intervir caso julgue necessário ou mediante solicitação. Devido a complexidade da RECIM, os problemas de uma rede local podem afetar um grande conjunto de OM, além de tornar difícil a identificação do seu causador. O gerenciamento integrado de voz e dados são efetuados de forma centralizada, na DCTIM, onde são monitorados todos os equipamentos multiplexadores-integradores distribuídos pelos Distritos, Comandos e Complexos Navais. Em cada Distrito Naval existe um conjunto de equipamentos que constituem o ponto de interligação entre os DN, em Rede de Grande Área, por intermédio, principalmente, de Comunicações por Satélite (serviço DATASAT PLUS da EMBRATEL), conforme demonstra a figura seguinte: IDNX Antena DATASAT PLUS CETELMA ramais locais Roteador rede local Figura 4: Conjunto de Equipamentos que constituem o Ponto de Interligação entre os DN 34 As Redes Metropolitanas são igualmente constituídas, obrigando assim na existência de um Supervisor Operacional de Área (SOA), surgindo o que convencionamos chamar de “Complexos”, ou seja, um local composto, normalmente, por uma quantidade razoável de OM, interligadas entre si por meios físicos (fibra óptica ou par metálico) e com um único ponto de interligação com o restante da RECIM. Isto pode ser bem visualizado na figura 5 que apresenta a Rede Metropolitana do 1º DN e os vários Complexos existentes. A figura seguinte mostra, à semelhança do mostrado na Rede de Grande Área, um conjunto de equipamentos por onde o complexo se interliga a outros dentro da Área Metropolitana. Ramais locais Antena DATASAT PLUS CETELMA CETELMA/ LIM Remoto Roteador Ramais locais Rede local Roteador Rede local Figura 5: Conjunto de Equipamentos por onde um Complexo se interliga a outros dentro da Área Metropolitana 4.6 A Internet na MB Na MB o acesso à INTERNET teve, inicialmente, como objetivo predominantemente as atividades voltadas à pesquisa científica e de natureza acadêmica de nível superior. Por esse motivo houve uma seleção das OM, pela Comissão de Ciência e Tecnologia da Marinha (COMCITEM), que teriam esse acesso conforme abaixo discriminado: a) Centro de Análises e Sistemas Navais; b) Centro de Apoio a Sistemas Operativos; c) Diretoria de Sistemas de Armas da Marinha; d) Diretoria de Telecomunicações da Marinha; e) Diretoria de Engenharia Naval; f) Centro Tecnológico da Marinha em São Paulo; g) Instituto de Pesquisas da Marinha; 35 h) Comando do Material de Fuzileiros Navais; i) Comando de Pessoal de Fuzileiros Navais; j) Diretoria de Hidrografia e Navegação; k) Instituto de Estudos do Mar Almirante Paulo Moreira; l) Escola Naval; m) Hospital Naval Marcílio Dias; e n) Escola de Guerra Naval. Posteriormente, tendo a RECIM atingido dimensões nacionais e em decorrência da necessidade de tráfego de informações de naturezas diversas, foi realizado contrato junto à Embratel, para interligação da RECIM à INTERNET, através da rede de dados daquela empresa. 4.7 O Método de Acesso Inicialmente a Marinha estava conectada ao segmento INTERNET da Embratel por meio de um ponto da RECIM localizado na DCTIM. Desse modo, todas as OM interligadas à RECIM têm condições técnicas de ter acesso à INTERNET, desde que sejam autorizadas a fazê-lo. Todo o acesso à INTERNET, partindo de estações interligadas à rede de dados da RECIM, era realizado através dessa conexão, não sendo autorizada nenhuma outra interligação à INTERNET em qualquer ponto da RECIM. A INTRANET está disponível para as diversas OM, cujas redes locais estejam interligadas ao "backbone" principal da RECIM. O protocolo de rede utilizado é o "TCP/IP" (Transmission Control Protocol / Internet Protocol). A consolidação da RECIM, no seu segmento de comunicação de dados, juntamente com a experiência adquirida com a INTERNET, permitiram a introdução na MB do conceito de INTRANET. Atualmente essa estrutura está em evolução e é apresentada com mais detalhes no item seguinte. 4.8 A Modernização da Infra-estrutura da RECIM e do acesso a INTERNET Conforme o BONO Especial nº 504/2008(18), a DCTIM, por meio de seus sistemas de gerenciamento, tem constatado um significativo aumento na demanda, de todas as OM, por serviços de TI (Tecnologia da Informação) disponibilizados na RECIM (Intranet) e na Internet. 36 Esse indiscutível fato, quando somado à disseminação de sistemas/serviços de TI, ofertados de forma descentralizada no âmbito da MB, está contribuindo para: a) a quase total saturação dos principais enlaces da RECIM ("backbone" e Internet); b) o surgimento de sérios problemas de desempenho e de segurança no acesso às diversas aplicações; e c) a baixa disponibilidade nos dispositivos de rede e, principalmente, para possíveis comprometimentos no cumprimento das tarefas da imensa maioria das OM que atualmente dependem de TI para execução das mais simples atividades. Nesse contexto, a DCTIM, alinhando-se com as melhores práticas de governança corporativa, elaborou o seguinte plano integrado de ações e investimentos para solucionar, em curto e médio prazos, os diversos aspectos técnicos do problema: a) acesso à Internet: I. aumento da banda do enlace de Internet em 400% para atender, a curto e médio prazo, à atual demanda reprimida e às futuras necessidades; II. projeto de Internet para os Distritos Navais, visando atender com segurança às demandas específicas de Internet em cada DN, sem sobrecarregar os demais enlaces da RECIM, conforme os sucessos já obtidos nas áreas dos 7ºDN e 3ºDN. A ativação em todos os DN está para ocorrerendo ao longo do 2° semestre de 2008; e III. Conclusão da ativação de acesso à Internet, exclusivo para as atividades operativas de SISNC2 (Sistema Naval de Comando e Controle). b) Acesso à Intranet: I. realização de pregão eletrônico (registro de preços), incluindo os pontos do "backbone" principal e todas as OM que atualmente contratam enlaces de firmas terceirizadas. No "backbone" principal (DN, BAeNSPA e CTMSP), planeja-se o emprego de uma tecnologia mais moderna (MPLS - multi protocol label swtiching) e aumento na banda de até 400%, a ser custeado integralmente pela DCTIM. A ativação do novo "backbone" ocorrerá em JAN de 2009; e II. cada OM, fora do backbone principal, terá autonomia para escolha da banda que melhor lhe atender, conforme sua exclusiva necessidade e como forma de solucionar eventuais problemas de congestionamento no acesso à RECIM. Mesmo as OM que utilizam enlaces corporativos (de propriedade da MB) poderão aderir ao registro de preços, como forma de contingência; e c) Organização da oferta de serviços de TI na RECIM: 37 I. implementação do Centro de Dados da MB (CDMB), cujo projeto já foi concluído e está sendo apreciado pela Comissão Técnica em Tecnologia da Informação (COTEC-TI) e pelo Conselho de TI na MB (COTIM). O CDMB, além de outras aplicações, possibilitará a concentração em um único local, no caso o Centro de Tecnologia e Informação da Marinha (CTIM), da oferta de serviços corporativos de TI, de forma a garantir desempenho, disponibilidade, segurança, eficiência e economicidade da aplicação dos recursos, e também evitará a dispersão de esforços no suporte e na manutenção dos serviços ofertados. A ativação do Centro de Dados e a descentralização dos serviços poderão ocorrer no 1° semestre de 2009; e II. concentração, no CTIM, das atividades de suporte, de forma a melhorar o atendimento aos usuários da RECIM e otimizar a resposta aos incidentes de TI. 4.9 Governança de TI na MB A segurança da informação tem como um de seus alicerces a TI. Existem outros como o comportamento humano que é a origem das maiores falhas ocorridas na segurança da informação, mas é na área da TI onde ocorre um grande número de mudanças e inovações. O mundo globalizado vem sofrendo grandes modificações comportamentais, notadamente no que tange às relações do emprego da TI na vida das organizações. A permeabilidade da TI em todos os níveis organizacionais estabeleceu um novo paradigma: o da necessidade de alinhamento da TI com os objetivos estratégicos das corporações. O baixo custo dos ativos de TI, atrelado à busca por processos mais eficientes e com menor utilização de mão-de-obra, culminou com uma dependência crescente da tecnologia da informação no cotidiano das Organizações. A MB não está alheia a esse conjunto de mudanças. Conforme o BONO Especial nº 748(19), a Alta Administração Naval determinou a criação de um Grupo de Trabalho em Tecnologia da Informação (GT-TI), contando com a participação de representantes de todos os Órgãos de Direção Setorial (ODS), para elaborar um Estudo de Estado-Maior (EEM) detalhado, no qual foi revisada a Estrutura de Governança de TI na MB, definindo as atribuições e responsabilidades dos diversos atores, de forma a adaptar essa estrutura, no que for pertinente, ao adequado alinhamento com os respectivos objetivos estratégicos. Diversos assuntos foram estudados no âmbito do GT-TI, desde a capacitação técnica de pessoal especialista até a revisão da relação de subordinação de órgãos responsáveis por 38 atividades de TI. Os principais pontos que a solução adotada prevê podem ser assim destacados: a) criação do COTIM, assessorado pela COTEC-TI. O COTIM é presidido pelo Chefe do Estado-Maior da Armada (CEMA - é o segundo na Cadeia de Comando na hierárquica da MB), que passa a ser a Autoridade de TI da MB, deliberando sobre os importantes temas relativos a TI, após parecer técnico elaborado pela COTEC-TI. Essa configuração é coerente com as melhores práticas de Governança de TI na atualidade, as quais são unânimes em evidenciar a necessidade de participação dos segmentos voltados para o “negócio” da empresa – no caso da MB, a manutenção do aprestamento do Poder Naval; b) centralização das atividades de TI na DCTIM: c) incremento da capacitação técnica do pessoal de TI, inclusive em áreas específicas, como Gerência de Projetos, diminuindo a dependência de empresas e instituições externas à Marinha; d) emprego, de modo racional, do pessoal de TI dentro de suas especialidades, de forma a reduzir o atual quadro de déficit de recursos humanos qualificados nas OM; e) emprego de mecanismos da Sistemática do Plano Diretor (SPD) que permitam um maior controle de gastos com TI, de acordo com prioridades dadas pelo COTIM; e f) normatização e estabelecimento de padrões técnicos para diversas atividades, tais como: processos de desenvolvimento e interoperabilidade de Sistemas Digitais (SD), guerra cibernética, auditoria de sistemas, bem como adesão a práticas consagradas de Governança de TI para as organizações. Essas mudanças direcionam a Marinha para uma nova mentalidade de uso da TI como ferramenta norteadora dos objetivos organizacionais. No próximo capítulo está descrita uma avaliação preliminar de conformidade dos procedimentos de SI da MB aos controles gerenciais de SI. 39 5 AVALIAÇÃO PRELIMINAR DE CONFORMIDADE DOS PROCEDIMENTOS DE SI DA MB AOS CONTROLES GERENCIAIS DE SI A SI é atingida quando da execução de uma série de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais, “hardwares” e “softwares”. Nesta etapa, será confrontado se três controles, dos doze adotados para servir como referência (conforme o contido no item 3.4 deste trabalho), são levados em consideração pela MB para o estabelecimento do seu SGSI. No Capítulo seis será feito uma discussão do estudo comparativo de ambos. Desse modo serão apresentados e discutidos os seguintes controles: a) Política de Segurança da Informação; b) Organizando a Segurança da Informação; e c) Gestão de Riscos. 5.1 Política de Segurança da Informação 5.1.1 O previsto na norma ABNT NBR ISO/IEC 17799:2005 De acordo com a norma ABNT NBR ISO/IEC 17799:2005(1), o objetivo da política de segurança é prover orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações importantes. Deve declarar o comprometimento da alta direção e o direcionamento para gerir a segurança da informação, além de ser publicado e comunicado a todos os empregados. Deve conter, dentre outras, as seguintes declarações: a) conceituação da segurança da informação, as metas globais, escopo e importância da segurança como mecanismo que habilita o compartilhamento de informações; b) declaração do comprometimento da direção, apoiando as metas e princípios da segurança, alinhado com os objetivos estratégicos do negócio; c) estrutura para estabelecer os objetivos de controle e os controles, incluindo a análise, avaliação e gerenciamento de riscos. d) breve explanação das políticas, princípios, normas e requisitos de conformidade da segurança da informação especifico para a organização; e) definição de responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro de incidentes de segurança; e 40 f) referências à documentação que possam apoiar a política. Além das declarações acima é importante que a política de segurança da informação tenha um conteúdo relevante, compreensível e que todos dentro da organização tenham acesso a ela. A política da segurança da informação também pode ser uma parte de uma política geral e deve ser elaborada de modo a prever repostas a possíveis mudanças no ambiente organizacional, nas circunstâncias do negócio, nas condições legais, ou no ambiente técnico. É interessante que seja revisada a intervalos pré-determinados ou quando de alguma mudança significativa de modo a se manter sempre atualizada. É conveniente que a política de segurança da informação tenha um responsável e que tenha participado pelo seu desenvolvimento, análise crítica e avaliação, principalmente a avaliação de oportunidades. Essa análise crítica da política de segurança da informação deve ter uma análise crítica por parte direção da organização. 5.1.2 O previsto na MB A ISID de uma OM constitui um documento para gerenciamento de segurança da informação digital e é voltada às ações de planejamento. Seu objetivo é definir procedimentos que garantam os requisitos básicos de SIDRL. A ISID deve ser simples, objetiva, de fácil compreensão e aplicação e deve possuir grau de sigilo ostensivo, para que todos os usuários da rede local tenham acesso e pleno conhecimento das ações de planejamento e procedimentos nela contidos. Para sua elaboração, as seguintes regras básicas são seguidas: a) a ISID deve ser formalizada internamente por cada OM em uma Ordem Interna; b) todo o pessoal da OM, usuários ou não de recursos ou serviços disponibilizados pela rede local, devem conhecer a ISID; e c) as regras estabelecidas na ISID aplicam-se, indistintamente, a todo o pessoal na OM. A elaboração e a revisão periódica da ISID são responsabilidades do OSID (Oficial de Segurança das Informações Digitais) da OM. O intervalo entre revisões da ISID deverá estar formalizado no seu próprio corpo, não devendo ser superior a 2 (dois) anos. A ISID deverá ser voltada ao pleno gerenciamento da SIDRL e considerar a operação segura da rede local como um fator crítico ao pleno funcionamento da OM, devendo possuir, no mínimo, os seguintes itens: a) o detalhamento das responsabilidades do OSID e suas particularidades para a OM; b) as responsabilidades individuais sobre as informações digitais sigilosas integradas na rede local; 41 c) procedimentos para identificação dos recursos de informática que necessitam de proteção, de acordo com o respectivo grau de sigilo da informação digital por eles processada ou armazenada; d) os níveis de importância de cada um dos Recursos Computacionais Críticos (RCC) ou grupos similares de RCC da OM; e) os requisitos mínimos de proteção dos RCC da OM; f) a relação dos documentos de SIDRL adotados pela OM, inclusive os documentos internos, indicando seus respectivos responsáveis, objetivos, data da última revisão, periodicidade de revisão e graus de sigilo, quando aplicáveis; g) os procedimentos específicos da OM para garantir a SIDRL, incluindo a execução e a armazenagem de cópias de segurança e divulgação de incidentes; h) referência aos Planos de Adestramento de SIDRL e de divulgação das normas e publicações relacionadas ao assunto; i) a definição dos perímetros de segurança física das informações digitais, assim como as normas e procedimentos de controle de acesso físico a esses perímetros; j) os procedimentos de controle de entrada e saída, da OM e dos perímetros de segurança, de qualquer dispositivo que possa armazenar informações digitais; k) os procedimentos de controle da manutenção dos RCC, dos microcomputadores e respectivos discos rígidos; l) o estabelecimento de regras gerais e procedimentos para acesso à rede local e para delimitação das permissões de uso do ambiente computacional da OM pelos usuários ou grupos de usuários; m) o planejamento, o controle e os procedimentos das auditorias internas; n) referências aos planos de contingência (PLCONT) a serem utilizados para a continuidade operativa da rede local da OM; e o) normas e procedimentos para o controle do uso de recursos computacionais e do acesso à rede por pessoal estrangeiro eventualmente embarcado, destacado, cursando, visitando, participando de exercícios ou efetuando qualquer atividade na OM. 42 5.2 Organizando a Segurança da Informação 5.2.1 O previsto na norma ABNT NBR ISO/IEC 17799:2005 De acordo com a norma ABNT NBR ISO/IEC 17799:2005(1), o objetivo da Infraestrutura da segurança da informação é gerenciar a segurança da informação dentro da organização e convém que: a) uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementação da segurança da informação dentro da organização; b) a direção aprove a política de segurança da informação, atribua as funções da segurança, coordene e analise criticamente a implementação da segurança da informação por toda a organização; c) se necessário, uma consultoria especializada em segurança da informação seja estabelecida e disponibilizada dentro da organização; d) contatos com especialistas ou grupos de segurança da informação externos, incluindo autoridades relevantes, sejam feitos para se manter atualizado com as tendências do mercado, normas de monitoração e métodos de avaliação, além de fornecer apoio adequado, quando estiver tratando de incidentes de segurança da informação; e e) um enfoque multidisciplinar na segurança da informação seja incentivado. Também de acordo com a norma ABNT NBR ISO/IEC 17799:2005(1), o objetivo das Partes Externas é manter a segurança dos recursos de processamento da informação e da informação da organização, que são acessados, processados, comunicados ou gerenciados por partes externas. Convém que: a) a segurança dos recursos de processamento da informação e da informação da organização não seja reduzida pela introdução de produtos ou serviços oriundos de partes externas; b) qualquer acesso aos recursos de processamento da informação da organização e ao processamento e comunicação da informação por partes externas seja controlado; c) seja feita uma análise/avaliação dos riscos envolvidos para determinar as possíveis implicações na segurança e os controles necessários, onde existir uma necessidade de negócio para trabalhar com partes externas, que possa requerer acesso aos recursos de processamento da informação e à informação da organização, ou na 43 obtenção e fornecimento de um produto e serviço de uma parte externa ou para ela; e d) controles sejam acordados e definidos por meio de um acordo com a parte externa. 5.2.2 O previsto na MB A estrutura de gerenciamento estabelecida para iniciar e controlar a implementação da segurança da informação dentro da MB possui suas responsabilidades e atribuições divididas por diversas OM. Além do já apresentado no item 4.5, os tópicos seguintes apresentam as atribuições e responsabilidades na GSI de cada uma dessas OM chegando ao nível dos usuários de uma OM. O capítulo 4 desta monografia apresenta os objetivos das Partes Externas que é manter a segurança dos recursos de processamento da informação e da informação das organizações da MB, que são acessados, processados, comunicados ou gerenciados por partes externas. 5.2.2.1 Atribuições do Estado-Maior da Armada (EMA) Como Órgão de Direção Geral (ODG), o EMA formula a doutrina básica das atividades de SIDRL na MB. 5.2.2.2 Atribuições da Diretoria Geral do Material da Marinha (DGMM) Compete à DGMM assessorar o Comandante da Marinha e o EMA nos assuntos de Segurança das Informações Digitais em Redes Locais (SIDRL), zelar pelo fiel cumprimento da doutrina básica elaborada pelo EMA, elaborar diretrizes para a utilização com segurança das informações digitais integradas por redes locais de propriedade da MB e para a realização das respectivas auditorias, aprovar as normas gerais para a SIDRL elaboradas pela DCTIM e zelar pelo fiel cumprimento das normas, procedimentos e instruções pertinentes. 5.2.2.3 Atribuições da DCTIM Por meio da Portaria N° 14/MB(20), foi alterada a denominação da Diretoria de Telecomunicações da Marinha – DTM para Diretoria de Comunicações e Tecnologia da Informação da Marinha – DCTIM. Esta mudança é decorrente da reestruturação e modernização do setor de Tecnologia da Informação (TI) da Marinha, determinada pelo Comandante da Marinha (CM). A nova OM é criada a partir da ampliação da missão da agora extinta DTM, congregando em uma única diretoria especializada a orientação e supervisão funcional do Sistema de Comunicações da Marinha (SISCOM), as atividades técnicas pertinentes às Telecomunicações - ambas antes exercidas pela extinta DTM - e a orientação da governança da Tecnologia da Informação na 44 Marinha, atividades estas até então executadas em parte pela DTM e em parte pela Diretoria de Administração da Marinha (DAdM). A assunção pela DCTIM das novas atividades pertinentes à governança de TI seguirá cronograma estabelecido pelo Conselho de Tecnologia da Informação da Marinha (COTIM) e aprovado pelo CM. As atribuições da DCTIM são, a saber: a) exercer a orientação técnica relativa ao SISCOM e às atividades de TI na Marinha; b) exercer a supervisão funcional das OM no que diz respeito ao SISCOM e à governança de TI; c) supervisionar a operação, expansão e atualização do SISCOM; d) dirigir as alterações, modificações, conversões, modernizações e obtenções de equipamentos e sistemas de Telecomunicações do SISCOM; e) assessorar o EMA na atualização da Doutrina de Comunicações da Marinha e da Doutrina de Tecnologia da Informação da Marinha; f) avaliar o desempenho de sistemas, equipamentos e materiais de sua jurisdição; g) supervisionar as atividades de Segurança das Comunicações e de Segurança da Informação Digital na MB. Dentro deste item temos as seguintes tarefas: I. planejar, coordenar e controlar as atividades técnicas e administrativas de SIDRL; II. assessorar a DGMM nos assuntos de SIDRL; III. supervisionar e analisar todas as atividades que possam afetar os requisitos de SIDRL da MB; IV. autorizar a execução de serviços nas redes locais não segregadas das OM por pessoal externo, pois estes serviços (implementações ou correções) podem afetar os requisitos de SIDRL da MB; V. determinar as necessidades e adotar programas, equipamentos e materiais específicos para as atividades de SIDRL; VI. coordenar as atividades de auditoria de SIDRL nas OM da MB que possuam informações digitais integradas por meio de rede local não segregada; VII. manter atualizados na sua página da intranet as listas e os questionários de verificação para realização das auditorias de SIDRL; VIII. exercer ou delegar a competência da auditoria de SIDRL nas OM da MB; IX. designar por Portaria os integrantes da equipe de auditoria de SIDRL nas OM da MB; e 45 X. definir os requisitos para qualificação e certificação do pessoal da MB em auditorias de SIDRL. h) administrar as parcelas dos planos e programas da Marinha sob sua responsabilidade; i) administrar as atividades técnicas e gerenciais de abastecimento do material de sua jurisdição; j) orientar as atividades de manutenção dos equipamentos de sua jurisdição; k) orientar e fomentar a nacionalização de sistemas, equipamentos e materiais de sua jurisdição; l) assessorar o COTIM e executar as ações e atividades decorrentes das deliberações desse Conselho para a governança da Tecnologia da Informação na MB; m) efetuar a conformidade de projetos e orientar a homologação de sistemas de informação digital; n) orientar a padronização de tecnologias de Informação e de Telecomunicações para emprego na MB; o) administrar acordos administrativos para a obtenção, em escala corporativa, de ativos de Informação; p) assessorar a DGMM na obtenção de recursos financeiros atinentes às atividades concernentes ao emprego das Comunicações e da Tecnologia da Informação. q) assessorar o Sistema de Planejamento de Pessoal da Marinha na obtenção das necessidades de pessoal para atividades atinentes ao emprego da Tecnologia da Informação e das Telecomunicações; r) supervisionar a capacitação de pessoal da MB com relação às áreas de conhecimento das Telecomunicações e da Tecnologia da Informação, atuando como Organização Militar Orientadora Técnica de Telecomunicações e de TI (OMOT-T e OMOT-TI); e s) prover apoio administrativo ao CTIM, OM subordinada à DCTIM. 5.2.2.4 Atribuições do Titular (Comandante ou Diretor) da OM Competem às seguintes responsabilidades, ao Titular da OM que possui informações digitais integradas por meio de rede local de computadores: a) zelar pelo fiel cumprimento das normas, procedimentos e instruções pertinentes à SIDRL na sua OM; 46 b) zelar para que a operação e a manutenção dos equipamentos, instalações e sistemas da rede local da OM sigam as instruções em vigor; c) zelar pelo fortalecimento da mentalidade de segurança; d) manter um programa de adestramento de SID para todo o pessoal da OM; e) manter a OM preparada para eventuais auditorias referentes à SIDRL; f) reportar prontamente os incidentes de SIDRL, após uma avaliação preliminar, à DCTIM, com informação ao Comando Imediatamente Superior (COMIMSUP); g) autorizar a execução de serviços nas redes locais segregadas da OM por pessoal externo, pois estes serviços (implementações ou correções) podem afetar os requisitos de SID da OM; h) designar o OSID da OM; e i) designar o Administrador da rede local (ADMIN) da OM. 5.2.2.5 Atribuições do OSID Compete ao OSID estabelecer procedimentos para o gerenciamento da infra-estrutura da SID devendo realizar as seguintes atividades: a) estabelecer e divulgar, por meio de Ordem Interna (OI), as ISID para a OM, bem como verificar sua implementação; b) coordenar, junto aos demais setores da OM, o estabelecimento dos Planos de Adestramento de SID e zelar pelo seu cumprimento; c) assessorar o Titular da OM nos assuntos de SID; d) alterar, propor, analisar e verificar se os requisitos de SID estão sendo praticados em conformidade com as normas estabelecidas; e) identificar os recursos de informática que necessitam de proteção, de acordo com o respectivo grau de sigilo da informação por eles processada ou armazenada. Este procedimento de identificação deve estar explícito na ISID da OM; f) definir os requisitos mínimos de proteção das informações digitais e formalizá-los na ISID da OM; g) reportar prontamente os incidentes de SID, após uma avaliação preliminar, ao Titular da OM; h) controlar as autorizações para o acesso de usuários aos sistemas computacionais da OM; i) elaborar e controlar a análise de riscos e vulnerabilidades, pelo menos uma vez por ano, e participar seu respectivo relatório ao Titular da OM; 47 j) supervisionar a elaboração, o controle e a manutenção do Histórico da Rede Local (HRL); k) analisar o impacto da descontinuidade dos serviços e suas conseqüências para o ambiente computacional da OM, estabelecendo um plano de contingência; l) testar o plano de contingência, com periodicidade inferior a dois anos; m) exigir do pessoal externo à OM, autorizado a executar serviços na rede local (segregada ou não), a assinatura do TRI e o cumprimento das regras estabelecidas no referido termo para guarda e proteção do sigilo das informações que possa ter acesso. Além disso, o OSID deverá cumprir os procedimentos sobre segurança orgânica, contidos na COMOPNAVINST No 34-02B(21); n) garantir que os serviços (instalações, manutenções ou correções) sejam feitos sem afetar a segurança dos sistemas de informações digitais; o) garantir que todos estejam cientes das instruções em vigor para a segurança das informações digitais do ambiente computacional da OM, por meio da assinatura do TRI pelos usuários que acessam a rede local; e p) garantir que todos os usuários que possuam estações de trabalho tenham assinado o TRET. 5.2.2.6 Atribuições do ADMIN O ADMIN deverá ser nomeado formalmente por Ordem de Serviço do Titular da OM, devendo ter, preferencialmente, capacitação em Administração de Rede de Computadores e, se possível, certificação para os sistemas operacionais que estejam sendo utilizados dentro da OM, assim como conhecimentos mínimos em auditoria de sistemas computacionais. Por questões de segurança, as funções de ADMIN e de OSID não são acumuladas. Compete ao ADMIN gerenciar a rede local de forma a mantê-la operando dentro dos seus requisitos operacionais e com todos seus serviços em funcionamento. São desempenhadas pelo ADMIN as seguintes atividades: a) não permitir a divulgação de características da rede local a pessoas externas à OM sem a autorização prévia e formal do OSID. Informações sobre as características da rede local e de seus componentes são consideradas sigilosas. É imperioso dar-lhes o devido tratamento, observando-se o grau de sigilo atribuído pelo OSID; b) elaborar, controlar e manter o HRL; c) auxiliar o OSID na divulgação da ISID da OM e das respectivas normas; 48 d) implementar, no sistema computacional da OM, uma tela de entrada que apresente as regras estabelecidas no TRI, para que todos os usuários somente acessem o ambiente computacional da OM após o conhecimento dessas regras; e) assessorar o OSID na avaliação dos incidentes de segurança; f) criar, apagar ou alterar perfis ou privilégios de usuários ou grupos de usuários; g) controlar e gerenciar os acessos aos sistemas; h) efetuar as atualizações nos sistemas da rede local; i) manter as soluções de conectividade implantadas pela DCTIM e sugerir novas soluções; j) monitorar o volume de tráfego na rede; k) estabelecer procedimentos para garantir que as cópias de segurança (“backups”) estejam sendo feitas e guardadas de forma correta e segura; l) executar exercícios do plano de contingência com as áreas envolvidas da OM; m) estabelecer os requisitos mínimos de segurança para recursos computacionais de uso individual, de acordo com as normas em vigor; n) elaborar procedimentos para implementar o acesso ao sistema computacional da OM dos usuários autorizados pelo OSID; o) configurar as estações de trabalho e entregá-las aos respectivos usuários, mediante a assinatura do TRET. No caso de transferência de estações de trabalho entre usuários, ter o cuidado de “formatar” o disco rígido e restabelecer a configuração padrão da OM; e p) instalar, nas estações de trabalho dos usuários da rede local da OM, um ícone que possibilite o acionamento imediato da proteção de tela (“screen saver”). 5.2.2.7 Atribuições do Usuário O usuário de serviços e equipamentos interligados pela rede local da OM, seja militar, servidor civil ou prestador de serviço, deverá estar ciente das suas responsabilidades sobre SID. Para garantir o atendimento desse requisito, ele estará apto a receber uma estação de trabalho somente após a assinatura do TRET, ficando autorizado a acessar o sistema da OM após tomar ciência das normas de SID e assinar o TRI. 49 5.3 Gestão de Riscos 5.3.1 O previsto na norma ABNT NBR ISO/IEC 17799:2005 De acordo com a norma ABNT NBR ISO/IEC 17799:2005(1), a gestão de riscos são atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos, geralmente, inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. Ainda, segundo a norma ABNT NBR ISO/IEC 17799:2005(1), risco, ameaça e vulnerabilidade são definidos por: a) risco: combinação da probabilidade de um evento e de suas conseqüências; b) ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização; e c) vulnerabildade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças Convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização. Convém que os resultados orientem e determinem as ações de gestão apropriadas e as prioridades para o gerenciamento dos riscos de segurança da informação, e para a implementação dos controles selecionados, de maneira a proteger contra estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado várias vezes, de forma a cobrir diferentes partes da organização ou de sistemas de informação específicos. Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco). Convém que as análises/avaliações de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer. Essas análises/avaliações de riscos devem ser realizadas de forma metódica, capaz de gerar resultados comparáveis e reproduzíveis. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. 50 O escopo de uma análise/avaliação de riscos pode tanto ser em toda a organização, partes da organização, em um sistema de informação específico, em componentes de um sistema específico ou em serviços onde isto seja praticável, realístico e útil. Com relação ao tratamento do risco, é importante que antes de considerar com reagir a um risco, a organização defina os critérios para determinar se o mesmo pode ser ou não aceito. Se for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização, o mesmo pode ser aceito. Para cada risco identificado, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco deve ser tomada. Possíveis opções são: a) aplicar controles apropriados para reduzir os riscos; b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco; c) evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos; d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. Para os riscos onde a decisão de tratamento seja a de aplicar os controles apropriados, convêm que esses controles sejam selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de riscos. A princípio, esses controles devem assegurar que os riscos sejam reduzidos a um nível aceitável, levando-se em conta: a) os requisitos e restrições de legislações e regulamentações nacionais e internacionais; b) os objetivos organizacionais; c) os requisitos e restrições operacionais; d) custo de implementação e a operação em relação aos riscos que estão sendo reduzidos e que permanecem proporcionais às restrições e requisitos da organização; e e) a necessidade de balancear o investimento na implementação e operação de controles contra a probabilidade de danos que resultem em falhas de segurança da informação. Os controles podem NBR ISO/IEC 17799:2005 (1) ser selecionados a partir da norma ABNT (controles contidos no item 3.4) ou de outros conjuntos de controles, ou novos controles podem ser considerados para atender às necessidades específicas da organização. É importante reconhecer que alguns controles podem não ser 51 aplicáveis a todos os sistemas de informação ou ambientes, e podem não ser praticáveis para todas as organizações. É conveniente que os controles de segurança da informação sejam considerados na especificação dos requisitos e nos estágios iniciais dos projetos e sistemas. Caso contrário, pode ocorrer custos adicionais e soluções menos efetivas, ou mesmo, no pior caso, incapacidade de se alcançar a segurança necessária. É importante ressaltar que nenhum conjunto de controles pode conseguir a segurança completa, e que uma ação gerencial adicional deve ser implementada para monitorar, avaliar e melhorar a eficiência e eficácia dos controles de segurança da informação, para apoiar as metas da organização. 5.3.2 O previsto na MB De acordo com a DGMM 0520(17), a gestão de risco da SID faz parte do contexto do HRL que tem por objetivo manter um memorial descritivo e o registro de todas as atividades e transações normais e de rotina que podem afetar de alguma forma a SIDRL. O HRL está voltado às ações de histórico, análise de incidentes, prevenção e correção. A elaboração, o controle e a manutenção do HRL são de responsabilidade do ADMIN, sob supervisão do OSID. O HRL possui grau de sigilo Confidencial e é composto de quatro partes: a) descrição da Rede; b) atividades de Rotina; c) incidentes; e d) vulnerabilidades e Riscos. Será feito a apresentação dos quatros itens acima (apesar de o item “d” ser o mais afeto à gestão de risco) pelo fato dos mesmos comporem o HLR e terem reflexo nos demais controles que serão obcordados adiante. 5.3.2.1 Descrição da Rede Esta parte deve apresentar o estado atualizado da rede local e seu respectivo ambiente, devendo conter, no mínimo, os seguintes tópicos, com as respectivas datas de atualização: a) configuração dos RCC; b) diagrama da topologia da rede local, com as localizações de todos os RCC (e respectivos endereços de rede) e das rotas dos cabos de interligação ou conexões; c) diagrama das áreas e perímetros de segurança; d) programas aplicativos e sistemas operacionais, apresentando os dados das respectivas licenças de uso; 52 e) controle de programas em uso e das necessidades de licenças de software; f) registro dos usuários autorizados a acessar o ambiente da rede local e suas respectivas permissões de uso (privilégios); g) controle dos usuários que não possuem contas de acesso; h) registro das atualizações na topologia da rede; e i) registro das correções e novas implementações feitas na rede local, devendo estas serem feitas somente após aprovação do OSID. Este registro deve contemplar sua descrição, a necessidade geradora, os sistemas afetos e o responsável pela correção ou implementação. 5.3.2.2 Atividades de Rotina Estas atividades correspondem aos eventos rotineiros de segurança da rede, explícitos e declarados na ISID. Exemplos de eventos de rotina que devem ser registrados com as respectivas datas de lançamento e de atualização: a) concessões e cancelamentos de privilégios de usuários; b) histórico das respectivas datas de criação, de alterações e de desativação das contas de acesso à rede local da OM, com a identificação nominal dos responsáveis; c) concessões e cancelamentos de permissões de acesso às redes externas via rede local; d) configuração dos arquivos de registro (“logs”) dos acessos aos equipamentos servidores e às bases de dados; e) desconexão ou conexão de estações de trabalho e equipamentos servidores; f) configurações das barreiras digitais de proteção externa (“firewall”) da rede e das estações de trabalho (“firewall” pessoal); g) configurações de roteadores e “switches”; h) configuração dos arquivos de registro (“logs”) dos acessos físicos onde estejam operando RCC de nível 1; i) configuração dos arquivos de registro da estatística do volume de tráfego de informações digitais que circulam internamente na rede local; e j) configuração dos arquivos de registro da estatística do volume de tráfego de informações digitais que são trocadas com redes externas. 53 5.3.2.3 Incidentes Esta parte tem como objetivo registrar qualquer incidente que afete a SIDRL. O modelo para o registro de incidentes está apresentado no Histórico da Rede Local – Incidentes (Apêndice D), sendo sua numeração, controle e registro de responsabilidade do OSID. Após analisar uma ocorrência e verificar que se trata de um incidente que afete RCC Nível 1, o OSID deve participar o fato ao Titular da OM, o qual deverá enviar mensagem preferencial/confidencial à DCTIM, com informação ao COMIMSUP, indicando se algum procedimento do PLCONT foi acionado e seu respectivo resultado. O relato imediato de qualquer incidente é de responsabilidade de todos os usuários da rede local. A omissão de relato, pelo usuário, de um incidente que possa afetar a SID está sujeita a responsabilização, pois contraria o previsto no TRI. O registro do incidente deve ser feito, de forma clara e objetiva, no campo Relato do Incidente (RI). A análise do ocorrido deverá ser feita pelo OSID, o qual deverá registrar seus comentários no campo Comentários, Análise sobre o Incidente e respectivas correções. Caso afete algum RCC Nível 1, o RI deverá ser ratificado pelo Titular da OM. 5.3.2.4 Vulnerabilidades e Riscos O registro e análise das vulnerabilidades e riscos tem por objetivo avaliar as possíveis ameaças à rede local e os respectivos danos às informações digitais, isto é, identificar pontos onde a operação da rede local possa ser ameaçada ou posta em risco. A periodicidade de revisão das vulnerabilidades e riscos deve ser de, no máximo, 12 (doze) meses, cabendo a responsabilidade da elaboração e de seu controle ao OSID. O exemplo de um registro de riscos e vulnerabilidades é apresentado no Apêndice D. Caso a OM não possa conduzir esta análise exclusivamente com seu próprio pessoal, poderá ter o apoio de pessoal credenciado de outra OM, após solicitação, via COMIMSUP, à DCTIM. Mediante a análise das justificativas apresentadas e da capacitação do pessoal de apoio indicado, aquela Diretoria autorizará ou não a solicitação. Ressalta-se que é expressamente proibido o serviço de análise de riscos e vulnerabilidades por pessoa ou empresa externa à MB. A análise de riscos e vulnerabilidades deve conter, no mínimo, os seguintes tópicos: a) Análise de Risco e Vulnerabilidades Físicas Esta parte avalia o risco de ordem física que possa afetar o ambiente computacional e de segurança física da rede local, abrangendo, no mínimo, os seguintes itens: 54 I. as instalações elétricas e os sistemas de alimentação; II. o meio físico utilizado na rede local; III. o sistema de refrigeração dos locais onde estão os RCC Nível 1; IV. a avaliação dos Perímetros de Segurança; V. a necessidade de sistema de monitoramento à distância; VI. a avaliação dos sistemas de execução das cópias de segurança; VII. os controles dos acessos físicos aos locais onde estão os RCC Nível 1; e VIII. sistema de combate à incêndio dos locais onde estão os RCC Nível 1. b) Análise de Risco e Vulnerabilidades Lógicas Esta parte avalia o risco de ordem lógica que possa afetar o ambiente computacional e de segurança da rede local. Os riscos lógicos abrangem os sistemas integrantes da rede local, desde o gerenciamento dos endereçamentos até os aplicativos instalados e serviços disponibilizados. Esta avaliação abrange, no mínimo, os seguintes itens: I. o controle dos endereços de rede; II. os sistemas de tradução de endereços de rede entre a rede interna e as redes externas; III. o sistema de gerenciamento do tráfego; IV. a utilização de barreiras digitais de proteção (“firewall” pessoal) nas estações de trabalho; V. a utilização de barreiras digitais de proteção (“firewall”) entre a rede local e redes externas; VI. a configurações dos elementos de conectividade (“hubs”, “switches” e roteadores); VII. as portas lógicas de acesso aos serviços da rede local nas estações de trabalho e nos equipamentos servidores de rede; VIII. as falhas no sistema operacional e aplicativos disponibilizados na rede; e IX. as falhas nos serviços disponibilizados na rede. c) Comparações com Análises Anteriores Esta parte tem como propósito efetuar uma comparação dos riscos avaliados nas partes 1 e 2 com os riscos apresentados nas análises anteriores, caso existam. Esta comparação irá permitir uma contínua avaliação do aumento ou da redução dos impactos nos requisitos básicos de SIDRL. Para cada um dos tópicos apresentados nas partes 1 e 2 deverá ser atribuído uma nota subjetiva (nível de segurança) variando de 0 (zero) a 10 (dez), referente ao nível de 55 segurança oferecido por determinado item avaliado. O nível zero se refere à total inexistência de segurança (risco extremo para a SID) e o nível dez se refere a um item seguro (sem risco identificado para a SID). A comparação será feita, portanto, entre as notas atribuídas nas análises atual e anterior, justificando as causas de melhorias ou pioras avaliadas. Como comentado no início deste capítulo, no próximo, está descrita uma discussão do estudo comparativo de conformidade dos procedimentos de SI da MB aos controles gerenciais de SI. 56 6 DISCUSSÃO 6.1 Política de Segurança da Informação Após a avaliação preliminar de conformidade dos procedimentos de SI da MB aos controles gerenciais de SI no capítulo anterior são apresentadas nas tabelas seguintes um resumo das conformidades de cada controle. Tabela 1: Conformidade da “Política de Segurança da Informação” Previsto na Norma ABNT NBR ISO/IEC Conformidade Observações 17799:2005 Conceituação da segurança da informação, as metas globais, escopo e importância da segurança como Constante nos itens Sim mecanismo que habilita o compartilhamento de 4.2 e 5.1.2. informações. Quanto ao comprometimento da direção, apoiando as metas Sim e princípios da segurança. Constante nos itens Declaração do comprometimento da direção, 4.2 e 5.1.2 apoiando as metas e princípios da segurança, alinhado com os objetivos estratégicos do negócio. Não especifica quanto “alinhado com os objetivos Não estratégicos do negócio”. Constante nos itens 4.2 e 5.1.2. Estrutura para estabelecer os objetivos de controle e Constante nos itens os controles, incluindo a análise, avaliação e Sim 4.2, 5.1.2 e 5.2.2. gerenciamento de riscos. Breve explanação das políticas, princípios, normas e Constante nos itens requisitos de conformidade da segurança da Sim 4.2 e 5.1.2. informação específico para a organização. Definição de responsabilidades gerais e específicas Constante nos itens na gestão da segurança da informação, incluindo o Sim 4.2, 5.1.2 e 5.2.2. registro de incidentes de segurança. Referências à documentação que possam apoiar a Constante nos itens Sim política. 4.2 e 5.1.2 57 Após a análise do contido na DGMM 0520(17) sobre ISID e a comparação com o contido na norma ABNT NBR ISO/IEC 17799:2005(1), pode-se afirmar que o conceito de política de segurança da DGMM 0520(17) atende a norma citada. Ela contempla itens da política de segurança da informação contida na norma ABNT NBR ISO/IEC 17799:2005(1) como, por exemplo, a definição de um responsável pela ISID e a sua periodicidade de revisão, contudo extrapola ao conceito ao incluir normas e procedimentos em seu conteúdo. De acordo com Allemand et al(13): “as políticas estão no nível estratégico da organização, como orientadora dos processos, os demais elementos norteadores como padrões, rotinas e procedimentos têm a finalidade de detalhar as políticas, definindo com maior precisão como implementar a política, qual padrão e procedimentos podem ser usados. Importante observar que os padrões, procedimentos e rotinas são independentes, embora mantenham ligações”. Assim, a política deve ser entendida como elemento estratégico, normas estão abaixo se posicionando no nível tático e ainda mais abaixo estão os procedimentos, no nível operacional, conforme Figura 6. Figura 6: Níveis entre Política, Normas e Procedimentos A política é o nível mais elevado e explicita sobre o que fazer, normas e o procedimentos estão em níveis abaixo e explicam o como fazer. Ao mesmo tempo em que a DGGM 0520(17) determina que a ISID deva ser simples, objetiva, de fácil compreensão e aplicação e deve possuir grau de sigilo ostensivo, para todos os usuários, ela enfatiza a necessidade da ISID possuir uma séria de normas, regras e procedimentos. Como exposto, os procedimentos estão em um nível operacional bem mais abaixo que a política que está em um nível estratégico. 58 A ISID tem até como objetivo definir procedimentos que garantam requisitos os básicos de SIDRL. Seria mais conveniente que tivesse como objetivo algo mais próximo de prover orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio de cada OM e com as leis e regulamentações importantes. 6.2 Organizando a Segurança da Informação Após a apresentação e análise do capítulo 2 da documentação DGMM 0520(17) e o conteúdo dos Apêndices B e C, pode-se constatar que a MB atende ao objetivo da Infra-estrutura da segurança da informação e das Partes Externas (apresentadas no capítulo 4) quais sejam, gerenciar a segurança da informação dentro da MB desde a organização de nível hierárquico mais alto até o usuário final (cliente) e manter a segurança dos recursos de processamento da informação e da informação da organização, que são acessados, processados, comunicados ou gerenciados por partes externas. Tabela 2: Conformidade da "Organização da Segurança da Informação" Previsto na Norma ABNT NBR ISO/IEC Conformidade Observações 17799:2005 Uma estrutura de gerenciamento seja estabelecida Constante nos itens para iniciar e controlar a implementação da Sim 4.5, 4.9 e 5.2.2. segurança da informação dentro da organização. A direção aprove a política de segurança da informação, atribua as funções da segurança, Constante nos itens Sim coordene e analise criticamente a implementação da 4.5, 4.9 e 5.2.2. segurança da informação por toda a organização. Se necessário, uma consultoria especializada em Constante nos itens segurança da informação seja estabelecida e Sim 5.2.2.3 e 6.2. disponibilizada dentro da organização. Contatos com especialistas ou grupos de segurança da informação externos, incluindo autoridades relevantes, sejam feitos para se manter atualizado Constante no item com as tendências do mercado, normas de Sim 6.2. monitoração e métodos de avaliação, além de fornecer apoio adequado, quando estiver tratando de incidentes de segurança da informação. Um enfoque multidisciplinar na segurança da Constante no item Sim informação seja incentivado. 6.2. A segurança dos recursos de processamento da informação e da informação da organização não seja Constante no item reduzida pela introdução de produtos ou serviços Sim 5.2.2. oriundos de partes externas. 59 Previsto na Norma ABNT NBR ISO/IEC Conformidade Observações 17799:2005 Qualquer acesso aos recursos de processamento da informação da organização e ao processamento e Constante no item Sim comunicação da informação por partes externas seja 5.2.2. controlado. Controles sejam acordados e definidos por meio de Sim. Constante no Sim um acordo com a parte externa. item 6.2. Seja feita uma análise/avaliação dos riscos envolvidos para determinar as possíveis implicações na segurança e os controles necessários, onde existir uma necessidade de negócio para trabalhar com Constante nos itens partes externas, que possa requerer acesso aos Sim 5.2.2.5, 5.2.2.6 e recursos de processamento da informação e à 5.32. informação da organização, ou na obtenção e fornecimento de um produto e serviço de uma parte externa ou para ela. Duas observações devem ser feitas com relação ao item d) da Infra-estrutura da segurança da informação no que tange ao “contatos com especialistas ou grupos de segurança da informação externos quando estiver tratando de incidentes de segurança da informação”. A primeira: Por questões de segurança, as atividades de suporte e resposta aos incidentes de TI estão concentradas no CTIM, não sendo autorizado o acesso a RECIM de pessoas externas à MB ou qualquer empresa sem a autorização formal do EMA. Além da questão de segurança, por determinação da Doutrina de SID da MB, contida na publicação EMA-416(22), os Órgãos de Direção Especializada (ODE) devem adotar as medidas necessárias para promover a eliminação da dependência externa da MB em relação à SID. A segunda: Anualmente é realizado o Simpósio de Tecnologia da Informação da Marinha que tem como propósito reunir representantes da MB, das demais Forças Armadas, de Organizações Governamentais, do meio acadêmico e do setor produtivo (bens e serviços) que desenvolvam atividades nas áreas de Tecnologia da Informação, com intuito de: a) contribuir para a divulgação do estado da arte da ciência e da tecnologia nessas áreas; b) promover o intercâmbio de informações; c) possibilitar a identificação de possíveis sinergias entre os envolvidos, contribuindo para fortalecer os laços entre os setores acadêmico, produtivo e de defesa; e 60 d) abrir um canal para aporte de recursos financeiros mediante desenvolvimento de tecnologia de uso dual ou diretamente para os projetos em desenvolvimento. O Simpósio de Tecnologia da Informação da Marinha é aprovado pelo Conselho de Ciência e Tecnologia da Marinha, dentro das atividades de C&T, sendo organizado pelo CASNAV e supervisionado pelo EMA. 6.3 Gestão de Riscos Após a análise do contido na DGMM 0520(17) sobre gestão de riscos e a comparação com o contido na norma ABNT NBR ISO/IEC 17799:2005(1), pode-se afirmar que a MB prevê controles de modo a gerar um processo de monitoramento dos riscos a que a informação a ser protegida está submetida de acordo com o seu valor estimado. Tabela 3: Conformidade da "Gestão de Riscos" Previsto na Norma ABNT NBR ISO/IEC Conformidade Observações 17799:2005 As análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios Constante no Sim para aceitação dos riscos e dos objetivos relevantes para item 5.3.2. a organização. Os resultados orientem e determinem as ações de gestão apropriadas e as prioridades para o gerenciamento dos riscos de segurança da informação, e para a Não – implementação dos controles selecionados, de maneira a proteger contra estes riscos. A análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de Constante no riscos) e o processo de comparar os riscos estimados Sim item 5.3.2. contra os critérios de risco para determinar a significância do risco. As análises/avaliações de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação Constante no Sim de risco. Essas análises/avaliações de riscos devem ser item 5.3.2. realizadas de forma metódica, capaz de gerar resultados comparáveis e reproduzíveis. A análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para Constante no ser eficaz e inclua os relacionamentos com as Sim item 5.3.2. análises/avaliações de riscos em outras áreas, se necessário. A MB não possui uma publicação específica para gestão de riscos, contudo a DGMM 0520(17), no seu capítulo 4, traz orientações de como se realizar o “registro e análise 61 das vulnerabilidades e riscos” que tem por objetivo avaliar as possíveis ameaças à rede local e os respectivos danos às informações digitais. Este é composto por “análise de risco e vulnerabilidades físicas” e “análise de risco e vulnerabilidades lógicas”. Contudo, a avaliação subjetiva sobre análise de risco e vulnerabilidades, contida na letra c do item 5.3.2.4, não é satisfatória por se limitar a análise e a avaliação não percorrendo as outras etapas de uma gestão de riscos. É recomendável que a formulação da metodologia de análise e avaliação de riscos esteja baseada em critérios objetivos visando a continuidade e coerência de resultados. A gestão de riscos envolve a Análise, Avaliação, Tratamento, Aceitação e Comunicação do Risco. A Análise de risco fornece a base para a Avaliação do risco, que por sua vez é um processo sistemático de uso de informações e conhecimentos para estimar os riscos (probabilidade de um evento e sua conseqüência). Essa avaliação deve ser utilizada para apoiar a decisão de como se tratar o risco (evitar, otimizar, transferir ou reter). O que torna um risco aceitável ou inaceitável? Existem métricas que apóiam a avaliação do risco. Normalmente, um risco é passível de aceitação quando o custo para a implementação dos seus controles supera os valores das conseqüências oriundas da ocorrência do evento. Encerrada esta etapa, no próximo capítulo são realizadas as conclusões finais e as sugestões para trabalhos futuros. 62 7 CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS A norma ABNT NBR ISO/IEC 17999:2005(1) estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. Conforme já apresentado, o administrador público não é obrigado a cumprir esta norma, seja do ponto de vista legislativo, por meio de um decreto ou lei; ou do ponto de vista normativo, como uma instrução normativa; ou ainda uma determinação de um órgão como o TCU. Contudo, a Instrução Normativa GSI nº 01, de 13 de junho de 2008(2), aprova orientações para Gestão de Segurança da Informação e Comunicações que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta. No caso mais específico da MB, este trabalho procura identificar se a instituição segue orientações para Gestão de Segurança da Informação e Comunicações. Nesse contexto, foi estabelecido o objetivo geral de verificar se os instrumentos normativos internos da MB sobre Segurança da Informação estão em conformidade com a norma ABNT NBR ISO/IEC 17999:2005(1) e, conseqüentemente, estabelecidos os seguintes objetivos específicos: a) efetuar uma revisão da documentação da MB relacionada com a Segurança da Informação; b) estabelecer os controles para verificação; e c) realizar o processo de verificação de conformidade. Para atingir esses objetivos foram estabelecidos os controles, dentro dos existentes na norma ABNT NBR ISO/IEC 17999:2005(1), a Política de Segurança da Informação, Organizando a Segurança da Informação e Gestão de Riscos. Com relação ao controle “Política de Segurança da Informação”, constata-se que a MB leva em consideração a necessidade da existência do documento “Política da Segurança da Informação”. Contudo, como já discutido, política é um documento de alto nível e, portanto não deve conter normas ou procedimentos. Deve estabelecer regras de alto nível apresentando “o que deve ser feito” e “por que”, nunca o “como fazer”. Desse modo, sugere-se que a DGMM 0520(17) inclua a criação de documento voltado para um “Programa de Segurança da Informação” no qual estejam incluídos a política de segurança de informação, as normas, regras e procedimentos e a distinção entre os mesmos. 63 Desse modo, seria possível a desvincular as normas, regras e procedimentos da política de segurança da informação (ISID na MB). Além disso, sugere-se também que a ISID tenha como objetivo algo mais próximo de “prover orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio de cada OM e com as leis e regulamentações importantes”. Com relação ao controle “Organizando a Segurança da Informação, pode-se constatar que a MB atende ao objetivo da Infra-estrutura da segurança da informação e das Partes Externas e não há sugestões a serem feitas. Cabe ressaltar a atenção e preocupação prestada pela MB decorrentes das mudanças tecnológicas e de comportamento provocadas pela revolução da TI, principalmente na Segurança da Informação. As ações mais recentes da MB estão sintetizadas nos itens 4.8 e 4.9 deste trabalho. Eles revelam que a MB procura se estruturar, adequar e se manter atualizada frente às constantes inovações de TI de modo a estar preparada para se contrapor as possíveis ameaças no campo da SI. Já com relação ao controle “Gestão de Riscos”, a MB não leva em consideração todas as etapas dessa Gestão. Ela é composta por Análise, Avaliação, Tratamento, Aceitação e Comunicação do Risco. Conforme consta na norma ABNT NBR ISO/IEC 17999:2005(1), os resultados da Análise e Avaliação devem orientar e determinar as ações de gestão apropriadas e as prioridades para o gerenciamento dos riscos de segurança da informação, e para a implementação dos controles selecionados, de maneira a proteger contra estes riscos. A DGMM 0520(17) apresenta as vulnerabilidades físicas e lógicas com as respectivas atribuições de graus de segurança sem avançar nos demais elementos que fazem parte de uma gestão de riscos. Sugere-se a implementação de um modelo que apresente uma gestão de risco considerando não somente a Análise e Avaliação, mas também o Tratamento, Aceitação e Comunicação do Risco. Sugere-se também que análise e avaliação de riscos esteja baseada em critérios objetivos visando a continuidade e coerência de resultados. Por meio deste trabalho de conformidade, conclui-se que a MB possui documentação com uma estrutura de SI, formalmente instituída; está estruturada de forma a se adequar e manter atualizada frente às constantes inovações de TI, de modo a estar preparada para se contrapor as possíveis ameaças no campo da SI e pôde agregar conhecimento à MB em SI, motivado pelo interesse do autor com o tema e pelo vínculo que possui com a instituição. Conclui-se também que a MB desenvolve os procedimentos de segurança da informação e práticas eficientes de gestão da segurança da informação. 64 Como este trabalho não esgotou a conformidade dos demais controles constates na norma ABNT NBR ISO/IEC 17999:2005(1) com as publicações existentes na MB, sugere-se como temas para trabalhos futuros a conformidade desses controles (ou de alguns deles) com as publicações da MB. A metodologia usada neste trabalho pode ser usada não só em outros controles, como também, em outras organizações da APF. 65 REFERÊNCIAS 1. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 17799:2005: Tecnologia da informação – Técnicas de segurança. [Online] ABNT, 28 de 8 de 2006. [Citado em: 10 de 10 de 2008.] NBR ISO/IEC 17799:2005. 2. Instrução Normativa GSI nº 1. Diário Oficial da União - seção 1. [Online] 18 de junho de 2008. http://www.planalto.gov.br/gsi/cgsi/instrucao_normativa_01_cgsi.pdf. 3. Decreto 3.503. http://www.planalto.gov.br/ccivil_03/decreto/D3503.htm. [Online] [Citado em: 14 de novembro de 2008.] http://www.planalto.gov.br/ccivil_03/decreto/D3503.htm. 4. COSTA, M.M. A Gestão Eletrônica de Documentos no Estado. Monografia. Brasília : FGV, 2004. 5. CASSARRO, A. C. Sistemas de informação para tomadas de decisões. 3. ed. São Paulo : Pioneira, 1999. 6. TURBAN, E., MCLEAN, E. e WETHERBE, J. Tecnologia da Informação para Gestão 3ª Ed. Porto Alegre : Bookman, 2004. ISBN 8536303417 . 7. MCGARRY, K. O contexto dinâmico da informação. Brasília : Briquet de Lemos, , 1999. ISBN 8585637129. 8. DAVENPORT, T.H. Ecologia da Informação. São Paulo : Futura, 2000. ISBN 8586082724. 9. TAKAHASHI, T. Sociedade da informação: livro verde. Brasília : Ministério de e Tecnologia, 2000. 10. BAUER, C.A. Política de Segurança da Informação de Redes Corporativas. Monografia. Novo Hamburgo : s.n., 2006. 11. PELTIER, T. R. Information Security Poliies and Procedures: A practitioner’s reference. Second Edition. s.l. : CRC Press, 2004. ISBN: 0849399963. 12. NIST. NIST, Information Security. [Online] U.S. Department of Commerce, 2006. [Citado em: 13 de 09 de 2008.] http://www.nist.gov. 13. ALLEMAND, M., NETTO, G.O. e FREIRE, P.A.F. Gestão Operacional de Segurança da Informação. Brasília : UnB, 2007. 14. KRUTZ, R.L. VINES, R.D. The CISSP Prep Guide: Mastering the Ten Domains of ComputerSecurity. s.l. : Jonh Wiley & Sons, 2001. 66 15. República, Gabinete de Segurança Institucional da Presidência da. Relatório Final do GT Metodologia de Gestão de Segurança da Informação para a APF 30 de maio. Brasil : GSI, 2006. 16. MICHAELIS. Moderno Dicionário da Língua Portuguesa.São Paulo. Companhia Melhoramentos, 1998. ISBN 8506027594, 9788506027592. 17. Marinha, Diretoria Geral do Material da. DGMM 0520: Normas para a Gestão de Segurança das Informações Digitais em Redes Locais. Norma. Rio de Janeiro : Marinha do Brasil, 2004. 18. Marinha, Diretoria De Comunicações E Tecnologia da Informação da. BONO nº504. Boletim de Ordens e Notícias Especial. 23 de 06 de 2008. 19. Armada, Estado-Maior da. BONO nº748. Boletim de Ordens e Notícias Especial. 7 de 11 de 2007. 20. Marinha, Diretoria De Comunicações E Tecnologia da Informação da.Portaria N° 14. 16 de 01 de 2008. 21. Navais, Comando de Operações. COMOPNAVINST nº34-02B. Normas para Segurança Orgânica. Norma. Rio de Janeiro : Marinha do Brasil, 9 de 7 de 2003. 22. Armada, Estado-Maior da. EMA nº416. Doutrina de Tecnologia da Informação da Marinha. Brasília : Marinha do Brasil, 18 de 12 de 2007. 67 APÊNDICE A DOCUMENTAÇÃO SOBRE SI NA MB Publicação Assunto Propósito Estabelecer as normas para a salvaguarda de materiais controlados, dados, informações, documentos e materiais sigilosos na MB, bem como das áreas e instalações onde tramitam, incluindo os procedimentos das Comissões de Avaliação para a sua renovação, reclassificação, desclassificação e autorização de acesso. EMA 414 Normas para a salvaguarda de materiais controlados, dados, informações, documentos e materiais sigilosos na Marinha EMA 416 (CONFIDENCIAL) Doutrina de tecnologia da informação da Marinha. Estabelecer a Doutrina de Tecnologia da Informação da Marinha, enunciar seus conceitos, princípios básicos e diretrizes. EMA 130 VOL II – 3ª Revisão Lista P8 (Processamento de dados) Manual de Visitas, Inspeções e Reuniões Funcionais da Marinha Estabelecer as instruções básicas para a realização de visitas do Almirantado, inspeções administrativas-militares, reuniões funcionais e visitas técnico-funcionais da Marinha. Normas administrativas telecomunicações Disseminar normas e procedimentos técnicoadministrativos adotados pela Diretoria de Telecomunicações da Marinha, no que tange às atividades técnicas e de gerência superior do SISCOM atribuída ao Setor de Material da Marinha. DGMM 0501 DGMM 0520 COMOPNAVINST No 3402B (CONFIDENCIAL) DCTIMARINST 21-01A técnicode Normas para a gestão de segurança das informações digitais em redes locais Estabelecer normas, procedimentos e instruções que deverão reger as atividades relacionadas à Segurança das Informações Digitais em Redes Locais da MB (SIDRL), complementando as instruções contidas em outras publicações correlatas em uso, devendo ser de conhecimento de todo o pessoal credenciado e autorizado a operar e manusear equipamentos conectados a alguma rede local da MB. Segurança Orgânica Detalhar a organização e as medidas de coordenação e fiscalização para as atividades de Segurança Orgânica (SegOrg) na MB, de modo a contribuir para o aprimoramento na sua implementação, bem como para o desenvolvimento de uma efetiva mentalidade de SegOrg na MB. Forense Computacional e Registros de Acesso à Internet Estabelecer os procedimentos para as solicitações das atividades de perícia que envolvam informações armazenadas em algum tipo de recurso computacional de propriedade da MB, como também padronizar a forma de requisição e disponibilização de informações sobre acessos à Internet por meio da RECIM. 68 APÊNDICE B TERMO DE RESPONSABILIDADE INDIVIDUAL MARINHA DO BRASIL (NOME DA OM) TERMO DE RESPONSABILIDADE INDIVIDUAL (Local: cidade), _____ de ___________ de ______ Pelo presente instrumento, eu, (nome completo, NIP ou no da identidade) , perante a Marinha do Brasil, doravante denominada MB, na qualidade de usuário do ambiente computacional de propriedade daquela Instituição, declaro estar ciente das normas de segurança das informações digitais da OM, segundo as quais devo: (a) tratar a informação digital como patrimônio da MB e como um recurso que deva ter seu sigilo preservado, em consonância com a legislação vigente; (b) utilizar as informações disponíveis e os sistemas e produtos computacionais, dos quais a MB é proprietária ou possui o direito de uso, exclusivamente para o interesse do serviço; (c) preservar o conteúdo das informações sigilosas a que tiver acesso, sem divulgá-las para pessoas não autorizadas; (d) não tentar obter acesso à informação cujo grau de sigilo não seja compatível com a minha Credencial de Segurança (CREDSEG) ou que eu não tenha autorização ou necessidade de conhecer; (e) não compartilhar o uso de senha com outros usuários; (f) não me fazer passar por outro usuário usando a sua identificação de acesso e senha; (g) não alterar o endereço de rede ou qualquer outro dado de identificação do microcomputador de meu uso; (h) instalar e utilizar em meu microcomputador somente programas homologados para uso na MB e que esta possua as respectivas licenças de uso ou, no caso de programas de domínio público, mediante autorização formal do Oficial de Segurança de Informações Digitais (OSID) da OM; (i) no caso de exoneração, demissão, licenciamento, término de prestação de serviço ou qualquer tipo de afastamento, preservar o conteúdo das informações e documentos sigilosos a que tive acesso e não divulgá-los para pessoas não autorizadas; (j) guardar segredo das minhas autenticações de acesso (senhas) utilizadas no ambiente computacional da OM, não cedendo, não transferindo, não divulgando e não permitindo o seu conhecimento por terceiros; (k) não utilizar senha com seqüência fácil ou óbvia de caracteres que facilite a sua descoberta e não escrever a senha em lugares visíveis ou de fácil acesso; 69 (l) utilizar, ao me afastar momentaneamente da minha estação de trabalho, descanso de tela (“screen saver”) protegido por senha, a fim de evitar que alguém possa ver as informações que estejam disponíveis na tela do computador; (m) ao me ausentar do local de trabalho, momentaneamente ou ao término de minhas atividades diárias, certificar-me de que a sessão aberta no ambiente computacional com minha identificação foi fechada e as informações que exigem sigilo foram adequadamente salvaguardadas; (n) seguir as orientações da área de informática da OM relativas à instalação, à manutenção e ao uso adequado dos equipamentos, dos sistemas e dos programas do ambiente computacional; (o) comunicar imediatamente ao meu superior hierárquico e ao Oficial de Segurança das Informações Digitais (OSID) da OM a ocorrência de qualquer evento que implique ameaça ou impedimento de cumprir os procedimentos de segurança estabelecidos; (p) responder, perante a MB, as auditorias e o Oficial de Segurança das Informações Digitais (OSID) da OM, por acessos, tentativas de acessos ou uso indevido da informação digital realizados com a minha identificação ou autenticação; (q) não praticar quaisquer atos que possam afetar o sigilo ou a integridade da informação; (r) estar ciente de que toda informação digital armazenada e processada no ambiente computacional da OM pode ser auditada, como no caso de páginas informativas (“sites”) visitadas por mim; (s) não transmitir, copiar ou reter arquivos contendo textos, fotos, filmes ou quaisquer outros registros que contrariem a moral, os bons costumes e a legislação vigente; (t) não transferir qualquer tipo de arquivo que pertença à MB para outro local, seja por meio magnético ou não, exceto no interesse do serviço e mediante autorização da autoridade competente; (u) estar ciente de que o processamento, o trâmite e o armazenamento de arquivos que não sejam de interesse do serviço são expressamente proibidos no ambiente computacional da OM; (v) estar ciente de que a MB poderá auditar os arquivos em trâmite ou armazenados nos equipamentos do ambiente computacional da OM sob meu uso ou responsabilidade; (w) estar ciente de que o correio eletrônico é de uso exclusivo para o interesse do serviço e qualquer correspondência eletrônica originada ou retransmitida no ambiente computacional da OM deve obedecer a este preceito; e (x) estar ciente de que a MB poderá auditar as correspondências eletrônicas originadas ou retransmitidas por mim no ambiente computacional da OM. Desta forma, estou ciente da minha responsabilidade pelas conseqüências decorrentes da não observância do acima exposto e da legislação vigente. ________________________________ Assinatura Nome Completo, NIP ou no da identidade ___________________________________________________________________________ 70 APÊNDICE C TERMO DE RECEBIMENTO DE ESTAÇÃO DE TRABALHO MARINHA DO BRASIL (NOME DA OM) TERMO DE RECEBIMENTO DE ESTAÇÃO DE TRABALHO (Local: cidade), _____ de ___________ de ______ Pelo presente instrumento, eu, (nome completo, NIP ou no da identidade) , perante a Marinha do Brasil, doravante denominada MB, na qualidade de usuário do ambiente computacional de propriedade daquela Instituição, declaro ter recebido desta OM uma estação de trabalho com as seguintes configurações: I – de identificação: (a) endereço IP: (especificar o endereço IP da máquina); (b) endereço físico de rede: (especificar a identificação exclusiva da placa de rede da máquina); e (c) identificação da máquina: (especificar o nome e outros dados de identificação da máquina). II – de instalação de programas: (a) (especificar cada um dos programas pré-instalados); (b) ... III – de senha de acesso à máquina (“boot”), inicialmente estabelecida pelo Administrador da Rede Local (ADMIN) da OM e por mim alterada, sendo agora de meu conhecimento exclusivo; e IV – de senha de configuração (“setup”), de conhecimento exclusivo do ADMIN e à qual não devo tomar conhecimento. Assim, quaisquer alterações ou inclusões nos dados acima são de minha inteira responsabilidade e devem ser previamente autorizadas pelo Oficial de Segurança das Informações Digitais (OSID), conforme previsto nas normas de Segurança das Informações Digitais da OM. Estou ciente que o ADMIN (executou / não executou) a “formatação” prévia dos discos rígidos da referida estação de trabalho e sua correspondente reconfiguração e que, a qualquer momento e sempre que julgar necessário, poderei solicitar ao ADMIN auxílio para a realização dessa “formatação”, de modo a garantir a configuração padronizada da OM e a inexistência de arquivos ou programas irregulares. _________________________________ Assinatura Nome Completo, NIP ou no da identidade 71 APÊNDICE D HISTÓRICO DA REDE LOCAL – INCIDENTES CONFIDENCIAL MARINHA DO BRASIL NOME DA OM HISTÓRICO DA REDE LOCAL – INCIDENTES INCIDENTE NA REDE LOCAL No: ________________ (a ser preenchido pelo OSID) 1- Responsável pela informação do incidente: ____________________________________________ Função: ________________________________________________________________________ 2- Data e hora do Incidente: ______ / ________ / ________ - ________ horas Data e hora do relato: ______ / ________ / _________ - ________ horas 3- Relato do incidente: (relatar detalhadamente o incidente, utilizando quantas linhas forem necessárias) 4- Comentários, Análise sobre o Incidente e respectivas correções: (escrever detalhadamente, utilizando quantas linhas forem necessárias) 5- Afetou algum Recurso Computacional Crítico (RCC) Nível 1? ( )sim ( )não Data: _____/______/______ Assinatura do OSID: ___________________________________________________ Ratificação pelo Titular da OM: ___________________________________________ CONFIDENCIAL - no da página - 72 APÊNDICE E ANÁLISE DE RISCOS E VULNERABILIDADES CONFIDENCIAL MARINHA DO BRASIL NOME DA OM HISTÓRICO DA REDE LOCAL - ANÁLISE DE RISCOS E VULNERABILIDADES ANÁLISE DE RISCOS E VULNERABILIDADES no : ______- Data ___/___/___ Identificação do Elaborador: __________________ PARTE 1 - VULNERABILIDADES FÍSICAS Item Avaliado Vulnerabilidade avaliada F.1 - Infra-estrutura elétrica da sala dos F.1.1 - O prédio possui pára-raios, e o servidores. cabo condutor deste está localizado a menos de 20m da sala dos servidores. Existe sistema de aterramento com manutenção deficiente. F.1.2 - A sala dos servidores possui uma rede elétrica estabilizada, protegida contra falta de energia por um sistema “No-Break”. Existe grupo moto-gerador que suporte interrupções prolongadas de energia e são realizados, periodicamente, testes nesses equipamentos F.2 - Meio físico utilizado na rede local. F.2.1 - Os cabos UTP da rede local estão passando por canaletas condutoras inadequadas e/ou estão desprotegidos, em paralelo à rede elétrica. Nível de Segurança F.1.1 = nível de segurança 6 F.1.2 = nível de segurança 10 F.2.1 = nível de segurança 6 PARTE 2 - VULNERABILIDADES LÓGICAS Item Avaliado Vulnerabilidade avaliada L.1 - Portas TCP/UDP de acesso aos L.1.1 - Foi verificada quantidade serviços nos servidores. excessiva de portas TCP/UDP abertas, desnecessariamente, no servidor de correio eletrônico. Não existe controle sobre quais portas TCP/UDP fechar ou deixar abertas. L.2 - Barreiras de proteção (“firewall”) L.2.1 - Apenas 10% das estações de nas estações de trabalho. trabalho possuem “firewall” pessoal. L.2.2 - Não há uma padronização para os filtros dos firewall de estação. Nível de Segurança L.1.1 = nível de segurança 0 L.2.1 = nível de segurança 1 L.2.2 = nível de segurança 3 PARTE 3 - COMPARAÇÃO COM ANÁLISE ANTERIOR Item Avaliado Vulnerabilidade avaliada Níveis de Segurança Causas para melhoria ou piora F.1- Infra-estrutura elétrica da F.1.1 - O prédio possui pára- F.1.1 – Anterior: nível de F.1.1 - A manutenção sala dos servidores. raios, e o cabo condutor deste segurança 8. deficiente piorou a situação está localizado a menos de Atual: nível de segurança 6. do sistema de aterramento. 20m da sala dos servidores. Existe sistema de aterramento com manutenção deficiente. OSID CONFIDENCIAL - no da página -
Documentos relacionados
Balanço Social 2008_Completo_Baixa
O ano de 2008 foi um dos mais difíceis da atual gestão, do ponto de vista econômico-financeiro, por conta da falta de reajuste dos contratos com os governos municipal, estadual e federal. O contrat...
Leia mais