Apresentação...........................................................
Transcrição
Apresentação...........................................................
Sumário Apresentação........................................................................................................................................ 5 Organização do Caderno de Estudos e Pesquisa ................................................................................ 6 Organização da Disciplina ................................................................................................................... 7 Introdução ............................................................................................................................................ 9 Unidade I – Conceitos e Padrões de Segurança da Informação ........................................................ 11 Capítulo1– HistóricodasNormasdeSegurançadaInformação............................................... 11 Capítulo2– ConceituaçãoBásicadeSegurançadaInformação................................................ 12 Capítulo3– AspectosdeConformidade(LegislaçãoInternacionaleBrasileira).......................... 13 Capítulo4– PadrõeseNormas(NBRISO/IEC17799, RFC2196,ISO/IEC15408,COBIT)....................................................................... 14 Capítulo5– PlanejamentodeSegurançadaInformação........................................................... 17 Capítulo6– ModelosdeGestãodeSegurançadaInformação................................................... 18 Unidade II – Análise de Riscos ............................................................................................................ 21 Capítulo7– IntroduçãoeConceitosFundamentaisdeAnálisedeRiscos................................... 21 Capítulo8– ElementosdaAnálisedeRiscos............................................................................. 23 Capítulo9– AbordagensQualitativaeQuantitativanaAnálisedeRiscos.................................. 25 Capítulo10– AnálisedeProcessosemTI................................................................................... 27 Capítulo11– RiscosemProjetosdeSistemasdeInformação..................................................... 29 Capítulo12– RiscosnaContrataçãodeTerceiros...................................................................... 31 Unidade III – Politica de Segurança da Informação ........................................................................... 33 Capítulo13– DefiniçãodoqueéPolíticadeSegurançaesuasExtensões................................... 33 Capítulo14– DefiniçãodosElementosPolítica,NormaseProcedimentos................................... 34 Capítulo15– AImportânciadaPolíticadeSegurançanaEmpresaeseu RelacionamentocomasoutrasÁreas.................................................................... 36 Capítulo16– ComoElaborarumaPolíticadeSegurançadeFormaa AdequaroModeloNBRISO/IEC17799naOrganização......................................... 37 Capítulo17– ComoDivulgar,ConscientizareGarantiraAplicaçãodaPolítica............................ 38 Capítulo18– QuaisosInstrumentosLegaisdeRepreensãoemCasodo nãoCumprimentodaPolítica................................................................................. 39 Apresentação Capítulo19– ComoFazerumaRevisãodaPolíticadeSegurança................................................ Unidade IV – Segurança Física, Planejamento de Contingências e Recuperação de Desastres ........................................................................................... Administração da Segurança da Informação 41 Capítulo20– ConceitosdeSegurançaFísica,Segurançade PerímetroeSegurançaPatrimonial....................................................................... 41 Capítulo21– ElementosespecíficosdeSegurançaFísica, SegurançadePerímetroeSegurançaPatrimonial.................................................. 43 Capítulo22– ConceitoseModelosdePlanosdeContingência, ContinuidadedeNegócioseRecuperaçãodeDesastres......................................... 47 Capítulo23– PráticasdedesenvolvimentodeBusinessImpactAnalysis..................................... 48 Capítulo24– PráticasnodesenvolvimentodosPlanos................................................................ 49 Para (não) finalizar 40 ........................................................................................................................ 50 Referências ........................................................................................................................................... 51 Introdução “A nossa tarefa na vida não é ultrapassar os outros, mas passar à frente de nós mesmos – quebrar os nossos recordes, superar o nosso ontem com o nosso hoje, realizar o nosso trabalho com mais intensidade do que nunca.” (Stuart Johnson) APolíticadeSegurançadaInformaçãotornou-seuminstrumentofundamentalparaasempresasdehoje.Veremosdesde aadoçãodasnormasdeSegurançadaInformação,aconceituaçãobásicadeSegurançadaInformação,veremosoporquê dosaspectosdeconformidadenalegislaçãobrasileiraeinternacional,oplanejamentodeSegurançadaInformaçãoeos modelosdegestãodeSegurançadaInformação. Apósisso,estudaremosaAnálisedeRiscos,começandopelosconceitosfundamentaisdeanálisederiscos,veremosos elementosdaanálise,asabordagensqualitativaequantitativa,aanálisedeprocessosemtecnologiadeinformação,os riscosemprojetosdesistemasdeinformaçãoeosriscosnacontrataçãodeterceiros. Assim,passaremosparaaPolíticadeSegurançadaInformaçãoesuasextensões,oselementosPolítica,normase procedimentosnecessáriose,após,analisaremosaimportânciadaPolíticadeSegurançanaempresaeseurelacionamento comasoutrasáreas,comoelaborarumaPolíticadeSegurançadeformaaadequaromodeloNBRISO/IEC17799na organizaçãoedivulgar,conscientizandoegarantindoaaplicaçãodapolítica. Finalmente,observaremosoqueéequaisoselementosdasegurançafísica,doplanejamentodecontingênciaseda recuperaçãodedesastres,veremososconceitoseummodelosimplificadodePlanosdecontingência,continuidadede negóciosedarecuperaçãodedesastres,algumaspráticassobreopráticasdedesenvolvimentodeBusinessImpact Analysiseterminaremosobservandoaspráticasnodesenvolvimentodosplanos. Unidade I Conceitos e Padrões de Segurança da Informação Capítulo 1 – Histórico das Normas de Segurança da Informação “A verdadeira aprendizagem está intimamente relacionada com o que significa ser humano. Por intermédio da aprendizagem nós nos recriamos, tornamo-nos capazes de fazer o que nunca conseguimos fazer.” (Peter Senge, 1990). Foi criado pelo departamento de comércio e indústria do Reino Unido (DTI), em 1987, um centro de segurança de informaçõesdenominadoCCSC(CommercialComputerSecurityCentre–CentrodeSegurança)oqualtinhaaincumbência decriarnormasdesegurançadeinformaçõesparaaquelepaíse,apartirde1989,forampublicadosdiversosdocumentos comestefim. Em1995,oCCSCpublicouaprimeiraversãodaBritishStandart7799(BS7799-1),conhecidacomo“CodeofPractice forInformationSecurityManagement”,tratandoespecificamentesobresegurançaemtecnologiadainformação.Tal documentocorrespondeuaumCódigodepráticaparagestãodasegurançadainformaçãonasempresasefoichamado deParte1,umavezqueanormaBS7799-1teve,em1998,umasegundapartepublicada. Assim,em1998,oCCSCpublicouumaprimeiraversãodaParte2daBS7799,aBS7799-2,quetratouarespeitodos SistemasdeGestãodaSegurançadaInformação,suasespecificações,sendoumguiaparautilização. Destaforma,podemosdizerqueanormaBritishStandart7799foiumdocumentodisponibilizadoaopúblicoemduas partes,sendoaprimeiraem1995easegundaem1998. Em1999aBS7799-1(Parte1)sofreuumarevisãoqueacresceuconceitosdezoneamentodesegurança,subdividindo emtrêscamadase,naqueleano,sendoestapublicadapeloCCSC. Em2000,baseadonaParte1daBS7799,houveapublicaçãodaversãoinicialdanormaISO/IEC17799,arespeitode segurançaemtecnologiadainformação,seconstituindoemumCódigodePrática. NoBrasil,em2001,foipublicadaaprimeiraversãodanorma,quesechamouNBRISO/IEC17799,sendoumaversão muitosemelhanteaParte1danormainglesaBS7799,tambémcomoumCódigodePrática. OCCSC,em2002,publicouumrevisãodaParte2danormaBS7799(BS7799-2),comrespeitoaGestãodaSegurança daInformação,commaisespecificaçõeseumguiaparasuautilizaçãoprática. Em2005,precisamentenomêsdeagosto,houve,noBrasil,umanovapublicaçãodeumasegundaversãodanormaNBR ISO/IEC17799,ajustando-aasatualizaçõesocorridasanteriormente. Naquelemesmoano(2005),nomêsdeoutubro,foipublicadaanormaISO27001apresentandoatécnicasdesegurança erequisitosparaumsistemadegestãodaSegurançadaInformação. Porfim,emsetembrode2001,aABNThomologouaversãobrasileiradanorma,denominadaNBRISO/IEC17799. Conceitos e Padrões de Segurança da Informação Unidade I Capítulo 2 – Conceituação Básica de Segurança da Informação “Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento (COMITÊ GESTOR DA SEGURANÇA DA INFORMAÇÃO, 2003). SegundoGODOY(2004),aoserconsiderandoovalordainformaçãonasociedadeatualeoníveldedependênciadas empresas e de seus executivos na tecnologia e nos sistemas de informação, podemos compreender porquê o tema “segurança da informação” ganhou papel de destaque nas empresas. De fato, os altos índices de informatização, conectividadeecompartilhamentodedadoscontribuíramparaaumentarasvulnerabilidadesdossistemascorporativos quegerenciamainformação.Comisso,incidentesquelevamàperdadedados,ouindisponibilidadedeserviços,passaram aafetardiretamenteosresultadosdonegócioeovalordasempresas. ConformeanormaISO/IEC/17799(2001),podemoscaracterizarasegurançadeinformaçõescomoapreservaçãoda: – confidencialidade(informaçãoacessadaapenasporquemfoipreviamenteconcedidooacesso); – integridade(informaçõesemétodosdeprocessamentopreservadosemsuainteirezaeexatidão); Administração da Segurança da Informação – disponibilidade (garantia que usuários autorizados acessem às informações e sistemas quando for necessário). Conceitos e Padrões de Segurança da Informação Unidade I Capítulo 3 – Aspectos de conformidade (legislação internacional e brasileira) “... uma norma tem o propósito de definir regras, padrões e instrumentos de controle que dêem uniformidade a um processo, produto ou serviço” Sêmola (2003). SegundoANDERSON(2001),duranteséculos,oslimitesdapropriedadeedaprivacidadeforamdefinidoseprotegidos atravésdousodecadeados,cercas,assinaturaselacres,esuportadosporumaamplagamadeinvençõessociaisque incluíamacordosinternacionais,legislaçõesnacionaisou,apenascostumeseregrasmoraiseéticas. Contudo,comostratadosdecomércioe,maisrecentemente,comaGlobalização,asempresasperceberamqueprecisavam deformasquefacilitassemessesistemacomplexodetrocasconstantesdebenseserviços,atravésdautilizaçãoda moedasafimdeconcretizaremsuasrelaçõescomerciaisefinanceiras.Diantedisso,ésaudávelquetodasasempresas procuremumabasecomumquefaciliteasuainteraçãoepossaaumentaraconfiançaepossambuscarelementose padrõesparaaumentarsuacompetitividadeereconhecimentomercadológico,procurandodiferenciaiscompetitivosnão apenasanívellocal,masanívelmundial. Apartirdesseavançoseviuanecessidadedequenormassurgissemparasugerirbasescomuns,cadaqualcomasua especificidade,E,assim,foramsurgindocritérios,padrõeseinstrumentosdecontrole,osquaispodiamseraplicádos parcialmenteoutotalmenteemfunçãodanaturezadecadanegócio.Estesforamaospoucoscriandoumaculturae recebendooreconhecimentomundialdediversossegmentosespecíficos,sobretudonosquemaisserecentiampela antigafaltadepadrões. Àssim,namedidaqueosnegóciospassaramaseutilizarmaisdastecnologiasdeinformaçãoafimdesuportarseus processosprodutivoseoperacionais,ainformaçãofoisetornandocadavezmaisimportanteparaasempresasetêmse tornadoumingredientevitalasobrevivênciaeacontinuidadedasorganizações,sendoqueaproteçãodessasinformações passaramaserprimordiaisaoseusucesso. Hoje,atecnologiadainformaçãodeixoudeserumameraauxiliarnosprocessosoperacionaisepassouaserativanas relaçõescomerciaiseaprotagonizarodesenvolvimentodasempresas,servindodecanalparaatrocadeinformações e intermediadora das transações comerciais. Claro que, para tanto, é necessária uma grande integração do parque tecnológico,quemesmosendoextremamenteheterogêneo,tembuscadoformardeaumentarsuainter-conectividadee demanteremsalvaguardaassuasinformaçõeseadeseusparceiroscomerciais,defornecedores,clientese,sobretudo, asinformaçõesprivilegiadasesigilosasdaprópriaempresa. Assim, o mercado tem gradativamente chegado a um alto nível de automação, com uma grande necessidade de compartilhamentodeinformaçõesquetemmotivadoosurgimentoeacompilaçãonormasespecíficasafimdeorientar acriaçãodepadrõeseumanecessidadecrescentedagestãodesegurançadainformação. Nabuscadessespadrões,alémdenormas,apróprialegislaçãodospaísesvemseadequandopaulatinamenteàlegislação internacionalafimdefacilitarasrelaçõescomerciaisefazerfrenteanovosproblemasadvindoscomoavançotecnológico, relacionadoàfraudes,furtoseoutrosproblemasinerentesaousoporpessoasmalintencionadasdatecnologia. Conceitos e Padrões de Segurança da Informação Unidade I Capítulo 4 – Padrões e Normas (NBR ISO/IEC 17799, RFC 2196, ISO/IEC 15408, COBIT) “Normas e padrões têm por objetivo definir regras, princípios e critérios, registrar as melhores práticas e prover uniformidade e qualidade a processos, produtos ou serviços, tendo em vista sua eficiência e eficácia.” BEAL (2005, p. 36) Norma NBR ISO/IEC 17799 Estanormadescreveoscontrolesdesegurançaquesãorequeridosnoambientedasempresasedissertaqueossistemas degestãodesegurançadainformaçãodevemsefocarnagestãoderiscosafimdeatingirosobjetivosde:melhorara informaçãoempresarialarespeitodossistemasdetecnologiadainformaçãoafimdemelhorarsuasegurança;quantificar eanalisarfraquezaseventuaisdosativosdeinformaçãoepermitirqueagerênciatomedecisõesfundamentadassobre gestãoderisco,eventualmentejustificandodespesasalocadasaestefim.Comovimosanteriormente,estanormafoi inspiradapelaBS7799,desenvolvidanaInglaterra. Segundo WOOD (2002), a Norma da “International Organization for Standardization/International Electrotechnical Commission”–ISO/IEC17799,cujaadoçãonoBrasilsedeupormeiodaNormadaAssociaçãoBrasileiradeNormas Técnicas–ABNTNormaBrasileiradeReferência–NBR17799(ABNT,2002),ouadescriçãoderecomendaçõesde institutosdetecnologiaedepadrõesinternacionalmenteaceitos,partindodepressupostosdescritoserepresentando melhorespráticas. Administração da Segurança da Informação Anormafoirevisadaemjunhode2005,passandoporalgumasmodificaçõesestruturaistaiscomooincrementode dezessetecontrolesnovosadmitidos,umnovocapítulosobreaGestãodeIncidentesdeSegurançadaInformação,uma cláusulasobreãavaliaçãoeotratamentodoriscoeainserçãodeonzecláusulasdecontroledesegurança. Especificamentecomrelaçãoaestanorma,acrescentamosqueelaprocuracobrirdiversostópicosreferentesàárea desegurançaemtecnologiadainformaçãoe,assim,possuiumgrandenúmerodecontroleserequerimentososquais, aoseremcumpridos,podemmelhorarou,decertaforma,garantirasegurançadasinformaçõesemumaempresa.Além disso,apresentaumCódigodePráticaparaaGestãodeSegurançadaInformação,apresentandocercade10domínios reunidosem36grupososquaissedesdobramem127controles. ComosetratadeumCódigodePrática,estapartedanormanãovemaserobjetodecertificação,masrecomendaum amploconjuntodecontrolesquevieramaauxiliaremmuitoosresponsáveispelagestãodeSegurançadaInformação nasempresas. Norma RFC 2196 ARFC2196,SiteSecurityHandbook,descrevepolíticaseprocedimentosdesegurançaparasitescomsistemasna Internet. Conformeafirmaemsuaintrodução,estedocumentotemoobjetivoodeserumguiaparadesenvolvimentode políticasdesegurançaeminformáticaeparaosprocedimentosdesitesqueapresentamsistemasdisponíveisna Internet. Conceitos e Padrões de Segurança da Informação Unidade I Destaforma,apresentacomopropósitoodeserumaespéciedeguiapráticoaosgestoresparatentarfornecermaior segurançaaumagrandevariedadedeinformaçõeseserviços.Osassuntosabordadosincluemosconteúdosdepolíticas desegurançaesuaformação,algunstópicostécnicosespecíficosdesegurançaderedes,epossíveisatitudesquedevem sertomadasfrenteaincidentesdesegurança.Emresumo,odocumentoRFC2196tratadasPolíticasdeSegurança, daarquiteturadosplanosdesegurançaedaproteçãoaosserviços,dosserviço Norma ISO/IEC 15408 AnormaISO/IEC15408tratadasegurançadosprocessosdedesenvolvimento,manutençãoeanálisedesistemas informatizadoseapresenta-sesubdivididaessêncialmenteemtrêspartesquesão:definiçõesemetodologia,requisitos desegurançaeasmetodologiasdeavaliação. Estanormasurgiuafimdebuscaraunificaçãodospadrõesdesegurançaeuropeuenorteamericano,visandogarantir asegurançadosoftwareeprocurandosatisfazerosprincípiosdasegurançadainformação. Paratanto,elaéutilizadatantonodesenvolvimentocomonaanálisedesistemaseaplicaçõesprontas,Ganhouimportância devidoàbuscacrescentedasempresasdeinvestirnaproteçãoesegurançadesuasinformações. Especificamente,aISO15408abordaasdefiniçõesdoscomponentestécnicosdesegurançaosquaisvisamumprocesso deavaliaçãodesistemas.EsteprocessoéconhecidocomoCommonCriteria(CritériosComuns)eseuobjetivoprincipalé discutirdefiniçõesemetodologiaseavaliações,listandoumconjuntoderequisitosdesegurançaemsistemas.Apartede avaliaçãocontémclassessimilaresasdeespecificaçõesondeasclassessereferemagerenciamentodeconfiguração, entregaeinstalaçãodesoftware,edesenvolvimentoedocumentação. COBIT OCOBIT(ControlObjectivesforInformationandRelatedTechnology–ObjetivosdeControleparaInformaçãoe Tecnologia)foidesenvolvidopelaISACA(InformationSystemAuditandControlAssociation)nadécadade90temcomo principalobjetivoodetratarofluxodeinformaçõesquevenhaacontribuirparaumbomplanejamentoestratégico, adistribuiçãoderesponsabilidadesegerenciamentodosrecursos.Assim,trata-sedeummodelodegovernançade TIquealinhaosprocessoserecursoscomosobjetivosdonegócio,apartemonetária,aqualidadeeasnecessidades desegurança. Segundo CACIATO (2005), o COBIT possibilita que a organização, através de indicadores de performance, possa monitoraroquantoaáreadetecnologiadainformaçãoestáagregandovaloraosnegóciosdaempresa,sendocomposto porquatrodomíniosquesão:oplanejementoeorganização(níveltáticoeestratégico–metasdonegócio);aquisiçãoe implementação(efetuaaestratégiadeTI);entregaesuporte(atendimentodasnecessidadesdosusuáriosemrelação aosserviçosprestados);emonitoramento(verificaeavalia–eficiênciaqualitativa).Taisdomíniossãoencadeadospor umasériedeprocessos. Assim,oCOBITatuanoscontroles,asmetodologias,pessoas,sistemas,infra-estrutura,ferramentasde“workflow” (fluxo)enosdemaisrecursosquesãoosmecanismos,queirãotransformarosinputsedemandas,sobretudodaáreade TI,emsoluçõeseserviçosdecomvaloragregadoaonegócio. Unidade I Conceitos e Padrões de Segurança da Informação Memo Administração da Segurança da Informação F7098891Max 0 0 OpenDocument mail/dom10100 ($Inbox) F7098891Max maxgodoy@b OqueéCOBT Enviados True F7098891 0 1 0 20/09/2008 Web 0 F7098891 maxgodoy,ma OqueéCOBr F7098891Max F7098891Max 20/09/200812 Favorrespon F7098891 20/09/0812:3: Favorrespond –SemTítulo– OqueéCOBr PT CN=F7098891 maxgodoy@ stdNotesLtr98 F7098891Max Conceitos e Padrões de Segurança da Informação Unidade I Capítulo 5 – Planejamento de Segurança da Informação “... preciso entender como a tecnologia da informação está alterando nosso negócio e preciso assegurar que nossa organização utilize eficazmente a tecnologia. Por conseguinte, passo grande parte de meu tempo tentando entender as implicações das novas tecnologias” NEWMAN (1994) SegundoGODOY(2004),odifícilparaaempresaédeterminaroquevaieoquenãoprecisaserprotegido.Quandofalamos emprotegerinformaçõesdevemospensarquaisinformaçõesnãoprecisamserprotegidas.Umavezdefinidasquaissão énecessárioseidentificarosrequisitosdesegurançanecessáriosparataleoseucusto. Apósseremidentificadososrequisitosdesegurança,estesdevemserselecionadoseimplementadoscontrolesafim degarantirqueosriscossejamreduzidosaumnívelaceitável.Taiscontrolespodemserselecionadosapartirdeum documentoondeconstemtaisrequisitos,oudeoutrosconjuntosdecontroles.Assim,novoscontrolespodemserprojetados afimdesatisfazerasnecessidadesespecíficasdaempresa. Várioscontrolespodemserconsideradoscomoprincípiosorientadoresquefornecemumbompontodepartidapara implementaçãodasegurançadeinformações.Taiscontrolessãobaseadosnasexigênciaslegaisoucomoamelhor práticaaserrealizadaafimdeatingirummelhorníveldesegurançadainformação.Assim,lembramosquearelevância dequalquercontroleédeterminadasobaóticadosriscosespecíficosenfrentadospelaempresa. SegundoanormaISO/IEC/17799,oscontrolesconsideradosdopontodevistalegal,comoessenciaisparaumaempresa, são: – aproteçãodedadoseprivacidadedeinformaçõespessoais; – osdireitosàpropriedadeintelectual; – aguardaàsalvodosregistrosorganizacionais. Amesmanorma,alémdoscontroleslegaisessênciaisvistosacima,consideracomocontrolesde“melhorpráticacomum paraasegurançadeinformações”osreferentesa: – alocarresponsabilidadesquantoàsegurançadasinformações; – estabelecerpolíticadesegurançadeinformaçõesexpressaemdocumento; – treinareeducarparasegurançadasinformações; – relatarformalmenteosincidentesdesegurança; – gerenciaracontinuidadedonegócio. SegundoanormaISO/IEC17799(2000),oscontrolesdevemserselecionadosconsiderandoocustodesuaimplementação emrelaçãoaosriscosqueestessepropõemareduzireaosprejuízosquepoderiamocorrercasohouvesseumaquebra desegurança.Devemserconsiderados,também,osfatoresnãomonetários,comoaimagemdaInstituição,suaperda dereputaçãofrenteaosclientes,fornecedoreseasociedade. Assim,aoserescolhidooqueseráprotegido,comoserãoequecontrolesserãoutilizadosparaverificaraefetividade dessaproteção,bemcomoaintegridade,confidencialidadeedisponibilidadedosdados,érecomendadoquesejamontado umdocumentoquedescrevaoqueserárealizado,osriscosqueaindapersistemesugestõesdecomoesepoderãoser mitigados. Conceitos e Padrões de Segurança da Informação Unidade I Capítulo 6 – Modelos de Gestão de Segurança da Informação “... a probabilidade de que agentes, que são ameaças, explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e disponibilidade, e causando impactos nos negócios. Estes impactos são limitados por medidas de segurança que protegem os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo assim o risco.“ SÊMOLA (2003, p. 56). Conformecitamosanteriormente(noCapítulo1),apartirdaparte2danormaBS7799–2,publicadaem1998erevisada em2002,foramdefidasasbasesnecessáriasparaumSGSI. Assim,umSistemadeGerenciamentodaSegurançadaInformaçãoéumsistemadegestãosemelhanteumsistemade controledaqualidadetotale,comotal,podesercertificadoapartirdasprtáticasededocumentosoriundosdoconjunto decontrolesqueforamimplantados. Taiscontrolesprecisamserregistradosecontinuamenteexecutados.Assim,estemodelodegestãobaseia-senociclo demelhoriacontínua,conhecidocomo“PDCA”“Plan-Do-Check-Act”(Planejar,Fazer,VerificareAgir) Administração da Segurança da Informação Figura 1 – Ciclo de um SGSI = PDCA. ParaaimplantaçãodeumSGSIénecessárioqueaempresarealizeumadetalhadaanálisedeseusprocessos,identificando a existência de superposição de controles ou normas, e como se processa a complementaridade entre seus vários processos. Apósisso,passamosaimplantaçãodagestãodesegurançadainformaçãoquecomeçapeladefiniçãodedositens especificadoscomovitaisparaaatividadedaempresaeseestãonospadrõesdesegurançaexigidoseemquese distanciamdestes. Outra das primeiras medidas a serem tomadas e buscar de todos os representantes dos mais diversos setores da organizaçãooseucomprometimento comapolíticadeSegurançadaInformaçãoqueseráimplantada/alterada. Tal comprometimentoseráobtidoatravésdoesclarecimentodaimportânciaedosriscosqueaempresaestariacorrendo. Alémdisso,ocomprometimentoseráratificadoatravésdacriaçãodeumcomitêdesegurançadainformação(podendo, deacordocomotamanhodaempresaserumFórum),oqualiráagendarreuniõesregularesafimderespaldarotrabalho aserdesenvolvido. Conceitos e Padrões de Segurança da Informação Unidade I Estecomitêterácomofunçãoadedefinirosníveisderiscoaceitávelpelaorganizaçãoeelaborarumametodologiade implementaçãoparaoprojetodesegurançadainformação. A elaboração da metodologia é uma tarefa complexa devido aos níveis de detalhamento e aspectos específicos da organizaçãoaseremlevantados,tantoparaostécnicosquantoparaosgerenciaisaplicáveis.Dessaanáliseadviriaa soluçãodeseimplantareacompanharainstalaçãodeumSistemadeGestãodaSegurançadaInformaçãonaorganização esuasimplicaçõesouimpactonoprocessoprodutivo. Apósessaanálisedaempresa,oComitê,deveestabelecerumaPolíticadeSegurançadaInformação,aqualparaser construídapodemsertomadascomobaseospadrõesenormasapresentados,sobretudoaBS7799/ISO17799eaRFC 2196(1997). Depois, segue-se a definição do escopo a qual inclui o levantamento dos ativos que serão envolvidos (sistemas, equipamentos,comunicação,internet,rede,infra-estruturaetc.)eaclassificaçãodainformação.Destelevantamentoé geradaumadeclaraçãodeescopo,quedeveserrevisadae,casonecessário,corrigida.Lembramosquequantomaioro escopomaioracomplexidadedoSGSIaserimplementado. Aanálisederiscossegueafimdedeterminaraquaisriscosessesativosestãosujeitosecomomitigá-los.Assim,passamos aoGerenciamentodeRiscosquerepresentaumprocessocontínuo,oqualnãoterminaapenascomaimplementação demedidasdesegurança,realizandoumamonitoraçãoconstante-eparatantoénecessárioseelegerresponsáveis, épossívelquesejamidentificadasquaisseriamasáreasbemsucedidasnessecontroleequaisasquenecessitamde ajustesourevisão. Devemosteremmentequeépraticamenteimpossíveloferecerproteçãototalcontratodasasameaçasexistentes, portantoénecessárioidentificarosativosprincipaiseaspioresvulnerabilidadesquepossuemeverificarpossíveis ameaças,afimdemitigar(diminuir)orisco. Talatitudepossibilitaapriorizaçãoderecursoseesforçoscomsegurançaondeémaisnecessário.Resumidamente,após osriscosteremsidoidentificados,aorganizaçãodefiniráquaisasuaprioridadeparatratadoseasmedidasdesegurança quedevemserimplementadasmaisrapidamente. Unidade II Análise de Riscos Capítulo 7 – Introdução e Conceitos Fundamentais de Análise de Riscos “A distinção entre interna e externa, polícia e exército, crime e guerra, guerra e paz – que subjazem à nossa concepção do mundo – desapareceram, e necessitam ser renegociadas e reimplantadas.” BECK, (2002, p. 3) Antesdeestudarmosumpoucodaanálisederiscosénecessárioquepossamosentenderosconceitosqueseseguem: Ameaça SegundoGODOY(2004),emsegurançadainformação,umaameaçarepresentaumaaçãooucondiçãocapazdecausar incidentes que possam comprometer as informações e seus ativos, e que se consuma após identificar e explorar vulnerabilidadescompatíveis. Assim,taisameaçaspodemser:naturais(comoumdesabamento,umaexplosão,umincêndio,umainundaçãoetc.), involuntárias(decorrentesdeacidentesoudeerros)ouvoluntárias(malintencionadastaiscomoaaçãodehackers1, crackers2,fraudadores,disseminadoresdevírusdecomputadoretc). Vulnerabilidades Asvulnerabilidadessãopontosdefalhaspotenciaisemumativoqueofragilizam,ouseja,algoqueépossíveldeser exploradoporalgumaameaçaeefetivarumprejuízooudano. Risco Oriscopodeserdefinidocomoapossibilidadedeperdadedeterminadoativo,bem,informação,quepodemocorrer medianteaadoçãodedeterminadocursodeação.Pode-semediroriscoemtermosdavalor(utilidadesmonetárias). Contudo,oriscopodeserminimizado,masdificilmentepodeserintegralmenteeliminado. Riscos Internos Osriscosinternossãoosoriundosdapossibilidadededanoscausadosporfuncionáriosdesonestosoumalintencionados, osquais,nomundodigital,podemserdemaioresproporções,poiséondepredominaoconhecimentoespecializado.O 1 Hacker–“Emtermosgeraisumhackeréalguémquegostadeexplorartodososaspectosdossistemasdeinformática,incluindosistemasdesegurança.Apalavra‘’hacker’’ significa,paraamaioriadosutilizadores,apessoaqueviolaasegurançadesistemasdeinformática.”Disponívelem:<http://bvi.clix.pt/glossario/#e23>.[16abr.2003]. 2 Cracker–“Indivíduocomaçõesmaisdestrutivasqueumhacker,poisinvadeosistemadesegurançadeumcomputadorourededecomputadorescomoobjetivoderoubar, destruirouapagarinformações.”Disponívelem:<http://dicas.bol.com.br/ferramentas/glossario.jhtm#h>.[16abr.2003]. Análise de Riscos Unidade II programadorqueescreveumsoftwaredesegurançapodecolocaruma“portadosfundos”;apessoaqueinstalaum firewallpodedeixarumaaberturasecreta;eassimpordiante.Cautelanaseleçãodopessoalpareceserasolução óbvia,masestamedidadevesercomplementadaporauditoriasperiódicas,quepoderãodetectarosdanosocorridose responsabilizarosculpados.(SCHNEIER,2001;SÊMOLA,2003). Análise de Riscos AAnálisedeRiscos,queseconcentranoestudoenarelaçãoentreosativos,suasvulnerabilidades,aspossíveisameaças enoimpactoquecadaameaçapodecausar,casoseefetive. SegundoALBERTS&DOROFEE(2002),váriasmetodologiasdeanálisederiscotêmsidopropostase,emsuagrande maioria,apresentamsoluçõesdecustoelevadoderealização. Medidas de segurança Sãoaçõesprojetadaseoperacionalizadaspara“[...]evitar/barrar/conter‘causas’,ouparaminimizar/eliminar‘conseqüências’ deameaçaslatentesoupotenciais[...],emfacedavulnerabilidadedeumbem,[...][dentrodo]seuperímetrodeproteção. “(GIL,1998,p.18). Administração da Segurança da Informação Elaspodemserpreventivas(quandooobjetivoéevitaraocorrênciadedeterminadaameaça);dedetecção(quando buscamflagraraocorrênciadeumaameaça);corretivas(quandovisameliminareminimizarasconseqüênciasde determinadaameaça;ourestauradoras(quandoametaérestabelecerasistemáticaoperacionaleasituaçãode normalidade). Análise de Riscos Unidade II Capítulo 8 – Elementos da Análise de Riscos “Quem olhar o mundo como um risco de terror, torna−se incapaz de agir. É esta a primeira armadilha armada pelos terroristas. A segunda: a manipulação política da percepção do risco de terrorismo desencadeia a necessidade de segurança, que suprime a liberdade e a democracia. Justamente as coisas que constituem a superioridade da modernidade. Se nos confrontarmos com a escolha entre liberdade e sobrevivência será já demasiado tarde, pois a maioria das pessoas escolherá situar-se contra a liberdade. O maior perigo, por isso, não é o risco mas a percepção do risco, que liberta fantasias de perigo e antídotos para elas, roubando dessa maneira à sociedade moderna a sua liberdade de ação”. BECK (2002, p. 1) Ofatorprimordialdeumaanálisederiscosédeterminarquaisosativosquevamosprotegereaqueriscosestesestão expostos?Protegertudoé,quasesempre,inviávelouimpossível. Devemosteremmentequenenhumaameaçaétotalmenteinócuaquandooassuntosãoosativos,conhecimentoeos sistemasdeinformaçãodeumaempresa.Otempodespendidocomaleituradeumamensagemdecorreioeletrônico irrelevante,porexemplo,járepresentaaperdadeumativoimportante:otempo.Nãohácomonegarqueamagnitude doimpactonosnegóciospodevariar,comrepercussõesmuitooupoucosignificativas.Issodependedousoqueéfeito dainformação,decomoestainformaçãoafetaonegócioeprincipalmenteatéquepontoadivulgação,corrupçãoou deleçãodainformaçãopodeafetarnegativamenteaorganização. Parasabercomoeondeinvestirprioritariamente,osadministradoresprecisamconhecerarealsituaçãodesegurança daempresa.Aanálisederiscosevulnerabilidadeséoprimeiropassoemqualquersoluçãodesegurançaeaprincipal ferramentautilizadapelosadministradores.Tambémchamadasimplesmentedeavaliaçãoderisco,estaferramenta envolveaanálisedevulnerabilidades,ameaças,probabilidadedeocorrência,perdaouimpactoeeficáciateóricadas medidasdesegurançaescolhidas. SegundoSêmola(2003),aanálisederiscosdevecomeçarcomacoletadeevidênciaseidentificaçãodasameaçase vulnerabilidadesdosativos.Dadaaimpossibilidadedecoletartodasasevidênciasatravésdedispositivosautomatizados ouinformatizados,estafasetambémprecisaenvolverentrevistascomgestoreseusuários,observaçãocomportamental einspeçãofísica,alémdoestudodedocumentoseanálisestécnicasdosativostecnológicos.Estafaseresultana formaçãodeumaamplaBasedeConhecimentoqueseráfundamentalparasuportarasaçõesdediagnósticoeoprocesso detomadadedecisão. Assim,umavezcoletadasasevidências,aempresapoderámontarummapaderelacionamentodecausaeefeitoque considere: – arelevânciadeumprocessoparatodoonegócio; – arelaçãodedependênciaentreumoumaisprocessosdenegóciocomoativo; – qualificaçãodasvulnerabilidadesdecadaativo; – qualificaçãodasameaçaspotenciais; – probabilidadedaameaçaexplorarumavulnerabilidade; – severidadepotencialdaexploraçãodoativo; Análise de Riscos Unidade II – osimpactosdaconcretizaçãodeumaameaça; Administração da Segurança da Informação Munidosdestesdados,osgestoresdaempresapodemmodelarcontramedidasespecíficaseelaborarprogramasde gestãoderiscosparaoperímetrodaempresa.Poroutrolado,afaltadeumadefiniçãoclaradasituaçãodesegurança daempresaimpedequeosadministradoresdeterminemcorretamenteoorçamentoparaseusplanosderecuperaçãode desastres. Análise de Riscos Unidade II Capítulo 9 – Abordagens Qualitativa e Quantitativa na Análise de Riscos “Uma organização é uma entidade social conscientemente coordenada com uma fronteira relativamente identificável, que funciona em uma base relativamente contínua para atingir um objetivo comum ou um conjunto de objetivos”. ROBBINS (1990) Existemduastendênciasdelinhasmetodológicasparaaanálisederiscos:aquantitativaeaqualitativa Abordagem Quantitativa AAnáliseQuantitativamedeosimpactosfinanceirosprovocadosporumincidenteemfunçãodavalorizaçãodosativos atingidos. Destaforma,aAnálisedeRiscoQuantitativaconsistenaquantificaçãodosdiferenteselementosdorisco,sobretudo comdestaquenaprobabilidadedaocorrênciaenaseveridadedasconseqüências. Comovantagens,aquantitativaapresentaresultadosmaisobjetivos(mensuráveis),apuraçãodocusto/benefício, exposiçãoemlinguagemmaisobjetivae,sobretudo,permiteumaanálisedoefeitodaimplementaçãodemedidas mitigadorasoudecontroledoriscooudecontrolederiscoemempresasouemprojetos.Contudo,comolimitações, prescindedemetodologiasestruturadasnaapuraçãodoscustos,dosrecursos(necessárioseemformação),existe umarazoávelcomplexidadeelentidãonosemseucálculo(maisapurado)eexigeumamaiorquantidadeequalidade nasinformaçõesnecessárias. Abordagem Qualitativa JáaAnáliseQualitativaestimaosimpactosaonegóciocausadospelaexploraçãodeumavulnerabilidade.SegundoSêmola (2003,p.108-113),ométodoqualitativopermitelevaremconsideraçãoasinúmerasvariáveis,endógenaseexógenas, queextrapolamosaspectostecnológicosepodemalteraronívelderiscodeumnegócio.Asvariáveisendógenastratam deaspectoshumanos,físicoselegais;enquantoasvariáveisexógenaspodemrefletirmudançasnocontextoeconômico, aentradadeumconcorrentenomercado,ouacriaçãodeumanovaunidadedenegócio. Apesardereconhecerosméritosdeambasasmetodologias,oautorconsideraque,dadaa“[...]subjetividadenoprocesso devaloraçãodosativose[...][os]impactosemcascata,diretoseindiretos,potencialmenteprovocadosporumaquebra desegurança,ametodologiadeanálisequalitativatemdemonstradoeficiênciasuperior.”Sêmolaobservaquemuitos serviçosdeanálisedevulnerabilidadesoferecidosnomercado“[...]apenasaplicamferramentasdesoftware,scanners queautomatizamotrabalhodevarreduraàprocuradefalhasdesegurança[...]eemitemumrelatórioprofundamente técnicoe[...]nãocontextualizadoaolinguajareàsnecessidadesdonegócio.”(SÊMOLA,2002).Masaanálisederiscos evulnerabilidadesnãodevesebasearapenasnosativostecnológicos,ouseja,noperímetroderedecomseusservidores, sistemasoperacionais,serviçoseletrônicoseequipamentosdeconectividade.Asvulnerabilidadesfísicasehumanas tambémprecisamfazerpartedaequaçãodorisco. Assim,resumidamente,aAnálisedeRiscoQualitativaestábaseadanaavaliaçãodecenáriosindividuais,ouseja,nas estimativasdosdiferentesriscoscombaseemrespostasaquestionamentosdesituaçõeshipotéticas(exemplo:Oque ocorrecomesseativo/sistemase...) Análise de Riscos Unidade II Administração da Segurança da Informação Comovantagensestametodologiaapresentaofatodesermaissimples,nãorequerendocálculoselaboradosenem quantificaçãoprecisacomoaoutra;nãoénecessáriaumarigorosaidentificaçãodasconseqüênciasetornamaisfácil oenvolvimentodediferenteselementosdaorganizaçãoporserdefácilcompreensão.Comodesvantagenstemofato desermuitosubjetiva,nãopermitiraanálisedocusto/benefícioedependermuitodaexperiênciadosavaliadorespara sermaisefetiva. Análise de Riscos Unidade II Capítulo 10 – Análise de processos em TI “Com a espantosa popularização de redes fornecendo os mais variados serviços, aumentou a dependência tecnológica de uma grande parcela da população aos serviços oferecidos. Falhas nesses serviços podem ser catastróficas para a segurança da população ou para a imagem e reputação das empresas.” WEBER (2007) SegundoJALOTE(1994,p.6),umafalhaemumsistemaacontecequandoocomportamentodesteocorredeforma nãopreviamenteespecificada,ouseja,ocorrefalhaquandoosistemanãoconseguepreverafalhanoserviçodesejado. Talfalhacorrespondeaumaseqüênciadeaçõesquepodemserexecutadasatéquesejadetectadaaocorrênciade umerro.Paraqueissonãoocorra,algumasmedidaspreventivaspodemserempregadasafimdeevitartaisfatosque comprometemacredibilidadedosistemae,até,daprópriaempresa. SegundoTANENBAUM(1995,p.212-213),asfalhasemsistemaspodemserclassificadascomotransientes(ocorre apenasumavez,mesmoseaoperaçãoforrepetida),intermitentes(ocorrecommaisfreqüênciamasmuitasvezesnão sãoprevisíveis)epermanentes(ocorremsempre). ASegurançaemprocessosdeTIalémdasfalhasinvoluntáriasestáassociadaidéiadeevitarintençõesmaliciosaspor partedeterceiros,evitandoassimqueessespossamprejudicarosdoistiposdebensaliadosaessessistemasquesão: asinformaçõeseosserviços.Destaforma,osprocessosestandomaissegurospode-semelhoraraconfidencialidade, integridadeedisponibilidadedasinformaçõesedosserviçosdossistemasinformatizados. Assim,aanálisedeprocessosemTIdeveserfocadanãoapenasnosprodutosdosistemaenasualógica,constanteda documentação,mastambémemsuasinteraçõescomosusuários,organogramadechaves,manutençãodosacessos, acessoàsbasesdedadosdentroeforadosistema,aosdiretórioscompartilhadoseaalgunsatributosque,normalmente, passamdespercebidosdamaioriadosusuáriosmassãousualmentefalhasquepodemserexploradasporpessoasmal intencionadasouatéinadvertidamenteseremocasionadorasdefalhasoufurtodeinformações. Oscuidadodegerardocumentaçãoantes,duranteedepoisdaconfecçãodossistemasinformatizados,aescolha daequipedeanalistaseprogramadores,asupervisãodepessoahabilitadaedeconfiançaalémdousodecontratos etermosdesigiloeresponsabilizaçãosãofundamentaisnoiníciodoprocessodeconfecçãoedeoperaçãodos sistemas. Osmétodosdeanálise,avaliaçãoemodelagemdosprocessosemTIsãomuitosedivergemdeacordocomaestrutura dasempresas,dosprojetosdeTI,deseusserviçosedacomplexidadedossistemaseprocessosdeTI,nãotendouma receitaquepossaatendertodososcasosespecificamente. Dentreasdiversasmetodologiasparaanáliseemodelagemdeprocessos,estãoasferramentasdeTQM(TotalQuality Management–GerenciamentodaQualidadeTotal),os“6Sigma”,oBPM(BusinessProcessManagement–Gerenciamento deProcessosdeNegócio),IDEF(integratedDEFinitionMethods–MétodosIntegradosdeDefinição),BPR(BusinessProcess Redesign),oCOBIT(comdiversossubdomínios,incluindooISO17799:relativoàsegurança)eoutrasmetodologias proprietáriasdeváriasconsultorias. Contudo,sejaqualforametodologiaaseradotada,estaapresentaráfasesmuitosemelhantesdasrelatadasabaixo, quesãoafase: Análise de Riscos Unidade II – demapeamentooulevantamentodasituaçãoatual,ondeseráfeitoomapeamentodetodaasituaçãoatual combaseemdiagramaseformuláriosecomosquaisserãorepresentadasascaracterísticasdosprocessos atuaisaindaemuso; – daanáliseediagnóstico,ondefocadonasrestriçõesdoprocesso,nanecessidadedosclientes,nosrequisitos donegócioenacomparaçãocomoutrosprocessos,serárealizadoodianósticoeaanáliseemlinhacomo horizonteescolhido(visãodefuturo); – dedesenhodasituaçãodesejada,ondesepartedoquefoimepeadocomosituaçãoatualeécriadoodesenho do processo o qual se vislumbra o distanciamento em relação ao referencial escolhido, respeitado-se o direcionamentoestratégicoeadisponibilidadederecurso; – daimplementação,ondesãorevistase,casonecessário,osprocedimentos,asnormase,senecessário,até aspolíticas,easoutrasestruturassegundoonovodesenhodoprocesso; Administração da Segurança da Informação – demonitoramento,éondesãomonitoradososindicadoressegundoosníveisdeconformidadeacordados, atuando-senosdesvioseacompanhandoastendênciasafimdemanteroprocessoemumcicloconstantede melhoria. Análise de Riscos Unidade II Capítulo 11 – Riscos em Projetos de Sistemas de Informação “a subjetividade no processo de valoração dos ativos e os impactos em cascata, diretos e indiretos, potencialmente provocados por uma quebra de segurança e a metodologia de análise qualitativa tem demonstrado eficiência superior.” SÊMOLA, (2003, p. 108-113). Muitassãoasmetodologiasdeapuraçãodoriscodeprojetosdesistemasdeinformação,algumassãoproprietárias deconsultoriasoudeusomuitoespecífico.Oimportanteparasedefiniroriscoaoqualestásubmetidooprojetoéter anoçãorealoubempróximadarealidade,dasvulnerabilidadesedaspossíveisameaçasàsegurançaecontinuidade doprojetooudosistemaemuso.Aseguir,falaremosdeduasmetodologiasbemutilizadasnomercadoquesãoo método Delphi, utilizado em vários aspectos de segurança, inclusive os patrimoniais mas, pela sua simplicidade, aplicávelemváriostiposdeanálisederiscoinclusiveemTI:e,maisrecentemente,oOCTAVE,maisespecíficapara sistemasdeinformação. Método Delphi SegundoGil(1998,p.19),oRiscopodeserapuradosegundooalgoritmomatemáticoconstantedoMétodoDelphi: R = A X B,ondeAcorrespondeàscausaseBàsconseqüências,medidossegundoumaescaladepontuação previamentedefinida(normalmentede1a10).Oalgoritmoéaplicadoaumadeterminadaameaça,emfaceda vulnerabilidadedeumativoemcertoperímetrodeproteção. Método Octave Outraformadeanálisederisco,comescopobemaplicável,édenominadaOCTAVE–“OperationallyCriticalThreat, Asset,andVulnerabilityEvaluation,desenvolvidapelaCarnegieMellonUniversityequetemdocumentaçãoabertapara consultaseutilização. Assim,ametodologia OCTAVEtemcomopressupostosbásicosacoordenaçãodeaçõespara: • identificarosativosrelacionadosàinformaçãoquesãoimportantesparaaorganização;e • priorizaraasatividadesdeanálisederiscosnosativosqueforemconsideradososmaiscríticos. Destaforma,essesdoispressupostossãoelaboradosnastrêsfasesaseguir: • elaborarperfisdeameaçasbaseadosemativos,ondeosmembrosdaorganizaçãoapresentamsuaperspectiva sobrequaisativossãoimportantessobaaspectodasegurançaequeoestásendofeitoparapreservá-los; • identificarinfra-estruturadevulnerabilidades,ondeotimedeanalistasdesegurançaidentificasistemasde informaçãoessenciaiseoscomponentesrelacionadosacadaativo,quesãoentãoanalisadosdopontode vistadasvulnerabilidadesrelacionadas;e • desenvolverplanoseestratégiasdesegurança,ondesedecideoquedeveserfeitoarespeitodosativoscríticos. Cria-seumaestratégiadeproteçãoparaaorganizaçãoeplanosvoltadosaosriscosdosativosconsiderados prioritários. Análise de Riscos Unidade II Umavezrealizadoodiagnósticodosriscos,oresponsávelprecisadefinirjuntoaosgestoresdaorganização,quaisseriamos níveisderiscoaceitáveisenão-aceitáveis.Entreosnãoaceitáveis,pode-seescolherumaentreasseguintesopções: – Aceitaroriscoconsiderarqueeleexiste,masnãoaplicarqualquercontrole; – Mitigaroureduzironívelderiscoatravésdaaplicaçãodealgunscontrolesdesegurança,ou; Administração da Segurança da Informação – Transferiroriscorepassararesponsabilidadedesegurançaaumterceiro,como,porexemplo,umdata center. 0 Análise de Riscos Unidade II Capítulo 12 – Riscos na Contratação de Terceiros “As normas são criadas para estabelecerem diretrizes e princípios para melhorar a gestão de segurança nas empresas e organizações.” HOLANDA (2006) SegundoMAIA(2002),nosúltimosanos,asempresastêmadotadoaestratégiadecontrataçãodeserviçosterceirizados naáreadetecnologiadainformação,comoprincipalobjetivodereduçãodecustos.Porém,estaescolhatambém trazproblemasnoquedizrespeitoàqualidadeeàsegurançadosserviçosprestados,eimpõemedidasquetratem dareduçãoderiscosdeerroshumanos,roubo,fraudeouusoindevidoderecursos(instalações,equipamentosou informações). Poressarazão,quandoumaempresaoptapelaterceirização,nãobastafirmaroContratodePrestaçãodeServiços, ondedireitoseobrigaçõesdeambasaspartessãodetalhados,maséprecisotambémconsideraraelaboraçãode umSLA(abreviaçãodotermoServiceLevelAgreement),tambémconhecidosimplesmentecomo:AcordodeNívelde Serviço. ConformeanormaISO/IEC/17799(2001),osrequisitosdesegurançaquedevemconstardosContratoscomterceirose arranjososquaisenvolvamoacessodessesaossistemasàsfacilidadesdeprocessamentodeinformaçõesdaorganização devemserbaseadosemumcontratoformalcontendo,oureferenciando,todososrequisitosdesegurançaparagarantir aobediênciaàspolíticasepadrõesdesegurançadaorganização.Ocontratodevegarantirquenãohajamal-entendidos entreaorganizaçãoeaterceiraparte.Asorganizaçõesdevemsesatisfazerquantoàidoneidadedeseufornecedor.Os seguintestermosdevemserconsideradosparainclusãonocontratoa: • PolíticaGeraldeSegurançadasInformações; • ProteçãodosAtivos, Ainda,conformeessanorma,quantoàproteçãodosativos,ocontratodeveincluirprocedimentosparaprotegeros ativosdaorganização,suasinformaçõeseseus“softwares”;osprocedimentosparadeterminarseocorreuqualquer comprometimentodosativos(perdaoualteraçãodedados);instituircontrolesquegarantamadevoluçãooudestruição deinformaçõeseativosnofinaldocontratoouemmomentoacordado;mnutençãodaintegridadeedisponibilidade; restriçõesquantoàcópiaeadivulgaçãodeinformações;devedescrevertodososserviçosdisponibilizados;oníveldesejado eindesejável(nãoaceitável)deserviço;proverpossíveltransferênciadeequipesenecessárioparalocalmaisapropriado; estipularasresponsabilidadesdaspartescomrelaçãoaocontrato;descreverasresponsabilidadesrelacionadascom aspectoslegais(comoalegislaçãodeproteçãodedadosemdiferentessistemaslegaisnacionaisseocontratoenvolver participaçãooucooperaçãocomorganizaçõesemoutrospaíses);osdireitosdepropriedadeintelectualeatribuiçãode copyrightseproteçãodequalquertrabalhocolaborativo; Alémdesses,osacordosreferentesaocontroledeacesso,devemcobrirtambém: – osmétodosdeacessopermitidos,eocontroleeousodeidentificadoresúnicos(senhaseidentificadoresde usuários); – processosdeautorizaçãodeacessodeusuárioseseusprivilégios; – exigir a manutenção de uma lista de pessoas as quais estariam autorizadas a utilizar os serviços disponibilizados, Análise de Riscos Unidade II – osseusdireitoseseusprivilégiosdeuso; – definircritériosdedesempenhoverificáveis,monitorá-loseconfecçãoderelatórios; – estabelecerodireitodemonitorar,erevogar,asatividadesdosusuários; – instituirporescritoodireitodeauditarasresponsabilidadescontratuaisouderealizartaisauditoriasatravés deoutros(externa); – estabelecerprocessosdeescalonamentoafimderesolverproblemas;providênciasreferentesacontingências tambémdevemserconsideradasondeapropriado; – responsabilizarquantoainstalaçãoemanutençãodehardwareesoftware; – estruturarclaramenterelatóriosinformativoseapresentarformatosacordadosemrelatórios; – terprocessosclaroseespecificartrocadegerências; – instituirquaisquercontrolesdeproteçãofísicanecessáriosemecanismosparaassegurarqueessescontroles sejamobedecidos; – treinaradministradoreseusuáriosnosmétodos,procedimentosesegurança; – instituircontrolesparaasseguraraproteçãocontrasoftwaremalicioso; – fornecerarranjosparareportar,notificareinvestigarincidentesdesegurançaequebrasdesegurança; – envolveraterceirizadacomseussubcontratados,e. Administração da Segurança da Informação – descreverriscos(operacionaisefinanceiros). Unidade III Política de Segurança da Informação Capítulo 13 – Definição do que é Política de Segurança e suas Extensões “A política de segurança não é nada além de um ‘apelido’ que demos para a ferramenta (na forma de documentação) que expressa a formalização dos anseios da empresa para que suas informações mantenham-se íntegras, disponíveis e em sigilo.” ABREU (2002). A política de segurança é um documento formal que define as diretrizes e normas em relação à segurança e aos procedimentosaseremseguidosportodaaempresa,semexceção. SegundoABREU(2002),poderíamosdizerque“[...]políticadesegurançanãoénadaalémdeum‘apelido’quedemos paraaferramenta(naformadedocumentação)queexpressaaformalizaçãodosanseiosdaempresaparaquesuas informaçõesmantenham-seíntegras,disponíveiseemsigilo.” Por isso mesmo, cada empresa precisa desenvolver sua própria Política de Segurança. Esta deve ser definida em conjuntocomaaltadireçãodaempresaedeveserválidaparatodos,desdeopresidenteatéoníveloperacional.Além disso,éestritamentenecessárioquetenhaaaprovaçãoeocompromissodomaisaltoexecutivodaempresa,poisuma políticadesegurançanãoconseguesobreviversemapoiofinanceiroquegarantasuaimplementação.Odocumentoque compõeapolíticadesegurançanãoprecisasercomplexo,nemexcessivamentetécnicomasdeveapresentarregrase procedimentosbemclarosedefinidos. SegundoGODOY(2004),existemalgunscuidadosbásicosaseremtomadosduranteadefiniçãodapolíticade segurança.Denadaadianta,porexemplo,negaracessoàInternetadeterminadosusuáriose,poroutrolado, deixar o drive de disquetes habilitado no computador desse usuário. De fato, pesquisas revelam que ataques internos(realizadosporusuáriosautorizadosounão-autorizados)podemsermaisperigososqueataquesexternos realizadosviaInternet. Política de Segurança da Informação Unidade III Capítulo 14 – Definição dos elementos da Política, Normas e Procedimentos “o que distinguirá uma nação avançada de outra será a habilidade de coletar, organizar, processar e disseminar informações”. Drucker (1968) SegundoaRFC2196(2000),aPolíticadeSegurançaéumdocumentoquedescreveasrecomendações,asregras,as responsabilidadeseaspráticasdesegurançavigentesnaempresaeabrangentesatodososfuncionários,contratados eprestadoresdeserviçoqueutilizemossistemasdeinformação,seusprodutosouseusdados.Talpolíticadeveser moldadaàrealidadedecadaempresa,nãohavendoum“modelodepolítica”quepodeseradaptadosemrestriçõesou ajustesreaisàespecificidadedecadaempresa. QuantoadefiniçãodoselementosdaPolíticadeSegurança,devemoslembrarqueodocumentoquecompõeapolítica nãoprecisasercomplexoenemexcessivamentetécnicomasdeveapresentarregraseprocedimentosbemclarose definidos,taiscomo: – definiçãodosagentesenvolvidosemsegurançadainformaçãodentrodaEmpresa; – classificaçãodeinformações; – políticadeacessosexternoseinternos; – políticadeusodaIntranetedaInternet; – eventosmínimosaseremlogadosnosSistemasCorporativos; – trilhasdeauditoria; – políticadebackup; Administração da Segurança da Informação – políticadeusodesoftware; – acessofísicoelógico Contudo,claro,taiselementosdevemseradequadosàrealidadedaempresae,depreferência,devemtersidoacordados comosdiversossetores(representadospelosníveisgerenciaisetécnicos)atécomoformadedisseminaçãoe,posterior, interiorizaçãodapolítica. Asnormassãoumaespecificaçãodapolíticaecorrespondemaosprocedimentosquedevemserseguidosafimdese cumpriremaPolíticadeSegurança.Assimcomoesta,asnormasdevemserelaboradasdeformaclaraecommaior participaçãotécnicaafimdeseremexequíveisebemaceitas. Jáosprocedimentosreferem-seaspráticas,ouseja,aospassosexecíficosquedevemserseguidosoumesmoasformas deutilização,afimdegarantirocumprimentodasnormase,assim,agiremtotalacordocomaspolíticasdefinidas. Alémdisso,segundoaISO/IEC17799(2000),aPolíticadeSegurançadeveapresentaralgumascaracterísticas,tais como: Política de Segurança da Informação Unidade III – seraprovadapeladiretoria, – divulgadaepublicadadeformaamplaparatodososcolaboradores; – serrevisadaregularmente,comgarantiadeque,emcasodealteração,elasejarevista; – estaremconformidadecomalegislaçãoeascláusulasdoscontratosfirmadospelaecomaempresa; – definirasresponsabilidadesgeraiseespecíficas; – disporasconseqüênciasdasviolaçõesdessasregras. Política de Segurança da Informação Unidade III Capítulo 15 – A importância da Política de Segurança na empresa e seu relacionamento com as outras áreas “... o nível de segurança de uma empresa está diretamente associado à sua ‘porta’ mais fraca” SÊMOLA (2003, p. 18) UmavezdefinidaaPolíticadeSegurança,estadeveseraplicávelemtodaaempresae,principalmente,conhecidapor todosedisseminadafacilmenteatravésdoscanaisformaiseinformaisexistentes. Oaspectomaisimportantedapolíticaéofatodequeelasejaacompanhadaesejaverificadooseucumprimentopor todososfuncionáriosnosdiversossetoresdaempresa.Advémdaíofatodelaserelaboradadeformamaisgeraleter deserespecificadaatravésdenormaseprocedimentos,osquaispossuemumcarátermaisespecífico. Administração da Segurança da Informação Segundo GODOY (2004), a segurança da informação pode funcionar no âmbito digital, mas é no movimento das informaçõesatéoâmbitodigital(naspessoas)queseencontraoelomaisfraconacorrentedasegurança.Amaiorprova dissoéoaumentononúmerodeataquesdeengenhariasocial(enganarpessoasparaseconseguirdadossigilososdas empresasouacessoprivilegiado),queexploramacredulidadeefaltadeconsciênciadaspessoasquantoàimportância dainformação.Porisso,aidéiaquepermeiatodaaliteraturalidaarespeitodesegurança,ecomaqualconcordamos, éadequesegurançadainformaçãoéresponsabilidadedetodososfuncionáriosdeumaorganização. Política de Segurança da Informação Unidade III Capítulo 16 – Como elaborar uma Política de Segurança de forma a Adequar o Modelo NBR ISO/IEC 17799 na Organização “... a lógica econômica da Era da Informação: as idéias, o conhecimento, o processamento da informação e outros fatores intangíveis – os capitais humanos, estrutural e do cliente – podem criar riqueza mais rápido e de maneira mais barata que os ativos financeiros e físicos tradicionalmente empregados.” STEWART (1998) SegundoaISO/IEC17799(2000),apolíticadesegurançatemporobjetivoodefornecerdireçãoeapoiogerenciais paraasegurançadeinformaçõeseagerênciadeveestabelecerumadireçãopolíticaclaraedemonstrarsuporteeo comprometimentocomasegurançadasinformaçõesatravésdaemissãoedamanutençãodeumapolíticadesegurança deinformaçõesparatodaaorganização. AindasegundoanormaISO/IEC17799(2000),Umdocumentocomapolíticadeveseraprovadopelagerência,publicado e divulgado, conforme apropriado, para todos os empregados. Ele deve declarar o comprometimento da gerência e estabeleceraabordagemdaorganizaçãoquantoàgestãodasegurançadeinformações.Nomínimo,devemserincluídas asseguintesorientações: a) definiçãodesegurançadeinformações,seusobjetivosgeraiseescopoeaimportânciadasegurançacomo ummecanismocapacitadorparacompartilhamentodeinformações; b) declaraçãodeintençãodagerência,apoiandoosobjetivoseprincípiosdasegurançadeinformações; c) breveexplanaçãodaspolíticas,princípiosepadrõesdesegurançaedasexigênciasaseremobedecidasque sãodeparticularimportânciaparaaorganizaçãocomo,porexemplo: – obediência às exigências legislativas e contratuais; – necessidades de educação (treinamento) para segurança;–prevençãoedetecçãodevíruseoutrossoftwaresprejudiciais; – gerenciamentodacontinuidadedonegócio; – conseqüênciasdasviolaçõesdapolíticadesegurança; – uma definição das responsabilidades gerais e específicas pela gestão da segurança das informações, incluindorelatóriosdeincidentesdesegurança; – referênciasadocumentosquepodemapoiarapolítica,porexemplopolíticasdesegurançamaisdetalhadas eprocedimentosparasistemasdeinformaçãoespecíficosouregrasdesegurançaqueosusuáriosdevem obedecer. Estapolíticadevesercomunicadaemtodaaorganizaçãoparaosusuáriosdeumaformaquesejarelevante,acessível equepossaserentendidapeloleitor. Política de Segurança da Informação Unidade III Capítulo 17 – Como divulgar, conscientizar e garantir a aplicação da Política “Ética refere-se aos princípios de certo e errado que podem ser usados pelos indivíduos que atuam como agentes de livre moral para fazer as escolhas que guiam seu comportamento” Laudon & Laudon (1999) SegundoSÊMOLA(2003,p.129-131),paraqueumaempresaentendaqueoníveldesegurançaalcançadoéfrutoda responsabilidadecompartilhadadosfuncionárioséprecisoantesconstruirumaculturadesegurança.Issopodeser feitoatravésdecampanhasdedivulgação,seminários,cursosdecapacitação,ouatémediantecomunicadooficial doPresidente,oficializandoointeressedaempresanaquestãoesalientandoaimportânciadoenvolvimentodetodos noprocesso. Segundo Gil (1998, p. 44) a segurança da informação deve ser exercida nos três níveis organizacionais. Assim, temos: – dopontodevistaoperacional,ofocoénaatuaçãodosfuncionários,poissãoelesosresponsáveispelaexecução damaiorpartedepráticaseprocedimentosdesegurança; – noníveltático,aprioridadeéafunçãodecontrole,implementadaporgerentesesupervisores,comoobjetivo deproveromonitoramentocontínuodaspráticasdesegurançaestabelecidas; – o nível estratégico é implementado pela alta administração, com a definição de diretrizes e planos, acompanhamentodarelaçãocusto-benefíciodasatividadesdesegurançaeadefiniçãodoníveldeaceitabilidade etolerânciaaorisco.Afiguraabaixoapresentaexemplosdeatividadesdegestão,nostrêsníveisorganizacionais eparacadamomentodociclodasegurança. Figura 2 – Administração da Segurança Segundo os Níveis Organizacionais. Funções Níveis Administração da Segurança da Informação Estratégico Tático Operacional Planejamento Execução Controle Auditoria Plano de investimentos qüinqüenais O r ç a m e n t o a n u a l d e segurança A c i o n a r s e g u r a n ç a preventiva Autorizar investimentos qüinqüenais Administrar projetos de segurança A c i o n a r m e d i d a s d e segurança Monitorar desembolso de investimentos Apurardesviosdeprojetosde segurança Acionarmedidasdesegurança restauradoras A v a l i a r r e t o r n o d e investimentosemsegurança Verificar produto final de projetosdesegurança Verificar, testar e simular medidasdesegurança Fonte:AdaptadodeGIL,AntoniodeLoureiro.SegurançaemInformática.2.ed.SãoPaulo:Atlas.1998.p.44. Política de Segurança da Informação Unidade III Capítulo 18 – Quais os Instrumentos Legais de Repreensão em Caso do não Cumprimento da Política “As empresas podem gastar milhões de dólares em proteções tecnológicas, mas isso será um desperdício se as pessoas puderem simplesmente ligar para alguém e convencê-lo a fazer algo que baixe as defesas do computador ou que revele as informações que estão buscando” SCHNEIER (2001) SegundoaISO/IEC17799(2000),aobediênciaàsexigênciaslegaistemporobjetivoevitarainfraçãodequalquerleicivil ecriminal,estatutária,regulamentadoraoudeobrigaçõescontratuaisedequaisquerrequisitosdesegurança.Deforma queumaoperação,ouso,projetoeogerenciamentodesistemasdeinformaçõespodemestarsujeitosaexigênciasde segurançaestatutárias,regulamentadorasecontratuais. Assim,apróprianormaorientaogestorabuscaraconselhamentosobreasexigênciaslegaisespecíficascomosconsultores jurídicosdaorganização,ouprofissionaisadequadamentequalificados.Comrelaçãoàidentificaçãodalegislaçãoaplicável, aISO/IEC17799(2000)citaquetodasasexigênciascontratuais,estatutáriaseregulamentadorasrelevantesdevem serexplicitamentedefinidasedocumentadasparacadasistemadeinformações.Assim,oscontrolesespecíficoseas responsabilidadesindividuaisparasatisfazerestasexigênciasdevemestarsimilarmentedefinidosedocumentados. Quantoaosdireitosdepropriedadeindustrial(Copyright–textosesoftwares),anormatambémesclareceque,os procedimentosapropriadosdevemserimplementadosparagarantiraobservânciaderestriçõeslegaisquantoaousode materialparaoqualpodemexistirdireitosdepropriedadeintelectual,taiscomocopyright,direitosdeprojetoemarcas registradas. Assimaviolaçãodecopyrightspodelevaraaçõeslegaisquepodemenvolverprocessocriminal,exigênciaslegislativas, regulamentadorasecontratuaispodemcolocarrestriçõesquantoàcópiadematerialproprietário.Emparticular,elaspodem obrigarqueapenasmaterialqueédesenvolvidopelaorganização,ouqueélicenciadooufornecidopelodesenvolvedor paraaorganização,possaserusado. De semelhante modo, para os Produtos de software proprietários geralmente são fornecidos sob um contrato de licenciamentoquelimitaousodosprodutosamáquinasespecificadasepodepermitircópiasapenasparaacriaçãode backups.Assimoscontrolesseguintesdevemserconsiderados: – publicarumapolíticadeobediênciaacopyrightdesoftware,quedefineousolegaldossoftwareseprodutos deinformação;emitirpadrõesparaosprocedimentosdeaquisiçãodeprodutosdesoftware; – manteraconscientizaçãosobreaspolíticasdecopyrightedeaquisiçãodesoftwares,enotificaraintenção detomarmedidasdisciplinarescontrapessoasqueasinfringirem;manterregistrosapropriadosdosativose decomprovanteeevidênciasdepropriedadedelicenças,discosmestres,manuaisetc.; – implementar controles que visem garantir que não seja excedida a quantidade máxima de usuários permitidos; – executarverificaçãodequeapenassoftwareautorizadoeprodutoslicenciadosestãoinstalados; – providenciarpolíticaparamantercondiçõesdelicençaapropriadas; – criarpolíticaparadescarteoutransferênciadesoftwareparaoutros; – obedeceraostermosecondiçõesrelativosaossoftwareseinformaçõesobtidosderedespúblicas,e; – utilizarferramentasdeauditoriaapropriadas; Política de Segurança da Informação Unidade III Capítulo 19 – Como fazer uma revisão da Política de Segurança “As pessoas querem se comunicar e o sistema de segurança é, no máximo, algo que não prejudique esse desejo.” SCHNEIER (2001, p. 260). SegundoaISO/IEC17799(2000),noqueconserneàobediênciaàpolíticadesegurança,osgerentesdevemseassegurar dequetodososprocedimentosdesegurançadentrodesuasáreasderesponsabilidadesãoexecutadoscorretamente. Alémdisso,todasasáreasdentrodaorganizaçãodevemserconsideradasparaumarevisãoregulardecumprimentoda política,visandogarantiraobediênciaaospadrõesepolíticasdesegurançaesuaefetividade. Estasrevisõesdevemincluirossistemasdeinformações;osprovedoresdesistemas;osproprietáriosdasinformações eosativosdeinformação;asgerênciaseosusuários.Alémdisso,osproprietáriosdossistemasdeinformaçõesdevem apoiarrevisõesregularesafimdeverificarseseussistemasestãoobedecendoàspolíticasdesegurançaapropriadamente, aospadrõesequaisqueroutrosrequisitosdesegurança. SegundoanormaISO/IEC17799(2000),apolíticadesegurançadeveterumencarregadoquesejaresponsávelporsua manutençãoerevisãodeacordocomumprocessoderevisãodefinido.Esseprocessodeveassegurarquesejaexecutada umarevisãoemrespostaaquaisquermudançasqueafetemabasedaavaliaçãoderiscosoriginal,porexemploincidentes desegurançasignificativos,novasvulnerabilidadesoumudançasnainfra-estruturaorganizacionaloutécnica.Também devemserprogramadasrevisõesperiódicasdosseguintesaspectos: – a eficácia da política, demonstrada pela natureza, quantidade e impacto dos incidentes de segurança reportados; – ocustoeimpactodoscontrolesnaeficiênciadonegócio; Administração da Segurança da Informação – osefeitosdasmudançasnatecnologia. 0 No que concerne ã verificação da obediência técnica (se tudo está técnicamente adequado conforme à Política de Segurançaestabelecida),conformeanormaISO/IEC17799(2000),ossistemasdeinformaçãodevemserverificados regularmentequantoàobediênciaaospadrõesdeimplementaçãodesegurança.Talverificaçãoenvolveoexamedos sistemasdeoperaçãoporassistênciatécnicaespecializada,afimdegarantirqueoscontrolesdehardwareesoftware foramcorretamenteimplementados. Estaverificaçãodaobediênciapodeenvolvertestesdeinvasãoosquaispodemserexecutadosporespecialistas independentescontratadosespecificamenteparaestefim,afimdedetectarpossíveisoueventuaisvulnerabilidades nos sistemas e se atestar se são eficazes os controles na prevenção de acesso não autorizado. Desta forma, ressaltamosquetaisverificaçõesdeobediênciatécnicadevaseracompanhadadasupervisãodepessoasautorizadas ecompetentes. Unidade IV Segurança Física, Planejamento de Contingências e Recuperação de Desastres Capítulo 20 – Conceitos de Segurança Física, Segurança de Perímetro e Segurança Patrimonial “Firewalls sào barreiras de proteção física, máquinas projetadas para conter os problemas dentro de uma pequena área de uma rede”. SCHNEIER (2001, p. 191). Segurança Física SegundoGil(1998),asegurançafísicarefere-seàmanutençãodascondiçõesoperacionaisedeintegridadedosrecursos materiaisusadosnoambientedeinformática.Estesrecursosincluem:hardware(terminais,impressorasetc.),insumos (disquetes,fitadeimpressoraetc.)ecomponentes(cabosdeconexão,estabilizadoresetc.).Asprincipaissituaçõesde insegurançafísicaeminformáticasão: – roubo,perdaouextraviodeplanilhas,formulários,relatóriosedocumentosusadosougeradosnoambiente deinformática; – roubo,perdaoudanosadisqueteseoutrosmeiosdegravação; – agressõesfísicaspropositaisouacidentaisàconfiguraçãodocomputador. Algunsexemplosdemedidasdesegurançafísicasão:manutençãodeestoquereservadehardware,insumosecomponentes parasuprimentoimediatoemcasodeperdaseavarias;transportedemeiosmagnéticosemembalagensfechadase protegidascontrapoeira,violaçõeseinterferênciaseletromagnéticas. SegurançadePerímetro ASegurançadePerímetro(ouPerímetrodeProteção)correspondeaumambienteouumalinhaimaginária,físicaou lógica,emqueaameaçapodeocorrer.Oconceitodeperímetroteveorigemnasestratégiasmilitaresdedefesaehá muitotempoéutilizadopelaáreadesegurançapatrimonial.Acompartimentalizaçãocorretadosambientesfísicose lógicospermiteaaplicaçãodecontrolesadequados.Assim,asegurançadeperímetrosignificaumaáreaondeonívelde segurançaémaiselevadoqueasdemaisáreascircunvizinhas. Segurança Física, Planejamento de Contingências e Recuperação de Desastres Unidade IV Figura 3 – Perímetros Físicos e Lógicos. Fonte:AdaptadodeSÊMOLA,Marcos.GestãodaSegurançadaInformação:UmaVisãoExecutiva.RiodeJaneiro:Campus,2003.p.50. SegundoanormaISO/IEC17799(2000),aproteçãofísicapodeserobtidaaoseremcriandasdiversasbarreirasfísicas emtornodasinstalaçõeseaoredordasfacilidadesdeprocessamentodeinformaçõesdaempresa.Assim,cadabarreira estabeleceráumaespéciedeperímetrodesegurança,eacadaum,iráaumentandogradativamenteaproteçãototal fornecida. Administração da Segurança da Informação Destaforma,anormaorientaqueasorganizaçõesdevamseutilizardessesperímetrosdesegurançaafimdeproteger áreasquecontenhamfacilidadesdeprocessamentodeinformações. Logo,umperímetrodesegurançaéalgoqueconstituiumabarreira,talcomoummuro,umaparede,umportãode entradacontroladoporcartõesdeacessoouumarecepçãocomatendentesquepossamevitaroacessodireto.Assim, alocalizaçãoearesistênciadecadabarreiraedecorrentedosresultadosdasavaliaçõesderiscos. Segurança Patrimonial São as formas de proteção do patrimônio, ou seja, representa qualqueratividadepreventivaoudefensivaassociada àprocedimentose/ouequipamentosdesegurança,comopropósitodeguardarouprotegeropatrimônio(benspatrimoniais) contrariscosocasionaisouaçõeslesivasperpetradasporterceiros. Os bens patrimoniais correspondem a todos os bens que possuem algum valor aos seus proprietários, podendo ser materiaisouimateriais. Segurança Física, Planejamento de Contingências e Recuperação de Desastres Unidade IV Capítulo 21 – Elementos Específicos de Segurança Física, Segurança de Perímetro e Segurança Patrimonial ““... uma empresa que codifica todos os seus dados nos computadores mas não tranca seus gabinetes de arquivo ou não tritura seu lixo [em papel], está aberta ao ataque.” SCHNEIER (2001, p. 256) Oselementosespecíficosdesegurançafísicacorrespondemaosmeiospelosquaisumobjetoouáreapossatersua condiçãodesegurançamelhoradadevidoàpresençadessedispositivodesegurança Elementos Específicos de Segurança Física SegundoanormaISO/IEC17799(2000),asáreasdesegurançafísicadevemserprotegidasporcontrolesdeentrada apropriados,paragarantirqueapenasopessoalautorizadotenhaacessoaelas.Osseguintescontrolesdevemser considerados: – Visitantesnasáreasdesegurançadevemsersupervisionadosouconduzidospelasegurançaeasdatase horáriosdesuaentradaesaídadevemserregistrados.Elesdevemterseuacessoconcedidoapenaspara propósitosespecíficoseautorizadosedevemserinstruídossobreosrequisitosdesegurançadaáreaesobre osprocedimentosdeemergência. – Oacessoainformaçõessensíveis,efacilidadesdeprocessamentodeinformações,devesercontroladoe restringidoapenasaopessoalautorizado. – Controlesdeautenticação,taiscomocartõesmagnéticoscomPIN,devemserusadosparaautorizarevalidar todososacessos.Umaaudittrail5detodososacessosdevesermantidoemsegurança. – Todoopessoaldeveserobrigadoausaralgumaformavisíveldeidentificaçãoedeveserencorajadoaquestionar estranhosdesacompanhadosequalquerumquenãoestejausandoidentificaçãovisível; – Sistemasadequadosdedetecçãodeinvasão,instaladosempadrõesprofissionaisetestadosregularmente, devemsercolocadosparacobrirtodasasportasexternasejanelasacessíveis.Áreasdesocupadasdevem permanecersemprecomoalarmeligado.Acoberturadevetambémserprovidenciadaparaoutrasáreas,como saladecomputadoresousalasdetelecomunicações. – Asinstalaçõesdeprocessamentodeinformaçõesgerenciadaspelaorganizaçãodevemserfisicamenteseparadas daquelasgerenciadasporterceiraspartes. – Listas telefônicas internas, que identifiquem os locais das instalações de processamento de informações sensíveis,nãodevemficardisponíveisparaopúblico. – Materiaisperigososoucombustíveisdevemserarmazenadosaumadistânciaseguradeumaáreadesegurança. Suprimentosvolumosos,talcomopapel,nãodevemserarmazenadosdentrodeumaáreadesegurançaaté seremnecessários. – Equipamentosparafallbackemídiadebackupdevemficarsituadosaumadistânciaseguraparaevitardanos provocadosporumdesastrenositeprincipal. Segurança Física, Planejamento de Contingências e Recuperação de Desastres Unidade IV – Osdireitosdeacessoàsáreasdesegurançadevemserrevisadoseatualizadosregularmente. Elementos Específicos de Perímetro SegundoanormaISO/IEC17799(2000),paraasegurançadeperímetro,asdiretrizesecontrolesseguintesdevemser consideradoseimplementadosondeforapropriado: – perímetrodesegurançadeveserclaramentedefinido. – perímetrodeumedifícioousitequecontenhafacilidadesdeprocessamentodeinformaçõesdeveserfisicamente seguro(istoé,nãodevehaverbrechasnoperímetroouáreasondeumaentradaforçadapossaocorrercom facilidade).Asparedesexternasdositedevemserdeconstruçãosólidaetodasasportasexternasdevem seradequadamenteprotegidascontraacessonãoautorizado,commecanismosdecontrole,barras,alarmes, trancasetc. – Deveexistirumaáreaderecepçãocomatendentesououtrosmeiosdecontrolaroacessofísicoaositeouao edifício.Oacessoaossitesouedifíciosdeveserrestritoapenasaopessoalautorizado. – Asbarreirasfísicasdevem,senecessário,serestendidasdopisorealaotetorealparaimpedirentradanão autorizadaecontaminaçãoambiental,taiscomoascausadasporincêndioouinundação. – Todas as portas corta-fogo em um perímetro de segurança devem ter alarmes e devem fechar fazendo barulho. Elementos Específicos de Segurança Patrimonial SegundoanormaISO/IEC17799(2000),Osequipamentosdevemserprotegidos,oudispostosfisicamentedeforma adequada,parareduzirosriscosoriundosdeameaçaseperigosambientaisedeoportunidadesdeacessonãoautorizado. Osseguintescontrolesdevemserconsiderados: – equipamentosdevemserdispostosfisicamentedeformaaminimizaracessosdesnecessáriosentreáreasde trabalho; Administração da Segurança da Informação – instalaçõesdeprocessamentoearmazenamentodeinformaçõesquelidamcomdadossensíveisdevemser posicionadasparareduziroriscodeasinformaçõesseremvistascasualmenteduranteseuuso. – itensquenecessitamproteçãoespecialdevemserisoladosparareduzironívelgeraldeproteçãoexigido; – oscontrolesdevemseradotadosparaminimizaroriscodeameaçaspotenciais,taiscomo: – – – – – – – – – – roubos; incêndios; explosivos; fumaça; faltad’água(falhanofornecimento); poeira; vibrações; efeitosquímicos; interferênciasnosuprimentoelétrico; radiaçãoeletromagnética. Segurança Física, Planejamento de Contingências e Recuperação de Desastres Unidade IV Devemserconsideradas,também: – condiçõesambientais,asquaisprecisamsermonitoradasembuscadesituaçõesquepossamafetaraoperação dasinstalaçõesdeprocessamentodeinformações. – utilizaçãodemétodosdeproteçãoespeciais; Fatoresimportantes,queàsvexassãoesquecidosmassãodefundamentalimportânciae,portantodevemserconsiderados são: – oimpactodeumdesastrequeaconteçaemprédiospróximos,incêndiosemedifíciosvizinhos,enchentesou vazamentosdeáguapelotetoouemandaresabaixodoníveldaruaou,atémesmo,apossibilidadedeexplosões narua. Quantoafalhasdeenergia,osequipamentosdevemserprotegidoscontraafaltaoumesmoanomaliasnacorrente elétrica(picosouquedas).Fonteselétricasdevemserprovidasdeacordocomasespecificaçõesdosfabricantesdos equipamentos.Paraseprecaver,aempresadeveráverificarasopçõesparaconseguiracontinuidadenofornecimento deenergiataiscomo: – múltiplasalimentações(evitamumúnicopontodefalha); – “No-Break”–equipamentoparasuprirtemporariamenteaenergiaemcasodefalha; – geradorsobressalente. Os interruptores de energia de emergência devem estar localizados próximo às saídas de emergência nas salas de equipamentos,afimdefacilitarodesligamentorápidodaenergiaemcasode“pane”(emergência).E,nestescasos,a iluminaçãodeemergênciadeveserprovidaemcasodefalhanaenergiaprincipal. Emtodososedifícios,osfiltrosdeproteçãocontraraiosdevemserinstaladoseemlinhasdecomunicaçãoexternas. Alémdisso,oscabosdeenergiaedetelecomunicaçãoosquaistransportamdadosousuportamosserviçosinformatizados devemestarprotegidoscontrainterceptação(“Sniffer”)oudanosacidentaisouprovocados.Paratanto,devemser consideradososseguintescontroles: – linhasdetelecomunicaçõessepossívelsubterrânease/ousujeitasaproteçõesalternativas; – cabeamentoderedeprotegidocontrainterceptaçãonãoautorizadaoudanos, – segregaçãodoscabosdeenergiadoscabosdecomunicaçãoafimdeimpedirinterferência. – Parasistemascríticosousensíveis,controlesadicionaisdevemincluir: – – – – ainstalaçãodecondutoblindadoesalasoucaixastrancadasnospontosdeinspeçãoeterminação; usoderoteamentoalternativooumídiadetransmissãoalternativa; usodecabeamentodefibraótica; iniciação de varreduras em busca de dispositivos não autorizados que possam ser conectados aos cabos. No que concerne à manutenção de equipamentos estes devem ser corretamente conservados para assegurar sua disponibilidadeeintegridadecontinuadas.Osseguintescontrolesdevemserconsiderados: – osequipamentosdevempassarpormanutençãodeacordocomosintervaloseespecificaçõesdeserviço recomendadospelofornecedor. Segurança Física, Planejamento de Contingências e Recuperação de Desastres Unidade IV – apenasopessoalautorizadodemanutençãodeveexecutarosreparoseamanutençãonosequipamentos. – devemsermantidosregistrossobretodasasfalhasocorridasoususpeitadasesobretodasasmanutenções preventivasecorretivas. – controlesapropriadosdevemserrealizadosquandoseenviarequipamentosparaforadaorganizaçãopara manutenção – Todososrequisitosimpostospelaspolíticasdesegurançadevemserobedecidos. ASegurançadeequipamentosforadaempresa,independentementedasuapropriedade,ousodequalquerequipamento foradasinstalaçõesfísicasdaorganizaçãoparaprocessamentodeinformaçõesdeveserautorizadopelagerência.A segurançafornecidadeveserequivalenteàqueladosequipamentos“on-site”(dedentrodaempresa)utilizadosparaos mesmospropósitos,Assim,levando-seemcontaosriscosdetrabalharforadolocaldaempresa. ParaosEquipamentosdeprocessamentodeinformações,nosquaisincluemtodasasformasdecomputadorespessoais, organizadores,telefonesmóveis,papéisououtraforma,quesãomantidosparatrabalhoemcasaouqueestãosendo transportadosparalongedolocalnormaldetrabalhodevemserconsideradasasseguintesdiretrizes: a) Equipamentosemídiasretiradosdoprédiodaorganizaçãonãodevemserdeixadosdesacompanhadosem locaispúblicos.Emviagens,oscomputadoresportáteisdevemsertransportadoscomobagagempessoale disfarçadosondepossível; b) Asinstruçõesdosfabricantesparaproteçãodosequipamentosdevemsersempreobservadas,porexemplo proteçãocontraexposiçãoacamposeletromagnéticosintensos; c) Oscontrolesparatrabalhosemcasadevemserdeterminadosporumaavaliaçãoderiscoseoscontroles cabíveisaplicadosconformeapropriado,porexemplo,armários-arquivostrancáveis,políticade“mesalimpa” econtrolesdeacessoaoscomputadores. d) Coberturadeseguroadequadadeveestarcontratadaparaprotegerequipamentos“off-site”(foradoslimites daempresa); Administração da Segurança da Informação Osriscosdesegurança,taiscomodanos,rouboe“bisbilhotagem”,podemvariarconsideravelmenteentreoslocaise devemserlevadosemcontanadeterminaçãodoscontrolesmaisapropriados. Devemoslembrarqueasinformaçõespodemvazarousercomprometidasatravésdoseudescarteousuareutilização atravésdedescuidoscomosequipamentosqueascomportamtaiscomodisquetes,cd-rom,dvd-rom,“hard-disks”,“pendrives”eoutrosdispositivosdearmazenamentoosquaispodemconterinformaçõessensíveisousigilosase,portanto, devemserfisicamentedestruídosouregravadosdeformasegura.Apagarapenaspodenãosersuficiente,umavezque osdadospodemcomauxíliodeoutrossistemasseremrecuperadososdados. Finalmente,osrelatóriosdescartadosquesãomeramenteamassadosoupoucorasgadosedepositadosemlixeiras,podem serreconstituidosporpessoasmalintencionadaseserafontedeproblemasoufugadeinformaçõesdasempresas, fragilizandooudivulgandodadosimportantesesigilosos.Assim,taispapeisdevemserfitilhadosemmáquinasespecíficas oudestruídosporincineração. Segurança Física, Planejamento de Contingências e Recuperação de Desastres Unidade IV Capítulo 22 – Conceitos e Modelos de Planos de Contingência, Continuidade de Negócios e Recuperação de Desastres “... nem mesmo os acontecimentos de 11 de setembro de 2001 nos EUA, mudaram esta situação para aqueles que não viveram de perto o drama de perder, ou estarem próximos de perder pessoas, ambientes e dados.” ANTUNES (2002) SegundoGODOY(2004),nopassadoaosefalardedesastresseriaamesmacoisaquecitarapenasasameaçasnaturais, taiscomo,terremotos,enchentesoufuracões.Pois,esteseramosgrandesvilõesresponsáveispelaindisponibilidadee pelocaosnasempresas. Noentanto,esteconceitodedesastrevemsendosubstituídoaospoucospeloconceitode“evento”,queéaconcretização deumaameaçapreviamenteidentificada,podendoserseguidoounãodeumdesastre. OPlanodeContingênciaeContinuidadedeNegócios(tambémchamadodePlanodeRespostaaIncidentes,ouPlanode RecuperaçãodeDesastres)descreveasdiretrizeseprocedimentosparatratamentodosincidentes(eventos)desegurança, comoobjetivodeminimizaroriscodeinoperânciaouparalisaçãodoscomponenteseprocessosessenciaisaonegócio. Infelizmente,namaioriadasempresas,osignificadoeutilidadedoPlanodeContingênciaaindasãopoucoclaros.Além disso,desastressãotemasquecarregamforteconotaçãonegativa,porissoosprofissionaisdoramosãovistosmuitas vezescomantipatia,comopessoasquepensamsomenteemproblemas,desastres,sinistros,quandoaempresadeveria estarpensandoem“produtividade”. SegundoanormaISO/IEC/17799(2001),devemserdesenvolvidosplanosparamanterourestaurarasoperaçõesdo negócionasréguasdetempoexigidasseguintesàinterrupção,oufalha,nosprocessoscríticosdonegócio.Oprocesso deplanejamentodacontinuidadedonegóciodeveconsideraroseguinte: – identificareacordartodasasresponsabilidadeseprocedimentosemergenciais; – documentaçãodosprocessoseprocedimentosacordados; – implementarprocedimentosemergenciaisafimdepropiciararecuperaçãoerestauraçãodentrodotempo exigido(comatençãoàavaliaçãodedependênciasexternasedodoscontratosvigentes); – treinaradequadamenteaequipenosprocessoseprocedimentosemergenciaisenogerenciamentodecrise; – realizartesteseatualizaçãodosplanos. Destaforma,todooprocessodeplanejamentopoderáfocar-senosobjetivosrequeridospelonegócio,bemcomonos serviçoserecursosqueserãoutilizadosnesseprocessoparaqueomesmoseefetivecomsucesso. Segurança Física, Planejamento de Contingências e Recuperação de Desastres Unidade IV Capítulo 23 – Práticas de desenvolvimento de Business Impact Analysis (Analise de Impacto nos Negócios) “... para o Plano de Continuidade de Negócios, onde todas as medidas para o estado de vigilância e ações de resposta emergenciais devem estar documentadas e destinadas às equipes de plantão responsáveis pela sua execução.” PLACHTA (2001) O “Business Impact Analysis” (Análise de Impacto nos Negócios) corresponde a uma análise em cada processo da empresaafimdedeterminarqualseriaoseuvalordecustoparaaorganizaçãocasoestesofresseumaparadadevido aumproblemaqualquer,ouseja,qualoimpactoparaaempresaseoprocessoanalisadofosseinterrompido.Assim,o custodeparadadoprocessoéasuaavaliaçãoeadorespectivovaloragregadoqueesteprocessoespecíficosomaao fluxodeprocessosdaEmpresa. Administração da Segurança da Informação Assimestaanálisemensuraocustodaparadadoprocesso,emfunçãodaperdaqueonegóciodaempresasofre.Esta nãoéfundamentalparaaexecuçãodeumPlanodeContinuidadedeNegócios,porémauxiliamuito,nogerenciamentoe atualizaçãodasinformaçõesqueocompõe. Segurança Física, Planejamento de Contingências e Recuperação de Desastres Unidade IV Capítulo 24 – Práticas no desenvolvimento dos Planos “... todos se lembram do pessoal da ‘Segurança ou da Contingência’, não como uma área profissional, mas sim como um ‘bombeiro’, chamado para apagar o ‘incêndio” ANTUNES (2002). SegundoSÊMOLA(2003),adecisãosobrequalmedidaimplementarparagarantiracontinuidadedosnegóciosvariade acordocomaintensidadeeoriscodaameaça,masdevesempreenvolveraparticipaçãoe/ouaprovaçãododepartamento jurídicoedaaltadireçãodaempresa(emalgunscasos,podesernecessáriaaintervençãodeautoridadeseórgãospoliciais também).Umplanodecontingênciaerespostaaincidentesdevecontemplar: – Registrodetodasosincidentesdesegurançasobinvestigação; – Controledainformaçãoduranteainvestigaçãodeumprovávelincidentedesegurança; – Comoagircomofuncionárioenvolvidoqueforconsideradoresponsávelpelaocorrência; – Suspeitadeataquesatravésdevírusdecomputadordequalquertipo; – Suspeitadeviolaçãodeacesso; – Tentativasdelogin,conexãonãoautorizada,análisenaredee/ouservidores; – Comodeveserfeitoorestabelecimentodo(s)sistema(s)atingido(s); – Comoentraremcontatocomafontedoataque. SegundoSOUZA(2004,p.19),umasistemáticadegerenciamentoderiscos,consisteemseguirumaseqüênciadequatro etapasasquaisasempresaspodemseguirafimdeminimizarosefeitosdoriscoe,assim,melhoraremsuaschancesde sucesso.Assim,talsistemáticaécompostapelasetapasqueseseguem: – Identificaçãodosriscos:nessaetapasãoidentificadososriscosaosquaisonegócioestásujeito.Independente dométodoadotadoparaaanálisederisco,essedevecontemplaratividadescomoolevantamentodeativos, definiçãodeumalistadeameaçaseidentificaçãodasvulnerabilidadesdosativos; – Quantificaçãodosriscos:nessasegundaetapasãomensuradososimpactosdosriscosnonegócio.Édurante essaetapaqueferramentascomooBusinessImpactAnalysisdeverãoserutilizadasparaseestimarosprejuízos financeirosdecorrentesdeumapossívelparalizaçãodecadaumadesuasatividades; – Tratamento dos riscos: identificados os riscos, faz-se uma classificação de acordo com a prioridade de tratamento,definindoemseguidaasprovidênciascabíveisaseremtomadas; – Monitoraçãodosriscos–gerenciarosriscoséumtrabalhocontínuoequenãocessacomaimplementação demedidasdesegurança.Éprecisoumacompanhamentoconstante,analisandoodesempenhodasmedidas tomadaserealizandoajustesnasáreasquenecessitem. Para (não) Finalizar NestadisciplinaconhecemosaAdministraçãodaSegurançadaInformação,atravésdosconceitosedasnormasdefinindo padrõesparaaSegurançadaInformaçãonasempresas. VerificamosqueéimportanteaobservânciaasaadoçãodasnormasdeSegurançadaInformação,aconceituaçãobásica deSegurançadaInformaçãoeverificamosoporquêdehaveraspectosdeconformidadeentrealegislaçãobrasileirae ainternacional. PassamosparaaelaboraçãodoplanejamentodeSegurançadaInformaçãoeverificamosmodelosdegestãodeSegurança daInformação. AssimpodemosvislmbraraimportânciaeaformacomosãoelaboradasasPolíticasdeSegurançadaInformação. Apósisso,verificamosalgumasformasdeAnálisedeRiscoseoqueestarepresenta.Vimosalgunselementosdaanálisee descortinamosasabordagensqualitativaequantitativa.Depois,vemosumpoucodaanálisedeprocessosemtecnologia deinformaçãoedosriscosemprojetosdesistemasdeinformaçãoefomosalertadosparaosriscosnacontrataçãode terceiros. EstudadosasPolíticasdeSegurançadaInformaçãoseuselementosesuasextensões,asnormaseprocedimentos necessáriosparacomplementá-laseanalisamos,também,suaimportânciaparaaempresaeoseurelacionamentocom asdemaisáreas. Administração da Segurança da Informação Finalmente,verificamoscomoelaboraraPolíticadeSegurançadeformaaadequaromodeloNBRISO/IEC17799na organizaçãoeadivulgardeformaaconscientizaregarantiraaplicaçãodesta. 0 Referências ANDERSON,Ross.SecurityEngineering–AGuidetoBuildingDependableDistributedSystems,JohnWiley&Sons, 2001. ANTUNES,Edson.PlanejamentodeContingênciaeContinuidadedeNegócios.MóduloSecurityMagazine,26jun.2002. Disponívelem:<http://www.modulo.com.br>.[30jul.2002]. ASSOCIAÇÃOBRASILEIRADENORMASTÉCNICAS.ISO/IEC17799TecnologiadaInformação-Códigodepráticapara aGestãodaSegurançadaInformação.InternationalOrganizationforStandardization,Switzerland,2000. ATKINS,D.,et.al.InternetSecurity:ProfessionalReference.NewRidesPublishing,2nEd.1997. GARFINKEL,S.;SPAFFORD,G.Comércio&SegurançanaWeb-Riscos,TecnologiaseEstratégias.MarketBooksBrasil, 1999. GIL,AntoniodeLoureiro.SegurançaemInformática.2.Ed.SãoPaulo:Atlas.1998. GODOY,MaxBianchi.ASegurançadaInformaçãoeSuaImportânciaparaoSucessodasOrganizações:RiodeJaneiro, Ed.Kirios,2004 INTERNATIONALORGANISATIONFORSTANDARDISATION.DRAFTBS7799-2:2002:Informationsecuritymanagement –specificationforinformationsecuritymanagementsystems.BritishStandardInstitute,London,2001. JALOTE,P.Faulttoleranceindistributedsystems.PrenticeHall,EnglewoodCliffs,NewJersey,1994. NAKAMURA,E.T.;GEUS,P.L.Segurançaderedesemambientescooperativos.SãoPaulo,Berkeley,2002. PLACHTA, Claudio. Plano de Continuidade de Negócios. Módulo Security Magazine, 22 nov. 2001. Disponível em: <http://www.modulo.com.br>.[30jul.2002]. RUFINO,N.M.O.SegurançaNacional-técnicaseferramentasdeataqueedefesadeRedesdeComputadores.Novatec, 2002. SCHNEIER,Bruce.Appliedcryptography:protocols,algorithmsandsourcecodeinC,2ed.JohnWiley&Sons,1996. SÊMOLA,Marcos.GestãodaSegurançadaInformação:UmaVisãoExecutiva.RiodeJaneiro:Campus,2003 SOUZA,LucianeCaliaride.TratamentodeRiscosnoMercadoBrasileirodeEnergiaElétrica,noperíodode1998-2002. Florianópolis:UFSC,2004. STALLING,W.–CryptographyandNetworkSecutiry–PrinciplesandPractice.3ªEd.,Prentice-Hall,2003. STEWART,ThomasA.Capitalintelectual:ANovaVantagemCompetitivadasEmpresas.2ªEd..RiodeJaneiro:Campus, 1998. Sitesdepesquisa: http://www.ogc.gov.uk/ http://www.ibgc.org.br/ http://www.itil.org http://www.itil.co.ok http://www.modulo.com.br http://www.segurancadainformacao.com/