Apresentação...........................................................

Transcrição

Sumário
Apresentação........................................................................................................................................
5
Organização do Caderno de Estudos e Pesquisa ................................................................................
6
Organização da Disciplina ...................................................................................................................
7
Introdução ............................................................................................................................................
9
Unidade I – Conceitos e Padrões de Segurança da Informação ........................................................
11
Capítulo1– HistóricodasNormasdeSegurançadaInformação............................................... 11
Capítulo2– ConceituaçãoBásicadeSegurançadaInformação................................................ 12
Capítulo3– AspectosdeConformidade(LegislaçãoInternacionaleBrasileira).......................... 13
Capítulo4– PadrõeseNormas(NBRISO/IEC17799,
RFC2196,ISO/IEC15408,COBIT)....................................................................... 14
Capítulo5– PlanejamentodeSegurançadaInformação........................................................... 17
Capítulo6– ModelosdeGestãodeSegurançadaInformação................................................... 18
Unidade II – Análise de Riscos ............................................................................................................
21
Capítulo7– IntroduçãoeConceitosFundamentaisdeAnálisedeRiscos................................... 21
Capítulo8– ElementosdaAnálisedeRiscos............................................................................. 23
Capítulo9– AbordagensQualitativaeQuantitativanaAnálisedeRiscos.................................. 25
Capítulo10– AnálisedeProcessosemTI................................................................................... 27
Capítulo11– RiscosemProjetosdeSistemasdeInformação..................................................... 29
Capítulo12– RiscosnaContrataçãodeTerceiros...................................................................... 31
Unidade III – Politica de Segurança da Informação ...........................................................................
33
Capítulo13– DefiniçãodoqueéPolíticadeSegurançaesuasExtensões................................... 33
Capítulo14– DefiniçãodosElementosPolítica,NormaseProcedimentos................................... 34
Capítulo15– AImportânciadaPolíticadeSegurançanaEmpresaeseu
RelacionamentocomasoutrasÁreas.................................................................... 36
Capítulo16– ComoElaborarumaPolíticadeSegurançadeFormaa
AdequaroModeloNBRISO/IEC17799naOrganização......................................... 37
Capítulo17– ComoDivulgar,ConscientizareGarantiraAplicaçãodaPolítica............................ 38
Capítulo18– QuaisosInstrumentosLegaisdeRepreensãoemCasodo
nãoCumprimentodaPolítica................................................................................. 39
Apresentação
Capítulo19– ComoFazerumaRevisãodaPolíticadeSegurança................................................ Unidade IV – Segurança Física, Planejamento de Contingências e
Recuperação de Desastres ...........................................................................................
Administração da Segurança da Informação
41
Capítulo20– ConceitosdeSegurançaFísica,Segurançade
PerímetroeSegurançaPatrimonial....................................................................... 41
Capítulo21– ElementosespecíficosdeSegurançaFísica,
SegurançadePerímetroeSegurançaPatrimonial.................................................. 43
Capítulo22– ConceitoseModelosdePlanosdeContingência,
ContinuidadedeNegócioseRecuperaçãodeDesastres......................................... 47
Capítulo23– PráticasdedesenvolvimentodeBusinessImpactAnalysis..................................... 48
Capítulo24– PráticasnodesenvolvimentodosPlanos................................................................ 49
Para (não) finalizar
40
........................................................................................................................
50
Referências ...........................................................................................................................................
51
Introdução
“A nossa tarefa na vida não é ultrapassar os outros, mas passar à frente de nós mesmos – quebrar
os nossos recordes, superar o nosso ontem com o nosso hoje, realizar o nosso trabalho com mais
intensidade do que nunca.”
(Stuart Johnson)
APolíticadeSegurançadaInformaçãotornou-seuminstrumentofundamentalparaasempresasdehoje.Veremosdesde
aadoçãodasnormasdeSegurançadaInformação,aconceituaçãobásicadeSegurançadaInformação,veremosoporquê
dosaspectosdeconformidadenalegislaçãobrasileiraeinternacional,oplanejamentodeSegurançadaInformaçãoeos
modelosdegestãodeSegurançadaInformação.
Apósisso,estudaremosaAnálisedeRiscos,começandopelosconceitosfundamentaisdeanálisederiscos,veremosos
elementosdaanálise,asabordagensqualitativaequantitativa,aanálisedeprocessosemtecnologiadeinformação,os
riscosemprojetosdesistemasdeinformaçãoeosriscosnacontrataçãodeterceiros.
Assim,passaremosparaaPolíticadeSegurançadaInformaçãoesuasextensões,oselementosPolítica,normase
procedimentosnecessáriose,após,analisaremosaimportânciadaPolíticadeSegurançanaempresaeseurelacionamento
comasoutrasáreas,comoelaborarumaPolíticadeSegurançadeformaaadequaromodeloNBRISO/IEC17799na
organizaçãoedivulgar,conscientizandoegarantindoaaplicaçãodapolítica.
Finalmente,observaremosoqueéequaisoselementosdasegurançafísica,doplanejamentodecontingênciaseda
recuperaçãodedesastres,veremososconceitoseummodelosimplificadodePlanosdecontingência,continuidadede
negóciosedarecuperaçãodedesastres,algumaspráticassobreopráticasdedesenvolvimentodeBusinessImpact
Analysiseterminaremosobservandoaspráticasnodesenvolvimentodosplanos.
Unidade I
Conceitos e Padrões de
Segurança da Informação
Capítulo 1 – Histórico das Normas de Segurança da Informação
“A verdadeira aprendizagem está intimamente relacionada com o que significa ser humano. Por
intermédio da aprendizagem nós nos recriamos, tornamo-nos capazes de fazer o que nunca conseguimos
fazer.”
(Peter Senge, 1990).
Foi criado pelo departamento de comércio e indústria do Reino Unido (DTI), em 1987, um centro de segurança de
informaçõesdenominadoCCSC(CommercialComputerSecurityCentre–CentrodeSegurança)oqualtinhaaincumbência
decriarnormasdesegurançadeinformaçõesparaaquelepaíse,apartirde1989,forampublicadosdiversosdocumentos
comestefim.
Em1995,oCCSCpublicouaprimeiraversãodaBritishStandart7799(BS7799-1),conhecidacomo“CodeofPractice
forInformationSecurityManagement”,tratandoespecificamentesobresegurançaemtecnologiadainformação.Tal
documentocorrespondeuaumCódigodepráticaparagestãodasegurançadainformaçãonasempresasefoichamado
deParte1,umavezqueanormaBS7799-1teve,em1998,umasegundapartepublicada.
Assim,em1998,oCCSCpublicouumaprimeiraversãodaParte2daBS7799,aBS7799-2,quetratouarespeitodos
SistemasdeGestãodaSegurançadaInformação,suasespecificações,sendoumguiaparautilização.
Destaforma,podemosdizerqueanormaBritishStandart7799foiumdocumentodisponibilizadoaopúblicoemduas
partes,sendoaprimeiraem1995easegundaem1998.
Em1999aBS7799-1(Parte1)sofreuumarevisãoqueacresceuconceitosdezoneamentodesegurança,subdividindo
emtrêscamadase,naqueleano,sendoestapublicadapeloCCSC.
Em2000,baseadonaParte1daBS7799,houveapublicaçãodaversãoinicialdanormaISO/IEC17799,arespeitode
segurançaemtecnologiadainformação,seconstituindoemumCódigodePrática.
NoBrasil,em2001,foipublicadaaprimeiraversãodanorma,quesechamouNBRISO/IEC17799,sendoumaversão
muitosemelhanteaParte1danormainglesaBS7799,tambémcomoumCódigodePrática.
OCCSC,em2002,publicouumrevisãodaParte2danormaBS7799(BS7799-2),comrespeitoaGestãodaSegurança
daInformação,commaisespecificaçõeseumguiaparasuautilizaçãoprática.
Em2005,precisamentenomêsdeagosto,houve,noBrasil,umanovapublicaçãodeumasegundaversãodanormaNBR
ISO/IEC17799,ajustando-aasatualizaçõesocorridasanteriormente.
Naquelemesmoano(2005),nomêsdeoutubro,foipublicadaanormaISO27001apresentandoatécnicasdesegurança
erequisitosparaumsistemadegestãodaSegurançadaInformação.
Porfim,emsetembrode2001,aABNThomologouaversãobrasileiradanorma,denominadaNBRISO/IEC17799.
Conceitos e Padrões de Segurança da Informação
Unidade I
Capítulo 2 – Conceituação Básica de Segurança da Informação
“Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim
como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados,
em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da
documentação e do material, das áreas e instalações das comunicações e computacional, assim como
as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento
(COMITÊ GESTOR DA SEGURANÇA DA INFORMAÇÃO, 2003).
SegundoGODOY(2004),aoserconsiderandoovalordainformaçãonasociedadeatualeoníveldedependênciadas
empresas e de seus executivos na tecnologia e nos sistemas de informação, podemos compreender porquê o tema
“segurança da informação” ganhou papel de destaque nas empresas. De fato, os altos índices de informatização,
conectividadeecompartilhamentodedadoscontribuíramparaaumentarasvulnerabilidadesdossistemascorporativos
quegerenciamainformação.Comisso,incidentesquelevamàperdadedados,ouindisponibilidadedeserviços,passaram
aafetardiretamenteosresultadosdonegócioeovalordasempresas.
ConformeanormaISO/IEC/17799(2001),podemoscaracterizarasegurançadeinformaçõescomoapreservaçãoda:
– confidencialidade(informaçãoacessadaapenasporquemfoipreviamenteconcedidooacesso);
– integridade(informaçõesemétodosdeprocessamentopreservadosemsuainteirezaeexatidão);
– disponibilidade (garantia que usuários autorizados acessem às informações e sistemas quando for
necessário).
Unidade I
Capítulo 3 – Aspectos de conformidade (legislação internacional e brasileira)
“... uma norma tem o propósito de definir regras, padrões e instrumentos de controle que dêem
uniformidade a um processo, produto ou serviço”
Sêmola (2003).
SegundoANDERSON(2001),duranteséculos,oslimitesdapropriedadeedaprivacidadeforamdefinidoseprotegidos
atravésdousodecadeados,cercas,assinaturaselacres,esuportadosporumaamplagamadeinvençõessociaisque
incluíamacordosinternacionais,legislaçõesnacionaisou,apenascostumeseregrasmoraiseéticas.
Contudo,comostratadosdecomércioe,maisrecentemente,comaGlobalização,asempresasperceberamqueprecisavam
deformasquefacilitassemessesistemacomplexodetrocasconstantesdebenseserviços,atravésdautilizaçãoda
moedasafimdeconcretizaremsuasrelaçõescomerciaisefinanceiras.Diantedisso,ésaudávelquetodasasempresas
procuremumabasecomumquefaciliteasuainteraçãoepossaaumentaraconfiançaepossambuscarelementose
padrõesparaaumentarsuacompetitividadeereconhecimentomercadológico,procurandodiferenciaiscompetitivosnão
apenasanívellocal,masanívelmundial.
Apartirdesseavançoseviuanecessidadedequenormassurgissemparasugerirbasescomuns,cadaqualcomasua
especificidade,E,assim,foramsurgindocritérios,padrõeseinstrumentosdecontrole,osquaispodiamseraplicádos
parcialmenteoutotalmenteemfunçãodanaturezadecadanegócio.Estesforamaospoucoscriandoumaculturae
recebendooreconhecimentomundialdediversossegmentosespecíficos,sobretudonosquemaisserecentiampela
antigafaltadepadrões.
Àssim,namedidaqueosnegóciospassaramaseutilizarmaisdastecnologiasdeinformaçãoafimdesuportarseus
processosprodutivoseoperacionais,ainformaçãofoisetornandocadavezmaisimportanteparaasempresasetêmse
tornadoumingredientevitalasobrevivênciaeacontinuidadedasorganizações,sendoqueaproteçãodessasinformações
passaramaserprimordiaisaoseusucesso.
Hoje,atecnologiadainformaçãodeixoudeserumameraauxiliarnosprocessosoperacionaisepassouaserativanas
relaçõescomerciaiseaprotagonizarodesenvolvimentodasempresas,servindodecanalparaatrocadeinformações
e intermediadora das transações comerciais. Claro que, para tanto, é necessária uma grande integração do parque
tecnológico,quemesmosendoextremamenteheterogêneo,tembuscadoformardeaumentarsuainter-conectividadee
demanteremsalvaguardaassuasinformaçõeseadeseusparceiroscomerciais,defornecedores,clientese,sobretudo,
asinformaçõesprivilegiadasesigilosasdaprópriaempresa.
Assim, o mercado tem gradativamente chegado a um alto nível de automação, com uma grande necessidade de
compartilhamentodeinformaçõesquetemmotivadoosurgimentoeacompilaçãonormasespecíficasafimdeorientar
acriaçãodepadrõeseumanecessidadecrescentedagestãodesegurançadainformação.
Nabuscadessespadrões,alémdenormas,apróprialegislaçãodospaísesvemseadequandopaulatinamenteàlegislação
internacionalafimdefacilitarasrelaçõescomerciaisefazerfrenteanovosproblemasadvindoscomoavançotecnológico,
relacionadoàfraudes,furtoseoutrosproblemasinerentesaousoporpessoasmalintencionadasdatecnologia.
Unidade I
Capítulo 4 – Padrões e Normas (NBR ISO/IEC 17799,
RFC 2196, ISO/IEC 15408, COBIT)
“Normas e padrões têm por objetivo definir regras, princípios e critérios, registrar as melhores
práticas e prover uniformidade e qualidade a processos, produtos ou serviços, tendo em vista sua
eficiência e eficácia.”
BEAL (2005, p. 36)
Norma NBR ISO/IEC 17799
Estanormadescreveoscontrolesdesegurançaquesãorequeridosnoambientedasempresasedissertaqueossistemas
degestãodesegurançadainformaçãodevemsefocarnagestãoderiscosafimdeatingirosobjetivosde:melhorara
informaçãoempresarialarespeitodossistemasdetecnologiadainformaçãoafimdemelhorarsuasegurança;quantificar
eanalisarfraquezaseventuaisdosativosdeinformaçãoepermitirqueagerênciatomedecisõesfundamentadassobre
gestãoderisco,eventualmentejustificandodespesasalocadasaestefim.Comovimosanteriormente,estanormafoi
inspiradapelaBS7799,desenvolvidanaInglaterra.
Segundo WOOD (2002), a Norma da “International Organization for Standardization/International Electrotechnical
Commission”–ISO/IEC17799,cujaadoçãonoBrasilsedeupormeiodaNormadaAssociaçãoBrasileiradeNormas
Técnicas–ABNTNormaBrasileiradeReferência–NBR17799(ABNT,2002),ouadescriçãoderecomendaçõesde
institutosdetecnologiaedepadrõesinternacionalmenteaceitos,partindodepressupostosdescritoserepresentando
melhorespráticas.
Anormafoirevisadaemjunhode2005,passandoporalgumasmodificaçõesestruturaistaiscomooincrementode
dezessetecontrolesnovosadmitidos,umnovocapítulosobreaGestãodeIncidentesdeSegurançadaInformação,uma
cláusulasobreãavaliaçãoeotratamentodoriscoeainserçãodeonzecláusulasdecontroledesegurança.
Especificamentecomrelaçãoaestanorma,acrescentamosqueelaprocuracobrirdiversostópicosreferentesàárea
desegurançaemtecnologiadainformaçãoe,assim,possuiumgrandenúmerodecontroleserequerimentososquais,
aoseremcumpridos,podemmelhorarou,decertaforma,garantirasegurançadasinformaçõesemumaempresa.Além
disso,apresentaumCódigodePráticaparaaGestãodeSegurançadaInformação,apresentandocercade10domínios
reunidosem36grupososquaissedesdobramem127controles.
ComosetratadeumCódigodePrática,estapartedanormanãovemaserobjetodecertificação,masrecomendaum
amploconjuntodecontrolesquevieramaauxiliaremmuitoosresponsáveispelagestãodeSegurançadaInformação
nasempresas.
Norma RFC 2196
ARFC2196,SiteSecurityHandbook,descrevepolíticaseprocedimentosdesegurançaparasitescomsistemasna
Internet.
Conformeafirmaemsuaintrodução,estedocumentotemoobjetivoodeserumguiaparadesenvolvimentode
políticasdesegurançaeminformáticaeparaosprocedimentosdesitesqueapresentamsistemasdisponíveisna
Internet.
Unidade I
Destaforma,apresentacomopropósitoodeserumaespéciedeguiapráticoaosgestoresparatentarfornecermaior
segurançaaumagrandevariedadedeinformaçõeseserviços.Osassuntosabordadosincluemosconteúdosdepolíticas
desegurançaesuaformação,algunstópicostécnicosespecíficosdesegurançaderedes,epossíveisatitudesquedevem
sertomadasfrenteaincidentesdesegurança.Emresumo,odocumentoRFC2196tratadasPolíticasdeSegurança,
daarquiteturadosplanosdesegurançaedaproteçãoaosserviços,dosserviço
Norma ISO/IEC 15408
AnormaISO/IEC15408tratadasegurançadosprocessosdedesenvolvimento,manutençãoeanálisedesistemas
informatizadoseapresenta-sesubdivididaessêncialmenteemtrêspartesquesão:definiçõesemetodologia,requisitos
desegurançaeasmetodologiasdeavaliação.
Estanormasurgiuafimdebuscaraunificaçãodospadrõesdesegurançaeuropeuenorteamericano,visandogarantir
asegurançadosoftwareeprocurandosatisfazerosprincípiosdasegurançadainformação.
Paratanto,elaéutilizadatantonodesenvolvimentocomonaanálisedesistemaseaplicaçõesprontas,Ganhouimportância
devidoàbuscacrescentedasempresasdeinvestirnaproteçãoesegurançadesuasinformações.
Especificamente,aISO15408abordaasdefiniçõesdoscomponentestécnicosdesegurançaosquaisvisamumprocesso
deavaliaçãodesistemas.EsteprocessoéconhecidocomoCommonCriteria(CritériosComuns)eseuobjetivoprincipalé
discutirdefiniçõesemetodologiaseavaliações,listandoumconjuntoderequisitosdesegurançaemsistemas.Apartede
avaliaçãocontémclassessimilaresasdeespecificaçõesondeasclassessereferemagerenciamentodeconfiguração,
entregaeinstalaçãodesoftware,edesenvolvimentoedocumentação.
COBIT
OCOBIT(ControlObjectivesforInformationandRelatedTechnology–ObjetivosdeControleparaInformaçãoe
Tecnologia)foidesenvolvidopelaISACA(InformationSystemAuditandControlAssociation)nadécadade90temcomo
principalobjetivoodetratarofluxodeinformaçõesquevenhaacontribuirparaumbomplanejamentoestratégico,
adistribuiçãoderesponsabilidadesegerenciamentodosrecursos.Assim,trata-sedeummodelodegovernançade
TIquealinhaosprocessoserecursoscomosobjetivosdonegócio,apartemonetária,aqualidadeeasnecessidades
desegurança.
Segundo CACIATO (2005), o COBIT possibilita que a organização, através de indicadores de performance, possa
monitoraroquantoaáreadetecnologiadainformaçãoestáagregandovaloraosnegóciosdaempresa,sendocomposto
porquatrodomíniosquesão:oplanejementoeorganização(níveltáticoeestratégico–metasdonegócio);aquisiçãoe
implementação(efetuaaestratégiadeTI);entregaesuporte(atendimentodasnecessidadesdosusuáriosemrelação
aosserviçosprestados);emonitoramento(verificaeavalia–eficiênciaqualitativa).Taisdomíniossãoencadeadospor
umasériedeprocessos.
Assim,oCOBITatuanoscontroles,asmetodologias,pessoas,sistemas,infra-estrutura,ferramentasde“workflow”
(fluxo)enosdemaisrecursosquesãoosmecanismos,queirãotransformarosinputsedemandas,sobretudodaáreade
TI,emsoluçõeseserviçosdecomvaloragregadoaonegócio.
Unidade I
Memo
F7098891Max
0
0
OpenDocument
mail/dom10100
($Inbox)
F7098891Max
maxgodoy@b
OqueéCOBT
Enviados
True
F7098891
0
1
0
20/09/2008
Web
0
F7098891
maxgodoy,ma
OqueéCOBr
F7098891Max
F7098891Max
20/09/200812
Favorrespon
F7098891
20/09/0812:3:
Favorrespond
–SemTítulo–
OqueéCOBr
PT
CN=F7098891
maxgodoy@
stdNotesLtr98
F7098891Max
Unidade I
Capítulo 5 – Planejamento de Segurança da Informação
“... preciso entender como a tecnologia da informação está alterando nosso negócio e preciso assegurar
que nossa organização utilize eficazmente a tecnologia. Por conseguinte, passo grande parte de meu
tempo tentando entender as implicações das novas tecnologias”
NEWMAN (1994)
SegundoGODOY(2004),odifícilparaaempresaédeterminaroquevaieoquenãoprecisaserprotegido.Quandofalamos
emprotegerinformaçõesdevemospensarquaisinformaçõesnãoprecisamserprotegidas.Umavezdefinidasquaissão
énecessárioseidentificarosrequisitosdesegurançanecessáriosparataleoseucusto.
Apósseremidentificadososrequisitosdesegurança,estesdevemserselecionadoseimplementadoscontrolesafim
degarantirqueosriscossejamreduzidosaumnívelaceitável.Taiscontrolespodemserselecionadosapartirdeum
documentoondeconstemtaisrequisitos,oudeoutrosconjuntosdecontroles.Assim,novoscontrolespodemserprojetados
afimdesatisfazerasnecessidadesespecíficasdaempresa.
Várioscontrolespodemserconsideradoscomoprincípiosorientadoresquefornecemumbompontodepartidapara
implementaçãodasegurançadeinformações.Taiscontrolessãobaseadosnasexigênciaslegaisoucomoamelhor
práticaaserrealizadaafimdeatingirummelhorníveldesegurançadainformação.Assim,lembramosquearelevância
dequalquercontroleédeterminadasobaóticadosriscosespecíficosenfrentadospelaempresa.
SegundoanormaISO/IEC/17799,oscontrolesconsideradosdopontodevistalegal,comoessenciaisparaumaempresa,
são:
– aproteçãodedadoseprivacidadedeinformaçõespessoais;
– osdireitosàpropriedadeintelectual;
– aguardaàsalvodosregistrosorganizacionais.
Amesmanorma,alémdoscontroleslegaisessênciaisvistosacima,consideracomocontrolesde“melhorpráticacomum
paraasegurançadeinformações”osreferentesa:
– alocarresponsabilidadesquantoàsegurançadasinformações;
– estabelecerpolíticadesegurançadeinformaçõesexpressaemdocumento;
– treinareeducarparasegurançadasinformações;
– relatarformalmenteosincidentesdesegurança;
– gerenciaracontinuidadedonegócio.
SegundoanormaISO/IEC17799(2000),oscontrolesdevemserselecionadosconsiderandoocustodesuaimplementação
emrelaçãoaosriscosqueestessepropõemareduzireaosprejuízosquepoderiamocorrercasohouvesseumaquebra
desegurança.Devemserconsiderados,também,osfatoresnãomonetários,comoaimagemdaInstituição,suaperda
dereputaçãofrenteaosclientes,fornecedoreseasociedade.
Assim,aoserescolhidooqueseráprotegido,comoserãoequecontrolesserãoutilizadosparaverificaraefetividade
dessaproteção,bemcomoaintegridade,confidencialidadeedisponibilidadedosdados,érecomendadoquesejamontado
umdocumentoquedescrevaoqueserárealizado,osriscosqueaindapersistemesugestõesdecomoesepoderãoser
mitigados.
Unidade I
Capítulo 6 – Modelos de Gestão de Segurança da Informação
“... a probabilidade de que agentes, que são ameaças, explorem vulnerabilidades, expondo os ativos a
perdas de confidencialidade, integridade e disponibilidade, e causando impactos nos negócios. Estes
impactos são limitados por medidas de segurança que protegem os ativos, impedindo que as ameaças
explorem as vulnerabilidades, diminuindo assim o risco.“
SÊMOLA (2003, p. 56).
Conformecitamosanteriormente(noCapítulo1),apartirdaparte2danormaBS7799–2,publicadaem1998erevisada
em2002,foramdefidasasbasesnecessáriasparaumSGSI.
Assim,umSistemadeGerenciamentodaSegurançadaInformaçãoéumsistemadegestãosemelhanteumsistemade
controledaqualidadetotale,comotal,podesercertificadoapartirdasprtáticasededocumentosoriundosdoconjunto
decontrolesqueforamimplantados.
Taiscontrolesprecisamserregistradosecontinuamenteexecutados.Assim,estemodelodegestãobaseia-senociclo
demelhoriacontínua,conhecidocomo“PDCA”“Plan-Do-Check-Act”(Planejar,Fazer,VerificareAgir)
Figura 1 – Ciclo de um SGSI = PDCA.
ParaaimplantaçãodeumSGSIénecessárioqueaempresarealizeumadetalhadaanálisedeseusprocessos,identificando
a existência de superposição de controles ou normas, e como se processa a complementaridade entre seus vários
processos.
Apósisso,passamosaimplantaçãodagestãodesegurançadainformaçãoquecomeçapeladefiniçãodedositens
especificadoscomovitaisparaaatividadedaempresaeseestãonospadrõesdesegurançaexigidoseemquese
distanciamdestes.
Outra das primeiras medidas a serem tomadas e buscar de todos os representantes dos mais diversos setores da
organizaçãooseucomprometimento comapolíticadeSegurançadaInformaçãoqueseráimplantada/alterada. Tal
comprometimentoseráobtidoatravésdoesclarecimentodaimportânciaedosriscosqueaempresaestariacorrendo.
Alémdisso,ocomprometimentoseráratificadoatravésdacriaçãodeumcomitêdesegurançadainformação(podendo,
deacordocomotamanhodaempresaserumFórum),oqualiráagendarreuniõesregularesafimderespaldarotrabalho
aserdesenvolvido.
Unidade I
Estecomitêterácomofunçãoadedefinirosníveisderiscoaceitávelpelaorganizaçãoeelaborarumametodologiade
implementaçãoparaoprojetodesegurançadainformação.
A elaboração da metodologia é uma tarefa complexa devido aos níveis de detalhamento e aspectos específicos da
organizaçãoaseremlevantados,tantoparaostécnicosquantoparaosgerenciaisaplicáveis.Dessaanáliseadviriaa
soluçãodeseimplantareacompanharainstalaçãodeumSistemadeGestãodaSegurançadaInformaçãonaorganização
esuasimplicaçõesouimpactonoprocessoprodutivo.
Apósessaanálisedaempresa,oComitê,deveestabelecerumaPolíticadeSegurançadaInformação,aqualparaser
construídapodemsertomadascomobaseospadrõesenormasapresentados,sobretudoaBS7799/ISO17799eaRFC
2196(1997).
Depois, segue-se a definição do escopo a qual inclui o levantamento dos ativos que serão envolvidos (sistemas,
equipamentos,comunicação,internet,rede,infra-estruturaetc.)eaclassificaçãodainformação.Destelevantamentoé
geradaumadeclaraçãodeescopo,quedeveserrevisadae,casonecessário,corrigida.Lembramosquequantomaioro
escopomaioracomplexidadedoSGSIaserimplementado.
Aanálisederiscossegueafimdedeterminaraquaisriscosessesativosestãosujeitosecomomitigá-los.Assim,passamos
aoGerenciamentodeRiscosquerepresentaumprocessocontínuo,oqualnãoterminaapenascomaimplementação
demedidasdesegurança,realizandoumamonitoraçãoconstante-eparatantoénecessárioseelegerresponsáveis,
épossívelquesejamidentificadasquaisseriamasáreasbemsucedidasnessecontroleequaisasquenecessitamde
ajustesourevisão.
Devemosteremmentequeépraticamenteimpossíveloferecerproteçãototalcontratodasasameaçasexistentes,
portantoénecessárioidentificarosativosprincipaiseaspioresvulnerabilidadesquepossuemeverificarpossíveis
ameaças,afimdemitigar(diminuir)orisco.
Talatitudepossibilitaapriorizaçãoderecursoseesforçoscomsegurançaondeémaisnecessário.Resumidamente,após
osriscosteremsidoidentificados,aorganizaçãodefiniráquaisasuaprioridadeparatratadoseasmedidasdesegurança
quedevemserimplementadasmaisrapidamente.
Unidade II
Análise de Riscos
Capítulo 7 – Introdução e Conceitos Fundamentais de Análise de Riscos
“A distinção entre interna e externa, polícia e exército, crime e guerra, guerra e paz – que subjazem
à nossa concepção do mundo – desapareceram, e necessitam ser renegociadas e reimplantadas.”
BECK, (2002, p. 3)
Antesdeestudarmosumpoucodaanálisederiscosénecessárioquepossamosentenderosconceitosqueseseguem:
Ameaça
SegundoGODOY(2004),emsegurançadainformação,umaameaçarepresentaumaaçãooucondiçãocapazdecausar
incidentes que possam comprometer as informações e seus ativos, e que se consuma após identificar e explorar
vulnerabilidadescompatíveis.
Assim,taisameaçaspodemser:naturais(comoumdesabamento,umaexplosão,umincêndio,umainundaçãoetc.),
involuntárias(decorrentesdeacidentesoudeerros)ouvoluntárias(malintencionadastaiscomoaaçãodehackers1,
crackers2,fraudadores,disseminadoresdevírusdecomputadoretc).
Vulnerabilidades
Asvulnerabilidadessãopontosdefalhaspotenciaisemumativoqueofragilizam,ouseja,algoqueépossíveldeser
exploradoporalgumaameaçaeefetivarumprejuízooudano.
Risco
Oriscopodeserdefinidocomoapossibilidadedeperdadedeterminadoativo,bem,informação,quepodemocorrer
medianteaadoçãodedeterminadocursodeação.Pode-semediroriscoemtermosdavalor(utilidadesmonetárias).
Contudo,oriscopodeserminimizado,masdificilmentepodeserintegralmenteeliminado.
Riscos Internos
Osriscosinternossãoosoriundosdapossibilidadededanoscausadosporfuncionáriosdesonestosoumalintencionados,
osquais,nomundodigital,podemserdemaioresproporções,poiséondepredominaoconhecimentoespecializado.O
1
Hacker–“Emtermosgeraisumhackeréalguémquegostadeexplorartodososaspectosdossistemasdeinformática,incluindosistemasdesegurança.Apalavra‘’hacker’’
significa,paraamaioriadosutilizadores,apessoaqueviolaasegurançadesistemasdeinformática.”Disponívelem:<http://bvi.clix.pt/glossario/#e23>.[16abr.2003].
2
Cracker–“Indivíduocomaçõesmaisdestrutivasqueumhacker,poisinvadeosistemadesegurançadeumcomputadorourededecomputadorescomoobjetivoderoubar,
destruirouapagarinformações.”Disponívelem:<http://dicas.bol.com.br/ferramentas/glossario.jhtm#h>.[16abr.2003].
Análise de Riscos
Unidade II
programadorqueescreveumsoftwaredesegurançapodecolocaruma“portadosfundos”;apessoaqueinstalaum
firewallpodedeixarumaaberturasecreta;eassimpordiante.Cautelanaseleçãodopessoalpareceserasolução
óbvia,masestamedidadevesercomplementadaporauditoriasperiódicas,quepoderãodetectarosdanosocorridose
responsabilizarosculpados.(SCHNEIER,2001;SÊMOLA,2003).
Análise de Riscos
AAnálisedeRiscos,queseconcentranoestudoenarelaçãoentreosativos,suasvulnerabilidades,aspossíveisameaças
enoimpactoquecadaameaçapodecausar,casoseefetive.
SegundoALBERTS&DOROFEE(2002),váriasmetodologiasdeanálisederiscotêmsidopropostase,emsuagrande
maioria,apresentamsoluçõesdecustoelevadoderealização.
Medidas de segurança
Sãoaçõesprojetadaseoperacionalizadaspara“[...]evitar/barrar/conter‘causas’,ouparaminimizar/eliminar‘conseqüências’
deameaçaslatentesoupotenciais[...],emfacedavulnerabilidadedeumbem,[...][dentrodo]seuperímetrodeproteção.
“(GIL,1998,p.18).
Elaspodemserpreventivas(quandooobjetivoéevitaraocorrênciadedeterminadaameaça);dedetecção(quando
buscamflagraraocorrênciadeumaameaça);corretivas(quandovisameliminareminimizarasconseqüênciasde
determinadaameaça;ourestauradoras(quandoametaérestabelecerasistemáticaoperacionaleasituaçãode
normalidade).
Análise de Riscos
Unidade II
Capítulo 8 – Elementos da Análise de Riscos
“Quem olhar o mundo como um risco de terror, torna−se incapaz de agir. É esta a primeira armadilha
armada pelos terroristas. A segunda: a manipulação política da percepção do risco de terrorismo
desencadeia a necessidade de segurança, que suprime a liberdade e a democracia. Justamente as
coisas que constituem a superioridade da modernidade. Se nos confrontarmos com a escolha entre
liberdade e sobrevivência será já demasiado tarde, pois a maioria das pessoas escolherá situar-se
contra a liberdade. O maior perigo, por isso, não é o risco mas a percepção do risco, que liberta
fantasias de perigo e antídotos para elas, roubando dessa maneira à sociedade moderna a sua
liberdade de ação”.
BECK (2002, p. 1)
Ofatorprimordialdeumaanálisederiscosédeterminarquaisosativosquevamosprotegereaqueriscosestesestão
expostos?Protegertudoé,quasesempre,inviávelouimpossível.
Devemosteremmentequenenhumaameaçaétotalmenteinócuaquandooassuntosãoosativos,conhecimentoeos
sistemasdeinformaçãodeumaempresa.Otempodespendidocomaleituradeumamensagemdecorreioeletrônico
irrelevante,porexemplo,járepresentaaperdadeumativoimportante:otempo.Nãohácomonegarqueamagnitude
doimpactonosnegóciospodevariar,comrepercussõesmuitooupoucosignificativas.Issodependedousoqueéfeito
dainformação,decomoestainformaçãoafetaonegócioeprincipalmenteatéquepontoadivulgação,corrupçãoou
deleçãodainformaçãopodeafetarnegativamenteaorganização.
Parasabercomoeondeinvestirprioritariamente,osadministradoresprecisamconhecerarealsituaçãodesegurança
daempresa.Aanálisederiscosevulnerabilidadeséoprimeiropassoemqualquersoluçãodesegurançaeaprincipal
ferramentautilizadapelosadministradores.Tambémchamadasimplesmentedeavaliaçãoderisco,estaferramenta
envolveaanálisedevulnerabilidades,ameaças,probabilidadedeocorrência,perdaouimpactoeeficáciateóricadas
medidasdesegurançaescolhidas.
SegundoSêmola(2003),aanálisederiscosdevecomeçarcomacoletadeevidênciaseidentificaçãodasameaçase
vulnerabilidadesdosativos.Dadaaimpossibilidadedecoletartodasasevidênciasatravésdedispositivosautomatizados
ouinformatizados,estafasetambémprecisaenvolverentrevistascomgestoreseusuários,observaçãocomportamental
einspeçãofísica,alémdoestudodedocumentoseanálisestécnicasdosativostecnológicos.Estafaseresultana
formaçãodeumaamplaBasedeConhecimentoqueseráfundamentalparasuportarasaçõesdediagnósticoeoprocesso
detomadadedecisão.
Assim,umavezcoletadasasevidências,aempresapoderámontarummapaderelacionamentodecausaeefeitoque
considere:
– arelevânciadeumprocessoparatodoonegócio;
– arelaçãodedependênciaentreumoumaisprocessosdenegóciocomoativo;
– qualificaçãodasvulnerabilidadesdecadaativo;
– qualificaçãodasameaçaspotenciais;
– probabilidadedaameaçaexplorarumavulnerabilidade;
– severidadepotencialdaexploraçãodoativo;
Análise de Riscos
Unidade II
– osimpactosdaconcretizaçãodeumaameaça;
Munidosdestesdados,osgestoresdaempresapodemmodelarcontramedidasespecíficaseelaborarprogramasde
gestãoderiscosparaoperímetrodaempresa.Poroutrolado,afaltadeumadefiniçãoclaradasituaçãodesegurança
daempresaimpedequeosadministradoresdeterminemcorretamenteoorçamentoparaseusplanosderecuperaçãode
desastres.
Análise de Riscos
Unidade II
Capítulo 9 – Abordagens Qualitativa e Quantitativa na Análise de Riscos
“Uma organização é uma entidade social conscientemente coordenada com uma fronteira relativamente
identificável, que funciona em uma base relativamente contínua para atingir um objetivo comum ou
um conjunto de objetivos”.
ROBBINS (1990)
Existemduastendênciasdelinhasmetodológicasparaaanálisederiscos:aquantitativaeaqualitativa
Abordagem Quantitativa
AAnáliseQuantitativamedeosimpactosfinanceirosprovocadosporumincidenteemfunçãodavalorizaçãodosativos
atingidos.
Destaforma,aAnálisedeRiscoQuantitativaconsistenaquantificaçãodosdiferenteselementosdorisco,sobretudo
comdestaquenaprobabilidadedaocorrênciaenaseveridadedasconseqüências.
Comovantagens,aquantitativaapresentaresultadosmaisobjetivos(mensuráveis),apuraçãodocusto/benefício,
exposiçãoemlinguagemmaisobjetivae,sobretudo,permiteumaanálisedoefeitodaimplementaçãodemedidas
mitigadorasoudecontroledoriscooudecontrolederiscoemempresasouemprojetos.Contudo,comolimitações,
prescindedemetodologiasestruturadasnaapuraçãodoscustos,dosrecursos(necessárioseemformação),existe
umarazoávelcomplexidadeelentidãonosemseucálculo(maisapurado)eexigeumamaiorquantidadeequalidade
nasinformaçõesnecessárias.
Abordagem Qualitativa
JáaAnáliseQualitativaestimaosimpactosaonegóciocausadospelaexploraçãodeumavulnerabilidade.SegundoSêmola
(2003,p.108-113),ométodoqualitativopermitelevaremconsideraçãoasinúmerasvariáveis,endógenaseexógenas,
queextrapolamosaspectostecnológicosepodemalteraronívelderiscodeumnegócio.Asvariáveisendógenastratam
deaspectoshumanos,físicoselegais;enquantoasvariáveisexógenaspodemrefletirmudançasnocontextoeconômico,
aentradadeumconcorrentenomercado,ouacriaçãodeumanovaunidadedenegócio.
Apesardereconhecerosméritosdeambasasmetodologias,oautorconsideraque,dadaa“[...]subjetividadenoprocesso
devaloraçãodosativose[...][os]impactosemcascata,diretoseindiretos,potencialmenteprovocadosporumaquebra
desegurança,ametodologiadeanálisequalitativatemdemonstradoeficiênciasuperior.”Sêmolaobservaquemuitos
serviçosdeanálisedevulnerabilidadesoferecidosnomercado“[...]apenasaplicamferramentasdesoftware,scanners
queautomatizamotrabalhodevarreduraàprocuradefalhasdesegurança[...]eemitemumrelatórioprofundamente
técnicoe[...]nãocontextualizadoaolinguajareàsnecessidadesdonegócio.”(SÊMOLA,2002).Masaanálisederiscos
evulnerabilidadesnãodevesebasearapenasnosativostecnológicos,ouseja,noperímetroderedecomseusservidores,
sistemasoperacionais,serviçoseletrônicoseequipamentosdeconectividade.Asvulnerabilidadesfísicasehumanas
tambémprecisamfazerpartedaequaçãodorisco.
Assim,resumidamente,aAnálisedeRiscoQualitativaestábaseadanaavaliaçãodecenáriosindividuais,ouseja,nas
estimativasdosdiferentesriscoscombaseemrespostasaquestionamentosdesituaçõeshipotéticas(exemplo:Oque
ocorrecomesseativo/sistemase...)
Análise de Riscos
Unidade II
Comovantagensestametodologiaapresentaofatodesermaissimples,nãorequerendocálculoselaboradosenem
quantificaçãoprecisacomoaoutra;nãoénecessáriaumarigorosaidentificaçãodasconseqüênciasetornamaisfácil
oenvolvimentodediferenteselementosdaorganizaçãoporserdefácilcompreensão.Comodesvantagenstemofato
desermuitosubjetiva,nãopermitiraanálisedocusto/benefícioedependermuitodaexperiênciadosavaliadorespara
sermaisefetiva.
Análise de Riscos
Unidade II
Capítulo 10 – Análise de processos em TI
“Com a espantosa popularização de redes fornecendo os mais variados serviços, aumentou a
dependência tecnológica de uma grande parcela da população aos serviços oferecidos. Falhas nesses
serviços podem ser catastróficas para a segurança da população ou para a imagem e reputação das
empresas.”
WEBER (2007)
SegundoJALOTE(1994,p.6),umafalhaemumsistemaacontecequandoocomportamentodesteocorredeforma
nãopreviamenteespecificada,ouseja,ocorrefalhaquandoosistemanãoconseguepreverafalhanoserviçodesejado.
Talfalhacorrespondeaumaseqüênciadeaçõesquepodemserexecutadasatéquesejadetectadaaocorrênciade
umerro.Paraqueissonãoocorra,algumasmedidaspreventivaspodemserempregadasafimdeevitartaisfatosque
comprometemacredibilidadedosistemae,até,daprópriaempresa.
SegundoTANENBAUM(1995,p.212-213),asfalhasemsistemaspodemserclassificadascomotransientes(ocorre
apenasumavez,mesmoseaoperaçãoforrepetida),intermitentes(ocorrecommaisfreqüênciamasmuitasvezesnão
sãoprevisíveis)epermanentes(ocorremsempre).
ASegurançaemprocessosdeTIalémdasfalhasinvoluntáriasestáassociadaidéiadeevitarintençõesmaliciosaspor
partedeterceiros,evitandoassimqueessespossamprejudicarosdoistiposdebensaliadosaessessistemasquesão:
asinformaçõeseosserviços.Destaforma,osprocessosestandomaissegurospode-semelhoraraconfidencialidade,
integridadeedisponibilidadedasinformaçõesedosserviçosdossistemasinformatizados.
Assim,aanálisedeprocessosemTIdeveserfocadanãoapenasnosprodutosdosistemaenasualógica,constanteda
documentação,mastambémemsuasinteraçõescomosusuários,organogramadechaves,manutençãodosacessos,
acessoàsbasesdedadosdentroeforadosistema,aosdiretórioscompartilhadoseaalgunsatributosque,normalmente,
passamdespercebidosdamaioriadosusuáriosmassãousualmentefalhasquepodemserexploradasporpessoasmal
intencionadasouatéinadvertidamenteseremocasionadorasdefalhasoufurtodeinformações.
Oscuidadodegerardocumentaçãoantes,duranteedepoisdaconfecçãodossistemasinformatizados,aescolha
daequipedeanalistaseprogramadores,asupervisãodepessoahabilitadaedeconfiançaalémdousodecontratos
etermosdesigiloeresponsabilizaçãosãofundamentaisnoiníciodoprocessodeconfecçãoedeoperaçãodos
sistemas.
Osmétodosdeanálise,avaliaçãoemodelagemdosprocessosemTIsãomuitosedivergemdeacordocomaestrutura
dasempresas,dosprojetosdeTI,deseusserviçosedacomplexidadedossistemaseprocessosdeTI,nãotendouma
receitaquepossaatendertodososcasosespecificamente.
Dentreasdiversasmetodologiasparaanáliseemodelagemdeprocessos,estãoasferramentasdeTQM(TotalQuality
Management–GerenciamentodaQualidadeTotal),os“6Sigma”,oBPM(BusinessProcessManagement–Gerenciamento
deProcessosdeNegócio),IDEF(integratedDEFinitionMethods–MétodosIntegradosdeDefinição),BPR(BusinessProcess
Redesign),oCOBIT(comdiversossubdomínios,incluindooISO17799:relativoàsegurança)eoutrasmetodologias
proprietáriasdeváriasconsultorias.
Contudo,sejaqualforametodologiaaseradotada,estaapresentaráfasesmuitosemelhantesdasrelatadasabaixo,
quesãoafase:
Análise de Riscos
Unidade II
– demapeamentooulevantamentodasituaçãoatual,ondeseráfeitoomapeamentodetodaasituaçãoatual
combaseemdiagramaseformuláriosecomosquaisserãorepresentadasascaracterísticasdosprocessos
atuaisaindaemuso;
– daanáliseediagnóstico,ondefocadonasrestriçõesdoprocesso,nanecessidadedosclientes,nosrequisitos
donegócioenacomparaçãocomoutrosprocessos,serárealizadoodianósticoeaanáliseemlinhacomo
horizonteescolhido(visãodefuturo);
– dedesenhodasituaçãodesejada,ondesepartedoquefoimepeadocomosituaçãoatualeécriadoodesenho
do processo o qual se vislumbra o distanciamento em relação ao referencial escolhido, respeitado-se o
direcionamentoestratégicoeadisponibilidadederecurso;
– daimplementação,ondesãorevistase,casonecessário,osprocedimentos,asnormase,senecessário,até
aspolíticas,easoutrasestruturassegundoonovodesenhodoprocesso;
– demonitoramento,éondesãomonitoradososindicadoressegundoosníveisdeconformidadeacordados,
atuando-senosdesvioseacompanhandoastendênciasafimdemanteroprocessoemumcicloconstantede
melhoria.
Análise de Riscos
Unidade II
Capítulo 11 – Riscos em Projetos de Sistemas de Informação
“a subjetividade no processo de valoração dos ativos e os impactos em cascata, diretos e indiretos,
potencialmente provocados por uma quebra de segurança e a metodologia de análise qualitativa tem
demonstrado eficiência superior.”
SÊMOLA, (2003, p. 108-113).
Muitassãoasmetodologiasdeapuraçãodoriscodeprojetosdesistemasdeinformação,algumassãoproprietárias
deconsultoriasoudeusomuitoespecífico.Oimportanteparasedefiniroriscoaoqualestásubmetidooprojetoéter
anoçãorealoubempróximadarealidade,dasvulnerabilidadesedaspossíveisameaçasàsegurançaecontinuidade
doprojetooudosistemaemuso.Aseguir,falaremosdeduasmetodologiasbemutilizadasnomercadoquesãoo
método Delphi, utilizado em vários aspectos de segurança, inclusive os patrimoniais mas, pela sua simplicidade,
aplicávelemváriostiposdeanálisederiscoinclusiveemTI:e,maisrecentemente,oOCTAVE,maisespecíficapara
sistemasdeinformação.
Método Delphi
SegundoGil(1998,p.19),oRiscopodeserapuradosegundooalgoritmomatemáticoconstantedoMétodoDelphi:
R = A X B,ondeAcorrespondeàscausaseBàsconseqüências,medidossegundoumaescaladepontuação
previamentedefinida(normalmentede1a10).Oalgoritmoéaplicadoaumadeterminadaameaça,emfaceda
vulnerabilidadedeumativoemcertoperímetrodeproteção.
Método Octave
Outraformadeanálisederisco,comescopobemaplicável,édenominadaOCTAVE–“OperationallyCriticalThreat,
Asset,andVulnerabilityEvaluation,desenvolvidapelaCarnegieMellonUniversityequetemdocumentaçãoabertapara
consultaseutilização.
Assim,ametodologia OCTAVEtemcomopressupostosbásicosacoordenaçãodeaçõespara:
• identificarosativosrelacionadosàinformaçãoquesãoimportantesparaaorganização;e
• priorizaraasatividadesdeanálisederiscosnosativosqueforemconsideradososmaiscríticos.
Destaforma,essesdoispressupostossãoelaboradosnastrêsfasesaseguir:
• elaborarperfisdeameaçasbaseadosemativos,ondeosmembrosdaorganizaçãoapresentamsuaperspectiva
sobrequaisativossãoimportantessobaaspectodasegurançaequeoestásendofeitoparapreservá-los;
• identificarinfra-estruturadevulnerabilidades,ondeotimedeanalistasdesegurançaidentificasistemasde
informaçãoessenciaiseoscomponentesrelacionadosacadaativo,quesãoentãoanalisadosdopontode
vistadasvulnerabilidadesrelacionadas;e
• desenvolverplanoseestratégiasdesegurança,ondesedecideoquedeveserfeitoarespeitodosativoscríticos.
Cria-seumaestratégiadeproteçãoparaaorganizaçãoeplanosvoltadosaosriscosdosativosconsiderados
prioritários.
Análise de Riscos
Unidade II
Umavezrealizadoodiagnósticodosriscos,oresponsávelprecisadefinirjuntoaosgestoresdaorganização,quaisseriamos
níveisderiscoaceitáveisenão-aceitáveis.Entreosnãoaceitáveis,pode-seescolherumaentreasseguintesopções:
– Aceitaroriscoconsiderarqueeleexiste,masnãoaplicarqualquercontrole;
– Mitigaroureduzironívelderiscoatravésdaaplicaçãodealgunscontrolesdesegurança,ou;
– Transferiroriscorepassararesponsabilidadedesegurançaaumterceiro,como,porexemplo,umdata
center.
0
Análise de Riscos
Unidade II
Capítulo 12 – Riscos na Contratação de Terceiros
“As normas são criadas para estabelecerem diretrizes e princípios para melhorar a gestão de segurança
nas empresas e organizações.”
HOLANDA (2006)
SegundoMAIA(2002),nosúltimosanos,asempresastêmadotadoaestratégiadecontrataçãodeserviçosterceirizados
naáreadetecnologiadainformação,comoprincipalobjetivodereduçãodecustos.Porém,estaescolhatambém
trazproblemasnoquedizrespeitoàqualidadeeàsegurançadosserviçosprestados,eimpõemedidasquetratem
dareduçãoderiscosdeerroshumanos,roubo,fraudeouusoindevidoderecursos(instalações,equipamentosou
informações).
Poressarazão,quandoumaempresaoptapelaterceirização,nãobastafirmaroContratodePrestaçãodeServiços,
ondedireitoseobrigaçõesdeambasaspartessãodetalhados,maséprecisotambémconsideraraelaboraçãode
umSLA(abreviaçãodotermoServiceLevelAgreement),tambémconhecidosimplesmentecomo:AcordodeNívelde
Serviço.
ConformeanormaISO/IEC/17799(2001),osrequisitosdesegurançaquedevemconstardosContratoscomterceirose
arranjososquaisenvolvamoacessodessesaossistemasàsfacilidadesdeprocessamentodeinformaçõesdaorganização
devemserbaseadosemumcontratoformalcontendo,oureferenciando,todososrequisitosdesegurançaparagarantir
aobediênciaàspolíticasepadrõesdesegurançadaorganização.Ocontratodevegarantirquenãohajamal-entendidos
entreaorganizaçãoeaterceiraparte.Asorganizaçõesdevemsesatisfazerquantoàidoneidadedeseufornecedor.Os
seguintestermosdevemserconsideradosparainclusãonocontratoa:
• PolíticaGeraldeSegurançadasInformações;
• ProteçãodosAtivos,
Ainda,conformeessanorma,quantoàproteçãodosativos,ocontratodeveincluirprocedimentosparaprotegeros
ativosdaorganização,suasinformaçõeseseus“softwares”;osprocedimentosparadeterminarseocorreuqualquer
comprometimentodosativos(perdaoualteraçãodedados);instituircontrolesquegarantamadevoluçãooudestruição
deinformaçõeseativosnofinaldocontratoouemmomentoacordado;mnutençãodaintegridadeedisponibilidade;
restriçõesquantoàcópiaeadivulgaçãodeinformações;devedescrevertodososserviçosdisponibilizados;oníveldesejado
eindesejável(nãoaceitável)deserviço;proverpossíveltransferênciadeequipesenecessárioparalocalmaisapropriado;
estipularasresponsabilidadesdaspartescomrelaçãoaocontrato;descreverasresponsabilidadesrelacionadascom
aspectoslegais(comoalegislaçãodeproteçãodedadosemdiferentessistemaslegaisnacionaisseocontratoenvolver
participaçãooucooperaçãocomorganizaçõesemoutrospaíses);osdireitosdepropriedadeintelectualeatribuiçãode
copyrightseproteçãodequalquertrabalhocolaborativo;
Alémdesses,osacordosreferentesaocontroledeacesso,devemcobrirtambém:
– osmétodosdeacessopermitidos,eocontroleeousodeidentificadoresúnicos(senhaseidentificadoresde
usuários);
– processosdeautorizaçãodeacessodeusuárioseseusprivilégios;
– exigir a manutenção de uma lista de pessoas as quais estariam autorizadas a utilizar os serviços
disponibilizados,
Análise de Riscos
Unidade II
– osseusdireitoseseusprivilégiosdeuso;
– definircritériosdedesempenhoverificáveis,monitorá-loseconfecçãoderelatórios;
– estabelecerodireitodemonitorar,erevogar,asatividadesdosusuários;
– instituirporescritoodireitodeauditarasresponsabilidadescontratuaisouderealizartaisauditoriasatravés
deoutros(externa);
– estabelecerprocessosdeescalonamentoafimderesolverproblemas;providênciasreferentesacontingências
tambémdevemserconsideradasondeapropriado;
– responsabilizarquantoainstalaçãoemanutençãodehardwareesoftware;
– estruturarclaramenterelatóriosinformativoseapresentarformatosacordadosemrelatórios;
– terprocessosclaroseespecificartrocadegerências;
– instituirquaisquercontrolesdeproteçãofísicanecessáriosemecanismosparaassegurarqueessescontroles
sejamobedecidos;
– treinaradministradoreseusuáriosnosmétodos,procedimentosesegurança;
– instituircontrolesparaasseguraraproteçãocontrasoftwaremalicioso;
– fornecerarranjosparareportar,notificareinvestigarincidentesdesegurançaequebrasdesegurança;
– envolveraterceirizadacomseussubcontratados,e.
– descreverriscos(operacionaisefinanceiros).
Unidade III
Política de Segurança
da Informação
Capítulo 13 – Definição do que é Política de Segurança e suas Extensões
“A política de segurança não é nada além de um ‘apelido’ que demos para a ferramenta (na forma
de documentação) que expressa a formalização dos anseios da empresa para que suas informações
mantenham-se íntegras, disponíveis e em sigilo.”
ABREU (2002).
A política de segurança é um documento formal que define as diretrizes e normas em relação à segurança e aos
procedimentosaseremseguidosportodaaempresa,semexceção.
SegundoABREU(2002),poderíamosdizerque“[...]políticadesegurançanãoénadaalémdeum‘apelido’quedemos
paraaferramenta(naformadedocumentação)queexpressaaformalizaçãodosanseiosdaempresaparaquesuas
informaçõesmantenham-seíntegras,disponíveiseemsigilo.”
Por isso mesmo, cada empresa precisa desenvolver sua própria Política de Segurança. Esta deve ser definida em
conjuntocomaaltadireçãodaempresaedeveserválidaparatodos,desdeopresidenteatéoníveloperacional.Além
disso,éestritamentenecessárioquetenhaaaprovaçãoeocompromissodomaisaltoexecutivodaempresa,poisuma
políticadesegurançanãoconseguesobreviversemapoiofinanceiroquegarantasuaimplementação.Odocumentoque
compõeapolíticadesegurançanãoprecisasercomplexo,nemexcessivamentetécnicomasdeveapresentarregrase
procedimentosbemclarosedefinidos.
SegundoGODOY(2004),existemalgunscuidadosbásicosaseremtomadosduranteadefiniçãodapolíticade
segurança.Denadaadianta,porexemplo,negaracessoàInternetadeterminadosusuáriose,poroutrolado,
deixar o drive de disquetes habilitado no computador desse usuário. De fato, pesquisas revelam que ataques
internos(realizadosporusuáriosautorizadosounão-autorizados)podemsermaisperigososqueataquesexternos
realizadosviaInternet.
Política de Segurança da Informação
Unidade III
Capítulo 14 – Definição dos elementos da Política,
Normas e Procedimentos
“o que distinguirá uma nação avançada de outra será a habilidade de coletar, organizar, processar
e disseminar informações”.
Drucker (1968)
SegundoaRFC2196(2000),aPolíticadeSegurançaéumdocumentoquedescreveasrecomendações,asregras,as
responsabilidadeseaspráticasdesegurançavigentesnaempresaeabrangentesatodososfuncionários,contratados
eprestadoresdeserviçoqueutilizemossistemasdeinformação,seusprodutosouseusdados.Talpolíticadeveser
moldadaàrealidadedecadaempresa,nãohavendoum“modelodepolítica”quepodeseradaptadosemrestriçõesou
ajustesreaisàespecificidadedecadaempresa.
QuantoadefiniçãodoselementosdaPolíticadeSegurança,devemoslembrarqueodocumentoquecompõeapolítica
nãoprecisasercomplexoenemexcessivamentetécnicomasdeveapresentarregraseprocedimentosbemclarose
definidos,taiscomo:
– definiçãodosagentesenvolvidosemsegurançadainformaçãodentrodaEmpresa;
– classificaçãodeinformações;
– políticadeacessosexternoseinternos;
– políticadeusodaIntranetedaInternet;
– eventosmínimosaseremlogadosnosSistemasCorporativos;
– trilhasdeauditoria;
– políticadebackup;
– políticadeusodesoftware;
– acessofísicoelógico
Contudo,claro,taiselementosdevemseradequadosàrealidadedaempresae,depreferência,devemtersidoacordados
comosdiversossetores(representadospelosníveisgerenciaisetécnicos)atécomoformadedisseminaçãoe,posterior,
interiorizaçãodapolítica.
Asnormassãoumaespecificaçãodapolíticaecorrespondemaosprocedimentosquedevemserseguidosafimdese
cumpriremaPolíticadeSegurança.Assimcomoesta,asnormasdevemserelaboradasdeformaclaraecommaior
participaçãotécnicaafimdeseremexequíveisebemaceitas.
Jáosprocedimentosreferem-seaspráticas,ouseja,aospassosexecíficosquedevemserseguidosoumesmoasformas
deutilização,afimdegarantirocumprimentodasnormase,assim,agiremtotalacordocomaspolíticasdefinidas.
Alémdisso,segundoaISO/IEC17799(2000),aPolíticadeSegurançadeveapresentaralgumascaracterísticas,tais
como:
Unidade III
– seraprovadapeladiretoria,
– divulgadaepublicadadeformaamplaparatodososcolaboradores;
– serrevisadaregularmente,comgarantiadeque,emcasodealteração,elasejarevista;
– estaremconformidadecomalegislaçãoeascláusulasdoscontratosfirmadospelaecomaempresa;
– definirasresponsabilidadesgeraiseespecíficas;
– disporasconseqüênciasdasviolaçõesdessasregras.
Unidade III
Capítulo 15 – A importância da Política de Segurança
na empresa e seu relacionamento com as outras áreas
“... o nível de segurança de uma empresa está diretamente associado à sua ‘porta’ mais fraca”
SÊMOLA (2003, p. 18)
UmavezdefinidaaPolíticadeSegurança,estadeveseraplicávelemtodaaempresae,principalmente,conhecidapor
todosedisseminadafacilmenteatravésdoscanaisformaiseinformaisexistentes.
Oaspectomaisimportantedapolíticaéofatodequeelasejaacompanhadaesejaverificadooseucumprimentopor
todososfuncionáriosnosdiversossetoresdaempresa.Advémdaíofatodelaserelaboradadeformamaisgeraleter
deserespecificadaatravésdenormaseprocedimentos,osquaispossuemumcarátermaisespecífico.
Segundo GODOY (2004), a segurança da informação pode funcionar no âmbito digital, mas é no movimento das
informaçõesatéoâmbitodigital(naspessoas)queseencontraoelomaisfraconacorrentedasegurança.Amaiorprova
dissoéoaumentononúmerodeataquesdeengenhariasocial(enganarpessoasparaseconseguirdadossigilososdas
empresasouacessoprivilegiado),queexploramacredulidadeefaltadeconsciênciadaspessoasquantoàimportância
dainformação.Porisso,aidéiaquepermeiatodaaliteraturalidaarespeitodesegurança,ecomaqualconcordamos,
éadequesegurançadainformaçãoéresponsabilidadedetodososfuncionáriosdeumaorganização.
Unidade III
Capítulo 16 – Como elaborar uma Política de Segurança de
forma a Adequar o Modelo NBR ISO/IEC 17799 na Organização
“... a lógica econômica da Era da Informação: as idéias, o conhecimento, o processamento da
informação e outros fatores intangíveis – os capitais humanos, estrutural e do cliente – podem criar
riqueza mais rápido e de maneira mais barata que os ativos financeiros e físicos tradicionalmente
empregados.”
STEWART (1998)
SegundoaISO/IEC17799(2000),apolíticadesegurançatemporobjetivoodefornecerdireçãoeapoiogerenciais
paraasegurançadeinformaçõeseagerênciadeveestabelecerumadireçãopolíticaclaraedemonstrarsuporteeo
comprometimentocomasegurançadasinformaçõesatravésdaemissãoedamanutençãodeumapolíticadesegurança
deinformaçõesparatodaaorganização.
AindasegundoanormaISO/IEC17799(2000),Umdocumentocomapolíticadeveseraprovadopelagerência,publicado
e divulgado, conforme apropriado, para todos os empregados. Ele deve declarar o comprometimento da gerência e
estabeleceraabordagemdaorganizaçãoquantoàgestãodasegurançadeinformações.Nomínimo,devemserincluídas
asseguintesorientações:
a) definiçãodesegurançadeinformações,seusobjetivosgeraiseescopoeaimportânciadasegurançacomo
ummecanismocapacitadorparacompartilhamentodeinformações;
b) declaraçãodeintençãodagerência,apoiandoosobjetivoseprincípiosdasegurançadeinformações;
c) breveexplanaçãodaspolíticas,princípiosepadrõesdesegurançaedasexigênciasaseremobedecidasque
sãodeparticularimportânciaparaaorganizaçãocomo,porexemplo:
– obediência às exigências legislativas e contratuais; – necessidades de educação (treinamento) para
segurança;–prevençãoedetecçãodevíruseoutrossoftwaresprejudiciais;
– gerenciamentodacontinuidadedonegócio;
– conseqüênciasdasviolaçõesdapolíticadesegurança;
– uma definição das responsabilidades gerais e específicas pela gestão da segurança das informações,
incluindorelatóriosdeincidentesdesegurança;
– referênciasadocumentosquepodemapoiarapolítica,porexemplopolíticasdesegurançamaisdetalhadas
eprocedimentosparasistemasdeinformaçãoespecíficosouregrasdesegurançaqueosusuáriosdevem
obedecer.
Estapolíticadevesercomunicadaemtodaaorganizaçãoparaosusuáriosdeumaformaquesejarelevante,acessível
equepossaserentendidapeloleitor.
Unidade III
Capítulo 17 – Como divulgar, conscientizar e
garantir a aplicação da Política
“Ética refere-se aos princípios de certo e errado que podem ser usados pelos indivíduos que atuam
como agentes de livre moral para fazer as escolhas que guiam seu comportamento”
Laudon & Laudon (1999)
SegundoSÊMOLA(2003,p.129-131),paraqueumaempresaentendaqueoníveldesegurançaalcançadoéfrutoda
responsabilidadecompartilhadadosfuncionárioséprecisoantesconstruirumaculturadesegurança.Issopodeser
feitoatravésdecampanhasdedivulgação,seminários,cursosdecapacitação,ouatémediantecomunicadooficial
doPresidente,oficializandoointeressedaempresanaquestãoesalientandoaimportânciadoenvolvimentodetodos
noprocesso.
Segundo Gil (1998, p. 44) a segurança da informação deve ser exercida nos três níveis organizacionais. Assim,
temos:
– dopontodevistaoperacional,ofocoénaatuaçãodosfuncionários,poissãoelesosresponsáveispelaexecução
damaiorpartedepráticaseprocedimentosdesegurança;
– noníveltático,aprioridadeéafunçãodecontrole,implementadaporgerentesesupervisores,comoobjetivo
deproveromonitoramentocontínuodaspráticasdesegurançaestabelecidas;
– o nível estratégico é implementado pela alta administração, com a definição de diretrizes e planos,
acompanhamentodarelaçãocusto-benefíciodasatividadesdesegurançaeadefiniçãodoníveldeaceitabilidade
etolerânciaaorisco.Afiguraabaixoapresentaexemplosdeatividadesdegestão,nostrêsníveisorganizacionais
eparacadamomentodociclodasegurança.
Figura 2 – Administração da Segurança Segundo os Níveis Organizacionais.
Funções
Níveis
Estratégico
Tático
Operacional
Planejamento
Execução
Controle
Auditoria
Plano de investimentos
qüinqüenais
O r ç a m e n t o a n u a l d e
segurança
A c i o n a r s e g u r a n ç a
preventiva
Autorizar investimentos
qüinqüenais
Administrar projetos de
segurança
A c i o n a r m e d i d a s d e
segurança
Monitorar desembolso de
investimentos
Apurardesviosdeprojetosde
segurança
Acionarmedidasdesegurança
restauradoras
A v a l i a r r e t o r n o d e
investimentosemsegurança
Verificar produto final de
projetosdesegurança
Verificar, testar e simular
medidasdesegurança
Fonte:AdaptadodeGIL,AntoniodeLoureiro.SegurançaemInformática.2.ed.SãoPaulo:Atlas.1998.p.44.
Unidade III
Capítulo 18 – Quais os Instrumentos Legais de Repreensão
em Caso do não Cumprimento da Política
“As empresas podem gastar milhões de dólares em proteções tecnológicas, mas isso será um
desperdício se as pessoas puderem simplesmente ligar para alguém e convencê-lo a fazer algo que
baixe as defesas do computador ou que revele as informações que estão buscando”
SCHNEIER (2001)
SegundoaISO/IEC17799(2000),aobediênciaàsexigênciaslegaistemporobjetivoevitarainfraçãodequalquerleicivil
ecriminal,estatutária,regulamentadoraoudeobrigaçõescontratuaisedequaisquerrequisitosdesegurança.Deforma
queumaoperação,ouso,projetoeogerenciamentodesistemasdeinformaçõespodemestarsujeitosaexigênciasde
segurançaestatutárias,regulamentadorasecontratuais.
Assim,apróprianormaorientaogestorabuscaraconselhamentosobreasexigênciaslegaisespecíficascomosconsultores
jurídicosdaorganização,ouprofissionaisadequadamentequalificados.Comrelaçãoàidentificaçãodalegislaçãoaplicável,
aISO/IEC17799(2000)citaquetodasasexigênciascontratuais,estatutáriaseregulamentadorasrelevantesdevem
serexplicitamentedefinidasedocumentadasparacadasistemadeinformações.Assim,oscontrolesespecíficoseas
responsabilidadesindividuaisparasatisfazerestasexigênciasdevemestarsimilarmentedefinidosedocumentados.
Quantoaosdireitosdepropriedadeindustrial(Copyright–textosesoftwares),anormatambémesclareceque,os
procedimentosapropriadosdevemserimplementadosparagarantiraobservânciaderestriçõeslegaisquantoaousode
materialparaoqualpodemexistirdireitosdepropriedadeintelectual,taiscomocopyright,direitosdeprojetoemarcas
registradas.
Assimaviolaçãodecopyrightspodelevaraaçõeslegaisquepodemenvolverprocessocriminal,exigênciaslegislativas,
regulamentadorasecontratuaispodemcolocarrestriçõesquantoàcópiadematerialproprietário.Emparticular,elaspodem
obrigarqueapenasmaterialqueédesenvolvidopelaorganização,ouqueélicenciadooufornecidopelodesenvolvedor
paraaorganização,possaserusado.
De semelhante modo, para os Produtos de software proprietários geralmente são fornecidos sob um contrato de
licenciamentoquelimitaousodosprodutosamáquinasespecificadasepodepermitircópiasapenasparaacriaçãode
backups.Assimoscontrolesseguintesdevemserconsiderados:
– publicarumapolíticadeobediênciaacopyrightdesoftware,quedefineousolegaldossoftwareseprodutos
deinformação;emitirpadrõesparaosprocedimentosdeaquisiçãodeprodutosdesoftware;
– manteraconscientizaçãosobreaspolíticasdecopyrightedeaquisiçãodesoftwares,enotificaraintenção
detomarmedidasdisciplinarescontrapessoasqueasinfringirem;manterregistrosapropriadosdosativose
decomprovanteeevidênciasdepropriedadedelicenças,discosmestres,manuaisetc.;
– implementar controles que visem garantir que não seja excedida a quantidade máxima de usuários
permitidos;
– executarverificaçãodequeapenassoftwareautorizadoeprodutoslicenciadosestãoinstalados;
– providenciarpolíticaparamantercondiçõesdelicençaapropriadas;
– criarpolíticaparadescarteoutransferênciadesoftwareparaoutros;
– obedeceraostermosecondiçõesrelativosaossoftwareseinformaçõesobtidosderedespúblicas,e;
– utilizarferramentasdeauditoriaapropriadas;
Unidade III
Capítulo 19 – Como fazer uma revisão da Política de Segurança
“As pessoas querem se comunicar e o sistema de segurança é, no máximo, algo que não prejudique
esse desejo.”
SCHNEIER (2001, p. 260).
SegundoaISO/IEC17799(2000),noqueconserneàobediênciaàpolíticadesegurança,osgerentesdevemseassegurar
dequetodososprocedimentosdesegurançadentrodesuasáreasderesponsabilidadesãoexecutadoscorretamente.
Alémdisso,todasasáreasdentrodaorganizaçãodevemserconsideradasparaumarevisãoregulardecumprimentoda
política,visandogarantiraobediênciaaospadrõesepolíticasdesegurançaesuaefetividade.
Estasrevisõesdevemincluirossistemasdeinformações;osprovedoresdesistemas;osproprietáriosdasinformações
eosativosdeinformação;asgerênciaseosusuários.Alémdisso,osproprietáriosdossistemasdeinformaçõesdevem
apoiarrevisõesregularesafimdeverificarseseussistemasestãoobedecendoàspolíticasdesegurançaapropriadamente,
aospadrõesequaisqueroutrosrequisitosdesegurança.
SegundoanormaISO/IEC17799(2000),apolíticadesegurançadeveterumencarregadoquesejaresponsávelporsua
manutençãoerevisãodeacordocomumprocessoderevisãodefinido.Esseprocessodeveassegurarquesejaexecutada
umarevisãoemrespostaaquaisquermudançasqueafetemabasedaavaliaçãoderiscosoriginal,porexemploincidentes
desegurançasignificativos,novasvulnerabilidadesoumudançasnainfra-estruturaorganizacionaloutécnica.Também
devemserprogramadasrevisõesperiódicasdosseguintesaspectos:
– a eficácia da política, demonstrada pela natureza, quantidade e impacto dos incidentes de segurança
reportados;
– ocustoeimpactodoscontrolesnaeficiênciadonegócio;
– osefeitosdasmudançasnatecnologia.
0
No que concerne ã verificação da obediência técnica (se tudo está técnicamente adequado conforme à Política de
Segurançaestabelecida),conformeanormaISO/IEC17799(2000),ossistemasdeinformaçãodevemserverificados
regularmentequantoàobediênciaaospadrõesdeimplementaçãodesegurança.Talverificaçãoenvolveoexamedos
sistemasdeoperaçãoporassistênciatécnicaespecializada,afimdegarantirqueoscontrolesdehardwareesoftware
foramcorretamenteimplementados.
Estaverificaçãodaobediênciapodeenvolvertestesdeinvasãoosquaispodemserexecutadosporespecialistas
independentescontratadosespecificamenteparaestefim,afimdedetectarpossíveisoueventuaisvulnerabilidades
nos sistemas e se atestar se são eficazes os controles na prevenção de acesso não autorizado. Desta forma,
ressaltamosquetaisverificaçõesdeobediênciatécnicadevaseracompanhadadasupervisãodepessoasautorizadas
ecompetentes.
Unidade IV
Segurança Física, Planejamento de
Contingências e Recuperação de Desastres
Capítulo 20 – Conceitos de Segurança Física,
Segurança de Perímetro e Segurança Patrimonial
“Firewalls sào barreiras de proteção física, máquinas projetadas para conter os problemas dentro
de uma pequena área de uma rede”.
SCHNEIER (2001, p. 191).
Segurança Física
SegundoGil(1998),asegurançafísicarefere-seàmanutençãodascondiçõesoperacionaisedeintegridadedosrecursos
materiaisusadosnoambientedeinformática.Estesrecursosincluem:hardware(terminais,impressorasetc.),insumos
(disquetes,fitadeimpressoraetc.)ecomponentes(cabosdeconexão,estabilizadoresetc.).Asprincipaissituaçõesde
insegurançafísicaeminformáticasão:
– roubo,perdaouextraviodeplanilhas,formulários,relatóriosedocumentosusadosougeradosnoambiente
deinformática;
– roubo,perdaoudanosadisqueteseoutrosmeiosdegravação;
– agressõesfísicaspropositaisouacidentaisàconfiguraçãodocomputador.
Algunsexemplosdemedidasdesegurançafísicasão:manutençãodeestoquereservadehardware,insumosecomponentes
parasuprimentoimediatoemcasodeperdaseavarias;transportedemeiosmagnéticosemembalagensfechadase
protegidascontrapoeira,violaçõeseinterferênciaseletromagnéticas.
SegurançadePerímetro
ASegurançadePerímetro(ouPerímetrodeProteção)correspondeaumambienteouumalinhaimaginária,físicaou
lógica,emqueaameaçapodeocorrer.Oconceitodeperímetroteveorigemnasestratégiasmilitaresdedefesaehá
muitotempoéutilizadopelaáreadesegurançapatrimonial.Acompartimentalizaçãocorretadosambientesfísicose
lógicospermiteaaplicaçãodecontrolesadequados.Assim,asegurançadeperímetrosignificaumaáreaondeonívelde
segurançaémaiselevadoqueasdemaisáreascircunvizinhas.
Segurança Física, Planejamento de Contingências e Recuperação de Desastres
Unidade IV
Figura 3 – Perímetros Físicos e Lógicos.
Fonte:AdaptadodeSÊMOLA,Marcos.GestãodaSegurançadaInformação:UmaVisãoExecutiva.RiodeJaneiro:Campus,2003.p.50.
SegundoanormaISO/IEC17799(2000),aproteçãofísicapodeserobtidaaoseremcriandasdiversasbarreirasfísicas
emtornodasinstalaçõeseaoredordasfacilidadesdeprocessamentodeinformaçõesdaempresa.Assim,cadabarreira
estabeleceráumaespéciedeperímetrodesegurança,eacadaum,iráaumentandogradativamenteaproteçãototal
fornecida.
Destaforma,anormaorientaqueasorganizaçõesdevamseutilizardessesperímetrosdesegurançaafimdeproteger
áreasquecontenhamfacilidadesdeprocessamentodeinformações.
Logo,umperímetrodesegurançaéalgoqueconstituiumabarreira,talcomoummuro,umaparede,umportãode
entradacontroladoporcartõesdeacessoouumarecepçãocomatendentesquepossamevitaroacessodireto.Assim,
alocalizaçãoearesistênciadecadabarreiraedecorrentedosresultadosdasavaliaçõesderiscos.
Segurança Patrimonial
São as formas de proteção do patrimônio, ou seja, representa qualqueratividadepreventivaoudefensivaassociada
àprocedimentose/ouequipamentosdesegurança,comopropósitodeguardarouprotegeropatrimônio(benspatrimoniais)
contrariscosocasionaisouaçõeslesivasperpetradasporterceiros.
Os bens patrimoniais correspondem a todos os bens que possuem algum valor aos seus proprietários, podendo ser
materiaisouimateriais.
Unidade IV
Capítulo 21 – Elementos Específicos de Segurança Física,
Segurança de Perímetro e Segurança Patrimonial
““... uma empresa que codifica todos os seus dados nos computadores mas não tranca seus gabinetes
de arquivo ou não tritura seu lixo [em papel], está aberta ao ataque.”
SCHNEIER (2001, p. 256)
Oselementosespecíficosdesegurançafísicacorrespondemaosmeiospelosquaisumobjetoouáreapossatersua
condiçãodesegurançamelhoradadevidoàpresençadessedispositivodesegurança
Elementos Específicos de Segurança Física
SegundoanormaISO/IEC17799(2000),asáreasdesegurançafísicadevemserprotegidasporcontrolesdeentrada
apropriados,paragarantirqueapenasopessoalautorizadotenhaacessoaelas.Osseguintescontrolesdevemser
considerados:
– Visitantesnasáreasdesegurançadevemsersupervisionadosouconduzidospelasegurançaeasdatase
horáriosdesuaentradaesaídadevemserregistrados.Elesdevemterseuacessoconcedidoapenaspara
propósitosespecíficoseautorizadosedevemserinstruídossobreosrequisitosdesegurançadaáreaesobre
osprocedimentosdeemergência.
– Oacessoainformaçõessensíveis,efacilidadesdeprocessamentodeinformações,devesercontroladoe
restringidoapenasaopessoalautorizado.
– Controlesdeautenticação,taiscomocartõesmagnéticoscomPIN,devemserusadosparaautorizarevalidar
todososacessos.Umaaudittrail5detodososacessosdevesermantidoemsegurança.
– Todoopessoaldeveserobrigadoausaralgumaformavisíveldeidentificaçãoedeveserencorajadoaquestionar
estranhosdesacompanhadosequalquerumquenãoestejausandoidentificaçãovisível;
– Sistemasadequadosdedetecçãodeinvasão,instaladosempadrõesprofissionaisetestadosregularmente,
devemsercolocadosparacobrirtodasasportasexternasejanelasacessíveis.Áreasdesocupadasdevem
permanecersemprecomoalarmeligado.Acoberturadevetambémserprovidenciadaparaoutrasáreas,como
saladecomputadoresousalasdetelecomunicações.
– Asinstalaçõesdeprocessamentodeinformaçõesgerenciadaspelaorganizaçãodevemserfisicamenteseparadas
daquelasgerenciadasporterceiraspartes.
– Listas telefônicas internas, que identifiquem os locais das instalações de processamento de informações
sensíveis,nãodevemficardisponíveisparaopúblico.
– Materiaisperigososoucombustíveisdevemserarmazenadosaumadistânciaseguradeumaáreadesegurança.
Suprimentosvolumosos,talcomopapel,nãodevemserarmazenadosdentrodeumaáreadesegurançaaté
seremnecessários.
– Equipamentosparafallbackemídiadebackupdevemficarsituadosaumadistânciaseguraparaevitardanos
provocadosporumdesastrenositeprincipal.
Unidade IV
– Osdireitosdeacessoàsáreasdesegurançadevemserrevisadoseatualizadosregularmente.
Elementos Específicos de Perímetro
SegundoanormaISO/IEC17799(2000),paraasegurançadeperímetro,asdiretrizesecontrolesseguintesdevemser
consideradoseimplementadosondeforapropriado:
– perímetrodesegurançadeveserclaramentedefinido.
– perímetrodeumedifícioousitequecontenhafacilidadesdeprocessamentodeinformaçõesdeveserfisicamente
seguro(istoé,nãodevehaverbrechasnoperímetroouáreasondeumaentradaforçadapossaocorrercom
facilidade).Asparedesexternasdositedevemserdeconstruçãosólidaetodasasportasexternasdevem
seradequadamenteprotegidascontraacessonãoautorizado,commecanismosdecontrole,barras,alarmes,
trancasetc.
– Deveexistirumaáreaderecepçãocomatendentesououtrosmeiosdecontrolaroacessofísicoaositeouao
edifício.Oacessoaossitesouedifíciosdeveserrestritoapenasaopessoalautorizado.
– Asbarreirasfísicasdevem,senecessário,serestendidasdopisorealaotetorealparaimpedirentradanão
autorizadaecontaminaçãoambiental,taiscomoascausadasporincêndioouinundação.
– Todas as portas corta-fogo em um perímetro de segurança devem ter alarmes e devem fechar fazendo
barulho.
Elementos Específicos de Segurança Patrimonial
SegundoanormaISO/IEC17799(2000),Osequipamentosdevemserprotegidos,oudispostosfisicamentedeforma
adequada,parareduzirosriscosoriundosdeameaçaseperigosambientaisedeoportunidadesdeacessonãoautorizado.
Osseguintescontrolesdevemserconsiderados:
– equipamentosdevemserdispostosfisicamentedeformaaminimizaracessosdesnecessáriosentreáreasde
trabalho;
– instalaçõesdeprocessamentoearmazenamentodeinformaçõesquelidamcomdadossensíveisdevemser
posicionadasparareduziroriscodeasinformaçõesseremvistascasualmenteduranteseuuso.
– itensquenecessitamproteçãoespecialdevemserisoladosparareduzironívelgeraldeproteçãoexigido;
– oscontrolesdevemseradotadosparaminimizaroriscodeameaçaspotenciais,taiscomo:
–
–
–
–
–
–
–
–
–
–
roubos;
incêndios;
explosivos;
fumaça;
faltad’água(falhanofornecimento);
poeira;
vibrações;
efeitosquímicos;
interferênciasnosuprimentoelétrico;
radiaçãoeletromagnética.
Unidade IV
Devemserconsideradas,também:
– condiçõesambientais,asquaisprecisamsermonitoradasembuscadesituaçõesquepossamafetaraoperação
dasinstalaçõesdeprocessamentodeinformações.
– utilizaçãodemétodosdeproteçãoespeciais;
Fatoresimportantes,queàsvexassãoesquecidosmassãodefundamentalimportânciae,portantodevemserconsiderados
são:
– oimpactodeumdesastrequeaconteçaemprédiospróximos,incêndiosemedifíciosvizinhos,enchentesou
vazamentosdeáguapelotetoouemandaresabaixodoníveldaruaou,atémesmo,apossibilidadedeexplosões
narua.
Quantoafalhasdeenergia,osequipamentosdevemserprotegidoscontraafaltaoumesmoanomaliasnacorrente
elétrica(picosouquedas).Fonteselétricasdevemserprovidasdeacordocomasespecificaçõesdosfabricantesdos
equipamentos.Paraseprecaver,aempresadeveráverificarasopçõesparaconseguiracontinuidadenofornecimento
deenergiataiscomo:
– múltiplasalimentações(evitamumúnicopontodefalha);
– “No-Break”–equipamentoparasuprirtemporariamenteaenergiaemcasodefalha;
– geradorsobressalente.
Os interruptores de energia de emergência devem estar localizados próximo às saídas de emergência nas salas de
equipamentos,afimdefacilitarodesligamentorápidodaenergiaemcasode“pane”(emergência).E,nestescasos,a
iluminaçãodeemergênciadeveserprovidaemcasodefalhanaenergiaprincipal.
Emtodososedifícios,osfiltrosdeproteçãocontraraiosdevemserinstaladoseemlinhasdecomunicaçãoexternas.
Alémdisso,oscabosdeenergiaedetelecomunicaçãoosquaistransportamdadosousuportamosserviçosinformatizados
devemestarprotegidoscontrainterceptação(“Sniffer”)oudanosacidentaisouprovocados.Paratanto,devemser
consideradososseguintescontroles:
– linhasdetelecomunicaçõessepossívelsubterrânease/ousujeitasaproteçõesalternativas;
– cabeamentoderedeprotegidocontrainterceptaçãonãoautorizadaoudanos,
– segregaçãodoscabosdeenergiadoscabosdecomunicaçãoafimdeimpedirinterferência.
– Parasistemascríticosousensíveis,controlesadicionaisdevemincluir:
–
–
–
–
ainstalaçãodecondutoblindadoesalasoucaixastrancadasnospontosdeinspeçãoeterminação;
usoderoteamentoalternativooumídiadetransmissãoalternativa;
usodecabeamentodefibraótica;
iniciação de varreduras em busca de dispositivos não autorizados que possam ser conectados aos
cabos.
No que concerne à manutenção de equipamentos estes devem ser corretamente conservados para assegurar sua
disponibilidadeeintegridadecontinuadas.Osseguintescontrolesdevemserconsiderados:
– osequipamentosdevempassarpormanutençãodeacordocomosintervaloseespecificaçõesdeserviço
recomendadospelofornecedor.
Unidade IV
– apenasopessoalautorizadodemanutençãodeveexecutarosreparoseamanutençãonosequipamentos.
– devemsermantidosregistrossobretodasasfalhasocorridasoususpeitadasesobretodasasmanutenções
preventivasecorretivas.
– controlesapropriadosdevemserrealizadosquandoseenviarequipamentosparaforadaorganizaçãopara
manutenção
– Todososrequisitosimpostospelaspolíticasdesegurançadevemserobedecidos.
ASegurançadeequipamentosforadaempresa,independentementedasuapropriedade,ousodequalquerequipamento
foradasinstalaçõesfísicasdaorganizaçãoparaprocessamentodeinformaçõesdeveserautorizadopelagerência.A
segurançafornecidadeveserequivalenteàqueladosequipamentos“on-site”(dedentrodaempresa)utilizadosparaos
mesmospropósitos,Assim,levando-seemcontaosriscosdetrabalharforadolocaldaempresa.
ParaosEquipamentosdeprocessamentodeinformações,nosquaisincluemtodasasformasdecomputadorespessoais,
organizadores,telefonesmóveis,papéisououtraforma,quesãomantidosparatrabalhoemcasaouqueestãosendo
transportadosparalongedolocalnormaldetrabalhodevemserconsideradasasseguintesdiretrizes:
a) Equipamentosemídiasretiradosdoprédiodaorganizaçãonãodevemserdeixadosdesacompanhadosem
locaispúblicos.Emviagens,oscomputadoresportáteisdevemsertransportadoscomobagagempessoale
disfarçadosondepossível;
b) Asinstruçõesdosfabricantesparaproteçãodosequipamentosdevemsersempreobservadas,porexemplo
proteçãocontraexposiçãoacamposeletromagnéticosintensos;
c) Oscontrolesparatrabalhosemcasadevemserdeterminadosporumaavaliaçãoderiscoseoscontroles
cabíveisaplicadosconformeapropriado,porexemplo,armários-arquivostrancáveis,políticade“mesalimpa”
econtrolesdeacessoaoscomputadores.
d) Coberturadeseguroadequadadeveestarcontratadaparaprotegerequipamentos“off-site”(foradoslimites
daempresa);
Osriscosdesegurança,taiscomodanos,rouboe“bisbilhotagem”,podemvariarconsideravelmenteentreoslocaise
devemserlevadosemcontanadeterminaçãodoscontrolesmaisapropriados.
Devemoslembrarqueasinformaçõespodemvazarousercomprometidasatravésdoseudescarteousuareutilização
atravésdedescuidoscomosequipamentosqueascomportamtaiscomodisquetes,cd-rom,dvd-rom,“hard-disks”,“pendrives”eoutrosdispositivosdearmazenamentoosquaispodemconterinformaçõessensíveisousigilosase,portanto,
devemserfisicamentedestruídosouregravadosdeformasegura.Apagarapenaspodenãosersuficiente,umavezque
osdadospodemcomauxíliodeoutrossistemasseremrecuperadososdados.
Finalmente,osrelatóriosdescartadosquesãomeramenteamassadosoupoucorasgadosedepositadosemlixeiras,podem
serreconstituidosporpessoasmalintencionadaseserafontedeproblemasoufugadeinformaçõesdasempresas,
fragilizandooudivulgandodadosimportantesesigilosos.Assim,taispapeisdevemserfitilhadosemmáquinasespecíficas
oudestruídosporincineração.
Unidade IV
Capítulo 22 – Conceitos e Modelos de Planos de Contingência,
Continuidade de Negócios e Recuperação de Desastres
“... nem mesmo os acontecimentos de 11 de setembro de 2001 nos EUA, mudaram esta situação
para aqueles que não viveram de perto o drama de perder, ou estarem próximos de perder pessoas,
ambientes e dados.”
ANTUNES (2002)
SegundoGODOY(2004),nopassadoaosefalardedesastresseriaamesmacoisaquecitarapenasasameaçasnaturais,
taiscomo,terremotos,enchentesoufuracões.Pois,esteseramosgrandesvilõesresponsáveispelaindisponibilidadee
pelocaosnasempresas.
Noentanto,esteconceitodedesastrevemsendosubstituídoaospoucospeloconceitode“evento”,queéaconcretização
deumaameaçapreviamenteidentificada,podendoserseguidoounãodeumdesastre.
OPlanodeContingênciaeContinuidadedeNegócios(tambémchamadodePlanodeRespostaaIncidentes,ouPlanode
RecuperaçãodeDesastres)descreveasdiretrizeseprocedimentosparatratamentodosincidentes(eventos)desegurança,
comoobjetivodeminimizaroriscodeinoperânciaouparalisaçãodoscomponenteseprocessosessenciaisaonegócio.
Infelizmente,namaioriadasempresas,osignificadoeutilidadedoPlanodeContingênciaaindasãopoucoclaros.Além
disso,desastressãotemasquecarregamforteconotaçãonegativa,porissoosprofissionaisdoramosãovistosmuitas
vezescomantipatia,comopessoasquepensamsomenteemproblemas,desastres,sinistros,quandoaempresadeveria
estarpensandoem“produtividade”.
SegundoanormaISO/IEC/17799(2001),devemserdesenvolvidosplanosparamanterourestaurarasoperaçõesdo
negócionasréguasdetempoexigidasseguintesàinterrupção,oufalha,nosprocessoscríticosdonegócio.Oprocesso
deplanejamentodacontinuidadedonegóciodeveconsideraroseguinte:
– identificareacordartodasasresponsabilidadeseprocedimentosemergenciais;
– documentaçãodosprocessoseprocedimentosacordados;
– implementarprocedimentosemergenciaisafimdepropiciararecuperaçãoerestauraçãodentrodotempo
exigido(comatençãoàavaliaçãodedependênciasexternasedodoscontratosvigentes);
– treinaradequadamenteaequipenosprocessoseprocedimentosemergenciaisenogerenciamentodecrise;
– realizartesteseatualizaçãodosplanos.
Destaforma,todooprocessodeplanejamentopoderáfocar-senosobjetivosrequeridospelonegócio,bemcomonos
serviçoserecursosqueserãoutilizadosnesseprocessoparaqueomesmoseefetivecomsucesso.
Unidade IV
Capítulo 23 – Práticas de desenvolvimento de Business
Impact Analysis (Analise de Impacto nos Negócios)
“... para o Plano de Continuidade de Negócios, onde todas as medidas para o estado de vigilância
e ações de resposta emergenciais devem estar documentadas e destinadas às equipes de plantão
responsáveis pela sua execução.”
PLACHTA (2001)
O “Business Impact Analysis” (Análise de Impacto nos Negócios) corresponde a uma análise em cada processo da
empresaafimdedeterminarqualseriaoseuvalordecustoparaaorganizaçãocasoestesofresseumaparadadevido
aumproblemaqualquer,ouseja,qualoimpactoparaaempresaseoprocessoanalisadofosseinterrompido.Assim,o
custodeparadadoprocessoéasuaavaliaçãoeadorespectivovaloragregadoqueesteprocessoespecíficosomaao
fluxodeprocessosdaEmpresa.
Assimestaanálisemensuraocustodaparadadoprocesso,emfunçãodaperdaqueonegóciodaempresasofre.Esta
nãoéfundamentalparaaexecuçãodeumPlanodeContinuidadedeNegócios,porémauxiliamuito,nogerenciamentoe
atualizaçãodasinformaçõesqueocompõe.
Unidade IV
Capítulo 24 – Práticas no desenvolvimento dos Planos
“... todos se lembram do pessoal da ‘Segurança ou da Contingência’, não como uma área profissional,
mas sim como um ‘bombeiro’, chamado para apagar o ‘incêndio”
ANTUNES (2002).
SegundoSÊMOLA(2003),adecisãosobrequalmedidaimplementarparagarantiracontinuidadedosnegóciosvariade
acordocomaintensidadeeoriscodaameaça,masdevesempreenvolveraparticipaçãoe/ouaprovaçãododepartamento
jurídicoedaaltadireçãodaempresa(emalgunscasos,podesernecessáriaaintervençãodeautoridadeseórgãospoliciais
também).Umplanodecontingênciaerespostaaincidentesdevecontemplar:
– Registrodetodasosincidentesdesegurançasobinvestigação;
– Controledainformaçãoduranteainvestigaçãodeumprovávelincidentedesegurança;
– Comoagircomofuncionárioenvolvidoqueforconsideradoresponsávelpelaocorrência;
– Suspeitadeataquesatravésdevírusdecomputadordequalquertipo;
– Suspeitadeviolaçãodeacesso;
– Tentativasdelogin,conexãonãoautorizada,análisenaredee/ouservidores;
– Comodeveserfeitoorestabelecimentodo(s)sistema(s)atingido(s);
– Comoentraremcontatocomafontedoataque.
SegundoSOUZA(2004,p.19),umasistemáticadegerenciamentoderiscos,consisteemseguirumaseqüênciadequatro
etapasasquaisasempresaspodemseguirafimdeminimizarosefeitosdoriscoe,assim,melhoraremsuaschancesde
sucesso.Assim,talsistemáticaécompostapelasetapasqueseseguem:
– Identificaçãodosriscos:nessaetapasãoidentificadososriscosaosquaisonegócioestásujeito.Independente
dométodoadotadoparaaanálisederisco,essedevecontemplaratividadescomoolevantamentodeativos,
definiçãodeumalistadeameaçaseidentificaçãodasvulnerabilidadesdosativos;
– Quantificaçãodosriscos:nessasegundaetapasãomensuradososimpactosdosriscosnonegócio.Édurante
essaetapaqueferramentascomooBusinessImpactAnalysisdeverãoserutilizadasparaseestimarosprejuízos
financeirosdecorrentesdeumapossívelparalizaçãodecadaumadesuasatividades;
– Tratamento dos riscos: identificados os riscos, faz-se uma classificação de acordo com a prioridade de
tratamento,definindoemseguidaasprovidênciascabíveisaseremtomadas;
– Monitoraçãodosriscos–gerenciarosriscoséumtrabalhocontínuoequenãocessacomaimplementação
demedidasdesegurança.Éprecisoumacompanhamentoconstante,analisandoodesempenhodasmedidas
tomadaserealizandoajustesnasáreasquenecessitem.
Para (não) Finalizar
NestadisciplinaconhecemosaAdministraçãodaSegurançadaInformação,atravésdosconceitosedasnormasdefinindo
padrõesparaaSegurançadaInformaçãonasempresas.
VerificamosqueéimportanteaobservânciaasaadoçãodasnormasdeSegurançadaInformação,aconceituaçãobásica
deSegurançadaInformaçãoeverificamosoporquêdehaveraspectosdeconformidadeentrealegislaçãobrasileirae
ainternacional.
PassamosparaaelaboraçãodoplanejamentodeSegurançadaInformaçãoeverificamosmodelosdegestãodeSegurança
daInformação.
AssimpodemosvislmbraraimportânciaeaformacomosãoelaboradasasPolíticasdeSegurançadaInformação.
Apósisso,verificamosalgumasformasdeAnálisedeRiscoseoqueestarepresenta.Vimosalgunselementosdaanálisee
descortinamosasabordagensqualitativaequantitativa.Depois,vemosumpoucodaanálisedeprocessosemtecnologia
deinformaçãoedosriscosemprojetosdesistemasdeinformaçãoefomosalertadosparaosriscosnacontrataçãode
terceiros.
EstudadosasPolíticasdeSegurançadaInformaçãoseuselementosesuasextensões,asnormaseprocedimentos
necessáriosparacomplementá-laseanalisamos,também,suaimportânciaparaaempresaeoseurelacionamentocom
asdemaisáreas.
Finalmente,verificamoscomoelaboraraPolíticadeSegurançadeformaaadequaromodeloNBRISO/IEC17799na
organizaçãoeadivulgardeformaaconscientizaregarantiraaplicaçãodesta.
0
Referências
ANDERSON,Ross.SecurityEngineering–AGuidetoBuildingDependableDistributedSystems,JohnWiley&Sons,
2001.
ANTUNES,Edson.PlanejamentodeContingênciaeContinuidadedeNegócios.MóduloSecurityMagazine,26jun.2002.
Disponívelem:<http://www.modulo.com.br>.[30jul.2002].
ASSOCIAÇÃOBRASILEIRADENORMASTÉCNICAS.ISO/IEC17799TecnologiadaInformação-Códigodepráticapara
aGestãodaSegurançadaInformação.InternationalOrganizationforStandardization,Switzerland,2000.
ATKINS,D.,et.al.InternetSecurity:ProfessionalReference.NewRidesPublishing,2nEd.1997.
GARFINKEL,S.;SPAFFORD,G.Comércio&SegurançanaWeb-Riscos,TecnologiaseEstratégias.MarketBooksBrasil,
1999.
GIL,AntoniodeLoureiro.SegurançaemInformática.2.Ed.SãoPaulo:Atlas.1998.
GODOY,MaxBianchi.ASegurançadaInformaçãoeSuaImportânciaparaoSucessodasOrganizações:RiodeJaneiro,
Ed.Kirios,2004
INTERNATIONALORGANISATIONFORSTANDARDISATION.DRAFTBS7799-2:2002:Informationsecuritymanagement
–specificationforinformationsecuritymanagementsystems.BritishStandardInstitute,London,2001.
JALOTE,P.Faulttoleranceindistributedsystems.PrenticeHall,EnglewoodCliffs,NewJersey,1994.
NAKAMURA,E.T.;GEUS,P.L.Segurançaderedesemambientescooperativos.SãoPaulo,Berkeley,2002.
PLACHTA, Claudio. Plano de Continuidade de Negócios. Módulo Security Magazine, 22 nov. 2001. Disponível em:
<http://www.modulo.com.br>.[30jul.2002].
RUFINO,N.M.O.SegurançaNacional-técnicaseferramentasdeataqueedefesadeRedesdeComputadores.Novatec,
2002.
SCHNEIER,Bruce.Appliedcryptography:protocols,algorithmsandsourcecodeinC,2ed.JohnWiley&Sons,1996.
SÊMOLA,Marcos.GestãodaSegurançadaInformação:UmaVisãoExecutiva.RiodeJaneiro:Campus,2003
SOUZA,LucianeCaliaride.TratamentodeRiscosnoMercadoBrasileirodeEnergiaElétrica,noperíodode1998-2002.
Florianópolis:UFSC,2004.
STALLING,W.–CryptographyandNetworkSecutiry–PrinciplesandPractice.3ªEd.,Prentice-Hall,2003.
STEWART,ThomasA.Capitalintelectual:ANovaVantagemCompetitivadasEmpresas.2ªEd..RiodeJaneiro:Campus,
1998.
Sitesdepesquisa:
http://www.ogc.gov.uk/
http://www.ibgc.org.br/
http://www.itil.org
http://www.itil.co.ok
http://www.modulo.com.br
http://www.segurancadainformacao.com/

Apresentação...........................................................

Transcrição

Documentos relacionados

Mipolam Symbioz

Iupilon® H-2000UR - Polycarbonate Resin Descrição

Oradores

Ficha Técnica - ACE Revestimentos

Monitor de Pressão Sanguínea BPM

CURSO CÁLCULO DE CURTO-CIRCUITO PELA NORMA IEC 60909

CERTIFICADO DE APROVAÇÃO - CA Nº 4.677 VÁLIDO

PISOS - pisotech

T0303 Lead_Assessor_ISO_17025

Acessórios para Segurança