66053636 apostila-iso17799-modulo1

Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005

Academia Latino-Americana de Segurança da Informação

Aspectos teóricos e práticos para implantação da Norma ABNT NBR ISO/IEC 17799:2005

Módulo 1

Academia Latino-Americana de Segurança da Informação Introdução à ABNT NBR ISO/IEC 17799:2005 - Módulo 1

2

Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005

Apostila desenvolvida pelo Instituto Online em parceria com a Microsoft Informática

http://www.instonline.com.br/

Revisão 1.0 – março de 2006

COORDENADORES TÉCNICOS

Arthur Roberto dos Santos Júnior Fernando Sergio Santos Fonseca Paulo Eustáquio Soares Coelho


3

COMO USAR ESSE MATERIAL

Este é um material de apoio para o curso “Entendendo e implementando a ABNT NBR ISO/IEC 17799:2005” ministrado pela Academia de Segurança Microsoft. Durante o curso serão apresentados vários Webcasts com o conteúdo deste material acompanhado de slides e voz para ilustrar os conceitos e práticas. A cópia desses slides está em destaque na apostila, seguida de textos com informações que serão abordadas pelo instrutor nos respectivos Webcasts.

LABORATÓRIO : TÍTULO AQUI

Os laboratórios de cada módulo do curso são identificados dessa forma e seu roteiro está especificado sob o título.

VÍDEO

Indica que será apresentado um filme para ilustrar as práticas ou conceitos.


4

ÍNDICE

APRESENTAÇÃO...............................................................................................................................6

1 – INTRODUÇÃO: EVOLUÇÃO E CONCEITOS ......................................................................................7

Objetivos.........................................................................................................................8

Informação: bem que se deve proteger..........................................................................9

Evolução da segurança da Informação ........................................................................11

O Problema clássico de segurança da informação ......................................................16

O que é uma norma?....................................................................................................18

2 – AS PRINCIPAIS NORMAS DE SEGURANÇA DA INFORMAÇÃO ......................................................... 20

Objetivos.......................................................................................................................21

ITIL – Information Technology Infraestructure Library..................................................22

CobiT – Control Objectives for Information and Related Technology...........................24

BS 15000 / ISO 20000– Normas de gestão de serviços ..............................................26

BS 7799 - British Standard 7799 ...............................................................................29

ISO/IEC FDIS 17799:2005(E) – Information technology – Security techniiques - Code of practice for information security management ABNT NBR 17799:2005 – Tecnologia da informação – técnicas de segurança – Código de prática para a gestão da segurança da informação....................................................................................................................31

Comparação entre as principais normas......................................................................34

Sistema de Gestão de Segurança da Informação – SGSI ...........................................35

Ferramentas para gerenciamento de TI – (MOF – MSF – BSC).................................37

3 - INTRODUÇÃO À ABNT NBR/ISO/IEC 17799:2005.................................................................. 41

Objetivos.......................................................................................................................42

conceitos básicos de Segurança da Informação..........................................................43

Objetivos da Segurança da Informação .......................................................................45

Como implantar um sistema de sergurança da informação? .......................................47


5

4 – ANÁLISE/AVALIAÇÃO E TRATAMENTO DE RISCOS ...................................................................... 50

Objetivo ........................................................................................................................51

Analisando/avaliando os riscos de segurança da informação......................................52

Tratando os riscos de segurança da informação .........................................................56

5 – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO .............................................................................. 60

Objetivo ........................................................................................................................61

O que é uma política de serurança da informação.......................................................62

Criando uma política de segurança da informação ......................................................63

Conteúdo do documento formal da política de segurança da informação ..................73

6 – ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ...................................................................... 76

Objetivo ........................................................................................................................77

Estruturação da segurança da informação: Gestão de autorização de novos recursos78

Estruturação da segurança da informação: Acordos de confidencialidade e sigilo para acessos de funcionários, parte externa e cliente..........................................................80

NORMAS TÉCNICAS ....................................................................................................................... 83

REFERÊNCIAS BIBLIOGRÁFICAS ..................................................................................................... 84


6

APRESENTAÇÃO Os desafios para a implantação de um ambiente de segurança em qualquer empresa, independente do tamanho, são enormes. O maior problema é implementar as políticas e normas de segurança em um sistema real, que possui aplicações em funcionamento, hardware em produção, softwares proprietários e de terceiros e, acima de tudo, pessoas. É literalmente como trocar o pneu com o carro andando. Como a maior parte das informações vitais para o sucesso de uma organização reside em computadores, perdas de dados podem ser catastróficas. Os riscos de um negócio com sistema de segurança da informação inadequado são incalculáveis. Segurança da informação é manter a confidencialidade, integridade e disponibilidade da informação. Ela abrange muito mais do que a segurança da informação de TI. Ela cobre a segurança de toda e qualquer informação da empresa, esteja ela em meios eletrônicos, papel ou até mesmo na mente dos funcionários.

Motivados pela busca de soluções para esses desafios, diversos profissionais de várias áreas e organizações, vêem se esforçando para criar normas que sistematizem o trabalho de criar ambientes seguros de TI. Um desses resultados foi consolidado com a norma ABNT NBR ISO/IEC 17799:2005. Utilizando-se essa norma, que é um guia de melhores práticas, simplifica-se o trabalho de adoção e implementação de políticas e padrões definidos, bem como da posterior verificação da conformidade dos resultados alcançados. O objetivo deste curso é entender as características de alguns padrões de segurança e, em especial, fazer um estudo dos códigos de prática para gestão da segurança da informação contidos na norma ABNT NBR ISO/IEC 17799:2005, proporcionando um entendimento de como implementar, manter e melhorar a gestão da segurança da informação nas empresas. Ao final deste curso você estará apto a:

� Entender os padrões empregados para a gestão da segurança da informação; � Entender a evolução destes padrões; � Descrever os controles contidos na norma ABNT NBR ISO/IEC 17799:2005; � Conceituar cada controle da norma; � Através de um estudo de caso, implementar a norma em uma empresa.


7

1 – INTRODUÇÃO: EVOLUÇÃO E CONCEITOS

NESTE CAPÍTULO SERÃO APRESENTADOS UMA BREVE EVOLUÇÃO DAS NORMAS DE

SEGURANÇA E OS PRINCIPAIS CONCEITOS DE SEGURANÇA DA INFORMAÇÃO.

Módulo

2 Capítulo

1


8

OBJETIVOS

Segurança é um termo que transmite conforto e tranqüilidade a quem desfruta de seu estado. Entender e implementar este “estado” em um ambiente empresarial exigem conhecimento e práticas especializadas que somente são possíveis com o emprego e uso de um código de práticas de segurança, contidos em uma norma, como a ABNT NBR ISO/IEC 17799:2005. Neste capítulo veremos alguns conceitos fundamentais para a compreensão das metodologias de implantação de segurança da informação, iniciando com um breve histórico sobre a evolução das normas de segurança da informação. Ao final do capítulo conheceremos as principais normas aplicáveis para se obter um ambiente seguro e eficiente para a informação. Ao final deste capítulo você estará apto a entender:

� O que é informação; � A evolução da segurança da informação; � As primeiras práticas de segurança; � O problema clássico de segurança da informação; � O que é uma norma.


9

INFORMAÇÃO: BEM QUE SE DEVE PROTEGER

O objetivo deste estudo é obter um ambiente seguro para a informação. Mas o que é informação? Segundo o dicionário Aurélio [1], informação é o conjunto de dados acerca de alguém de ou de algo. Estendendo esse conceito, podemos dizer que a informação é a interpretação desses dados. De nada vale um conjunto de dados sem que se faça a interpretação dos mesmos para se extrair um conhecimento útil. As organizações necessitam da informação para tomar decisões objetivando seus fins (o sucesso). Isto mostra o quão poderosa é a informação. Sem ela não há estratégias, não há mudanças ou até mesmo não existiria a empresa. Uma conseqüência natural da importância da informação é a extrema vulnerabilidade a que a empresa se expõe caso haja perda de dados vitais, como plantas de projetos, planilhas de custos, documentos contábeis, financeiros, etc. Quanto maior for a organização maior será sua dependência da informação. A informação pode estar armazenada de várias formas: impressa em papel, em meios digitais (discos, fitas, CDs, DVDs, disquetes), na mente das pessoas, em imagens armazenadas em fotografias e filmes. Quando lidamos com segurança da informação, é necessário pensar em sua confidencialidade, integridade e disponibilidade em qualquer um desses meios, utilizando todos os recursos disponíveis, e não somente os tecnológicos. Devemos tratar a informação como um ativo da empresa com a mesma importância que qualquer outro bem palpável. Por isso, deve ser protegida contra roubo, problemas ambientais, vandalismo, dano acidental ou provocado.


10

Quanto mais interconectada for uma empresa, maior será a complexidade dos sistemas por onde trafegam e são armazenadas as informações e, conseqüentemente maior será a preocupação com o nível de segurança a ser implantado a fim de garantir a confidencialidade, confiabilidade, disponibilidade e integridade da informação que ela detém. A disciplina de segurança da informação trata do conjunto de controles e processos que visam preservar os dados trafegam ou são armazenados em qualquer meio. As modernas tecnologias de transporte, armazenamento e manipulação dos dados, trouxeram enorme agilidade para as empresas, mas ao mesmo tempo trouxeram também novos riscos. Ataques de crackers (black hat hackers), de engenharia social, vírus, worms, negação de serviço, espionagem eletrônica são noticiadas pela impressa todos os dias. Diante deste cenário, a segurança da informação torna-se imprescindível para as organizações, sejam elas do setor público ou privado.


11

EVOLUÇÃO DA SEGURANÇA DA INFORMAÇÃO

Desde a pré-história, cerca de 20000 anos antes de Cristo (AC), o homem já sentia necessidade de transmitir e perpetuar a informação. Usava pinturas nas pedras para expressar seu cotidiano. Em 3500 AC, registrou-se o primeiro sistema de linguagem escrita na Suméria. A partir daí várias civilizações desenvolveram seus próprios métodos de registro e transmissão da informação, dentre eles podemos destacar:

� os hieróglifos e o papiro no antigo Egito, em 3000 AC;

� o ábaco dos babilônios, 1800 AC;

� os primitivos livros chineses de bambu ou madeira presos por cordas datados de 1300 anos AC;

� o processo chinês de fabricação de papel, de 105 DC alcançando Bagdá em 753 DC;

� a fotografia de 1826;

� o telégrafo eletromagnético de Samuel Morse, em 1837;

� as primeiras transmissões de rádio em broadcast em 1917;

� o primeiro computador digital em 1943.


12

Todo este processo milenar nos levou até as modernas tecnologias de transmissão e armazenamento digital de dados no século 20 [2].

Todos aqueles métodos de armazenamento padeciam de um problema: como preservar essas informações para que fossem acessadas após sua geração? No ano 600 da era cristã o rei Ashurbanipal em Nineveh organizou a primeira biblioteca, cujo acervo sobrevive até os dias atuais com cerca de 20000 placas. É um exemplo clássico da necessidade da transmissão da informação armazenada.

Desde o início, o desafio era conter as diversas ameaças à informação, algumas das quais enfrentamos até hoje: incêndios, saques, catástrofes naturais, deterioração do meio de armazenamento. À medida que a sociedade evoluía, a preocupação com a segurança das informações aumentava, principalmente no quesito confidencialidade. Foram criados vários processos de cifragem da informação, que tinham a função de alterar o conteúdo das mensagens antes de seu envio. Ao capturar uma mensagem o inimigo obtinha apenas um texto cifrado e não a mensagem original. Isso permitiu que segredos e estratégias fossem trocados de forma segura entre aliados. Por exemplo, a cifragem de César foi usada para troca de informações entre os exércitos durante o império romano; a máquina de cifrar “Enigma” foi utilizada como uma grande arma de guerra pelos alemães durante o período da segunda grande guerra. Atualmente a criptografia e a esteganografia continuam sendo largamente utilizadas em diversas aplicações de transferência e armazenamento de dados. O surgimento dos computadores e de sua interconexão através de redes mundialmente distribuídas permitiu maior capacidade de processamento e de distribuição das informações. Com essa capacidade de comunicação, surgiu também a necessidade da criação de mecanismos que evitassem o acesso e a alteração indevida das informações. Como resultado surgiram várias propostas e publicações de normas de segurança em todo o mundo.


13

Conforme Chappman [3], o ano de 1967, foi o ano em que a segurança de computadores passou a ter atenção oficial nos Estados Unidos. Nesta época foi criada uma força tarefa cujo foco era a construção de mecanismos de segurança de computadores que deveriam ser desenvolvidos para prover a proteção de informações classificadas e do compartilhamento de recursos do sistema; este esforço resultou em um documento denominado Security Controls for Computer Systems: Report of Defense Science Boad Task Force on Computer Security editado por W. H. Ware [4]. Este relatório representou o trabalho inicial de identificação e tratamento do problema clássico de segurança de computadores. Em 1978, o Departamento de Defesa dos Estados Unidos, publicou um conjunto de regras para avaliação da segurança das soluções disponibilizadas. Ficou conhecido como “The Orange Book”. Em 1978, teve início o processo de escrita do Orange Book, denominado DoD 5200.28-STD, que foi concluído em 15 de agosto 1983, com o documento CSC-STD-001-83 - Library No. S225,711 - DEPARTMENT OF DEFENSE TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA (TCSEC) [5]. Paralelamente foi publicado o documento An Introduction to Computer Security: The NIST Handbook [6], proposto pelo National Institute of Standards and Technology - U.S. Department of Commerce. Para facilitar sua aplicação, as normas de segurança foram divididas em vários controles. Cada controle seria responsável por atender a um dos quesitos da norma. O uso de controles permite uma visão modular da questão da segurança e a aplicação contextualizada das normas às organizações. À medida que as organizações cresciam, as redes de computadores e os problemas de segurança também cresciam. Não demorou muito para ficar claro que proteger somente os sistemas operacionais, as redes e as informações que trafegavam por elas não era o suficiente. Com isto, foram criados comitês com o objetivo de desenvolver mecanismos mais eficientes e globais de proteção à informação. Desses pode-se destacar o Comercial Computer Security Centre, criado pelo governo britânico e que publicaria mais tarde a norma BS-7799. A BS-7799 foi a primeira norma homologada a apresentar soluções para o tratamento da informação de uma maneira mais ampla. Segundo esta norma, todo tipo de informação deve ser protegido, independentemente da sua forma de armazenamento, seja analógica ou digital, e de seu valor para a organização. No ano de 2000, houve a homologação da primeira parte da BS-7799 pela ISO. Esta homologação originou a Norma Internacional de Segurança da Informação - ISO/IEC 17799, sendo composta por 10 macros controles, cada qual subdividido em controles específicos. Em abril de 2001, a versão brasileira da norma ISO foi disponibilizada para consulta pública. Em setembro do mesmo ano a ABNT homologou a versão brasileira que passou a ser denominada NBR ISO/IEC 17799:2000. A Norma trouxe mais do que


14

vários controles de segurança. Ela permitiu a criação de um mecanismo de certificação das organizações, através da BS 7799-2 e posteriormente através da ISO 27001. Em 30 de setembro de 2005, passou a ter validade a segunda edição atualizada da norma brasileira. Foi publicada sob o número ABNT NBR ISO/IEC 17799:2005, que é equivalente à norma ISO/IEC 17799:2005, entrando em vigor a partir de novembro de 2005.

Uma família de normas está atualmente em desenvolvimento e adotará um esquema de numeração usando uma série de números 27000 em seqüência. Incluem normas sobre requisitos de sistemas de gestão da segurança da informação, gestão de riscos, métricas e medidas, e diretrizes para implementação, tais como [7]:

ISO 27000 - Contém vocabulário e definições utilizados nas normas da série ISO 27000. Em desenvolvimento, tem sua publicação prevista para 2008 e deve absorver a ISO Guide 73 - Risk Management Vocabulary. ISO 27001 - publicada em outubro de 2005, substitui a BS7799-2, tornando-se a norma para certificação da segurança da informação. Nesta norma são organizados os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar o SGSI (Sistema de Gestão da Segurança da Informação, ou ISMS, Information Security Management System da sigla em inglês).

ISO 27002 - organiza os controles de segurança da informação, reunindo as melhores práticas para a segurança da informação realizada mundialmente. Trata-se na realidade da ISO 17799:2005.

ISO 27003 – Não oficialmente trajar-se-á de um guia de implementação. ISO 27004 - Information Security Management Metrics and Measurement, voltada para a medição da efetividade da implementação do SGSI e dos controles de segurança da informação implementados. Encontra-se em desenvolvimento e a sua publicação deverá ocorrer em 2007. ISO 27005 - Novo padrão para gerenciamento de riscos, deverá substituir a BS7799-3 em 2007. Reunirá diretriz e orientação para a identificação, avaliação, tratamento e gestão suportada dos riscos sobre os recursos do escopo compreendidos no SGSI. ISO 27006 - Este documento tem o título provisório de "Guidelines for information and communications technology disaster recovery services", baseada na SS507, padrão de Singapura para continuidade do negócio e recuperação de desastres. Ainda sem previsão para publicação.


15

Diversas iniciativas de organizações governamentais já aplicam normas específicas internas baseadas em normas internacionais e nacionais. No Brasil a política de segurança da Informação nos órgãos e nas entidades da administração pública federal é regulamentada através do Decreto Presidencial No 3.505, de 13 de junho de 2.000. Esse decreto enfatiza em seu artigo 3o inciso I, o seguinte objetivo:

“dotar os órgãos e as entidades da Administração Pública Federal de instrumentos jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis” [8].

Esse decreto representa a importância que as entidades devem dar à segurança da informação. Atendendo a esse decreto, diversos organismos governamentais desenvolvem seus códigos de boas práticas em segurança da informação que devem ser seguidos pelas pessoas que de alguma forma estão relacionadas com os ambientes informatizados.

Empresas privadas também se valem dos códigos de conduta propostos pelas normas, a fim de obterem a certificação de segurança da informação, garantindo relações de negócio com seus parceiros e clientes, em que a mútua confiança no sigilo da informação é imprescindível.


16

O PROBLEMA CLÁSSICO DE SEGURANÇA DA INFORMAÇÃO

Um dos grandes trunfos da grande expansão dos sistemas computacionais é a enorme facilidade de compartilhamento de recursos e informações. Os benefícios que a conectividade em rede, em especial a Internet, proporciona a toda a humanidade, dispensam maiores comentários. Porém, essa conectividade pode expor os computadores e as redes como um todo a diversas ameaças. A partir da década de 90, o boom da Internet trouxe também o boom dos ataques às redes de computadores. A segurança de dados deixou de ser apenas uma preocupação com a perda da informação devido a um acidente com os meios de armazenamento ou a uma operação indevida do usuário. Tem-se agora a ameaça de ataques via rede, podendo haver roubo das informações, vandalismos que as destruam ou simplesmente técnicas de negação de serviço impedindo o acesso aos dados. Outra grande fonte de ameaça é o ataque interno, esse muitas vezes até mais difícil de ser contido devido ao nível de acesso e a proximidade que usuário tem à rede e aos seus recursos físicos. Neste caso, como resolver o problema de permitir o acesso a certas informações aos usuários autorizados e, simultaneamente, como negar o acesso aos usuários não autorizados? Essa questão remete a outra: “O que precisa ser protegido, contra quem e como?” [9].

- Como permitir o acesso a certas informações aos usuários autorizados e, simultaneamente, como negar o acesso aos usuários não autorizados?

- Como permitir o acesso a certas informações aos usuários autorizados e, simultaneamente, como negar o acesso aos usuários não autorizados?


17

Segundo Thomas A. Wadlow [10], “A segurança deverá ser proporcional ao valor do que se está protegendo”. Ou seja, a implantação do sistema de segurança da informação tem de apresentar um custo benefício que torne a tentativa de ataque tão cara que desestimule o atacante, ao mesmo tempo em que ela é mais barata do que o valor da informação protegida. Quando o valor do ativo que se está protegendo é tão alto que o dano causado ao mesmo é difícil de ser calculado, devemos assumir o valor da informação como altíssimo, imensurável. Um exemplo a se analisar seria um receituário de medicamentos para pacientes internados em um hospital. Este sistema de informação lida com dados que podem colocar em risco a vida humana caso a integridade dos dados seja corrompida, neste caso não temos como fazer uma análise quantitativa do impacto, pois a vida humana é tida como mais valiosa que qualquer ativo. Mesmo não se tratando de um valor imensurável, temos ainda os ativos que são vitais para a empresa e aqueles que podem levar a implicações legais. Quando estamos lidando com a análise de valor destes bens, consideramos que o dano nos mesmos pode resultar em grande perda de credibilidade pela empresa e até mesmo no posterior encerramento de suas atividades. Neste contexto, a segurança da informação é a proteção da informação em si, dos sistemas, da infraestrutura e dos serviços que a suporta, contra acidentes, roubos, erros de manipulação, minimizando assim os impactos dos incidentes de segurança.


18

O QUE É UMA NORMA?

Segundo o Aurélio[1], norma é aquilo que se estabelece como base ou medida para a realização de alguma coisa. Quando não há padrões, podemos ter diversos problemas como: baixa qualidade do produto, incompatibilidade com outros produtos existentes, produtos não confiáveis ou até mesmo perigosos, além de não termos como compara-lo com outros produtos, devido à falta de um referencial comum. As normas contribuem para fazer com que os processos de fabricação e fornecimento de produtos e serviços sejam mais eficientes, seguros e limpos. Ela facilita os negócios entre fornecedores e clientes, seja no comércio local ou internacional, uma vez que estabelece padrões a serem seguidos por todos, garantindo interoperabilidade entre serviços, processos e produtos.

Conforme definido pela Associação Brasileira de Normas Técnicas (ABNT), os objetivos da normalização são:

� Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços;

� Segurança: proteger a vida humana e a saúde; � Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir

qualidade de produtos; � Eliminação de barreiras técnicas e comerciais: evitar a existência de

regulamentos conflitantes sobre produtos e serviços em diferentes países, facilitando assim, o intercâmbio comercial.

Norma tem o propósito de

definir regras, padrões e

instrumentos de controle para dar

uniformidade a um processo, produto

ou serviço.

Norma tem o propósito de

definir regras, padrões e

instrumentos de controle para dar

uniformidade a um processo, produto

ou serviço.


19

Diversas normas foram criadas especificamente para o tratamento da questão sobre a segurança da informação. No próximo capítulo são apresentadas essas normas.


20

2 – AS PRINCIPAIS NORMAS DE SEGURANÇA DA

INFORMAÇÃO

AS CARACTERÍSTICAS DAS PRINCIPAIS NORMAS PARA GESTÃO DE AMBIENTE DE TI SÃO APRESENTADAS NESTE CAPÍTULO: ITIL, COBIT, BS 15000 / ISO 20000, BS

7799, ISO/IEC 17799:2005(E) E ABNT NBR ISO/IEC 17799:2005.

SERÁ TAMBÉM ABORDADO O QUE É UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO (SGSI). ALGUMAS FERRAMENTAS PARA AUXÍLIO NA IMPLANTAÇÃO DO SGCI, COMO MOF, MSF E BSC SÃO CITADAS AO FIM DO CAPÍTULO.

Capítulo

2


21

OBJETIVOS

Atualmente a tecnologia da informação dirige os negócios. O sucesso da empresa depende da alta disponibilidade, segurança e desempenho dos serviços de TI. Esta dependência determinou o desenvolvimento de normas que propõem práticas para implantação de sistemas de gestão dos serviços de TI.

Algumas das principais normas para práticas e controles de TI e para implantação de processos de segurança de TI, são:

� ITIL

� BS15000 / ISO 20000;

� CobiT.

� BS 7799 / ISO 17799;

� ABNT NBR ISO/IEC 17799:2005 (norma brasileira baseada na ISO 17799).

Ao final deste capítulo você estará apto a:

� Descrever as principais normas criadas para a gestão dos serviços de TI; � Entender o que é um sistema de gestão da segurança da informação (SGSI); � Os passos para a criação de um SGSI; � Conhecer algumas ferramentas para gestão de ambientes de TI.

ABNT NBR ISO/IEC 17799:2005

ISO/IEC FDIS 17799:2005(E)

BS 7799

Normas de segurança de TI

BS15000ISO 20000

Normas para práticas e controles internos de TI

Organização responsável

Norma

ABNT NBR ISO/IEC 17799:2005

ISO/IEC FDIS 17799:2005(E)

BS 7799

Normas de segurança de TI

BS15000ISO 20000

Normas para práticas e controles internos de TI

Organização responsável

Norma


22

ITIL – INFORMATION TECHNOLOGY INFRAESTRUCTURE LIBRARY

O aumento nos investimentos e na complexidade das operações de TI, levou as empresas a buscarem modelos que facilitassem:

� A descrição e os objetivos dos vários serviços e ambientes de TI;

� A representação de como esses serviços se inter-relacionam;

� A orientação para a implementação destes serviços com sucesso.

O Information Technology Infraestructure Library (ITIL) é uma resposta a essa busca. Trata-se de um conjunto de orientações desenvolvido pelo Office of Government of Commerce (OGC), órgão do governo britânico. Descreve um modelo de processo integrado de melhores práticas para prover a qualidade de serviços de TI.

O ITIL foi criado em 1989. Seu desenvolvimento foi motivado pelo reconhecimento da dependência de TI pelas organizações, o que levou ao aumento da necessidade de qualidade de serviço no setor.

Em 2000 o OGC trabalhou em conjunto com o British Standards Institution (BSI) e o IT Service Management Forum (itSMF) na revisão da documentação do ITIL. Assim, o BSI Management Overview (PD0005), a BS15000-1 (Especificações para gestão de serviços) e a série ITIL formam parte da mesma estrutura lógica.

• Desenvolvido pelo governo britânico (OGC -Office

Government Commerce) - 1989

• Conjunto de melhores práticas para gerenciamento de

serviços em TI

– Organizações e processos

– Infraestrutura de TI

• Hardware, software e rede

• Aplicações

• 1996 – Lançado na America do norte


23

O BSI Management Overview é uma introdução às orientações detalhadas do ITIL. A documentação ITIL oferece informações expandidas e um guia para os assuntos tratados na BS15000.

Os objetivos do ITIL são:

� Fornecer um guia para a gestão estratégica, tática e operacional para a infraestrutura de TI;

� Melhorar a eficiência;

� Reduzir riscos;

� Prover compatibilidade com os requerimentos da ISO9001.

As melhores práticas do ITIL cobrem cinco processos que suportam os serviços:

� Gestão de incidentes;

� Gestão de problemas;

� Gestão de mudanças;

� Gestão de configurações;

� Gestão de fornecimento.

O ITIL também inclui cinco processos de fornecimento de serviço:

� Gestão de capacidade;

� Gestão financeira;

� Gestão de disponibilidade;

� Gestão de nível de serviço;

� Gestão de continuidade de serviços de TI.

Nas palavras de Malcom Fry em entrevista a ITWEB em 25/11/2003 [11], os dois valores mais óbvios para as empresas que adotam o ITIL são: “um é o vocabulário comum compartilhado pelos profissionais de TI das empresas usuárias e dos fornecedores de software. Isso reduz confusões, aumenta o entendimento e aperfeiçoa a comunicação entre eles. O outro é ambas equipes e gerentes passam a entender o funcionamento dos processos de trabalho de serviços de TI a partir de uma mesma fonte”.


24

COBIT – CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY

Objetivos do negócio

EficiênciaConfidencialidadeIntegridadeDisponibilidadeCompatibilidadeConformidadeConfiabilidade

PessoasSistemas aplicativosTecnologiaInfraestruturaDados

Governaça em TI

Fonte: CobiT Executive Summary – IT Governance Institute

Recursos de TI

Fornecimentoe suporte

Monitoramento

e Avaliação

Informação

Aquisição e implementação

Planejamentoe organização

O CobiT (Control Objectives for Information and related Technology) é um conjunto de práticas que visam auxiliar a gestão e controle de iniciativas de TI nas empresas reduzindo os riscos correspondentes. Sua primeira edição foi publicada em 1996 pela ISACA (Information System Audit and Control Foundation). Atualmente encontra-se na sua quarta edição publicada em 2005.

O tema principal do CobiT é a orientação aos negócios. É desenhado para ser empregado não somente por usuários e auditores, mas principalmente para servir de guia para os proprietários dos processos dos negócios.

O modelo do CobiT fornece ferramentas para facilitar a distribuição de responsabilidades pela diretoria de negócios. O modelo inclui uma série de 34 objetivos de controle, um para cada processo de TI, agrupados em 4 domínios:

� Planejamento e organização;

� Aquisição e implementação;

� Entrega e suporte;

� Monitoramento e avaliação.


25

Esta estrutura cobre todos os aspectos da informação e da tecnologia que a suporta. Através dos 34 objetivos de controles, a direção de processos do negócio pode se assegurar que um sistema de controle é fornecido para o ambiente de TI.

Os domínios norteiam a implantação de processos que conduzirão aos corretos investimentos nos recursos de TI (dados, aplicações, tecnologia e pessoas). A partir do levantamento detalhado dos processos, é possível determinar o que se deseja e o que é necessário para atingir esse objetivo.

As orientações de gestão CobiT são genéricas e orientadas a ações com o propósito de responder questões de gerenciamento como:

� Aonde eu posso chegar e se os custos são justificados pelo benefício? A resposta a essa questão permite mapear onde a organização está, como ela se posiciona em relação as melhores organizações do seu ramo e em relação aos padrões internacionais, e onde a organização deseja chegar;

� Quais são os indicadores de desempenho? Aqui são definidos os indicadores que medirão se o desempenho dos processos de TI está na direção correta para se atingir os objetivos.

� Quais são os fatores críticos de sucesso? Isso definirá orientações de implementação para se alcançar o controle sobre os processos de TI;

� Quais os riscos de não se atingir os objetivos? É uma forma clara de se enxergar em que terreno vai pisar e conhecer os riscos do negócio;

� Como medir e comparar? A resposta definirá as medidas que informarão a gerência, após o evento, se o processo de TI alcançou os requerimentos do negócio.


26

BS 15000 / ISO 20000– NORMAS DE GESTÃO DE SERVIÇOS

A BS 15000 foi a primeira norma formal para gestão de serviços de TI (Tecnologia da Informação) desenvolvido pela British Standards Institution (BSI). Foi publicado em 15 de novembro de 2000. Embora seja baseada no modelo de processos do ITIL, fornece especificações claras para implementação de um processo de gestão de TI.

O escopo da norma abrange um sistema de gestão de serviços de TI e forma a base para a avaliação dessa gestão.

O esquema de certificação foi formalmente lançado em 1o de julho de 2003 e é administrado pelo IT Service Management Forum (itSMF). Baseado diretamente na norma fornece certificação para sistemas de gestão de TI.

A BS 15000 define uma série de processos para a gestão de serviços. A parte 1 especifica 13 processos (figura acima) e é a base para implementar e certificar um sistema de gerenciamento para fornecimento de serviços de TI. A parte 2 é um código de práticas que amplia os requerimentos da Parte 1. Juntas elas fornecem ferramentas completas para as empresas entenderem como melhorar os serviços fornecidos a seus clientes, sejam eles internos ou externos. O escopo da norma cobre os seguintes itens:

� Escopo dos serviços de sistema de gestão;

Desenho Desenho de de ServiServiçços os e e ProcessosProcessos de de gestgestããoo

Gestão de segurança da informação

Gestão de disponibilidade e continuidade de serviço

Gestão de Capacidade de

Serviço

Gestão financeira

Gestão de nível de serviço

Relatórios de serviço

Processos Processos de de ControleControleGestão de Configuração

Gestão de mudanças

Gestão de entregasGestão de Incidentes

Gestão de Problemas

Gestão de relacionamento

de negócios

Gestão de fornecedores

Processos Processos de de suporte suporte a a serviserviççosos

Processos de Entrega de serviços

Processos de Relacionamento

Processos de Resolução

Desenho Desenho de de ServiServiçços os e e ProcessosProcessos de de gestgestããoo

Gestão de segurança da informação

Gestão de disponibilidade e continuidade de serviço

Gestão de Capacidade de

Serviço

Gestão financeira

Gestão de nível de serviço

Relatórios de serviço

Processos Processos de de ControleControleGestão de Configuração

Gestão de mudanças

Gestão de entregasGestão de Incidentes

Gestão de Problemas

Gestão de relacionamento

de negócios

Gestão de fornecedores

Processos Processos de de suporte suporte a a serviserviççosos

Processos de Entrega de serviços

Processos de Relacionamento

Processos de Resolução


27

� Termos e definições;

� Planejamento e implementação dos processos de gestão de serviços;

� Planejamento e implementação de gestão de novos serviços ou modificações destes.

Essa norma é destinada a provedores de serviço, em especial para provedores de serviços de TI. Entretanto seus requerimentos são independentes do tipo de organização e podem ser aplicados a empresas grandes e pequenas de qualquer setor.

Em 16 de dezembro de 2005 foi publicada pela ISO a nova norma ISO 20000. Ela evoluiu a partir da norma BS 15000. As alterações em relação ao BS 15000 são mínimas, mas passa a ser um formato internacional mais adequado para aplicação em diversos países.

Assim, como sua predecessora, a ISO 20000 é dividida em duas partes: a ISO 20000-1, promove a adoção de processos integrados para a gestão de serviços a fim de alcançar os requerimentos dos clientes e do negócio. A ISO 20000-2 é um código de práticas e descreve as melhores práticas para a gestão de serviços dentro do escopo da ISO 2000-1.

A transição da BS15000 para a ISO/IEC 20000

“A norma ISO/IEC 20000 substituiu a BS 15000 em 5 de dezembro de 2005. Certificações contra a BS 15000 continuarão até junho de 2006 para habilitar aqueles que já iniciaram a conclusão do processo de certificação. A Certificação BS 15000 deverá fazer transição para a ISO/IEC 20000 em 5 de junho de 2007”. (Fonte: Gartner Research em 05/01/2006).

Relacionamento entre a BS 15000 / ISO 20000 e o modelo ITIL

As normas BS 15000 e ISO 20000 são alinhadas em seus objetivos com o modelo ITIL:

� O ITIL é um conjunto de melhores práticas que, uma vez adotadas, auxiliarão as organizações a encontrarem a qualidade de gestão de serviço requerida pelas normas BS 15000 / ISO 20000;


28

� A BS 15000 / ISO 20000 determina o padrão que os processos de gestão de serviços devem almejar e testa se as melhores práticas foram realmente adotadas.

� O relacionamento entre os modelos é mostrado abaixo. O modelo ITIL serviu de base para o desenvolvimento da BS 15000. Esta por sua vez serviu de base para o desenvolvimento da ISO/IEC 20000.

Sua

implementaçãoProcedimentos internos e instruções de trabalho

ITIL – Melhores práticas

Orientações de Gestão PD 0005

BS 15000-2

Melhores

Práticas

Visão de Gestão

O que alcançar

Código de

práticas

BS 15000-1

Critérios de

avaliação

Sua

implementaçãoProcedimentos internos e instruções de trabalho

ITIL – Melhores práticas

Orientações de Gestão PD 0005

BS 15000-2

Melhores

Práticas

Visão de Gestão

O que alcançar

Código de

práticas

BS 15000-1

Critérios de

avaliação


29

BS 7799 - BRITISH STANDARD 7799

A norma britânica BS 7799 (British Standard 7799), publicada em sua primeira versão em 1995 é um código de práticas planejado para ser usado como uma referência para os gerentes e responsáveis pela segurança da informação nas organizações. Deve servir de base para a criação de uma política de segurança.

A segunda versão da BS 7799 é composta de duas partes:

� Parte I: BS 17799-1:1999 é um catálogo que agrupa 36 objetivos de controle que devem ser aplicados para se encontrar o nível requerido de segurança da informação. Os objetivos de controle são decompostos em 127 medidas de controle que explicam com mais ou menos detalhes os pontos que devem ser trabalhados para a implementação dessas medidas. O foco desta parte é a gestão de riscos, cujo objetivo é auxiliar a organização a planejar sua política de segurança através da identificação dos controles relevantes para seus negócios.

� Parte II: BS 7799-2:1999 apresenta um SGSI - Sistema de Gestão da Segurança da Informação (Information Security Mangement System – ISMS) em seis etapas sucessivas. A revisão da BS 7799-2:1999, sob a referência “draft BS 7799-2:2002”, tem o objetivo de reaproximar as normas de qualidade ISO 9001 e ISO 14001. A parte II é usada para preparar avaliações da eficiência do SGSI para qualquer aplicação, departamento ou para organização como um todo. Compõe-se de quatro fases:

- Avaliação de riscos: verificação das ameaças que podem surgir, as vulnerabilidades a essas ameaças, o impacto que essas ameaças podem

Definir uma política de segurançaDefinir uma política de segurança

Definir o domínio de aplicação do sistema de gestão de segurança da

informação


informação

Empreender uma avaliação dos riscosEmpreender uma avaliação dos riscos

Tratamento dos riscosTratamento dos riscos

Escolher os objetivos e medidas de controle que devem serem trabalhadas


Preparar uma declaração de aplicabilidade


Definir uma política de segurançaDefinir uma política de segurança


informação


informação

Empreender uma avaliação dos riscosEmpreender uma avaliação dos riscos







30

ter e, considerando esses fatores, uma avaliação do nível de risco em cada caso.

- Gestão de riscos: uma vez avaliado os riscos, a tarefa é reduzi-los a um nível aceitável. Isto pode ser conseguido através da aplicação das medidas listadas na BS 7799 para prevenir todos os riscos em conjunto, reduzir as ameaças, vulnerabilidades e impactos, tomar medidas para detectar os riscos, reagir e recupera-se deles.

- Implementação de meios de segurança: determinado o nível de segurança e quais riscos devem ser tratados, o responsável pela segurança da informação deve repassar as medidas listadas na BS 7799 para determinar quais são aplicáveis em cada caso.

- Declaração de aplicabilidade: esta declaração estabelece quais controles devem ser implementados. Cada passo implementado deve ser registrado e documentado. O registro deve mostrar que cada ação requerida pela declaração de aplicabilidade foi executada. As ações devem ser revisadas de tempos em tempos para assegurar que as mesmas ainda preenchem os objetivos.

A organização que baseia o seu SGSI estipulado no BS 7799 pode obter o certificado de um órgão autorizado. A BS 7799-2 já é largamente usada em vários países, como Inglaterra, Austrália, Noruega, Brasil e Japão, como documento de referência para a certificação de gerenciamento de segurança de informação.


31

ISO/IEC FDIS 17799:2005(E) – INFORMATION TECHNOLOGY – SECURITY TECHNIIQUES - CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT ABNT NBR 17799:2005 – TECNOLOGIA DA INFORMAÇÃO – TÉCNICAS DE SEGURANÇA –

CÓDIGO DE PRÁTICA PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO

A ISO/IEC 17799 é um código de práticas com orientações para gestão de segurança da informação. Apresenta uma descrição geral das áreas normalmente consideradas importantes quando da implantação ou gestão de segurança da informação na organização.

A ISO/IEC 17799 teve sua origem com a BS 7799. Em 1995 o BSI publicou a primeira norma de segurança, BS 7799. Tinha como objetivo tratar os assuntos relacionados com segurança de e-commerce. Em 1999 o BSI publicou a segunda versão da BS 7799, incluindo muitas melhorias e aperfeiçoamentos. No final de 2000, a ISO (International Organization for Standartization) adotou e publicou a primeira parte da norma BS 7799, sob o nome de ISO/IEC 17799:2000.

A ISO/IEC 17799:2000 não incluía a segunda parte da BS 7799, que se refere à implementação. Era um conjunto de orientações para as melhores práticas de segurança aplicáveis em organizações de qualquer porte.

EstruturaEstrutura dada ISO/IEC 17799:2005ISO/IEC 17799:2005Política de

segurança Organização

segurançada

Classificação de

bens e controles

Segurança

em RHSegurança

Física e do

Ambiente

Gestão

das

operações e

comunicações

Controles

de

acesso

Aquisição,

de sistemas

desenvolvimento.e manutenção

Gestão de incidentesde segurançada informação

Gestão de

continuidade

de negócio

Conformidade

InformaInformaçãção o segurasegura


32

Em 2 de novembro de 2005, a ISO publicou a segunda edição da norma, sob o título ISO/IEC FDIS 17799:2005(E) ― Information techniques - Security techniques ― Code of practice for information security management (2nd edition). Esta edição cancela e substitui a norma ISO/IEC 17799:2000, a qual foi tecnicamente revisada. O termo FDIS significa Final Draft International Standard (Esboço final de norma internacional). A ISO/IEC FDIS 17799:2005(E) aborda tópicos em termos de políticas e práticas gerais. O documento identifica um ponto de partida para o desenvolvimento de especificações da organização. Trata os seguintes tópicos:

� Política de segurança; � Organização da segurança da informação; � Gestão de ativos; � Segurança em recursos humanos; � Segurança física e do ambiente; � Gerenciamento das operações e comunicações; � Controle de acessos; � Aquisição, desenvolvimento e manutenção de sistemas de informação; � Gestão de incidentes de segurança da informação; � Gestão de continuidade de negócios; � Conformidade.

A ISO/IEC FDIS 17799:2005(E) não fornece material definitivo ou específico para qualquer tópico de segurança. Ela serve como um guia prático para o desenvolvimento de padrões de segurança organizacional e auxilia na criação de atividades confidenciais interorganizacional.

A norma brasileira ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação será alvo de todo o restante deste curso a partir do próximo capítulo. Foi publicada em 31 de agosto de 2005 e entrou em vigor em 30 de setembro de 2005, sendo totalmente equivalente à ISO/IEC 17799:2005.

A Associação Brasileira de Normas Técnicas (ABNT) é o Fórum Nacional de Normalização. A ABNT NBR ISO/IEC 17799:2005 foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela comissão de Estudos de Segurança Física em Instalações de Informática (CE-21:204.01). Teve o patrocínio ouro das seguintes empresas:

� Microsoft;

� Bradesco;

� AXUR information Security;

� Aceco TI;


33

� Serasa;

� Samarco;

� PricewaterhouseCoopers;

� e-Módulo security;

� Visanet;

� TIVIT IT Creativity;

� Suzano Papel e Celulose.


34

COMPARAÇÃO ENTRE AS PRINCIPAIS NORMAS

Cada norma apresenta pontos fortes e fracos. Assim, deve-se observar o que se deseja na organização e a partir daí, aplicar a norma que mais se adequar às necessidades.

Uma norma apenas não esgota o assunto e não abrange todas os aspectos necessários para se obter um ambiente seguro e com qualidade de serviços em TI. Ao invés disso, as normas se complementam, sendo que uma pode fornecer ferramentas mais detalhadas de um aspecto do que outra. Por exemplo:

� O ITIL apresenta forte detalhamento de processos para se obter qualidade de serviço em TI, mas não aborda o aspecto de segurança que é melhor tratado na ISO/IEC 17799.

� Enquanto a CobiT é uma forte ferramenta para determinação de métricas, o ITIL é mais bem empregado quando se deseja levantamento de processos.

� Tanto a ISO/IEC 17799 quanto a CobiT são adequadas para se determinar qual o estado atual da organização no que se refere à qualidade de serviço e segurança da informação.

Resumindo, as normas podem ser aplicadas de forma conjunta na busca pela excelência nos serviços de TI.

É um guia genérico sem material específico

- Controle de segurança

ISO/IEC 17799

São linhas gerais que não indicam “como”fazer

- Controles-Métricas- Processos

CobiT

Segurança e desenvolvimento de sistemas

- Processos de operação

ITIL

Ponto fracoPonto forteNorma

É um guia genérico sem material específico

- Controle de segurança

ISO/IEC 17799

São linhas gerais que não indicam “como”fazer

- Controles-Métricas- Processos

CobiT

Segurança e desenvolvimento de sistemas

- Processos de operação

ITIL

Ponto fracoPonto forteNorma


35

SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO – SGSI

Não se pode dizer que há segurança da informação, a menos que ela seja controlada e gerenciada. É comum ouvirmos dizer que um hardware seguro é aquele que está desligado. Esta frase expressa a dificuldade de se criar um nível de segurança infalível. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis.

Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.

O processo de implantação de um SGSI é semelhante a um processo de qualidade ISO 9001, no qual se aplicam os princípios do PDCA (Plan-Do-Check-Act ou Planejar-Fazer-Checar-Agir). Basicamente deve-se obedecer aos seguintes passos:

Desenho do SGSIDesenho do SGSI

Análise dos riscosAnálise dos riscos


Definição de controlesDefinição de controles

ImplementaçãoImplementação

Melhoria contínuaMelhoria contínua

Planejar

Fazer

ChecarAuditoriaAuditoria

Agir

Desenho do SGSIDesenho do SGSI

Análise dos riscosAnálise dos riscos


Definição de controlesDefinição de controles

ImplementaçãoImplementação

Melhoria contínuaMelhoria contínua

Planejar

Fazer

ChecarAuditoriaAuditoria

Agir


36

1. Desenho do SGSI: seleção do modelo através do qual o SGSI irá atuar (tipo de norma: BS7799, ISO/IEC 17799, etc...). Planejamento inicial das fases do projeto. Levantamento dos ativos envolvidos (equipamentos, infraestrutura, sistemas, pessoas e serviços);

2. Avaliação dos riscos: identificar e avaliar ameaças e vulnerabilidades.Para cada ameaça deve ser atribuído um nível de risco;

3. Tratamento dos riscos: é o gerenciamento dos riscos, envolvendo as atividades que tentarão impedir um ataque antes que ele ocorra e/ou reduzirão os efeitos da ameaça;

4. Definição de controles: a necessidade de controles é um resultado da avaliação de riscos. Sua escolha é feita com base na relação custo-benefício de sua implantação. Os controles podem ser baseados em software, hardware, pessoas ou processos;

5. Implementação: Implantação em si das contramedidas de segurança;

6. Auditoria: verificação se as condições estabelecidas nos passos anteriores ocorrem de maneira satisfatória;

7. Melhoria contínua: aprimoramento contínuo do SGSI através da busca de assertivas que dêem mais valor às atividades de segurança da informação.

A implementação do SGSI é extremamente facilitada através do uso de softwares que além de coletar informações importantes, possuem ferramentas para auxílio em todo o ciclo. Algumas destas ferramentas serão tratadas na próxima sessão.


37

FERRAMENTAS PARA GERENCIAMENTO DE TI – (MOF – MSF – BSC)

Todos os gestores de TI sonham com um instrumento que reflita a cada momento a realidade dos processos de seu setor. Várias metodologias e softwares foram desenvolvidos para atuar como ferramentas de apoio para a gerência de soluções de TI e criar políticas de segurança.

� MOF – Microsoft Operations Framework

� MSF – Microsoft Solutions Framework

� BSC – Balaced ScoreCard

� MOF – Microsoft Operations Framework

� MSF – Microsoft Solutions Framework

� BSC – Balaced ScoreCard


38

Microsoft® Operations Framework (MOF)

O Microsoft® Operations Framework (MOF) é a leitura do ITIL aplicada ao ambiente Microsoft. O MOF inclui orientações de como planejar, empregar e manter a excelência nos processos operacionais de TI em soluções de serviços construídos com produtos e tecnologia Microsoft. Porém, como o MOF aborda basicamente os processos de construção de soluções, pode ser aplicado por qualquer plataforma. O MOF foca sua atenção no gerenciamento das operações.

O MOF descreve um ciclo de vida que pode ser aplicado em qualquer solução de serviço. Esse ciclo é dividido em quadrantes de atuação, assim descritos:

� Mudanças: tem o foco nos problemas decorrentes da necessidade de introduzir mudanças no ambiente. Introduz novos serviços, tecnologias, sistemas, aplicações, hardware e processos;

� Operação: foca na execução de tarefas diárias rotineiras decorrentes das operações do sistema;

� Suporte: resolve incidentes e problemas apontados pelos clientes com o menor tempo possível minimizando os impactos;

� Otimização: tratamento das mudanças a fim de otimizar custos, desempenho, capacidade e disponibilidade nos serviços de TI.

Com o guia MOF, a organização estará apta a avaliar a maturidade da gestão de serviços de TI, priorizar processos de maior interesse e aplicar princípios e melhores práticas para otimizar o gerenciamento de plataformas Windows Server.


39

Microsoft Solutions for Framework (MSF)

O Microsoft Solutions for Framework (MSF) é um modelo para implementação de soluções criadas pela Microsoft que reúne recursos, pessoas e técnicas a fim de orientar a organização para assegurar que a infraestrutura de tecnologia e soluções alcancem os objetivos do negócio. Foi criada pela Microsoft para gerenciamento interno. Posteriormente foi estendido a clientes auxiliando as organizações a encontrar a excelência operacional. Os componentes do MSF podem ser aplicados individual ou coletivamente para obter melhores índices de sucesso em projetos de desenvolvimento de software, implantação de infraestrutura e integração de aplicações.

O MSF guia os diferentes tipos de projetos com o foco na gestão de pessoas, processos e elementos tecnológicos. Interage com o MOF para prover uma transição suave para o ambiente operacional, o qual é um requerimento para projetos de longo prazo.

Para a Microsoft o MSF é mais uma disciplina do que uma metodologia. É um conjunto de melhores práticas que conduzem as organizações a melhorar seus serviços, obtendo maior confiabilidade, disponibilidade e segurança enquanto reduzem custos. É uma coleção de guias para o rápido sucesso de soluções de tecnologia da informação, com baixo risco, enquanto permite alta qualidade de resultados.


40

Balanced ScoreCard (BSC)

O Balanced ScoreCard (BSC) é uma metodologia que estabelece um sistema de medição de desempenho das organizações. Foi proposto por Kaplan e Norton em 1992 ao nível empresarial. Gold (1992,1994) e Willcocks (1995) conceitualmente descreveram como aplicar o balanced scorecard a funções de TI e seus processos. O Balanced Scorecard é uma ferramenta para planejar a implementação de estratégias e obter melhoria contínua em todos os níveis da organização. É um conjunto de medidas que dão aos gerentes uma visão rápida e compreensiva dos negócios.

O BSC mede o desempenho da organização sob a óptica de quatro perspectivas que assim se inter-relacionam: a melhoria do aprendizado e crescimento dos empregados resulta em melhoria dos processos internos do negócio, os quais criam melhores produtos e serviços e, conseqüentemente, maior satisfação do cliente e maior participação no mercado, conduzindo a melhores resultados financeiros para a organização [12]:

� Resultados financeiros,

� Satisfação do cliente,

� Processos internos do negócio e

� Aprendizado e crescimento.

FinanceiroPara triunfar financeiramente,como devemos aparecer para

nossos acionistas?


nossos acionistas?

Objetivos eEstratégia

Processos internosde negócios

Para satisfazer nossosacionistas e clientes, que

processos de negóciosdevemos destacar?




Aprendizado e Crescimento

Para alcançar nosso objetivo,como mnateremos nossashabilidades para mudanças

e melhorias?



e melhorias?

ClientesPara alcançar nossos

objetivos, como deveremosaparecer para nossos

clientes?



clientes?


nossos acionistas?


nossos acionistas?

Objetivos eEstratégia









e melhorias?



e melhorias?



clientes?



clientes?


41

3 - INTRODUÇÃO À ABNT NBR/ISO/IEC

17799:2005

NESTE CAPÍTULO INICIAREMOS O ESTUDO DA NORMA ABNT NBR ISO/IEC

17799:2005. VEREMOS OS CONCEITOS BÁSICOS ABORDADOS PELA NORMA E UMA

FORMA PRÁTICA DE INICIAR A IMPLANTAÇÃO DE UM PROCESSO DE PLANEJAMENTO

DE GESTÃO E MONITORAMENTO DE SEGURANÇA DE TI.

Capítulo

3


42

OBJETIVOS

Neste capítulo veremos os conceitos básicos de segurança da informação, sua definição e passos gerais para sua implantação. Ao final deste capítulo você estará apto a: � Conceituar a segurança da informação; � Entender quais as fontes de requisitos de segurança da informação; � Entender em linhas gerais quais os passos a serem trilhados para a obtenção de

uma ambiente seguro para a informação.


43

CONCEITOS BÁSICOS DE SEGURANÇA DA INFORMAÇÃO

Toda e qualquer informação, que seja um elemento essencial para os negócios de uma organização, deve ser preservada pelo período necessário, de acordo com sua importância. A informação é um bem como qualquer outro e por isso deve ser tratada como um “ativo”.

A interconexão das empresas através de links cabeados e/ou sem fio (wireless), internos e/ou externos, pessoas e ações da natureza, podem expor vulnerabilidades que colocam em risco as informações. Assim, faz-se necessário a implantação de processos de segurança que protejam a informação contra essas ameaças.

A fim de proporcionar o bom entendimento das abordagens que serão feitas nesse curso, é importante conceituarmos alguns termos. Outros não tratados diretamente nesta sessão são descritos ao longo do curso.

� Ameaça (threat): causa potencial de um incidente indesejado, que caso se concretize pode resultar em dano.

� Ativo (asset): e qualquer coisa que tenha valor para um indivíduo ou uma

organização: hardware de computadores, equipamentos de rede, edificações, software, habilidade de produzir um produto ou fornecer um serviço, pessoas, imagem da organização, etc...

� Ativo

� Ameaças

� Impacto

� Risco

� Vulnerabilidade

� Ativo

� Ameaças

� Impacto

� Risco

� Vulnerabilidade


44

� Incidente de segurança (security incident): é qualquer evento em curso ou ocorrido que contrarie a política de segurança, comprometa a operação do negócio ou cause e cause dano aos ativos da organização.

� Impacto (impact): conseqüências de um incidente de segurança.

� Risco (risk): combinação de probabilidade da concretização de uma ameaça e

suas conseqüências do impacto causado por este evento. � Vulnerabilidade (vulnerability): fragilidade ou limitação de um ativo que pode ser

explorada por uma ou mais ameaças.


45

OBJETIVOS DA SEGURANÇA DA INFORMAÇÃO

Qualquer tipo de informação deve ser protegido, esteja ele escrito ou desenhado em papel, armazenado em meios magnéticos, em filmes ou falado.

“A segurança da informação é obtida através da implantação de controles adequados, políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware”.

O objetivo da segurança da informação é garantir o funcionamento da organização frente às ameaças a que ela esteja sujeita.

A norma ABNT NBR ISO/IEC 17799:2005 “estabelece diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. Essa frase confirma que a norma está alinhada com os objetivos de todas as outras normas criadas com o mesmo fim, conforme visto no capítulo 2.

� Continuidade do negócio

� Minimização do risco ao negócio

� Maximização do retorno sobre os investimentos

� Oportunidades de negócio

ABNT NBR ISO/IEC 17799:2005ABNT NBR ISO/IEC 17799:2005

� Proteção da informação contra vários tipos de ameaças para garantir:

� Continuidade do negócio

� Minimização do risco ao negócio

� Maximização do retorno sobre os investimentos

� Oportunidades de negócio


� Proteção da informação contra vários tipos de ameaças para garantir:


46

É consenso das normas da área que os objetivos gerais da segurança da informação visam preservar a confiabilidade, integridade e disponibilidade da informação. Esse é um conceito da antiga ISO/IEC 17799:2000. Porém, é citado nesse curso por se tratar de um conceito amplamente difundido.

� Confiabilidade: tem o objetivo de garantir que apenas pessoas autorizadas tenham acesso à informação. Essa garantia deve ser obtida em todos os níveis, desde a geração da informação, passando pelos meios de transmissão, chegando a seu destino e sendo devidamente armazenada ou, se for necessário, destruída sem possibilidade de recuperação. Esse processo tende a ser mais dispendioso, quanto maior for a necessidade de proteção da informação e, é claro, quanto maior for o valor da informação a ser protegida. Modernos processos de criptografia aliados a controles de acesso, são necessários nessa etapa.

� Integridade: O objetivo da integridade é garantir que a informação não seja alterada, a não ser por acesso autorizado. Isso significa dizer que uma informação íntegra não é necessariamente uma informação correta, mas sim que ela não foi alterada em seu conteúdo. Esse processo é a proteção da informação contra modificações não autorizadas ou acidentais.

� Disponibilidade: Garantir que a informação sempre poderá ser acessada quando for necessário. Esse objetivo é conseguido através da continuidade de serviço dos meios tecnológicos, envolvendo políticas de backup, redundância e segurança de acesso. De nada adianta ter uma informação confiável e íntegra se ela não está acessível quando solicitada.

A ABNT NBR ISO/IEC 17799:2005 amplia o conceito acima enfatizando mais os resultados da implantação de um ambiente de segurança da informação, quando define que “segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco do negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”.


47

COMO IMPLANTAR UM SISTEMA DE SERGURANÇA DA INFORMAÇÃO?

Um processo de planejamento de gestão e monitoramento de segurança de TI, pode variar muito em uma organização. Devido aos diferentes estilos, tamanho e estrutura das organizações, o processo deve se adequar ao ambiente em que será usado. Alguns passos em linhas gerais são apresentados a seguir:

1. Identificar os requisitos de segurança da informação. Basicamente, existem três fontes principais de requisitos de segurança da informação:

� Obtida através da análise/avaliação de riscos para a organização.

� Obtida a partir da legislação vigente a que a organização, seus parceiros comerciais e provedores de serviço devem atender.

� Obtida a partir dos princípios, objetivos e requisitos do negócio.

2. Análise do ambiente de segurança. É o levantamento periódico dos riscos de segurança da informação, identificando as ameaças e vulnerabilidades. Os resultados desse passo irão direcionar a determinação das ações gerenciais que nortearão todo o processo de segurança da informação.

� Identificando os requisitos de segurança da informação

� Análisando do ambiente de segurança

� Selecionando controles

� Implementando o ambiente de segurança

� Adminstrando o ambiente de segurança


� Identificando os requisitos de segurança da informação

� Análisando do ambiente de segurança

� Selecionando controles

� Implementando o ambiente de segurança

� Adminstrando o ambiente de segurança



48

3. Seleção de controles. Com os riscos identificados e com as medidas de tratamento desses riscos já providenciadas agora é necessário implementar controles que assegurarão a redução dos riscos a níveis aceitáveis. A seleção de controles pode ser feita a partir dessa norma ou de outra que atenda as necessidades da organização. Esses controles incluem:

� Proteção de dados e privacidade de informações pessoais;

� Proteção dos registros organizacionais;

� Direitos de propriedade intelectual;

� Documento de política de segurança da informação;

� Atribuição de responsabilidades;

� Treinamento e educação em segurança da informação;

� Processamento correto nas aplicações a fim de prevenir erros, perdas, modificação não autorizada ou mau uso de informações em aplicações;

� Gestão de vulnerabilidades técnicas;

� Gestão de continuidade de negócios;

� Gestão de incidentes de segurança e melhorias.

4. Implementação do ambiente de segurança. Consiste em:

� Criação, educação e disseminação interna da política de segurança da informação para todos os envolvidos.

� Uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação;

� Comprometimento de todos os níveis gerenciais;

� Provisão de recursos financeiros para as atividades de gestão da segurança da informação.

5. Administração do ambiente de segurança. Inclui:

� Estabelecimento de um processo de gestão de incidentes de segurança;

� Implementação de um sistema de medição, que colha dados para a avaliação de desempenho da gestão de segurança;

� Obtenção de sugestões de melhorias;

� Implementação de melhorias levantadas no processo.


49

Um fluxograma mais detalhado das fases do processo é proposto pela norma ISO/IEC 13335-2 - Information technology — Guidelines for the management of IT Security — Part 2: Managing and Planning IT Security. Essa norma é citada na ABNT NBR ISO/IEC 17799:2005 como informações adicionais para o processo de implantação da segurança de TI. O fluxograma reproduzido abaixo deixa claro que os trabalhos devem ser iniciados a partir dos objetivos de mais alto nível da empresa, ou seja, os negócios, e segue passando por definições de estratégia de segurança de TI até a elaboração de uma política de segurança de TI. É importante que todas as atividades sejam tratadas dentro do estilo e maneira da organização realizar negócios.

Visão do processo de planejamento e gestão de segurança de TI segundo a ISO/IEC 13335:2

Política de segurança de TIPolítica de segurança de TI

Aspectos organizacionais da segurança de TIAspectos organizacionais da segurança de TI

Análise de RiscosAnálise de Riscos

Recomendações de segurança de TIRecomendações de segurança de TI

Política de segurança de sistemas de TIPolítica de segurança de sistemas de TI

Planejamento de segurança de TIPlanejamento de segurança de TI

Medidas de proteção


Divulgação e conciência da Política de segurança de TI


Reavaliação da Política de segurança de TIReavaliação da Política de segurança de TI

Gestão de riscos

Implementação

Política de segurança de TIPolítica de segurança de TI

Aspectos organizacionais da segurança de TIAspectos organizacionais da segurança de TI

Análise de RiscosAnálise de Riscos

Recomendações de segurança de TIRecomendações de segurança de TI

Política de segurança de sistemas de TIPolítica de segurança de sistemas de TI

Planejamento de segurança de TIPlanejamento de segurança de TI





Reavaliação da Política de segurança de TIReavaliação da Política de segurança de TI

Gestão de riscos

Implementação


50

4 – ANÁLISE/AVALIAÇÃO E TRATAMENTO DE

RISCOS

GERENCIAR SEGURANÇA DE TI INCLUI A ANÁLISE A AVALIAÇÃO DE RISCOS E COMO

REDUZI-LOS A UM NÍVEL ACEITÁVEL. É NECESSÁRIO LEVAR EM CONTA OS

OBJETIVOS DA ORGANIZAÇÃO, BEM COMO AS NECESSIDADES ESPECÍFICAS DE

CADA SISTEMA E SEUS RISCOS. NESTE CAPÍTULO VEREMOS COMO FAZER UMA AVALIAÇÃO DE RISCOS E COMO

MINIMIZÁ-LOS.

Capítulo Capítulo

4


51

OBJETIVO

Sistemas de informação estão constantemente sujeitos a riscos provenientes de ações maliciosas, acidentes ou erros inadvertidos de usuários. Avaliar os riscos potenciais e tomar ações para minimizá-los, é tarefa de uma gestão de segurança da informação. Neste capítulo serão abordadas as melhores práticas para avaliação de riscos e como tratá-los. Ao final deste capítulo você estará apto a:

� Identificar, quantificar e priorizar os riscos; � Determinar ações de gestão apropriadas para o gerenciamento dos riscos de

segurança da informação; � Estabelecer os critérios de aceitação dos riscos; � Tomar decisões sobre o tratamento dos riscos.


52

ANALISANDO/AVALIANDO OS RISCOS DE SEGURANÇA DA INFORMAÇÃO

Segundo as definições da norma, risco é a “combinação da probabilidade de um evento e de suas conseqüências”.

Por evento de segurança da informação, entenda-se uma “ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação, ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação”. O evento é então a concretização de uma ameaça, que por sua vez é a “causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização”.

Portanto, avaliar riscos, passa pela avaliação de ameaças e vulnerabilidades.

O principal desafio à segurança da informação das organizações é identificar e qualificar os riscos e ameaças às suas operações. Este é o primeiro passo no desenvolvimento e gerenciamento de um efetivo programa de segurança. Identificar os riscos e ameaças mais significantes tornará possível determinar ações apropriadas para reduzi-los.

Uma vez identificados, os riscos devem ser qualificados para que sejam priorizados em função de critérios de aceitação de riscos e dos objetivos relevantes para a organização. Esta atividade é apenas um elemento de uma série de atividades de gerenciamento de riscos, que envolvem implementar políticas apropriadas e controles

O que deveser

protegido

Contra qualameaça

Avaliaçãodo

risco

Recomendações

O que deveser

protegido

Contra qualameaça

Avaliaçãodo

risco

Recomendações


53

relacionados, promover a conscientização das medidas, e monitorar e avaliar políticas e controles efetivos.

A avaliação de riscos e ameaças não resulta em uma seleção de mecanismos de prevenção, detecção e resposta para redução de riscos. Ao contrário ela simplesmente indica as áreas onde esses mecanismos devem ser aplicados, e a a prioridade que deve ser designada para o desenvolvimento de tais mecanismos. No contexto de gerenciamento de riscos, a avaliação de riscos e ameaças irá recomendar como minimizar, prevenir e aceitar os riscos.

Como os riscos e ameaças podem mudar com o passar dos tempos, é importante que a organização periodicamente reavalie os mesmos e reconsidere as políticas e controles selecionados.


54

Existem vários caminhos que podem comprometer um ativo, conforme o nível de contra-medidas implementadas. A figura acima dá uma idéia de que não há segurança totalmente garantida, mas sim implementações sujeitas a falhas. Isso não deve ser desanimador, pois implementar algumas contra-medidas, é melhor do que não implementar nenhuma. A avaliação de riscos, visa exatamente, determinar se as contra-medidas existentes são suficientes ou não.

Ameaças não intencionais

Ameaças mal intencionadas

Incidentescatastróficos

Razões e objetivos

FerramentasTécnicas eMétodos



Ativos

Boas políticas de segurança

bloqueiam alguns ataques

Controles e diretrizes de

segurança

Vulnerabilidades

Fracas diretrizes de segurança podem

permitir uma ataque

Nenhum controle ou diretriz de

segurança

Caminhos para se comprometer um ativo

Ameaças não intencionais

Ameaças mal intencionadas

Incidentescatastróficos

Razões e objetivos




Ativos

Boas políticas de segurança

bloqueiam alguns ataques

Controles e diretrizes de

segurança

Vulnerabilidades

Fracas diretrizes de segurança podem

permitir uma ataque

Nenhum controle ou diretriz de

segurança

Caminhos para se comprometer um ativo


55

Independente do tipo de risco a ser considerado, uma avaliação de riscos geralmente inclui os seguintes passos:

� Identificar ameaças que podem causar danos e afetar ativos e operações críticas. Ameaças incluem itens como intrusões, crimes, empregados insatisfeitos, terrorismo e desastres naturais;

� Estimar a probabilidade da concretização das ameaças, baseado em informações históricas e julgamento de conhecimentos individuais;

� Identificar e qualificar o valor, susceptibilidade e criticidade da operação e do ativo que poderá ser afetado se a ameaça se concretizar, a fim de determinar quais operações e ativos são mais importantes;

� Identificar o custo das ações para eliminar ou reduzir o risco. Isto poderá incluir a implementação de novas políticas organizacionais e procedimentos, bem como controles físicos ou técnicos;

� Documentar os resultados e desenvolver planos de ação.

Identificar ameaçasIdentificar ameaças

Estimar probabilidadede concretizaçãode cada ameaça


Identificaro que a ameaça

afetará


afetará

Identificar custos deredução de riscos


Documentar resultadose criar planos de ação


Passos para uma avaliação de riscosIdentificar ameaçasIdentificar ameaças




afetará


afetará





Passos para uma avaliação de riscos


56

TRATANDO OS RISCOS DE SEGURANÇA DA INFORMAÇÃO

O nível de riscos à segurança da informação aumenta conforme aumenta o nível das ameaças e vulnerabilidades, como pode ser visto na matriz de gerenciamento de riscos [13] acima.

O nível do risco existente em uma organização pode ser categorizado como:

� Alto: requer imediata atenção e implementação de contra-medidas;

� Médio: Requer atenção e implementação de contra-medidas em um futuro próximo;

� Baixo: Requer alguma atenção e consideração para implementação de contra-medidas como boas práticas de negócios.

Cada ameaça e vulnerabilidade identificada também deve ser qualificada. Essa classificação varia conforme a organização e o departamento. Por exemplo, a ameaça de enchente preocupa muito mais organizações instaladas nas proximidades de rios do que aquelas instaladas em regiões áridas. Danos causados a banco de dados de pesquisas de marketing podem ser menos danosos do que danos causados a informações relativas ao fluxo financeiro da organização.

Os níveis de qualificação das ameaças podem ser assim definidos:

Alto nível de vulnerabilidade

Alto nível de

ameaças

Baixo nível de vulnerabilidade

Baixo nível de

ameaças

Médio risco

Médio risco Alto risco

Baixo risco

Matriz de gerenciamento de riscosAlto nível de

vulnerabilidade

Alto nível de

ameaças

Baixo nível de vulnerabilidade

Baixo nível de

ameaças

Médio risco

Médio risco Alto risco

Baixo risco

Matriz de gerenciamento de riscos


57

� Não aplicável: significa que a ameaça considerada não é relevante para a situação examinada;

� Baixo: não há histórico e considera-se que é improvável a concretização da ameaça;

� Médio: significa que há algum histórico e probabilidade que a ameaça se concretize;

� Alto: significa que há um histórico significante e uma avaliação de que a ameaça está por acontecer.

O objetivo da análise de riscos é identificar e avaliar os riscos e ameaças pelo qual o sistema de TI e seus ativos estão expostos, a fim identificar e selecionar contramedidas apropriadas.

O tabela da página seguinte [14] ilustra como a avaliação das informações de ameaças pode ser qualificada com base nos ativos que são colocados em risco.

A avaliação de ameaças conforme a tabela inclui:

a. Descrever as ameaças em termos de quem, como e quando; b. Estabelecer em qual classe de ameaça a ameaça se enquadra; c. Determinar a probabilidade da concretização da ameaça; d. Determinar as conseqüências nas operações do negócio, caso a ameaça se

concretize; e. Calcular se o impacto das conseqüências leva a seqüelas pouco sérias, sérias

ou excepcionalmente graves. f. Calcular a taxa de exposição para cada ameaça, em termos da severidade

relativa para a organização.


58

Ativo Descreva o ativo

Agente / evento

- Descreva a ameaça

Classificação da ameaça

- Quebra de sigilo: ameaça a confidencialidade da informação (Interceptação, manutenção imprópria, craker, procedimentos) - Interrupção: ameaça a disponibilidade da informação (terremoto, fogo, inundação, código malicioso, falha de energia) - Modificação: ameaça a integridade da informação (entrada errada de dados, códigos maliciosos, crakers) - Destruição: terremoto, fogo, inundação, vandalismo, pico de energia) - Remoção ou perda: ameaça a confidencialidade e disponibilidade (Roubo de dados ou sistemas em mídias portáteis como notebooks, Cds, disquetes)

Probabilidade da ocorrência

- Baixo: a ameaça nunca se concretizou e é pouco provável que ocorra - Médio: há histórico de ocorrência e pode vir a ocorrer - Alto: há histórico de ocorrência e grande probabilidade de ocorrer

Conseqüência da ocorrência

Lista de conseqüências para a organização caso a ameaça se concretize: relata as perdas ou outras conseqüências caso a ameaça se concretiza

Impacto

Determinar o impacto para a organização em termos de custo associados com perda de confiabilidade, integridade e disponibilidade. O impacto pode ser: - Excepcionalmente grave - Sério - Pouco Sério

Avaliação da

ameaça

Taxa de exposição

Valor numérico de 1 a 9: - Excepcionalmente grave: 6 a 9 - Sério: 4 a 6 - Pouco Sério: 1 a 3


59

A tabela a seguir, mostra um modelo genérico de avaliação de riscos e recomendações. Juntamente com a tabela anterior pode ser usado para auxiliar na tomada de decisão que deve ser feita para o tratamento de cada risco identificado. Segundo a norma, possíveis opções de tratamento do risco incluem:

a. Aplicar controles apropriados para reduzir os riscos; b. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem

claramente à política da organização e aos critérios para aceitação de risco; c. Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos; d. Transferir os riscos associados para outras partes, por exemplo, seguradoras ou

fornecedores.

Ativo Descreva o ativo

Contra-medidas existentes

DESCREVA: contra-medidas existentes para combater a ameaça

Vulnerabilidades DESCREVA: as vulnerabilidades relacionadas com a ameaça

Avaliação de riscos

Riscos

AVALIE os riscos como:

- Baixo - Médio - Alto

Contra-medidas propostas

RECOMENDA-SE: implementação de novas contra-medidas ou remoção de contra-medidas desnecessárias

Riscos projetados

AVALIE: os riscos projetados como:

- Baixo - Médio - Alto

Recomendações

Avaliação de contra-medidas

AVALIE AS CONTRA-MEDIDAS COMO:

- Completamente satisfatória - Satisfatória na maioria dos aspectos - Necessita melhoras


60

5 – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

NESTE CAPÍTULO VEREMOS COMO CRIAR UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Capítulo

5


61

OBJETIVO

Escrever uma política de segurança da informação envolve comprometimento de diversas áreas de interesse e deve ser abraçada por todos, desde a direção da organização até cada um dos funcionários, clientes e fornecedores com acesso ao sistema de informação, ou que possam de alguma forma comprometer o ativo protegido.

O documento de política de segurança da informação deve ser elaborado de forma a servir como uma regra a ser seguida. Constantemente exigirá atualizações que reflitam as necessidades do negócio e a realidade da organização.

Neste capítulo veremos como criar e organizar uma política de segurança da informação nas organizações.

Ao final deste capítulo você estará apto a:

� Conceituar o que é uma política de segurança da informação; � Fazer uma análise crítica da política de segurança da informação; � Estabelecer uma criteriosa política de segurança da informação conforme os

requisitos do negócio; � Entender os documentos requeridos para a implantação e divulgação da política

de segurança da informação;


62

O QUE É UMA POLÍTICA DE SERURANÇA DA INFORMAÇÃO

Segundo a norma ABNT NBR ISO/IEC 17799:2005, uma política de segurança da informação visa “Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes”, ou seja, ela propõe uma política que sistematize um processo a fim de minimizar as preocupações da direção com a segurança de seus ativos.

Escrever uma política é uma tarefa muitas vezes difícil e deve contar com o envolvimento de várias pessoas, de vários departamentos. Isso não deve ser desanimador e não se deve procrastinar o início dos trabalhos, haja vista a fragilidade a que o negócio pode estar exposto.

Se necessário, para implementar e manter esta política, deverá ser utilizada consultoria especializada, com conhecimento nos diversos aspectos da segurança dos bens de informação e das tecnologias que os apóiam.

Possuir uma política de segurança da informação na organização é importantíssimo para o sucesso dos negócios. É preferível uma política mal escrita do que nenhuma política.

� “Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes”

� É preferível uma políticamal escrita do que nenhuma política.

� “Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes”

� É preferível uma políticamal escrita do que nenhuma política.


63

CRIANDO UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

O primeiro passo para a criação de uma política de segurança da informação é ter alguém responsável por ela. Deve haver uma área responsável pela política de segurança da informação, que se incumbirá de sua criação, implantação, revisão, atualização e designação de funções. Nessa área deve ser escolhido um gestor responsável pela análise e manutenção da política. Para garantir a aplicação eficaz da política, o ideal é que o alto escalão, como diretoria, gerentes e supervisores façam parte dessa área, além de usuários, desenvolvedores, auditores, especialistas em questões legais, recursos humanos, TI e gestão de riscos.

Thomas A. Wadlow [10], propõe um processo para se estabelecer uma política que prevê a possibilidade de implantação imediata na organização sem muita delonga. A princípio o processo não requer o engajamento imediato da direção, que, aos poucos deverá ser incluída. Essa abordagem, leva em consideração a experiência na implantação do processo da política.

Como a norma é explícita no comprometimento da direção, neste curso adotaremos uma abordagem adaptada de Thomas A. Wadlow como o ponto de partida para a tarefa de implantação da política de segurança da informação. Vamos supor que você leitor foi escolhido como o responsável pela implantação da política de segurança da informação. Siga os passos abaixo para dar início aos trabalhos o quanto antes:

1. Escreva o esboço do documento

2. Apresente seu esboço para a diretoria

3. Crie um comitê de política e segurança

4. Divulgue a política

5. Leve a política a sério

6. Acate sugestões

7. Reavalie periodicamente

8. Refaça o processo






6. Acate sugestões




64

1. Escreva o esboço do documento da política de segurança para sua organização. Esse documento deve ser genérico, possuir apenas suas idéias principais, sem preocupação com precisão. Não deverá possuir mais do que 5 páginas. Escreva também uma justificativa para sua implantação, sempre com o foco nos negócios e riscos a que a organização está sujeita caso não se implante a política de segurança da informação.

Procure fazer um documento com foco nos processos de negócio, e não na tecnologia. Para obter o apoio da diretoria é necessário que se mostre qual operação está em risco.






6. Acate sugestões



Criando uma política de segurança da informação






6. Acate sugestões





65

2. Apresente seu esboço para a diretoria. O objetivo é angariar a confiança no projeto e o engajamento da direção. Uma vez que ela esteja convencida da importância da política, você terá carta branca para a o início da implantação.

O apoio da diretoria é fundamental para o sucesso da política de segurança. Em algumas situações somente com o apoio da diretoria será possível aplicar as políticas criadas.






6. Acate sugestões









6. Acate sugestões





66

3. Crie um comitê de política de segurança. Esse comitê deverá ser formado por pessoas interessadas na criação da política de segurança e devem ser de setores distintos na organização. Com base em seu documento, a função do comitê será:

a. escrever as regras para a política; b. definir atribuições; c. detalhar os procedimentos bem como as penas para violações da

mesma; d. aprovar as normas estipuladas e alterações propostas.

O comitê terá a função legisladora do processo. Porém, continua sendo sua a responsabilidade pela aplicação da política. O comitê deverá se reunir pelo menos uma vez a cada três meses e, extraordinariamente, se houver necessidade. A reunião tem o objetivo de avaliar e aprimorar a política de segurança, os incidentes ocorridos e as ações tomadas para correção.

O documento criado por você, juntamente com o comitê, deverá ter uma linguagem simples a fim de que todos os usuários a entendam e possam aplicá-la com facilidade. Assim, para que a política de segurança da informação seja eficaz, o documento será na verdade, um conjunto de políticas inter-relacionadas. A partir deste momento, você já terá em mãos um documento oficial que deverá ser aceito e aprovado pela direção. Dependendo da natureza da organização esse documento tende a ser muito extenso com dezenas ou centenas de páginas.






6. Acate sugestões









6. Acate sugestões





67

4. Divulgue a política de segurança da informação. A política deve ser de conhecimento de todos e compreensível para todos que interagem com a organização, usuários internos e externos.

Deve sempre estar nas mãos de quem vai utilizá-la. Porém, de nada vale colocar o documento inteiro nas mãos de quem vai utilizar apenas uma parte.

Se um funcionário da limpeza precisa saber como limpar um determinado equipamento preservando a integridade física do mesmo. Caso veja, por exemplo, um fio desencapado, deve saber a quem avisar para solucionar o incidente. Um funcionário da contabilidade precisa saber sua senha para acessar o banco de dados pertinente ao seu setor. Precisa saber também a quem recorrer caso precise acessar dados antigos, armazenados em fita, e que precisam ser restaurados. Porém, não precisa saber os detalhes de como são realizados os backups. A divulgação eficaz é aquela que atinge a pessoa certa com a informação que ela precisa saber. Ela não precisa ler toda a política de segurança, mas a parte que lhe interessa. Essa divulgação segmentada é fator imprescindível para o sucesso da empreitada. É claro que isso não exclui a necessidade de divulgação de todo o documento caso alguém se interesse em lê-lo.

Uma forma prática de divulgação é a criação de um Web site na intranet da empresa. Nele todas as informações sobre a política devem ser bem redigidas e separadas em seções, facilitando o acesso a políticas gerais às quais todos devem obedecer e a políticas específicas para cada setor. Este site servirá de






6. Acate sugestões









6. Acate sugestões





68

repositório de tudo o que for estabelecido na política e servirá também para coletar sugestões.

Outras formas de divulgação também poderão ser usadas como um fórum, e-mails periódicos, ferramentas colaborativas de troca de informação. Se a política de segurança da informação for divulgada fora da organização, tome o cuidado de não revelar informações sensíveis. Lembre-se de classificar as informações sigilosas para acesso apenas a pessoas específicas.


69

5. Trate a política e as emendas como regras absolutas com força de lei. Uma vez que a política já é do conhecimento de todos, não pode haver violações da mesma. Caso isso ocorra, devem ser previstos procedimentos que vão de advertências a punições. As violações devem ser analisadas em suas causas, conseqüências e circunstâncias, a fim de sejam tomadas medidas preventivas e corretivas que alterem a política para evitar nova situação de vulnerabilidade. Lembre-se que tudo deve ser documentado.

Neste ponto, o apoio da diretoria tratado nos itens 1 e 2 é fundamental para que se possa cumprir as punições previstas na política. Caso estas deixem de ser cumpridas a política perde sua credibilidade e força junto aos demais colaboradores da organização.






6. Acate sugestões









6. Acate sugestões





70

6. Sugestões são sempre bem-vindas. Incentive que os colaboradores proponham sugestões de melhorias. Todas devem ser levadas em consideração. As pessoas que estão na rotina do trabalho, são as que mais estão aptas a levantar problemas de segurança na respectiva área, ou mesmo provocá-los.

Algumas sugestões podem mostrar também que a política possui um rigor exagerado em determinado item, o que pode tornar seu cumprimento demasiadamente oneroso. Neste caso devemos analisar as críticas e estudar uma forma alterá-las ou criar tratamento de exceções para garantir o cumprimento das normas.

Facilite o canal de comunicação para que as sugestões cheguem ao comitê. As sugestões pertinentes deverão virar emendas à política.






6. Acate sugestões









6. Acate sugestões





71

7. Realize reuniões periódicas para consolidar a política e as emendas. Essas reuniões deverão ocorrer pelo menos uma vez ao ano. Deverão participar todo o comitê de política de segurança, a direção, e os responsáveis com funções delegadas. O objetivo é realizar uma análise crítica da política de segurança vigente, das emendas e dos incidentes relatados. Esta avaliação poderá gerar um documento atualizado que inclua todas as alterações.

Neste ponto devemos considerar as sugestões levantadas no item 6 e todas as alterações do ambiente desde a ultima reunião, para que sirvam como base para o processo de revisão.






6. Acate sugestões









6. Acate sugestões





72

8. Refaça o processo. A nova declaração gerada no passo 7 deverá passar por todo o processo novamente, a fim de que entre em vigor e seja do conhecimento de todos.

Esses passos não são fáceis e envolvem muito trabalho, porém criam uma metodologia por etapas que uma vez seguida levará ao sucesso da criação da política de segurança da informação.






6. Acate sugestões









6. Acate sugestões





73

CONTEÚDO DO DOCUMENTO FORMAL DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

O conteúdo do documento elaborado para a política de segurança da informação varia de uma organização para outra, em função de sua maturidade, disponibilidade de recursos, necessidades do negócio, área de atuação, etc... Deve ser simples, objetivo e compreensível para todos.

O Documento consta normalmente de:

a. Definição de segurança da informação, metas, escopo e importância da segurança da informação como mecanismo que possibilita o compartilhamento da informação. Esse item é um texto explicativo do que é segurança da informação, como o texto apresentado no capítulo 3, subitens “Conceitos básicos de Segurança da Informação” e “Objetivos da Segurança da Informação”.

b. Declaração do comprometimento da direção apoiando metas e princípios. Mais uma vez, uma etapa bem simples de ser executada. Pode ser apenas uma frase assinada pela direção, como por exemplo: “A Diretoria da XYZ S/A declara-se comprometida em proteger todos os ativos ligados à Tecnologia da Informação, apoiando as metas e princípios da segurança da informação estabelecidas neste documento, a fim de garantir a confiabilidade, disponibilidade e integridade da informação, alinhada com as estratégias do negócio”.

a. Definição

b. Declaração

c. Estrutura de controles

d. Conformidade com legislação

e. Treinamento

f. Gestão de continuidade de negócio

g. Consequências das violações

h. Definição de responsabilidades

i. Referências

Política de segurança da informação

a. Definição

b. Declaração

c. Estrutura de controles

d. Conformidade com legislação

e. Treinamento

f. Gestão de continuidade de negócio

g. Consequências das violações

h. Definição de responsabilidades

i. Referências

Política de segurança da informação


74

O importante nesse item é que a assinatura da direção realmente expresse a vontade e engajamento do alto escalão da empresa, apoiando ativamente as ações a serem implantadas e definindo atribuições de forma explícita.

c. Estrutura para estabelecer objetivos de controles e controles, incluindo estrutura e análise/avaliação e gerenciamento de risco. Veja o capítulo 4.

d. Princípios de conformidade com a legislação e regulamentos contratuais. Aqui deve ser avaliada a questão legal do negócio, suas conformidades com a legislação vigente e com regulamentos e contratos. As cláusulas do documento de política de segurança da informação devem estar em conformidade com essa avaliação. Por exemplo, caso a organização seja uma entidade pública, ela está obrigada a obedecer uma política de segurança conforme o decreto presidencial n0 3.505.

e. Plano de treinamento em segurança da informação. É muito importante que todos os envolvidos com a segurança da informação, tenham não só acesso ao documento de política, como também sejam instruídos no processo de implantação e uso da política. Tendo conhecimento e formação adequada, a eficácia do plano de segurança terá mais chances de sucesso. Além disso, todos passam a ser co-responsáveis pelo processo uma vez que não podem alegar desconhecimento do mesmo. O treinamento poderá ser feito, por exemplo, através de seminários programados, distribuições de cartilhas com informações sobre a segurança da informação, e-mails regulares com dicas sobre o assunto e site de divulgação da política.

f. Plano para gestão de continuidade do negócio. É um conjunto de estratégias e procedimentos que visam garantir que não haverá interrupção das atividades do negócio, além de proteger os processos críticos no caso de alguma falha. É um conjunto de medidas que combinam ações preventivas e de recuperação.

g. Conseqüência das violações na política de segurança. É necessário que todos saibam das conseqüências da violação na política. Essas conseqüências passam por punições que devem ser explicitadas no documento. O responsável pela aplicação da política deve estar bem preparado para a eventualidade de ter que, por exemplo, solicitar a demissão de um bom funcionário que tenha violado a política. Isso pode ser constrangedor, mas necessário. Por isso, explicite e divulgue bem essa parte para evitar desculpas de desconhecimento das normas.


75

h. Definição das responsabilidades na gestão da segurança. A designação das “responsabilidades pela proteção de cada ativo e pelo cumprimento de processos de segurança da informação específicos devem ser claramente definidas”. Essa é uma atribuição do comitê gestor da política. Para que haja o comprometimento dos responsáveis, pode ser criado um termo de responsabilidade e sigilo que compromete os envolvidos, internos e externos com a política de segurança da organização. Esses responsáveis podem delegar tarefas de segurança da informação para outros usuários, porém continuam responsáveis pela mesma.

i. Referências à documentação que apóiam a política. Esta parte do documento serve para fortalecer ainda mais a política, indicando documentos complementares que detalham procedimentos de sistemas implantados ou regras a serem seguidas.

Capítulo

6


76

6 – ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO

NESTE CAPÍTULO VEREMOS ALGUNS ASPECTOS COMPLEMENTARES SOBRE COMO ORGANIZAR UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO


77

OBJETIVO

Neste capítulo veremos alguns aspectos complementares para a organização de uma política de segurança da informação.

Ao final deste capítulo você estará apto a: � Entender a importância do gerenciamento de autorização de novos recursos; � Porque criar acordos de confidencialidade; � Lidar com informações sigilosas quando a operação envolve serviços de

terceiros.


78

ESTRUTURAÇÃO DA SEGURANÇA DA INFORMAÇÃO: GESTÃO DE AUTORIZAÇÃO DE NOVOS

RECURSOS

Autorizar o acesso a novos recursos de processamento de informação é uma tarefa rotineira de um administrador de rede, que exerce a função de administrador de usuários. A cada momento alguém solicita acesso a uma impressora específica ou informações de um banco de dados, ou a qualquer outro recurso.

Para autorizar acessos aos recursos, o administrador deve ter em mãos um processo de gestão que seja compatível com a política de segurança. Esse processo definirá quem poderá ter acesso a um recurso. Isso pode ser obtido, por exemplo através de controles lógicos de acesso. Estes têm o objetivo de impedir acessos não autorizados, protegendo os equipamentos, aplicativos e arquivos de dados contra perda, modificação ou divulgação não autorizada.

O processo de gestão de autorização de novos recursos, também deve prever a verificação de compatibilidade de softwares e hardwares com o sistema.

Dispositivos móveis devem ter atenção especial, uma vez que podem introduzir novas vulnerabilidades. Como a maioria dos dispositivos móveis como PDAs e notebooks, já vêem de fábrica com interfaces sem fio (wireless) instalada, e como mesmo os dispositivos como placas de redes sem fio e pontos de acesso (access point) são hoje

DADOS

INTERNET

SOFTWARES

DISPOSITIVOS MÓVEIS

IMPRESSORAS

Gestão de autorização de novos recursos

IDENTIFIQUE-SE

DADOS

INTERNET

SOFTWARES

DISPOSITIVOS MÓVEIS

IMPRESSORAS

Gestão de autorização de novos recursos

IDENTIFIQUE-SE


79

dispositivos do tipo plug & play (conecte e use), eles criam um portal de entrada à rede caso configurações de segurança não sejam adequadamente executadas.

Dispositivos sem fio estão cada vez mais populares e seus benefícios para o usuário são inegáveis. Porém, as empresas têm de criar processos de segurança específicos que as protejam, como procedimentos de autenticação de usuários, sistemas de varredura para detecção de pontos de acesso clandestinos (muitas vezes conectados à rede inocentemente por um funcionário que deseja usufruir a mobilidade) e inclusão de todos os equipamentos em um serviço de diretório.


80

ESTRUTURAÇÃO DA SEGURANÇA DA INFORMAÇÃO: ACORDOS DE CONFIDENCIALIDADE E SIGILO

PARA ACESSOS DE FUNCIONÁRIOS, PARTE EXTERNA E CLIENTE

Segurança é um problema que envolve principalmente pessoas, mais até do que aspectos físicos ou aspectos tecnológicos. Por isso, é necessário que haja procedimentos específicos que tratem com cuidado as pessoas que têm acesso às informações da organização. Um dos grandes riscos para segurança da informação, é a quebra de sigilo das informações por parte de funcionários contratados ou terceirizados e partes externas. Essa quebra de sigilo pode ocorrer intencionalmente ou não. Um funcionário pode comentar uma informação em simples conversas informais em uma mesa de bar ou no saguão do aeroporto. Essa conversa pode ser ouvida por um concorrente que se beneficiará da informação.

Outro risco é o ex-funcionário insatisfeito que divulga a terceiros, informações cruciais da organização, ou que já sabendo de sua demissão, toma alguma ação que viole a segurança interna.

Para tentar coibir essas ações, o responsável pela política tem a obrigação de orientar um novo funcionário quanto à política de segurança e as devidas punições cabíveis.

Além de todas as medidas de segurança efetivas implantadas, é recomendável que sejam criados acordos de confidencialidade e sigilo das informações acessadas dentro

� Proteger todo conhecimento técnico ou informação confidencial contra divulgação não autorizada por:

� Funcionários;

� Ex-funcionários;

� Terceirizados;

� Partes externas;

� Clientes.

� Proteger todo conhecimento técnico ou informação confidencial contra divulgação não autorizada por:

� Funcionários;

� Ex-funcionários;

� Terceirizados;

� Partes externas;

� Clientes.


81

da organização. Esses acordos devem seguir termos legais a fim de que tenham valor jurídico no caso de violação do mesmo.

O acordo de confidencialidade e sigilo deve ser bem explícito quanto a natureza do que se está protegendo. Tem o objetivo de proteger todo o conhecimento, técnico ou informação confidencial capaz de possibilitar seu emprego no processo produtivo econômico.

A proteção pretendida pelo acordo terá validade não só dentro do prazo de relação entre as partes, como também na ausência dele. Deve ser considerado que haverá obrigação de sigilo enquanto a tecnologia em questão não passar para o domínio público. Eventualmente, dependendo do tipo de informação, o acordo de confidencialidade e sigilo poderá ser por tempo determinado, permitindo a divulgação do bem protegido ao fim daquele prazo ou em prazo previsto.

Empresas parceiras ou contratadas para um determinado serviço, também podem se beneficiar de informações sigilosas a que tenham acesso. Por isso, os acordos devem ser aplicados também a partes externas a organização.

Uma outra fonte de risco a ser analisada com relação a partes externas, é o acesso destes aos recursos de processamento da informação. Leve em consideração que produtos e serviços oriundos de partes externas podem reduzir a segurança da informação. Por exemplo, a permissão de acesso a Internet para o notebook de um visitante, deve ser feita com contas específicas com restrições de acesso a qualquer outro recurso da rede, pois uma vez conectado o visitante poderá explorar vulnerabilidades da rede, ou mesmo sem intenção introduzir algum vírus no sistema.

Avalie todos os riscos potenciais que partes externas podem trazer e tome as contramedidas cabíveis. Por exemplo, o acesso físico a computadores por parte de um visitante ou contratado para um serviço, ou o acesso lógico deste a banco de dados, ou a uma conexão a rede, etc., só poderá ser feito com a autorização específica do responsável pela segurança de TI, o qual deverá permitir o acesso apenas aos recursos estritamente necessários ao trabalho a ser desempenhado.

O acesso de clientes e terceiros aos ativos ou às informações da organização também deve ser controlado e atender aos requisitos de segurança da informação. Para isso, devem ser criados acordos com o cliente, os quais conterão todos os riscos identificados e os requisitos de segurança da informação. Também devem ser incluídos procedimentos de controles requeridos em um plano de gestão, como


82

controle com identificadores únicos de acesso, através de usuário e senha, número de licença para ativação de software adquirido, etc.


83

NORMAS TÉCNICAS

1. ABNT NBR ISO/IEC 17799:2005 - Tecnologia da informação – Técnicas de

segurança – Código de prática para a gestão de segurança da informação. Associação Brasileira de Normas Técnicas (ABNT). Segunda edição, 2005.

2. ISO/IEC FDIS 17799:2005(E) – Information technology – Security techniiques -

Code of practice for information security management. ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission), 2005.

3. ISO/IEC 13335-2 - Information technology - Guidelines for the management of IT

Security - Part 2: Managing and Planning IT Security. ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission).

4. Information Technology Infraestructure Library (ITIL). Office of Government of

Commerce (OGC), 1989.

5. CobiT (Control Objectives for Information and related Technology). ISACA (Information systems Audit and Control Foundation), 1996.

6. BS 15000:2000 - Specification for IT service management. British Standards

Institution (BSI), 2000.

7. ISO/IEC 20000 - IT Service Management Standards. ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission), 2005.

8. BS 7799 - Information security management – Part 1: Code of practice for

Information security management. British Standard, 1999.


84

REFERÊNCIAS BIBLIOGRÁFICAS

1 Novo Dicionário Aurélio – O Dicionário da Língua Portuguesa – edição de 1999. 2 Timeline of the History of Information - Geoffrey Numberg 3 Chappman 4 Security Controls for Computer Systems: Report of Defense Science Boad Task Force on Computer Security. Editado por W. H. Ware. 5 CSC-STD-001-83 - Library No. S225,711 - Department of Defense Trusted Computer System Evaluation Criteria - 15 August 1983. 6 An Introduction to Computer Security: The NIST Handbook – Special Publication 800-12. 7 http://www.iso27001security.com/html/iso27000.html. 8 Decreto No 3.505, de 13 de junho de 2.000 – Presidência da República – Casa Civil. 9 Boran, Sean. IT Security Cookbook, 1996. Acessado em 12/02/2006. Disponível em

http://www.boran.com/security. 10

Segurança de Redes – Projeto e gerenciamento de redes seguras – Thomas A. Wadlow. Editora Campus, 2000. 11

Entrevista de Malcom Fry, conselheiro executivo independente da Remedy, uma empresa da BMC Software, a ITWEB em 25/11/2003, disponível em http://www.itweb.com.br/entrevistas/artigo.asp?id=44970. 12

C.W. Von Bergen e Daniel C. Benco - A Balanced Scorecard for Small Business. 13

www.microsoft.com/brasil/security/guidance/prodtech/win2000/secmod133.mspx#EDF. 14

Guide to Threat and Risk Assesment for Information Technology – Security Information Publication 5 – IT Security of the RCMP – 1994.

66053636 apostila-iso17799-modulo1

Documents