a importÂncia de estruturar a Área de security officer em ...jamhour/rss/tccrss09a/renato berce...
TRANSCRIPT
A IMPORTÂNCIA DE ESTRUTURAR A ÁREA DE SECURITY OFFICER EM UMA ORGANIZAÇÃO
Renato Bercê Rodrigues
Curso de Especialização em Redes e Segurança de Sistemas
Pontifícia Universidade Católica do Paraná
Curitiba, Novembro de 2010
Resumo
Este trabalho tem por objetivo mostrar porque é importante nos dias de hoje preservar os ativos de informação de uma organização, não tendo a pretensão de definir um roteiro para uma área de segurança em uma organização. As informações apresentadas adiante são para subsidiar a formação de um time de segurança na organização, ou seja, uma área específica posicionada no organograma da empresa, com pessoas especializadas para a gestão de riscos. Será apresentado de forma compacta, o cenário atual de como está a segurança da informação nas organizações, a necessidade de um grupo de segurança em uma organização, e alguns tópicos da Norma ISO/IEC 17799. Dentre os requisitos da Norma ISO/IEC 17799, serão tratados com mais profundidade o que é uma política de Segurança, a formação de um time de resposta a incidentes e um plano de continuidade de negócio .
1 – Introdução
Nos dias atuais as indústrias de modo geral têm a necessidade de ampliar seus mercados consumidores. As empresas financeiras igualmente precisam alavancar seus negócios. As medicinas bem como as universidades que produzem novos conhecimentos precisam processar dados considerados críticos. Todas as empresas industriais, comerciais, financeiras ou de ensino estão sempre às voltas com problemas que podem estar associados com os meios que processam estas informações, às pessoas que manuseiam, criam e transportam tais informações. Quando uma empresa pretende lançar um novo produto no mercado ou está desenvolvendo um projeto, os processos relativos a estes produtos ou projetos produzem informações que seus concorrentes pagariam muito para tê-las. Só os investimentos gastos durante a viabilização do projeto já justificaria cuidados especiais, imagine então uma instituição financeira cujas informações invariavelmente são de terceiros e que se forem adquiridas podem causar muitos transtornos, tanto ao cliente como a instituição cuja credibilidade seria afetada.
Como as empresas têm que garantir que a relação com seus clientes sejam seguras, algumas ações devem ser executadas para evitar que esta relação de confiança não seja quebrada. Até algum tempo atrás, os investimentos em segurança eram baseados em novas tecnologias para a área de informática e em segurança física ou de perímetro. Hoje o foco da segurança da informação é muito mais amplo. Há uma caminhada em direção ao uso de normas e padrões aceitos mundialmente do processo de segurança de informação. Temos como exemplo a utilização da norma internacional BS 7799 e a ISO/IEC 17799. Segundo Mario Sergio Ribeiro (22 set 2003)1, estas normas trazem benefícios para ambos os lados. “Por parte do cliente, a constatação de fato que seu fornecedor procurou adequar-se às melhores práticas e controles para a Gestão da Segurança da Informação certificando-se na norma internacional. Para a empresa certificada, o propósito claro em mostrar a todos os parceiros, o quão importante é a segurança de informação para a relação de seus negócios “.
Como podemos ver, a segurança de informação já se tornou um processo que suporta todos os negócios da empresa. Desta forma, não pode ser tratado com amadorismo. Sendo um processo, a segurança de Informação tem uma fase de inicio, implantação, tratamento dos resultados e uma constante atualização.
2. VISÃO SOBRE O CENÁRIO ATUAL
2.1 Crescimento do uso da informática, necessidade de atender legislação, aumento de ataques diversos.
Com o comércio eletrônico avançando de uma forma muito rápida, com a facilidade de aquisição de equipamento de informática, com a Internet brasileira crescendo a uma
1 www.modulo.com.br - Art. ISO 17799 e BS7799: os melhores amigos do CSO por Luiz Fernado Rocha
velocidade que supera os 30 % ao ano (como pode ser visto nos indicadores de crescimento apresentados em http://www.cg.org.br) . As empresas de um modo geral vêem neste ambiente uma ótima oportunidade de alavancar seus negócios e ampliar seu leque de consumidores.
Mas como nem tudo pode ser perfeito, junto com as oportunidades, surgem também inconvenientes de a empresa estar mais exposta a pessoas mal intencionadas, assim sendo, cuidados especiais precisam ser tomados para evitar que tanto usuários como empresas possam estar seguros de que o que foi acordado eletronicamente possa ser respeitado.
Neste cenário, a informação, os processos de apoio, sistemas e redes são importantes ativos para o negócio. Os requisitos de integridade, disponibilidade, confidencialidade da informação e o atendimento aos requisitos legais podem ser essenciais para preservar a competitividade, o faturamento, a lucratividade, e imagem da organização.
No Brasil, a segurança da informação ainda são processos aplicados a grandes corporações e multinacionais, mas lentamente esta situação está se modificando. Isto porque com a entrada de normas e legislações (como o Novo Código Civil, a Sarbanes-Oxley e o Novo Acordo de Capital da Basiléia), assim como o aumento de ataques diversos ocorridos em 2004 (vide figura 4 e 5) , a segurança da informação passou a se tornar um processo de grande importância para a empresa, bem como para a continuidade dos negócios destas. Nas Figuras 1,2 e 3, veremos o perfil das empresas que foram pesquisadas no Brasil pela 9ª e 10ª Pesquisa da Módulo Security Solucions - 2004 e nos Estados Unidos ( USA ) pela CSI/FBI Computer Crime and Security Survey - 2004.
FIG.1 - Ramo de Atividade das Empresas Pesquisadas ( Brasil). Fonte [8] 10ª Pesquisa da Modulo Security Solutions – 2006
FIG.2 Ramo de atividade das Empresas Pesquisadas (USA) Fonte [4] CSI/FBI Computer Crime and Security Survey - 2004
FIG. 3 Rendimento Anual das Empresas Pesquisadas (USA) Fonte [4] CSI/FBI Computer Crime and Security Survey - 2004
Incidentes Reportados ao NBSO -- Janeiro a Março de 2003
Tabela: Totais Mensais e Trimestral Classificados por Tipo de Ataque.
Mês Total worm (%) af (%) dos (%) invasão (%)
aw (%)
scan (%) fraude (%)
jan 3603 2275 63 72 2 3 0 9 0 66 1 1162 32 16
fev 2948 1717 58 60 2 3 0 14 0 42 1 1084 36 28
mar 3255 1919 58 81 2 4 0 8 0 26 0 1206 37 11
Total 9806 5911 60 213
2 10 0 31 0 134
1 3452 35 55
FIG. 4 – Incidentes Reportados ao NBSO – Jan/Mar 2003 Fonte [1] www.nbso.nic.br
1988-1989 Year 1988 1989
Incidents 6 132
1990-1999 Year 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999
Incidents 252 406 773 1,334 2,340 2,412 2,573 2,134 3,734 9,859
2000-2003 Year 2000 2001 2002 2003
Incidents 21,756 52,658 82,094 137,529
FIG..5 - Número de incidentes reportado pelo CERT Total incidents reported (1988-2003): 319,992
Fonte: [1] CERT/CC Statistics 1988-2003
Um fato relevante na amostra descrita nos gráficos e tabelas anteriores é que as informações neles apresentados são disponibilizadas para os órgãos de forma espontânea. Há com certeza um número muito maior de ataques ou incidentes de segurança não relatados pelas empresas por questões de imagem e posição no mercado.
Há um grande mito de que ataques são voltados apenas para grandes corporações, mas hoje em dia está claro que esta posição não passa de folclore, uma vez que um micro acesse a rede, ele já estará exposto como qualquer empresa de grande porte
2.2 Prejuízos, uma pequena mostra do que é perdido com incidentes de segurança.
Um grande número de empresas tem conhecimento dos prejuízos causados por problemas com segurança da informação, mas não conseguem quantificar exatamente o montante destes prejuízos. Mas para se ter uma idéia, a Fig.6 retirada da 9ª Pesquisa da Módulo Security Solutions mostra o tamanho médio dos prejuízos que empresas pesquisadas sofreram no ano de 2003 com ataques eletrônico no Brasil, e no estudo do CSI/FBI Computer Crime and Security Survey ( FIG.7 ), mostra as estimativas de perdas causadas por tipo de incidentes em pesquisa realizada nos Estados Unidos (USA) Alguns pontos importantes podem ser destacados na FIG. 7.
O primeiro ponto é que o total das perdas relatadas (tomando por base as respostas dos entrevistados) declinaram, as perdas totais de 2004 chegam à cifra de $ 141.496.560 milhões de dólares bem abaixo dos $ 201.797.340 milhões de dólares apontados em 2003.
O segundo ponto é que normalmente os entrevistados não são capazes de identificar ou quantificar as perdas, nesta entrevista, apenas 269 dos 494 entrevistados forneceram estimativas de perdas com incidentes de segurança.
O terceiro ponto é que vírus emergiu pela primeira vez como o tipo de incidente que gerou as perdas totais maiores, cerca de 39% do total das perdas estimadas em 2004 (esta categoria substitui o roubo de informações proprietárias que por cinco anos consecutivos tinha sido a categoria, caindo agora para a terceira posição)
O quarto ponto é que wireless já causa um grande desconforto, com seus sete por cento das perdas totais, os valores ultrapassam a casa dos 10 milhões de dólares
FIG. 6 – Prejuízos Contabilizados com incidentes de Segurança - Brasil
Fonte [7] – 9ª Pesquisa da Módulo Security Solutions - 2004
FIG. 7– Prejuízos Contabilizados por tipo de Incidentes – USA Fonte [4] CSI/FBI Computer Crime and Security Survey - 2004
PROBLEMAS QUE GERAM PERDAS FIANCEIRAS
� 35% das Empresas no Brasil tiveram perdas financeiras � 33% das empresas não conseguem quantificar o valor dos prejuízos.
FIGURA 8 - Principais Ameaças à Segurança da Informação Fonte [8] Modulo Security Solutions – 2006
PRINCIPAIS ATAQUES
De acordo com a ultima pesquisa da ‘ 10ª Pesquisa da Módulo Security Solutions – 2006” neste ano foi constatado que:
� 24% Dos ataques foram feitos por ex-funcionários � 20% Por Hackers � 15% Por Virus � 10% Por Spam � 8% Por Fraudes
Em relação a pesquisa efetuada em 2004 os índices inverteram, chamando assim um atenção especial para o assunto.
FIG. 9 – Principais Responsáveis por ataques e Invasões Fonte [7] Modulo Security Solutions – 2004
2.3 Importância e ações do Security officer.
Como pode ser visto, a área tecnológica sem dúvida é estratégica neste cenário, mas em seguida um dos problemas considerados de maior gravidade é relacionado a Funcionários Insatisfeitos ( 53 % ). Por este motivo é que a empresa tem que ser vista como um todo. O Security Officer tem que orquestrar as ações, ser o gestor do risco, ou seja, identificar os riscos, avaliar e criar os controles adequados, alinhando estes controles aos negócios da empresa de forma a mitigar o risco e conviver com ele sem perdas significativas.
O security Officer para criar políticas detalhadas precisa ter autoridade sobre pessoas e recursos. Ter conhecimento do ambiente, processos e objetivos do negócio da empresa. Segurança da informação está deixando de ser uma questão técnica para ser normativa, gerencial e humana. Não adiantaria vultuosos investimentos em equipamentos se a questão humana é relegada a segundo plano. Isto porque uma pessoa pode causar prejuízo muito maior do que uma tentativa de ataque externo em uma rede.
Ter pessoas dedicadas às questões de segurança da informação evitaria dificuldades tais como:
� Falta de visão geral dos negócios da empresa; � Dificuldade de relacionamento entre departamentos diferentes; � Tendência a privilegiar sua área de atuação ( no caso da atribuição ser delegada
a outro departamento); � Identificar áreas que realmente apresentem riscos significativos para melhor
aplicação dos recursos. Assim sendo, a melhor solução para o tratamento adequado da segurança da informação dentro de uma organização seria formar um time específico para tratar deste assunto. Tal time deve ter autonomia para direcionar as ações de segurança, um orçamento próprio, e dentro do organograma da empresa ele não pode estar subordinado a uma área de conflito como, por exemplo, a área de auditoria ou qualquer outra que dificulte a sua atuação.
2.4 Primeiros desafios do security officer
Quando uma equipe de segurança é formada, começa o primeiro grande desafio de um Security Officer, que é quebrar a desconfiança entre os agentes que participam dos processos na organização. Sendo necessário conhecer todos os processos, o Security Officer deverá transitar por todos os setores da empresa e sua figura geralmente será associada a um fiscal ou auditor. Neste instante, o profissional de segurança da informação precisará ter habilidade para convencer a todos que o objetivo de seu trabalho é somar esforços para a preservação da corporação e que desta forma estaria preservando entre outras coisas os postos de trabalho
Além da habilidade de tratar com pessoas de diferentes níveis de atuação e conseqüentemente com visão diferente a respeito da empresa, o profissional de segurança tem que possuir um bom senso crítico. Esta característica ajudaria na hora de identificar os processos considerados essenciais para a organização, senão ele poderá direcionar investimentos em atividades cujo risco tenha sido super dimensionado.
O Security Oficcer precisa avaliar inicialmente o que já está sendo feito em relação à segurança dos ativos de informação, o que os parceiros que participam dos processos pensam a respeito de segurança de informação. De posse destas informações, ele desenvolverá ou planejará com mais clareza ações de conscientização para implementar os controles necessários para garantir a segurança dos ativos de informação.
Não podemos esquecer que a participação da alta direção no processo é imprescindível. Este aliás é um fator relevante para a obtenção de sucesso para a implantação de uma área de segurança, bem como as políticas e controles. Sem a participação de quem é diretamente interessado, qualquer ação entra rapidamente em descrédito ou esquecimento.
Finalmente tendo este caminho sedimentado, o Security Officer vai precisar eleger os departamentos que serão seus principais parceiros. A área de TI é comprovadamente
estratégica porque suporta os negócios da organização e também por ser uma grande fonte de vulnerabilidade. A área Jurídica também é muito importante, porque todas as ações a serem tomadas devem estar adequadas à legislação vigente bem como deve atender os contratos celebrados. A área de Recursos Humanos é um suporte fundamental e tem de participar do processo porque é a partir do Departamento de Recursos Humanos que muitas informações podem ser obtidas, e a implementação dos controles de segurança exigirá participação ativa deste departamento. O Security Officer terá que aos poucos, quebrar resistência e trazer todas as pessoas responsáveis por estes e outros departamentos a participarem do processo de segurança da Informação. Estando próximos ou diretamente ligados aos funcionários, contratados ou prestadores de serviço, os gestores dos departamentos são peças fundamentais para o sucesso desta empreitada.
As empresas para manter ou ampliar sua participação no mercado têm investido bastante em certificações como as ISO 9000. Estas certificações garantem ao consumidor um padrão de produção mundialmente aceito, dando a seus produtos maior credibilidade e confiabilidade. Em relação à segurança da informação podemos perceber atitudes semelhantes, tendo a empresa preocupação em gerenciar riscos, ela demonstra a seriedade de seus administradores com o negócio, isto tranqüiliza seus investidores, colaboradores e também fornecedores. Na questão da segurança da informação as empresas percorrem o mesmo caminho, ou seja, ao estruturar sua área de segurança da informação, elas adotam normas e padrões mundialmente aceitos, e como referência técnica a Norma ISO/IEC 17799 tem sido adotada em grande parte das empresas, em seguida publicações do Governo federal, publicações do Banco Central, regulamentações do ICP Brasil, e outros, ( veja figura 10 adiante).
FIG. 10– Adequações a Normas / Legislações e Regulamentações
Fonte [7] Modulo Security Solutions – 2004
3. A NORMA NBR ISO/IEC 17799
A norma NBR ISO/IEC 17799 é um conjunto de prática para a gestão da segurança da informação. Ela tem em seu bojo as informações necessárias para orientar as ações referentes à segurança da informação, desde a definição, estabelecimento de requisitos de segurança., a avaliação dos riscos de segurança, seleção de controles apropriados, ponto de partida para a segurança da informação e os fatores críticos de sucesso.
A norma trata destes assuntos com clareza e profundidade, mas não podemos esquecer que norma como o nome sugere são padrões de procedimentos a serem executados. Estes procedimentos já foram testados, seus resultados comprovados, e são mundialmente aceitos, mas os padrões têm de ser adaptados às características de cada empresa, sua vocação e necessidades de proteção para seus ativos de segurança. Não pode ser dado o mesmo tratamento para uma empresa de produção de gêneros alimentícios e um estabelecimento de ensino , como por exemplo uma universidade pública, embora cada uma tenha suas necessidades de segurança.
Segundo a norma, a informação é um ativo que como qualquer outro ativo importante para os negócios têm um valor para a organização, e conseqüentemente necessita ser adequadamente protegida. A informação pode ser impressa, escrita em papéis, armazenada eletronicamente, transmitida pelos correios ou por meios eletrônicos, falada ou apresentada em filme, não importa a maneira ou estado como a informação se apresenta, é recomendado sempre que ela seja adequadamente protegida.
3.1 Pilares da norma NBR ISO/IEC 17799
A Norma NBR ISO/IEC 17799 tem como base três pilares, a confidencialidade, Integridade e a Disponibilidade da informação.
As organizações, seus sistemas de informações e rede de computadores são colocados à prova por diversos tipos de ameaças tais como fraudes eletrônicas, espionagem, sabotagem, vandalismo, fogo ou inundação, incluindo-se neste rol as ameaças eletrônicas (vírus, hackers e ataques de negação de serviço) que são cada vez mais ambiciosas e sofisticadas. Nesta situação, os pilares da norma podem ser essenciais para preservar a competitividade, o faturamento, a lucratividade, o atendimento a requisitos legais e a imagem da organização no mercado.
3.2 Estabelecendo requisitos de segurança
O primeiro passo de uma organização para tratar de segurança da informação é estabelecer requisitos de segurança. Existem três fontes principais :
� A primeira fonte é uma avaliação de risco dos ativos de informação da organização, através desta avaliação, é possível identificar as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado.
� A Segunda fonte é a legislação vigente, os estatutos, a regulamentação e as clausulas contratuais que a organização, seus parceiros, contratados e prestadores de serviços tem que atender.
� A terceira fonte é um conjunto de princípios, objetivos e requisitos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
A avaliação de risco fornecerá subsídios consistentes para tomada de decisão quanto aos recursos que serão aplicados. Os gastos com os controles devem ser balanceados de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança. As técnicas de avaliação de risco podem ser aplicadas em toda organização ou em apenas parte dela, alguns componentes ou sistema específicos de serviços.
Os resultados dessa avaliação ajudarão a direcionar e determinar ações gerenciais e prioridades mais adequadas para um gerenciamento dos riscos de segurança da informação e a selecionar os controles a serem implementados para a proteção contra estes riscos.
A segurança da informação é um processo constante, desta forma é necessário realizar análises críticas periódicas do risco de segurança e dos controles implementados a fim de analisar novos riscos, se os controles permanecem adequados e eficientes e se a informação continua merecendo o mesmo tratamento, ou se com o decorrer do tempo ela deixou de ser crítica para o negócio da organização.
3.3 Selecionando Controles
Tendo sido identificados os requisitos de segurança, é necessários selecionar os controles mais adequados e implementá-los para assegurar que os risco serão reduzidos a um nível aceitável. A Norma NBR ISO/IEC 17799 fornece exemplos de controles para as situações mais comuns, é preciso, no entanto, avaliar se os controles são adequados e aplicáveis para a organização
Um número de controles pode ser considerado como princípios básicos, fornecendo um bom ponto de partida para a implementação da segurança da informação. São baseados tanto em requisitos legais como nas melhores práticas de segurança da informação.
Os controles considerados essenciais para uma organização sob o ponto de vista legal, incluem:
a) Proteção de dados e privacidade de informações pessoais;
b) Salvaguarda de registros organizacionais;
c) direitos de propriedade intelectuais.
Os controles considerados como melhores práticas para a segurança da informação incluem:
a) Documento da Política de Segurança da Informação;
b) Definição das responsabilidades na segurança da informação;
c) educação e treinamento em segurança da informação;
d) relatório dos incidentes de segurança;
e) gestão da continuidade de negócios.
3.4 Fatores de sucesso na implantação da política de segurança
A experiência mostra que alguns fatores geralmente são críticos para sucesso da implementação da segurança da informação dentro de uma organização, tais fatores são:
a) Política de Segurança, objetivo e atividades que reflitam os objetivos do negócio.
b) um enfoque para a implementação da segurança que seja consistente com a cultura organizacional.
c) Comprometimento e apoio visível da direção da organização
d) Um bom entendimento dos requisitos de segurança, avaliação de riscos e gerenciamento de riscos.
e) divulgação eficiente da segurança para todos os gestores e funcionários.
f) distribuição das diretrizes sobre as normas e políticas de Segurança da Informação para todos os funcionários e colaboradores
g) proporcionar educação e treinamento adequado
h) um abrangente e balanceado sistema de medição, que é usado para avaliar o desempenho da gestão de segurança da informação e obtenção de sugestão para melhoria.
3.5 Os objetivos dos controles de segurança propostos pela norma NBR ISO/IEC
17799.
Estes objetivos serão comentados no capitulo quatro, será apresentado adiante ( Fig.11) uma representação gráfica dos passos para implementação de um processo de Segurança de Informação.
FIG.11 – Fases da Implantação da Política de Segurança
Política Geral de
Segurança
Infra-Estrutura da
Segurança da Informação
Política de Classificação
Controle de Ativos
Análise de Risco Política de Segurança
em Pessoa
Política de Segurança
Física e do Ambiente
Time de Resposta a
Incidentes de Segurança
Política de
Conformidade
com Requisitos
Política de
Desenv. e Manut.
de Sistemas
Política de Controle de
Acesso a Informação
Política de
Controle Gerais
Gestão da
Continuidade de
Negócios
Comitê Gestor da
Segurança da Informação
Coordenação da Segurança
da Informação
Atribuições de
Responsabilidade
em Seg. da Inf.
Políticas Complementares
Segurança Organizacional
4. IMPLANTAÇÃO DA POLÍTICA DE SEGURANÇA DA INFORMAÇ ÃO
O documento da política de Segurança deve ser aprovado pela direção, publicado e comunicado de forma clara e adequada para todos os funcionários, ele deve expressar as preocupações da direção e estabelecer as linhas mestras para a gestão da segurança da informação, no mínimo as seguintes orientações devem ser incluídas:
a) definição da segurança da informação, resumo de metas, escopo, e a importância da segurança como um mecanismo que habilita o compartilhamento da informação;
b) declaração do comprometimento da alta direção, apoiando as metas e princípios da segurança da informação;
c) breve explanação das políticas, princípios, padrões e requisitos de conformidade de importância específica para a organização, como por exemplo:
� Conformidade com a legislação e cláusulas contratuais; � Requisitos na educação de segurança; � Prevenção e detecção de vírus e softwares maliciosos; � Gestão da continuidade dos negócios; � Conseqüências de violações na política de segurança da informação.
d) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança.
e) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança que convém que o usuário siga, SLA´s (acordos de níveis de serviço), Acordos de confidencialidade, Regimento Interno, que deverão ser lidos, e assinados pelos usuários da política de segurança.
A política de Segurança deverá ser comunicada através de toda a organização para os usuários na forma que seja relevante, acessível e compreensível para o leitor em foco.
Deve ser estabelecida uma estrutura de gerenciamento para iniciar e controlar a implementação da Segurança da Informação dentro da organização, ou seja, fóruns apropriados de gerenciamento com liderança da direção para aprovar a política de segurança da informação, atribuir as funções da segurança e coordenar a implementação da segurança dentro da organização.
4.1 Comitê Gestor da Segurança da Informação
Como a segurança da informação é uma responsabilidade de negócios compartilhada por todos os membros da equipe de direção, é importante que seja considerada a criação de um grupo gestor de segurança para garantir um direcionamento claro e um suporte de
gestão visível dos envolvidos para as iniciativas da segurança, as responsabilidades deste grupo gestor seria:
� Análise crítica e aprovação da política de segurança da informação e das responsabilidades envolvidas;
� Monitoração das principais mudanças na exposição dos ativos de informação às principais ameaças;
� Análise crítica e monitoração dos incidentes de segurança da informação; � Aprovação das principais iniciativas para aumentar o nível da segurança da
informação.
4.2 Coordenação da Segurança da Informação
Em grandes corporações pode ser necessário um grupo gestor de segurança da informação com representantes da direção de áreas relevantes da organização para implementação dos controles da segurança da informação, cujos objetivos seriam:
� Buscar regras e responsabilidades específicas para a segurança da informação dentro da organização;
� Identificar metodologia e processos específicos para a segurança da informação tais como avaliação do risco e sistemas de classificação da informação;
� Apoiar iniciativa de segurança da informação aplicável a toda organização como, por exemplo, a conscientização em segurança;
� Garantir que a segurança seja parte do processo de planejamento; � Avaliar a adequação e coordenar a implementação de controles específicos de
segurança da informação para novos sistemas ou serviços; � Analisar criticamente incidentes de segurança da informação; � Promover a visibilidade do suporte aos negócios para a segurança da
informação.
4.3 Atribuições das responsabilidades em segurança da informação
As responsabilidades pela proteção dos ativos de informação e pelo cumprimento dos processos de segurança específico devem ser claramente definidas.
Em diversas organizações é indicado um gestor ou security officer para arcar com toda responsabilidade pelo desenvolvimento e implementação da segurança e pelo suporte a identificação dos controles.
4.4 Políticas complementares de segurança da informação
Cada organização tem suas peculiaridades ou processos que podem ser considerados mais críticos, estes processos ou particularidades devem ser tratados de maneira específica e com controles específicos.
Na Política Geral de Segurança da Informação serão definidas as linhas mestras de segurança para os ativos de informação. Nas Políticas Complementares serão definidos os controles apropriados para cada processo considerado de maior relevância, com o objetivo de preservar o ativo de informação ou reduzir os riscos a um nível aceitável. Algumas políticas complementares serão comentadas adiante, porém nem todas necessariamente seriam aplicadas em uma organização, ou devido à necessidade além dessas políticas outras poderiam ser criadas para atender a alguma característica específica da organização.
4.4.1 Política de controle de acesso à informação
A administração efetiva do acesso de usuário aos sistemas de informação da empresa é essencial para manter a segurança do ambiente. O gerenciamento do acesso é focado na identificação, autenticação e autorização de acesso, utilizando níveis de acesso associados a grupos, perfis, usuários, tipos de informação e tecnologia de acesso, somando-se a isto o procedimento constante de verificação de legitimidade de todas as contas de acesso dos sistemas em geral, removendo ou alterando o acesso a novos funcionários, funcionários em trânsito ou funcionários desligados da organização.
Esta política complementar deve-se levar em consideração os requisitos do negócio e política de classificação, e deve contemplar :
� Regras de controle de acesso; � Gerenciamento de acesso de usuários; � Registro de usuários; � Gerenciamento de privilégios; � Gerenciamento de senhas de usuários; � Análise crítica dos direitos do usuário; � Utilização de senhas; � Controles de acesso à rede.
4.4.2 Política de classificação e controle dos ativos de informação
A política de Classificação e controle dos ativos fornecerá aos gestores da política de segurança as informações sobre os ativos da organização. Estes ativos podem ser físicos (equipamentos, prédios, mídias diversas etc.), ou podem ser informações processadas, projetos em desenvolvimentos, políticas e estratégias de inserção de novos produtos nos
mercados etc. Qual a importância destes ativos para os negócios da organização, como eles devem ser tratados, quem pode ter o acesso a estes ativos, como deve ser descartado, quem são os proprietários destes ativos etc. Enfim, assegurará que os ativos de informação recebam um nível adequado de proteção.
Como pode ser visto nesta pequena descrição, a política de classificação tem uma grande importância para a implementação de uma política de segurança da informação, pois sem ela não se saberá ao certo qual o ativo deve ser protegido, do que o ativo deve ser protegido, quando e como deve ser protegido.
Para se ter uma noção de uma política de Classificação, será visto no capítulo 5 os requisitos para a elaboração da política de classificação.
4.4.3 Política de segurança em pessoas
As pessoas devem ser vistas com atenção especial dentro de uma organização, pois são as usuárias da informação, produzem, interpretam, modificam e carrega a informação, a política de segurança em pessoas tem como objetivo reduzir os riscos de erro humano, roubo, fraude, ou uso indevido das instalações.
As responsabilidades de segurança devem ser atribuídas na fase de recrutamento, incluídas em contratos (ou regimento interno), e monitorada durante a vigência de cada contrato de trabalho.
Acordos de sigilo, confidencialidade, devem ser assinados por prestadores de serviço, usuários das instalações e parceiros que porventura tenham acesso a informações consideradas sensíveis.
4.4.4 Política de segurança física e do ambiente
Os recursos e instalações de processamento de informações críticas ou sensíveis do negócio devem ser mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas e controles de acesso. Nesta política serão definidos controles apropriados cujo objetivo é desestimular, avisar ou impedir o acesso indevido ou desautorizado de pessoas, de forma que apenas pessoas autorizadas tenham acesso liberado a áreas de segurança, a informações sensíveis, às dependências da organização (as dependências podem ser restritas a departamentos ou relacionar-se com toda a empresa em geral).
O controle de acesso (seja manual ou automatizado), deve ter a capacidade de distinguir entre o pessoal autorizado e não autorizado, mediante sua identificação Estas áreas devem ser fisicamente protegidas de acesso não autorizado, dano ou interferência. A política de segurança Física e do ambiente deve ter controles que previnam a
indisponibilidade do ambiente por ocorrência de fogo, inundações, manifestações civis etc...
4.4.5 Política de controles gerais
As informações e recursos de processamento da informação devem ser protegidos para não haver divulgação, modificação ou roubo por pessoas não autorizadas, esta política deve contemplar controles que dificultem a exposição das informações tais como:
� Política de mesa limpa; � Proteção de tela de computadores após período de inatividade com senhas; � Remoção não autorizada de equipamento; � Tratamento diferenciado na reprodução de documentos classificados como
sensíveis; � Armazenamento em local seguro de informações consideradas sensíveis etc.
4.4.6 Processo de análise e gerenciamento de risco
Todo processo de proteção de ativos deve ser precedido pela análise de risco inerente a cada um destes ativos, para que se possa otimizar a aplicação de recursos de proteção em áreas que ofereçam maior risco aos negócios.
A análise de risco define-se como um processo de identificação de risco de segurança, e determinação do impacto nos negócios da organização. A avaliação de risco pode utilizar-se dos métodos quantitativo ou qualitativo para definir o risco.
4.4.6.1 Método quantitativo
O risco é definido através de cálculo de uma expectativa de perdas anuais, este número seria uma combinação entre a probabilidade de ocorrência da ameaça durante o ano e o custo de sua ocorrência para a organização. Este método só será viável quando todos os elementos (valor do ativo, impacto, freqüência, adequação das medidas de proteção, graus de incerteza) forem quantificados.
4.4.6.2 Método qualitativo
Este método apóia-se fundamentalmente no elemento relativo à estimativa de perdas potenciais. Na prática pode-se conduzir um projeto de análise de risco puramente qualitativo ou combinar os dois métodos (recursos técnicos para atribuir elementos
quantitativos ao processo), na tabela 1 adiante, será mostrado alguns passos para uma análise de risco.
Tab. 1 - Passos para uma Análise de Risco .
Determinação do ativo a proteger Processo de determinar , dentre os vários elementos componentes de um sistema de informações (SI), tais como instalações físicas, pessoal, hardware, software, equipamentos de comunicação de dados, documentação, dados e informações, quais destes ativos devem ser protegidos
Identificação das ameaças e vulnerabilidades existentes
Determinar e entender, dentre os elementos componentes das listas de ameaças potenciais, como erros ou omissões, riscos naturais, vandalismo, fraude, roubo, greves etc. quais se aplicam ao ambiente de informática e processamento de dados da organização e quais os efeitos de cada um destes eventos indesejáveis.
Determinar probabilidade de Ocorrência
Avaliar estatisticamente todas as vulnerabilidades existentes e ameaças potenciais identificadas anteriormente de forma a determinar a probabilidade porcentual de ocorrência de cada um deles
Calculo de possíveis perdas Produzir dados necessários para descrever o custo das possíveis perdas causadas pelas ameaças e riscos potenciais identificados em termos de custo por unidade de tempo tais como reais(R$) por ano.
Avaliação da necessidade de proteção
Análise de custo versus benefícios voltada a suportar o processo de decisão acerca da implementação das medidas necessárias de proteção
Documentação do processo de análise
Documentação dos procedimentos e resultados da análise de risco
Seleção de medidas de proteção Trata-se de selecionar as medidas de proteção julgadas necessárias, implementado-as em ordem decrescente de retorno potencial.
Implementação de medidas de proteção
Implementação das medidas de proteção julgadas necessárias, conforme selecionadas na etapa anterior, em ordem decrescente de retorno potencial.
Auditoria dos resultados São auditorias periódicas realizada tanto nas bases utilizada para efetuar a análise de riscos, quanto no resultado desta e na implementação das medidas de proteção. Estas auditorias devem ser efetuadas com o intuito de assegurar que o custo, associado com a implementação está produzindo os benefícios esperados para a organização atendendo as expectativa do projeto.
Revisão e atualização periódica Como o ambiente operacional dos sistemas está continuamente sujeito a mudanças, o processo de análise de risco deve ser um processo continuo, sendo conduzido, revisto e atualizado em bases periódicas.
4.4.7 Respondendo a incidente de segurança
Em virtude de freqüentes ataques que comprometem dados pessoais ou de negócios, melhor entendimento das empresas sobre a necessidade de possuir políticas de segurança, procedimentos para melhorar o gerenciamento de risco, número crescente do perfil de empresas atacadas, novas regulamentações, leis que exigem controles de segurança sobre os sistemas de informações e consciência de que administradores de rede e sistemas não são capazes de proteger os recursos computacionais sozinhos, se faz necessário um time de reposta a incidentes.
Mesmo a melhor infra-estrutura de segurança da informação não pode garantir que intrusões ou outras ações maliciosas não ocorrerão. Quando um incidente de segurança ocorre, torna-se crítico para a organização ter uma maneira eficaz de responder a este incidente. A rapidez com que a organização pode reconhecer, analisar e responder a um incidente limitará os danos e diminuirá o custo de recuperação
4.4.8 Política de desenvolvimento e manutenção de sistemas
O objetivo deste controle é garantir que a segurança seja parte integrante dos sistemas de informação. Isto incluirá infra-estrutura, aplicações do negócio e aplicações desenvolvidas pelo usuário. O projeto e a implantação dos processos de negócio que dão suporte às aplicações e aos serviços podem ser cruciais para segurança. Os requisitos de segurança devem ser identificados e acordados antes do desenvolvimento dos sistemas de informação.
4.4.9 Gestão da continuidade de negócios
As interrupções nos processos de negócios, curtas ou prolongadas, sempre afetam os negócios, causando impacto que muitas vezes são irreversíveis. Existem vários tipos de eventos causadores de falhas e interrupções, para os quais as empresas geralmente não estão preparadas. Muitas vezes, a ocorrência de um evento pode causar impactos desastrosos. No Brasil, eventos como incêndios, enchentes, roubos, atos de vandalismo, sabotagens, blecautes, invasão de sistemas, falha ou interrupção de comunicação de dados e voz são consideradas como os principais tipos.
O PCN, Plano de Continuidade de Negócio têm se propagado como a solução que possibilita ações rápidas e eficazes em momentos de adversidade, visando a manutenção dos principais Processos de Negócios da organização. Através deste plano, a organização atuará de forma planejada na superação de problemas físicos, administrativos e operacionais, preservando a continuidade de negócios. Desta forma o PCN não é um dispêndio associado a um evento improvável, mas, um investimento prudente que reduzirá um possível impacto, tornando-se um recurso corporativo fundamental em tempos de concorrência global.
O PCN é imprescindível para empresas que não podem sofrer interrupções em seus processos de negócios, porque isto representaria risco de perdas financeiras, degradação da imagem no mercado e insatisfação de seu maior patrimônio: Seus Clientes.
Embora TI continue a desempenhar um papel fundamental para a continuidade de negócio, os desastres podem não envolver a área tecnológica, isto pode ser verificado no caso tylenol (http://www.portal-rp.com.br/bibliotecavirtual/relacoespublicas/administracaodecrises/0089.htm ), onde a
J&J atuou eficientemente para recuperar a imagem de um de seus produtos líder em vendas que havia sido comprometido por um evento negativo.
4.4.10 Política de conformidade com requisitos legais
Este controle tem por objetivo evitar violação de qualquer lei criminal ou civil, estatutos, regulamentos, ou obrigações contratuais e quaisquer requisitos de segurança. O projeto, a operação, o uso e gestão de sistemas de informação podem estar sujeitos a requisitos de segurança contratuais, regulamentares ou estatutários.
5. CLASSIFICAÇÃO DA INFORMAÇÃO
A política de Classificação é necessária para melhorar o gerenciamento da Informação. Se implementada corretamente, a classificação de ativos pode reduzir custos de proteção da informação. A informação possui valor intrínseco, e pode ser avaliada em função da sua importância, utilidade e/ou valor financeiro. Nenhuma informação tem o mesmo valor, ou é sujeita ao mesmo risco, desta forma, mecanismos de proteção, processos de recuperação etc..., são, ou poderiam ser diferentes com custos diferentes associados a eles. A classificação da informação é efetuada segundo os requisitos de disponibilidade, integridade e confidencialidade.
Antes que o desenvolvimento real do programa de classificação dos ativos de informação possa começar, o profissional de segurança da informação, que neste caso é o suposto responsável pelo projeto, deve executar algumas ações preliminares tais como:
� Obter um executivo patrocinador e defensor para o projeto, embora não seja absolutamente essencial, pode ser um fator crítico de sucesso. O apoio de um executivo bem respeitado na organização que possa articular a posição do profissional de segurança a outros executivos e chefes de departamento ajudaria a remover barreiras, e a obtenção de recursos necessários e a colaboração de outros na organização. Sem um executivo patrocinador, o profissional de segurança teria muita dificuldade em ganhar acesso aos executivos e outras pessoas influentes que poderiam ajudar a vender o conceito de propriedade de ativos e classificação;
� Identificar Que ativos serão protegidos, o profissional de segurança deve desenvolver uma matriz de análise de ameaças e riscos. Com esta matriz determinar:
a) Quais são as ameaças para os ativos de informação da corporação ;
b) Quais os riscos relativos associados com estas ameaças, e quais ativos ou dados estão sujeitos a estas ameaças (A tabela 2 adiante mostra um exemplo de tabela de análise de ameaças e riscos).
Tab. 2 - tabela de análise de Risco
Aplicação Plataforma Ameaça Risco Conseqüência da
perda
� O profissional de segurança deve se familiarizar com a legislação e regulamentos, a quebra de contratos, ou qualquer outra exigência regulamentar que possa impactar negativamente nos negócios;
� Definir quem são os proprietários dos ativos de Informação, decisões acerca de quem acessa, qual seria a classificação definida etc, são decisões a serem tomadas com o proprietário dos ativos de informação ou gestores de processos de negócios;
� Avaliar se os recursos disponíveis são adequados para o projeto inicial, estabelecer os processos e procedimentos da classificação dos ativos de informação, executar a análise do impacto do negócio, conduzir o treinamento, etc. requer um compromisso antecipado de equipe de pessoas através da organização.
Para o projeto ser bem sucedido são necessários compromissos antecipados de equipe de pessoas com o projeto, pois o profissional de segurança não conseguiria executá-lo sozinho. Neste momento um executivo patrocinador (comprometido) com o projeto é de grande valia, pois ajudaria a obter recursos tanto financeiros quanto humanos que o profissional de segurança não conseguiria sozinho.
Uma ferramenta útil no estabelecimento de um processo de classificação dos ativos de informação é ter uma Política de Segurança implementada na organização, indicando que a informação é um recurso da corporação e deve ser protegida. Neste documento, a política determinaria que a informação será classificada baseada em seu valor para a organização, na sensibilidade, no risco da perda ou do comprometimento do ativo de informação, e nas exigências legais e retenção. Isto fornece ao profissional de segurança autoridade necessária para iniciar o projeto, procurar o executivo patrocinador, obter sustentação financeira e outros empenhos.
Se houver uma Política da Segurança da Informação, estas indicações devem ser adicionadas se já não estiverem lá, se nenhuma política da segurança da informação existir, o profissional de segurança deve pôr o projeto da classificação dos ativos de informação em estado de espera e desenvolver antes uma política da segurança da informação para a organização. Sem esta política, o profissional de segurança não tem
nenhuma autoridade ou razão real para continuar o projeto de classificação dos dados ou ativos de informação.
A informação deve primeiramente ser reconhecida e tratada enquanto um recurso da companhia antes de despender esforços para protegê-la.
Supondo que a política de segurança mencione ou indiquem que a informação será classificada de acordo com determinado critério, outra política deve ser desenvolvida para estabelecer a classificação e proteção da informação e estabelecer:
� A definição para cada classificação � O critério da segurança de cada classificação para ativos de informação � Os papéis e as responsabilidades de cada grupo de indivíduos envolvidos na
execução da política e no uso dos ativos de informação.
Os papéis e responsabilidades de todos os participantes devem estar claramente definidos na política de classificação. Um apropriado programa de treinamento, desenvolvido e implementado, é uma parte essencial desta política. A equipe de estudo identificada para conduzir a análise de impacto dos negócios é um ponto de partida para desenvolver estes papéis e responsabilidades e para identificar as exigências de treinamento
Nem todos os papéis definidos adiante são aplicáveis a toda política de classificação, e alguns dos papéis podem ser executados pelo mesmo indivíduo. O ponto chave é identificar se os papéis definidos são apropriados para sua organização em particular. Lembrando que um individuo pode executar mais que um papel quando a política estiver totalmente funcional.
5.1 Análise de impacto nos negócios
A Próxima fase deste processo é conduzir uma análise de impacto nos negócio dentro das principais funções do negócio da companhia. Eventualmente este processo pode ser portado para fora da cia em todas as funções do negócio, mas inicialmente deve ser feito nas funções de negócio consideradas mais importantes para a organização.
Um fator crítico do sucesso neste empreendimento é obter o aval da alta gerência da organização. Um executivo que apóie o projeto e que esteja disposto ser o primeiro cujas áreas sejam analisadas, poderia ajudar a persuadir outros a participarem, especialmente se o processo inicial for bem sucedido, e o valor do processo for percebido.
Um grupo de trabalho composto de indivíduos da segurança da informação, do sistema de informação (desenvolvimento e suporte de aplicação), do plano de continuidade do negócio, e de representantes da unidade de negócio deve ser formado para conduzir a análise inicial do impacto. Poderiam ser incluídos outros participantes como o jurídico
e auditoria, caso queiram participar. O grupo de trabalho utilizaria a análise de impacto nos negócios para:
� Identificar principais funções de áreas de informação ( por exemplo, recursos humanos, financeiro, engenharia, pesquisa e desenvolvimento, marketing etc).
� Analisar as ameaças associadas com cada principal área funcional. Isto poderia ser tão simples quanto identificar os riscos associados com a perda de confidencialidade, da integridade, ou da disponibilidade, ou buscar mais detalhes de ameaças especificas de infecções por vírus de computador, ataques de negação de serviço, etc.
� Determinar os riscos associados a estas ameaças ( por exemplo, A ameaça pode ser a divulgação de informações sensíveis, mas o risco pode ser baixo em função do número de pessoas que tem acesso, e os controles impostos aos dados.).
� Determinar o efeito da perda dos bens de informação para o negócio.(por exemplo, se financeiro, contratuais, segurança etc.) por períodos específicos de indisponibilidade - Uma hora, Um dia, dois dias, uma semana, um mês.
� Construção de uma tabela de impacto das perdas da informação, (como mostrado adiante na tabela 3 ).
� Preparar uma lista e aplicações que suportam diretamente as funções de negócios (Ex. recursos humanos, médico, folha de pagamento, pesquisas, empregado envolvidos com programas de compra.)
Tab. 3 , Análise de impacto nos negócios
Função Aplicação Tipo de perdas (cia)
Custo após uma Hora
Custo após duas horas
Custo após um dia
Custo após uma semana
Custo após um mês
Recurso Humano
Folha de pagamento
confidencialidade
Integridade Disponibilidade
A partir das informações obtidas, a equipe pode determinar as ameaças universais que atingem os limites funcionais do todos os negócios. Este exercício pode ajudar a classificar a aplicação em categorias ou no estabelecimento de um conjunto específico de controles para reduzir os riscos comuns. Além disso, associar ameaças ao risco, sensibilidade da informação, facilidade de recuperação devem ser considerado quando determinamos a classificação da informação.
5.2 Estabelecendo classificações
Uma vez que todos critérios da avaliação e classificação de risco foram recolhidos e analisados, a equipe deve determinar quantas classificações são necessárias, criar as definições da classificação, determinar os controles necessários para cada classificação para a informação e software, e começar a desenvolver papéis e responsabilidades para todos participantes do processo. Os fatores relevantes, incluindo exigências contratuais devem ser considerados quando estabelecer a classificação.
Muitas classificações serão pouco práticas de implementar, certamente causará desconforto ou resistência na coleta de dados. A equipe deve resistir ao impulso para que os casos especiais tenham sua própria classificação de dados. O perigo é que a classificação demasiadamente fracionada, causará um colapso do processo pela sobrecarga. Isto dificultará a administração dos custos de manutenção.
Por outro lado, poucas classes poderiam dar a entender que o processo de desenvolvimento, implementação e manutenção não valem a pena, e que não há nenhum valor neste processo. E realmente os críticos podem estar certos.
Cada classificação deve ter características facilmente identificáveis, elas não devem ter quase nenhuma sobreposição entre as classes. As classificações devem orientar como as informações e o software são tratados na sua geração, manuseio e descarte com a eliminação autorizada
5.3 Definindo papéis e responsabilidades
Para se ter um processo de classificação eficaz, papéis e responsabilidades dos participantes do processo devem ser claramente definidos. Um programa de treinamento apropriado desenvolvido, e implementado, é parte essencial do processo. O grupo de trabalho identificado para conduzir a análise de impacto nos negócios é um bom ponto de partida para desenvolver estes papéis e responsabilidades e identificar o treinamento necessário. Entretanto deve-se notar que alguns membros da equipe original como o jurídico, auditoria interna, plano de continuidade de negócio provavelmente não queiram participar desta fase. Estes elementos devem ser substituídos por representantes da qualidade, treinamento ou comunicação da organização.
5.4 Identificando proprietários
As etapas definidas anteriormente, são requisitos para estabelecer a infra-estrutura da classificação da informação. Com a classificação, papéis e responsabilidades dos participantes definidos, é hora de executar a política de classificação, iniciando o processo de identificação dos proprietários da informação. Como indicado
anteriormente, os proprietários da informação devem ser da unidade de negócio que mais gravemente será afetada se a informação for perdida ou corrompida. Os dados existem unicamente para satisfazer a uma exigência do negócio. Os seguintes critérios devem ser considerados para identificar adequadamente o proprietário para dados ou informações de negócio:
� Deve ser do negócio, a posse não é uma responsabilidade de TI; � O Apoio da Alta gerência é um fator chave de sucesso; � Aos proprietários dos dados ou informações deve ser fornecida (com a política,
talvez) a autoridade necessária proporcionais à suas responsabilidades e obrigações;
� Para algumas funções de negócios, uma abordagem multi nível pode ser necessária.
Uma fase de aproximação, provavelmente encontrará menor resistência do que tentar identificar todos proprietários e classificar ao mesmo tempo toda informação O grupo de estudo formado para desenvolver papéis e responsabilidades poderia também desenvolver a implementação inicial do plano. Este plano consideraria a utilização de uma fase de aproximação. Primeiramente, identificando a partir da avaliação de risco:
� As aplicações que são mais críticas ou mais importantes pela ordem de magnitude para a organização ( por exemplo: tempo crítico inicial para função de negócio);
� Proprietários destas aplicações são mais facilmente identificados e sensíveis à missão crítica de suas informações;
� Quais outros proprietários e informações podem ser identificados mais tarde pelas funções de negócios através da empresa.
Um programa de treinamento deve ser desenvolvido e preparado para ser implementado à medida que os proprietários e delegados sejam identificados. Ferramentas como planilhas para registrar as aplicações, proprietários da informação, classificação e relatórios deverão ser desenvolvidos antecipadamente para serem utilizados posteriormente pelos proprietários da informação. Uma vez que os proprietários sejam identificados, o treinamento deve ser iniciado imediatamente de modo que eles sejam preparados no prazo desejado.
5.5 Classificando informações e aplicações
Os proprietários da informação, após terem completado o treinamento, devem começar a coletar os dados e aplicações relacionadas ao negócio. Um processo formal de coleta dos dados e informações deve ser usado para assegurar uma consistência dos métodos e dos tipos de informação coletadas. Estas informações devem ser armazenadas em um repositório central para referência e análise futuras. Uma vez coletada as informações, o proprietário da informação deve rever as definições para a classificação das informações
e classificar seus dados ou informações de acordo com aqueles critérios. Os proprietários podem usar as informações abaixo para determinar controles apropriados para a classificação:
� Quando e onde a auditoria sobre a informação é realizada, quais são os controles impostos na auditoria da informação;
� A divisão de responsabilidade é exigida, (sim ou não) , se afirmativo como é executada;
� Os Mecanismos de proteção e controles de acesso são definidos baseados na classificação, sensibilidade etc.
� São determinados Controles de acesso universal; � São documentados processos de recuperação e backup’s; � Processos de mudanças e recuperação são documentados; � Nível de confidencialidade da informação é preciso; � Exigência de retenção dos dados é definida; � Localização da documentação.
Os seguintes controles das aplicações são exigidos para complementar os controles dos dados, mas deve ser tomado cuidado para assegurar que todos os controles (ambos software e os dados) são proporcionais com a classificação da informação e o valor da informação
� Controles de auditoria no local; � Aprovação do desenvolvimento e teste da política de classificação; � Separação de responsabilidade é realizada; � Gerenciamento de processo de mudança no local; � Código testado, verificado sua exatidão; � Controle de acesso para código no local; � Controle de versão para código implementado; � Processo de backup e recuperação no local.
5.6 Monitorando o processo
Uma vez que o processo tenha sido executado, e os dados estiveram classificados, um processo de monitoração deve ser executado. A auditoria interna deve conduzir este trabalho para assegurar a obediência à política de segurança da informação e os procedimentos estabelecidos. Trabalhando com os proprietários da informação selecionados, o jurídico, e outras partes interessadas, devem periodicamente rever a classificação da informação para assegurar-se que as informações encontram-se ainda de acordo com as exigências do negócio.
Também, os direitos de acesso dos indivíduos, devem periodicamente ser revistos para assegurar que os direitos são ainda adequados às exigências de trabalho. Os controles
associados a cada classificação devem também ser revistos, para assegurar que são ainda apropriados para a classificação.
6. Conclusão Foram apresentadas neste trabalho, diversas pesquisas que apontam uma grande quantidade de problemas advindos de: novas tecnologias, Fraudes, roubo de informações privilegiadas, e outros. Todos estes problemas provocam sérios danos à organização, e dependendo do grau de comprometimento, pode levar uma empresa a sua extinção. Uma área de segurança específica dentro de uma empresa, tem que desenvolver seu trabalho visando oferecer soluções que reduzam a expectativa de perda da organização, obedecendo sempre a orçamentos normalmente estreitos. Para satisfazer a estas exigências, o grupo de segurança precisa ter autonomia dentro da organização para conhecer todos os seus processos, e em uma etapa posterior, identificar quais destes processos seriam mais vitais para a sobrevivência da empresa. Estando munido das informações, e com a anuência da Alta Direção da organização , seriam elaborados políticas e procedimentos mais adequados para que nenhum incidente venha a impactar negativamente os processos vitais da organização de forma a comprometer sua sobrevivência.
7. Bibliografia [1] http://www.cert.br [2] http://cartilha.cert.br [3] http://www.cert.br/stats/incidentes/ [4] http://www.cg.org.br [5] http://www.mudulo.com.br [6] http://www.cg.org.br/publicacoes/artigos/artigo38.htm [7] http://www.modulo.com.br/media/9a_pesquisa_nacional.pdf [8] http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf [9]http://www.portal-rp.com.br/bibliotecavirtual/relacoespublicas/administracaodecrises/0089.htm . [10] http://www.cert.org/stats/cert_stats.html [11] Security Officer 1 – Ramos, Anderson – Editora Zouk