aula 1 revisao seguranca_da_informacao
TRANSCRIPT
SEGURANÇA DA INFORMAÇÃO
SERGIO DUQUE CASTILHO
OURINHOS - SPJUNHO/2011
1
Sumário
1 SEGURANÇA DA INFORMAÇÃO....................................................................................3
2 LEIS ......................................................................................................................................16
3 PESQUISA DE SEGURANÇA DA INFORMAÇÃO ......................................................20
4 NORMAS..............................................................................................................................24
5 CLASSIFICAÇÃO DA INFORMAÇÃO..........................................................................34
6 ROSI......................................................................................................................................40
7 DESCARTE E SANITIZAÇÃO DE MÍDIAS...................................................................46
8 CONTROLE DE ACESSO.................................................................................................60
9 SEGURANÇA PARA TELEINFORMÁTICA E COMUNICAÇÕES...........................63
10 VISÃO DA GOVERNANÇA DE TI..............................................................................78
2
1 Segurança da Informação
1.1 Introdução
Por que é tão importante proteger as informações nos dias de hoje? Será possível
manter a segurança de uma organização, onde as informações são ativos de extrema
importância para sua sobrevivência?
Devido às organizações estarem fortemente ligadas a Tecnologias (servidores,
internet, banco de dados, e-comerce, etc), os riscos que trazem essas Tecnologias são riscos
para o negócio, e as falhas na proteção dos ativos da informação correlacionados com
essa Tecnologia, transformam-se em perdas financeiras, comprometem a imagem da
empresa e reduzem a eficiência operacional, chegando ao extremo de levar a encerrar suas
operações.
Restrita no passado para áreas de nicho, como bancária, aeroespacial ou aplicações
militares a segurança digital cresce lentamente mas segura, tornando-se assunto de todos.
As organizações têm a necessidade de criar e manter um ambiente tecnológico no
qual os processos de negócio possam funcionar de forma correta e segura. Significa
assegurar a confidencialidade e privacidade dos dados na organização, bem como a sua
integridade. Para que esses objetivos sejam alcançados, não devemos dar ênfase apenas a
implantação de hardware e software, mas a realização eficiente do processo de
Gerenciamento de Risco de TI1 , no qual todos os riscos devem ser identificados e
minimizados.
1.2 Informação
É um conjunto de dados que representam um ponto de vista.
Dados não são informações, estes após uma analise ou processo geram informação.
A informação possui significado e causa impacto em grau maior ou menor, tornando o
elemento essencial da extração e criação do conhecimento.
1 TI – Tecnologia da Informação
3
• conhecimento só pode ser formado a partir da exposição do individuo a informação.
• Os aspectos da geração de conhecimento a partir da informação é o principal interesse das organizações.
• Expor colaboradores a informação gera conhecimento, melhora a tomada de decisão e proporciona valor aos negócios, Como pode ser visto na figura 3.
• Proporcionar valor contribui diretamente para o lucro.
• É possível afirmar que a informação é um bem, um ativo da organização e deve ser preservada e protegida.
• É possível encontrar informação na forma escrita, impressa, armazenada em arquivos( discos, cds, etc) e até transitando nos meios de comunicação.
Figura 1 Valor da Informação
1.3 A importância da informação
Atualmente, as informações tornam-se o objeto de maior valor para as empresas. O
avanço da informática e das redes de comunicação nos mostra um novo cenário, no qual os
objetos do mundo real estão representados por bits e bytes, sem deixar de ter o mesmo valor
que os objetos reais e, na maioria das vezes, o valor é ainda maior.
Segundo alguns estudos realizados, apenas 6% das empresas que sofrem um desastre
informático sobrevivem. Os demais 94% desaparecem, mais cedo ou mais tarde. Algumas
4
pesquisas, ainda que mais moderadas, confirmam essa tendência ao indicar que duas de cada
cinco empresas que enfrentam ataques ou danos em seus sistemas deixam de existir.
1.4 Segurança da informação
É a proteção da informação, de diversos tipos de ameaças, para garantir a
continuidade dos negócios, minimizar os danos e maximizar o retorno do investimento e as
oportunidades de negócio.
Segundo a NBR 27001, segurança da informação consiste na preservação da
confidencialidade, integridade e disponibilidade da informação. Também suplementa, outras
propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade,
podem estar incluídas.
Para a Academia Latino Americana de Segurança da Informação, as empresas estão
expostas a ameaças constantes em seus ativos, o que pode representar prejuízos inestimáveis.
As vulnerabilidades em nossos sistemas de informação podem representar problemas de
grande impacto negativo para a empresa, a importância de compreender os conceitos
necessários para que se possa combatê-los e defender as informações de possíveis ataques é
uma forma de sobrevivência para a empresa.
A segurança da informação tem a finalidade de proteger as informações registradas,
independente de onde estejam situadas: impressas em papel, nos discos rígidos dos
computadores ou até mesmo na memória das pessoas que as conhecem.
E elementos são: as informações, os equipamentos que oferecem suporte a elas e as
pessoas que as utilizam.
A necessidade de segurança já excede o limite da produtividade e da funcionalidade,
de forma que a velocidade e a eficiência tornam-se uma vantagem competitiva nos processos
de negócios e a falta de segurança nos meios tecnológicos que permitem essa velocidade e
eficiência, muitas vezes pode acarretar prejuízos inestimáveis.
5
Figura 2 Elementos que fazem Parte da Comunicação.
Aumentar o nível de segurança de sistemas de informação é um desafio para
qualquer organização. O primeiro passo neste empenho é avaliar a exposição atual da
organização e decidir que passos esta devem seguir. Tomar decisões e, encontrar soluções
pode ser a parte mais difícil do processo de assegurar os sistemas de informação.
Existem alguns riscos em relação a segurança que devem ser considerados como: a
falta de classificação da informação quanto ao seu valor, o controle de acesso mal definido,
dificuldade de controle do administrador, a Internet, o tráfego de informações e senhas pela
rede, e-mails enviados, qualquer conexão entre redes pode ser considerada um risco.
Não se pode garantir total segurança, pois não existe segurança a prova de hackers.
“A segurança é complexa, envolvendo aspectos humanos, sociais e tecnológicos” (GEUS;
NAKAMURA). Por esse motivo cabe a organização definir o nível necessário de segurança,
mas assumindo os riscos.
Administrar a segurança de uma organização, não é uma tarefa fácil, pois a segurança
é inversa a produtividade. Para minimizar os riscos o administrador restringe o acesso dos
usuários aos serviços e dessa forma afeta a sua produtividade
6
1.5 Ativos
De acordo com a NBR 27001, tudo que constitui valor para a organização é
considerado ativo.
“Um ativo é todo elemento que compõe o processo da comunicação, partindo da
informação, seu emissor, o meio pelo qual ela é transmitida, até chegar a seu receptor ”
(MICROSOFT TECHNET BRASIL). E ainda informa que, os ativos são elementos que
precisam ser protegidos, pois constituem valor para as empresas e, por esse motivo precisam
de uma proteção adequada para que seus negócios não venham a ser prejudicados.
Os elementos que fazem parte do que chamamos de ativos são três: As informações,
os equipamentos que oferecem suporte a elas, as pessoas que as utilizam.
Tabela 1 Grupos de Ativos
A. Informações:
Neste grupo de ativos, tudo que contêm informação registrada, em meio eletrônico ou
físico. Exemplo: documentos, relatórios, correspondências, patentes, código de programação,
planilhas de remuneração de funcionários, etc.1
B. Equipamentos que oferecem Suporte
B.1 Software:
Este grupo de ativos é formado pelos programas usados na execução dos processos,
por exemplo: o acesso, a leitura, o trânsito e o armazenamento das informações. Alguns
exemplos são: sistemas operacionais (Unix, Windows, Linux, sistemas informatizados,
7
aplicativos específicos etc.), programas de correio eletrônico e sistemas de suporte, entre
outros.
B.2 Hardware:
Equipamentos tecnológicos que oferecem suporte à informação durante sua
utilização, trânsito e armazenamento. Por exemplo: os computadores, os servidores, os
mainframes, os meios de armazenamento, os equipamentos de conectividade, roteadores,
switchs,etc.
B.3 Organização:
Componentes da estrutura física e organizacional das empresas.
Exemplos de estrutura organizacional : a estrutura departamental e funcional, o
quadro de alocação dos funcionários, a distribuição de funções e os fluxos de informação da
empresa.
Exemplos de ambiente físico: salas e armários onde estão localizados os
documentos, sala de servidores de arquivos.
C. Usuários:
O grupo usuários são os indivíduos que utilizam os equipamentos da empresa e que
trabalham com a informação, desde a alta direção até os usuários finais da informação,
incluindo os grupos que mantêm em funcionamento a estrutura tecnológica, como técnicos,
operadores e ministradores de ambientes tecnológicos .
1.6 Princípios básicos da segurança da informação
Proteger os ativos significa defende-los das ameaças que podem prejudicar sua
funcionalidade: corrompendo-a, tendo acesso a ela de forma indevida, ou eliminando-a ou
furtando-a. Existem três princípios básicos usados como base para proteção desses ativos:
• Integridade:
• Confidencialidade
• Disponibilidade da informação.
8
1.6.1 Integridade da informação:
O princípio da integridade nos permite garantir que a informação não tenha sido
alterada em seu conteúdo. Um exemplo de falta de integridade ocorre quando a informação é
corrompida, falsificada ou roubada.
Como seria se o quadro de salários dos funcionários fosse alterado acidentalmente ou
propositalmente? Esse é um exemplo de dano que a empresa sofre com a falta de integridade
das informações.
1.6.2 Confidencialidade da informação:
O princípio da confidencialidade da informação assegura o acesso apenas das pessoas
autorizadas à informação que será compartilhada. São informações que precisam ser
mantidas em sigilo, a quebra desse sigilo pode acarretar danos inestimáveis. Exemplo:
número e senha do cartão de crédito, da conta bancária,etc
1.6.3 Disponibilidade das informações:
O princípio da disponibilidade das informações garante que a informação possa ser
acessada no momento em que for solicitada. A configuração segura de um ambiente é
fundamental. Fazer cópias de segurança – backup também é importante.
1.7 Ameaça
Ativos sempre terão vulnerabilidades, que podem submetê-los as ameaças. As
ameaças são agentes que exploram os pontos fracos ou vulnerabilidades (falhas na
segurança), provocando perdas ou danos aos ativos, afetando os negócios da empresa.
As ameaças podem colocar em risco a integridade, a confidencialidade e a
disponibilidade das informações. Ameaças estão ligadas a causas que representam riscos, são
elas:
• Causas naturais ou não-naturais
• Causas internas ou externas
9
Figura 3 Princípios Básicos da Segurança da Informação
1.7.1 Tipos de ameaças
As ameaças estão divididas em três grandes grupos:
• Ameaças naturais – condições da natureza que podem provocar danos aos
ativos como fogo, inundação, terremotos.
• Intencionais – são ameaças premeditadas, fraudes, vandalismo, sabotagens,
espionagem, invasões e furtos de informações.
• Involuntárias – são ameaças procedentes de atitudes inconscientes de
usuários, por vírus eletrônicos, causados pela falta de conhecimento na
utilização dos ativos, como erros e acidentes.
Tabela 2 Principais ameaças às informações das empresas
10
1. Virus2. Divulgação de senhas3. Hackers4. Funcionários insatisfeitos 5. Acessos indevidos6. Vazamento de informações7. Erros e acidentes 8. Falhas na segurança física9. Acessos remotos indevidos10. Superpoderes de acesso12. Pirataria13. Lixo informático14. Divulgação indevida15. Roubo/Furto16. Fraudes
1.8 Vulnerabilidade
Os pontos fracos ou vulnerabilidades são os meios pelos quais as ameaças, afetam a
confidencialidade, a disponibilidade e a integridade das informações de uma empresa. Pode-
se esperar que, à medida que a tecnologia avança, mais expostas ficam as informações. Por
esse motivo é importante conhecer a estrutura geral de como se classificam as
vulnerabilidades ou pontos fracos, responsáveis pelos danos causados por uma série de
ameaças.
1.8.1 Vulnerabilidades físicas
Encontra-se no ambiente em que estão sendo armazenadas ou gerenciadas as
informações.
Exemplo:
• Instalações inadequadas do espaço de trabalho
• Ausência de recursos para o combate a incêndios
• Disposição desorganizada dos cabos de energia e de rede
• Não-identificação de pessoas e de locais, entre outros.
• Computadores: podem sofrer danos internacionais ou naturais.
• Meios de transmissão.
• Ambiente: incêndio, inundação, terremoto.
Figura 4 Pontos Fracos ou Vulnerabilidades
11
1.8.2 Vulnerabilidades naturais
São aqueles relacionados às condições da natureza que podem colocar em
risco as informações.
Exemplo:
• Ambientes sem proteção contra incêndios
• Locais próximos a rios propensos a inundações
• Infra-extratora incapaz de resistir às manifestações da natureza, como
terremotos, maremotos, furacões, etc.
1.8.3 Vulnerabilidades de hardware
Defeitos de fabricação ou configuração dos equipamentos da empresa que
possibilitem o ataque ou a alteração dos mesmos.
Exemplo:
• A ausência de atualizações de acordo com as orientações dos fabricantes dos
programas utilizados
• A conservação inadequada dos equipamentos.
1.8.4 Vulnerabilidades de softwares
Possibilitam a ocorrência de acessos indevidos aos sistemas de computador.
A configuração e a instalação indevidas dos programas de computador;
• Os aplicativos;
• Os sistemas operacionais.
1.8.5 Vulnerabilidades dos meios de armazenamento
Se os meios que armazenam as informações não forem utilizados de forma adequada,
seu conteúdo fica vulnerável a uma série de ameaças que poderão afetar a integridade, a
disponibilidade e a confidencialidade das informações.
12
Exemplo:
• Prazo de validade e expiração
• Defeito de fabricação
• Local de armazenamento em locais insalubres ou com alto nível de umidade,
magnetismo ou estática, mofo, etc.
• Computadores: podem sofrer danos internacionais ou naturais.
• Meios de transmissão.
• Pessoa: por natureza tendem a divulgar informações(conversa informal).
• Processos: falta de regra especifica nas empresas em relação a informação.
• Ambiente: incêndio, inundação, terremoto.
1.8.6 Vulnerabilidades de comunicação
Os meios que transitem as informações, seja por cabo, satélite, fibra óptica ou ondas
de rádio, também necessitam de segurança.
A falha na comunicação faz com que uma informação fique indisponível para os seus
usuários, ou fique disponível para pessoas que não deveriam ter acesso a ela, permitindo que
sejam alteradas, afetando sua integridade.
A ausência de sistemas de criptografia nas comunicações;
A má escolha dos sistemas de comunicação para envio de mensagens.
1.8.7 Vulnerabilidades humanas
Estão relacionadas aos danos que as pessoas podem causar às informações e ao
ambiente tecnológico que lhes oferece suporte.
Exemplo:
• Senhas fracas;
• Falta de uso de criptografia na comunicação;
13
• Compartilhamento de identificadores como nome de usuário.
• Pessoa: por natureza tendem a divulgar informações(conversa informal).
• Processos: falta de regra especifica nas empresas em relação a informação.
1.9 Impacto
Refere-se a perdas ou prejuízo, causado nos negócios ou pessoas devido a um
incidente de Segurança da Informação., podendo causar perdas financeiras, danos a imagem
de pessoas ou empresas,
Exemplo: perda de cliente, perda de produtividade, danos morais.
Fica evidente que o grau de ameaça e de vulnerabilidade influenciam diretamente a
pobabilidade de ocorrer um impacto. Assim se uma empresa atuar diretamente nestes pontos,
irá diminuir a probabilidade de ocorrer um impacto.
1.10 Risco
“Risco é a probabilidade de que as ameaças explorem os pontos fracos causando
perdas ou danos aos ativos e impactando os negócios, ou seja afetando: a confidencialidade,
a integridade e a disponibilidade da informação”. (ACADEMIA LATINO AMERICANA
DE SEGURANÇA DA INFORMAÇÃO;2010; P.2)
Os riscos aumentam à medida que as ameaças conseguem explorar as
vulnerabilidades provocando danos nos ativos. Esses danos podem ocasionar a perda da
confidencialidade, a integridade ou a disponibilidade da informação causando impactos no
negócio da empresa.
RISCO = AMEAÇA + VULNERABILIDADE.
1.11 Excelência operacional das empresas
As organizações que focam a excelência operacional, oferecem produtos de
qualidade em relação ao mercado.
A padronização das operações é uma forte característica.
14
Tudo isso é suportado por uma gama de informações em organizadas e disponíveis.
O que podia ocorrer se o sistema de informação que compõem os processos de suprimento e
atendimento estiverem fora do ar, se os procedimentos ficarem indisponíveis.
Figura 5 Ciclo de segurança
Não resta a menor duvida de que possuir um sistema de gestão de segurança da
informação que mantém a disponibilidade, a integridade e a confidencial idade das
informações é uma necessidade.
Um sistema de gestão de segurança da informação SGSI o primeiro passo é definir
em que direção seguir etapas do planejamento
Definição do Escopo>> Política para SGSI>> Analise de Risco >> Tratamento do
Risco.
15
2 Leis
A evolução da internet não trouxe apenas benefícios para a sociedade, como
globalização, comercio eletrônico, acesso a informações entre outras, vieram
também os crimes virtuais e diversas expressões algumas utilizadas de forma
equivocada como: ‘crimes de informática’, ‘crimes tecnológicos’, ‘crimes
cibernéticos’, crimes virtuais etc. O termo adotado foi: “crimes informáticos”, este
termo traduz, de forma ampliativa, os crimes cometidos contra ou utilizando sistemas
informativos.
A Organização para Cooperação Econômica e Desenvolvimento da ONU
(Organização das Nações Unidas) define o conceito de crimes informáticos como:
“qualquer conduta ilegal não ética, ou não autorizada, que envolva processamento
automático de dados e/ou transmissão de dados”.
O juiz Guilherme Guimarães Feliciano, define crimes informáticos como:
“recente fenômeno histórico-sócio-cultural caracterizado pela elevada incidência de
ilícitos penais (delitos, crimes e contravenções) que têm por objeto material ou meio
de execução o objeto tecnológico informático (hardware, software, redes, etc.)” .
Para combater os crimes informáticos ou punir quem os comete, foram criadas
algumas leis como: A Lei 11.277 de 7 de fevereiro de 2006, que acrescentou ao
Código de Processo Civil o artigo 285-A, artigo 285-B, artigo 285-C, Artigo 154-A,
artigo 163, artigo 163-A, entre outros, descritos a seguir:
• Artigo 285-A (Código Penal).
Acesso não autorizado a rede de computadores, dispositivo de comunicação
ou sistema informatizado.
Acessar, mediante violação de segurança, rede de computadores, dispositivo
de comunicação ou sistema informatizado, protegidos por expressa restrição de
acesso: Pena - reclusão, de 1 (um) a 3 (três) anos, e multa.
Parágrafo único - Se o agente se vale de nome falso ou da utilização de identidade
de terceiros para a prática do crime, a pena é aumentada de sexta parte.
Comete o crime quem acessa uma rede de computadores (que não é apenas a
Internet, pode ser uma rede de computadores conectados entre si, como uma rede
16
coorporativa ou de governo) violando alguma medida de segurança, em rede ou
sistema informatizado ou dispositivo de comunicação que contenha expressa
restrição de acesso.
• Artigo 285-B (Código Penal).
Obtenção, transferência ou fornecimento não autorizado de dado ou
informação.
Obter ou transferir, sem autorização ou em desconformidade com autorização
do legítimo titular da rede de computadores, dispositivo de comunicação ou sistema
informatizado, protegidos por expressa restrição de acesso, dado ou informação
neles disponível:
Pena - reclusão, de 1 (um) a 3 (três) anos, e multa.
Parágrafo único - Se o dado ou informação obtida desautorizadamente é
fornecida a terceiros, a pena é aumentada de um terço.
Esse novo crime também busca proteger os dados eletrônicos (por exemplo,
fotos pessoais, um trabalho acadêmico ou artístico, etc.) de ser obtido ou transferido
sem autorização para terceiros.
Mas quando exatamente ocorre esse crime? .Diferentemente do crime anterior,
esse acontece quando ocorre a transferência ou obtenção do dado eletrônico sem a
autorização do titular da rede de computadores ou do proprietário, ou do dispositivo
de comunicação ou sistema informatizado.
• Artigo 285-C (Código Penal).
Nos crimes definidos neste Capítulo somente se procede mediante representação,
salvo se o crime é cometido contra a União, Estado, Município, empresa concessionária de
serviços públicos, agências, fundações, autarquias, empresas públicas ou sociedade de
economia mista e subsidiárias."
O parágrafo acima determina que os dois crimes anteriores (Art. 285-A e 285-B), só
procedem se houver representação da pessoa ofendida, isso quer dizer, que polícia ou o
Ministério Público não podem processar por conta própria.
• Artigo 154-A (Código Penal).
17
Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais
contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo
nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de
seu representante legal.
Pena - detenção, de 1 (um) a 2 (dois) anos, e multa.
Parágrafo único - Se o agente se vale de nome falso ou da utilização de identidade de
terceiros para a prática do crime, a pena é aumentada da sexta parte.
Esse crime busca punir uma conduta tornou-se muito comum nos dias atuais, a
divulgação de fotos e informações pessoais (dados da receita federal comercializados por
camelôs por exemplo).
Comete o crime quem divulga as fotos ou dados sem a permissão dos donos (ou
representantes legais dos donos) das fotos ou dados.
• Artigo 163 (Código Penal).
Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio:
Esse artigo já existe no Código Penal, apenas acrescentamos o "dado eletrônico" para
protegê-lo de dano.
• Artigo 163-A (Código Penal).
Inserção ou difusão de código malicioso.
Inserir ou difundir código malicioso em dispositivo de comunicação, rede de
computadores, ou sistema informatizado.
Pena - reclusão, de 1 (um) a 3 (três) anos, e multa.
Esse crime comete quem difunde vírus ou o insere em rede de computadores. Note-se
que esse crime, tal como os demais, não existe em modalidade culposa, apenas dolosa, o que
quer dizer que aquele que recebe o vírus e sem perceber passa a distribuí-los, não comete
crime (não existe dolo na conduta).
18
Parágrafo 1º - Se do crime resulta destruição, inutilização, deterioração, alteração,
dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de
dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:
Pena - reclusão, de 2(dois) a 4 (quatro) anos, e multa.
Parágrafo 2º - Se o agente se vale de nome falso ou da utilização de identidade de
terceiros para a prática do crime, a pena é aumentada de sexta parte".
19
3 Pesquisa de Segurança da Informação
A modulo technology for risk management :
Fundada em 1985 a modulo é especializada em tecnologia para gestão de risco.
250 profissionais permanentemente atualizados.
Pesquisa realizada com cerca de 600 profissionais atuantes na área de segurança e
tecnologia da informação.
Pesquisa nos seguintes setores:
Visão por segmento
Organização do governo são as menos quantificadas, 56% não sabem dizer em
quanto ficou o prejuízo, no comercio 26% no financeiro 24% e no industrial 36%
Quando identificado o problema, no setor financeiro os causadores são os
fraudadores já no setor industrial são os ex-funcionários. O setor financeiro é o que mais
tomam providencia legal e possuem planejamento de segurança.
20
Problemas que geram perdas financeiras.
*= 54%
devido a falha
na política de
segurança,
falta de
conscientização ou treinamento dos colaboradores.
Estruturação da área de segurança da informação
21
Empresas com CSO
• Financeiro 27%
• Telecomunicações 23%
Empresas com departamento de segurança.
• Financeiro 56%
• Telecomunicações 50%
• Comercio 39%
• Serviços 35%
Nível de conhecimento sobre normas e legislação.
• Possui conhecimento 43%
• Possui pouco conhecimento 25%
• Possui Conhecimento mas não adotou medidas 24%
• Não possui 8%
Empresas que possuem procedimento metodologia formalizado
• 65% Não possuem e 35% possuem
Valor gasto com capacitação de funcionários:
• 29% até R$1000,00
• 19% até R$2000,00
• 28% acima de R$5000,00
• 24% até R$5000,00
Profissionais da equipe que possuem certificação:
45% nenhuma
22
21% MCSO-Modulo Certified Security Officer ( exame R$500,00 , Curso R$2850,00)
14% Outros
9% CISSP-Certified Informat System security Professional. Mantida pelo (ISC)²
4% CISM-Certified Information Security Manager®, criado pela ISACA
7% CISA- Certified Information System Auditor
Principais Medidas
3.1 Origem dos eventos de segurança da Informação
As origens dos problemas de segurança podem ser dividida em três categorias
conforme tabela.
Natural Fenômenos MeteorológicosAcidental Erros de Usuários ou Falhas nos SistemasIntencional Invasões,Terrorismo Ideologicos ou
criminosoEspionagem e Inteligência competitivaChantagem e extorsão
23
4 Normas
As normas e metodologias são as melhores práticas em segurança da informação e
governança de TI, reconhecidas mundialmente e bastante utilizadas. A busca por padrões de
mercado e as dificuldades das áreas de TI, tornam essas normas e metodologias necessárias
para que as empresas possam sustentar seus próprios modelos e estruturas de controle, já que
as transformações tecnológicas exigem constantes atualizações desses modelos.
Atualmente a tecnologia da informação está enraizada em todas as empresas, da mais
simple a mais complexa, passando por todos os tamnhos, ajudando a dirigir os negócios. O
sucesso da empresa depende da alta disponibilidade das informações, da segurança e
desempenho dos serviços de TI. Esta dependência foi quem determinou o desenvolvimento
de normas que propõem práticas para implantação de sistemas de gestão dos serviços de TI
4.1 Histórico
4.1.1 ABNT ISO/IEC 27002 / 17799
• ISO/IEC 27002:2005- Information technology -- Security techniques -- Code
of practice for information security management
• ISO/IEC- 17799- Information Technology- Security tec- Code of Pratice for
Inf. Security Management.
São provavelmente as mais conhecidas normas sobre segurança da informação, seu
surgimento teve início com a preocupação em gerar uma série de procedimentos sobre
segurança da informação na Inglaterra, mais especificamnete no DTI- Department of Trade
and Industry.
Um grupo criado em 1987 tinha a missão de criar um conjunto de critérios que
pudesse proporcionar a validação da segurança da informação e um código de boas praticas
que orientasse na implementação das ações, este trabalho gerou uma norma em 1989.
24
Este código orientava na aplicação das ações de segurança da informação, mas ainda
era difícil validar essas ações ou assegurar que estavam sendo realizadas. Para isso foi criada
uma lista de verificações, surgindo assim as normas:
• BS-7799-1
• BS-7799-2
Inúmeras melhorias foram implementadas e passou a ser utilizada fora da Inglaterra,
contribuindo com a ISO ( International Organization for Standard ) . Em 2000 a BS-7799-1
foi lançada como ISO 17.799 Information technology -- Security techniques -- Code of
practice for information security management
Porém a segunda parte, ou seja a BS-7799-2 não foi transformada em ISO, gerando
um demanda por normas internacionais.
A British Standard adequou a BS-7799-2 aos padrões ISO (9000 e 14000),passando a
ser usada como norma para certificação de segurança da informação em 2002. Formando um
instrumento para orientação na implantação de um Sistema de Gestão de segurança da
informação (SGSI).
Em 2007 a ISO 17799 foi renomeada para ISO 27.002 denominada:
• ABNT-NBR ISSO/IEC 27002 Tecnologia da informação – Técnicas de
segurança – Código de Prática para a gestão da segurança da informação.
Esta norma oferece diretrizes e princípios gerais para iniciar implementar e manter a
melhor Gestão de SI e as definições básicas do que é a Segurança da Informação, o sua
necessidade e como estabelecer os requisitos de segurança.
4.1.2 ISO/IEC 27001 – SGSI - Sistemas de Gestão de Segurança da
Informação (ISMS - Information Security Management System)
E uma norma internacional utilizada como padrão para os sistemas de gestão
de segurança da informação, foi publicada pelo International Organization for
Standardization (ISO) e pelo International Electrotechnical Commision (IEC)
25
A Norma 27001 foi idealizada para cobrir todos os tipos de organizações , pois seus
requisitos são genéricos.
O Sistema de Gestão de Segurança da Informação (SGSI), define como serão
reduzidos os riscos para segurança da informação através da aplicação planejada de
objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas.
Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma cadeia
de decisões tomadas para gerenciar a segurança da informação, incluindo pessoas, infra-
estrutura e negócios, diminuindo os riscos a um nível aceitável, ao mesmo tempo que
mantém em ponto de vista os objetivos do negócio e as expectativas do cliente.
Um SGSI é um sistema de gestão análogo a um Sistema da Qualidade e como tal é
passível de certificação. Esta certificação se dá a partir das evidências (documentos e
práticas) do conjunto de controles implantados e que devem ser continuamente executados e
devidamente registrados.
Segundo a NBR 27001(2006), o SGSI é projetado para certificar a seleção de
controles de segurança apropriados e ajustados para proteger os ativos de informação, o
modelo conhecido como "Plan-Do-Check-Act” (PDCA), é aplicado para estruturar todos os
processos do SGSI. O sistema de gestão da segurança da informação consiste na parte do
sistema de gestão global, fundamentada na abordagem de riscos do negócio, para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a
segurança da informação.
26
Durante o processo de estabelecimento e gerenciamento a organização deve:
Definir o escopo e os limites do SGSI nos termos das características do negócio da
organização, sua localização, ativos e tecnologia. A definição do escopo inclui o
levantamento dos ativos que serão envolvidos, tais como: Equipamentos; sistemas; nome da
organização; estrutura de comunicação (Internet, correio eletrônico); pessoas; serviços; infra-
estrutura de rede interna e externa e classificação da informação.
À medida que evolui, o projeto deve ser revisado e detalhado (ciclo PDCA). Esta
revisão é baseada no escopo do projeto, pois a declaração do escopo é um documento que
contém a base para as futuras decisões. A delimitação do escopo é extremamente necessária,
pois quanto maior o escopo maior a complexidade do SGSI a ser implementado.
4.1.3 ISO/IEC 27003 – Guia de Implementação do Sistema de
Gerenciamento de Segurança da Informação.
Denominada como: ISO/IEC 27003:2010 Information technology — Security
techniques — Information security management system implementation guidance.
Foi publicada no início de fevereiro 2010, a fim de fornecer um guia para a
implementação de controles relacionados com a gestão de um SGSI, permitindo fazer um
planejamento claro sobre como implementar e definir uma estratégias segurança relacionada
com o negócio de uma empresa de acordo com os requisitos da ISO 27001.
27
A sequência mostrada na figura a seguir mostra um guia baseado na 27003 com as
principais fases para implementação de um sistema de gestão de segurança da informação.
4.1.4 ISO / IEC 27004 Tecnologia da informação - Técnicas de
segurança - Gestão de segurança da informação - Medição
Esta norma abrange medidas de gestão da segurança da informaçã, geralmente
conhecido como métricas de segurança. A norma foi publicada em dezembro de 2009.
A norma se destina a ajudar as organizações a medir, gerar relatório sobre a
sistemática de segurança da informação e portanto, melhorar a eficácia dos seus Sistemas de
Gestão de Segurança da Informação.
Oferece orientação sobre o desenvolvimento e a utilização de medidas e de medição,
a fim de avaliar a eficácia de um sistema de gestão implementado de segurança da
informação (SGSI) e controles ou grupos de controles, como especificado na ISO/IEC
27001. Isso pode incluir a política, a informação de gestão de riscos de segurança, objetivos
de controle, processos e procedimentos para apoiar sua revisão, ajudando a determinar se
qualquer um dos processos do SGSI ou controles precisam ser mudados ou melhorados.
BS ISO / IEC 27004 dá as seguintes recomendações sobre as atividades como base
para uma organização cumprir os requisitos de medição especificadas na norma ISO/IEC
27001:
28
1. Medidas de desenvolvimento (isto é, medidas básicas, medidas derivadas e
indicadores
2. Implementação e operação de um Programa de Medição de Segurança da
Informação
3. Coletar e analisar dados
4. Desenvolvimento de resultados de medição
5. Comunicação dos resultados de medição desenvolvidos para as partes
interessadas
6. Utilizando os resultados de medição, fatores que contribuem para ISMS
decisões relacionadas
7. Utilizando os resultados de medição para identificar as necessidades para
melhorar o SGSI implementado incluindo seu escopo, políticas, objetivos,
controles, processos e procedimentos
8. Facilitar a melhoria contínua do Programa de Medição de Segurança da
Informação.
Um dos fatores que irão impactar a capacidade da organização para alcançar a
medição é o seu tamanho. Geralmente o tamanho e a complexidade do negócio, em
combinação com a importância da segurança da informação afetam o grau de medida
necessária, tanto em termos do número de medidas a serem selecionados e a frequência da
recolha e análise de dados. Para as PME (Pequenas e Médias Empresas), o programa de
medição menos abrangente de segurança serão suficientes, enquanto que as grandes
empresas irão implementar e operar vários programas de medição de Segurança da
Informação.
A única informação do Programa de Medição de Segurança pode ser suficiente para
uma organização de pequeno porte, enquanto que para as grandes empresas à necessidade de
vários programas de medição de Segurança da Informação.
29
A orientação fornecida por esta Norma irá resultar na produção de documentação que
irá contribuir para demonstrar que a eficácia de controle está sendo medido e avaliado.
Esta norma é bem detalhada em termos de mecânica de processos de medição. Ela
laboriosamente descreve como coletar "medidas básicas", a agregação de uso e cálculos
matemáticos para gerar "medidas derivadas", e então aplicar técnicas de análise e critérios de
decisão para criar "indicadores", utilizada para ajudar no SGSI. Infelizmente, ele não oferece
muita orientação sobre quais medidas básicas, medidas derivadas ou indicadores pode
realmente valer a pena em todo esse esforço.
Embora seja consensual que a orientação pragmática sobre métricas de segurança é
extremamente necessário pela profissão e que complementam os padrões ISO27k restantes,
este foi um projeto longo e difícil para a ISO / IEC JTC1/SC27. Em parte, isso ocorre porque
o campo de métricas de segurança é bastante imaturo. Como com a norma ISO / IEC 27003,
centenas de páginas de comentários dos organismos nacionais foram recebidos ainda na fase
final FCD e poucos foram resolvidas antes da publicação. Parece provável que muitos
comentários terão de ser revistos em uma revisão pós-publicação da norma, embora isso não
está planejado ...
4.1.5 ISO / IEC 27005 Tecnologia da informação – Técnicas de
Segurança – Gerenciamento de Risco em Segurança da Informação
Conhecida internacionalmente como ISO/IEC 27005 Information technology –
Security Techniques - Information security risk management, esta norma suporta os
conceitos gerais especificados na norma ISO/IEC 27001 e é projetado para auxiliar a
implementação satisfatória de segurança da informação com base em uma abordagem de
gestão de risco, esta norma ajuda a organização a definir seu modelo de gerenciamento de
risco.
É aplicável a todos os tipos de organizações (por exemplo, empresas comerciais,
agências governamentais, organizações sem fins lucrativos) que pretendam gerir os riscos
que poderiam comprometer a segurança de informação da organização.
Trata-se de um padrão pesado, embora a parte principal tem apenas 24 páginas,
sendo o resto em sua maioria, anexos com exemplos e informações adicionais para os
usuários.
30
Embora a norma defina risco como "uma combinação das conseqüências que se
seguem derivadas da ocojrrência de um evento indesejado e da probabilidade de ocorrência
do evento", o processo de análise de risco descritos na norma indica a necessidade de
identificar os ativos de informação em risco, as ameaças potenciais ou fontes de ameaças, as
vulnerabilidades potenciais e as potenciais consequências (impactos), se os riscos se
materializar. Exemplos de ameaças, vulnerabilidades e impactos estão tabulados nos anexos,
embora incompleta, estes podem ser úteis para os riscos relativos de ativos de informação
sob avaliação.
É clara a verificação que sistemas de segurança automatizados ferramentas de
avaliação de vulnerabilidade são insuficientes para a análise de risco, sem levar em conta
outras vulnerabilidades além das ameaças e impactos: a simples existência de certas
vulnerabilidades não significa necessariamente que sua organização enfrenta riscos
inaceitáveis se as ameaças correspondentes ou impactos de negócios são insignificantes em
determinadas situação particulares.
A norma inclui uma seção e anexo sobre a definição do âmbito e limites da gestão de
riscos de segurança que deve ser o foco do SGSI.
A norma não especifica, recomenda ou mesmo nomeia um método específico,
sistemático e rigoroso de análise de riscos até mesmo a criação do plano de gerenciamento
de riscos.
O padrão deliberadamente permanece agnóstico2 sobre os métodos de avaliação
quantitativa e qualitativa de risco, essencialmente, recomendando que os usuários escolham
os métodos que melhor lhes convêm. Observe o plural - 'métodos' - o que implica que
diferentes métodos podem ser utilizados, uma avaliação de risco de alto nível pode ser
seguida por um aprofundamento na análise de risco nas áreas de alto risco. Os prós e contras
dos métodos quantitativos de avaliação de risco são um pouco confuso nesta norma.
2 Questões metafísicas inacessíveis ao espírito humano por não serem passíveis de análise pela razão.
31
4.1.6 ISO / IEC 27006 A tecnologia da informação - Técnicas de
segurança – Requisitos para organismos que prestem serviços de
auditoria e certificação de sistemas de informação de gestão de
segurança
Esta norma especifica os requisitos e fornece orientação para organismos que
prestam auditoria e certificação de um sistema de gestão de segurança da informação (SGSI),
além dos requisitos contidos na ISO/IEC 27001. É destinada principalmente a apoiar a
acreditação de organismos de certificação que fornecem certificação em SGSI, sendo que as
exigências contidas nesta norma precisam ser demonstradas em termos de competência e
confiabilidade por qualquer organismo de certificação.
Estas certificações incluindo reuniões de informação, reuniões de planejamento,
análise de documentos e acompanhamento de itens que não estão em conformidades com a
norma. Organizar e participar como palestrante em cursos de formação, desde que, estes
cursos digam respeito à gestão da segurança da informação e sistemas de gestão relacionados
a auditoria. Os organismos de certificação devem limitar-se à prestação de informações
genéricas e conselhos que estão disponíveis no domínio público.
As atividades de auditoria têm o único objetivo de determinar uma certificação, no
entanto, tais atividades não deve resultar na prestação de recomendações ou conselhos, e sim
agregar valor durante as auditorias de certificação e visitas de vigilância, através da
identificação de oportunidades de melhoria sem recomendar soluções específicas.
O organismo de certificação deve ter critérios para a formação de equipes de
auditoria que garante:
• O conhecimento do padrão do SGSI e outros documentos normativos pertinentes;
• A compreensão da segurança da informação;
• A compreensão da avaliação e gestão de riscos a partir da perspectiva de negócios;
• Conhecimento técnico da atividade a ser auditada;
• Conhecimento geral dos requisitos regulamentares pertinentes para ISMSs;
32
• Conhecimento de sistemas de gestão;
• A compreensão dos princípios de auditoria com base na ISO 19011;
• Conhecimento do SGSI revisão eficácia e avaliação da eficácia de controle.
Mas especificamente esta norma informa as características necessárias para a um
profissional ou empresa que fornece certificação do SGSI, incluindo uma visão das
competências dos auditores.
33
5 Classificação da informação
5.1 Introdução
O processo de classificação da informação consiste em identificar quais são os níveis
de proteção que as informações demandam e estabelecer classes e formas de identificá-las.
Além de determinar os controles de proteção necessários a cada uma delas
O fato de algumas informações demandarem mais proteções que outras cria dois
cenários indesejáveis que as organizações buscam evitar:
Informações sensíveis ou críticas sem níveis de proteção adequado, geralmente
incidentes de segurança que trazem prejuízos e comprometem a eficácia das operações;
Informações que não precisam de proteção, sendo protegidas de forma excessiva,
consumindo recursos de forma desnecessária e direcionando erroneamente o escasso
orçamento de segurança
5.2 Proteção
Quando adotamos uma visão de proteção focada unicamente nas ameaças e nas
vulnerabilidades que um local o um sistema possuem, corremos um grande risco de não
estarmos protegendo a informação mais criticas e sensíveis ao longo de todo o seu ciclo de
vida. Esses ciclos possuem diversas fases, desde a criação e o descarte, passando pela
manipulação, processamento, armazenamento etc. A melhor forma de protegermos as
informações é justamente pela adoção de uma abordagem que analisa as demandas de
segurança pela ótica do próprio ativo e suas necessidades. Dessa forma, podemos combinar
diversos mecanismos e obtermos níveis de proteção uniformes independentes da forma como
a informação está sendo usada
34
5.3 Economia
Quando maior o nível de proteção que um controle oferece. Maiores são os custos
financeiros em termos de aquisição e manutenção. Controles costumam trazer custos
indiretos como perda de produtividade e outras inconveniências.
Benefícios
O Processo de classificação da Informação traz diversos benefícios para uma
organização. Dos benefícios mais tangíveis e mensuráveis podemos dizer :
5.3.1 Conscientização
O Programa de Classificação da Informação requer o envolvimento de praticamente
de todas as pessoas dentro da organização. Esse envolvimento faz com que as pessoas
tenham uma dimensão maior das dificuldades de proteger os ativos de informação e da
infinidade de situações que podem comprometer essa proteção.
Responsabilidades – A Classificação da Informação necessita de uma divisão e
atribuição de responsabilidades para poder trabalhar. Essas responsabilidades dizem a
respeito a quem deve classificar, quem deve proteger e que cuidados os usuários devem
tomar , entre outras coisas. A definição desses papeis distribui o peso da proteção entre os
colaboradores de uma organização, fazendo com que todos fiquem responsáveis por ela.
Níveis de proteção – A atribuição de responsabilidades e melhora da consciência dos
colaboradores faz com que eles mesmos tragam situações que demandam proteção e que ,
muitas vezes, fogem aos olhos daqueles que devem se responsabilizar pela proteção.
Ninguém conhece melhor o fluxo das informações que as pessoas que fazem uso delas
Tomadas de decisões – Quando as informações são bem categorizados no ponto de
vista da segurança, o processo de tomada de decisões, sejam relacionadas a Gestão de SI ou
a própria organização, é extremamente beneficiada.
Uso dos recursos – Recursos desperdiçado em um controle normalmente fazem falta
em um outro lugar no qual, a organização terá uma situação inversa, isto é , falta de controle
de informações criticas que estão armazenadas junto com outras que não precisam de
proteção.
35
• Exemplos
As informações são classificadas mediante sua necessidade de sigilo. Porém uma
organização também pode elaborar procedimentos para classificá-las perante suas
necessidades de integridades e disponibilidades
Decreto 4.553 – Casa Cível níveis de classificação em nível federal
Cada nível de classificação é criado visando a um tipo de informação, temos que
desenvolver critérios para avaliar uma informação
Exemplos de Rótulos
Governo Brasileiro Empresas Privadas 3
Ultra-Secreto Irrestrita
Secreto Protegida
Confidencial Confidencial
Reservado Restrita
Irrestrita: Informação Pública (incluindo informações consideradas públicas pela
legislação, ou através de uma política de divulgação de rotina). Disponível ao público, todos
os funcionários, empreiteiros, subempreiteiros e agentes.
Protegida: Informação que é sensível para a empresa e precisa de ser protegida.
Acesso autorizado (para funcionários, fornecedores, subcontratados e agentes). É uma
informação necessária para realizar uma função ou trabalho: "need-to-know".
Confidencial: Informação mais sensível que está disponível apenas para uma função
específica ou grupo específico de pessoas.
Restringido: Informação que é altamente sensível e está disponível apenas para
indivíduos específicos (ou posições específicas).
3 Este padrão é utilizado pelo Public Sector CIO Council (PSCIOC, 2004) do Canadá.
36
5.4 Conceitos
5.4.1 Política de Classificação da Informação
A Classificação da Informação deve ser constituída por uma política , nesse caso a
Política de Classificação da informação é o nome utilizado para refenciar o conjunto de
normas , procedimento e instruções existente na política de Segurança da Informação
Por meio do uso dessa política é que definimos quais os tipos de classificação
existentes, com seus respectivos critérios de avaliação e proteção, além das
responsabilidades associados ao processo como um todo. O conjunto de documentos que tem
apoio direto de alta direção da organização , permitira mostrar comprometimento e definirá
todo o funcionamento das atividades relacionadas à Classificação da informação
Need-to-Know – Define a necessidade que uma pessoa possui , devido à rotina diária
de trabalho e desempenho de suas funções, de acessar determinadas informações. Essa
terminologia foi criado no ambiente militar / governo, podemos utiliza-las para fazer
referência . A necessidade que usuários de uma organização possuem de acessar certas
informações. Esse conceito é fundamental ara entendermos Least privilege
Least Privilege – São todas as pessoas devem ter todos os direitos de acesso
necessários para o desempenho de suas funções . Porém , nada mais que o mínimo deve ser
permitido , Quando maior a exposição maiores serão os riscos associados a ela. O conceito
de need-to-know , postulando que o conceito de privilégio mínimo é garantir a todos os
usuários que não tenham acesso a nada que não faça parte de seu nedd-to-know.
5.4.2 Classificação, Desclassificação e Reclassificação.
Os dois procedimentos básicos da Classificação da Informações são a Classificação e
a Desclassificação das informações
Classificações – Atribuir um nível de classificação a um informação , Faz com que as
informações passe a se sujeitar às proteções especificas pelo nível de classificação
escolhido . Algumas organizações optam por criar um nível de classificação onde, a partir da
implementação do progrma de CI, todas as informações da organização passam a se
37
enquadrar nesse nível. Não existe o estado “ não-classificado” , eliminando o processo de
classificaçõe e desclassificação. Nesse caso o procedimento de reclassificação é permitido.
Reclassificação – Alteração no nível classificação de um informação . São nível de
proteção mais baixa, de forma a evitar o comprometimento da confidencialidade
Desclassificação – Remoção do nível de proteção. Aplicável apenas quando o estado
“não-classificado” for previsto . Pode ser feita de forma automática, o prazo cairia de alguns
anos para o níveis mais baixos de classificação até décadas para os mais altos no setor
governamental
5.4.3 Papéis de Responsabilidades
Uma das principais funções da Classificação da informação é definir e atribuir
responsabilidades relacionadas a segurança diversas pessoas dentro de uma organização .
Esses papeis e responsabilidades variam de acordo com a relação que a pessoa tem com a
informação em questão.
Proprietário da Informação – É responsabilidade do proprietário atribuir os níveis de
classificação que uma informação demanda. Dessa forma ele também será participado do
processo de escolha dos níveis de proteção e será também exposto ao processo de balancear
as necessidades de proteção, com a facilidade de uso e o orçamento disponível para se
investir em controles.
Exemplo : O papel de dono normalmente deve ser exercido por um gerente da área
cujas informações são de sua responsabilidade direta
Umas das responsabilidades do dono são a classificação /reclassificação
/desclassificação das informações, definir requisitos de proteção para cada nível de
classificação,, autorizar pedidos de acesso a informações de sua propriedade e autorizar a
divulgação de informações
Custodiante – É aquele que zela pelo armazenamento e preservação de informações
que não lhe pertencem Exemplos : Administradores de Banco de Dados , Servidores de
Arquivos ou cofres para armazenamento de ativos valiosos .
Existe dois tipos de Custodiante :
38
a) O proprietário de Aplicação – Um profissional de perfil técnico responsável pela
administração e funcionamento de algum sistema , cabe a ele protegê-las e garantir que
enquanto eles se encontrem sob sua responsabilidade os requisitos da classificação em
termos de proteção estejam sendo obedecidos.
b) O proprietário do Processo - É a pessoa responsável pelo processo de negócio, um
exemplo é um processo de emissão de nota fiscal , que são informações sendo geradas e
processadas ao longo do seu funcionamento.
Equipe de segurança – é o ponto de apoio das unidades de negócios de forma de
desenvolver, implementar e monitorar estratégias de segurança que atendem aos objetivos da
organização, responsável pela avaliação e seleção de controles apropriados para oferecer as
informações os níveis de proteção exigidos por cada classificação . Esse equipe não pode
assumir a total responsabilidade pela proteção, já que deve ser compartilhada por todos.
Cabe ela sim selecionar os melhores controles, conscientizar os usuários a respeito do seu
uso, administrá-los e monitorá-las, além de verificar se todos na organização colaboram com
as medidas.
Gerente de Usuários – Responde pela ação de grupos de usuários de sua
responsabilidade, além dos funcionários reponde pela ação dos visitantes, prestadores de
serviços que fazem o uso de informações da organização
Desempenha outro papel fundamental que é a solicitação, transferência e revogação
de IDs de acesso para os seus funcionários.
Usuário Final – Pessoal que faz uso constante das informações e o que mais tem
contato com elas , é o responsável pelo seguimento das recomendações de segurança.
39