aula 11 segurança em redes final
DESCRIPTION
Segurança em Redes de ComputadoresTRANSCRIPT
Disciplina: SEGURANÇA EM REDES DE COMPUTADORES
Conteudista: Luis Claudio dos Santos
AULA 11
A NORMA ISO/IEC 27002
Ao final desta aula você deverá ser capaz de:
1) Distinguir o papel da norma ISO/IEC 27001 e ISO/IEC 27002 durante a implantação de
processos que visam atender às exigências de uma auditoria de certificação ISO/IEC
27001.
2) Definir a ordem de implantação, requisitos, objetivos de controle e controles do SGSI.
3) Selecionar objetivos de controle e controles relevantes para a sua empresa.
Pré-requisitos
Conhecimentos básicos de segurança da informação (confidencialidade, integridade,
disponibilidade, autenticidade, não repúdio etc.).
1. Visão geral da Norma ISO/IEC 27002
A Norma ISO/IEC 27002 recebe o nome oficial Tecnologia da informação – Técnicas de
segurança – Sistemas de gerenciamento da segurança da informação – Código de práticas (do
inglês, Information technology - Security techniques - Information security management
systems - Code of practice). Ou seja, trata-se da norma que contém o código de práticas para
estabelecer, implantar, operar, monitorar, analisar, manter e melhorar o sistema de
gerenciamento da segurança da informação (SGSI).
O conteúdo da ISO/IEC 27002, apesar de não ser normativo, é essencial para a
implementação de processos que irão auxiliar a empresa a concretizar o SGSI. Seu texto
assegura a seleção de controles adequados para atingir os objetivos escolhidos pela
organização. Grosso modo, podemos dizer que, enquanto a ISO/IEC 27001 diz o que deve ser
feito na forma de requisitos, a ISO/IEC 27002 ajuda a definir como fazer.
Como você viu na Aula 10, esta norma se originou de uma norma britânica, a BS 7799-1.
No ano 2000, a ISO havia lançado a norma ISO/IEC 17799:2000, que continha um código de
práticas para o SGSI baseado na BS 7799-1. Esta versão de 2000 foi profundamente revisada
em 2005 e gerou a ISO/IEC 17799:2005. Ainda no ano de 2005, esta norma foi “rebatizada”
para ISO/IEC 27002, mas, apesar da mudança de nome, seu conteúdo permaneceu o mesmo.
Figura 11.1: Evolução histórica da norma ISO/IEC 27002.
Nesta aula vamos estudar o código de práticas do SGSI em detalhes.
2. Uma norma mais focada no negócio
Uma das coisas que podemos notar quando acompanhamos a evolução dos textos das
normas que tratam de segurança da informação é o fato de que a preocupação com o
alinhamento entre o negócio e a Tecnologia da Informação (TI) é cada vez maior. Muitos dos
conceitos passaram, ao longo do tempo, a ser escritos de forma mais “negocial”.
Por exemplo, a própria definição de segurança da informação. Antes ela era definida como
a “preservação da confidencialidade, integridade e disponibilidade da informação...”. Agora,
segurança da informação é definida como “a proteção da informação de várias ameaças com o
objetivo de garantir”:
o Continuidade do negócio;
o Minimização dos riscos;
o Maximização do retorno sobre o investimento;
o Maximização das oportunidades de negócio.
Vale ressaltar que o sistema de gestão da segurança da informação é um sistema que deve
ser integrado a todos os outros sistemas da organização. Ou seja, todos os processos do SGSI
devem ser implementados em conjunto com os outros processos da empresa. A
implementação do SGSI deve ser feita na forma de processos, seguindo a filosofia de melhoria
contínua definida pelo ciclo PDCA.
Figura 11.2: A ISO/IEC 27002 ajuda a definir os requisitos para SGSI com base em objetivos de negócio.
Fonte: http://www.andreklunk.com.br/2010/10/gerenciando-riscos-na-rea-de-ti/.
[Ilustração, favor usar esta imagem ou gerar qualquer outra parecida.]
• Requisitos de segurança
Outro momento em que fica claro o foco que esta norma tem com o negócio é
quando o seu texto trata dos requisitos para o SGSI. Na prática, o sistema de
gerenciamento da segurança da informação deve ser implementado para atender
aos requisitos de segurança. E de onde vêm tais requisitos? Segundo a norma, eles
vêm de três fontes principais:
o Da avaliação e da análise de riscos
Conforme estudamos na Aula 10, a avaliação do risco envolve a
“comparação dos riscos estimados com critérios predefinidos, a fim de
determinar o seu grau de criticidade”. E a análise do risco envolve, além
do processo de avaliação, a identificação de possíveis estratégias de
resposta (medidas para mitigar, transferir, evitar ou aceitar riscos) etc.
o Da legislação vigente
A legislação integra leis, regulamentos, estatutos, contratos ou quaisquer
outros documentos formais aplicáveis às relações de negócio da empresa
que possam originar requisitos para o SGSI. Além disso, dependendo da
área de atuação da empresa, legislações e tratados internacionais também
podem ser fonte de requisitos para o SGSI.
o Dos princípios, objetivos e requisitos de negócio
O plano de negócio da empresa, suas políticas, sua visão, missão e valores
podem ser fonte de requisitos para o SGSI. Por exemplo, se a visão da
empresa é se tornar “referência em desenvolvimento de softwares de
missão crítica”, isso diz muito com relação a como a segurança da
informação deve ser tratada na empresa.
• Objetivos de controle e controles
Os requisitos do SGSI são atingidos a partir da implementação de controles. Os
controles da ISO/IEC 27001 estão divididos em 11 seções. Cada seção possui um
ou mais objetivos de controle que, por sua vez, possuem um ou mais controles
associados. No total, há 39 objetivos de controle e 133 controles.
Nome da seção Objetivos de controle
Controle
Política de segurança 1 2
Organizando a segurança da informação 2 11
Gestão de ativos 2 5
Segurança em recursos humanos 3 9
Segurança física e do ambiente 2 13
Gerenciamento das operações e comunicações 10 32
Controle de acessos 7 25
Aquisição, desenvolvimento e manutenção de sistemas de informação
6 16
Gestão de incidentes de segurança da informação 2 5
Gestão da continuidade do negócio 1 5
Conformidade 3 10
Total 39 133 Tabela 11.1: Divisão quantitativa dos objetivos de controle e controles entre as seções da
Norma ISO/IEC 27001.
Os objetivos de controle (aquilo que se quer atingir com o controle) estão
associados aos requisitos do SGSI. Ou seja, a partir da definição dos requisitos para
o SGSI, a organização poderá definir quais são os objetivos de controle e controles
aplicáveis. Lembre-se de que, em todos os casos, a declaração da aplicabilidade
deve contemplar todos os objetivos e todos os controles, sempre justificando o
porquê da não aplicação de algum deles.
• Controles essenciais
A norma ISO/IEC 27002 define controles que ela chama de essenciais. São eles:
o Proteção de dados e privacidade de informações pessoais;
o Proteção de registros organizacionais;
o Direitos de propriedade intelectual.
• Controles considerados práticas
A norma ISO/IEC 27002 define controles que ela chama de práticas para a
segurança da informação. São eles:
o Documento da política de segurança da informação;
o Atribuição de responsabilidades para a segurança da informação;
o Conscientização, educação e treinamento em segurança da informação;
o Processamento correto de aplicações;
o Gestão de vulnerabilidades técnicas;
o Gestão da continuidade do negócio;
o Gestão de incidentes de segurança da informação e melhorias.
É comum as empresas implementarem controles considerados práticas como
ponto de partida para o estabelecimento do SGSI. É importante deixar claro que a
norma não faz nenhuma comparação entre a importância dos controles essenciais
e dos controles considerados práticas. Ou seja, a implementação de controles
continua sendo definida a partir do processo de análise e avaliação de risco da
empresa.
Tanto os controles considerados essenciais quanto os controles considerados
práticas serão estudados em mais detalhes a seguir, quando estudarmos a seção
da norma dentro da qual eles estão.
Início da Atividade
Atividade 1 - Objetivo 01
A sua empresa está decidindo que caminho seguir durante a implantação de processos que
visam atender às exigências de uma auditoria de certificação ISO/IEC 27001. Até o momento,
as equipes estão procurando desenvolver processos novos e amadurecer processos existentes
com base apenas no conhecimento da ISO/IEC 27001. O que você sugeriria para aumentar a
velocidade desse amadurecimento?
Quantidade de Linhas: deixar 08 linhas.
Resposta
A empresa deve usar também a norma ISO/IEC 27002, pois essa norma contém dicas de
controles que, se seguidos, farão com que os processos da empresa se tornem mais eficazes e
eficientes. Apesar de a norma ISO/IEC 27001 possuir uma lista de todos os controles em seu
Anexo A, ela não os detalha nem os explica. O conteúdo da norma ISO 27002 é mais rico em
informação no que diz respeito ao conhecimento necessário para a construção de processos.
Vale lembrar que o controle é uma ação a ser tomada para atingir um objetivo. O processo é
composto por várias ações encadeadas de maneira predefinida que podem cumprir um ou
mais controles da norma.
Fim da Atividade
3. Escolha dos controles
Como você viu nesta aula, a escolha dos controles acontece durante os processos de
análise e avaliação do risco. A norma ISO/IEC 27005 contém detalhes sobre como esses
processos podem ser executados na organização. A rigor, após a execução desses processos, a
empresa deverá possuir:
o Lista de ativos relevantes para o SGSI;
o Lista dos riscos identificados para cada ativo;
o Priorização dos riscos com base na sua criticidade;
o Critérios para aceitação de riscos;
o Critérios para tratamento de riscos secundários;
o Critérios para tratamento de riscos residuais.
Para que possam ser realizadas de forma eficaz, a análise e a avaliação de riscos precisam
acontecer dentro de um escopo que seja muito bem definido dentro da organização. O escopo
desse processo pode ser a organização inteira, um departamento na organização, um sistema
ou até mesmo partes de um sistema.
Note que esses resultados direcionarão todo o gerenciamento dos riscos, assim como a
escolha dos objetivos de controle e controles necessários ao SGSI. Não se trata de escolher
quais requisitos da ISO/IEC 27001 serão atendidos, pois, como você viu na aula anterior, todos
os requisitos explicitados nas seções de 4 a 8 daquela norma devem ser atendidos. O conteúdo
da ISO/IEC 27002, assunto desta aula, contém objetivos de controle e controles associados, ou
seja, tratam de como a empresa pode atender aos requisitos. Porém, nada impede que os
requisitos da norma de certificação sejam atendidos de outra forma pela empresa. Nesse caso,
como já vimos, a declaração de aplicabilidade deverá ser usada para justificar cada objetivo de
controle considerado não aplicável pela organização.
A partir do próximo item, vamos estudar as seções que tratam, de fato, dos objetivos de
controle e controles que mencionamos na tabela 11.1. Na norma ISO/IEC 27002, isso começa a
acontecer a partir da seção 5. As seções anteriores são introdutórias e tratam de assuntos
semelhantes aos que são apresentados nas primeiras seções da norma ISO/IEC 27001.
Vale ressaltar que em nenhum momento a ISO/IEC 27002 determina uma ordem de
importância para os objetivos de controle e seus respectivos controles. Portanto, a ordem em
que as seções são apresentadas na norma não tem relação com a importância maior ou menor
de um controle com relação ao outro.
Início da Atividade
Atividade 2 - Objetivo 02
Alguns colegas de sua empresa estão discutindo a possibilidade de implementar um SGSI na
organização. Há muitas dúvidas sobre:
o Quais requisitos devem ser atendidos;
o A sequência de implementação dos controles e dos objetivos de controle; e
o Quais normas são relevantes.
Como você ajudaria nessa discussão?
Quantidade de Linhas: deixar 08 linhas.
Resposta
Você deve deixar claro que só existe uma norma relevante para o processo de certificação, que
é a norma ISO/IEC 27001. Ela contém os requisitos para o SGSI e todos eles devem ser
atendidos pela organização que aspira à certificação. Além disso, com relação aos objetivos de
controle e controles, é importante lembrar que a ISO/IEC 27002 é mais detalhada e pode
ajudar a empresa a decidir a ordem de implementação dos controles. Apesar disso, em
nenhum momento esta norma estabelece uma ordem para a implementação, pois isso varia
de empresa para empresa. Há vários “caminhos” que podem ser adotados na prática, mas isso
se deve a escolhas individuais.
Fim da Atividade
4. Política de segurança da informação
A seção 5 da ISO/IEC27002 possui apenas 1 objetivo de controle e 2 controles tratando da
política de segurança da informação. O resultado da implementação dos controles desta seção
é a garantia do envolvimento e, mais do que isso, do comprometimento da alta gestão da
empresa com o estabelecimento, implantação, operação, monitoramento, análise,
manutenção e melhoria do SGSI.
Figura 11.3: A política de segurança da informação é um documento estratégico dentro da TI.
[Ilustração, esta imagem é apenas para dar uma noção de espaço. Favor gerar a figura de um
caderno/documento com detalhes de segurança que represente a “Política de SI”.]
• Política de segurança da informação
Este objetivo de controle visa a “prover orientação e apoio da direção para a
segurança da informação de acordo com os requisitos do negócio e com as leis e
regulamentos relevantes” para a organização. Os dois controles associados a este
objetivo determinam a necessidade da existência de processos para criar, aprovar,
revisar e divulgar um documento chamado “política de segurança da informação”.
5. Organizando a segurança da informação
A seção 6 da ISO/IEC27002 possui 2 objetivos de controle e 11 controles tratando da
organização da segurança da informação. O resultado da implementação dos controles desta
seção é a garantia de que tanto a infraestrutura interna da empresa quanto as suas interfaces
externas (parceiros, fornecedores etc.) são contemplados pelos controles do SGSI.
5.1. Organização interna
Este objetivo visa a “gerenciar a segurança da informação na organização”. Seus
controles garantem a existência de processos que concretizem o comprometimento da
alta gestão e que definam papéis e responsabilidades dentro do contexto do SGSI. Isso
envolve a definição de responsabilidade sobre ativos, o estabelecimento de acordos de
confidencialidade para o manuseio de informações, a existência de canais de
comunicação efetivos com entidades externas relevantes (autoridades de segurança,
grupos de discussão etc.) e a realização de auditorias internas.
5.2. Partes externas
Este objetivo visa manter a segurança da informação “que é acessada, processada,
comunicada ou gerenciada por partes externas”. Os controles implementados para
atingir esse objetivo têm a ver com a forma com que a empresa lida com a segurança
da informação no seu tratamento com clientes, parceiros e fornecedores. Note que as
partes externas relevantes para este objetivo são aquelas que estão diretamente
ligadas ao negócio da organização. Elas não estão relacionadas às entidades externas
citadas no item anterior.
6. Gestão de ativos
A seção 7 da ISO/IEC27002 possui 2 objetivos de controle e 5 controles tratando da
organização da gestão de ativos. Lembre-se de que ativo é “tudo que tem valor para a
organização”. Nesse caso, para que o SGSI se torne efetivo, a fase de análise e avaliação de
riscos também é essencial para definir quais são os ativos relevantes para o SGSI. O resultado
da implementação dos controles desta seção é a garantia de que há responsáveis por todos os
ativos da empresa e que a informação, seu principal ativo, é tratada de forma adequada
dentro do sistema de gerenciamento da segurança da informação.
6.1. Responsabilidade pelos ativos
Podemos listar, a partir da norma ISO/IEC 27002, os seguintes tipos de ativos:
o Informação;
o Serviços (clientes, parceiros, fornecedores etc.);
o Estrutura física (móveis, imóveis etc.);
o Softwares;
o Hardwares;
o Pessoas (conhecimento explícito, tácito etc.);
o Imagem da organização (marca, reputação etc.).
Este objetivo visa a “alcançar e manter a proteção adequada dos ativos da
organização”. Os controles que podem ser implementados para atingir esse processo
visam a definir um inventário dos ativos, assim como um proprietário responsável para
cada um deles. Claro que, em ambientes de grande porte, pode haver delegação dessa
responsabilidade. Caso em que um diretor de departamento é responsável por todos
os ativos daquele departamento e delega a responsabilidade para as pessoas sob sua
direção na medida em que cada um utiliza um ativo no seu dia a dia. Entretanto, a
delegação da responsabilidade não implica a sua transferência. O gestor original é o
principal responsável para fins de auditoria etc.
6.2. Classificação da informação
Este objetivo visa a assegurar “que a informação receba um nível adequado de
proteção”. Claro que, para que isso aconteça, a informação precisa ser classificada
com relação ao seu valor, requisitos legais, sensibilidade (quem pode acessar a
informação) e criticidade (impacto se a segurança for violada).
A informação também pode ser rotulada para que o seu tratamento aconteça de
forma adequada (pública ou ostensiva, interna, confidencial, secreta etc.). Nesse caso,
a norma ISO/IEC 27002 não define quais são os rótulos que serão dados à informação.
Figura 11.4: A política de segurança da informação é um documento estratégico dentro da
TI. Fonte: http://subjudice.net/2011/03/medida-provisoria-5072010-acabara-a-quebra-de-
sigilo-por-servidor/
[Ilustração, use esta imagem como modelo para a ilustração. Usar o termo “Secreto” no lugar
de “Top Secret”.]
Início da Caixa de Multimídia
O Decreto nº 4.555, de 8 de janeiro de 1991, trata da “salvaguarda de dados, informações,
documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado”. Esse
decreto define rótulos que devem ser dados à informação no “âmbito da Administração
Pública Federal”. O Art. 5º desse decreto define que dados ou informações sigilosas devem ser
classificadas em ultrassecretas, secretas, confidenciais e reservadas, conforme o seu grau de
sigilo. Esse decreto pode ser visto no endereço
http://www.planalto.gov.br/ccivil/decreto/2002/D4553.htm. Página acessada em 7 de abril de
2011.
Fim da Caixa de Multimídia
7. Segurança de recursos humanos
A seção 8 da ISO/IEC 27002 possui 3 objetivos de controle e 9 controles tratando de todo o
ciclo que envolve o relacionamento que um profissional pode vir a ter com uma organização.
Esse ciclo foi dividido em antes, durante e depois do seu estabelecimento. A implementação
dos controles desta seção garante que o SGSI possui processos para gerenciar de forma segura
esse relacionamento em todos os momentos de sua existência.
Início da Caixa de Atenção
Os recursos humanos de que tratam esses controles não são necessariamente formados por
funcionários da organização que está implantando o SGSI. Eles também envolvem os
funcionários de terceiros com quem a empresa possa estabelecer algum tipo de vínculo.
Fim da Caixa de Atenção
7.1. Antes da contratação
Este objetivo assegura “que funcionários, fornecedores e terceiros entendam suas
responsabilidades e estejam de acordo com os seus papéis” dentro do SGSI – antes –
do estabelecimento do vínculo. A implementação dos controles relacionados a esse
objetivo define o perfil do profissional que será contratado, os critérios do processo de
seleção, os termos e condições para contratação etc.
7.2. Durante a contratação
Este objetivo assegura que “os funcionários, fornecedores e terceiros estão
conscientes das ameaças e preocupações” relativas ao SGSI e “estão preparados para
apoiar a política de segurança da informação” em seu dia a dia. Os processos que
implementam esse objetivo se relacionam com motivação, conscientização, educação
e treinamento dos funcionários, além do processo disciplinar que pode acontecer nos
casos de descumprimento da política. Neste caso, a norma cita explicitamente que
“deve existir um processo disciplinar formal para os funcionários que tenham
cometido uma violação” da política de segurança.
7.3. Encerramento ou mudança na contratação
Este objetivo assegura que “funcionários, fornecedores e terceiros deixem a
organização ou mudem de trabalho de forma ordenada”. Os controles relacionados a
este objetivo envolvem o processo de encerramento das atividades, devolução de
ativos que estiverem em seu poder e retirada de direitos.
Atente para o fato de que a devolução de ativos também envolve ações para a
devolução de informações. Neste caso, “devolver” a informação significa compartilhar
internamente e tornar explícito o conhecimento que se tenha adquirido em virtude do
vínculo com a empresa.
8. Segurança física e do ambiente
A seção 9 da ISO/IEC 27002 possui 2 objetivos de controle e 13 controles tratando da
segurança física de áreas e de equipamentos da organização. Os controles desta seção estão
relacionados à definição de um perímetro físico de segurança (muros, portões, controle de
acesso, áreas de entrega e carregamento, manutenção de equipamentos, controle do descarte
de equipamentos etc.).
8.1. Áreas seguras
Este objetivo visa “prevenir o acesso físico não autorizado e interferências com as
instalações e informações da organização”. Os seus controles, quando implementados,
definem um perímetro de segurança física para as áreas que contenham informações
ou recursos de processamento da informação (servidores, computadores etc.).
A empresa pode implementar processos de controle de entrada física para
assegurar que o acesso a essas áreas só seja permitido a pessoas autorizadas. Isso
envolve, além da implantação de salas-cofre etc., a implementação de segurança para
escritórios, áreas de trabalho (mesa etc.) e outros ambientes da empresa.
Há também controles relacionados à proteção contra distúrbios externos, causas
naturais (incêndios, enchentes etc.).
Figura 11.5: A segurança física é parte importante da segurança da informação; este é um
exemplo de sala-cofre. Fonte:
http://www.boxfile.com.br/produtos_servicos/celula_estanque/conteudo.htm
[Ilustração, use esta imagem como modelo para a ilustração.]
8.2. Segurança de equipamentos
O objetivo aqui é “impedir perdas, danos, furto ou comprometimento de ativos”
que possam impactar as atividades da organização. Seus controles envolvem a
instalação e proteção adequada dos equipamentos, a segurança dos pontos de acesso
ao cabeamento, a manutenção preventiva dos equipamentos etc.
Note que, estendendo um pouco o conceito, convém que a empresa se preocupe
com equipamentos que estejam fora da organização. Assim, há controles explícitos na
norma que tratam da segurança de equipamentos utilizados em deslocamento pelos
funcionários, equipamentos que são levados para manutenção ou descartados etc.
9. Gerenciamento das operações e comunicações
A seção 10 da ISO/IEC 27002 possui 10 objetivos de controle e 32 controles tratando da
operação (gerenciamento de terceiros, operação de sistemas, cópias de segurança, comércio
eletrônico, monitoramento de redes etc.).
9.1. Procedimentos e responsabilidade operacionais
Este objetivo garante “a operação segura e correta dos recursos de processamento
da informação”. Seus controles visam documentar procedimentos, gerenciar
mudanças na operação e gerenciar liberações de novas aplicações ou sistemas para
que não haja prejuízos à disponibilidade dos serviços.
9.2. Gerenciamento de serviços terceirizados
Este objetivo de controle visa “implementar e manter o nível apropriado de
segurança da informação e de entrega de serviços” conforme os acordos
estabelecidos. Seus controles se relacionam com entrega, monitoramento e mudanças
nos serviços terceirizados que lidam com os ativos da empresa.
9.3. Planejamento e aceitação de sistemas
Este objetivo visa a “minimizar o risco de falhas nos sistemas”. Seus controles
estão relacionados à gestão da capacidade da infraestrutura para execução do sistema
e a realização de testes para a aceitação de sistemas novos ou de atualizações.
9.4. Proteção contra códigos maliciosos e códigos móveis
Este objetivo visa “proteger a integridade de softwares e da informação” contra
esse tipo de ameaça. Os controles são fundamentados em detecção, prevenção e
recuperação de sistemas em caso de incidentes. A norma faz distinção entre códigos
maliciosos e códigos móveis. Exemplos de códigos móveis maliciosos são os worms,
como você viu na Aula 1.
9.5. Cópias de segurança
Este objetivo visa, principalmente, manter “a disponibilidade da informação”. Há
apenas um único controle relacionado a esse objetivo, que trata da realização e teste
de cópias de segurança das informações.
9.6. Gerenciamento da segurança de redes
Este objetivo de controle assegura “a proteção das informações em redes”. Seus
controles visam garantir a confidencialidade, a integridade e a disponibilidade das
informações que trafegam nas redes de computadores.
9.7. Manuseio de mídias
Este objetivo visa à prevenção de “divulgação não autorizada, modificação,
remoção ou destruição dos ativos” que possam causar interrupções ao negócio. Seus
controles estão relacionados à implementação de processos para gerenciar mídias
removíveis, gerenciar o descarte de mídias, armazenar adequadamente toda a
documentação de softwares etc.
9.8. Troca de informações
Este objetivo provê segurança no “intercâmbio de informações e softwares”
dentro da organização ou com quaisquer entidades externas. Seus controles definem
políticas, procedimentos e acordos para troca de informações e para o trânsito de
mídias, quando autorizado. Exemplos de informações que podem estar em trânsito
são aquelas informações trocadas através de correio eletrônico, sistemas de internet e
outros sistemas corporativos (ERPs etc.).
Início da Caixa de Verbete
Enterprise Resource Planning (ERP) – são sistemas integrados de gestão empresarial
popularizados na década de 1980. Tinham como bandeira a integração de vários sistemas de
da organização em um só. Normalmente tais sistemas possuem vários módulos (financeiro,
contábil, recursos humanos, vendas, marketing, relacionamento com o cliente etc.). Alguns
exemplos de ERP muito usados pelas empresas brasileiras são o SAP, o Microsiga e o Datasul.
Fim da Caixa de Verbete
Figura 11.6: A norma ISO/IEC 27002 possui controles que tratam da questão do comércio
eletrônico nas organizações. Fonte: http://www.ivan.eti.br/category/internet/comercio-
eletronico/
[Ilustração, use esta imagem como modelo para a ilustração.]
9.9. Serviços de comércio eletrônico
Este objetivo visa a assegurar, especificamente, “a utilização de serviços de
comércio eletrônico” de forma segura. Seus controles determinam a necessidade de
proteger as informações on-line contra transmissões incompletas, alterações não
autorizadas, divulgação não autorizada, duplicação etc.
9.10. Monitoramento
Este objetivo de controle visa a “detectar atividades não autorizadas de
processamento da informação”. Seus controles se relacionam com processos de
criação, manutenção e proteção de registros de auditoria, monitoramento do uso de
sistemas, geração e proteção de logs de sistemas etc.
Início da Caixa de Verbete
Logs – são informações registradas automaticamente durante o uso dos sistemas. Exemplos de
informações importantes para a geração de logs são os registros das atividades do
administrador do sistema, registro de horários de acesso aos principais sistemas de
processamento de informação, registro de falhas ocorridas nos sistemas etc.
Fim da Caixa de Verbete
10. Controle de acessos
A seção 11 da ISO/IEC 27002 possui 7 objetivos de controle e 25 controles tratando do
controle de acesso à rede (cabeada ou sem fio), aos sistemas operacionais, a aplicações e à
própria informação em si. Observe que, embora exista um vínculo muito forte entre a
expressão “controle de acesso” e o termo “autenticação”, este não é o único foco da seção.
10.1. Requisitos de negócio para controle de acesso
Este objetivo visa a “controlar o acesso à informação”. Os processos
implementados na organização determinam que a política de segurança contenha
diretrizes para o acesso à informação.
10.2. Gerenciamento de acesso do usuário
Este objetivo de controle previne acesso “não autorizado a sistemas de
informação” e à própria informação. Seus controles estão relacionados à
implementação de processos para registrar usuários, conceder e controlar privilégios,
gerenciar senhas de usuários e analisar constantemente os seus perfis.
10.3. Responsabilidades dos usuários
Este controle assegura “acesso de usuário autorizado e previne acesso não
autorizado a sistemas de informação”. Existem ações que podem ser tomadas pelo
próprio usuário; devem existir processos na empresa que assegurem a implementação
dos controles relacionados. Convém que o usuário utilize boas práticas na escolha de
senhas, proteja equipamentos que não possuam monitoramento e tome medidas para
proteger a sua área de trabalho (mesa, tela do computador etc.).
10.4. Controle de acesso à rede
Este objetivo previne “acesso não autorizado aos serviços de rede”. Convém que
existam processos para definir uma política de uso da rede clara e divulgada na
empresa. Isso envolve controles que garantam a autenticação de conexões remotas, a
identificação dos equipamentos da rede, a segregação das redes, o controle do
roteamento etc.
10.5. Controle de acesso ao sistema operacional
Este objetivo de controle previne “acesso não autorizado aos sistemas
operacionais”. O procedimento de acesso aos sistemas (log-in) deve acontecer de
forma segura. Convém que todo usuário seja unicamente identificado, os sistemas
restrinjam o uso de senhas “fracas”, os terminais bloqueiem sessões por inatividade,
horários de acesso aos sistemas sejam controlados etc.
Figura 11.7: O controle de qual usuário pode acessar qual serviço e a partir de onde é parte
importante da segurança da informação. Fonte: Stock.Xchng | Foto: Kulo T
http://www.sxc.hu/photo/1104507
10.6. Controle de acesso à aplicação e à informação
Este objetivo previne “acesso não autorizado à informação contida nos sistemas de
aplicação” da empresa. A ideia é que haja controles para restringir o acesso à
informação de acordo com a política de acesso e com os perfis de usuários. A norma
ainda aconselha que os sistemas mais sensíveis tenham ambiente computacional
isolado (ou dedicado) para impossibilitar que o acesso a um sistema menos sensível
facilite o acesso ao sistema mais sensível. Sensível é um sistema que armazena
informações confidenciais ou de alto valor estratégico para a empresa.
10.7. Computação móvel e trabalho remoto
Este objetivo de controle garante a “segurança da informação quando se utilizam a
computação móvel e recursos de trabalho remotos”. Convém que haja processos na
empresa que controlem acesso remoto e uso de redes móveis como, por exemplo,
através de VPNs, tecnologias 3G, redes sem fio etc.
11. Aquisição, desenvolvimento e manutenção de sistemas de informação
A seção 12 da ISO/IEC 27002 possui 6 objetivos de controle e 16 controles tratando do
desenvolvimento de aplicações. Há controles relacionados ao estabelecimento de requisitos
de segurança da informação, ao processamento correto de aplicações, ao uso de criptografia
nos sistemas, à segurança dos arquivos de sistema etc.
11.1. Requisitos de segurança de sistemas de informação
Este objetivo visa garantir que a segurança seja “parte integrante dos sistemas de
informação”. Seus controles ajudam a empresa a construir processos para assegurar
que os requisitos de negócio sejam atendidos, tanto para sistemas novos, quanto para
sistemas existentes que estejam passando por melhorias.
11.2. Processamento correto de aplicações
Este objetivo de controle previne “a ocorrência de erros, perdas, modificação não
autorizada ou mau uso de informações” pelas aplicações. Convém que a organização
possua processos para validar dados de entrada para uso de sistemas, garantir o
processamento interno correto e validar dados de saída.
11.3. Controles criptográficos
Este objetivo protege “a confidencialidade, a autenticidade, a integridade das
informações por meios criptográficos”. Convém que a empresa faça uso de recursos de
criptografia para assegurar que os princípios da segurança da informação sejam
garantidos na empresa, inclusive durante o uso de aplicações e sistemas.
11.4. Segurança de arquivos de sistemas
Este objetivo de controle visa a “garantir a segurança de arquivos de sistema”.
Note que, neste caso, os controles que podem ser implementados pela empresa se
referem aos arquivos de sistema. Assim, a norma se refere à proteção do código fonte
de um programa, proteção dos dados usados para testes de sistema.
Figura 11.8: A segurança no desenvolvimento de sistemas é uma parte muito importante
do SGSI. Fonte: Stock.Xchng | Foto: Nick Benjaminsz http://www.sxc.hu/photo/49279
Diagramação, o autor já foi notificado sobre a utilização de sua imagem.
11.5. Segurança em processos de desenvolvimento e de suporte
Este objetivo visa “manter a segurança de sistemas aplicativos e da informação”.
Os controles que a empresa pode implementar visam assegurar que o suporte a
sistemas seja controlado por meio de processos e procedimentos formais de controle.
Assim, aplicações críticas de negócio são analisadas e testadas quando sistemas
operacionais são mudados. Além disso, um conselho curioso da norma é que pacotes
de software não devem ser incentivados e, na medida do possível, devem ser limitados
às mudanças estritamente necessárias. Trata-se de uma preocupação em não afetar o
estado operacional de uma aplicação com mudanças desnecessárias.
Este objetivo de controle também está relacionado à terceirização do
desenvolvimento de software, cujos cuidados devem ser maiores ainda.
11.6. Gerenciamento de vulnerabilidades técnicas
Este objetivo de controle reduz “riscos resultantes da exploração de
vulnerabilidades técnicas conhecidas”. Convém que a empresa implemente processos
regulares para a instalação de atualizações de segurança em sistemas e aplicações
(patchs) em tempo hábil. Quando isso não for possível, convém que a empresa avalie o
grau de exposição oriundo do não cumprimento deste controle.
12. Gestão de incidentes de segurança da informação
A seção 13 da ISO/IEC 27002 possui 2 objetivos de controle e 5 controles tratando de
incidentes de segurança da informação. A norma ISO/IEC 27001 define incidente como um ou
mais eventos críticos que necessitam de tratamento imediato. Os controles desta seção visam
implementar processos que assegurem que esse tratamento será efetivo.
12.1. Notificação de fragilidades e eventos de segurança
Este objetivo assegura que “eventos de segurança da informação sejam
notificados, permitindo a tomada de ação corretiva em tempo hábil”. Seus controles
estão relacionados ao processo de notificação de eventos e de fragilidades.
Segundo a norma, a empresa deve relatar eventos de segurança ao ponto de
contato designado. Além disso, há a previsão para que funcionários envolvidos em
operações críticas possam relatar esses eventos mesmo quando se encontram em
situação sensível que possa prejudicar a sua função na empresa. A norma usa a
expressão “alarme de coação” para esses casos.
12.2. Gerenciamento de incidentes de segurança da informação e melhorias
Este objetivo visa garantir que um “enfoque consistente e efetivo seja aplicado à
gestão de incidentes de segurança da informação”. Seus controles, quando
implementados, garantem a existência de responsabilidades e procedimentos para
coleta de evidências e de lições aprendidas a partir de incidentes. Também convém
que a empresa estabeleça mecanismos para permitir que tipos, quantidades e custos
dos incidentes de segurança da informação sejam quantificados e monitorados.
13. Gestão da continuidade do negócio
A seção 14 da ISO/IEC 27002 possui 1 objetivo de controle e 5 controles tratando da
continuidade das operações de TI de forma segura.
Início da Caixa de Multimídia
Em 2007, a Associação Brasileira de Normas Técnicas (ABNT) lançou a família de normas NBR
15999, que trata da gestão da continuidade dos negócios no Brasil. Essa norma não é derivada
de uma norma ISO; ela foi desenvolvida a partir das normas britânicas da família BS 25999. A
norma NBR 15999-1 contém o código de práticas para subsidiar a implementação do sistema
de gerenciamento da continuidade de negócios (SGCN). A norma NBR 15999-2 contém os
requisitos para a sua implementação. Você pode obter mais informações a respeito no site
oficial da ABNT: http://www.abnt.org.br/. Página acessada em 12 de abril de 2011.
Fim da Caixa de Multimídia
13.1. Aspectos da gestão da continuidade do negócio
Este objetivo de controle visa impedir “a interrupção das atividades do negócio e
proteger os processos críticos contra efeitos de falhas ou desastres significativos”. Os
processos implementados a partir dos controles deste objetivo possibilitam a
retomada do negócio em tempo hábil no caso de interrupção. Devem ser identificados
eventos que possam causar interrupções nos processos de negócio. Os controles
relacionados a este objetivo também tratam da existência de uma infraestrutura
secundária (sites de reserva) como redundância em caso de descontinuidade da
infraestrutura principal.
Convém que a empresa construa um plano de continuidade do negócio (GCN) e
que o revise periodicamente em intervalos planejados.
Figura 11.9: O plano de continuidade lida com eventos e incidentes sistêmicos que possam
interromper o negócio. Fonte: http://ogerente.com.br/rede/projetos/modalidades-e-
responsabilidades
[Ilustração, use esta imagem como modelo para a ilustração.]
14. Conformidade
A seção 15 da ISO/IEC 27002 possui 3 objetivos de controle e 10 controles tratando de
questões legais, conformidade e auditoria.
14.1. Conformidade com requisitos legais
Este objetivo de controle evita qualquer violação à “lei criminal ou civil, estatutos,
regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança”.
Seus controles, quando implementados, identificam a legislação pertinente, garantem
o direito de propriedade intelectual, protegem os registros da organização etc. Além
disso, existe um controle relacionado a este objetivo que trata das questões legais que
envolve o uso de criptografia. Isso acontece porque, em muitos países, há restrições
legais quanto ao uso, exportação e importação de softwares que utilizam criptografia.
14.2. Conformidade com normas e políticas de segurança da informação
Este objetivo de controle garante a “conformidade dos sistemas com as políticas e
normas organizacionais de segurança”. Convém que haja controles que garantam o
atendimento da política de segurança previamente estabelecida na organização.
14.3. Considerações de auditoria de sistemas de informação
Este objetivo de controle visa “maximizar a eficácia e minimizar a interferência no
processo de auditoria dos sistemas de informação”. Convém que a empresa
implemente controles para que os requisitos e as atividades de auditoria sejam
cuidadosamente planejados e acordados para reduzir ao mínimo a interrupção de
processos. Isso inclui a proteção do acesso às ferramentas de auditoria para prevenir
mau uso.
Início da Atividade
Atividade 3 - Objetivo 03
Após estudar as normas ISO/IEC 27001 e ISO/IEC 27002, alguns colegas de sua empresa ainda
não têm ideia de por onde começar ou sobre quais objetivos de controle e controles são mais
relevantes (e quais não são). Como você ajudaria a esclarecer as coisas?
Quantidade de Linhas: deixar 12 linhas.
Resposta
A escolha dos objetivos de controle e controles relevantes deve ser feita durante o
estabelecimento do SGSI (Plan). Após conhecer todos os controles, o primeiro passo da
empresa deve ser listar os ativos mais importantes para ela. Lembre-se de que ativo “é tudo
que tem valor para a empresa” do ponto de vista da segurança da informação. Após listar os
ativos, o próximo passo é analisar e avaliar os riscos, gerando uma lista de riscos identificados
e o seu grau de criticidade. Você deve mencionar ainda que a norma ISO/IEC 27005 pode ser
útil durante a análise e a avaliação de riscos, pois seu conteúdo é especificamente voltado para
detalhar estes processos. Além disso, é importante lembrar que, além da análise e avaliação de
riscos, a legislação pertinente e o plano estratégico da organização são fontes importantes de
requisitos para o estabelecimento do SGSI.
Fim da Atividade
15. Conclusão
Como você viu aqui, o uso da norma ISO/IEC 27002 não é obrigatório, pois ela contém o
código de práticas para o sistema de gerenciamento da segurança da informação. Este código
reúne uma série de considerações que podem ser vistas como “conselhos” para estabelecer,
implantar, operar, monitorar, analisar, manter e melhorar o SGSI. Porém, é altamente
recomendado que a empresa adote a maior parte dos controles sugeridos para que os
objetivos sejam atingidos. Isso significa que os requisitos da norma ISO/IEC 27001 poderão ser
atendidos com muito mais eficiência e eficácia se a empresa adotar essa abordagem.
Por outro lado, será praticamente impossível atender a todos os requisitos de certificação
(o que é obrigatório) eliminando muitos dos objetivos de controle. Basta lembrar que todo e
qualquer objetivo listado na ISO/IEC 27002 e não contemplado no SGSI deve ser mencionado
na declaração de aplicabilidade com a respectiva justificativa para tal.
Nesta aula vimos que os 133 controles da ISO/IEC 27002 tratam de diversas áreas cujos
eventos de segurança ou incidentes podem afetar seriamente o negócio. Os controles vão de
questões administrativas (política de segurança, gestão da continuidade etc.) a questões
técnicas (operações e comunicação, desenvolvimento de software etc.) e passam também por
questões legais (gestão da conformidade). Também há vários controles diretamente ligados à
segurança de redes, mas, por outro lado, há vários outros controles ligados ao
desenvolvimento de software. A norma não faz esse tipo de distinção; portanto, há seções em
que encontramos controles ligados à segurança de redes e controles ligados ao acesso ou uso
de aplicações.
Resumo
� As normas da família ISO/IEC 27000 surgiram a partir de normas britânicas da família
BS 7799: a ISO/IEC 27002 foi originada da BS 7799-1, e a ISO/IEC 27001 foi originada da
BS 7799-2.
� A norma ISO/IEC 27002 contém o detalhamento das práticas, controles e objetivos de
controle do SGSI.
� A norma ISO/IEC 27001 contém os requisitos para a implantação do SGSI. Ela é a base
do processo de auditoria de certificação.
� A norma ISO/IEC 27002 possui 39 objetivos de controle e 133 controles. O objetivo de
controle é um resultado que se pretende atingir. O controle é uma ação que precisa
ser implementada para atingir o objetivo.
� A implementação de controles não é obrigatória. Porém o documento da declaração
de aplicabilidade deve conter as justificativas para todos os controles e objetivos de
controle considerados não aplicáveis pela organização.
� Os objetivos de controle estão agrupados em 11 seções: política de segurança,
organizando a segurança, RH, ativos, segurança física e do ambiente, operações e
comunicações, desenvolvimento de software, acesso, gestão de incidentes, gestão da
continuidade e gestão da conformidade.
Próxima aula
Na próxima aula você estudará o processo de elaboração do plano estratégico de TI
(PETI), do plano de continuidade de negócios (PCN) e da política de segurança da
informação. Esses três documentos reúnem as principais diretrizes de segurança em uma
organização. É importante que você saiba como eles são elaborados, qual é o seu
conteúdo e como eles se relacionam um com o outro.
Até a próxima aula!
Questões finais
1) (Analista de sistemas – IPEA/2008 – Cespe) Com relação à segurança em redes de computadores, julgue os itens a seguir:
[64] A identificação dos requisitos de segurança da informação se dá por meio da avaliação dos riscos dos ativos de informação, pela legislação vigente ou por meio do conjunto de princípios, objetivos e requisitos para o processamento da informação. A
organização deverá garantir que a segurança seja parte integrante dos sistemas de informação.
[67] Sob o ponto de vista legal, os controles considerados essenciais são: a proteção de dados e da privacidade de informações pessoais; o documento de política de segurança da informação e os relatórios de incidente, não considerados os direitos de propriedade intelectual.
[68] A segurança da informação é caracterizada pela preservação da confidencialidade, da integridade e da disponibilidade e se dá por meio de uma série de controles que podem ser: políticas, práticas, procedimentos, estruturas organizacionais, excluídas as funções de software.
2) (Tecnologista jr. – MCT/2008 – Cespe) Acerca das normas nacionais e internacionais relativas à segurança da informação, bem como da gestão de riscos de sistemas de informação, julgue os itens seguintes.
[118] O interesse das pessoas, a educação e o treinamento quanto à segurança da informação constituem controles considerados, do ponto de vista legislativo, como essenciais para uma organização, segundo a norma ISO 27002.
3) (Analista de controle externo – TCU/2008 – Cespe) Com base na ABNT NBR ISO/IEC 17799:2005, julgue os itens subsequentes.
[181] Se o administrador da segurança da informação de uma organização da administração pública decidir priorizar a implementação de controles com o objetivo de realizar a gestão de incidentes de segurança da informação e sua melhoria contínua, ele estará implementando um controle essencial da norma 17799/2005.
[183] Considerando-se que, em muitas organizações públicas, há urgência na adoção de controles visando-se à melhoria do atual nível de segurança da informação, um administrador de segurança da informação deve implementar, independentemente da análise e da avaliação de riscos de segurança da informação em curso, um conjunto de controles mínimos — controles primários —, os quais, segundo a norma 17799/2005, devem ser implementados em todos os casos.
4) (Apoio técnico administrativo – TCU/2007 – Cespe) Julgue os itens que se seguem, considerando que a empresa tenha implantado um programa de gestão de segurança da informação embasado na ABNT NBR ISO/IEC 17799.
[144] Todo evento de segurança da informação identificado no âmbito da organização corresponderá a uma ou mais violações da política de segurança da informação da organização.
[146] A ISO 17799 define diretrizes para certificação de que uma organização está em conformidade à própria norma. Essa certificação é conferida por meio de uma auditoria de terceira parte, nos moldes da ISO 19011.
5) (Analista de sistemas – Serpro/2008 – Cespe) A respeito das normas de segurança da informação, julgue os itens subsequentes.
[61] Uma política de segurança da informação preconizada pelas normas é composta por critérios sugeridos para a gestão da segurança, configuração de ativos etc., o que vai atribuir aos gestores a liberdade de escolher a forma mais inteligente, setorizada de se adotar segurança.
6) (Analista de TI – Anatel/2009 – Cespe) Julgue os itens subsequentes.
[85] A classificação da informação é um objetivo de controle explicitamente enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois controles, sendo um deles relacionado a recomendações para classificação e o outro ao uso de rótulos.
7) (Auditor de TI – TCU/2007 – Cespe) Julgue os itens subsequentes.
[154] Rootkits apresentam portabilidade entre plataformas e devem ser manuseados conforme os controles estabelecidos no capítulo relativo a aquisição, desenvolvimento e manutenção de sistemas de informação da NBR 17799.
Respostas
1) A afirmação [64] é verdadeira. Ela cita exatamente os três controles essenciais e diz que o SGSI deve estar integrado aos processos da organização. A afirmação [67] é falsa. Política de segurança da informação é considerada uma prática. Por outro lado, os direitos de propriedade intelectual são, sim, considerados controles essenciais. A afirmação [68] é falsa, pois as funções de software também fazem parte dos controles da segurança da informação.
2) A afirmação [118] é falsa. Esse item não é um controle essencial. O item citado é considerado uma prática da segurança da informação.
3) A afirmação [181] é falsa. A gestão de incidentes de segurança da informação é um controle considerado prática. A afirmação [183] é falsa. Não há controles que devam ser implementados em todos os casos, pois isso depende da análise e avaliação de riscos que cada organização fará.
4) A afirmação [144] é falsa. Um evento corresponde a apenas uma violação da segurança. A afirmação [146] é falsa. A ISO/IEC 17799, que originou a ISO/IEC 27002, não fornece diretrizes para certificação.
5) A afirmação [61] é falsa. A política é um documento estratégico que define diretrizes que devem ser seguidas pelo TI. Como é estratégica, não há critérios sugeridos, por exemplo, para a configuração de ativos; porém, com relação a esse mesmo assunto, pode haver diretrizes obrigatórias de alto nível.
6) A afirmação [85] é verdadeira. Embora esse objetivo de controle seja detalhado na norma ISO/IEC 27002, assunto desta aula, lembre-se de que todo o conteúdo dessa norma está enunciado de forma resumida no Anexo A da norma ISO/IEC 27001.
7) A afirmação [154] é falsa. Rootkits são códigos maliciosos e, portanto, são tratados na seção 10, Gerenciamento das Operações e Comunicações.
Referências
ABNT NBR ISO/IEC 27001:2006 - Tecnologia da informação - Técnicas de segurança. Requisitos
do sistema de gestão de segurança da informação. 34 p. Brasil, 2006.
ABNT NBR ISO/IEC 27002:2005 - Tecnologia da informação - Técnicas de segurança – Código
de práticas para a gestão da segurança da informação. 120 p. Brasil, 2005.
Special Publication 800-30. USA: National Institute of Standards and Technology, 2002. 55 p.
Disponível em http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf. Acesso em: 25
mar. 2011.