aula 11 segurança em redes final

Disciplina: SEGURANÇA EM REDES DE COMPUTADORES

Conteudista: Luis Claudio dos Santos

AULA 11

A NORMA ISO/IEC 27002

Ao final desta aula você deverá ser capaz de:

1) Distinguir o papel da norma ISO/IEC 27001 e ISO/IEC 27002 durante a implantação de

processos que visam atender às exigências de uma auditoria de certificação ISO/IEC

27001.

2) Definir a ordem de implantação, requisitos, objetivos de controle e controles do SGSI.

3) Selecionar objetivos de controle e controles relevantes para a sua empresa.

Pré-requisitos

Conhecimentos básicos de segurança da informação (confidencialidade, integridade,

disponibilidade, autenticidade, não repúdio etc.).

1. Visão geral da Norma ISO/IEC 27002

A Norma ISO/IEC 27002 recebe o nome oficial Tecnologia da informação – Técnicas de

segurança – Sistemas de gerenciamento da segurança da informação – Código de práticas (do

inglês, Information technology - Security techniques - Information security management

systems - Code of practice). Ou seja, trata-se da norma que contém o código de práticas para

estabelecer, implantar, operar, monitorar, analisar, manter e melhorar o sistema de

gerenciamento da segurança da informação (SGSI).

O conteúdo da ISO/IEC 27002, apesar de não ser normativo, é essencial para a

implementação de processos que irão auxiliar a empresa a concretizar o SGSI. Seu texto

assegura a seleção de controles adequados para atingir os objetivos escolhidos pela

organização. Grosso modo, podemos dizer que, enquanto a ISO/IEC 27001 diz o que deve ser

feito na forma de requisitos, a ISO/IEC 27002 ajuda a definir como fazer.

Como você viu na Aula 10, esta norma se originou de uma norma britânica, a BS 7799-1.

No ano 2000, a ISO havia lançado a norma ISO/IEC 17799:2000, que continha um código de

práticas para o SGSI baseado na BS 7799-1. Esta versão de 2000 foi profundamente revisada

em 2005 e gerou a ISO/IEC 17799:2005. Ainda no ano de 2005, esta norma foi “rebatizada”

para ISO/IEC 27002, mas, apesar da mudança de nome, seu conteúdo permaneceu o mesmo.

Figura 11.1: Evolução histórica da norma ISO/IEC 27002.

Nesta aula vamos estudar o código de práticas do SGSI em detalhes.

2. Uma norma mais focada no negócio

Uma das coisas que podemos notar quando acompanhamos a evolução dos textos das

normas que tratam de segurança da informação é o fato de que a preocupação com o

alinhamento entre o negócio e a Tecnologia da Informação (TI) é cada vez maior. Muitos dos

conceitos passaram, ao longo do tempo, a ser escritos de forma mais “negocial”.

Por exemplo, a própria definição de segurança da informação. Antes ela era definida como

a “preservação da confidencialidade, integridade e disponibilidade da informação...”. Agora,

segurança da informação é definida como “a proteção da informação de várias ameaças com o

objetivo de garantir”:

o Continuidade do negócio;

o Minimização dos riscos;

o Maximização do retorno sobre o investimento;

o Maximização das oportunidades de negócio.

Vale ressaltar que o sistema de gestão da segurança da informação é um sistema que deve

ser integrado a todos os outros sistemas da organização. Ou seja, todos os processos do SGSI

devem ser implementados em conjunto com os outros processos da empresa. A

implementação do SGSI deve ser feita na forma de processos, seguindo a filosofia de melhoria

contínua definida pelo ciclo PDCA.

Figura 11.2: A ISO/IEC 27002 ajuda a definir os requisitos para SGSI com base em objetivos de negócio.

Fonte: http://www.andreklunk.com.br/2010/10/gerenciando-riscos-na-rea-de-ti/.

[Ilustração, favor usar esta imagem ou gerar qualquer outra parecida.]

• Requisitos de segurança

Outro momento em que fica claro o foco que esta norma tem com o negócio é

quando o seu texto trata dos requisitos para o SGSI. Na prática, o sistema de

gerenciamento da segurança da informação deve ser implementado para atender

aos requisitos de segurança. E de onde vêm tais requisitos? Segundo a norma, eles

vêm de três fontes principais:

o Da avaliação e da análise de riscos

Conforme estudamos na Aula 10, a avaliação do risco envolve a

“comparação dos riscos estimados com critérios predefinidos, a fim de

determinar o seu grau de criticidade”. E a análise do risco envolve, além

do processo de avaliação, a identificação de possíveis estratégias de

resposta (medidas para mitigar, transferir, evitar ou aceitar riscos) etc.

o Da legislação vigente

A legislação integra leis, regulamentos, estatutos, contratos ou quaisquer

outros documentos formais aplicáveis às relações de negócio da empresa

que possam originar requisitos para o SGSI. Além disso, dependendo da

área de atuação da empresa, legislações e tratados internacionais também

podem ser fonte de requisitos para o SGSI.

o Dos princípios, objetivos e requisitos de negócio

O plano de negócio da empresa, suas políticas, sua visão, missão e valores

podem ser fonte de requisitos para o SGSI. Por exemplo, se a visão da

empresa é se tornar “referência em desenvolvimento de softwares de

missão crítica”, isso diz muito com relação a como a segurança da

informação deve ser tratada na empresa.

• Objetivos de controle e controles

Os requisitos do SGSI são atingidos a partir da implementação de controles. Os

controles da ISO/IEC 27001 estão divididos em 11 seções. Cada seção possui um

ou mais objetivos de controle que, por sua vez, possuem um ou mais controles

associados. No total, há 39 objetivos de controle e 133 controles.

Nome da seção Objetivos de controle

Controle

Política de segurança 1 2

Organizando a segurança da informação 2 11

Gestão de ativos 2 5

Segurança em recursos humanos 3 9

Segurança física e do ambiente 2 13

Gerenciamento das operações e comunicações 10 32

Controle de acessos 7 25

Aquisição, desenvolvimento e manutenção de sistemas de informação

6 16

Gestão de incidentes de segurança da informação 2 5

Gestão da continuidade do negócio 1 5

Conformidade 3 10

Total 39 133 Tabela 11.1: Divisão quantitativa dos objetivos de controle e controles entre as seções da

Norma ISO/IEC 27001.

Os objetivos de controle (aquilo que se quer atingir com o controle) estão

associados aos requisitos do SGSI. Ou seja, a partir da definição dos requisitos para

o SGSI, a organização poderá definir quais são os objetivos de controle e controles

aplicáveis. Lembre-se de que, em todos os casos, a declaração da aplicabilidade

deve contemplar todos os objetivos e todos os controles, sempre justificando o

porquê da não aplicação de algum deles.

• Controles essenciais

A norma ISO/IEC 27002 define controles que ela chama de essenciais. São eles:

o Proteção de dados e privacidade de informações pessoais;

o Proteção de registros organizacionais;

o Direitos de propriedade intelectual.

• Controles considerados práticas

A norma ISO/IEC 27002 define controles que ela chama de práticas para a

segurança da informação. São eles:

o Documento da política de segurança da informação;

o Atribuição de responsabilidades para a segurança da informação;

o Conscientização, educação e treinamento em segurança da informação;

o Processamento correto de aplicações;

o Gestão de vulnerabilidades técnicas;

o Gestão da continuidade do negócio;

o Gestão de incidentes de segurança da informação e melhorias.

É comum as empresas implementarem controles considerados práticas como

ponto de partida para o estabelecimento do SGSI. É importante deixar claro que a

norma não faz nenhuma comparação entre a importância dos controles essenciais

e dos controles considerados práticas. Ou seja, a implementação de controles

continua sendo definida a partir do processo de análise e avaliação de risco da

empresa.

Tanto os controles considerados essenciais quanto os controles considerados

práticas serão estudados em mais detalhes a seguir, quando estudarmos a seção

da norma dentro da qual eles estão.

Início da Atividade

Atividade 1 - Objetivo 01

A sua empresa está decidindo que caminho seguir durante a implantação de processos que

visam atender às exigências de uma auditoria de certificação ISO/IEC 27001. Até o momento,

as equipes estão procurando desenvolver processos novos e amadurecer processos existentes

com base apenas no conhecimento da ISO/IEC 27001. O que você sugeriria para aumentar a

velocidade desse amadurecimento?

Quantidade de Linhas: deixar 08 linhas.

Resposta

A empresa deve usar também a norma ISO/IEC 27002, pois essa norma contém dicas de

controles que, se seguidos, farão com que os processos da empresa se tornem mais eficazes e

eficientes. Apesar de a norma ISO/IEC 27001 possuir uma lista de todos os controles em seu

Anexo A, ela não os detalha nem os explica. O conteúdo da norma ISO 27002 é mais rico em

informação no que diz respeito ao conhecimento necessário para a construção de processos.

Vale lembrar que o controle é uma ação a ser tomada para atingir um objetivo. O processo é

composto por várias ações encadeadas de maneira predefinida que podem cumprir um ou

mais controles da norma.

Fim da Atividade

3. Escolha dos controles

Como você viu nesta aula, a escolha dos controles acontece durante os processos de

análise e avaliação do risco. A norma ISO/IEC 27005 contém detalhes sobre como esses

processos podem ser executados na organização. A rigor, após a execução desses processos, a

empresa deverá possuir:

o Lista de ativos relevantes para o SGSI;

o Lista dos riscos identificados para cada ativo;

o Priorização dos riscos com base na sua criticidade;

o Critérios para aceitação de riscos;

o Critérios para tratamento de riscos secundários;

o Critérios para tratamento de riscos residuais.

Para que possam ser realizadas de forma eficaz, a análise e a avaliação de riscos precisam

acontecer dentro de um escopo que seja muito bem definido dentro da organização. O escopo

desse processo pode ser a organização inteira, um departamento na organização, um sistema

ou até mesmo partes de um sistema.

Note que esses resultados direcionarão todo o gerenciamento dos riscos, assim como a

escolha dos objetivos de controle e controles necessários ao SGSI. Não se trata de escolher

quais requisitos da ISO/IEC 27001 serão atendidos, pois, como você viu na aula anterior, todos

os requisitos explicitados nas seções de 4 a 8 daquela norma devem ser atendidos. O conteúdo

da ISO/IEC 27002, assunto desta aula, contém objetivos de controle e controles associados, ou

seja, tratam de como a empresa pode atender aos requisitos. Porém, nada impede que os

requisitos da norma de certificação sejam atendidos de outra forma pela empresa. Nesse caso,

como já vimos, a declaração de aplicabilidade deverá ser usada para justificar cada objetivo de

controle considerado não aplicável pela organização.

A partir do próximo item, vamos estudar as seções que tratam, de fato, dos objetivos de

controle e controles que mencionamos na tabela 11.1. Na norma ISO/IEC 27002, isso começa a

acontecer a partir da seção 5. As seções anteriores são introdutórias e tratam de assuntos

semelhantes aos que são apresentados nas primeiras seções da norma ISO/IEC 27001.

Vale ressaltar que em nenhum momento a ISO/IEC 27002 determina uma ordem de

importância para os objetivos de controle e seus respectivos controles. Portanto, a ordem em

que as seções são apresentadas na norma não tem relação com a importância maior ou menor

de um controle com relação ao outro.



Alguns colegas de sua empresa estão discutindo a possibilidade de implementar um SGSI na

organização. Há muitas dúvidas sobre:

o Quais requisitos devem ser atendidos;

o A sequência de implementação dos controles e dos objetivos de controle; e

o Quais normas são relevantes.

Como você ajudaria nessa discussão?


Resposta

Você deve deixar claro que só existe uma norma relevante para o processo de certificação, que

é a norma ISO/IEC 27001. Ela contém os requisitos para o SGSI e todos eles devem ser

atendidos pela organização que aspira à certificação. Além disso, com relação aos objetivos de

controle e controles, é importante lembrar que a ISO/IEC 27002 é mais detalhada e pode

ajudar a empresa a decidir a ordem de implementação dos controles. Apesar disso, em

nenhum momento esta norma estabelece uma ordem para a implementação, pois isso varia

de empresa para empresa. Há vários “caminhos” que podem ser adotados na prática, mas isso

se deve a escolhas individuais.

Fim da Atividade

4. Política de segurança da informação

A seção 5 da ISO/IEC27002 possui apenas 1 objetivo de controle e 2 controles tratando da

política de segurança da informação. O resultado da implementação dos controles desta seção

é a garantia do envolvimento e, mais do que isso, do comprometimento da alta gestão da

empresa com o estabelecimento, implantação, operação, monitoramento, análise,

manutenção e melhoria do SGSI.

Figura 11.3: A política de segurança da informação é um documento estratégico dentro da TI.

[Ilustração, esta imagem é apenas para dar uma noção de espaço. Favor gerar a figura de um

caderno/documento com detalhes de segurança que represente a “Política de SI”.]

• Política de segurança da informação

Este objetivo de controle visa a “prover orientação e apoio da direção para a

segurança da informação de acordo com os requisitos do negócio e com as leis e

regulamentos relevantes” para a organização. Os dois controles associados a este

objetivo determinam a necessidade da existência de processos para criar, aprovar,

revisar e divulgar um documento chamado “política de segurança da informação”.

5. Organizando a segurança da informação

A seção 6 da ISO/IEC27002 possui 2 objetivos de controle e 11 controles tratando da

organização da segurança da informação. O resultado da implementação dos controles desta

seção é a garantia de que tanto a infraestrutura interna da empresa quanto as suas interfaces

externas (parceiros, fornecedores etc.) são contemplados pelos controles do SGSI.

5.1. Organização interna

Este objetivo visa a “gerenciar a segurança da informação na organização”. Seus

controles garantem a existência de processos que concretizem o comprometimento da

alta gestão e que definam papéis e responsabilidades dentro do contexto do SGSI. Isso

envolve a definição de responsabilidade sobre ativos, o estabelecimento de acordos de

confidencialidade para o manuseio de informações, a existência de canais de

comunicação efetivos com entidades externas relevantes (autoridades de segurança,

grupos de discussão etc.) e a realização de auditorias internas.

5.2. Partes externas

Este objetivo visa manter a segurança da informação “que é acessada, processada,

comunicada ou gerenciada por partes externas”. Os controles implementados para

atingir esse objetivo têm a ver com a forma com que a empresa lida com a segurança

da informação no seu tratamento com clientes, parceiros e fornecedores. Note que as

partes externas relevantes para este objetivo são aquelas que estão diretamente

ligadas ao negócio da organização. Elas não estão relacionadas às entidades externas

citadas no item anterior.

6. Gestão de ativos

A seção 7 da ISO/IEC27002 possui 2 objetivos de controle e 5 controles tratando da

organização da gestão de ativos. Lembre-se de que ativo é “tudo que tem valor para a

organização”. Nesse caso, para que o SGSI se torne efetivo, a fase de análise e avaliação de

riscos também é essencial para definir quais são os ativos relevantes para o SGSI. O resultado

da implementação dos controles desta seção é a garantia de que há responsáveis por todos os

ativos da empresa e que a informação, seu principal ativo, é tratada de forma adequada

dentro do sistema de gerenciamento da segurança da informação.

6.1. Responsabilidade pelos ativos

Podemos listar, a partir da norma ISO/IEC 27002, os seguintes tipos de ativos:

o Informação;

o Serviços (clientes, parceiros, fornecedores etc.);

o Estrutura física (móveis, imóveis etc.);

o Softwares;

o Hardwares;

o Pessoas (conhecimento explícito, tácito etc.);

o Imagem da organização (marca, reputação etc.).

Este objetivo visa a “alcançar e manter a proteção adequada dos ativos da

organização”. Os controles que podem ser implementados para atingir esse processo

visam a definir um inventário dos ativos, assim como um proprietário responsável para

cada um deles. Claro que, em ambientes de grande porte, pode haver delegação dessa

responsabilidade. Caso em que um diretor de departamento é responsável por todos

os ativos daquele departamento e delega a responsabilidade para as pessoas sob sua

direção na medida em que cada um utiliza um ativo no seu dia a dia. Entretanto, a

delegação da responsabilidade não implica a sua transferência. O gestor original é o

principal responsável para fins de auditoria etc.

6.2. Classificação da informação

Este objetivo visa a assegurar “que a informação receba um nível adequado de

proteção”. Claro que, para que isso aconteça, a informação precisa ser classificada

com relação ao seu valor, requisitos legais, sensibilidade (quem pode acessar a

informação) e criticidade (impacto se a segurança for violada).

A informação também pode ser rotulada para que o seu tratamento aconteça de

forma adequada (pública ou ostensiva, interna, confidencial, secreta etc.). Nesse caso,

a norma ISO/IEC 27002 não define quais são os rótulos que serão dados à informação.

Figura 11.4: A política de segurança da informação é um documento estratégico dentro da

TI. Fonte: http://subjudice.net/2011/03/medida-provisoria-5072010-acabara-a-quebra-de-

sigilo-por-servidor/

[Ilustração, use esta imagem como modelo para a ilustração. Usar o termo “Secreto” no lugar

de “Top Secret”.]

Início da Caixa de Multimídia

O Decreto nº 4.555, de 8 de janeiro de 1991, trata da “salvaguarda de dados, informações,

documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado”. Esse

decreto define rótulos que devem ser dados à informação no “âmbito da Administração

Pública Federal”. O Art. 5º desse decreto define que dados ou informações sigilosas devem ser

classificadas em ultrassecretas, secretas, confidenciais e reservadas, conforme o seu grau de

sigilo. Esse decreto pode ser visto no endereço

http://www.planalto.gov.br/ccivil/decreto/2002/D4553.htm. Página acessada em 7 de abril de

2011.

Fim da Caixa de Multimídia

7. Segurança de recursos humanos

A seção 8 da ISO/IEC 27002 possui 3 objetivos de controle e 9 controles tratando de todo o

ciclo que envolve o relacionamento que um profissional pode vir a ter com uma organização.

Esse ciclo foi dividido em antes, durante e depois do seu estabelecimento. A implementação

dos controles desta seção garante que o SGSI possui processos para gerenciar de forma segura

esse relacionamento em todos os momentos de sua existência.

Início da Caixa de Atenção

Os recursos humanos de que tratam esses controles não são necessariamente formados por

funcionários da organização que está implantando o SGSI. Eles também envolvem os

funcionários de terceiros com quem a empresa possa estabelecer algum tipo de vínculo.

Fim da Caixa de Atenção

7.1. Antes da contratação

Este objetivo assegura “que funcionários, fornecedores e terceiros entendam suas

responsabilidades e estejam de acordo com os seus papéis” dentro do SGSI – antes –

do estabelecimento do vínculo. A implementação dos controles relacionados a esse

objetivo define o perfil do profissional que será contratado, os critérios do processo de

seleção, os termos e condições para contratação etc.

7.2. Durante a contratação

Este objetivo assegura que “os funcionários, fornecedores e terceiros estão

conscientes das ameaças e preocupações” relativas ao SGSI e “estão preparados para

apoiar a política de segurança da informação” em seu dia a dia. Os processos que

implementam esse objetivo se relacionam com motivação, conscientização, educação

e treinamento dos funcionários, além do processo disciplinar que pode acontecer nos

casos de descumprimento da política. Neste caso, a norma cita explicitamente que

“deve existir um processo disciplinar formal para os funcionários que tenham

cometido uma violação” da política de segurança.

7.3. Encerramento ou mudança na contratação

Este objetivo assegura que “funcionários, fornecedores e terceiros deixem a

organização ou mudem de trabalho de forma ordenada”. Os controles relacionados a

este objetivo envolvem o processo de encerramento das atividades, devolução de

ativos que estiverem em seu poder e retirada de direitos.

Atente para o fato de que a devolução de ativos também envolve ações para a

devolução de informações. Neste caso, “devolver” a informação significa compartilhar

internamente e tornar explícito o conhecimento que se tenha adquirido em virtude do

vínculo com a empresa.

8. Segurança física e do ambiente

A seção 9 da ISO/IEC 27002 possui 2 objetivos de controle e 13 controles tratando da

segurança física de áreas e de equipamentos da organização. Os controles desta seção estão

relacionados à definição de um perímetro físico de segurança (muros, portões, controle de

acesso, áreas de entrega e carregamento, manutenção de equipamentos, controle do descarte

de equipamentos etc.).

8.1. Áreas seguras

Este objetivo visa “prevenir o acesso físico não autorizado e interferências com as

instalações e informações da organização”. Os seus controles, quando implementados,

definem um perímetro de segurança física para as áreas que contenham informações

ou recursos de processamento da informação (servidores, computadores etc.).

A empresa pode implementar processos de controle de entrada física para

assegurar que o acesso a essas áreas só seja permitido a pessoas autorizadas. Isso

envolve, além da implantação de salas-cofre etc., a implementação de segurança para

escritórios, áreas de trabalho (mesa etc.) e outros ambientes da empresa.

Há também controles relacionados à proteção contra distúrbios externos, causas

naturais (incêndios, enchentes etc.).

Figura 11.5: A segurança física é parte importante da segurança da informação; este é um

exemplo de sala-cofre. Fonte:

http://www.boxfile.com.br/produtos_servicos/celula_estanque/conteudo.htm

[Ilustração, use esta imagem como modelo para a ilustração.]

8.2. Segurança de equipamentos

O objetivo aqui é “impedir perdas, danos, furto ou comprometimento de ativos”

que possam impactar as atividades da organização. Seus controles envolvem a

instalação e proteção adequada dos equipamentos, a segurança dos pontos de acesso

ao cabeamento, a manutenção preventiva dos equipamentos etc.

Note que, estendendo um pouco o conceito, convém que a empresa se preocupe

com equipamentos que estejam fora da organização. Assim, há controles explícitos na

norma que tratam da segurança de equipamentos utilizados em deslocamento pelos

funcionários, equipamentos que são levados para manutenção ou descartados etc.

9. Gerenciamento das operações e comunicações

A seção 10 da ISO/IEC 27002 possui 10 objetivos de controle e 32 controles tratando da

operação (gerenciamento de terceiros, operação de sistemas, cópias de segurança, comércio

eletrônico, monitoramento de redes etc.).

9.1. Procedimentos e responsabilidade operacionais

Este objetivo garante “a operação segura e correta dos recursos de processamento

da informação”. Seus controles visam documentar procedimentos, gerenciar

mudanças na operação e gerenciar liberações de novas aplicações ou sistemas para

que não haja prejuízos à disponibilidade dos serviços.

9.2. Gerenciamento de serviços terceirizados

Este objetivo de controle visa “implementar e manter o nível apropriado de

segurança da informação e de entrega de serviços” conforme os acordos

estabelecidos. Seus controles se relacionam com entrega, monitoramento e mudanças

nos serviços terceirizados que lidam com os ativos da empresa.

9.3. Planejamento e aceitação de sistemas

Este objetivo visa a “minimizar o risco de falhas nos sistemas”. Seus controles

estão relacionados à gestão da capacidade da infraestrutura para execução do sistema

e a realização de testes para a aceitação de sistemas novos ou de atualizações.

9.4. Proteção contra códigos maliciosos e códigos móveis

Este objetivo visa “proteger a integridade de softwares e da informação” contra

esse tipo de ameaça. Os controles são fundamentados em detecção, prevenção e

recuperação de sistemas em caso de incidentes. A norma faz distinção entre códigos

maliciosos e códigos móveis. Exemplos de códigos móveis maliciosos são os worms,

como você viu na Aula 1.

9.5. Cópias de segurança

Este objetivo visa, principalmente, manter “a disponibilidade da informação”. Há

apenas um único controle relacionado a esse objetivo, que trata da realização e teste

de cópias de segurança das informações.

9.6. Gerenciamento da segurança de redes

Este objetivo de controle assegura “a proteção das informações em redes”. Seus

controles visam garantir a confidencialidade, a integridade e a disponibilidade das

informações que trafegam nas redes de computadores.

9.7. Manuseio de mídias

Este objetivo visa à prevenção de “divulgação não autorizada, modificação,

remoção ou destruição dos ativos” que possam causar interrupções ao negócio. Seus

controles estão relacionados à implementação de processos para gerenciar mídias

removíveis, gerenciar o descarte de mídias, armazenar adequadamente toda a

documentação de softwares etc.

9.8. Troca de informações

Este objetivo provê segurança no “intercâmbio de informações e softwares”

dentro da organização ou com quaisquer entidades externas. Seus controles definem

políticas, procedimentos e acordos para troca de informações e para o trânsito de

mídias, quando autorizado. Exemplos de informações que podem estar em trânsito

são aquelas informações trocadas através de correio eletrônico, sistemas de internet e

outros sistemas corporativos (ERPs etc.).

Início da Caixa de Verbete

Enterprise Resource Planning (ERP) – são sistemas integrados de gestão empresarial

popularizados na década de 1980. Tinham como bandeira a integração de vários sistemas de

da organização em um só. Normalmente tais sistemas possuem vários módulos (financeiro,

contábil, recursos humanos, vendas, marketing, relacionamento com o cliente etc.). Alguns

exemplos de ERP muito usados pelas empresas brasileiras são o SAP, o Microsiga e o Datasul.

Fim da Caixa de Verbete

Figura 11.6: A norma ISO/IEC 27002 possui controles que tratam da questão do comércio

eletrônico nas organizações. Fonte: http://www.ivan.eti.br/category/internet/comercio-

eletronico/


9.9. Serviços de comércio eletrônico

Este objetivo visa a assegurar, especificamente, “a utilização de serviços de

comércio eletrônico” de forma segura. Seus controles determinam a necessidade de

proteger as informações on-line contra transmissões incompletas, alterações não

autorizadas, divulgação não autorizada, duplicação etc.

9.10. Monitoramento

Este objetivo de controle visa a “detectar atividades não autorizadas de

processamento da informação”. Seus controles se relacionam com processos de

criação, manutenção e proteção de registros de auditoria, monitoramento do uso de

sistemas, geração e proteção de logs de sistemas etc.

Início da Caixa de Verbete

Logs – são informações registradas automaticamente durante o uso dos sistemas. Exemplos de

informações importantes para a geração de logs são os registros das atividades do

administrador do sistema, registro de horários de acesso aos principais sistemas de

processamento de informação, registro de falhas ocorridas nos sistemas etc.

Fim da Caixa de Verbete

10. Controle de acessos

A seção 11 da ISO/IEC 27002 possui 7 objetivos de controle e 25 controles tratando do

controle de acesso à rede (cabeada ou sem fio), aos sistemas operacionais, a aplicações e à

própria informação em si. Observe que, embora exista um vínculo muito forte entre a

expressão “controle de acesso” e o termo “autenticação”, este não é o único foco da seção.

10.1. Requisitos de negócio para controle de acesso

Este objetivo visa a “controlar o acesso à informação”. Os processos

implementados na organização determinam que a política de segurança contenha

diretrizes para o acesso à informação.

10.2. Gerenciamento de acesso do usuário

Este objetivo de controle previne acesso “não autorizado a sistemas de

informação” e à própria informação. Seus controles estão relacionados à

implementação de processos para registrar usuários, conceder e controlar privilégios,

gerenciar senhas de usuários e analisar constantemente os seus perfis.

10.3. Responsabilidades dos usuários

Este controle assegura “acesso de usuário autorizado e previne acesso não

autorizado a sistemas de informação”. Existem ações que podem ser tomadas pelo

próprio usuário; devem existir processos na empresa que assegurem a implementação

dos controles relacionados. Convém que o usuário utilize boas práticas na escolha de

senhas, proteja equipamentos que não possuam monitoramento e tome medidas para

proteger a sua área de trabalho (mesa, tela do computador etc.).

10.4. Controle de acesso à rede

Este objetivo previne “acesso não autorizado aos serviços de rede”. Convém que

existam processos para definir uma política de uso da rede clara e divulgada na

empresa. Isso envolve controles que garantam a autenticação de conexões remotas, a

identificação dos equipamentos da rede, a segregação das redes, o controle do

roteamento etc.

10.5. Controle de acesso ao sistema operacional

Este objetivo de controle previne “acesso não autorizado aos sistemas

operacionais”. O procedimento de acesso aos sistemas (log-in) deve acontecer de

forma segura. Convém que todo usuário seja unicamente identificado, os sistemas

restrinjam o uso de senhas “fracas”, os terminais bloqueiem sessões por inatividade,

horários de acesso aos sistemas sejam controlados etc.

Figura 11.7: O controle de qual usuário pode acessar qual serviço e a partir de onde é parte

importante da segurança da informação. Fonte: Stock.Xchng | Foto: Kulo T

http://www.sxc.hu/photo/1104507

10.6. Controle de acesso à aplicação e à informação

Este objetivo previne “acesso não autorizado à informação contida nos sistemas de

aplicação” da empresa. A ideia é que haja controles para restringir o acesso à

informação de acordo com a política de acesso e com os perfis de usuários. A norma

ainda aconselha que os sistemas mais sensíveis tenham ambiente computacional

isolado (ou dedicado) para impossibilitar que o acesso a um sistema menos sensível

facilite o acesso ao sistema mais sensível. Sensível é um sistema que armazena

informações confidenciais ou de alto valor estratégico para a empresa.

10.7. Computação móvel e trabalho remoto

Este objetivo de controle garante a “segurança da informação quando se utilizam a

computação móvel e recursos de trabalho remotos”. Convém que haja processos na

empresa que controlem acesso remoto e uso de redes móveis como, por exemplo,

através de VPNs, tecnologias 3G, redes sem fio etc.

11. Aquisição, desenvolvimento e manutenção de sistemas de informação

A seção 12 da ISO/IEC 27002 possui 6 objetivos de controle e 16 controles tratando do

desenvolvimento de aplicações. Há controles relacionados ao estabelecimento de requisitos

de segurança da informação, ao processamento correto de aplicações, ao uso de criptografia

nos sistemas, à segurança dos arquivos de sistema etc.

11.1. Requisitos de segurança de sistemas de informação

Este objetivo visa garantir que a segurança seja “parte integrante dos sistemas de

informação”. Seus controles ajudam a empresa a construir processos para assegurar

que os requisitos de negócio sejam atendidos, tanto para sistemas novos, quanto para

sistemas existentes que estejam passando por melhorias.

11.2. Processamento correto de aplicações

Este objetivo de controle previne “a ocorrência de erros, perdas, modificação não

autorizada ou mau uso de informações” pelas aplicações. Convém que a organização

possua processos para validar dados de entrada para uso de sistemas, garantir o

processamento interno correto e validar dados de saída.

11.3. Controles criptográficos

Este objetivo protege “a confidencialidade, a autenticidade, a integridade das

informações por meios criptográficos”. Convém que a empresa faça uso de recursos de

criptografia para assegurar que os princípios da segurança da informação sejam

garantidos na empresa, inclusive durante o uso de aplicações e sistemas.

11.4. Segurança de arquivos de sistemas

Este objetivo de controle visa a “garantir a segurança de arquivos de sistema”.

Note que, neste caso, os controles que podem ser implementados pela empresa se

referem aos arquivos de sistema. Assim, a norma se refere à proteção do código fonte

de um programa, proteção dos dados usados para testes de sistema.

Figura 11.8: A segurança no desenvolvimento de sistemas é uma parte muito importante

do SGSI. Fonte: Stock.Xchng | Foto: Nick Benjaminsz http://www.sxc.hu/photo/49279

Diagramação, o autor já foi notificado sobre a utilização de sua imagem.

11.5. Segurança em processos de desenvolvimento e de suporte

Este objetivo visa “manter a segurança de sistemas aplicativos e da informação”.

Os controles que a empresa pode implementar visam assegurar que o suporte a

sistemas seja controlado por meio de processos e procedimentos formais de controle.

Assim, aplicações críticas de negócio são analisadas e testadas quando sistemas

operacionais são mudados. Além disso, um conselho curioso da norma é que pacotes

de software não devem ser incentivados e, na medida do possível, devem ser limitados

às mudanças estritamente necessárias. Trata-se de uma preocupação em não afetar o

estado operacional de uma aplicação com mudanças desnecessárias.

Este objetivo de controle também está relacionado à terceirização do

desenvolvimento de software, cujos cuidados devem ser maiores ainda.

11.6. Gerenciamento de vulnerabilidades técnicas

Este objetivo de controle reduz “riscos resultantes da exploração de

vulnerabilidades técnicas conhecidas”. Convém que a empresa implemente processos

regulares para a instalação de atualizações de segurança em sistemas e aplicações

(patchs) em tempo hábil. Quando isso não for possível, convém que a empresa avalie o

grau de exposição oriundo do não cumprimento deste controle.

12. Gestão de incidentes de segurança da informação

A seção 13 da ISO/IEC 27002 possui 2 objetivos de controle e 5 controles tratando de

incidentes de segurança da informação. A norma ISO/IEC 27001 define incidente como um ou

mais eventos críticos que necessitam de tratamento imediato. Os controles desta seção visam

implementar processos que assegurem que esse tratamento será efetivo.

12.1. Notificação de fragilidades e eventos de segurança

Este objetivo assegura que “eventos de segurança da informação sejam

notificados, permitindo a tomada de ação corretiva em tempo hábil”. Seus controles

estão relacionados ao processo de notificação de eventos e de fragilidades.

Segundo a norma, a empresa deve relatar eventos de segurança ao ponto de

contato designado. Além disso, há a previsão para que funcionários envolvidos em

operações críticas possam relatar esses eventos mesmo quando se encontram em

situação sensível que possa prejudicar a sua função na empresa. A norma usa a

expressão “alarme de coação” para esses casos.

12.2. Gerenciamento de incidentes de segurança da informação e melhorias

Este objetivo visa garantir que um “enfoque consistente e efetivo seja aplicado à

gestão de incidentes de segurança da informação”. Seus controles, quando

implementados, garantem a existência de responsabilidades e procedimentos para

coleta de evidências e de lições aprendidas a partir de incidentes. Também convém

que a empresa estabeleça mecanismos para permitir que tipos, quantidades e custos

dos incidentes de segurança da informação sejam quantificados e monitorados.

13. Gestão da continuidade do negócio

A seção 14 da ISO/IEC 27002 possui 1 objetivo de controle e 5 controles tratando da

continuidade das operações de TI de forma segura.

Início da Caixa de Multimídia

Em 2007, a Associação Brasileira de Normas Técnicas (ABNT) lançou a família de normas NBR

15999, que trata da gestão da continuidade dos negócios no Brasil. Essa norma não é derivada

de uma norma ISO; ela foi desenvolvida a partir das normas britânicas da família BS 25999. A

norma NBR 15999-1 contém o código de práticas para subsidiar a implementação do sistema

de gerenciamento da continuidade de negócios (SGCN). A norma NBR 15999-2 contém os

requisitos para a sua implementação. Você pode obter mais informações a respeito no site

oficial da ABNT: http://www.abnt.org.br/. Página acessada em 12 de abril de 2011.

Fim da Caixa de Multimídia

13.1. Aspectos da gestão da continuidade do negócio

Este objetivo de controle visa impedir “a interrupção das atividades do negócio e

proteger os processos críticos contra efeitos de falhas ou desastres significativos”. Os

processos implementados a partir dos controles deste objetivo possibilitam a

retomada do negócio em tempo hábil no caso de interrupção. Devem ser identificados

eventos que possam causar interrupções nos processos de negócio. Os controles

relacionados a este objetivo também tratam da existência de uma infraestrutura

secundária (sites de reserva) como redundância em caso de descontinuidade da

infraestrutura principal.

Convém que a empresa construa um plano de continuidade do negócio (GCN) e

que o revise periodicamente em intervalos planejados.

Figura 11.9: O plano de continuidade lida com eventos e incidentes sistêmicos que possam

interromper o negócio. Fonte: http://ogerente.com.br/rede/projetos/modalidades-e-

responsabilidades


14. Conformidade

A seção 15 da ISO/IEC 27002 possui 3 objetivos de controle e 10 controles tratando de

questões legais, conformidade e auditoria.

14.1. Conformidade com requisitos legais

Este objetivo de controle evita qualquer violação à “lei criminal ou civil, estatutos,

regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança”.

Seus controles, quando implementados, identificam a legislação pertinente, garantem

o direito de propriedade intelectual, protegem os registros da organização etc. Além

disso, existe um controle relacionado a este objetivo que trata das questões legais que

envolve o uso de criptografia. Isso acontece porque, em muitos países, há restrições

legais quanto ao uso, exportação e importação de softwares que utilizam criptografia.

14.2. Conformidade com normas e políticas de segurança da informação

Este objetivo de controle garante a “conformidade dos sistemas com as políticas e

normas organizacionais de segurança”. Convém que haja controles que garantam o

atendimento da política de segurança previamente estabelecida na organização.

14.3. Considerações de auditoria de sistemas de informação

Este objetivo de controle visa “maximizar a eficácia e minimizar a interferência no

processo de auditoria dos sistemas de informação”. Convém que a empresa

implemente controles para que os requisitos e as atividades de auditoria sejam

cuidadosamente planejados e acordados para reduzir ao mínimo a interrupção de

processos. Isso inclui a proteção do acesso às ferramentas de auditoria para prevenir

mau uso.



Após estudar as normas ISO/IEC 27001 e ISO/IEC 27002, alguns colegas de sua empresa ainda

não têm ideia de por onde começar ou sobre quais objetivos de controle e controles são mais

relevantes (e quais não são). Como você ajudaria a esclarecer as coisas?


Resposta

A escolha dos objetivos de controle e controles relevantes deve ser feita durante o

estabelecimento do SGSI (Plan). Após conhecer todos os controles, o primeiro passo da

empresa deve ser listar os ativos mais importantes para ela. Lembre-se de que ativo “é tudo

que tem valor para a empresa” do ponto de vista da segurança da informação. Após listar os

ativos, o próximo passo é analisar e avaliar os riscos, gerando uma lista de riscos identificados

e o seu grau de criticidade. Você deve mencionar ainda que a norma ISO/IEC 27005 pode ser

útil durante a análise e a avaliação de riscos, pois seu conteúdo é especificamente voltado para

detalhar estes processos. Além disso, é importante lembrar que, além da análise e avaliação de

riscos, a legislação pertinente e o plano estratégico da organização são fontes importantes de

requisitos para o estabelecimento do SGSI.

Fim da Atividade

15. Conclusão

Como você viu aqui, o uso da norma ISO/IEC 27002 não é obrigatório, pois ela contém o

código de práticas para o sistema de gerenciamento da segurança da informação. Este código

reúne uma série de considerações que podem ser vistas como “conselhos” para estabelecer,

implantar, operar, monitorar, analisar, manter e melhorar o SGSI. Porém, é altamente

recomendado que a empresa adote a maior parte dos controles sugeridos para que os

objetivos sejam atingidos. Isso significa que os requisitos da norma ISO/IEC 27001 poderão ser

atendidos com muito mais eficiência e eficácia se a empresa adotar essa abordagem.

Por outro lado, será praticamente impossível atender a todos os requisitos de certificação

(o que é obrigatório) eliminando muitos dos objetivos de controle. Basta lembrar que todo e

qualquer objetivo listado na ISO/IEC 27002 e não contemplado no SGSI deve ser mencionado

na declaração de aplicabilidade com a respectiva justificativa para tal.

Nesta aula vimos que os 133 controles da ISO/IEC 27002 tratam de diversas áreas cujos

eventos de segurança ou incidentes podem afetar seriamente o negócio. Os controles vão de

questões administrativas (política de segurança, gestão da continuidade etc.) a questões

técnicas (operações e comunicação, desenvolvimento de software etc.) e passam também por

questões legais (gestão da conformidade). Também há vários controles diretamente ligados à

segurança de redes, mas, por outro lado, há vários outros controles ligados ao

desenvolvimento de software. A norma não faz esse tipo de distinção; portanto, há seções em

que encontramos controles ligados à segurança de redes e controles ligados ao acesso ou uso

de aplicações.

Resumo

� As normas da família ISO/IEC 27000 surgiram a partir de normas britânicas da família

BS 7799: a ISO/IEC 27002 foi originada da BS 7799-1, e a ISO/IEC 27001 foi originada da

BS 7799-2.

� A norma ISO/IEC 27002 contém o detalhamento das práticas, controles e objetivos de

controle do SGSI.

� A norma ISO/IEC 27001 contém os requisitos para a implantação do SGSI. Ela é a base

do processo de auditoria de certificação.

� A norma ISO/IEC 27002 possui 39 objetivos de controle e 133 controles. O objetivo de

controle é um resultado que se pretende atingir. O controle é uma ação que precisa

ser implementada para atingir o objetivo.

� A implementação de controles não é obrigatória. Porém o documento da declaração

de aplicabilidade deve conter as justificativas para todos os controles e objetivos de

controle considerados não aplicáveis pela organização.

� Os objetivos de controle estão agrupados em 11 seções: política de segurança,

organizando a segurança, RH, ativos, segurança física e do ambiente, operações e

comunicações, desenvolvimento de software, acesso, gestão de incidentes, gestão da

continuidade e gestão da conformidade.

Próxima aula

Na próxima aula você estudará o processo de elaboração do plano estratégico de TI

(PETI), do plano de continuidade de negócios (PCN) e da política de segurança da

informação. Esses três documentos reúnem as principais diretrizes de segurança em uma

organização. É importante que você saiba como eles são elaborados, qual é o seu

conteúdo e como eles se relacionam um com o outro.

Até a próxima aula!

Questões finais

1) (Analista de sistemas – IPEA/2008 – Cespe) Com relação à segurança em redes de computadores, julgue os itens a seguir:

[64] A identificação dos requisitos de segurança da informação se dá por meio da avaliação dos riscos dos ativos de informação, pela legislação vigente ou por meio do conjunto de princípios, objetivos e requisitos para o processamento da informação. A

organização deverá garantir que a segurança seja parte integrante dos sistemas de informação.

[67] Sob o ponto de vista legal, os controles considerados essenciais são: a proteção de dados e da privacidade de informações pessoais; o documento de política de segurança da informação e os relatórios de incidente, não considerados os direitos de propriedade intelectual.

[68] A segurança da informação é caracterizada pela preservação da confidencialidade, da integridade e da disponibilidade e se dá por meio de uma série de controles que podem ser: políticas, práticas, procedimentos, estruturas organizacionais, excluídas as funções de software.

2) (Tecnologista jr. – MCT/2008 – Cespe) Acerca das normas nacionais e internacionais relativas à segurança da informação, bem como da gestão de riscos de sistemas de informação, julgue os itens seguintes.

[118] O interesse das pessoas, a educação e o treinamento quanto à segurança da informação constituem controles considerados, do ponto de vista legislativo, como essenciais para uma organização, segundo a norma ISO 27002.

3) (Analista de controle externo – TCU/2008 – Cespe) Com base na ABNT NBR ISO/IEC 17799:2005, julgue os itens subsequentes.

[181] Se o administrador da segurança da informação de uma organização da administração pública decidir priorizar a implementação de controles com o objetivo de realizar a gestão de incidentes de segurança da informação e sua melhoria contínua, ele estará implementando um controle essencial da norma 17799/2005.

[183] Considerando-se que, em muitas organizações públicas, há urgência na adoção de controles visando-se à melhoria do atual nível de segurança da informação, um administrador de segurança da informação deve implementar, independentemente da análise e da avaliação de riscos de segurança da informação em curso, um conjunto de controles mínimos — controles primários —, os quais, segundo a norma 17799/2005, devem ser implementados em todos os casos.

4) (Apoio técnico administrativo – TCU/2007 – Cespe) Julgue os itens que se seguem, considerando que a empresa tenha implantado um programa de gestão de segurança da informação embasado na ABNT NBR ISO/IEC 17799.

[144] Todo evento de segurança da informação identificado no âmbito da organização corresponderá a uma ou mais violações da política de segurança da informação da organização.

[146] A ISO 17799 define diretrizes para certificação de que uma organização está em conformidade à própria norma. Essa certificação é conferida por meio de uma auditoria de terceira parte, nos moldes da ISO 19011.

5) (Analista de sistemas – Serpro/2008 – Cespe) A respeito das normas de segurança da informação, julgue os itens subsequentes.

[61] Uma política de segurança da informação preconizada pelas normas é composta por critérios sugeridos para a gestão da segurança, configuração de ativos etc., o que vai atribuir aos gestores a liberdade de escolher a forma mais inteligente, setorizada de se adotar segurança.

6) (Analista de TI – Anatel/2009 – Cespe) Julgue os itens subsequentes.

[85] A classificação da informação é um objetivo de controle explicitamente enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois controles, sendo um deles relacionado a recomendações para classificação e o outro ao uso de rótulos.

7) (Auditor de TI – TCU/2007 – Cespe) Julgue os itens subsequentes.

[154] Rootkits apresentam portabilidade entre plataformas e devem ser manuseados conforme os controles estabelecidos no capítulo relativo a aquisição, desenvolvimento e manutenção de sistemas de informação da NBR 17799.

Respostas

1) A afirmação [64] é verdadeira. Ela cita exatamente os três controles essenciais e diz que o SGSI deve estar integrado aos processos da organização. A afirmação [67] é falsa. Política de segurança da informação é considerada uma prática. Por outro lado, os direitos de propriedade intelectual são, sim, considerados controles essenciais. A afirmação [68] é falsa, pois as funções de software também fazem parte dos controles da segurança da informação.

2) A afirmação [118] é falsa. Esse item não é um controle essencial. O item citado é considerado uma prática da segurança da informação.

3) A afirmação [181] é falsa. A gestão de incidentes de segurança da informação é um controle considerado prática. A afirmação [183] é falsa. Não há controles que devam ser implementados em todos os casos, pois isso depende da análise e avaliação de riscos que cada organização fará.

4) A afirmação [144] é falsa. Um evento corresponde a apenas uma violação da segurança. A afirmação [146] é falsa. A ISO/IEC 17799, que originou a ISO/IEC 27002, não fornece diretrizes para certificação.

5) A afirmação [61] é falsa. A política é um documento estratégico que define diretrizes que devem ser seguidas pelo TI. Como é estratégica, não há critérios sugeridos, por exemplo, para a configuração de ativos; porém, com relação a esse mesmo assunto, pode haver diretrizes obrigatórias de alto nível.

6) A afirmação [85] é verdadeira. Embora esse objetivo de controle seja detalhado na norma ISO/IEC 27002, assunto desta aula, lembre-se de que todo o conteúdo dessa norma está enunciado de forma resumida no Anexo A da norma ISO/IEC 27001.

7) A afirmação [154] é falsa. Rootkits são códigos maliciosos e, portanto, são tratados na seção 10, Gerenciamento das Operações e Comunicações.

Referências

ABNT NBR ISO/IEC 27001:2006 - Tecnologia da informação - Técnicas de segurança. Requisitos

do sistema de gestão de segurança da informação. 34 p. Brasil, 2006.

ABNT NBR ISO/IEC 27002:2005 - Tecnologia da informação - Técnicas de segurança – Código

de práticas para a gestão da segurança da informação. 120 p. Brasil, 2005.

Special Publication 800-30. USA: National Institute of Standards and Technology, 2002. 55 p.

Disponível em http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf. Acesso em: 25

mar. 2011.

aula 11 segurança em redes final

Documents