CENTRO DE CINCIAS EXATAS, AMBIENTAIS E DE TECNOLOGIAS

Curso de Especializao em Anlise de Sistemas nfase em Arquitetura Cliente-Servidor

Gerenciamento da Segurana de Informao em Redes de Computadores e a Aplicao da Norma ISO/IEC 17799:2001

Luciano Eduardo Caciato

Monografia desenvolvida sob orientao do Professor Mestre Cristiano Roque Roland Portella, apresentada ao Centro de Cincias Exatas, Ambientais e de Tecnologias da Pontifcia Universidade Catlica de Campinas como requisito para obteno do ttulo de Especialista em Anlise de Sistemas.

Campinas, 2004

PONTIFCIA UNIVERSIDADE CATLICA DE CAMPINAS

GRO-CHANCELER Dom Bruno Gamberini

MAGNFICO REITOR Prof. Pe. Jos Benedito de Almeida David

VICE-REITOR Prof. Pe. Wilson Denadai

PR-REITORIA DE PS-GRADUAO E PESQUISA Profa. Dra. Vera Slvia Maro Beraquet

DIRETOR DO CENTRO DE CINCIAS EXATAS, AMBIENTAIS E DE TECNOLOGIAS Prof. Dr. Orandi Mina Falsarella

COORDENADOR DA ESPECIALIZAO EM ANLISE DE SISTEMAS: NFASE EM ARQUITEURA CLIENTE-SERVIDOR Prof. Ivan Granja

DEDICATRIA Aos meus pais Vanderlei e Gabriela Aos meus irmos Daniel e Vanderlei A minha noiva Estefania A Deus por me dar sade.

AGRADECIMENTOS Ao Prof. Portella pelos conselhos e pela pacincia na ajuda da criao deste trabalho. Aos funcionrios do Centro de Cincias Exatas, Ambientais e de Tecnologias da PUC-Campinas, que muito contriburam para que este trabalho fosse concludo.

RESUMO

Com o avano da tecnologia e as grandes exigncias do mercado, as organizaes comearam a preocupar-se em garantir a segurana da informao, estabelecendo procedimentos em transaes, operando por meio de regras de acesso e restries e criando hierarquia de responsabilidades. A Internet onde foram possveis a digitalizao do negcio, a expanso do comrcio exterior e a interconexo entre organizaes, era preciso uma norma que garantisse a segurana da informao. Com a criao da NBR ISO/IEC 17799, possvel garantir atravs de diretrizes que as informaes sejam protegidas e sem riscos de acessos no autorizados. abordado como implantar um ambiente seguro para os negcios, com nfase em redes de computadores.

Palavras-Chave: NBR ISO/IEC 17799:2001, Segurana da Informao, Tecnologia da Informao, Redes de Computadores.

SUMRIO ndice dos captulos

1. Introduo ....................................................................................................008 2. Gesto de Tecnologia da Informao e Segurana da Informao ................................010 2.1. O que segurana da informao.............................................................................010 2.2. Por que necessria a segurana da informao......................................................012 2.3. Como estabelecer os requisitos de segurana...........................................................012 2.4. Avaliando os riscos de segurana.............................................................................013 2.5. Selecionando controles para garantir a segurana da informao............................013 2.6. Ponto de partida para a segurana da informao.....................................................015 2.7. Fatores crticos de sucesso........................................................................................015 3. Conformidade com a Norma ISO/IEC 17799:2001..........................................................017 3.1. O que a NBR ISO/IEC 17799...............................................................................017 3.2. Framework e os controles de segurana da informao da Norma BS7799............018 3.3. Poltica de segurana da informao .......................................................................018 4. Gerenciamento de Segurana de Redes de Computadores..............................................020 4.1. Controles para as redes de computadores................................................................020 4.2. Segregao de funes..............................................................................................021 4.3. Controle de acesso rede..........................................................................................021 4.4. Controles Criptogrficos...........................................................................................022 5. 6. Concluso.............................................................................................................................023 Referncias bibliogrficas..................................................................................................024

vi

Lista de Figuras
Figura 1 - Conceitos Bsicos da Segurana da Informao.................................................012

vii

1
Introduo
Com o avano da tecnologia e o custo cada vez menor do acesso a Internet, realidade dizer que existem mais usurios conectados a rede, e por esse motivo maior a exposio das organizaes, tornando necessrio que seja investido em tecnologias como equipamentos que garantam a segurana dos negcios, porm mesmo com esses equipamentos ainda no eficaz a segurana da informao. Invaso de hacker, espionagem industrial, cada vez mais fcil enviar as informaes ou mesmo torn-las indisponvel. Sempre houve a preocupao em adquirir novos equipamentos de segurana, mas no se imaginava que o ser humano um sistema de informao e que pode transportar essas informaes. Por esse motivo necessria uma norma que possa implementar a partir da alta direo, uma poltica de segurana na organizao. Mas como fazer isso? possvel ter uma rede de computadores totalmente segura em uma organizao? Sero abordados neste trabalho quais so as melhores prticas de segurana da informao em redes de computadores aplicando a NBR ISO/IEC 17799:2001. A metodologia utilizada atravs da interpretao e utilizao das diretrizes da NBR ISO/IEC 17799:2001 e pesquisa de livros de Gerenciamento de Tecnologia da Informao e Gesto de Segurana. O tema gerenciamento da segurana de informao em redes de computadores de extrema importncia na atualidade, com o aumento expressivo de negcios realizados por meios de comunicao e os altos investimentos e lucros obtidos obrigatrio que as organizaes mantenham a comunicao entre seus clientes e fornecedores, sempre disponibilizadas, integras e confiveis. Este trabalho est organizado em 6 captulos fornecendo todo o contedo terico para a utilizao das diretrizes de segurana. O capitulo dois apresenta as informaes tericas para o entendimento das diretrizes, neste captulo que est definido o que informao, o porque da segurana da informao e quais os seus controles de segurana. O capitulo trs apresenta as conformidades da NBR ISO/IEC 17799:2001, o framework da Norma Britnica BS7779 e como criar a poltica de segurana da informao na organizao. O capitulo quatro apresenta as diretrizes da NBR ISO/IEC 17799:2001 relativo segurana da informao nas redes de computadores, os controles de acesso e os controles criptogrficos. O capitulo cinco apresenta a concluso do trabalho e o porque de utilizar a poltica e as diretrizes de segurana. 8

O capitulo seis apresenta as referencias bibliogrficas de onde foram baseadas e retiradas s informaes deste trabalho.

2
Gesto de Tecnologia da Informao e Segurana da Informao
Em todas as fases da evoluo corporativa, fato que as transaes de toda a cadeia de produo passando pelos fornecedores, fabricantes, distribuidores e consumidores sempre teve na informao uma base fundamental de relacionamento e coexistncia. Seja para troca de mercadorias, segredo estratgico, regras de mercado, dados operacionais ou simplesmente pesquisas, a informao, aliada crescente complexidade do mercado, forte concorrncia e a velocidade imposta pela modernizao das relaes corporativas, elevou seu posto na pirmide estratgica do executivo, tornando-se fator vital para seu sucesso ou fracasso. ao lado destas variveis de mercado que a tecnologia, por meio de instrumentos e solues sofisticadas, preparadas para atender qualquer demanda do mercado, se transformou na principal mola propulsora desta nova fase da informao dentro das corporaes, sob o nome j clssico de Tecnologia da Informao (TI). Descentralizao de informaes para compartilhamento em redes, necessidade de integrao de parceiros de negcios, acesso rpido, atualizao constante de base de dados, integrao de unidades de negcios e colaboradores internos, disponibilidade ao cliente. Para completar, tudo isso envolvido em uma grande malha digital em constante expanso, a Internet. Estas so algumas das partes de um cenrio que transformou a informao na principal moeda corrente do mundo corporativo, das transaes de automao bancria ao mercado financeiro, do controle de estoque ao comrcio eletrnico. No entanto, da mesma forma que esta mudana de paradigma apresenta constantes oportunidades, com espao para se criar e ousar sobre os caminhos, acaba tambm por ser tornar um ambiente muitas vezes hostilizado, altamente visado por aes ilcitas e invariavelmente desprovido de instrumentos para combater e lidar com estas ocorrncias. (HTTP://WWW.NEXTGENERATIONCENTER.COM/BR/).

2.1. O que segurana da informao A informao um ativo, entre outros ativos de extrema importncia nos negcios. A informao deve ser protegida de maneira que no ocorra a possibilidade de acessos no autorizados, alteraes indevidas ou sua indisponibilidade. A segurana da informao deve ser implantada em todas as reas da organizao, pois so encontradas em diversos meios como: impresso ou escrito em papel, armazenado eletronicamente, enviado pelo correio ou atravs de meios eletrnicos. A segurana da informao, conforme mostrado na figura 1, tem como objetivo a preservao de trs princpios bsicos pelos quais se norteia a implementao desta prtica:

Confiabilidade Toda informao deve ser protegida de acordo com o grau de sigilo de seu contedo, visando limitao de seu acesso e uso apenas s pessoas para quem elas so destinadas.

10

Integridade Toda a Informao deve ser mantida na mesma condio em que foi disponibilizada pelo seu proprietrio, visando proteg-las contra alteraes indevidas, intencionais ou acidentais. Disponibilidade Toda a informao gerada ou adquirida por um individuo ou instituio deve estar disponvel aos seus usurios no momento em que os mesmos delas necessitem para qualquer finalidade. (SMOLA, 2003, p.45).

Confiabilidade

Integridade

Disponibilidade

Segurana da Informao

Figura 1: Conceitos Bsicos da Segurana da Informao

Informao Conjunto de dados utilizados para a transferncia de uma mensagem entre indivduos e/ou mquinas em processos comunicativos (isto , baseados em troca de mensagens) ou transacionais (isto , processos em que sejam realizadas operaes que envolvam, por exemplo, a transferncia de valores monetrios). A informao pode estar presente ou ser manipulada por inmeros elementos deste processo, chamados ativos, os quais so alvos de proteo da segurana da informao. Ativo Todo elemento que compe os processos, incluindo o prprio processo, que manipulam e processam a informao, a contar a prpria informao, o meio em que ela armazenada, os equipamentos em que ela manuseada, transportada e descartada. O termo ativo possui esta denominao, oriunda da rea financeira, por ser considerado em elemento de valor para o individuo ou organizao, e que, por esse motivo, necessita de proteo adequada. Existem muitas formas de dividir e agrupar os ativos para facilitar seu tratamento, um deles : equipamentos, aplicaes, usurios, ambientes, informaes e processos. Desta forma, torna-se possvel identificar melhor as fronteiras de cada grupo, tratando-os com especificidade e aumentando qualitativamente as atividades de segurana.(SMOLA, 2003, p. 45 e 46).

11

2.2. Por que necessria a segurana da informao A informao e os processos de apoio, sistemas e redes so importantes ativos e tambm, estratgicos para os negcios. Confiabilidade, integridade e disponibilidade, so caractersticas chave para a segurana da informao, atravs dessas caractersticas que possvel preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao no mercado. As organizaes esto extremamente preocupadas com a segurana nos sistemas de informao e redes de computadores, esses tipos de ameaas segurana podem acarretar em enormes prejuzos aos negcios, so utilizadas variedades de fontes como, fraudes eletrnicas, espionagem, sabotagem, entre outras. necessrio garantir a confiabilidade e segurana de suas transaes e combater os ataques causados por vrus, hackers, e ataques de denial of service1, que esto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.
A dependncia nos sistemas de informao e servios significa que as organizaes esto cada vez mais vulnerveis s ameaas de segurana. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda dificulta a implementao de um controle de acesso centralizado realmente eficiente.(ISO/IEC 17799, 2001, p. 2).

Muitos sistemas de informao no foram projetados para garantir a segurana, pelo motivo que esses sistemas foram desenvolvidos em uma poca em que no existia a interconexo das redes de computadores. A segurana que pode ser alcanada por meios tcnicos limitada e convm que seja apoiada por uma gesto e procedimentos apropriados. necessrio escolher controles que permitam a implantao da segurana, mas para que os resultados sejam alcanados necessria participao de todos os funcionrios da organizao, e possivelmente a participao dos fornecedores, clientes e acionistas. Os controles de segurana da informao so consideravelmente mais baratos e mais eficientes se forem incorporados nos estgios do projeto e da especificao dos requisitos.

2.3. Como estabelecer os requisitos de segurana Toda organizao para obter segurana de suas informaes deve estabelecer requisitos, conforme a norma ISO/IEC 17799, pode ser dividido em trs fontes principais:
A primeira fonte derivada da avaliao de risco dos ativos da organizao. Atravs da avaliao de risco so identificadas as ameaas aos ativos, as vulnerabilidades e sua probabilidade de ocorrncia avaliada, bem como o impacto potencial estimado. A segunda fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que a organizao, seus parceiros, contratados e prestadores de servio tm que atender.

Denial of Service: ou DoS uma tcnica que consiste em dificultar ou impedir o bom funcionamento de um servio de Internet, atravs de um grande volume de requisies de servio para esse servidor.

12

A terceira fonte so as particularidades da organizao, objetivos e requisitos para o processamento da informao que uma organizao tem que se desenvolver para apoiar suas operaes.(ISO/IEC 17799, 2001, p. 2).

2.4. Avaliando os riscos de segurana

Os requisitos de segurana so identificados atravs de uma avaliao sistemtica dos riscos de segurana. Os gastos com os controles necessitam ser balanceado de acordo com os danos causados aos negcios gerados pelas potenciais falhas de segurana. As tcnicas de avaliao de riscos podem ser aplicadas em toda a organizao ou apenas em parte dela, assim como em um sistema de informaes individuais, componentes de um sistema especifico ou servios, quando for vivel, prtico e til. (ISO/IEC 17799, 2001, p. 2).

Na viso holstica do risco conceitual considerar os planos e identificar os desafios e as caractersticas especificas do negcio so os primeiros passos para modelar uma soluo de segurana adequada. Sendo assim, risco a probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confiabilidade, integridade e disponibilidade, causando possivelmente, impactos para a organizao. Com os resultados obtidos na avaliao de risco possvel direcionar e determinar as aes gerenciais e prioridades mais adequadas para um gerenciamento de riscos da segurana da informao e a selecionar os controles a serem implementados para a proteo contra estes riscos. necessrio realizar anlises crticas peridicas dos riscos de segurana e dos controles implementados para: a) considerar as mudanas nos requisitos de negcios e suas prioridades; b) considerar novas ameaas e vulnerabilidades; c) confirmar que os controles permanecem eficientes e adequados. de grande importncia que as anlises crticas sejam executadas em diferentes nveis de profundidade, dependendo dos resultados obtidos nas avaliaes de riscos e das mudanas nos nveis de riscos verificado se aceitvel para o negcio. A seqncia correta para a verificao das vulnerabilidades, deve ser primeiro a avaliao de riscos em um nvel mais geral, como uma forma de priorizar recursos em reas de alto risco, e ento em um nvel mais detalhado, para solucionar riscos especficos.

2.5. Selecionando controles para garantir a segurana da informao Uma vez tendo sido identificado os requisitos de segurana, convm que os controles sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nvel aceitvel. Comumente esta atividade faz parte de uma orientao obtida pela anlise de riscos ou por sugestes de normas especficas de segurana, como a ISO17799, o

13

CobiT2, o Technical Report 13335 ou, ainda, normas especficas como a de cabeamento estruturado EIA/TIA586A. O universo de controles aplicveis enorme, pois estamos falando de mecanismos destinados segurana fsica, tecnolgica e humana. Se pensarmos no peopleware, ou seja, no capital humano como um dos elos mais crticos e relevantes para a reduo dos riscos, temos alguns controles como: Seminrios de sensibilizao, Cursos de capacitao, Campanhas de divulgao da poltica de segurana, Crachs de identificao, Procedimentos especficos para demisso e admisso de funcionrios, Termo de responsabilidade, Termo de confiabilidade, Softwares de auditoria de acessos, Softwares de monitoramento e filtragem de contedo etc... Muitos controles humanos citados interferem direta ou indiretamente no ambiente fsico, mas este deve receber a implementao de um outro conjunto de mecanismos voltados a controlar o acesso e as condies de ambientes fsicos, sinalizando registrando, impedindo e autorizando acessos e estados, dentre os quais podem ser utilizados: Roletas de controle de acesso fsico, Climatizadores de ambiente, Detectores de fumaa, Acionadores de gua para combater o incndio, Extintores de incndio, Cabeamento estruturado, Salas-cofre, Dispositivos biomtricos, Smartcards, Certificados Digitais de Token, Circuitos internos de televiso, Alarmes e sirenes, Dispositivos de proteo fsica de equipamentos, Nobreaks, Dispositivos de armazenamento de mdia magntica, Fragmentadores de papel, Etc. Assim como ocorre com os controles fsicos e humanos, a lista dos dispositivos aplicveis aos ativos tecnolgicos extensa; afinal, alm da diversidade e heterogeneidade de tecnologias, ainda temos que considerar a velocidade criativa do setor que nos apresenta uma nova ferramenta ou equipamento praticamente a cada dia.Os instrumentos aplicveis aos ativos tecnolgicos podem ser divididos em trs famlias. Autenticao e autorizao Destinados a suprir os processos de identificao de pessoas, equipamentos, sistemas e agentes em geral, os mecanismos de autenticao mostram-se fundamentais para os atuais padres de informao, automao e compartilhamento de informaes. Sem identificar a origem de um acesso e seu agente, torna-se praticamente invivel realizar autorizaes condizentes com os direitos de acesso, podendo levar a empresa a compartilhar informaes valiosas sem controle. Combate a ataques e invases Destinados a suprir a infra-estrutura tecnolgica com os dispositivos de software e hardware de proteo, controle de acesso e conseqente combate a ataques e invases, esta famlia de mecanismos tem papel importante no modelo de gesto de segurana, medida que as conexes eletrnicas e tentativas de acesso indevido crescem exponencialmente. Privacidade das comunicaes inevitvel falar de criptografia quando o assunto privacidade das comunicaes. A criptografia uma cincia que estuda os princpios, meios e mtodos para proteger a confiabilidade das informaes atravs da codificao ou processo de cifrao e que
2

CobiT (Control Objectives for Information and related Tecnhology), modelo utilizado para verificar a governana de Tecnologia da Informao em uma organizao.

14

permite a restaurao da informao original atravs do processo de decifrao.Largamente aplicada na comunicao de dados, esta cincia utiliza algoritmos matemticos e da criptoanlise, para conferir maior ou menor proteo de acordo com a sua complexidade e estrutura de desenvolvimento. Quando vemos software de criptografia de mensagem ou, por exemplo, aplicaes que adotam criptografia, estamos diante de situaes em que a cincia foi empregada e materializada em forma de programas de computador.

2.6. Ponto de partida para a segurana da informao Um nmero de controles pode ser considerado como princpios bsicos, fornecendo um bom ponto de partida para a implementao da segurana da informao. So baseados tanto em requisitos legais como nas melhores prticas de segurana da informao normalmente usadas. Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem: a) proteo de dados e privacidade de informaes pessoais; b) salvaguarda de registros organizacionais; c) direitos de propriedade intelectual.

Os controles considerados como melhores prticas para a segurana da informao incluem: a) documento da poltica de segurana da informao; b) definio das responsabilidades na segurana da informao; c) educao e treinamento em segurana da informao; d) relatrio dos incidentes de segurana; e) gesto da continuidade do negcio. Estes controles se aplicam para a maioria dos ambientes corporativos, seguindo a Norma ISO/IEC 17799, percebemos que somente possvel utilizar esses controles, se determinarmos anteriormente a seleo dos controles (item 5), onde coletando as informaes atravs da avaliao de riscos, possvel verificar as vulnerabilidades e garantir sua correo.

2.7. Fatores crticos de sucesso A experincia tem mostrado que os seguintes fatores so geralmente crticos para o sucesso da implementao da segurana da informao dentro de uma organizao: a) poltica de segurana, objetivos e atividades, que reflitam os objetivos do negcio; 15

b) um enfoque para a implementao da segurana que seja consistente com a cultura organizacional; c) comprometimento e apoio visvel da direo; d) um bom entendimento dos requisitos de segurana, avaliao de risco e gerenciamento de risco; e) divulgao eficiente da segurana para todos os gestores e funcionrios; f) distribuio das diretrizes sobre as normas e poltica de segurana da informao para todos os funcionrios e fornecedores; g) proporcionar educao e treinamento adequados; h) um abrangente e balanceado sistema de medio, que usado para avaliar o desempenho da gesto de segurana da informao e obteno de sugestes para a melhoria.

16

3
Conformidade com a Norma ISO/IEC 17799:2001
A evoluo tecnolgica proporciona para as organizaes maiores negcios com seus clientes, fornecedores e colaboradores, onde a conectividade tem um papel fundamental para alcanar o sucesso. Com o crescimento do sistema de informaes colaborativas, cada vez mais crucial manter essas informaes seguras e suas fontes confiveis. Mas para que essas informaes sejam armazenadas e transmitidas de uma maneira segura, preciso que sejam estabelecidos controles que garantam a qualidade e integridade da informao. Por esse motivo vrias organizaes comearam a se preocupar com a segurana da informao, mas no possuam nenhum tipo de metodologia e controles que atendessem suas necessidades, pelo motivo de que cada organizao trabalha de uma maneira e suas prioridades entre os nveis de segurana podem variar de uma organizao para a outra. Com isso a International Organization for Standardization (ISO), onde seu objetivo criar normas e padres universalmente aceitos, criou a Norma ISO 17799, sendo no Brasil controlada pela Associao Brasileira de Norma Tcnicas (ABNT), como NBR ISO/IEC 17799, que tem como nome Tecnologia da Informao Cdigo de prtica para a gesto da segurana da informao, onde proporciona para as organizaes os controles necessrios para a segurana da informao. 3.1. A NBR ISO/IEC 17799 A NBR (Norma Brasileira) ISO/IEC 17799 - Tecnologia da Informao Cdigo de prtica para a gesto da segurana da informao, originada da Norma Britnica BS7799 Parte 13, desenvolvida pela British Standards Institute (BSI), com inicio em 1995, e depois padronizada pela International Organization for Standardization (ISO) em 2000, como ISO/IEC 17799. Esta norma tem como objetivo fornecer recomendaes para a gesto da segurana da informao para uso dos departamentos responsveis pela introduo, implementao ou manuteno da segurana em suas organizaes. Proporcionando uma base comum para o desenvolvimento das normas de segurana organizacional e das prticas efetivas de gesto da segurana, e prover confiana nos relacionamentos entre as organizaes. importante observar que essas recomendaes descritas na norma estejam de acordo com a legislao e regulamentao vigente. A NBR ISO/IEC 17799, abrange ao todo 10 domnios, reunidos em 36 grupos que se totalizam em 127 controles, sendo seus domnios, a Poltica de Segurana, a Segurana Organizacional, a Classificao e Controle dos Ativos de Informao, a Segurana de
3

a primeira parte da norma, j homologada. Contm uma introduo, definio de extenso e condies principais de uso da norma. Disponibiliza 148 controles divididos em dez partes distintas. planejado como um documento de referncia para implementar "boas prticas" de segurana na empresa.

17

Pessoas, a Segurana Fsica e do Ambiente, o Gerenciamento das Operaes e Comunicaes, o Controle de Acesso, o Desenvolvimento e Manuteno de Sistemas, a Gesto da Continuidade do Negcio e a Conformidade.

3.2. Framework e os controles de segurana da informao da Norma BS7799 O Framework e os controles de segurana da informao esto descritos na parte 2 da Norma Britnica BS77994, onde estabelece o Sistema de Gesto de Segurana da Informao (SGSI), que somados ao conjunto de controles sugeridos na parte 1 da norma, torna possvel a certificao.
As empresas podem conduzir as aes de segurana sob a orientao de uma base comum proposta pela norma, alm de se prepararem indiretamente para o reconhecimento de conformidade aferido por rgos credenciados. A certificao da segurana, similar aos reflexos obtidos pela conquista da certificao de qualidade ISO9000, promove melhorias nas relaes businessto-business e business-to-consumer, alm de adicionar valor empresa por representar um diferencial competitivo e uma demonstrao pblica do compromisso com a segurana das informaes de seus clientes. As seis fases principais para que se possa alcanar a certificao, se iniciam na: - Definio das diretrizes da poltica de segurana - Definio do SGSI Sistema de Gesto de Segurana da Informao - Execuo de anlise de riscos - Definio de uma estrutura para gerenciamento de risco - Seleo dos objetos de controles e os controles aplicveis - Preparao da declarao de aplicabilidade dos controles.(SMOLA, 2003, p.141).

3.3 Poltica de segurana da informao O objetivo da poltica de segurana da informao prover direo uma orientao e apoio para a segurana da informao. Segundo a NBR ISO/IEC 17799 (2001, p. 4) Convm que a direo estabelea uma poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma poltica de segurana da informao para toda a organizao. Para que seja possvel a implantao da poltica necessrio que a alta direo tenha aprovado, comunicado e publicado, de maneira adequada para os funcionrios. necessrio que a alta direo esteja sempre preocupada com o processo e estabelea as linhas mestras para a gesto da segurana da informao. Onde devem ser estabelecidas no mnimo as seguintes orientaes:
4

A segunda parte da norma, ainda no homologada, cujo objetivo proporcionar uma base para gerenciar a segurana da informao dos sistemas das empresas.

18

a) Definio de segurana da informao, resumo das metas e escopo e a importncia da segurana como um mecanismo que habilita o compartilhamento da informao; b) Declarao do comprometimento da alta direo, apoiando as metas e princpios da segurana da informao; c) Breve explanao das polticas, princpios, padres, e requisitos de conformidade de importncia especfica para a organizao, por exemplo: 1) 2) 3) 4) 5) Conformidade com a legislao e clusulas contratuais; Requisitos na educao de segurana; Preveno e deteco de vrus e software maliciosos; Gesto da continuidade no negcio; Conseqncias das violaes na poltica de segurana da informao;

d) Definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana;

e)

Referencias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam. (ISO/IEC 17799, 2001, p. 4).

19

4
Gerenciamento de Segurana de Redes de Computadores
Uma das principais portas de entrada para incidentes de segurana em uma organizao a Internet. Pelo motivo de que as organizaes no possuem controle dos acessos feitos pelos seus funcionrios, permitindo o acesso total. E tambm permitem acessos de outras corporaes via extranets 5 e e-businnes 6 atravs de links dedicados ou web. Com o avano da tecnologia e o acesso a Internet, est aumentando a cada ano o nmero de ataques por meio de redes de computadores, as organizaes ainda no possuem um plano de ao para evitar os riscos. O grande problema apresentado no o tecnolgico e sim o cultural. A falta de conscientizao do publico interno da organizao, tanto dos executivos como dos funcionrios em geral, podem colocar em risco suas estratgias de negcios e a credibilidade no mercado. Para minimizar esses problemas importante que seja estabelecida uma poltica de segurana utilizando controles que possam nortear um sistema de informao segura.

4.1. Controles para as Redes de Computadores necessrio que seja utilizado um conjunto de controles, para obter uma melhor preservao da segurana nas redes de computadores.So os gestores de segurana que devem implementar os controles para garantir a segurana dos dados nas redes, assim como a proteo dos servios disponibilizados contra acessos no autorizados. recomendado que os itens a seguir sejam considerados: a) A responsabilidade operacional sobre a rede deve ser segregada da operao dos computadores, desta forma so minimizados problemas de mau uso acidental ou deliberao dos sistemas. b) Estabelecimento de procedimentos e responsabilidades para gerenciamento de equipamentos remotos, incluindo equipamentos nas instalaes dos usurios. c) Quando necessrio deve ser estabelecido controles especiais para garantir a confidencialidade e a integridade dos dados que trafegam em redes pblicas e para proteger os sistemas. Tambm podem ser utilizados para garantir a disponibilidade dos servios de rede e dos computadores conectados.

5 6

Interconexo de Redes Locais em regies demogrficas diferentes. Comrcio, venda e compra de produtos e servios utilizando a Internet como meio.

20

d) Deve ser cuidadosamente gerenciada as atividades para otimizar os servios prestados, e garantir que os controles sejam aplicados de forma consistente por toda a infra-estrutura de processamento de informao.

4.2. Segregao de funes A segregao de funes um mtodo pelo qual garantido a reduo dos riscos de mau uso acidental ou uso mal intencionado dos sistemas. Convm que seja separada a administrao ou a execuo de certas funes ou responsabilidades, diminuindo a oportunidade de modificaes no autorizadas, mau uso das informaes ou dos servios. Em organizaes pequenas pode ser considerado este mtodo de controle difcil de ser implantado, mas deve ser aplicado o quanto antes possvel. Na implantao onde for difcil segregao, deve ser utilizados outros controles como monitoramento das atividades, auditorias e acompanhamento gerencial. Deve-se tomar o cuidado de no deixar a responsabilidade das redes de computadores a cargo de somente um funcionrio, para que no haja a possibilidade de fraudes que no possam ser detectadas. Todas as atividades devem ser separadas as autorizaes, dessa forma podero ser evitadas problemas de segurana futuros. Devem ser considerados os controles a seguir: a) de grande importncia segregar atividades que precisem de conivncia para concretizar a fraude. b) Se houver possibilidade de conivncia, ento os controles devem ser planejados de modo que dois ou mais funcionrios sejam envolvidos, diminuindo assim a possibilidade de conspirao.

4.3 Controle de Acesso Rede Para garantir a proteo aos servios das redes de computadores necessrio que haja um controle, e que tambm seja garantido que os usurios com acesso as redes e aos servios no comprometam a segurana. Devem ser assegurados os itens a seguir: a) Uso apropriado das interfaces entre as redes da organizao e as redes de outras organizaes e tambm as redes pblicas. b) Uso de autenticao dos usurios e equipamentos da organizao, sendo apropriadamente ntegros e seguros. c) Controle de acesso dos usurios aos servios de informao. Para que o controle de acesso s redes seja eficaz, necessria uma poltica de acesso s redes, onde deve citar as condies ideais para garantir a segurana. Esta poltica de controle importante para as conexes de rede com as aplicaes sensveis ou crticas do negcio ou para os usurios que esto em locais de alto risco, como exemplo as reas pblicas ou externas que se encontram fora do controle e da gerencia de segurana da organizao. 21

Na criao de uma poltica, considerando o uso de redes e seus servios, devem ser observados os seguintes itens: a) Redes e servios de redes aos quais o acesso permitido; b) Procedimentos de autorizao para determinar os usurios que possam ter acesso rede e quais os servios de rede; c) Procedimentos e controles de gerenciamento da segurana para proteger os acessos s conexes e servios de rede.

4.4 Controles Criptogrficos Os controles criptogrficos tm como objetivo a confidencialidade, autenticidade ou integridade das informaes. As tcnicas e sistemas criptogrficos so usados para a proteo das informaes que so consideradas de risco e para as quais outros controles no forneam a proteo adequada. Para os controles criptogrficos tambm necessrio que seja estabelecida uma poltica para o uso de controles de criptografia. Na poltica de uso de controles de criptografia determinada que seja feita uma avaliao de riscos do ambiente, para determinar o nvel de proteo que deve ser dada informao. Essas informaes podem ser usadas para determinar se um controle apropriado, ou qual o tipo de controle deve ser aplicado. conveniente para a organizao que desenvolva uma poltica de uso de controles criptogrficos, dessa forma possvel garantir a diminuio dos riscos e o aumento da segurana da informao. Para a criao da poltica recomendado que seja baseado nos itens a seguir: a) Deve haver um posicionamento da alta direo perante o uso dos controles criptogrficos da organizao, disponibilizando e solicitando quais as informaes do negcio devem ser protegidas. b) Utilizar um gerenciamento de chaves, criando mtodos para tratar a recuperao de informaes criptografadas em caso de chaves perdidas ou danificadas. c) Regras e Responsabilidades, devem ser nomeadas os funcionrios responsveis pelas criptografias. d) Implementao da Poltica. e) Gerenciamento das chaves. f) Determinao do nvel apropriado de proteo criptogrfica. g) Quais as normas que devem ser adotadas para cada fim, deve-se observar que cada situao pode haver um nvel diferente de criptografia. 22

5
Concluso
observado que sejam estabelecidas responsabilidades e que haja o apoio da alta direo da organizao, criando uma poltica de segurana eficaz e que seja norteada pelas diretrizes da NBR ISO/IEC 17799:2001. Deve ser criado uma comisso de segurana com o devido gestor de segurana, onde sero estabelecidos e fiscalizados os sistemas de informao da organizao. Utilizando as diretrizes de segurana no sistema de informao nas redes de computadores, possvel ter um bom nvel de proteo. Sendo que com a aplicao da NBR ISO/IEC 17799:2001 resolvido o problema de gerenciamento de segurana das redes de computadores em relao invaso nas redes internas (meios controlados pela organizao) e redes externas (meios no controlados pela organizao). Nas redes de computadores conclusivo que a criptografia possui um papel fundamental, porm deve ser observada as diretrizes da norma em relao implantao e responsabilidades. Com a poltica de segurana possvel estabelecer regras do bom uso da informao de forma confidencial e segura, levando em considerao que essa informao um ativo de grande importncia para a organizao. Com a aplicao da NBR ISO/IEC 17799:2001, possvel atingir um alto nvel de proteo no sistema de informao e nas redes de computadores. E so garantidos os trs princpios bsicos da segurana da informao: confiabilidade, integridade e disponibilidade. Conclumos que a NBR ISO/IEC 17799:2001 funciona nas organizaes que esto preocupadas com uma poltica de segurana utilizando as diretrizes da norma para garantir a segurana da informao. A implantao da norma no to simples, pois necessrio o comprometimento de todos, ou seja, executivos, alta direo e funcionrios administrativos, que devem ser incentivados para garantir a qualidade da segurana da informao. E atravs das diretrizes descritas na norma possvel organizar as atividades relativas segurana da informao, estabelecendo um ambiente seguro para a organizao.

23

6
Referncias Bibliogrficas
SMOLA, M. Gesto da Segurana da Informao Uma viso executiva. 3. Ed. Rio de Janeiro: Elsevier, 2003. 160p. NBR/ISO/IEC 17799. Tecnologia da Informao Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro: Associao Brasileira de Normas Tcnicas, 2001. 56p. DE SORDI, J.O. Tecnologia da Informao Aplicada aos Negcios. 1. Ed. So Paulo: Atlas, 2003. 185p. NICCOLAI, M.; BEZERRA, M.; VERAS, F. Tudo pela Segurana da Informao. So Paulo, Junho. 2004. Disponvel em: <http://www.nextgenerationcenter.com/br/>. Acesso em: 02 Jun. 2004. VIEIRA, S. Segurana da Informao com selo de qualidade. So Paulo, Junho. 2004. Disponvel em: <http://www.nextgenerationcenter.com/br/>. Acesso em: 02 Jun. 2004. RIGATIERI, V.; DOLENC, L.; DUARTE, M.; ZARZA, C. ; CAMPOY, E. Segurana. So Paulo. Maio. 2004. Disponvel em: <http://www.nextgenerationcenter.com/br/>. Acesso em: 04 Mai. 2004.

24