Você está na página 1de 55

ndice Analtico

I. Segurana Estratgica da Informao ..................................................................5 Objetivos da Segurana da Informao ..................................................................12

II. Pilares da Segurana da Informao ..................................................................14 Conceitos ....................................................................................................................15 Confidencialidade .................................................................................................15 Integridade.............................................................................................................16 Disponibilidade......................................................................................................16 Aspectos .....................................................................................................................17 Autenticao ..........................................................................................................17 Autorizao ............................................................................................................17 Auditoria ................................................................................................................18 Autenticidade.........................................................................................................18 No Repdio ..........................................................................................................19 Legalidade ..............................................................................................................19 III. Diviso da Segurana da Informao .........................................................20 Segurana Fsica e do Ambiente ..............................................................................21 Segurana pessoal .................................................................................................21 Segurana patrimonial .........................................................................................21 Segurana das edificaes ....................................................................................22 Segurana de infra-estruturas .............................................................................22 Classificao de permetros de segurana ..........................................................22 Controles de acessos ..............................................................................................22 Eventos naturais ....................................................................................................23 Eventos sociais .......................................................................................................23 Segurana Lgica e Sistmica ..................................................................................24 Permetro lgico de segurana .............................................................................24 Redes ......................................................................................................................24 Segurana de sistemas e Hosts .............................................................................25 Controle de acesso .................................................................................................25 Segurana em Pessoas...............................................................................................26 Engenharia social ..................................................................................................26 Acompanhamento de pessoal ...............................................................................26 Conscientizao .....................................................................................................27 Educao ................................................................................................................27 Poltica de segurana ............................................................................................28 Gerncia de mudana ...........................................................................................28

Quebra de paradigma social ................................................................................29 Controle e monitorao ........................................................................................30 Reforo negativo ou positivo ................................................................................30 Ciclo de vida da informao.........................................................................................32 Fases do Ciclo ............................................................................................................32 Manipulao ..............................................................................................................32 Armazenamento ........................................................................................................33 Transporte .................................................................................................................33 Descarte......................................................................................................................34 IV. Gesto da Segurana da Informao ..................................................................35 SGSI Sistema de Gesto da Segurana da Informao ......................................35 Information Security Officer (Gestor de Segurana da Informao) ..............36 Atribuies do Information Security Officer .................................................36 Conselho de Segurana .........................................................................................37 Atribuies do Conselho de Segurana ...........................................................37 Plano Diretor de Segurana da Informao - PDSI ..........................................38 V. Poltica de Segurana da Informao .................................................................39 Objetivos da Poltica de Segurana .........................................................................41 Desenvolvimento da Poltica de Segurana ............................................................45 Realizao de Campanha de Conscientizao ........................................................47 Conscientizao .....................................................................................................48 Educao ................................................................................................................48 Treinamento ..........................................................................................................49 Implantao da Poltica ........................................................................................49 VI. Norma BS 7799 ......................................................................................................50 Objetivo da Norma ...................................................................................................51 Controles requeridos pela Norma ...........................................................................51 Seleo dos controles.................................................................................................53

Introduo
A Segurana Estratgica da Informao, qual estamos vivenciando o surgimento como rea do conhecimento, rea esta que se utiliza da vrias cincias psicologia, sociologia, tecnologia, administrao, arquivologia, antropologia, forense, direito, etc. - de vital importncia para o mundo corporativo, governamental e mesmo para o mundo privado e pessoal sem a segurana este tende a desaparecer. Uma frase muito dita nos ltimos tempos : A informao um dos ativos mais valiosos das organizaes. No poderia ser diferente, afinal estamos em plena transio da era da informao para a era do conhecimento, conhecimento este que necessita de informaes para que seja adquirido e compartilhado. Nada mais natural que se procure, portanto, assegurar que este ativo to importante s organizaes esteja em total segurana. Sim, natural, mas isto no significa necessariamente que todas as organizaes estejam preparadas para a tarefa de manter suas informaes em segurana. Nesta apostila vou procurar apresentar a Segurana Estratgica da Informao de maneira didtica e mostrar o que necessrio para que ela seja implementada, sem a pretenso de esgotar o assunto ou fazer deste trabalho a verdade sobre segurana da informao, pois esta a minha viso sobre este assunto, e nem sei por quanto tempo esta viso permanecer. Espero que por pouco, pois ao mudar estarei evoluindo, assim como a Segurana Estratgica da Informao evoluir. O fator humano o elo mais fraco da segurana1 Vou apresentar tambm alguns conceitos de Gesto de Riscos e Continuidade de Negcios, que ao meu ver so indissociveis do tema Segurana da Informao.

Mitnick, Kevin D. - A Arte de Enganar. Makron Books, 2003

Clemente Nbrega diz, em seu livro Antropomarketing [Senac Rio 2002], que Marketing sobre o ser humano, onde Precisamos compartilhar significados para obter reciprocidade e ficar vivos. Eu ouso adaptar suas palavras para: Segurana da Informao sobre o ser humano, onde precisamos compartilhar responsabilidades e conhecimentos para obter reciprocidade e ficar vivos, no sentido de continuidade. Esta viso corroborada por uma das mximas da Segurana da Informao que afirma que A Segurana da Informao se mede pela segurana de seu elo mais fraco: o ser humano. Lembrem-se: Errar humano, e trapacear tambm! A transio da era da informao para a era do conhecimento, apesar de parecer e em alguns casos no passar mesmo de apenas clich modista para gurus e vendedores de milagres corporativos, de fundamental importncia para o tema e para que entendamos a expanso do escopo e da abordagem que o assunto passa a exigir. Mal comeamos a aplicar conceitos de Segurana da Informao e j nos apresentado a Segurana do Conhecimento. J utilizamos conceitos e prticas de Segurana do Conhecimento h muito tempo, como no caso de proteo e segredos de propriedades industriais e intelectuais, mas o escopo deve ser ampliado e fundido ao da Segurana da Informao, que convencionei chamar de Segurana Estratgica da Informao.

I. Segurana Estratgica da Informao


Informao: dados coletados, combinados e contextualizados que explicam e informam fatos (passado). Conhecimento: absoro e aplicao da informao de maneira a gerar valor, propor solues e apresentar tendncias (presente e futuro).

A Informao um ativo importante das organizaes, e em muitos casos o mais importante, e como tal deve ser protegido adequadamente durante todo seu ciclo de vida: criao, manipulao, armazenamento, transporte e descarte. Por informao, entendem-se, neste contexto, todos os dados armazenados e manipulados em meios eletrnicos, em papel, micro-filmes, ou qualquer outro meio que os suporte, que quando contextualizados geram informaes e conhecimentos de valor para a empresa. Sendo o conhecimento adquirido a partir da informao, este deve ser englobado no nosso escopo de trabalho para que tambm seja protegido. Isso nos remete gesto do conhecimento, tema que no ser tratado aqui, mas que verdadeiramente importante neste contexto.

O conhecimento que no est em suporte fsico ou eletrnico, que o conhecimento tcito de funcionrios chaves e estratgicos, tambm deve ser considerado no SGSI (Sistema de Gesto de Segurana da Informao) e sempre que possvel deve ser transformando em conhecimento explcito documentado - para que possa ser compartilhado e perpetuado (disponibilidade). Isso nos coloca em um processo cclico, pois informaes geram conhecimentos que, por sua vez, geram novas informaes. Todas estas informaes devem ser protegidas devido o valor que representam para as organizaes.

Informao um bem estratgico para as organizaes, principalmente para as organizaes do conhecimento, mas no limitado a estas, pois informaes e conhecimentos so, em muitos casos, mais valiosos que os bens fsicos. Sendo assim, imprescindvel que todas as aes de segurana sejam tomadas com participao efetiva e apoio direto, explcito e irrestrito da alta direo da organizao, pois segurana deixou de ser apenas opo ou diferencial competitivo, estratgica.

Ativo: qualquer coisa que tenha valor para a organizao [ISO/IEC 1335-1:2004]

Em sendo estratgico, e aqui me lembro bem do professor Altino [Introduo Administrao UNIBERO:2000] que no se cansava de nos apresentar a pirmide hierrquica: estratgica no topo; ttico na rea central e operacional na base. A responsabilidade pela segurana da informao toda a organizao, mas para que seja estratgica, cuidando de ativos estratgicos, deve ter como principais responsveis os gestores das reas de negcio, sob a coordenao ou direo de um especialista no assunto, ou por um diretor apoiado por consultores, uma vez que o tema traz consigo uma srie de fatores tcnicos e multidisciplinares. A Gesto da rea, e assuntos especficos relativos Segurana da Informao, deve estar, portanto, sob a tutela de um cargo situado no plano estratgico da hierarquia. CSO (Chief Security Officer), para os que preferem termos americanos, ou simplesmente Diretor de Segurana da Informao, em bom portugus. Este cargo, ou funo, pode ser desempenhado pelo prprio Diretor de Riscos Corporativos, e em outros casos em que a empresa no comporte tal cargo, pode ser dado como funo e responsabilidade a outro diretor, mas deve estar no nvel estratgico e h que se ter um verdadeiro compromisso e responsabilidade com tal funo. Este diretor deve ser assessorado por especialistas nos diversos domnios que a Segurana da Informao engloba, ainda que consultores externos.

A gesto ou administrao da Segurana da Informao pode ser delegada, mas a responsabilidade recair sempre sobre os gestores do negcio. destes a responsabilidade, inclusive legal, de zelar pela segurana, resilincia e continuidade dos negcios. No se pode esperar que processos estratgicos sejam implementados a partir de nveis tticos ou operacionais, pois o conflito de interesse - principalmente quando se trata de assunto que provoca alteraes na cultura organizacional, tira as pessoas do seu centro de conforto e altera suas atividades do dia-a-dia, muito forte e o poder do fogo amigo - grande suficiente para que as aes no passem de pontuais e localizadas, e assim sendo, no sero incorporadas pela organizao e as pessoas continuaro sendo o elo mais fraco da segurana. Infelizmente sabemos muito bem como funciona o sabe com quem est falando?. Sabemos que no estamos num mundo perfeito, portanto no vamos agir como se assim fosse.

Muitas empresas tm a iluso de que segurana tecnolgica segurana da informao. Na realidade apenas parte, apenas ferramenta de suporte e aplicao da Poltica Corporativa de Segurana da Informao, esta que deve fazer parte de algo maior, que a Gesto de Riscos Operacionais, que, juntamente com seus pares Gesto de Riscos Financeiros e Gesto de Riscos de Mercado fazem parte da Gesto de Riscos Corporativos. O pior desta iluso que esta falsa segurana acaba por tornar mopes os que deveriam cuidar de to estratgico ativo, que alm de se vangloriarem de ter segurana da informao agem como se realmente a tivessem. A falsa sensao de segurana mais prejudicial do que a certeza da insegurana, pois elimina a possibilidade de defesa, tolhe o poder da desconfiana e d fora at s fraquezas que poderiam ser eliminadas com pouco esforo. imperativo, tambm, que haja coerncia entre a implementao da segurana da informao e a cultura organizacional, o planejamento estratgico, o nvel de maturidade cultural e de dependncia em

TI e os riscos inerentes ao ambiente e ao negcio, o que no possvel existir seno no nvel estratgico da organizao. Para que um plano de segurana estratgica da informao alcance o resultado esperado deve seguir as seguintes premissas: Personalizado elaborada sob medida para a empresa; No existe plano de segurana estratgica da informao em prateleiras de lojas ou empresas de consultorias. Desconfie e duvide de quem oferecer tal soluo milagrosa. Como diria o Presidente Lula, no tem soluo milagrosa. As coisas devem ser feita da maneira correta, no tempo certo e com os custos financeiros e de esforos necessrios a cada organizao. algo que para funcionar deve ser feito sob-medida, seguindo padres e normas internacionais e consagradas, aplicando as melhores prticas conhecidas no mercado, seguindo as regulamentaes setoriais, os requisitos especficos de cada tipo de negcio e seguindo as leis aplicveis a cada assunto abordado no plano.

Voltando aos conceitos, o conhecimento deve ser compartilhado e aplicado, mas as informaes sobre o plano, em sua maioria, tero que ser geradas internamente, a no ser aquelas comuns ao mercado, como leis e regulamentaes. Justificvel orientada a Riscos, ou seja, deve mitigar os riscos aos quais a empresa est sujeita, mantendo-os em nveis aceitveis; e Permanente aplicvel, de maneira contnua, contra as ameaas reais s quais os processos e ativos da empresa esto expostos.

No existe segurana 100% e nem risco zero.

importante sabermos que no h segurana 100% e que o aumento do nvel da segurana no linear ao investimento aplicado. Chamo isso de efeito escalada, pois quanto mais alto o nvel de segurana, menos o avano proporcional ao investimento. Investimento

Segurana O investimento e avano em segurana reagem de maneira semelhante s curvas geradas por PG (progresso geomtrica) e PA (progresso aritmtica), respectivamente, como se fosse necessrio aumento geomtrico dos investimentos financeiros e esforos para se conseguir um aumento aritmtico no nvel de segurana. Ao atingirmos o nvel desejado de segurana a curva de investimento tem seu ponto de inflexo e a de segurana passa a ser estvel por um perodo e passar a decair. importante notar que o investimento em segurana diminuir a partir deste ponto, mas jamais poder ser eliminado por completo, pois o custo de manuteno dever ser mantido para que o nvel de segurana alcanado seja mantido e que o processo de gesto (PDCA) seja preservado.

Investimento = 1, 2, 4, 8, 16, 32, 64 .....(PG) Segurana = 1, 3, 5, 7, 9, 11, 13....... (PA)

70 60 50 40 30 20 10 0 1 2 3 4 5 6 7 Investimento Segurana

Relao Investimento x Segurana O efeito escalada no incide somente sobre o aspecto financeiro, mas tambm sobre o gerencial e o funcional. A administrao de ambientes seguros requer mais controles e cuidados, sob pena de se perder o esforo feito para chegar ao patamar alcanado e ficar desatualizado no que diz respeito aos controles necessrios para garantir a segurana no nvel atual. Isso gera revises e atualizaes constantes, mas em contrapartida reduz o tempo gasto com paradas indesejadas. Cabe a cada empresa descobrir o ponto de equilbrio para que o benefcio seja satisfatrio e o investimento aceitvel.

10

O nvel de segurana inversamente proporcional ao nvel de conforto na utilizao, para os usurios, e facilidade de gerenciamento, para os administradores.

Os usurios finais tambm podem sentir os efeitos deste maior controle, principalmente aqueles que se acostumaram em ambientes muito flexveis, para no dizer relaxados, pois no mais tero liberdade para fazer o que quiserem, mas apenas o que precisarem e sob controle e monitorao constante. Estes controles podem, se no bem implementados e adequados ao ambiente, causar alguns inconvenientes, os quais devem ser minimizados no decorrer do processo evolutivo da segurana, e tambm conforme os usurios vo se habituando a trabalhar em ambientes mais seguros, e portanto, controlados.

A conscientizao e educao constante dos usurios so grandes aliados dos gestores de segurana, pois transforma os usurios em colaboradores. Isso acontece naturalmente quando estes entendem o real objetivo da segurana.

O investimento em segurana deve ser proporcional ao valor do bem que se pretende proteger.

Visto que proteger as informaes requer investimento e esforo, devemos atentar para o fato de que nem todas as informaes tm o mesmo valor, e que o valor destas variam de acordo com seu ciclo de vida. essencial que se faa a classificao das informaes, e sua reclassificao, sempre que necessrio, para que no se invista mais que o necessrio para garantir a segurana das mesmas. Ningum compraria um cofre de R$ 10.000,00 para guardar uma jia de R$ 3.000,00. Seria um desperdcio de recurso. E um carro que hoje custa R$ 50.000,00 ter seu valor depreciado no ano

11

seguinte, no sendo, portanto, aceitvel que se invista o mesmo valor em seu seguro por dois anos consecutivos, pressupondo-se que no houve alterao considervel no fator risco.

Objetivos da Segurana da Informao


A segurana da informao tem dois objetivos principais: o primeiro preservar (Confidencialidade, Integridade e Disponibilidade) os dados e informaes da organizao, de seus clientes, funcionrios e parceiros. O segundo garantir a continuidade operacional do negcio em caso de incidente, minimizando os impactos financeiros, de imagem e operacionais, decorrentes deste incidente.

Segurana da Informao = Preservao + Continuidade.

Nenhum empresrio ir investir em segurana da informao se no tiver claro, e se no estiver consciente de quais sero os benefcios e retorno deste investimento para a organizao. Esta uma das rduas tarefas do responsvel pela segurana da informao: conscientizar e convencer os executivos da necessidade de investir em segurana. Alguns negcios dependem diretamente da segurana e em outros a regulamentao da atividade ou Leis e Decretos exigem investimento em segurana e o Information Security Officer, como chamado o responsvel pela segurana da informao, no precisar despender muito esforo para conseguir investimento. Os bancos, por exemplo, esto muito frente de muitos outros tipos de negcio, pois dependem da segurana para sobreviver. J as indstrias ainda esto caminhando a passos lentos para a maturidade, mas j tendo algumas reas mais avanadas, como as de pesquisa e desenvolvimento.

12

Na maioria das organizaes o Information Security Officer precisar se esforar para mostrar as vantagens que o investimento em aes estruturadas em segurana traro como retorno. Uma das melhores maneiras de demonstrar que o investimento trar retorno, e sua real necessidade, a realizao estudos de Anlise de Riscos e Avaliao de Impactos, estudos estes que iro aclarar o quo a organizao est vulnervel, quais so os riscos aos quais est exposta e qual ser o impacto em caso de incidente.

Uma estratgica que pode auxiliar no convencimento demonstrar o quanto a empresa poder perder caso no invista em segurana, uma vez que difcil demonstrar o retorno do investimento. Podemos chamar isso de Perda por No Investimento (PpNI). Exemplo: Seguir uma regulamentao setorial pode no trazer retorno empresa, mas no seguir pode trazer prejuzo.

Alguns objetivos da segurana da informao: Agregar valor ao negcio; diferencial competitivo; continuidade operacional; gerenciamento dos riscos; proteo de investimentos; conformidade com determinaes legais e setoriais; etc.

Alguns motivadores da segurana da informao: Dependncia crescente da informao; a informao um dos ativos mais importantes das organizaes; responsabilidade administrativa, legal e social acionistas, clientes, funcionrios, governo, sociedade; proteo da propriedade intelectual patentes, marcas, direitos autorais, segredos de negcio, segredo de fbrica; etc.

13

Para que seja possvel alcanar os objetivos da segurana da informao necessrio que se siga alguns passos, a saber:

- Realizao de Anlise de Risco; - Realizao de Avaliao de Impactos nos Negcios; - Elaborao de uma Poltica de Segurana que reflita os objetivos do negcio; - Realizao de campanhas de conscientizao e treinamento dos funcionrios; - Elaborao de um Plano de Continuidade do Negcio. - Revisar tudo periodicamente

Segurana da Informao um processo, no um projeto.

Para completar, segurana da informao no projeto, e sim um processo, e como tal deve ser contnuo, cclico, monitorado, revisado e evoludo permanentemente, sob pena de se tornar obsoleto e de perder seu valor para o negcio.

II. Pilares da Segurana da Informao

A segurana da informao composta por pilares bsicos, e todo o resto gira em torno disto: Confidencialidade; Integridade; e Disponibilidade.

Este trip da segurana da informao pela conhecido pela sigla CID.

14

Temos ainda alguns aspectos originados dos conceitos do CID. Vamos destacar aqui alguns deles: Autenticao; Autorizao; Auditoria; Autenticidade; No Repdio e Legalidade.

Conceitos

Confidencialidade
Garantia de que o acesso s informaes seja obtido somente por entidades autorizadas. A confidencialidade pode ser classificada em nveis de acordo com as necessidades da empresa, podendo ser: Confidencial Pode ser manipulada por um nmero reduzido de pessoas ou um setor da empresa, como por exemplo P&D; Restrita Informao restrita pode ser manipulada por contingente maior de pessoas ou um nvel hierrquico, como por exemplo o plano estratgico da empresa que pode ser visto at no nvel hierrquico de diretoria; Interna Este tipo de informao deve ser limitado da empresa, como as listas de ramais, memorandos internos, norma internas, manuais, etc.; Pblica Estas informaes podem tambm ser divulgadas ao pblico ou publicadas em revistas, sites, etc. Informaes pblicas podem tambm ser conhecidas como no classificadas, pois entende-se que se no foi classificada porque pblica. Isso pode trazer srios problemas para a empresa, pois uma falha de classificao pode expor informaes confidenciais ao pblico. O mais seguro seria adotar que tudo o que no classificado interna.

15

Integridade
Garantia de que as informaes sero protegidas contra alteraes no autorizadas e mantidas a exatido e a inteireza das mesmas, tal qual como foi armazenada e disponibilizada. Um dado, ou informao, armazenado deve permanecer integra para quando for recuperado. Para que isso seja verdadeiro no poder sofrer interferncia alguma que o modifique, seja por falhas intencionais ou no. Os mtodos de processamento, normalmente sistemas, devem tambm ter a integridade preservada, pois uma alterao num sistema pode comprometer as informaes resultantes do processamento. Este conceito no garante que os dados estejam corretos, pois se forem armazenados errados, assim permanecero at que uma entidade autorizada os corrija.

Disponibilidade
Garantia de que as informaes estaro disponveis onde e quando as entidades autorizadas necessitarem, com total segurana. A informao no tem valor para a empresa caso no esteja disponvel quando for requisitada. Muitos ataques tentam derrubar este pilar da segurana por meio da negao de servio com ataques do tipo DoS ou DDoS, interrompendo o acesso aos servios e informaes das empresas. Para que este problema seja apresentado no necessrio ataque sofisticado, bastando para isso apenas que uma linha de comunicao seja interrompida ou que um servidor seja fisicamente comprometido, intencionalmente ou no. A falta de energia que alimenta o servidor de dados pode causar indisponibilidade, caso no haja contramedidas para este problema.

A manuteno deste pilares da segurana da informao s ser atingida se houver a integrao entre segurana fsica e do ambiente, tecnolgica e em pessoas como j foi apresentado.

16

Aspectos

Autenticao Processo de autenticar uma entidade como sendo aquela que se apresenta. Entende-se por entidade, pessoas, sistemas, redes ou qualquer outra parte que necessite de identificao para que possa manipular as informaes. Este aspecto de suma importncia para a manuteno da segurana da informao, pois se no for possvel autenticar a entidade toda a cadeia de segurana estar comprometida, seja por permitir acesso entidade falsa ou negar acesso entidade legtima. Pode-se dizer que a negao de servio melhor que a autorizao indevida, mas isso deve ser muito bem resolvido pela empresa, pois nem sempre isso pode ser verdadeiro.

Autorizao Processo de concesso de direitos para que uma entidade autenticada acesse as informaes somente com as permisses a ela atribuda. (ler, gravar, modificar, apagar, executar, visualizar). Esse aspecto totalmente dependente da autenticao, pois se for autenticada uma entidade falsa como verdadeira, esta receber todas as permisses atribudas verdadeira como se ela fosse. No processo de autorizao deve-se sempre que possvel utilizar o preceito de mnimo privilegio, preceito este que diz que uma entidade deve ter o mnimo privilgio de acesso s informaes dentro de sistemas quanto for necessrio para o cumprimento de suas funes. Outro preceito a necessidade de saber need to know. Questiona-se se realmente necessrio que a entidade tenha acesso a determinadas informaes ou sistemas para cumprir suas funes, em caso negativo o acesso deve ser negado.

17

Auditoria Processo de registrar as aes realizadas pelas entidades durante a interao com as informaes e sistemas. Para que a segurana da informao seja efetiva necessrio que se possa determinar com preciso quem, quando e o que foi feito nos sistemas de informaes e repositrios de dados. Sem isso no ser possvel responsabilizar violao de normas e quebras de segurana. Este registro de trilhas de auditoria deve se dar em todos os ambientes da empresa, tanto fsicos quanto lgicos. Em sistemas de informao isso feito por meio de coleta de logs, arquivos que registram todos os eventos configurados para serem registrados e com a riqueza de detalhes que for necessrio empresa. Em segurana fsica, um simples relatrio manual de acesso a determinadas dependncias da empresa tambm pode ser considerado trilha de auditoria, assim como cmeras de vigilncia e outros dispositivos de monitorao.

Estes trs aspectos compem a sigla AAA, de Autenticao, Autorizao e Auditoria Esta sigla utilizada por tcnicos de informtica voltados para segurana de sistemas e redes, mas pode ser aplicada a qualquer sistema de segurana da informao.

Autenticidade

18

Processo que certifica a legitimidade das informaes, quer seja de credenciais de acesso que autenticam as entidades ou que as informaes por estas entidades transmitidas so autnticas, assim como a entidade remetente ou destinatria como legtima. Os certificados digitais, que inclusive j tem valor jurdico e prov a irrevogabilidade, vm sendo utilizados principalmente em assinatura de documentos, cifrao em trocas de mensagens e autenticao de entidades. A biometria vem ganhando espao principalmente para controle de acesso e autenticao de usurios.

No Repdio Caracterstica das informaes que garante o no repdio, seja referente autenticidade de documentos ou transaes financeiras e comerciais. Mais uma vez o certificado digital (assinatura eletrnica), juntamente com as certificadoras de tempo, esto se apresentando como as tecnologias mais adequadas esta tarefa, muitas vezes j com garantia jurdica nos processo.

Legalidade Caracterstica das informaes estarem em conformidade legal, assim como os processos que as manipulam e prov validade jurdica. Este aspecto rege que as informaes devem ser mantidas dentro das determinaes legais. Um exemplo disso so as assinaturas digitais de documentos, que s tero efeito legal se forem feitas com certificados digitais fornecidos por Entidades Certificadoras ACs - integrantes do ICP Brasil ou por

19

entidades reconhecidas previamente por todos os participantes do processo de validao do documento. Isso vale tambm para transaes comerciais e financeiras. Para que sejam realizadas transaes entre o Sistema Financeiro ou rgos Governamentais obrigatrio que as ACs sejam integrantes do ICP Brasil.

III.

Diviso da Segurana da Informao


Para que a segurana da informao seja efetiva e completa, podemos dividi-la em trs partes:

Segurana Fsica e do Ambiente; Segurana Tecnolgica; Segurana em Pessoas.

FSICA AMBIENTE

TECNOLGICA

PESSOAS

Diviso da Segurana da Informao

20

Segurana da Informao a aplicao conjunta da segurana fsica e do ambiente, da segurana tecnolgica e da segurana em pessoas, com foco na gesto dos riscos inerentes aos negcios, tanto diretos quanto indiretos.

A falsa certeza da segurana mais prejudicial que a certeza da insegurana.

Com a no implementao de apenas uma dessas partes da segurana da informao, o mximo que se conseguir criar uma falsa sensao de segurana, que muito pior do que ter a certeza da insegurana, pois se acreditamos, falsamente, que estamos seguros, acabamos por no tomar as medidas necessrias para preveno, deteco, correo e reduo de impacto, mas sabendo que estamos vulnerveis s ignoramos a necessidade de tais medidas de maneira consciente, e portanto imprudente e inconseqente.

Segurana Fsica e do Ambiente


A Segurana Fsica e do Ambiente composta por (mas no somente por):

Segurana pessoal Medidas a serem tomadas para garantir a segurana dos funcionrios, prestadores de servios e pessoas chave da organizao;

Segurana patrimonial Controles a serem implementados para garantir a segurana do patrimnio da organizao, principalmente daqueles necessrios continuidade operacional;

21

Segurana das edificaes Cada tipo de atividade requer edificaes apropriadas para tal, com nveis de segurana estrutural e monitorao apropriada ao negcio ou atividade realizada na edificao. Processos de manuteno, brigadas de incndio, controle ambiental e controle de pestes podem ser considerados escopos da segurana das edificaes;

Segurana de infra-estruturas Infra-estrutura de cabeamento lgico (backbone de rede), eltrica, de gua, de condicionamento de ar, de exausto, de controle do ar, de deteco e combate a fogo, dentre outros, devem ser protegidas e controladas. Devemos atentar para a infra-estrutura interna e externa, esta ltima um pouco mais complicada de gerenciar por estar, na maioria dos casos, fora do controle da organizao, mas nem por isso deve ser ignorada;

Classificao de permetros de segurana reas diferentes abrigam equipamentos e processos diferentes, devendo, portanto, serem classificadas de acordo com suas caractersticas, podendo ser: restrito, controlado e pblico, ou outra classificao que atenda as necessidades de segurana;

Controles de acessos O acesso s instalaes da organizao deve ser controlado e monitorado para que a segurana seja efetiva.

22

Quando falamos em segurana fsica e de ambiente, boa parte das aes sero tomadas para limitar o acesso s dependncias a serem protegidas. Sem o devido controle de acesso, seja este administrativo e simples ou tecnolgico e complexo, a segurana ser falha.

Eventos naturais A natureza bela e perfeita, no podemos contestar isso, mas em muitas situaes acaba por colocar em risco a segurana das organizaes. Raios, enchentes, chuvas de granizo, temporais, ventanias, terremotos; maremotos; calor; etc. podem afetar a continuidade operacional da organizao caso esta no mesure os riscos e implemente as medidas necessrias de segurana.

Eventos sociais Muitos eventos sociais podem acabar por afetar a segurana das empresas, em diversos nveis e situaes. A disponibilidade a pode ser afetada caso haja, por exemplo, uma mobilizao social nas imediaes da empresa, seja por greve, revolta, baderna, etc. Empresas que atuam na Av. Paulista, em So Paulo, sofrem este tipo de transtorno constantemente, uma vez que a avenida palco de diversas manifestaes, festivas ou no. Em muitos casos pode ocorrer de tais manifestaes fugirem ao controle e passar para aes em massa de quebra-quebra, baderna e violncia. Empresas podem ter suas dependncias invadidas, depredadas e saqueadas, estes riscos devem ser levados em considerao no processo de gesto de riscos e segurana das informaes. Mesmo aes individuais, seja por imprudncia ou sabotagem, podem levar a empresa a situaes como as acima apresentadas.

23

Segurana Lgica e Sistmica


A segurana lgica e sistmica deve prever aes de funcionrios, hackers e crackers, parceiros, clientes, fornecedores e quaisquer outros que interagem com a organizao, prevendo e tratando os riscos de: espionagem, sabotagem, erros, facilitao, roubo, furto e desvio de dados e informaes, etc.

Permetro lgico de segurana A composio lgica das redes da organizao pode ser composta por vrias redes, redes estas que requerem nveis diferentes de segurana. No se pode, por exemplo, dar a mesma ateno para a rede onde esto alocados os servidores de produo e a rede onde esto os servidores pblicos, como os que hospedam os sistemas e Sites na Internet. O firewall a ferramenta mais utilizada para segmentao de permetros lgicos de segurana, por sua capacidade de proteo e pela facilidade de customizao, uma vez que a proteo baseada principalmente em regras de permisso e / ou negao de acesso, regras estas que definem quem pode entrar em qual rede e utilizando que tipo de protocolo ou servio. Muitos roteadores tm a capacidade de auxiliar na segurana de permetro por meio de implementao de listas de acessos que, ainda que de maneira limitada, conseguem determinar regras de acesso (endereo IP e protocolos) s redes por trs deles.

Redes As redes da organizao devem ser providas de mecanismos de monitorao, deteco e proteo contra cdigos maliciosos, assim como contra ataques e intruses. A ferramenta mais aplicvel para

24

esta tarefa o IDS (NIDS - Network Intruder Detection System). Para monitorao podem ser utilizadas ferramentas Sniffer, que capturam trfego da rede para estudo e monitorao.

Segurana de sistemas e Hosts Dentro da segurana lgica e sistmica, a segurana de sistemas e aplicativos tem um papel fundamental, pois so estes que iro manipular os dados da organizao. A segurana deve ser prevista e implementada desde a concepo e projeto dos sistemas e aplicativos, pois quase impossvel e invivel economicamente a implementao posterior. O que se faz quando o sistema no seguro implementar uma camada externa de segurana, normalmente com softwares especialistas de terceiros, como Host IDS, antivrus, sistemas de controle de acesso, etc. Ainda dentro da segurana de sistemas, h que se ter cuidado especial no processo de desenvolvimento, implementando a segregao de ambientes e funes, assim como controle eficiente de homologaes, verses e atualizaes dos sistemas de produo.

Controle de acesso O controle de acessos aos sistemas e dados uma parte de extrema importncia da segurana. O controle de acesso deve prever as seguintes funcionalidades: Autenticao, Autorizao e Auditoria. Os bancos de dados no passam, simplificadamente falando, de repositrios de dados. O controle de acessos a estes dados deve ser previsto desde a concepo e estruturao do banco de dados, podendo, e devendo, ser feito de maneira integrada aos sistemas que faro a interao entre os usurios e o banco de dados.

25

Segurana em Pessoas
A segurana em pessoas normalmente relegada a segundo plano, mas acredito ser a mais importante das trs, por serem as pessoas o elo mais fraco da corrente.

A resistncia da corrente equivalente a resistncia de seu elo mais fraco.

nas pessoas que a segurana comea e nelas que termina. Equipamentos tecnolgicos podem ser desligados, trocados e ligados novamente, tudo muito previsvel. Com pessoas a situao diferente, no podemos prever as atitudes das pessoas em situaes adversas. No devemos falar de desconfiana, mas de precauo. Dentro da Segurana em Pessoas, devemos trabalhar com as seguintes questes, dentre outras que sejam necessrias organizao:

Engenharia social Um dos grandes viles da segurana da informao a engenharia social, tcnica que utilizada em larga escala por engenheiros sociais, hackers e crackers, espies, curiosos, estelionatrios, dentre outros. A maioria das espionagens industriais e comerciais se d por engenharia social, e quando esta no a principal tcnica empregada pelos espies, utilizada no mnimo como auxiliar para outras tcnicas.

Acompanhamento de pessoal

26

As organizaes so compostas fundamentalmente por pessoas, s quais esto sujeitas a


alteraes de comportamento de acordo com diversos fatores, tais como humor, problemas familiares, financeiros, com drogas, com doenas, chantagem, dentre outras tantas.

Conscientizao A conscientizao do pessoal pea chave na implementao da segurana da informao. As pessoas devem estar cientes e conscientes da necessidade da segurana das informaes, bem como do valor dessas informaes, assim como o risco e o impacto que a violao da segurana poder causar organizao e conseqentemente para as pessoas que nela trabalham. Se as pessoas no entenderem e aceitarem os argumentos apresentados pela organizao a segurana poder no ser efetiva.

Educao muito comum as empresas desenvolverem Poltica de Segurana, implementarem uma grande parafernlia tecnolgica voltada para a segurana, e tomarem muitas das medidas necessrias segurana da informao sem dar a devida ateno e o devido investimento educao de seus funcionrios. As pessoas esto acostumadas a acreditar em seus interlocutores, a ajudar aos que solicitam, a abrir arquivos que recebem, a seguir orientaes recebidas por e-mail ou telefone, a confiar em sites que se dizem seguros, a crer que os e-mails recebidos de um amigo so confiveis, a ter boa receptividade com seus colegas de trabalho ou enviados por estes. Estes costumes podem abrir uma enorme lacuna de segurana se alguns cuidados no forem tomados para certificar que as informaes apresentadas so realmente verdadeiras e confiveis.

27

A engenharia social nada mais do que uma tcnica para explorar algumas caractersticas humanas como ego, vaidade, ambio, confiana, medo, bondade, reciprocidade, corporativismo, coleguismo, dentre outras. Se as pessoas no forem educadas em como agir nas situaes que podem causar incidentes de segurana e colocar as informaes em risco, com certeza a segurana ser violada e a organizao ser prejudicada.

Poltica de segurana um conjunto de normas que traduz as necessidades da organizao quanto segurana da informao, objetivando a normalizao das aes necessrias para levar a organizao a um nvel de risco aceitvel e confortvel. A poltica de segurana deve ser desenvolvida sob medida para a organizao qual ser aplicada, devendo contemplar a estratgia de negcios e as expectativas de segurana da direo. Deve, ainda, ser clara e objetiva, factvel e aplicvel, mensurvel, relevante e temporal. A Poltica de Segurana da Informao de uma organizao dever ser aprovada pela alta direo e publicada de maneira que todos os funcionrios e parceiros tomem conhecimento da parte que lhes cabe seguir.

Gerncia de mudana A implementao da segurana da informao comumente provoca inmeras e profundas mudanas nas organizaes, sejam mudanas de comportamento ou em processos. Estas mudanas devem ser acompanhadas e gerenciadas por uma pessoa que tenha bom relacionamento pessoal e interdepartamental e com liderana e autoridade suficiente para contornar problemas que surgiro em decorrncia dessas mudanas. natural que haja resistncia por parte do pessoal, quer seja por

28

perda de direitos nos sistemas, maior monitorao e controle, falta de entendimento dos objetivos da maior segurana, etc., mas tal resistncia deve ser contornada com medidas de conscientizao e em ltimo caso com medidas de reforo - prmios e ou punies.

Quebra de paradigma social Um dos paradigmas a serem quebrados o da posse. comum ouvirmos e dizermos: meu micro, minha sala, meu e-mail, quando falamos das coisas pertencentes organizao. Este comportamento far com que as pessoas apresentem resistncia s mudanas que acabaro por aumentar o controle e a monitorao, e ningum gosta de ter suas coisas monitoradas por terceiros. Deve-se reforar, durante a conscientizao e educao, que os bens, ferramentas e informaes pertencem organizao, que tm real valor para esta e por isso necessitam de monitorao e controle, o que acabar por proteger, por conseqncia, tambm os interesses dos funcionrios.

29

Controle e monitorao As normas de segurana descritas na poltica de segurana devem ser seguidas por toda a organizao, e para que se mea a aderncia e obedincia s normas necessrio que haja monitorao das aes previstas. A monitorao no dever ser utilizada como fonte de ameaas e punies, mas sim para correes e ajustes das normas, dos comportamentos e das tecnologias aplicadas. necessrio, ainda, que se deixe claro que o controle e a monitorao so para proteger as informaes e os recursos da organizao e no para bisbilhotar as aes dos funcionrios, deixando claro que a privacidade ser preservada, desde que no coloque a segurana em risco, e tais aes se daro por meio de processos transparentes estabelecidos pela organizao.

Reforo negativo ou positivo Assim como em cada lei existe a punio reforo negativo - aplicvel em caso de descumprimento, na poltica de segurana dever constar as punies aplicveis caso sejam descumpridas ou burladas. Se no for assim, corre-se o risco da poltica de segurana cair em desuso e a rea de segurana em descrdito, o que far com que os esforos e investimentos efetuados sejam perdidos e a segurana no seja mantida. A organizao pode, para aumentar a aderncia s normas, promover reforo positivo premiao - para os que se destacarem no cumprimento e aderncia s normas e observncia da segurana da informao. Esta estratgia deve ser muito bem implementada para que no desvirtue a real motivao das aes de segurana. O objetivo principal proteger as informaes, e isso no pode ser esquecido.

30

O incidente de segurana mais freqente a que tem o ser humano - o elo mais fraco da corrente como principal ator, podendo ser intencional ou no.

Causas

de

incidentes

no

intencionais:

falta

de

treinamento,

desateno,

falta

de

comprometimento, impercia ou imprudncia, negligncia, dentre outros.

Causas de incidentes intencionais: sabotagens, facilitaes, espionagens, ataques hackers, engenharia social, etc. Temos ainda os incidentes com causas no humanas, que podem ser tecnolgicas e naturais: falhas de sistemas, falhas de hardware, falhas de infra-estrutura, tempestades, alagamentos, raios etc.

A implementao de defesas pode ser feita sob uma abordagem de camadas. A figura abaixo ilustra, com alguns exemplos, como se d a segurana nas vrias camadas de profundidade e como cada camada dependente da anterior.

Dados Aplicativos Servidores Rede Interna Permetros Segurana Fsica Poltica de Segurana

Permisses de acesso, encriptao, auditoria Antivrus, anti-spyware, desenvolvimento Autenticao, correes de S.O / aplicativos, HIDS Firewalls, VLAN, NIDS, VPN, HIDS Firewalls, VLAN, DMZ, NIDS, VPN, HIDS Segurana patrimonial, vigilncia, edificaes

Normas, procedimentos, monitorao, conscientizao, educao e treinamento

31

Ciclo de vida da informao


A informao deve ser protegida durante todo seu ciclo de vida. Neste ciclo de vida os requisitos de segurana podem variar, e normalmente variam, devendo, portanto, ser investido esforo adequado proteo que se fizer necessrio em cada fase da vida da informao. Como exemplo podemos citar informaes de um determinado produto, que durante sua fase de desenvolvimento tais informaes devem ser tratadas como confidenciais, devido sua natureza e dos investimentos que esto sendo feitos para o desenvolvimento do produto. Aps o trmino do desenvolvimento, se for o caso, realiza-se o registro da patente, momento em que boa parte das informaes do produto passam a ser pblicas. Neste caso, no faria mais sentido continuar a tratar todas as informaes do produto como confidencial, podendo reduzir o investimento a partir da reclassificao dos mesmos, mantendo como confidencial apenas aquelas que forem realmente necessrias.

Fases do Ciclo
Manipulao
Refere-se a todo ato de manuseio da informao durante os processos de criao, alterao e processamento.

32

Nesta fase do ciclo de vida da informao onde h maior interao entre esta e as entidades, e, conseqentemente, onde ocorre a maioria das falhas de segurana.

Armazenamento
Refere-se ao armazenamento e arquivamento da informao em meios digitais, magnticos ou qualquer outro que a suporte. Durante a fase do armazenamento, em que meio seja, a informao deve estar salvaguardada dos riscos a que est sujeita, tendo preservadas a Confidencialidade, Integridade e Disponibilidade, de acordo com a necessidade de cada tipo de informao. Nesta fase a segurana fsica muito importante, no que as outras no o sejam, pois estaro sujeitas aos riscos ambientais, naturais ou no, mais do que os da fase de manuseio. Aqui deve-se dividir armazenamento de arquivamento, sendo entendido como armazenada a informao que est disposio das entidades que a utiliza, que est em rea de produo, quando muito em backup de segurana. O arquivamento deve ser entendido como o processo de guarda das informaes que no esto mais em produo, ou seja, no ficam disponveis para as entidades utilizarem nos processos de negcio. Estas so as informaes contbeis, fiscais e tributrias e arquivos mortos, dentre outros que na maioria das vezes so arquivadas para que sejam colocadas disposio dos rgos pblicos, caso sejam solicitadas, ou para consultas futuras.

Transporte
Refere-se a todos os atos de movimentao e transferncia da informao, seja entre processos, mdias ou entidades internas ou externas.

33

O transporte requer ateno especial, pois, normalmente, quando as informaes esto em transporte, esto fora do permetro de segurana do ambiente que a suporta: Cartas, e-mails, caixas de arquivos, pastas, notebooks e PDAs, comunicao telefnica e transmisses eletrnicas via rede, principalmente redes pblicas como a Internet. Tomemos todos os tipos de comunicao como fazendo parte do ambiente de transporte, inclusive, e muito importante, o dilogo falado, pois ao falar, transporta-se a informao pelo ambiente (ar), do locutor ao interlocutor, e pode-se deixar vazar informaes valiosas neste momento.

Descarte
Refere-se s aes de descarte e destruio das informaes no meio em que se encontram. Muitas pessoas, na realidade a maioria, acham que a informao que vai ser descartada no tem valor. Ledo engano, e engano que pode custar muito caro para as organizaes que no atentam para este pormenor. Em geral, ao jogarmos um documento em papel, uma cpia ou rascunho no lixo no estamos descartando a informao, estamos, na realidade, nos desfazendo do meio que a suporta, neste caso o papel. Com a modernizao e automao dos escritrios esta questo ficou ainda mais preocupante, pois basta que se tire uma cpia ou impresso de m qualidade para que a mesma seja lanada na lixeira, sem critrios e sem que se observe os cuidados necessrios segurana das informaes ali contidas. O papel carbono outro vilo, apesar de ser cada vez menos utilizado.

34

O mesmo cuidado se deve ter com qualquer meio que suporte a informao: papel, discos magnticos, cartuchos, fitas de backup, CDs, micro-filmes, dentre tantos outros. Cada meio requer um cuidado especial no descarte, para que as informaes estejam protegidas. Os cuidados com descarte devem ser considerados, tambm, ao se vender computadores, discos, papis para reciclagem, dentre outras maneiras de descartar, sem que seja necessariamente jogando no lixo. Esta prtica muito perigosa, principalmente no descarte de produtos magnticos, pois no basta apagar o arquivo do disquete ou disco rgido para que a informao seja perdida. Se a eliminao da informao no for feita com tcnica apropriada ao meio, a informao poder ser reconstruda a partir de resduos das mesmas que permanecem nos meios magnticos. o mesmo que apagar uma escrita lpis de um papel, com um pouco de esforo ou com alguma tcnica, podemos descobrir o que ali estava escrito.

IV. Gesto da Segurana da Informao


SGSI Sistema de Gesto da Segurana da Informao
Um SGSI um sistema de gerenciamento utilizado para estabelecer a poltica e os objetivos da segurana da informao baseado em uma abordagem de anlise de risco do negcio, com o intuito de definir, implementar, operar, monitorar, manter e melhorar a segurana da informao.

O SGSI deve abranger: Infra-estrutura organizacional da poltica de segurana; segurana organizacional; classificao e controle dos ativos de informao; segurana pessoal; segurana fsica e

35

do ambiente; gerenciamento das operaes e comunicaes; controle de acesso; desenvolvimento e manuteno de sistemas; gesto da continuidade dos negcios; aspectos legais e de conformidade.

A gesto da segurana da informao deve ser feita com viso estratgica para que esteja alinhada aos planos estratgicos de negcios e que sirva de apoio para estes.

Information Security Officer (Gestor de Segurana da Informao) O Information Security Officer dever ser um profissional especializado em segurana da informao. Dependendo da rea de formao deste profissional ele poder tender a ser um Security Officer Tecnolgico, mais voltado para a aplicao de tecnologias, ou Security Officer Estratgico, mais voltado s normatizaes e gerenciamento dos riscos. Seja qual for a tendncia do profissional, imperativo que as duas funes sejam cobertas, tanto a tecnolgica quanto a estratgica, buscando sempre a melhor dosagem de esforos para uma e outra. Este profissional dever, de preferncia, se reportar ao Conselho de Segurana, ao Comit Executivo ou diretamente ao Presidente da empresa. Em muitas empresas ele j aparece com status de diretoria para que possa apoiar e interagir com a alta direo da empresa e para que esteja a par das estratgias de negcios, s quais a segurana da informao dever estar alinhada e suportando. O posicionamento do Security Officer determinante para que no haja conflito de interesses que possam prejudicar as determinaes e aes ou retardar a implementao das medidas necessrias segurana das informaes.

Atribuies do Information Security Officer Dentre as atribuies do Security Officer esto:

36

- Elaborar e aplicar o SGSI; - Elaborar e aplicar a Poltica de Segurana; - Promover a manuteno da segurana da informao; - Promover a disseminao da cultura da segurana da informao; - Realizar, ou acompanhar, anlises de riscos e avaliaes de impactos; - Definir as medidas de segurana a serem implementadas; - Gerenciar as medidas de segurana implementadas - Analisar os incidentes de segurana e manter a Diretoria informada sobre a ocorrncia de incidentes ou ameaas de segurana; - Apresentar e justificar o plano de investimentos em segurana;

Conselho de Segurana O Conselho de Segurana, caso seja constitudo, dever ser composto por um representante de cada processo de negcio ou prea da empresa e ainda por: Tecnologia da Informao; Recursos Humanos; Jurdico; representantes da Diretoria ou Conselho Executivo.

Atribuies do Conselho de Segurana - Apoiar e participar da elaborao do SGSI; - Participar da elaborao e homologar a Poltica de Segurana; - Apoiar a manuteno da segurana da informao; - Apoiar a disseminao da cultura da segurana da informao;

37

- Homologar as medidas de segurana a serem implementadas; - Apoiar a elaborao do Plano de Continuidade dos Negcios; - Homologar o Plano de Continuidade dos Negcios; - Participar e aprovas anlises de riscos e avaliaes de impactos; - Garantir os recursos necessrios manuteno da segurana da informao.

Plano Diretor de Segurana da Informao - PDSI O PDSI dever direcionar as aes de segurana da informao e mant-las alinhadas ao planejamento estratgico da empresa. Este plano dever descrever: - Misso e viso da rea de segurana; - Estrutura departamental e relacionamento interdepartamental e com entidades externas; - Definio de estratgias para segurana da informao; - Planejamento de aplicao da Poltica; - Planejamento de implementaes tcnicas; - Planejamento financeiro; - Planejamento de treinamentos; - Fatores crticos de sucesso e proviso de recursos; - Modelo de atuao e gesto da segurana da informao SGSI; - Definio de responsabilidades; - Aderncia NBR ISSO/IEC 17799 ou outras normas de segurana adotadas pela empresa; - Estudo de impacto e adequao aos dispositivos e decretos legais e resolues ou regulamentaes setoriais como SUSEP, Basilia, diretrizes da CVM ou Banco Central, dentre outras;

38

- Gerenciamento da segurana da informao com apurao de resultados.

V. Poltica de Segurana da Informao


A Poltica de Segurana da Informao um documento que deve ser aprovado pela alta administrao da Empresa, demonstrando comprometimento e apoio s determinaes. Este documento, ou conjunto de documentos, deve ser publicado respeitando a necessidade de saber de cada rea ou pessoa, e comunicado de forma adequada para todos aqueles que devem obedec-la, sejam estes funcionrios, parceiros, fornecedores ou terceiros. A Poltica de Segurana da Informao, em todos os seus nveis, deve ser elaborada, publicada e comunicada de forma e em linguagem que seja apropriada a cada pblico, sejam genricas ou especficas, de maneira a atingir o objetivo da segurana. A aderncia s normas depende muito do entendimento das mesmas, bem como do grau de conscientizao sobre o assunto. Este conjunto de documentos deve refletir, em alto nvel, os objetivos do negcio, num nvel intermedirio os objetivos tticos e no nvel mais baixo, os objetivos operacionais. Se os objetivos estiverem alinhados e claros, a aderncia se dar de forma mais suave, uma vez que toda normatizao ou obrigatoriedade sempre provoca resistncia. Por isso a conscientizao da empresa (pessoas) fator crtico para o sucesso da segurana da informao. Outro aspecto, bastante relevante, que deve ser levado em conta a cultura organizacional e o nvel de maturidade na utilizao de normas gerais, como de qualidade, e em segurana da informao ou outras que limitam a ao.

39

O enfoque da Poltica deve ser de HABILITAO e no de RESTRIO: Se tudo o que no for permitido fazer no necessrio s atividades, significa que no h restrio. Se a segurana da informao permitir que novos processos operacionais e tecnologias sejam empregados nos processos de negcio, isso demonstra que houve habilitao, pois sem o nvel de segurana alcanado tais processos e tecnologias poderiam ser inviveis ao negcio, devido aos riscos que poderiam trazer a reboque.

Por fim, sem pretender exaurir os aspectos possveis, a Poltica de Segurana da Informao deve ser elaborada sob a abordagem de GESTO DE RISCOS e CONFORMIDADE. Todas as normas devem ter a finalidade de reduzir riscos presentes no cenrio corporativo. A trade: Confidencialidade, Integridade e Disponibilidade, deve estar presente em todas as determinaes, quer seja diretamente ou indiretamente, como por exemplo, focar a Gesto de Identidade (autenticao e autorizao), que contempla os trs pilares da segurana. Se no for baseado em riscos, deve ser em funo de cumprimento Legal ou Regulatrio, que, em ltima anlise, o no cumprimento representa um risco. No faria sentido elaborar uma norma de segurana que no prev a gesto de riscos ou conformidade, pois seria apenas incremento burocrtico sem finalidade prtica.

Diante do exposto at ento, podemos afirmar que a Poltica de Segurana da Informao deve ser elaborada de forma exclusiva e personalizada para cada empresa, uma vez que o cenrio nico para cada uma, ainda que alguns aspectos sejam comuns.

40

Objetivos da Poltica de Segurana


A Poltica de Segurana da Informao tem por objetivos principais: - Alinhar as aes em segurana da informao com as estratgias de negcio; - Explicitar a viso da alta direo em relao segurana da informao; - Exprimir o comprometimento da alta direo com a manuteno da segurana da informao; - Normatizar as aes referentes segurana da informao; - Alinhar as aes em segurana da informao com as Leis e Regulamentaes pertinentes; - Buscar conformidade com Normas externas e clusulas contratuais; - Instruir sobre procedimentos relativos segurana da informao; - Delegar responsabilidades; - Definir requisitos de Conscientizao, Educao e Treinamentos; - Definir aes disciplinares; - Alinhar aes em segurana da informao com a continuidade do negcio; - Ser o pilar de sustentao da segurana da informao; dentre outros.

A Poltica de Segurana da Informao , portanto, uma coletnea de documentos, conforme abaixo relacionados hierarquicamente, usada para definir controles em aplicativos, estabelecer critrios para autenticao e autorizao, definir critrios para anlise de riscos e avaliao de impactos, critrios para auditoria e investigaes, alm de disciplinar sobre violaes da Poltica e Normas.

Em todos os documentos da Poltica, importante que conste, fora as determinaes, algumas informaes sobre o documento e responsveis pelo mesmo, tais como:

41

Nome da empresa; identificao do documento; assunto abordado no documento; objetivos do documento; reas e pessoas responsveis pela elaborao, aprovao e manuteno; data da elaborao e da ltima alterao; classificao do documento.

- Poltica de Segurana o conjunto de todos os documentos; - Carta do Presidente pode ser do Conselho, da Diretoria ou outra, mas deve ser do alto escalo da empresa, demonstrando o comprometimento com a questo e esclarecendo os motivos para tal; - Diretrizes para Segurana da Informao a sintetizao do que a Empresa espera que seja feito em relao ao assunto. So diretriz de alto nvel, aplicveis em qualquer ambiente da empresa e sem termos tcnicos. Exemplos: Todos os usurios de sistemas e informaes devero ter acesso gerenciado por identidade, utilizando tecnologias e procedimentos de acordo com a classificao e criticidade das informaes a que tero acesso; Todas as informaes devero ser classificadas e ter medidas de proteo de acordo com a classificao e risco; Os recursos de informao devero ter sua continuidade preservada, de acordo com sua classificao e criticidade para os processos operacionais e de negcio;

- Normas de Segurana da Informao Podem ser gerais (para quem usa) ou especficas (para quem cuida). So as determinaes a serem seguidas por todos ou por aqueles que participam de determinados processos. Expressa o que deve ser feito em relao segurana da informao na operacionalizao dos processos de negcios e operacionais, quais os padres aceitveis de utilizao dos recursos e informaes e quais as medidas disciplinares em caso de violao das mesmas. Nas

42

normas podero conter chamadas ou links para outros documentos, normas, leis ou regulamentaes que devem ser seguidos, conforme determinao na norma que os invocou. Normas so mandatrias. Exemplo: - A autenticao dos usurios deve ser feito por meio de usurio e senha para todos os sistemas de informao, sendo que os classificados como crticos (alta confidencialidade e integridade) devero usar mais um fator de autenticao, podendo ser biomtrico, one-time-password (token) ou certificados digitais;. - O recurso mensagem eletrnica (e-mail) disponibilizado pela empresa, deve ser utilizado apenas para fins corporativos, uma vez que um recurso da empresa e disponibilizado para este fim; - As mensagens eletrnicas (e-mail) sero monitoradas via sistema e podero sofrer auditorias peridicas ou sempre que a rea responsvel julgar necessrio. Sendo assim, no h que se ter expectativa de privacidade pessoal nas mensagens enviadas ou recebidas por meio deste recurso da empresa.

- Procedimentos o detalhamento da Norma. Explica como as Normas devem ser seguidas, podendo detalhar os procedimentos relevantes do processo normatizado, visando facilitar o entendimento e aplicao das mesmas. Nos procedimentos devem ter informaes do tipo: Como, quando, quem, onde e porque. Procedimentos so mandatrios. Exemplos: - Os backups de bancos de dados devero ser realizados com periodicidade mnima diria, utilizando tecnologias e processos que preservem a confidencialidade, disponibilidade e integridade das informae;.

43

- A rea de TIC ser responsvel pela operacionalizao dos backups, seguindo determinaes dos gestores dos processos que utilizam tais informaes e de acordo com a classificao de riscos das mesmas; - Os gestores de processos e informaes devero proceder anlise de riscos e impactos para que sirvam de base para a determinao da periodicidade dos backups e restores, devendo delegar a operao para a rea de TIC e proceder anlises e auditorias nos processos, a fim de garantir sua eficcia.

- Instrues So os documentos mas detalhados, normalmente tcnicos, de como configurar, manipular ou administrar recursos tecnolgicos, ou ento manuais de processos operacionais. Exemplos: - Para criao de novos usurios, usar o tamplate New_User; - Colocar todos os usurios no grupo Corporativo, do Exchange; - Preencher os campos do Active Directory necessrios para a assinatura padronizada no Outlook, para todos os usurios novos; - Guide lines (guias) So explicaes de tarefas que fazem parte de procedimentos e processos normatizados, visando facilitar a compreenso e a aplicao das regras, minimizando as diferenas de entendimento e nivelando o conhecimento. So sugestes no obrigatrias de serem seguidas, visto que uma tarefa pode ser feira de vrias maneiras e ainda assim apresentar o mesmo resultado. Podem ser guias fornecidos pelos prprios fornecedores de sistemas ou outros recursos.

44

Desenvolvimento da Poltica de Segurana

O desenvolvimento da Poltica de Segurana da Informao deve ser feito com a participao efetiva de todos os gestores de processos, de maneira que seja desenvolvida de acordo com as necessidades de negcio de cada rea, aderente aos padres, costumes e cultura organizacional, ajustando ou alterando padres quando necessrio, alm de estar em sintonia com os planos estratgicos da Empresa e necessidades do mercado.

Devem ser seguidas as melhores prticas expressas em normas oficiais e frameworks de segurana das informaes e gesto de riscos, como as normas ISO da srie 27000, o que proporcionar Empresa um diferencial competitivo, pois o mercado valoriza cada dia mais as empresas resilientes, seguras e com condies de superar incidentes que poderiam afetar a continuidade operacional. uma demonstrao de Governana Corporativa, outro assunto valorizado no mercado, e que no possvel de ser alcanada sem segurana da informao e continuidade.

A Poltica de Segurana das Informaes constituda por uma srie de normas, procedimentos, guias e outros documentos, que sero suportados por tecnologias e processos que garantam a aderncia e obedincia s mesmas. a Poltica de Segurana que reger todas as aes referentes segurana, devendo, portanto, ser clara, especfica, atemporal e exclusiva para a Empresa.

Poltica de Segurana da Informao, conforme j dito, deve estar em alinhamento com a Norma NBR ISO/IEC 17799:2005 (ou 27001 e 27002), e dever contar uma srie de normas, como por exemplo as listadas abaixo:

45

- Diretivas de Segurana da Informao; - Norma de Gesto de Segurana da Informao (GSI); - Norma de Contratao e Demisso de Colaboradores; - Norma de Contratao de Servios de Terceiros; - Norma de Conscientizao, Educao e Treinamento em Segurana da Informao; - Norma de Utilizao de Sistemas de Comunicao (e-mail, MSN. ICQ, etc.); - Norma de Acesso Internet e Redes de Terceiros; - Norma de Controle de Acesso e Administrao de Usurios; - Norma de Classificao da Informao; - Norma de Classificao de Ativos; - Norma de Classificao de Ambientes; - Norma de Segurana e Gerenciamento de Mdias; - Norma de Segurana Fsica e de Ambiente; - Norma de Gerenciamento de Ativos, Configurao e Controle de Mudanas; - Norma de Auditoria e Anlise Crtica; - Norma de Backup e Recuperao de Informaes e Sistemas; - Norma para Anlise de Riscos e Avaliao de Impactos; - Norma de Gesto de Continuidade Operacional; dentre outras normas que forem necessrias.

Para cada norma podem ser criados um ou mais procedimentos, guias ou manuais, sabendo-se que quanto mais baixo o documento na hierarquia da Poltica, mais alterao poder sofrer, por serem operacionais. O operacional sofre mais alteraes que o ttico, que por sua vez sofre mais alteraes que o estratgico. Esse o motivo para no se colocar todas as informaes em um mesmo documento:

46

facilitar o gerenciamento, a atualizao e a disseminao das alteraes sofridas, uma vez que toda alterao dever ser publicada e comunicada aos interessados.

Para que o investimento feito no desenvolvimento da Poltica perdure, dever ser formatado o processo de atualizao e reviso da mesma, seja periodicamente ou por mudanas no cenrio corporativo ou de risco.

Realizao de Campanha de Conscientizao


Como o processo de segurana da informao afeta a todos da Empresa, requerendo mudanas de hbitos, ajustes de padres e s vezes certo sacrifcio durante a transio e aculturamento, este processo tende a gerar resistncias e conflitos, quase sempre por desconhecimento dos perigos que rondam a Empresa, seus Funcionrios e Clientes, e dos benefcios que o processo de segurana da informao pode proporcionar - habilitao. Pessoas so o elo mais fraco da segurana a campanha de conscientizao procurar fazer com que as pessoas se tornem aliadas da segurana, sabendo os motivos, o que e como agir em situaes de risco para a segurana das informaes. Engenharia social s funciona porque as pessoas no esto atentas s situaes de riscos, no esto alertas s ameaas e s situaes que no so pertinentes ou que fogem ao padro ou s regras. A campanha constante e segmentada manter as pessoas alertas e atualizadas, e assim sero como guardis das informaes e alarmes de riscos.

47

A campanha de conscientizao deve trabalhar em trs nveis:

- Conscientizao: Porque fazer - Educao: O que e quando fazer - Treinamento: Como fazer

Conscientizao Porque fazer As pessoas tendem a reduzir a resistncia s mudanas quando sabem exatamente os motivos que as trouxeram, quais sero os benefcios das mudanas e quais os malefcios de no realizlas. Esta abordagem imprime respeito s pessoas envolvidas e gera cumplicidade e colaborao. Conscientizao o primeiro nvel para a aceitao.

Educao O que e quando fazer No basta saber as motivaes que fizeram com que a mudana fosse necessria. H que se saber, e ter claro, o que fazer quando determinada situao ocorrer. O quando fazer est relacionado necessidade de diferentes aes dependendo da situao e ocasio. Sabendo-se o que fazer, e quando fazer, elimina-se os fatores medo, apreenso e ansiedade. Bastar que algo acontea para que as pessoas saibam exatamente o que fazer naquela determinada situao, tendo em mente, tambm, o porque. Isso d segurana e firmeza nas aes.

48

Treinamento Como fazer Esta a parte que mais se ouve quando fala-se em novos processos, ferramentas ou qualquer mudana. de extrema importncia que cada um saiba como fazer as aes demandadas pelas situaes especficas, mas este saber isolado gera pouco resultado. Depois de aplicados os dois primeiros nveis da campanha, as pessoas estaro havidas por saber como agir, quais as tcnicas e quais as ferramentas disponveis para que reajam s situaes. Este desejo no ser forado, mas brotado de forma natural decorrente da necessidade de saber como fazer o que j se sabe o motivo de fazer e o quando fazer. a pea que falta e que ser apresentada no treinamento. O treinamento em tcnicas ou ferramentas especficas ser, ento, um processo natural e agradvel a todos, o que trar maior resultado de aplicao e reteno do que for ensinado.

Os nveis de treinamento podero ser realizados numa mesma sesso, desde que conscientemente seja planejado e estruturado para seguir estas etapas.

Implantao da Poltica O desenvolvimento, elaborao e ajustes da Poltica de Segurana , por si s, um trabalho extraordinrio, dependendo do porte e complexidade da organizao onde ser aplicada. Mas de nada adiantar tal elaborao se a aplicao no for feita de forma a atingir os objetivos pretendidos nas mesmas.

49

O Plano Diretor de Segurana da Informao onde deve constar o planejamento geral da aplicao da Poltica, uma vez que ir requerer recursos financeiros e de pessoal, bem como a estruturao para administrao das tecnologias e processos implementados para suportar a Poltica.

VI. Norma BS 7799


A norma BS 7799 a Norma que deu origem tanto verso americana ISO/IEC 17799 quanto verso brasileira NBR ISO/IEC 17799.

O Brithish Standart 7799 uma norma de segurana da informao criada na Inglaterra que teve seu desenvolvimento iniciado em 1995 e est dividida em duas partes. BS 7799-1, a primeira parte da norma, contm uma introduo, definio de extenso e condies principais de uso da norma. Nesta parte disponibiliza 148 controles divididos em dez partes distintas e foi planejada para ser um documento de referncia para implementao de "boas prticas" de segurana da informao. Como esta primeira parte apenas um cdigo de prtica para segurana da informao, no objeto de certificao. A BS 7799-2, a segunda parte da norma, tem como objetivo proporcionar uma base para gerenciamento da segurana da informao. Esta a parte da norma que a empresa deve seguir para conseguir a certificao na BS 7799.

50

Objetivo da Norma
A Norma BS 7799 fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da segurana, e prover confiana nos relacionamentos entre as organizaes. Convm que as recomendaes descritas nesta Norma sejam selecionadas e usadas de acordo com as necessidades do negcio, com a legislao e as regulamentaes vigentes e que dizem respeito ao cenrio da empresa.

Controles requeridos pela Norma


Primeiramente devemos saber o que so e para que se prestam os controles descritos na Norma. So 10 domnios de objetivos de controle (relacionados abaixo) divididos em 36 objetivos de controles que se subdividem em 127 controles especficos. Os controles listados na BS 7799 esto divididos nas seguintes reas: - Poltica de Segurana da Informao; - Segurana Organizacional; - Classificao e controle de ativos; - Segurana de pessoal; - Segurana fsica e de ambiente; - Gerenciamento das comunicaes e operaes; - Controle de Acesso; - Desenvolvimento e manuteno de sistemas; - Gerenciamento da continuidade do negcio;

51

- Aderncia. A Norma no obriga a implementao de todos os controles e nem mesmo que sejam utilizados somente os controles constantes na mesma, podendo, ento, uma empresa no utilizar alguns controles sugeridos pela Norma e aplicar outros necessrio ao negcio.

Como cada domnio de objetivos de controle se expande em outros controles especficos, algumas questes precisam ser respondidas para que se determine quais so aplicveis organizao. Exemplos: - Na Anlise de Risco foi identificado algum risco que pode ser coberto por este objetivo de controle? - Se nada foi identificado na Anlise de Risco que pode ser coberto por este objetivo de controle, acrescente no Statement of Aplicability (SoA) a justificativa da no aplicao deste objetivo de controle; - Se foi identificado, na Anlise de Risco, algum risco que pode ser coberto por este objetivo de controle, acrescente no Summary of Controls a justificativa da aplicao deste objetivo de controle, com um pequeno resumo do risco a ser mitigado; - Dentro do objetivo de controle selecionado, devem ser selecionados quais controles especficos sero aplicados.

neste contexto que entra o documento Statement of Applicability, ou Declarao de Aplicabilidade, onde sero especificados e justificados tanto a utilizao como a no utilizao de controles, assim como a especificao e justificativa da implementao de outros controles que no os da BS 7799.

52

Cada controle objetiva definir o que deve ser feito para que determinados processos tenham a segurana assegurada e deve ser aplicado dentro dos processos de negcio para mitigar os riscos a que estes esto sujeitos.

Seleo dos controles


Para que sejam definidos quais controles a ser implementados na empresa necessrio que se tenha claramente definido quais os processos de negcio sero contemplados pelos controles e qual a aplicabilidade destes, ou seja, a que risco o controle se prope a mitigar. No faz sentido implementar um controle sem um objetivo claro e real.

Para isso, necessrio que alguns passos sejam seguidos: - O objetivo deste trabalho deve estar totalmente entendido e aceito pelos gestores da empresa e dos processos que sero alvo dos controles; - O trabalho de conscientizao quanto aos objetivos deste trabalho dever ser feito em todos os nveis de usurios que sero afetados pelos controles; - imperativo que no se confunda a etapa de levantamento de requisitos de segurana definio de controles com auditoria, pois isso acabar criando limitao na colaborao que os envolvidos poderiam dar ao trabalho. - Antes que sejam definidos quais controles implementar, dever ser feito um trabalho meticuloso de Anlise de Risco e Impacto nos Negcios, no qual constar o levantamento e detalhamento dos processos de negcio, dos ativos que suportam tais processos e dos riscos e vulnerabilidades a que so

53

suscetveis, assim como a interdependncia entre os processos e a dependncia entre os processos e os ativos; (Veja mais em Anlise de Riscos)

A seleo de controles dever se dar baseado na anlise de riscos e nos requisitos de segurana necessrios segurana dos processos de negcio, objetivando a mitigao e controle dos riscos identificados na Anlise de Riscos.

Como j foi dito, pode acontecer, e normalmente acontece, de nem todos os controles da Norma serem aplicveis organizao, devendo constar no Statement of Applicability a especificao e a justificativa da aplicao e tambm da no aplicao do controle pela organizao. Neste documento dever constar tambm os controles que no os especificados pela BS 7799. (ver Statement of Applicability (SoA)).

Uma boa ferramenta de verificao a criao de um Summary of Controls (SoC), que equivalente ao documento de pr-auditoria, documento este que enumera todos os controles aplicados, bem como um resumo de seus objetivos.

Para que o processo de seleo de controles seja bem realizado e tenha o comprometimento de toda a empresa, o mesmo dever ser realizado pelo Security Officer em parceria com: - alta direo da organizao; - gestores dos processos de negcio; - responsveis por auditoria; - responsveis por processos operacionais;

54

- responsveis por setores da organizao; - responsveis por reas especficas de controle; - responsveis por tecnologias aplicadas ao negcio; - Usurios; e - Todos os envolvidos nos processos da organizao que no constam desta lista ou que o Security Officer julgue que possa agregar ao processo decisrio e de implementao.

Cada participao dever acontecer a seu tempo, de acordo com a fase do processo, seja decisrio ou de implementao.

Cabe aos nveis estratgico e ttico da organizao decidir quais controles devero ser implementados, dentre os selecionados, definindo sempre o objetivo e relacionando o controle ao risco a ser mitigado, e ao nvel operacional a implementao e, caso necessrio, propor mudanas e melhorias nos controles a serem implementados, desde que no mude o objetivo e nem perca o foco do risco em questo.

Apostila elaborada por: Prof. Salomo de Oliveira. Para utilizao na disciplina Normas e Polticas de Segurana da Informao no curso Gesto de Tecnologia, no Centro Universitrio Radial Estcio de So Paulo Campus Jabaquara.

55

Você também pode gostar