Escolar Documentos
Profissional Documentos
Cultura Documentos
Apostila Gestao de Seguranca Da Informacao
Apostila Gestao de Seguranca Da Informacao
I.
Introduo
A Segurana Estratgica da Informao, qual estamos vivenciando o surgimento como rea do
conhecimento, rea esta que se utiliza da vrias cincias psicologia, sociologia, tecnologia,
administrao, arquivologia, antropologia, forense, direito, etc. - de vital importncia para o mundo
corporativo, governamental e mesmo para o mundo privado e pessoal sem a segurana este tende a
desaparecer.
Uma frase muito dita nos ltimos tempos : A informao um dos ativos mais valiosos das
organizaes. No poderia ser diferente, afinal estamos em plena transio da era da informao para a
era do conhecimento, conhecimento este que necessita de informaes para que seja adquirido e
compartilhado. Nada mais natural que se procure, portanto, assegurar que este ativo to importante s
organizaes esteja em total segurana. Sim, natural, mas isto no significa necessariamente que todas
as organizaes estejam preparadas para a tarefa de manter suas informaes em segurana.
Nesta apostila vou procurar apresentar a Segurana Estratgica da Informao de maneira didtica e
mostrar o que necessrio para que ela seja implementada, sem a pretenso de esgotar o assunto ou
fazer deste trabalho a verdade sobre segurana da informao, pois esta a minha viso sobre este
assunto, e nem sei por quanto tempo esta viso permanecer. Espero que por pouco, pois ao mudar
estarei evoluindo, assim como a Segurana Estratgica da Informao evoluir.
O fator humano o elo mais fraco da segurana1
Vou apresentar tambm alguns conceitos de Gesto de Riscos e Continuidade de Negcios, que ao
meu ver so indissociveis do tema Segurana da Informao.
Clemente Nbrega diz, em seu livro Antropomarketing [Senac Rio 2002], que Marketing sobre
o ser humano, onde Precisamos compartilhar significados para obter reciprocidade e ficar vivos. Eu
ouso adaptar suas palavras para: Segurana da Informao sobre o ser humano, onde precisamos
compartilhar responsabilidades e conhecimentos para obter reciprocidade e ficar vivos, no sentido de
continuidade.
Esta viso corroborada por uma das mximas da Segurana da Informao que afirma que A
Segurana da Informao se mede pela segurana de seu elo mais fraco: o ser humano.
Lembrem-se: Errar humano, e trapacear tambm!
A transio da era da informao para a era do conhecimento, apesar de parecer e em alguns
casos no passar mesmo de apenas clich modista para gurus e vendedores de milagres corporativos,
de fundamental importncia para o tema e para que entendamos a expanso do escopo e da abordagem
que o assunto passa a exigir. Mal comeamos a aplicar conceitos de Segurana da Informao e j nos
apresentado a Segurana do Conhecimento. J utilizamos conceitos e prticas de Segurana do
Conhecimento h muito tempo, como no caso de proteo e segredos de propriedades industriais e
intelectuais, mas o escopo deve ser ampliado e fundido ao da Segurana da Informao, que
convencionei chamar de Segurana Estratgica da Informao.
A Informao um ativo importante das organizaes, e em muitos casos o mais importante, e como
tal deve ser protegido adequadamente durante todo seu ciclo de vida: criao, manipulao,
armazenamento, transporte e descarte.
Por informao, entendem-se, neste contexto, todos os dados armazenados e manipulados em meios
eletrnicos, em papel, micro-filmes, ou qualquer outro meio que os suporte, que quando
contextualizados geram informaes e conhecimentos de valor para a empresa. Sendo o conhecimento
adquirido a partir da informao, este deve ser englobado no nosso escopo de trabalho para que tambm
seja protegido. Isso nos remete gesto do conhecimento, tema que no ser tratado aqui, mas que
verdadeiramente importante neste contexto.
Ativo: qualquer coisa que tenha valor para a organizao [ISO/IEC 1335-1:2004]
Em sendo estratgico, e aqui me lembro bem do professor Altino [Introduo Administrao UNIBERO:2000] que no se cansava de nos apresentar a pirmide hierrquica: estratgica no topo;
ttico na rea central e operacional na base.
A responsabilidade pela segurana da informao toda a organizao, mas para que seja
estratgica, cuidando de ativos estratgicos, deve ter como principais responsveis os gestores das reas
de negcio, sob a coordenao ou direo de um especialista no assunto, ou por um diretor apoiado por
consultores, uma vez que o tema traz consigo uma srie de fatores tcnicos e multidisciplinares.
A Gesto da rea, e assuntos especficos relativos Segurana da Informao, deve estar, portanto,
sob a tutela de um cargo situado no plano estratgico da hierarquia. CSO (Chief Security Officer), para
os que preferem termos americanos, ou simplesmente Diretor de Segurana da Informao, em bom
portugus. Este cargo, ou funo, pode ser desempenhado pelo prprio Diretor de Riscos Corporativos, e
em outros casos em que a empresa no comporte tal cargo, pode ser dado como funo e
responsabilidade a outro diretor, mas deve estar no nvel estratgico e h que se ter um verdadeiro
compromisso e responsabilidade com tal funo. Este diretor deve ser assessorado por especialistas nos
diversos domnios que a Segurana da Informao engloba, ainda que consultores externos.
TI e os riscos inerentes ao ambiente e ao negcio, o que no possvel existir seno no nvel estratgico
da organizao.
Para que um plano de segurana estratgica da informao alcance o resultado esperado deve seguir
as seguintes premissas:
Personalizado elaborada sob medida para a empresa;
No existe plano de segurana estratgica da informao em prateleiras de lojas ou empresas de
consultorias. Desconfie e duvide de quem oferecer tal soluo milagrosa. Como diria o Presidente
Lula, no tem soluo milagrosa. As coisas devem ser feita da maneira correta, no tempo certo e
com os custos financeiros e de esforos necessrios a cada organizao. algo que para funcionar
deve ser feito sob-medida, seguindo padres e normas internacionais e consagradas, aplicando as
melhores prticas conhecidas no mercado, seguindo as regulamentaes setoriais, os requisitos
especficos de cada tipo de negcio e seguindo as leis aplicveis a cada assunto abordado no plano.
Voltando aos conceitos, o conhecimento deve ser compartilhado e aplicado, mas as informaes
sobre o plano, em sua maioria, tero que ser geradas internamente, a no ser aquelas comuns ao
mercado, como leis e regulamentaes.
Justificvel orientada a Riscos, ou seja, deve mitigar os riscos aos quais a empresa est sujeita,
mantendo-os em nveis aceitveis; e
Permanente aplicvel, de maneira contnua, contra as ameaas reais s quais os processos e
ativos da empresa esto expostos.
Segurana
O investimento e avano em segurana reagem de maneira semelhante s curvas geradas por PG
(progresso geomtrica) e PA (progresso aritmtica), respectivamente, como se fosse necessrio
aumento geomtrico dos investimentos financeiros e esforos para se conseguir um aumento aritmtico
no nvel de segurana. Ao atingirmos o nvel desejado de segurana a curva de investimento tem seu
ponto de inflexo e a de segurana passa a ser estvel por um perodo e passar a decair. importante
notar que o investimento em segurana diminuir a partir deste ponto, mas jamais poder ser eliminado
por completo, pois o custo de manuteno dever ser mantido para que o nvel de segurana alcanado
seja mantido e que o processo de gesto (PDCA) seja preservado.
70
60
50
40
30
20
10
0
1
Investimento
Segurana
10
Os usurios finais tambm podem sentir os efeitos deste maior controle, principalmente aqueles que
se acostumaram em ambientes muito flexveis, para no dizer relaxados, pois no mais tero liberdade
para fazer o que quiserem, mas apenas o que precisarem e sob controle e monitorao constante. Estes
controles podem, se no bem implementados e adequados ao ambiente, causar alguns inconvenientes, os
quais devem ser minimizados no decorrer do processo evolutivo da segurana, e tambm conforme os
usurios vo se habituando a trabalhar em ambientes mais seguros, e portanto, controlados.
A conscientizao e educao constante dos usurios so grandes aliados dos gestores de segurana,
pois transforma os usurios em colaboradores. Isso acontece naturalmente quando estes entendem o real
objetivo da segurana.
O investimento em segurana deve ser proporcional ao valor do bem que se pretende proteger.
Visto que proteger as informaes requer investimento e esforo, devemos atentar para o fato de que
nem todas as informaes tm o mesmo valor, e que o valor destas variam de acordo com seu ciclo de
vida. essencial que se faa a classificao das informaes, e sua reclassificao, sempre que
necessrio, para que no se invista mais que o necessrio para garantir a segurana das mesmas.
Ningum compraria um cofre de R$ 10.000,00 para guardar uma jia de R$ 3.000,00. Seria um
desperdcio de recurso. E um carro que hoje custa R$ 50.000,00 ter seu valor depreciado no ano
11
seguinte, no sendo, portanto, aceitvel que se invista o mesmo valor em seu seguro por dois anos
consecutivos, pressupondo-se que no houve alterao considervel no fator risco.
12
Na maioria das organizaes o Information Security Officer precisar se esforar para mostrar as
vantagens que o investimento em aes estruturadas em segurana traro como retorno. Uma das
melhores maneiras de demonstrar que o investimento trar retorno, e sua real necessidade, a realizao
estudos de Anlise de Riscos e Avaliao de Impactos, estudos estes que iro aclarar o quo a
organizao est vulnervel, quais so os riscos aos quais est exposta e qual ser o impacto em caso de
incidente.
Uma estratgica que pode auxiliar no convencimento demonstrar o quanto a empresa poder perder
caso no invista em segurana, uma vez que difcil demonstrar o retorno do investimento. Podemos
chamar isso de Perda por No Investimento (PpNI). Exemplo: Seguir uma regulamentao setorial pode
no trazer retorno empresa, mas no seguir pode trazer prejuzo.
13
Para que seja possvel alcanar os objetivos da segurana da informao necessrio que se siga alguns
passos, a saber:
Para completar, segurana da informao no projeto, e sim um processo, e como tal deve ser
contnuo, cclico, monitorado, revisado e evoludo permanentemente, sob pena de se tornar obsoleto e de
perder seu valor para o negcio.
A segurana da informao composta por pilares bsicos, e todo o resto gira em torno disto:
Confidencialidade; Integridade; e Disponibilidade.
14
Temos ainda alguns aspectos originados dos conceitos do CID. Vamos destacar aqui alguns deles:
Autenticao; Autorizao; Auditoria; Autenticidade; No Repdio e Legalidade.
Conceitos
Confidencialidade
Garantia de que o acesso s informaes seja obtido somente por entidades autorizadas.
A confidencialidade pode ser classificada em nveis de acordo com as necessidades da empresa,
podendo ser:
Confidencial Pode ser manipulada por um nmero reduzido de pessoas ou um setor da empresa,
como por exemplo P&D;
Restrita Informao restrita pode ser manipulada por contingente maior de pessoas ou um nvel
hierrquico, como por exemplo o plano estratgico da empresa que pode ser visto at no nvel
hierrquico de diretoria;
Interna Este tipo de informao deve ser limitado da empresa, como as listas de ramais,
memorandos internos, norma internas, manuais, etc.;
Pblica Estas informaes podem tambm ser divulgadas ao pblico ou publicadas em revistas,
sites, etc. Informaes pblicas podem tambm ser conhecidas como no classificadas, pois
entende-se que se no foi classificada porque pblica. Isso pode trazer srios problemas para a
empresa, pois uma falha de classificao pode expor informaes confidenciais ao pblico. O mais
seguro seria adotar que tudo o que no classificado interna.
15
Integridade
Garantia de que as informaes sero protegidas contra alteraes no autorizadas e mantidas a
exatido e a inteireza das mesmas, tal qual como foi armazenada e disponibilizada.
Um dado, ou informao, armazenado deve permanecer integra para quando for recuperado. Para
que isso seja verdadeiro no poder sofrer interferncia alguma que o modifique, seja por falhas
intencionais ou no. Os mtodos de processamento, normalmente sistemas, devem tambm ter a
integridade preservada, pois uma alterao num sistema pode comprometer as informaes resultantes
do processamento.
Este conceito no garante que os dados estejam corretos, pois se forem armazenados errados, assim
permanecero at que uma entidade autorizada os corrija.
Disponibilidade
Garantia de que as informaes estaro disponveis onde e quando as entidades autorizadas
necessitarem, com total segurana.
A informao no tem valor para a empresa caso no esteja disponvel quando for requisitada.
Muitos ataques tentam derrubar este pilar da segurana por meio da negao de servio com ataques do
tipo DoS ou DDoS, interrompendo o acesso aos servios e informaes das empresas. Para que este
problema seja apresentado no necessrio ataque sofisticado, bastando para isso apenas que uma linha
de comunicao seja interrompida ou que um servidor seja fisicamente comprometido, intencionalmente
ou no. A falta de energia que alimenta o servidor de dados pode causar indisponibilidade, caso no haja
contramedidas para este problema.
A manuteno deste pilares da segurana da informao s ser atingida se houver a integrao entre
segurana fsica e do ambiente, tecnolgica e em pessoas como j foi apresentado.
16
Aspectos
Autenticao
Processo de autenticar uma entidade como sendo aquela que se apresenta.
Entende-se por entidade, pessoas, sistemas, redes ou qualquer outra parte que necessite de
identificao para que possa manipular as informaes. Este aspecto de suma importncia para a
manuteno da segurana da informao, pois se no for possvel autenticar a entidade toda a cadeia de
segurana estar comprometida, seja por permitir acesso entidade falsa ou negar acesso entidade
legtima. Pode-se dizer que a negao de servio melhor que a autorizao indevida, mas isso deve ser
muito bem resolvido pela empresa, pois nem sempre isso pode ser verdadeiro.
Autorizao
Processo de concesso de direitos para que uma entidade autenticada acesse as informaes
somente com as permisses a ela atribuda. (ler, gravar, modificar, apagar, executar, visualizar).
Esse aspecto totalmente dependente da autenticao, pois se for autenticada uma entidade falsa
como verdadeira, esta receber todas as permisses atribudas verdadeira como se ela fosse.
No processo de autorizao deve-se sempre que possvel utilizar o preceito de mnimo privilegio,
preceito este que diz que uma entidade deve ter o mnimo privilgio de acesso s informaes dentro de
sistemas quanto for necessrio para o cumprimento de suas funes.
Outro preceito a necessidade de saber need to know. Questiona-se se realmente necessrio
que a entidade tenha acesso a determinadas informaes ou sistemas para cumprir suas funes, em caso
negativo o acesso deve ser negado.
17
Auditoria
Processo de registrar as aes realizadas pelas entidades durante a interao com as informaes e
sistemas.
Para que a segurana da informao seja efetiva necessrio que se possa determinar com preciso
quem, quando e o que foi feito nos sistemas de informaes e repositrios de dados. Sem isso no ser
possvel responsabilizar violao de normas e quebras de segurana. Este registro de trilhas de auditoria
deve se dar em todos os ambientes da empresa, tanto fsicos quanto lgicos.
Em sistemas de informao isso feito por meio de coleta de logs, arquivos que registram todos os
eventos configurados para serem registrados e com a riqueza de detalhes que for necessrio empresa.
Em segurana fsica, um simples relatrio manual de acesso a determinadas dependncias da empresa
tambm pode ser considerado trilha de auditoria, assim como cmeras de vigilncia e outros dispositivos
de monitorao.
Autenticidade
18
Processo que certifica a legitimidade das informaes, quer seja de credenciais de acesso que
autenticam as entidades ou que as informaes por estas entidades transmitidas so autnticas, assim
como a entidade remetente ou destinatria como legtima.
Os certificados digitais, que inclusive j tem valor jurdico e prov a irrevogabilidade, vm sendo
utilizados principalmente em assinatura de documentos, cifrao em trocas de mensagens e autenticao
de entidades.
A biometria vem ganhando espao principalmente para controle de acesso e autenticao de
usurios.
No Repdio
Caracterstica das informaes que garante o no repdio, seja referente autenticidade de
documentos ou transaes financeiras e comerciais.
Mais uma vez o certificado digital (assinatura eletrnica), juntamente com as certificadoras de tempo,
esto se apresentando como as tecnologias mais adequadas esta tarefa, muitas vezes j com garantia
jurdica nos processo.
Legalidade
Caracterstica das informaes estarem em conformidade legal, assim como os processos que as
manipulam e prov validade jurdica.
Este aspecto rege que as informaes devem ser mantidas dentro das determinaes legais. Um
exemplo disso so as assinaturas digitais de documentos, que s tero efeito legal se forem feitas com
certificados digitais fornecidos por Entidades Certificadoras ACs - integrantes do ICP Brasil ou por
19
III.
FSICA
AMBIENTE
TECNOLGICA
PESSOAS
20
Com a no implementao de apenas uma dessas partes da segurana da informao, o mximo que
se conseguir criar uma falsa sensao de segurana, que muito pior do que ter a certeza da
insegurana, pois se acreditamos, falsamente, que estamos seguros, acabamos por no tomar as medidas
necessrias para preveno, deteco, correo e reduo de impacto, mas sabendo que estamos
vulnerveis s ignoramos a necessidade de tais medidas de maneira consciente, e portanto imprudente e
inconseqente.
Segurana pessoal
Medidas a serem tomadas para garantir a segurana dos funcionrios, prestadores de servios e
pessoas chave da organizao;
Segurana patrimonial
Controles a serem implementados para garantir a segurana do patrimnio da organizao,
principalmente daqueles necessrios continuidade operacional;
21
Segurana de infra-estruturas
Infra-estrutura de cabeamento lgico (backbone de rede), eltrica, de gua, de condicionamento
de ar, de exausto, de controle do ar, de deteco e combate a fogo, dentre outros, devem ser
protegidas e controladas. Devemos atentar para a infra-estrutura interna e externa, esta ltima um
pouco mais complicada de gerenciar por estar, na maioria dos casos, fora do controle da
organizao, mas nem por isso deve ser ignorada;
Controles de acessos
O acesso s instalaes da organizao deve ser controlado e monitorado para que a segurana
seja efetiva.
22
Quando falamos em segurana fsica e de ambiente, boa parte das aes sero tomadas para
limitar o acesso s dependncias a serem protegidas. Sem o devido controle de acesso, seja este
administrativo e simples ou tecnolgico e complexo, a segurana ser falha.
Eventos naturais
A natureza bela e perfeita, no podemos contestar isso, mas em muitas situaes acaba por
colocar em risco a segurana das organizaes. Raios, enchentes, chuvas de granizo, temporais,
ventanias, terremotos; maremotos; calor; etc. podem afetar a continuidade operacional da
organizao caso esta no mesure os riscos e implemente as medidas necessrias de segurana.
Eventos sociais
Muitos eventos sociais podem acabar por afetar a segurana das empresas, em diversos nveis e
situaes. A disponibilidade a pode ser afetada caso haja, por exemplo, uma mobilizao social nas
imediaes da empresa, seja por greve, revolta, baderna, etc. Empresas que atuam na Av. Paulista, em
So Paulo, sofrem este tipo de transtorno constantemente, uma vez que a avenida palco de diversas
manifestaes, festivas ou no.
Em muitos casos pode ocorrer de tais manifestaes fugirem ao controle e passar para aes em
massa de quebra-quebra, baderna e violncia. Empresas podem ter suas dependncias invadidas,
depredadas e saqueadas, estes riscos devem ser levados em considerao no processo de gesto de riscos
e segurana das informaes.
Mesmo aes individuais, seja por imprudncia ou sabotagem, podem levar a empresa a
situaes como as acima apresentadas.
23
Redes
As redes da organizao devem ser providas de mecanismos de monitorao, deteco e proteo
contra cdigos maliciosos, assim como contra ataques e intruses. A ferramenta mais aplicvel para
24
esta tarefa o IDS (NIDS - Network Intruder Detection System). Para monitorao podem ser
utilizadas ferramentas Sniffer, que capturam trfego da rede para estudo e monitorao.
Controle de acesso
O controle de acessos aos sistemas e dados uma parte de extrema importncia da segurana. O
controle de acesso deve prever as seguintes funcionalidades: Autenticao, Autorizao e Auditoria.
Os bancos de dados no passam, simplificadamente falando, de repositrios de dados. O controle
de acessos a estes dados deve ser previsto desde a concepo e estruturao do banco de dados,
podendo, e devendo, ser feito de maneira integrada aos sistemas que faro a interao entre os
usurios e o banco de dados.
25
Segurana em Pessoas
A segurana em pessoas normalmente relegada a segundo plano, mas acredito ser a mais
importante das trs, por serem as pessoas o elo mais fraco da corrente.
nas pessoas que a segurana comea e nelas que termina. Equipamentos tecnolgicos podem ser
desligados, trocados e ligados novamente, tudo muito previsvel. Com pessoas a situao diferente,
no podemos prever as atitudes das pessoas em situaes adversas. No devemos falar de desconfiana,
mas de precauo.
Dentro da Segurana em Pessoas, devemos trabalhar com as seguintes questes, dentre outras que sejam
necessrias organizao:
Engenharia social
Um dos grandes viles da segurana da informao a engenharia social, tcnica que utilizada
em larga escala por engenheiros sociais, hackers e crackers, espies, curiosos, estelionatrios, dentre
outros. A maioria das espionagens industriais e comerciais se d por engenharia social, e quando esta
no a principal tcnica empregada pelos espies, utilizada no mnimo como auxiliar para outras
tcnicas.
Acompanhamento de pessoal
26
Conscientizao
A conscientizao do pessoal pea chave na implementao da segurana da informao. As
pessoas devem estar cientes e conscientes da necessidade da segurana das informaes, bem como
do valor dessas informaes, assim como o risco e o impacto que a violao da segurana poder
causar organizao e conseqentemente para as pessoas que nela trabalham. Se as pessoas no
entenderem e aceitarem os argumentos apresentados pela organizao a segurana poder no ser
efetiva.
Educao
muito comum as empresas desenvolverem Poltica de Segurana, implementarem uma grande
parafernlia tecnolgica voltada para a segurana, e tomarem muitas das medidas necessrias
segurana da informao sem dar a devida ateno e o devido investimento educao de seus
funcionrios. As pessoas esto acostumadas a acreditar em seus interlocutores, a ajudar aos que
solicitam, a abrir arquivos que recebem, a seguir orientaes recebidas por e-mail ou telefone, a
confiar em sites que se dizem seguros, a crer que os e-mails recebidos de um amigo so confiveis, a
ter boa receptividade com seus colegas de trabalho ou enviados por estes. Estes costumes podem
abrir uma enorme lacuna de segurana se alguns cuidados no forem tomados para certificar que as
informaes apresentadas so realmente verdadeiras e confiveis.
27
A engenharia social nada mais do que uma tcnica para explorar algumas caractersticas
humanas como ego, vaidade, ambio, confiana, medo, bondade, reciprocidade, corporativismo,
coleguismo, dentre outras. Se as pessoas no forem educadas em como agir nas situaes que podem
causar incidentes de segurana e colocar as informaes em risco, com certeza a segurana ser
violada e a organizao ser prejudicada.
Poltica de segurana
um conjunto de normas que traduz as necessidades da organizao quanto segurana da
informao, objetivando a normalizao das aes necessrias para levar a organizao a um nvel
de risco aceitvel e confortvel. A poltica de segurana deve ser desenvolvida sob medida para a
organizao qual ser aplicada, devendo contemplar a estratgia de negcios e as expectativas de
segurana da direo. Deve, ainda, ser clara e objetiva, factvel e aplicvel, mensurvel, relevante e
temporal.
A Poltica de Segurana da Informao de uma organizao dever ser aprovada pela alta direo
e publicada de maneira que todos os funcionrios e parceiros tomem conhecimento da parte que lhes
cabe seguir.
Gerncia de mudana
A implementao da segurana da informao comumente provoca inmeras e profundas
mudanas nas organizaes, sejam mudanas de comportamento ou em processos. Estas mudanas
devem ser acompanhadas e gerenciadas por uma pessoa que tenha bom relacionamento pessoal e
interdepartamental e com liderana e autoridade suficiente para contornar problemas que surgiro
em decorrncia dessas mudanas. natural que haja resistncia por parte do pessoal, quer seja por
28
perda de direitos nos sistemas, maior monitorao e controle, falta de entendimento dos objetivos da
maior segurana, etc., mas tal resistncia deve ser contornada com medidas de conscientizao e em
ltimo caso com medidas de reforo - prmios e ou punies.
29
Controle e monitorao
As normas de segurana descritas na poltica de segurana devem ser seguidas por toda a
organizao, e para que se mea a aderncia e obedincia s normas necessrio que haja
monitorao das aes previstas.
A monitorao no dever ser utilizada como fonte de ameaas e punies, mas sim para
correes e ajustes das normas, dos comportamentos e das tecnologias aplicadas.
necessrio, ainda, que se deixe claro que o controle e a monitorao so para proteger as
informaes e os recursos da organizao e no para bisbilhotar as aes dos funcionrios,
deixando claro que a privacidade ser preservada, desde que no coloque a segurana em risco, e tais
aes se daro por meio de processos transparentes estabelecidos pela organizao.
30
O incidente de segurana mais freqente a que tem o ser humano - o elo mais fraco da corrente como principal ator, podendo ser intencional ou no.
Causas
de
incidentes
no
intencionais:
falta
de
treinamento,
desateno,
falta
de
A implementao de defesas pode ser feita sob uma abordagem de camadas. A figura abaixo ilustra,
com alguns exemplos, como se d a segurana nas vrias camadas de profundidade e como cada camada
dependente da anterior.
Dados
Aplicativos
Servidores
Rede Interna
Permetros
Segurana
Fsica
Poltica de Segurana
31
Fases do Ciclo
Manipulao
Refere-se a todo ato de manuseio da informao durante os processos de criao, alterao e
processamento.
32
Nesta fase do ciclo de vida da informao onde h maior interao entre esta e as entidades, e,
conseqentemente, onde ocorre a maioria das falhas de segurana.
Armazenamento
Refere-se ao armazenamento e arquivamento da informao em meios digitais, magnticos ou
qualquer outro que a suporte.
Durante a fase do armazenamento, em que meio seja, a informao deve estar salvaguardada dos
riscos a que est sujeita, tendo preservadas a Confidencialidade, Integridade e Disponibilidade, de
acordo com a necessidade de cada tipo de informao.
Nesta fase a segurana fsica muito importante, no que as outras no o sejam, pois estaro sujeitas
aos riscos ambientais, naturais ou no, mais do que os da fase de manuseio.
Aqui deve-se dividir armazenamento de arquivamento, sendo entendido como armazenada a
informao que est disposio das entidades que a utiliza, que est em rea de produo, quando
muito em backup de segurana. O arquivamento deve ser entendido como o processo de guarda das
informaes que no esto mais em produo, ou seja, no ficam disponveis para as entidades
utilizarem nos processos de negcio. Estas so as informaes contbeis, fiscais e tributrias e arquivos
mortos, dentre outros que na maioria das vezes so arquivadas para que sejam colocadas disposio
dos rgos pblicos, caso sejam solicitadas, ou para consultas futuras.
Transporte
Refere-se a todos os atos de movimentao e transferncia da informao, seja entre processos,
mdias ou entidades internas ou externas.
33
O transporte requer ateno especial, pois, normalmente, quando as informaes esto em transporte,
esto fora do permetro de segurana do ambiente que a suporta: Cartas, e-mails, caixas de arquivos,
pastas, notebooks e PDAs, comunicao telefnica e transmisses eletrnicas via rede, principalmente
redes pblicas como a Internet.
Tomemos todos os tipos de comunicao como fazendo parte do ambiente de transporte, inclusive, e
muito importante, o dilogo falado, pois ao falar, transporta-se a informao pelo ambiente (ar), do
locutor ao interlocutor, e pode-se deixar vazar informaes valiosas neste momento.
Descarte
Refere-se s aes de descarte e destruio das informaes no meio em que se encontram.
Muitas pessoas, na realidade a maioria, acham que a informao que vai ser descartada no tem
valor. Ledo engano, e engano que pode custar muito caro para as organizaes que no atentam para
este pormenor.
Em geral, ao jogarmos um documento em papel, uma cpia ou rascunho no lixo no estamos
descartando a informao, estamos, na realidade, nos desfazendo do meio que a suporta, neste caso o
papel.
Com a modernizao e automao dos escritrios esta questo ficou ainda mais preocupante, pois
basta que se tire uma cpia ou impresso de m qualidade para que a mesma seja lanada na lixeira, sem
critrios e sem que se observe os cuidados necessrios segurana das informaes ali contidas. O papel
carbono outro vilo, apesar de ser cada vez menos utilizado.
34
O mesmo cuidado se deve ter com qualquer meio que suporte a informao: papel, discos
magnticos, cartuchos, fitas de backup, CDs, micro-filmes, dentre tantos outros. Cada meio requer um
cuidado especial no descarte, para que as informaes estejam protegidas.
Os cuidados com descarte devem ser considerados, tambm, ao se vender computadores, discos,
papis para reciclagem, dentre outras maneiras de descartar, sem que seja necessariamente jogando no
lixo.
Esta prtica muito perigosa, principalmente no descarte de produtos magnticos, pois no basta
apagar o arquivo do disquete ou disco rgido para que a informao seja perdida. Se a eliminao da
informao no for feita com tcnica apropriada ao meio, a informao poder ser reconstruda a partir
de resduos das mesmas que permanecem nos meios magnticos. o mesmo que apagar uma escrita
lpis de um papel, com um pouco de esforo ou com alguma tcnica, podemos descobrir o que ali estava
escrito.
35
A gesto da segurana da informao deve ser feita com viso estratgica para que esteja alinhada
aos planos estratgicos de negcios e que sirva de apoio para estes.
36
Conselho de Segurana
O Conselho de Segurana, caso seja constitudo, dever ser composto por um representante de cada
processo de negcio ou prea da empresa e ainda por:
Tecnologia da Informao; Recursos Humanos; Jurdico; representantes da Diretoria ou Conselho
Executivo.
37
38
39
Por fim, sem pretender exaurir os aspectos possveis, a Poltica de Segurana da Informao deve ser
elaborada sob a abordagem de GESTO DE RISCOS e CONFORMIDADE. Todas as normas devem
ter a finalidade de reduzir riscos presentes no cenrio corporativo. A trade: Confidencialidade,
Integridade e Disponibilidade, deve estar presente em todas as determinaes, quer seja diretamente ou
indiretamente, como por exemplo, focar a Gesto de Identidade (autenticao e autorizao), que
contempla os trs pilares da segurana.
Se no for baseado em riscos, deve ser em funo de cumprimento Legal ou Regulatrio, que, em
ltima anlise, o no cumprimento representa um risco.
No faria sentido elaborar uma norma de segurana que no prev a gesto de riscos ou
conformidade, pois seria apenas incremento burocrtico sem finalidade prtica.
Diante do exposto at ento, podemos afirmar que a Poltica de Segurana da Informao deve ser
elaborada de forma exclusiva e personalizada para cada empresa, uma vez que o cenrio nico para
cada uma, ainda que alguns aspectos sejam comuns.
40
41
- Normas de Segurana da Informao Podem ser gerais (para quem usa) ou especficas (para
quem cuida). So as determinaes a serem seguidas por todos ou por aqueles que participam de
determinados processos. Expressa o que deve ser feito em relao segurana da informao na
operacionalizao dos processos de negcios e operacionais, quais os padres aceitveis de utilizao
dos recursos e informaes e quais as medidas disciplinares em caso de violao das mesmas. Nas
42
normas podero conter chamadas ou links para outros documentos, normas, leis ou regulamentaes
que devem ser seguidos, conforme determinao na norma que os invocou. Normas so mandatrias.
Exemplo:
- A autenticao dos usurios deve ser feito por meio de usurio e senha para todos os sistemas
de informao, sendo que os classificados como crticos (alta confidencialidade e integridade) devero
usar mais um fator de autenticao, podendo ser biomtrico, one-time-password (token) ou certificados
digitais;.
- O recurso mensagem eletrnica (e-mail) disponibilizado pela empresa, deve ser utilizado apenas
para fins corporativos, uma vez que um recurso da empresa e disponibilizado para este fim;
- As mensagens eletrnicas (e-mail) sero monitoradas via sistema e podero sofrer auditorias
peridicas ou sempre que a rea responsvel julgar necessrio. Sendo assim, no h que se ter
expectativa de privacidade pessoal nas mensagens enviadas ou recebidas por meio deste recurso da
empresa.
43
- A rea de TIC ser responsvel pela operacionalizao dos backups, seguindo determinaes dos
gestores dos processos que utilizam tais informaes e de acordo com a classificao de riscos das
mesmas;
- Os gestores de processos e informaes devero proceder anlise de riscos e impactos para que
sirvam de base para a determinao da periodicidade dos backups e restores, devendo delegar a
operao para a rea de TIC e proceder anlises e auditorias nos processos, a fim de garantir sua
eficcia.
44
O desenvolvimento da Poltica de Segurana da Informao deve ser feito com a participao efetiva
de todos os gestores de processos, de maneira que seja desenvolvida de acordo com as necessidades de
negcio de cada rea, aderente aos padres, costumes e cultura organizacional, ajustando ou alterando
padres quando necessrio, alm de estar em sintonia com os planos estratgicos da Empresa e
necessidades do mercado.
Devem ser seguidas as melhores prticas expressas em normas oficiais e frameworks de segurana
das informaes e gesto de riscos, como as normas ISO da srie 27000, o que proporcionar Empresa
um diferencial competitivo, pois o mercado valoriza cada dia mais as empresas resilientes, seguras e
com condies de superar incidentes que poderiam afetar a continuidade operacional. uma
demonstrao de Governana Corporativa, outro assunto valorizado no mercado, e que no possvel de
ser alcanada sem segurana da informao e continuidade.
A Poltica de Segurana das Informaes constituda por uma srie de normas, procedimentos,
guias e outros documentos, que sero suportados por tecnologias e processos que garantam a aderncia e
obedincia s mesmas. a Poltica de Segurana que reger todas as aes referentes segurana,
devendo, portanto, ser clara, especfica, atemporal e exclusiva para a Empresa.
Poltica de Segurana da Informao, conforme j dito, deve estar em alinhamento com a Norma
NBR ISO/IEC 17799:2005 (ou 27001 e 27002), e dever contar uma srie de normas, como por
exemplo as listadas abaixo:
45
Para cada norma podem ser criados um ou mais procedimentos, guias ou manuais, sabendo-se que
quanto mais baixo o documento na hierarquia da Poltica, mais alterao poder sofrer, por serem
operacionais. O operacional sofre mais alteraes que o ttico, que por sua vez sofre mais alteraes que
o estratgico. Esse o motivo para no se colocar todas as informaes em um mesmo documento:
46
facilitar o gerenciamento, a atualizao e a disseminao das alteraes sofridas, uma vez que toda
alterao dever ser publicada e comunicada aos interessados.
Para que o investimento feito no desenvolvimento da Poltica perdure, dever ser formatado o
processo de atualizao e reviso da mesma, seja periodicamente ou por mudanas no cenrio
corporativo ou de risco.
47
Conscientizao
Porque fazer As pessoas tendem a reduzir a resistncia s mudanas quando sabem exatamente os
motivos que as trouxeram, quais sero os benefcios das mudanas e quais os malefcios de no realizlas. Esta abordagem imprime respeito s pessoas envolvidas e gera cumplicidade e colaborao.
Conscientizao o primeiro nvel para a aceitao.
Educao
O que e quando fazer No basta saber as motivaes que fizeram com que a mudana fosse
necessria. H que se saber, e ter claro, o que fazer quando determinada situao ocorrer. O quando
fazer est relacionado necessidade de diferentes aes dependendo da situao e ocasio. Sabendo-se o
que fazer, e quando fazer, elimina-se os fatores medo, apreenso e ansiedade. Bastar que algo acontea
para que as pessoas saibam exatamente o que fazer naquela determinada situao, tendo em mente,
tambm, o porque. Isso d segurana e firmeza nas aes.
48
Treinamento
Como fazer Esta a parte que mais se ouve quando fala-se em novos processos, ferramentas ou
qualquer mudana. de extrema importncia que cada um saiba como fazer as aes demandadas pelas
situaes especficas, mas este saber isolado gera pouco resultado.
Depois de aplicados os dois primeiros nveis da campanha, as pessoas estaro havidas por saber
como agir, quais as tcnicas e quais as ferramentas disponveis para que reajam s situaes. Este desejo
no ser forado, mas brotado de forma natural decorrente da necessidade de saber como fazer o que j
se sabe o motivo de fazer e o quando fazer. a pea que falta e que ser apresentada no treinamento.
O treinamento em tcnicas ou ferramentas especficas ser, ento, um processo natural e agradvel a
todos, o que trar maior resultado de aplicao e reteno do que for ensinado.
Os nveis de treinamento podero ser realizados numa mesma sesso, desde que conscientemente
seja planejado e estruturado para seguir estas etapas.
Implantao da Poltica
O desenvolvimento, elaborao e ajustes da Poltica de Segurana , por si s, um trabalho
extraordinrio, dependendo do porte e complexidade da organizao onde ser aplicada. Mas de nada
adiantar tal elaborao se a aplicao no for feita de forma a atingir os objetivos pretendidos nas
mesmas.
49
O Plano Diretor de Segurana da Informao onde deve constar o planejamento geral da aplicao
da Poltica, uma vez que ir requerer recursos financeiros e de pessoal, bem como a estruturao para
administrao das tecnologias e processos implementados para suportar a Poltica.
O Brithish Standart 7799 uma norma de segurana da informao criada na Inglaterra que teve seu
desenvolvimento iniciado em 1995 e est dividida em duas partes.
BS 7799-1, a primeira parte da norma, contm uma introduo, definio de extenso e condies
principais de uso da norma. Nesta parte disponibiliza 148 controles divididos em dez partes distintas e
foi planejada para ser um documento de referncia para implementao de "boas prticas" de segurana
da informao. Como esta primeira parte apenas um cdigo de prtica para segurana da informao,
no objeto de certificao.
A BS 7799-2, a segunda parte da norma, tem como objetivo proporcionar uma base para
gerenciamento da segurana da informao. Esta a parte da norma que a empresa deve seguir para
conseguir a certificao na BS 7799.
50
Objetivo da Norma
A Norma BS 7799 fornece recomendaes para gesto da segurana da informao para uso por
aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas
organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de
segurana organizacional e das prticas efetivas de gesto da segurana, e prover confiana nos
relacionamentos entre as organizaes. Convm que as recomendaes descritas nesta Norma sejam
selecionadas e usadas de acordo com as necessidades do negcio, com a legislao e as regulamentaes
vigentes e que dizem respeito ao cenrio da empresa.
51
- Aderncia.
A Norma no obriga a implementao de todos os controles e nem mesmo que sejam utilizados
somente os controles constantes na mesma, podendo, ento, uma empresa no utilizar alguns controles
sugeridos pela Norma e aplicar outros necessrio ao negcio.
Como cada domnio de objetivos de controle se expande em outros controles especficos, algumas
questes precisam ser respondidas para que se determine quais so aplicveis organizao. Exemplos:
- Na Anlise de Risco foi identificado algum risco que pode ser coberto por este objetivo de
controle?
- Se nada foi identificado na Anlise de Risco que pode ser coberto por este objetivo de controle,
acrescente no Statement of Aplicability (SoA) a justificativa da no aplicao deste objetivo de
controle;
- Se foi identificado, na Anlise de Risco, algum risco que pode ser coberto por este objetivo de
controle, acrescente no Summary of Controls a justificativa da aplicao deste objetivo de controle,
com um pequeno resumo do risco a ser mitigado;
- Dentro do objetivo de controle selecionado, devem ser selecionados quais controles especficos
sero aplicados.
52
Cada controle objetiva definir o que deve ser feito para que determinados processos tenham a
segurana assegurada e deve ser aplicado dentro dos processos de negcio para mitigar os riscos a que
estes esto sujeitos.
53
A seleo de controles dever se dar baseado na anlise de riscos e nos requisitos de segurana
necessrios segurana dos processos de negcio, objetivando a mitigao e controle dos riscos
identificados na Anlise de Riscos.
Como j foi dito, pode acontecer, e normalmente acontece, de nem todos os controles da Norma
serem aplicveis organizao, devendo constar no Statement of Applicability a especificao e a
justificativa da aplicao e tambm da no aplicao do controle pela organizao. Neste documento
dever constar tambm os controles que no os especificados pela BS 7799. (ver Statement of
Applicability (SoA)).
Para que o processo de seleo de controles seja bem realizado e tenha o comprometimento de toda a
empresa, o mesmo dever ser realizado pelo Security Officer em parceria com:
- alta direo da organizao;
- gestores dos processos de negcio;
- responsveis por auditoria;
- responsveis por processos operacionais;
54
Cada participao dever acontecer a seu tempo, de acordo com a fase do processo, seja decisrio ou
de implementao.
Cabe aos nveis estratgico e ttico da organizao decidir quais controles devero ser implementados,
dentre os selecionados, definindo sempre o objetivo e relacionando o controle ao risco a ser mitigado, e
ao nvel operacional a implementao e, caso necessrio, propor mudanas e melhorias nos controles a
serem implementados, desde que no mude o objetivo e nem perca o foco do risco em questo.
55