Escolar Documentos
Profissional Documentos
Cultura Documentos
Norma ISO-IEC - 257005 Usando Padroes de Segurança PDF
Norma ISO-IEC - 257005 Usando Padroes de Segurança PDF
Resumo:O despreparo das organizaes para lidar com a segurana da informao as tornam mais
vulnerveis s ameaas e os impactos causados pelos eventos negativos tendem a serem maiores. Com
isso, a implantao da gesto da segurana das informaes fundamental para minimizar os riscos e
garantir a continuidade do negcio, maximizando as oportunidades de competitividade. Este artigo
prope o uso de padres de segurana para atender as diretrizes da norma ISO/IEC 27005:2008. Para
isso, so associados padres s atividades da norma. Essa associao pode facilitar a elaborao do
processo da norma e dar maiores garantias do uso de prticas recomendadas. No final, o artigo ilustra a
utilizao de padres de segurana.
Palavras Chave: Gesto de Riscos - Padres de Segurana - ISO/IEC 27005 - Segurana da
Informa - Normas de Segurana
1. INTRODUO
Na economia atual, a informao um dos principais ativos das organizaes.
atravs dela que as empresas gerenciam seus produtos ou servios e traam suas estratgias,
tornando os sistemas de informaes ativos crticos que necessitam serem protegidos contra
ameaas que podem explorar as vulnerabilidades do sistema. Estas violaes na segurana
podem causar a perda da confidencialidade, integridade e disponibilidade das informaes,
gerando perdas financeiras e competitivas por parte das empresas afetadas (KROLL et al,
2010; AMARAL; AMARAL; NUNES, 2010).
Muitas organizaes, sejam elas pblicas ou privadas, ainda se mostram despreparadas
para lidar com a segurana da informao. Isso decorre do fato dessas empresas possurem
poucos instrumentos de proteo, agravados pelo despreparo gerencial, tornando-as mais
vulnerveis s ameaas, com isso os impactos causados pelos eventos negativos tendem a ser
mais fortes (LUNARDI; DOLCI, 2006).
Gerenciar os riscos um dos principais processos da gesto da segurana da
informao, pois visa identificar, analisar, avaliar e controlar os riscos inerentes segurana
da informao. Gerenciar os riscos pode ser um processo complexo e oneroso, contribuindo
para que as empresas no priorizem esse processo em projetos de segurana da informao
(OLIVEIRA et al, 2009).
Existem normas e metodologias que guiam o desenvolvimento de uma gesto de
riscos, onde cada uma fornece um conjunto de diretrizes distintas para o gerenciamento dos
riscos. Dentre os modelos de referncia para gesto dos riscos que visam nortear as
implementaes necessrias est a ISO/IEC 27005 (2008). O processo descrito na norma
forma um embasamento para a construo de metodologias para gesto de riscos dizendo o
que a organizao deve fazer, mas no detalha suficientemente como executar as atividades,
dificultando a sua implementao por partes das organizaes.
Considerando que, Padres de Segurana (Security Patterns) descrevem boas solues
para problemas recorrentes de segurana da informao (WAGNER; FONTOURA;
FONTOURA, 2011), a proposta desse trabalho facilitar a elaborao de metodologias de
gesto de riscos por meio da associao de padres s atividades indicadas na norma.
Organizaes que desejam elaborar processos consistentes com a ISO/IEC 27005 podem usar
os padres sugeridos para implantao de metodologias de gesto de riscos, dessa forma
facilitando a tarefa de elaborao de metodologias e usando prticas j consagradas descritas
pelos padres.
Este artigo faz uma leitura da estrutura do processo da norma ISO/IEC 27005 ,
identificando as diretrizes de cada atividade e apresenta padres de segurana que descrevem
solues de gesto de riscos que satisfazem as diretrizes da norma. Padres de segurana
descrevem pequenos processos, ou partes de processo, que podem ser reusados para compor
diferentes processos. Deste modo, o artigo tem como principal contribuio a proposio de
utilizar padres de segurana para garantir o uso de prticas recomendadas na implementao
de solues de gesto de risco segundo as diretrizes da norma ISO/IEC 27005 .
O artigo est organizado da seguinte maneira: na Seo 2 descrito como o processo
de gesto de riscos deve ser conduzido, se considerada a norma ISO/IEC 27705 ; na Seo 3
so apresentados os padres de segurana que podem ser utilizados para a gesto de riscos; na
Seo 4 proposta a associao dos padres de segurana s atividades do processo de gesto
de riscos segundo a norma ISO/IEC 27005 ; na seo 5 ilustrada uma atividade elaborada a
partir de um padro; na Seo 6 so apresentados alguns trabalhos relacionados; na Seo 7
so apresentadas as consideraes finais; e, para concluir, na Seo 8 as referncias.
Figura 1: Processo de gesto de riscos de segurana da informao (ABNT NBR ISO/IEC 27005, 2008).
E. Comunicao do risco
Desenvolver planos de comunicao dos riscos para assegurar que todos tenham
conscincia sobre os riscos e controles a serem adotados.
F. Monitoramento e anlise crtica de riscos
Monitorar continuamente os riscos e seus fatores a fim de identificar eventuais
mudanas no contexto. Certificar que o processo de gesto de riscos de segurana da
informao e as atividades relacionadas permaneam apropriados nas circunstncias
presentes.
A norma ISO/IEC 27005 no inclui uma metodologia especfica para a gesto de
riscos de segurana da informao, cabendo a cada organizao definir a melhor abordagem
conforme o contexto na qual est inserida.
3. PADRES DE SEGURANA (SECURITY PATTERNS)
Os padres de segurana fornecem solues j consolidadas para problemas
recorrentes de segurana e podem servir de referncia para atingir os requisitos de segurana
(WAGNER; FONTOURA; FONTOURA, 2011). Os padres capturam a experincia de
especialistas em segurana da informao que podem ser aplicados por qualquer organizao,
definindo uma soluo para um problema de segurana dentro de diversos contextos
(YOSHIOKA; WASHIZAKI; MARUYAMA, 2008; SUPAPORN; PROMPOON;
ROJKANGSADAN, 2007). Os padres de segurana ajudam na identificao e formulao
das prticas e procedimentos de segurana descritos pelas normas de segurana da informao
(ROMANOSKY, 2002).
Neste sentido, observa-se que os padres de segurana podem ser teis para satisfazer
os requisitos de segurana de um SGSI atravs da reutilizao de prticas bem sucedidas para
a segurana da informao, podendo ser associados a modelos de referncia e utilizados para
implementar um processo de gesto de riscos de segurana da informao.
Padres descrevem detalhadamente solues para problemas de segurana da
informao, por isso podem ser usados para implementar normas. A soluo dada pelo padro
deve satisfazer aos objetivos indicados e aos resultados esperados pela implantao dos
processos de uma norma (KROLL et al, 2010). Neste artigo, prope-se o uso de padres de
segurana para a definio de atividades para gerenciar os riscos de acordo com a norma
ISO/IEC 27005 . Esta proposta pode ajudar as empresas a criar uma base de prticas de
segurana que poder ser reusada para a elaborao de abordagens de segurana e definio
de controles.
De acordo com Shumacher et al (2006) e Rosado et al (2006), os catlogos de padres
incluem uma breve descrio do padro, que identifica o problema a qual ele prope resolver
e a soluo para o problema. A soluo descreve as tarefas, a sequncia de execuo, papis,
relacionamento entre padres, detalhados suficientemente para facilitar sua implementao.
Para facilitar o entendimento de como os padres so estruturados apresentado na Seo 5
uma ilustrao do uso de padres com sua descrio e os passos para implementar a soluo.
Na Tabela 1, so mostrados alguns padres que descrevem prticas relacionadas com a
gesto de riscos e uma descrio de seus objetivos.
A organizao dever aplicar as solues que atendam as diretrizes da norma e que
sejam suficientes para garantir os requisitos mnimos de segurana para o negcio.
Padro de Segurana
Descrio
Padro de Segurana
Descrio (continuao)
Documentation Review
(SCARFONE et al, 2008)
Log Review
(SCARFONE et al, 2008)
negcio, fatores que influenciam a segurana do negcio, a relao entre os ativos e fatores de
negcio e as propriedades de segurana necessrias para cada ativo.
Tabela 2: Associao de Padres de Segurana com as Atividades da Norma ISO/IEC 27005.
Atividades da ISO/IEC
27005
Definio do contexto
Identificao dos Riscos
Anlise de riscos
Avaliao de riscos
Tratamento do risco
Aceitao do Risco
Comunicao do risco
Monitoramento e Anlise
Crtica de Riscos
Padres de Segurana
de quatro passos e preferencialmente devem ser executados por um gerente executivo ou por
um gerente estratgico. Alm disso, o catlogo do padro sugere uma sequncia de execuo
das tarefas, como pode ser visto na Figura 2.
1) Identificao das ameaas: identificao da fonte, da ao e da consequncia de uma
ameaa.
A fonte da ameaa o que inicia um ataque ou faz com que um evento acontea;
A ao o mtodo especfico atravs da qual um ataque ou evento executado;
A consequncia da ameaa a violao de segurana que resulta de um ataque ou
evento negativo bem sucedido.
A origem das ameaas pode ser oriunda de um agente, seja ele interno ou externo, que
intercepte e roube uma senha de acesso ao sistema, tendo acesso no autorizado a informaes
ou insira cdigo malicioso nas estaes para burlar as barreiras de proteo. Como ao, o
agente causador da ameaa pode utilizar uma combinao de senhas e obter acesso no
autorizado ao sistema, tendo como consequncia a quebra do sigilo das informaes, alterao
das informaes, podendo causar, tambm, a indisponibilidade dos dados.
Nvel Probabilidade
5
4
3
2
1
Muito Alta
Alta
Mdia
Baixa
Muito Baixa
Descrio
A ao da ameaa ocorre muito frequentemente
A ao da ameaa ocorre regularmente
A ao da ameaa ocorre com pouca frequncia
A ao da ameaa ocorre raramente
A ao da ameaa muito improvvel de ocorrer
Ativos fsicos
Instalaes prediais
Computadores
Funcionrios
Rede de comunicao
Atravs dos passos 1 ao 4, a instituio identificou uma breve lista de ameaas aos
ativos de informao e fsicos, como mostrado nas Tabelas 4 e 5, respectivamente.
Tabela 4: Ameaas aos ativos de informao
Ameaa
Probabilidade Consequncia
Falta de energia
Roubo de
informao
Acesso no
autorizado
Erro de entrada de
dados
Vazamento de
informaes
confidenciais
Mdia (3)
Mdia (3)
Alta (4)
Mdia (3)
Alta (4)
Ameaa
Probabilidade Consequncia
Incndio
Alagamento
Desgaste dos
equipamentos
Falha em sistemas
de alarme e
monitoramento
Agresso fsica
contras os
funcionrios
Danos acidentais a
estrutura e
equipamentos
Configurao
incorreta de
equipamentos
Mdia (3)
Mdia (3)
Mdia (3)
Alta (4)
Baixa (2)
Mdia (3)
Alta (4)
Este processo descrito acima importante, pois fornece empresa uma compreenso
melhor dos fatores de ameaas e suas probabilidades, assim como identificar as consequncias
decorrentes de eventos negativos. O resultado deste processo servir como entrada para a
prxima tarefa e servir para a tomada de decises e elaborao de estratgias de segurana
mais eficazes.
Restries como a insuficincia de dados histricos sobre a frequncia das aes das
ameaas e o esforo demasiado para conceber todas as ameaas possveis podem trazer
dificuldades para realizar este processo.
6. TRABALHOS RELACIONADOS
A utilizao de padres de segurana para o desenvolvimento de normas de segurana
pode ser visto tambm em Kroll et al (2010), que prope a utilizao de padres de segurana
para implementar a norma ISO/IEC 21827:2008, onde os padres so associados s Process
Areas (PA) relacionadas com as prticas de desenvolvimento seguro de softwares.
Uma metodologia para a adaptao de processos de software com base em requisitos
de segurana do Systems Security Engineering Capability Maturity Model (SSE-CMM) e o
Rational Unified Process (RUP) proposto em Wagner, Fontoura e Fontoura (2011). Aqui,
padres de segurana so associados com as reas de processos do SSE-CMM, incorporando
prticas de segurana em processos de desenvolvimento de software.
O trabalho desenvolvido por Beckers et al (2011) utiliza padres de segurana para
apoiar o desenvolvimento das atividades Estabelecimento do Contexto e a Identificao dos
Ativos, com base na norma ISO/IEC 27005. Neste trabalho padres so utilizados para
garantir a qualidade dos resultados na execuo das atividades em um ambiente de
computao em nuvem.
Em Kienzle e Elder (2002) padres de segurana so utilizados para o
desenvolvimento de aplicativos web. Neste trabalho elaborado um repositrio, composto por
26 padres, que podem ser utilizados e compreendidos por desenvolvedores que no so
profissionais de segurana.
BECKERS, K.; SCHMIDT, H.; KSTER, J. C. & FABENDER. S. Pattern-Based Support for Context
Establishment and Asset Identication of the ISO 27000 in the Field of Cloud Computing. Sixth International
Conference on Availability, Reliability and Security, 2011, p.327-333.
FERNANDEZ, E. B.; YOSHIOKA, N.; WASHIZAKI, H. & JURJENS, J. Using security patterns to build
secure systems. Workshop on Software Patterns and Quality (SPAQu07), 2007, Nagoya, Japan, with the 14 th
Asia-Pacific Software Engineering Conference (APSEC).
KIENZLE, D. M.; & ELDER, M. C. Security Patterns for Web Application Development. Final Technical
Report, Univ. of Virginia, 2002, Report DARPA Contract # F30602-01-C-0164.
KROLL, J.; FONTOURA, L. M.; WAGNER, R. & DORNELLAS, M. C. Usando Padres para o
Desenvolvimento da Gesto da Segurana de Sistemas de Informao baseado na Norma ISO/IEC 21827:2008.
Simpsio Brasileiro de Sistemas de Informao (SBSI), 2010, Marab. Anais do Simpsio Brasileiro de
Sistemas de Informao (SBSI), 2010.
LUNARDI, G. L. & DOLCI, P. C. Adoo de Tecnologia da Informao e seu Impacto no Desempenho
Organizacional: um estudo realizado com micro e pequenas empresas. 30 Encontro da ANPAD, Salvador:
ENANPAD, 2006.
LUND, M. S.; SOLHAUG, B. & STLEN, K. Evolution in relation to risk and trust management. IEEE
Computer Society, 2010, p. 49-55.
OLIVEIRA, M. A. F.; ELLWANGER, C.; VOGT, F. C. & R. C. NUNES. Framework para gerenciamento
de riscos em processos de gesto de segurana da informao baseado no modelo DMAIC. XXIX Encontro
Nacional de Engenharia de Produo (ENEGEP), 2009, Salvador, XXIX Encontro Nacional de Engenharia de
Produo. Rio de Janeiro: Abepro, 2009. v. 1. p. 11-20.
OLIVEIRA, V. L. Uma anlise comparativa das metodologias de gerenciamento de risco FIRM, NIST SP 80030 e OCTAVE. Dissertao de Mestrado, UNICAMP, Campinas, Brasil, 2006.
ROMANOSKY, S. Security design
http://www.securityfocus.com/guest/9793
patterns,
in
SecurityFocus,
2002.
Disponvel
em:
ROSADO, D. G.; MEDINA, E. F.; PIATTINI, M. & GUTIERREZ, C. A Study of Security Architectural
Patterns. Proceedings of the First International Conference on Availability, Reliability and Security (ARES06),
2006, p. 358-365.
SCARFONE, K.; SOUPPAYA, M.; CODY, A. & OREBAUGH, A. Technical Guide to Information Security
Testing and Assessment: Recommendations of the National Institute of Standards and Technology. National
Institute of Standards and Technology (NIST) Special Publication 800-115. 2008. Disponvel em:
http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
SCHUMACHER, M.; FERNANDEZ, E. B.; HYBERTSON, D.; BUSCHMANN, F. & SOMMERLAD, P.
Security Patterns: integrating security and systems engineering, Series in Software Designs Patterns, USA:
J.Wiley & Sons, 2006.
SUPAPORN, K.; PROMPOON, N. & ROJKANGSADAN, T. An approach: Constructing the grammar from
security pattern. Proc. 4th International Joint Conference on Computer Science and Software Engineering (JCSSE2007), 2007.
VASILE, T; STUPARU, D. & DANIASA, C. The relative risk weighting process. Annals Economic Science
Series, vol. XVI, p. 540-544, 2010.
WAGNER, R.; FONTOURA, L. M. & FONTOURA, A. B. Using Security Patterns to Tailor Software
Process. Proceedings of the 23rd International Conference on Software Engineering Knowledge Engineering
(SEKE'2011), 2011, Eden Roc Renaissance, Miami Beach, USA, July 7-9, p. 672-677.
YOSHIOKA, N.; WASHIZAKI, H. & MARUYAMA, K. A survey on security patterns. Progress in
Informatics, 2008, No. 5, p.3547.