Você está na página 1de 8

NBR ISO/IEC 17799 - Segurana Relacionada Pessoas

Jos Ribamar Bastos Neto Matheus Sousa Barros Thalles Vinicius Santos Pereira Marcos Jos dos Passos S 1 INTRODUO

A ISSO/IEC 17799, tem como objetivo fornece as recomendaes para a gesto de informao para utilizao dos responsveis pela introduo, implantao e manuteno da segurana nas informaes. Tem uma base em comum com o desenvolvimento das normas de segurana da organizacional e das prticas efetivas da gesto de segurana, alm de prover um forte lao de confiana nos relacionamentos das organizaes. A ISO17799, abrange os mais variados tpicos na rea de segurana, ela possui um grande nmero de controles e requerimentos, estes devem ser atendidos no intuito de garantir a segurana das informaes da organizao. Esta norma, tem base nas seguintes definies: a) Segurana da Informao: Visa garantir a integridade, confidencialidade, autenticidade e disponibilidade das informaes das organizaes. b) Confidencialidade: Sigilo, atravs de um suporte de uma no divulgao da informao. c) Integridade: Informao disponvel, prov um acesso de forma confivel a informao e garantindo a disponibilidade da mesma. d) Disponibilidade: Informao disponvel, prov um acesso de forma confivel a informao e garantindo a disponibilidade da mesma.

_____________ Trabalho apresentado a disciplina de Segurana e Auditoria de Sistemas de Informao, da Unidade de Ensino Superior Dom Bosco UNDB. Alunos do 7 Perodo, do curso de Sistemas de Informao, da UNDB. Professor especialista, orientador.

e) Avaliao de Riscos: So avaliados as ameaas, os possveis impactos e as vulnerabilidades das informaes e de suas instalaes de processamento da informao e com alinhamento a probabilidade de sua ocorrncia. f) Gerenciamento de Risco: o processo de identificao, de controle e a minimizao ou uma eliminao dos riscos de segurana que podem afetar os sistemas de informao da organizao, atravs de um custo aceitvel.
Informao compreende qualquer contedo que possa ser armazenado ou transferido de algum modo, servindo a determinado propsito e sendo de utilidade ao ser humano. Trata-se de tudo aquilo que permite a aquisio de conhecimento. (MENDES, 2004)

A norma tem como enfoque a poltica de segurana, esta poltica tem como objetivo prover uma direo de orientao e um suporte segurana da informao, para isso, convenha-se que a direo estabelea uma poltica clara e concisa. Demonstrando apoio e total comprometimento com a segurana da informao atravs de uma reviso e manuteno peridica da poltica de segurana da informao da organizao.
A norma ISO/IEC 27002:2005 define segurana da informao como, Uma proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. (ABNT, 2005)

A norma dividida em vrias sees, onde a equipe ficou responsvel pela seo 6, que trata da segurana dos recursos humanos. Esta tem incio desde o recrutamento do profissional, passando por contratos trabalhistas, treinamento e acompanhamento e notificao de falhas.

2 SEGURANA DE RECURSOS HUMANOS

A Segurana de Recursos humanos, tem como objetivo reduzir os riscos de falha humana, roubo, fraude ou utilizao impropria das instalaes. Ela assegura que os usurios de acordo com seus cargos, tenham cincia das ameaas segurana da informao.

2.1 Segurana na Definio e nos Recursos de Trabalho

Tem como objetivo a reduo dos riscos de falhas de origem humana, roubo, fraudes ou uso indevido das instalaes. Nela as responsabilidades de segurana so atribudas na fase de recrutamento, e h incluso nos contratos e so monitoradas durante a vigncia de cada contrato de trabalho. H uma anlise dos candidatos em potenciais, especialmente em trabalhos crticos. Onde todos os funcionrios e prestadores de servios, os usurios das instalaes de

processamento de informao, devam assinar um contrato de sigilo, ou seja, as informaes que so tratadas ali, devem permanecer ali. conveniente que as regras de responsabilidades de segurana, sejam documentadas, de acordo com a poltica de segurana da organizao. Devem estar includos todas as responsabilidades gerais, provenientes da implementao ou manuteno da poltica de segurana, alm das responsabilidades especificas. Estas para uma maior proteo de determinado ativo ou alguma execuo de um determinado processo ou atividades de segurana.

2.1 Seleo e Poltica de Pessoal

No momento da seleo de candidatos, conveniente que ocorra uma verificao de controle, recomendado a incluso das seguintes caractersticas desejveis: a) Referencias de carter satisfatrio, como por exemplo uma profissional e uma pessoal; b) Verificar os objetivos e a integridade do das informaes do currculo do candidato; c) Confirmar as qualificaes acadmicas e profissionais do candidato; d) Verificao da identidade do candidato.

Quando um trabalho envolver pessoas, de carter de contratao ou atravs de promoo, onde o acesso as instalaes de processamento da informao ou aquelas pessoas tero acesso a informaes crticas, recomendado

que a organizao faa uma verificao sobre a idoneidade de credito. Em relao ao funcionrios, este procedimento deve ser refeito periodicamente. Em um processo similar de seleo, ou seja, para temporrios ou fornecedores. Seja feito por uma agencia de recursos humanos, no contrato deve estar especificado de forma clara as responsabilidades da agencia para a seleo e os procedimentos de notificao, de como deve ser feito quando uma seleo no foi devidamente concluda ou quando os resultados obtidos no foram satisfatrios e geraram duvidas e preocupaes. A direo deve avaliar e supervisionar os funcionrios novos e inexperientes, se estes tenham acesso a sistemas crticos. A norma tambm recomenda que o trabalho de toda a equipe deva ser revisto e aprovado periodicamente pelo membro mais experiente da equipe. Os gestores devem estar atentos a fatos, onde os motivos pessoais dos funcionrios estejam afetando o seu trabalho. Problemas pessoais e financeiros, mudanas de comportamentos, ausncias frequentes e estresse, podem acarretar em fraudes, roubos ou erros.

2.2 Acordos de Confidencialidade

Os acordos de confidencialidade ou de no divulgao so utilizados para alertar que aquela informao confidencial ou secreta. Normalmente recomendado que os funcionrios assinem tais acordos como parte dos termos e condies iniciais de contratao. Em relao aos colaboradores casuais ou prestadores de servios, que no um termo contratual existente, ou que nos contratos no estejam cobertos com um acordo de confidencialidade, deve haver uma exigncia de assinatura do acordo de confidencialidade, antes de ter acesso s instalaes de processamento da informao. Estes acordos de confidencialidade, precisam ser revistos quando ocorrerem modificaes nos termos de contratao, particularmente quando ocorrer um desligamento de funcionrios da organizao ou ao trmino de contratos.

2.3 Termos e Condies de Trabalho

Os

termos

condies

de

trabalho

devem

determinar

as

responsabilidades dos funcionrios pela segurana da informao. Quando apropriado, convm que estas responsabilidades continuem por um perodo de tempo definido, aps o trmino do contrato de trabalho. Recomenda-se a incluso no contrato, as aes que possam ser tomadas nos casos de desrespeito ao acordo. Em relao as responsabilidades e os direitos legais dos funcionrios, como leis de direitos autorais ou de proteo de dados, devem ser esclarecidos e includos nos termos e condies de trabalho. recomendado que a responsabilidade pela classificao e a gesto dos dados do empregador tambm sejam includas.

2.3 Treinamento dos Usurios

O treinamento dos usurios, tem como objetivo assegurar que os usurios estejam cientes das ameaas e das preocupaes de segurana da informao e que estes sejam equipados para apoiar a poltica de segurana da organizao durante a execuo normal do seu trabalho. conveniente que usurios sejam treinados de acordo com os procedimentos de segurana e no uso correto das instalaes de processamento da informao, para minimizar os possveis riscos de segurana. Todos os funcionrios da organizao e, os relevantes, como prestadores de servios, recebam um treinamento apropriado e as atualizaes regulares sobre as polticas e os procedimentos organizacionais. Esto inclusos os requisitos de segurana, as responsabilidades legais e os controles de negcio da organizao, assim como treinamento sobre o uso correto das instalaes de processamento da informao.

2.4 Respondendo aos Incidentes de Segurana e ao Mau Funcionamento

Tem como objetivo a minimizao dos danos originados atravs de incidentes de segurana e por mau funcionamento, e monitorar e aprender com os incidentes. Os incidentes que afetam a segurana devem ser reportados atravs de canais apropriados o mais rpido possvel. Todos os funcionrios e prestadores de servios devem estar conscientes dos procedimentos e das notificaes do mais

variados incidentes, como violao de segurana, ameaas, fragilidades ou mau funcionamento, incidentes que possam ocasionar impactos na segurana dos ativos da organizao. Recomenda-se que eles sejam solicitados a notificar todos os incidentes ocorridos ou suspeitos, o quanto antes possvel, ao ponto de contato responsvel. A organizao deve estabelecer um processo disciplinar formal para tratar os funcionrios que cometam violaes na segurana. Com isso, ela ser capaz de lidar com os incidentes de forma apropriada. Os incidentes de segurana sero reportados atravs dos canais apropriados da direo, o mais rpido possvel. Um procedimento de notificao formal deve ser estabelecido, junto ao procedimento de resposta do incidente, este estabelece a ao a ser tomada ao se receber uma notificao sobre o incidente. Todos os funcionrios e prestadores de servio devem estar cientes dos procedimentos para a notificao dos incidentes de segurana e serem instrudos para relatar tais incidentes, o quo antes. recomendado tambm uma adequada implantao dos feedbacks, isso, assegurar que que os incidentes estejam notificados com juntos aos resultados obtidos aps o incidente ser tratado e encerrado. Poder ainda utilizar estes incidentes nos treinamentos de

conscientizao dos usurios.

2.4.1 Procedimentos para notificao de mau funcionamento

Devem-se estabelecer os seguintes procedimentos de notificao sobre o mau funcionamento de software: a) Quaisquer mensagens apresentadas na tela devem ser printados ou anotados; b) Informar o comportamento dos problemas; c) Isolamento da mquina, se assim possvel, ou ter ser uso paralisado. Deve-se alertar a central responsvel, para que o equipamento seja examinado e desligado da rede antes de ser ligado novamente. d) Notificar o ocorrido imediatamente ao gestor da segurana da informao. e) E usurio est vetado de remover o software suspeito, a menos que autorizado.

2.5 Aprendendo com os Incidentes

Ter a existncia de mecanismos que permitam que tipos, quantidades e custos dos incidentes e dos maus funcionamentos possam ser quantificados e monitorados. Essas informaes sero usadas para identificar os incidentes ou os maus funcionamentos recorrentes ou de alto impacto. Isto poder indicar uma necessidade na melhoria de controles adicionais que limitem a frequncia, os danos e os custos de possveis ocorrncias posteriores, sendo levado em considerao quando foi realizado o processe de anlise crtica da poltica de segurana.

3 NBR ISO/IEC 27002:2007 E A NBR ISO/IEC 17799:2001

Com um aumento progressivo da importncia da informao, o ativo da organizao. Em 1987, foi criado um centro de segurana de informaes, o CCSC (Commercial Computer Security Center), esse foi criado pelo departamento de comrcio e indstria do Reino Unido (DTI). A partir desse centro, em 1995 foi elaborado a BS79 (British Standart 79), ela foi a primeira norma de segurana da informao. Nos anos 2000, aps vrias pesquisas de opinies pblicas e modificaes, ela passou a ser internacionalizada sob a forma de ISO/IEC 17799:2000. Em setembro de 2001, ela foi homologada pela ABNT (Associao Brasileira de Normas Tcnicas) como uma verso brasileira da norma, NBR ISO/IEC 17799. Ocorreram vrias alteraes e em uma segunda publicao desta norma foi lanada em 2005, mas em 2007, ela teve incluso de um novo esquema de numerao e foi integrada a famlia 27000, que a famlia de segurana da informao dos padres ISO (Organizao Internacional de Padronizao), e tendo a numerao NBR ISO/IEC 27002:2005. Mas no entanto, no teve nenhuma alterao na sua estrutura.

REFERENCIAS

ABNT

NBR

ISO/IEC

27002:2005.

Disponvel

em:

<http://pt.scribd.com/doc/51112696/NBR-ISO-27002-para-impressao> Acesso em: 27 de abril 2013.

SEGURANA

DA

INFORMAO.

Disponvel

em:

<http://www.espacoacademico.com.br/041/41amsf.htm> Acesso em: 27 de abril 2013. ISO/IEC 17799:2000. Disponvel em: <

http://www.ebah.com.br/content/ABAAAApogAF/estudo-caso-sobre-impactoimplementacao-norma-nbr-iso-iec-27002-micro-pequenas-empresas > Acesso em: 03 de junho 2013.