Revista de Gesto da Tecnologia e Sistemas de Informao Journal of Information Systems and Technology Management Vol. 2, No. 2, 2005, pp.

121-136 ISSN online: 1807-1775

UMA METODOLOGIA PARA IMPLANTAO DE UM SISTEMA DE GESTO DE SEGURANA DA INFORMAO

A METHODOLOGY TO MANAGEMENT SYSTEM IMPLEMENT AN INFORMATION SECURITY Alade Barbosa Martins Cetrel S.A. Empresa de Proteo Ambiental, Brazil Celso Alberto Saibel Santos Universidade Salvador, Brazil

RESUMO
Este artigo apresenta uma proposta de metodologia para a implantao de um Sistema de Gesto da Segurana da Informao (SGSI). A metodologia baseada nos principais padres e normas de segurana, definindo um conjunto de diretrizes a serem observadas para garantir a segurana de um ambiente computacional ligado em rede. O processo de implantao do SGSI resulta na padronizao e documentao dos procedimentos, ferramentas e tcnicas utilizadas, alm da criao de indicadores, registros e da definio de um processo educacional de conscientizao da organizao e de seus parceiros. Os conceitos e idias aqui apresentados foram aplicados em um estudo de caso envolvendo a empresa Cetrel S.A. Empresa de Proteo Ambiental. Para esta empresa, responsvel pelo tratamento de resduos industriais provenientes do Plo Petroqumico de Camaari-BA e de outras regies, a garantia da confidencialidade e integridade dos dados de seus clientes, alm da possibilidade de disponibilizar informaes com segurana so requisitos fundamentais de funcionamento. Palavras-chave: Segurana da Informao, ISO/IEC 17799, Gesto de Segurana da Informao, Sistema Integrado de Gesto

ABSTRACT
Information security has actually been a major challenge to most organizations. Indeed, information security is an ongoing risk management process that covers all of the information that needs to be protected. ISO 17799 offers what companies need in order to better manage information security. The best way to implement this standard is to ease the security management process using a methodology that will define will define guidelines, procedures and tools that will be needed along the way. Hence, this paper proposes a methodology to assist companies in assessing their compliance with BS 7799/ ISO 17799 as well as planning and implementing the actions necessary to become compliant or certified to the standard. The concepts and ideas presented here had been applied in a case study involving the Cetrel S/A Company of Environmental Protection. For this company, responsible for treatment of industrial _____________________________________________________________________________________
Recebido em/Manuscript first received: 15/03/2005 Aprovado em/Manuscript accepted: 03/06/2005 Endereo para correspondncia/ Address for correspondence Alade Barbosa Martins, Cetrel S.A. Empresa de Proteo Ambiental, Brazil alaide@cetrel.com.br Celso Alberto Saibel Santos, Professor Doutor da Universidade Salvador e pesquisador do Ncleo de Pesquisa em Redes de Computadores (NUPERC), Brazil - saibel@unifacs.br ISSN online: 1807-1775 Publicado por/Published by: TECSI FEA USP 2005

122 Martins, A. B et Santos, C. A. S. residues generated by the Camaari Petrochemical Complex and adjacent areas, to assure confidentiality and integrity of customers' data is a basic requirement. Keywords: Information Security, Information Security Management System, ISMS, ISO/IEC 17799.

1 INTRODUO Apesar da diversidade de trabalhos relacionados ao tema segurana, pouco enfoque tem sido dado definio de uma metodologia ou mesmo, de um conjunto de diretrizes consistentes e coerentes, que auxiliem o planejamento e a implantao de um Sistema de Gesto da Segurana da Informao (SGSI)1 em um ambiente de rede com sistemas computacionais heterogneos. Visando suprir esta deficincia, este artigo apresenta uma metodologia terico-conceitual para auxiliar a concepo, elaborao e implantao de um SGSI em uma organizao, a qual est baseada numa srie de padres e normas internacionais (TECSEC, 1985), (ISO 15408:1999), (ISO/IEC TR 13335:1998), (BS7799-2:2001), (ISO/IEC 17799:2001), (IEC 61508:1998). A metodologia apresenta aspectos gerenciais de conduo na implantao do SGSI e sua aplicao resulta na padronizao e documentao dos procedimentos, ferramentas e tcnicas utilizadas, alm da criao de indicadores, registros e da definio de um processo educacional de conscientizao da organizao envolvida. O artigo est organizado em 5 sees aps esta parte introdutria. A seo 2 apresenta um estudo minucioso dos padres e normas representativos da rea de segurana da informao, os quais devem servir de base para a implantao de um SGSI. A seo 3 apresenta as linhas gerais do processo de implantao de um SGSI. A principal contribuio deste trabalho, uma metodologia para implantao de um SGSI, apresentada na seo 4. Finalmente, na seo 5 so apresentadas as concluses do trabalho e uma anlise da aplicao dos conceitos propostos neste trabalho no ambiente organizacional da empresa Cetrel S.A. Empresa de Proteo Ambiental. 2 NORMAS E PADRES DE SEGURANA DA INFORMAO A preocupao com a segurana dos sistemas computacionais no recente. O processo de definio de regras e padres de segurana iniciou-se na dcada de 60 (com o impulso da Guerra Fria), culminando com a publicao, no final do ano de 2000, da norma Internacional de Segurana da Informao ISO/IEC-17799, a qual possui uma verso aplicada aos pases de lngua portuguesa, denominada (NBR ISO/IEC17799:2001). 2.1 O Padro BS7799 e a Norma ISO/IEC 17799 O objetivo destas normas fornecer recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas empresas. Eles tambm se destinam a fornecer uma base comum para o desenvolvimento de normas e de prticas efetivas voltadas segurana organizacional e tambm, a estabelecer a confiana nos relacionamentos entre as organizaes. A origem da ISO/IEC 17799 data do final da dcada de 80. Em 1987, no Reino Unido, o Department of Trade Centre (DTI) criou o Comercial Computer Security Centre (CCSC) com o objetivo de auxiliar as companhias britnicas que
1

Em ingls ISMS (Information Security Management System)

Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management

Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao 123

comercializavam produtos para segurana de Tecnologia da Informao (TI) atravs da criao de critrios para avaliao da segurana. O CCSC surgiu tambm com objetivo de criar um cdigo de segurana para os usurios das informaes, o que resultou, em 1989, na publicao da primeira verso do cdigo de segurana, denominado PD0003 Cdigo para Gerenciamento da Segurana da Informao. A partir deste ano, vrios documentos preliminares foram publicados por esse centro, at o surgimento da BS7799 em 1995. Esse documento foi disponibilizado em duas partes para consulta pblica, a primeira em 1995 e a segunda em 1998. Em maio de 2000 o BSI homologou a primeira parte da BS7799. Em outubro do mesmo ano, na reunio do comit da ISO, a norma foi votada e aprovada pela maioria dos representantes. Em dezembro de 2000, aps incorporar diversas sugestes e alteraes, a BS7799 ganhou status internacional com sua publicao na forma da ISO/IEC 17799. A BS779912 Code of Practice for Information Security Management a primeira parte da norma e contm uma introduo, definio de extenso e condies principais de uso da norma. Ela apresenta 10 clusulas que agrupam controles e objetivos de controles com o intuito de direcionar a gesto e o suporte para segurana da informao. A BS77992 Specification for Information Security Management Systems, publicada em 1998 e revisada em 2002, mas ainda no homologada, a segunda parte da norma que define as bases necessrias para um SGSI. Um SGSI um sistema de gesto anlogo a um Sistema da Qualidade e como tal passvel de certificao. Esta certificao se d a partir das evidncias (documentos e prticas) do conjunto de controles implantados e que devem ser continuamente executados e devidamente registrados. Este modelo de gesto est baseado no ciclo com melhoria contnua PDCA (Plan-Do-Check-Act) mostrado na figura 1.
Especificao do Contexto e

SGSI Avaliao de Riscos

Projeto e Implementao do SGSI

Aperfeioamento SGSI do SGSI

Monitoramento e SGSI Reviso do SGSI

Figura 1 - Ciclo de atividades BS7799-2. O Ciclo PDCA foi criado em 1920 e ainda hoje, o principal mtodo da Administrao pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurana da Informao. O modelo comea com a execuo das atividades na fase Plan, passando para as fases Do, Check e Act,
2

Nas siglas envolvendo padres e normas, o ltimo dgito refere-se a uma parte especfica da norma ou padro em questo. BS7799-1 refere-se parte 1 do British Standard 7799.
Vol. 2, No. 2, 2005, pp. 121-136

124 Martins, A. B et Santos, C. A. S.

sucessivamente. A idia que este processo seja executado continuamente e que a cada novo ciclo, o sistema seja melhorado. A norma ISO/IEC 17799 surgiu num momento em que as organizaes de todo o mundo passaram a investir muito mais em segurana da informao, muitas vezes sem orientao. Devido sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinnimo de segurana da informao. Porm, a idia de que a implantao da segurana da informao em uma organizao se resume verificao de alguns controles sugeridos pela norma ISO/IEC 17799 um grande mal entendido. A norma contempla ao todo 127 controles, porm nem sempre necessria a adoo de todos estes mecanismos para se atingir o patamar de segurana desejado. Isto exige uma seleo criteriosa dos controles a partir da realizao de uma anlise de risco. Alm disso, necessria a integrao de outros padres e normas (algumas vezes menos conhecidos), mas que podem ser de grande importncia na gesto de segurana da informao em uma determinada organizao. No contexto deste trabalho, outros padres e normas foram analisados, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. 2.2 A Norma ISO/IEC TR 13335 Formalmente denominada de Guidelines for the Management of IT Security (GMITS), a norma (ISO/IEC TR 13335:1998) composta por 5 partes envolvendo a rea de TI: A Parte 1 Concepts and Models for IT Security, publicada em 1996, fornece uma viso geral dos conceitos e modelos fundamentais usados na gesto de segurana de TI. A Parte 2 Managing and Planning IT Security da norma, publicada em 1997, trata do relacionamento da rea de segurana da informao com as demais reas da organizao, principalmente a rea de segurana corporativa. De maneira semelhante ao padro BS7799, a Parte 2 sugere a criao de um comit interdisciplinar que envolva as diversas reas da empresa principalmente os responsveis pelos ativos e pelas informaes. Este comit deve reunir-se periodicamente para definir os nveis aceitveis de risco, cobrar e acompanhar resultados e reavaliar o projeto de segurana da informao quando necessrio. A clusula 7 da Parte 2 especifica um fluxo de planejamento e gerenciamento do projeto de segurana da informao, alm de definir uma srie de responsabilidades, com a orientao das atribuies dos atores do processo. Publicada em 1998, a Parte 3 Techniques for the Management of IT Security descreve tcnicas de gesto de segurana para a rea de TI. Ela pode ser utilizada em conjunto com a norma BS7799-2, que sugere quais os processos (e no apenas as tcnicas, como na ISO 13335-3) devem ser implantados na conduo da gesto de segurana. Vale observar ainda que a Parte 3 trata a gesto de risco em praticamente todas as clusulas, atravs de tcnicas de anlise de risco. A Parte 4 Selection of Safeguards foi publicada em 2000 e fornece um catlogo de contramedidas e um guia para a seleo destas. A Parte 5 Management Guidance on Network Security complementa a parte 4 da norma, acrescentando fatores relevantes para a conexo de sistemas em redes, tendo sido publicada no ano de 2001. Outra norma importante para a construo do SGSI, principalmente se o projeto envolver sistemas de automao, a IEC 61508.

Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management

Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao 125

2.3

A Norma IEC 61508

A norma internacional (IEC 61508:1998) enfoca, atravs de uma abordagem genrica, as atividades do Ciclo de Vida de Segurana para os Sistemas Eltricos, Eletrnicos e Eletrnicos Programveis (E/E/PES) que so utilizados para desempenhar funes de segurana. Neste sentido, esta norma vem sendo elaborada com o objetivo de desenvolver um policiamento tcnico consistente para todos os sistemas eltricos/eletrnicos relacionados com a segurana. Os principais objetivos desta norma so: (a) tratar sistematicamente todas atividades do ciclo de vida de um sistema instrumentado de segurana; (b) habilitar que os desenvolvimentos tecnolgicos dos produtos se realizem em ambiente sistemtico de segurana funcional; (c) ressaltar as melhorias dos Programmable Eletronic Safety (PES) nos aspectos de desempenho e de viabilidade econmica e; (d) uniformizar conceitos e servir de base para elaborao de normas setoriais. Embora esta norma esteja sendo direcionada para sistemas eltricos/eletrnicos de segurana, evidentemente sua orientao pode ser aproveitada em sistemas de segurana implementados atravs de outras tecnologias, como por exemplo, mecnica, hidrulica ou pneumtica. Esta norma est subdividida em 7 partes. As partes 1, 2, 3 e 4 da IEC 61508 so publicaes de segurana bsicas, tendo, respectivamente, as seguintes denominaes: (1) Requisitos Gerais; (2) Requisitos para Sistemas Eltricos, Eletrnicos e Eletrnicos Programveis (E/E/PES); (3) Requisitos de Software e; (4) Definies. As partes 5 e 6 apresentam, respectivamente, um Guia para Aplicao da Parte 1 (mtodos de determinao dos nveis de integridade de segurana) e um Guia para a Aplicao das Partes 2 e 3. A parte 7 contm uma Bibliografia de Tcnicas e Medidas. A norma IEC 61508 adota uma abordagem baseada em risco, tratando-o como uma combinao de probabilidades e conseqncias de ocorrncia. O termo utilizado, Segurana Funcional, uma caracterstica de sistemas relacionados com a segurana. Nesses sistemas, o conceito Segurana uma caracterstica do equipamento, incluindo o sistema de controle associado que pode produzir o risco. Os nveis de integridade de segurana representam medidas internas do sistema adequadas para lidar com o risco. Este conceito direciona a padronizao de duas classes de requisitos que devem ser especificados antes do incio do processo de desenvolvimento do sistema de segurana. A primeira classe de requisito diz respeito s Funes de Segurana, que devem ser especificadas atravs do documento denominado Especificao dos Requisitos Funcionais de Segurana. A segunda classe de requisitos est relacionada com a Integridade de Segurana, devendo ser documentada atravs do relatrio Especificao dos Requisitos de Integridade de Segurana. 3 O PROCESSO DE IMPLANTAO DE UM SGSI A anlise detalhada dos documentos apresentados nas sees anteriores permitiu a identificao da superposio dos controles extrados dos diversos padres e normas, e tambm, da complementaridade entre vrios de seus aspectos. A implantao da gesto de segurana da informao comea pela definio de quais dos itens especificados em cada padro devem ser implementados na organizao. Em outras palavras, necessrio definir se os itens do padro esto adequados s caractersticas da organizao. O processo de implantao do SGSI proposto utiliza como referncia o modelo PDCA descrito na BS7799-2 e a clusula 7 da ISO 13335-2.
Vol. 2, No. 2, 2005, pp. 121-136

126 Martins, A. B et Santos, C. A. S.

O sucesso do Sistema Integrado de Gesto organizacional, incluindo a gesto de Segurana da Informao, comea com a garantia de que uma das mais importantes recomendaes da ISO 13335-2 est sendo aplicada. Em suma, deve ser acordado que os representantes de todos os setores da organizao esto comprometidos com a poltica de Segurana da Informao a ser implantada. Este comprometimento obtido atravs da criao de um comit ou frum de segurana da informao, que deve se encontrar regularmente para balizar e respaldar o trabalho do chamado Security Officer3. Uma das funes principais deste comit definir o nvel de risco aceitvel pela organizao. Dependendo do tamanho da organizao, alm deste comit, recomendada a criao de um departamento de segurana da informao, sob responsabilidade do Security Officer. Algumas organizaes podem ter tambm uma diretoria de segurana que engloba as reas de segurana fsica ou patrimonial e segurana lgica. Seja qual for o modelo usado, indispensvel que o Security Officer tenha visibilidade em toda a organizao. A inexistncia do comit afastar o departamento de segurana das decises estratgicas, fazendo com que este se torne um departamento meramente operacional da rea de Tecnologia da Informao. A norma BS 7799-2 norma oferece as ferramentas para a implantao e gesto atravs do modelo PDCA. As fases Plan-Do do PDCA correspondem s etapas de construo do SGSI envolvendo a elaborao da poltica de segurana, definio do escopo, desenvolvimento da anlise de riscos, formalizao da estratgia de gesto de riscos, documentao e seleo dos controles aplicveis para reduzir os riscos quando necessrio. Assim, a implantao do SGSI se d efetivamente nas duas primeiras fases do primeiro ciclo PDCA. Ainda no ciclo do modelo PDCA, as fases Check-Act esto relacionadas verificao de que as medidas de segurana especificadas esto sendo aplicadas, s solues de segurana utilizadas e melhoria contnua do conjunto de segurana, alm das auditorias peridicas de cada componente do sistema. 4 METODOLOGIA DE IMPLANTAO DE UM SGSI Cabe deixar claro que elaborar uma metodologia de implementao para o projeto de segurana da informao uma tarefa complexa devido ao nvel de detalhamento que inclui todos os tpicos, itens e aspectos, tanto os tcnicos quanto os de carter gerencial, portanto estar completamente fora do escopo deste artigo detalhes tcnicos para atender s necessidades especficas de cada organizao. Porm com um esforo adicional de detalhamento, a metodologia poderia vir a se tornar uma referncia para implantao e acompanhamento de Sistemas de Gesto da Segurana da Informao em organizaes. A figura 2 apresenta a metodologia proposta atravs de uma seqncia de passos e dos resultados (deliverables) produzidos a cada etapa. Os passos da metodologia, seus resultados e as normas a eles associados so apresentados a seguir.

Security Officer definido como sendo a pessoa responsvel pela aplicao ou administrao da poltica de segurana aplicada ao sistema [RFC2828].
Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management

Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao 127

Concepo

ISO/IEC TR 13335-2 BS7799

1 Passo: Estabelecimento Poltica de Segurana da Informao

Plano deAo, Polticas SGSI

ISO/IEC 17799 RFC2196 RFC2828

Inventrio eMapa

2 Passo: Definio do Escopo PLAN

ISO/IEC TR 13335-3
Questionrio e relatrio deanalise de risco

3 Passo: Anlise de Risco

MSF, 2005

4 Passo: Gerenciamento das reas de risco

Matriz de criticidade

5 Passo: Seleo dos controles DO 6 Passo: Implementao e Acompanhamento dos indicadores

NBR 1333; NBR 11515; NBR ISO/IEC 17799; NBR 11584; IEC 61508-n ISO/IEC 15408-n ISO/IEC TR 13335-n
Planilha de controles

Indicadores

ACTION CHECK

7 Passo: Auditoria do Sistema e Plano de melhoria

Relatrio do sistema de no conformidade

Figura 2 Proposta de Metodologia para implantao do SGSI. 4.1 A Concepo do Sistema A etapa inicial, que ocorre antes da realizao do primeiro passo da metodologia, corresponde fase de concepo do sistema. neste momento em que se determina a viabilidade do projeto, realiza-se o planejamento inicial de suas fases, bem como algumas estimativas iniciais de custo, alocao de pessoal, cronograma, escopo, objetivos e metas. Normalmente, a fase de concepo abrange duas etapas: Diagnstico da situao atual verifica-se a existncia de alguma poltica de Segurana da Informao, aproveitando-se de controles j implementados. Planejamento do SGSI e preparao para a sua implantao nesta etapa, conforme as normas ISO/IEC TR 13335-2 e BS7799, recomenda-se a formao do comit responsvel pela implantao do Sistema na organizao. O papel fundamental deste grupo de realizar formao bsica e conscientizao dos colaboradores, o

Vol. 2, No. 2, 2005, pp. 121-136

128 Martins, A. B et Santos, C. A. S.

planejamento e a preparao do sistema, o detalhamento do projeto e a definio/consolidao da poltica de Segurana da Informao da empresa conforme as normas e finalmente, o estabelecimento dos objetivos e metas para o Programa de Gerenciamento da Segurana da Informao, em conformidade com o planejamento estratgico da organizao. 4.2 Estabelecimento de uma Poltica de Segurana da Informao Para construir as polticas de segurana da organizao, o comit deve tomar como base os padres e normas apresentados anteriormente, sendo que dentre eles, os mais recomendados para esta finalidade so: A BS7799/ISO17799 e as RFCs de nmero 2196 (1997) e 2828 (2000). Conforme as RFCs 2196 e 2828, a Poltica de Segurana um documento que deve descrever as recomendaes, as regras, as responsabilidades e as prticas de segurana. Entretanto, sabe-se que no existe uma Poltica de Segurana Modelo que possa ser implementada em toda e qualquer organizao, pois a Poltica dever ser moldada especificidade de cada caso. Portanto, elaborar uma Poltica de Segurana uma tarefa complexa e que necessita ser constantemente monitorada, revisada e atualizada. Alm disso, os seus resultados normalmente s podero ser notados a mdio e longo prazo. fundamental a existncia de uma poltica de segurana que seja realmente referncia para os colaboradores da organizao, possibilitando a garantia dos trs princpios bsicos da segurana da informao: integridade, disponibilidade e confiabilidade.
1 Comit de Segurana

2 Classificao das informaes

3 Definio dos objetivos de segurana a serem atingidos

4 Anlise das necessidades de segurana

5 Elaborao de proposta da poltica

6 Discusses abertas com os envolvidos

7 Apresentao de documento formal direo da empresa

8 Aprovao

9 Implementao

10 Divulgao e Conscientizao

Figura 3 - Fluxograma de desenvolvimento da Poltica de Segurana da Informao. O comit criado dever ser responsvel pela gesto da segurana da informao, portanto, normalmente, este grupo prope as polticas necessrias para gesto da

Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management

Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao 129

segurana da informao e seus recursos. Buscando realizar a implantao, acompanhamento e revises peridicas. Na figura 3, apresentado o fluxo proposto para o desenvolvimento das polticas de segurana da informao. A Poltica de Segurana dever apresentar algumas caractersticas, conforme especifica a ISO/ IEC17799: (i) ser aprovada pela diretoria, divulgada e publicada de forma ampla para todos os colaboradores; (ii) ser revisada regularmente, com garantia de que, em caso de alterao, ela seja revista; (iii) estar em conformidade com a legislao e clusulas contratuais; (iv) deve definir as responsabilidades gerais e especficas; (v) deve dispor as conseqncias das violaes. Alm destas caractersticas a poltica de segurana dever abranger os seguintes tpicos: Propriedade da Informao interessante determinar o responsvel pela informao, pessoa que poder definir quem poder ter acesso s informaes e que nvel de acesso permitido, e qual a periodicidade necessria para a realizao do backup desta informao. Classificao da informao o gestor dever classificar a informao quantos aos princpios de disponibilidade, confidencialidade e integridade. Controle de acesso deve atender ao princpio de menor privilgio. Todo pedido de acesso deve ser documentado. Deve-se evitar a segregao de funo, por exemplo, um mesmo usurio no deve ter acesso gerao de pagamento e liberao do mesmo. importante, tambm, que se mantenham as trilhas de auditoria no sistema. Gerncia de Usurios e Senhas As senhas devem ser nicas e individuais, seguindo critrios de qualidade, isto , senhas fortes com trocas peridicas. A responsabilidade da senha do usurio proprietrio da mesma. Segurana Fsica Os acessos a reas de servidores devem ser consentidos mediante autorizao. Deve-se ter controle quanto entrada e sada de equipamentos e pessoas, recomendando-se a criao de normatizaes de controles internos referentes segurana fsica, os quais devero ser auditados periodicamente. Desenvolvimento de sistemas ou compra de sistemas/software importante definir uma sistemtica interna com nfase nos requisitos de segurana. Plano de continuidade de Negcios um dos mais importantes tpicos na poltica de segurana, sendo recomendada a gerao de controles e padres especificando detalhes quanto ao plano de contingncia e continuidade dos negcios. Alm das caractersticas mencionadas, vale ressaltar que as polticas criadas devem ser seguidas por todos os colaboradores da empresa e devem servir como referncia e guia de segurana da informao. Para isto, necessria a realizao de uma campanha de divulgao e conscientizao de sua importncia para a organizao. 4.3 Definio do Escopo A definio do escopo inclui o levantamento dos ativos que sero envolvidos, tais como: Equipamentos; sistemas; nome da organizao; estrutura de comunicao (Internet, correio eletrnico); pessoas; servios; infra-estrutura de rede interna e externa e classificao da informao. medida que evolui, o projeto deve ser revisado e detalhado. Esta reviso baseada no escopo do projeto, pois a declarao do escopo um documento que contm a base para as futuras decises. A delimitao do escopo extremamente necessria, pois quanto maior o escopo maior a complexidade do SGSI a ser implementado.

Vol. 2, No. 2, 2005, pp. 121-136

130 Martins, A. B et Santos, C. A. S.

Esta etapa produz os seguintes resultados: o mapa do permetro da rede de computadores onde ser aplicado o SGSI; o inventrio dos ativos e a classificao desses ativos. A realizao do inventrio dos ativos da rede (hardware e software) geralmente utiliza ferramentas computacionais especficas, tais como, o software Network Inventory Master; a ferramenta gratuita oferecida pela Microsoft MSIA Microsoft Software Inventory Analyzer (MSIA, 2005) voltada ao levantamento de softwares do ambiente Windows; a ferramenta recomendada pela Business Software Alliance (BSA), denominada Tally Systems WebCensus Service. 4.4 Anlise de Risco No passo 3 realizado o diagnstico da segurana para o escopo definido, atravs da identificao dos ativos de informao envolvidos e do mapeamento de todas as ameaas relacionadas a estes (COBRA, 2002). Para cada ameaa deve ser determinado o nvel de risco envolvido. No desenvolvimento da anlise de riscos, a ISO 13335-3 ocupa um papel importante. Conforme apresentado na seo 3.1, esta norma trata detalhadamente a questo de anlise de riscos, apresentando diversas opes e estratgias de conduo da anlise de riscos que podem ser escolhidas em funo do tempo e oramento existente e dos objetivos. Aps esta fase, o uso da BS 7799-2 na atividade de decidir a estratgia de gesto de riscos de grande utilidade. Aps o diagnstico dos riscos, deve-se definir junto alta administrao da empresa, quais os nveis de risco aceitveis e no-aceitveis. Entre os no aceitveis, pode-se escolher uma entre as seguintes opes: Reduzir o nvel de risco atravs da aplicao de controles de segurana. Aceitar o risco considerar que ele existe, mas no aplicar qualquer controle. Transferir o risco repassar a responsabilidade de segurana a um terceiro, como, por exemplo, um data center. Por fim, negar o risco esta a opo menos recomendada. A anlise de riscos pode ser tanto quantitativa baseada em estatsticas, numa anlise histrica dos registros de incidentes de segurana quanto qualitativa baseada em know-how e geralmente realizada por especialistas. No possvel afirmar com certeza qual a melhor abordagem, uma vez que cada uma delas fornece uma ferramenta valiosa para a estruturao das atividades de identificao de riscos. A abordagem quantitativa se baseia nas informaes coletadas no processo qualitativo. Novamente, ferramentas computacionais especficas para computar os dados de anlise de risco podem ser de grande utilidade nesta fase. Dentre outras, podem ser destacadas a Precision Tree, da Paragon (PrecisionTree, 2005) e a Microsoft Solutions Framework, da Microsoft (MSF, 2005). Devido a sua agilidade, geralmente as empresas tendem a adotar o modelo qualitativo, que no requer clculos complexos. Independentemente do mtodo adotado, uma Anlise de Riscos deve contemplar algumas atividades, como o levantamento de ativos a serem analisados, definio de uma lista de ameaas e identificao de vulnerabilidades nos ativos. O relatrio de anlise de risco deve conter identificao e classificao de ativos e processos de negcio, anlise de ameaas e vulnerabilidades, e anlise e parametrizao de riscos e definio de tratamento dos riscos.

Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management

Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao 131

4.5

Gerenciamento das reas de Risco

O Gerenciamento de Riscos um processo contnuo, que no termina com a implementao de uma medida de segurana. Atravs de uma monitorao constante, possvel identificar quais reas foram bem sucedidas e quais precisam de revises e ajustes. Nessa etapa estimado o impacto que um determinado risco pode causar ao negcio. Como praticamente impossvel oferecer proteo total contra todas as ameaas existentes, preciso identificar os ativos e as vulnerabilidades mais crticas, possibilitando a priorizao dos esforos e os gastos com segurana. Uma vez que os riscos tenham sido identificados e a organizao definiu quais sero tratados, as medidas de segurana devem ser de fato implementadas. Nessa etapa ainda podem ser definidas medidas adicionais de segurana, como os Planos de Continuidade dos Negcios que visam manter em funcionamento os servios de misso-crtica, essenciais ao negcio da empresa, em situaes emergenciais e Response Teams que possibilitam a deteco e avaliao dos riscos em tempo real, permitindo que as providncias cabveis sejam tomadas rapidamente. Todo o processo do gerenciamento das reas de risco de segurana da informao, praticamente desenvolve-se em nove etapas, conforme a figura 4.
Anlise e 1 atribuio de valores de ativos. 2 Identificao de riscos de segurana. 3 Anlise e priorizao dos riscos. Controle, 4 planejamento e agendamento 5 Desenvolvimento de correes

Estabilizao e 9 Implantao de contramedidas novas e alteradas

8 Reavaliao de ativos e riscos Registro de conhecimento

7 Teste de correes

Figura 4 - Gerenciamento das reas de risco de segurana da informao. Deve-se buscar implantar a gesto pr-ativa dos riscos, que envolve um conjunto de etapas predefinidas que devem ser seguidas para impedir ataques antes que eles ocorram. Essas etapas incluem verificar como um ataque poderia afetar ou danificar o sistema de computador e quais as suas vulnerabilidades. O conhecimento obtido nessas avaliaes pode ajudar a implementar diretivas de segurana que vo controlar ou minimizar os ataques. A figura 5 ilustra as quatro etapas da estratgia pr-ativa.
Determinar 1 os dados que o ataque causar.

2
Vulnerabilidades e os pontos fracos que podero ser explorados.

3
Minimizar as vulnerabilidades e o pontos fracos

Determinar o nvel apropriado de contramedidas a serem implementadas

Figura 5 - Etapas da estratgia pr-ativa Seguir estas etapas para analisar cada tipo de ataque resultar em um benefcio indireto: comear a surgir um padro dos fatores comuns a diferentes ataques. Esse padro pode ser til para determinar as reas de vulnerabilidade que representam o maior risco para a empresa. Como pode ser notado, este passo est totalmente associado ao passo anterior e, portanto, deve-se ter sempre em mente a necessidade de equilibrar o custo da perda de dados e o custo da implementao dos controles de segurana.

Vol. 2, No. 2, 2005, pp. 121-136

132 Martins, A. B et Santos, C. A. S.

4.6

Seleo dos Controles e Declarao de Aplicabilidade

Aps a identificao dos requisitos de segurana, convm que os controles sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nvel aceitvel. Dentre os 127 controles da BS7799-2 so selecionados, aqueles so aplicveis gesto de segurana da informao. Deve-se ainda observar os controles contidos nas demais normas e tcnicas existentes para que estes possam ser integrados de forma natural ao SGSI (como proposto na seo anterior). No basta instituir uma srie de regras a serem cumpridas internamente. Para garantir a segurana de uma empresa, necessrio estabelecer procedimentos e controles para o acesso de parceiros externos corporao, como por exemplo: definio de convnios para acesso s bases corporativas e da poltica de uso da intranet e Internet; definio de modelo de identificao de pirataria; de gerenciamento de rede; de distribuio de verses de software e de padres Internet; deteco de inatividade de modems ligados rede; definio do padro de atualizao de antivrus e do acesso de empregados ao provedor corporativo; padronizao do portal institucional e do site comercial; implantao, roteamento, criptografia, certificao digital, configurao de firewall, dentre outras ferramentas e tecnologias necessrias. Aps levantamento dos controles, devem ser realizadas a anlise e seleo dos mesmos. Neste caso, recomenda-se utilizar um formulrio de declarao de aplicabilidade, conforme o exemplo da figura 6. Com base nesta declarao, os procedimentos normativos devem ser gerados ou simplesmente revisados de acordo com o sistema normativo j existente na organizao.
BS7799-2:2002 Clusula 3.1 3.1.1 3.1.2 4.2 4.1.1 Frum de Segurana da Informao Documento da poltica de segurana da informao Anlise crtica e avaliao Segurana Organizacional 3 Controle Objetivo Poltica de Segurana 1 2 Aplicvel Referncia

Figura 6 Declarao de Aplicabilidade Entre os critrios para a seleo de controles devem ser considerados: a relao custo x benefcio; a aplicao do mesmo controle para reduzir outros nveis de risco considerados no aceitveis; a capacidade de gerenciamento do controle e a capacidade de substituio do controle. Aps sua definio, os controles devem ser implementados dentro do escopo estabelecido, seguindo as informaes geradas durante o processo de anlise de riscos, tomando o cuidado de sempre manter o foco nos propsitos do negcio, evitando prejudicar, inviabilizando ou retardando demasiadamente, a atividade fim da organizao.
4.7 Implementao e Acompanhamento dos Indicadores

Os processos de implantao de contramedidas e de diretivas de segurana ocorrem durante toda a fase de implantao da metodologia. Em seguida, deve ocorrer um processo de acompanhamento de todos os controles implementados e, para isso, necessria a produo de indicadores especficos que possibilitem visualizar as condies de funcionamento e desempenho do ambiente analisado.

Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management

Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao 133

A implementao dos controles selecionados pode envolver a aquisio de tecnologia de software e/ou hardware (custos adicionais), mas em alguns casos, essa implementao resulta apenas na criao de padres e normas internas a serem obedecidas.
4.8 Auditoria do Sistema

As auditorias internas do SGSI tm a finalidade de verificar, com base em evidncias objetivas, se as seguintes condies ocorrem satisfatoriamente: Os procedimentos e instrues operacionais so adequados e eficazes. Os setores da Empresa vm atuando em concordncia com os documentos normativos. Os subsdios fornecidos so suficientes para elaborao dos relatrios peridicos de anlise crtica do SGSI. Para que as auditorias internas ocorram com eficcia, recomenda-se que alguns princpios sejam seguidos, como por exemplo, a independncia dos auditores, o planejamento e notificao prvios, o aprimoramento contnuo do SGSI e a busca de constataes e observaes que agreguem valores s atividades referentes segurana da informao, aos objetivos e metas da organizao e s suas polticas. As no conformidades (reais e potenciais) detectadas no SGSI devem ser registradas de acordo com procedimento especfico, incluindo aes para registro e tomada de ao para encerramento da mesma. indicada uma anlise crtica destas no conformidades e, se pertinente, executada a investigao de suas causas, a definio e a implantao de aes corretivas e o registro das alteraes em procedimentos. Aps a implantao das aes corretivas, deve ser feita uma avaliao de sua eficcia antes de seu encerramento. No conformidades potenciais so detectadas atravs do relato de incidentes relacionados ao SGSI, atravs da identificao de situaes de riscos e da anlise detalhada de modificaes ou implantao de novas atividades e equipamentos. Uma vez detectadas as no conformidades potenciais, aes preventivas so definidas e implantadas com o objetivo de evitar a ocorrncia das mesmas. Aps a implantao das aes corretivas, faz-se uma avaliao da eficcia das mesmas, antes de seu encerramento. Uma vez que a estrutura esteja organizada, testada e melhorada, o prximo passo realizar a auditoria externa para a certificao na norma. No Brasil, atuam na certificao da norma BS 7799-2 empresas como: DNV, BVQI, BSI, DQS, entre outras4. Poucas empresas foram certificadas no Brasil, porm a tendncia que cresa o nmero de empresas certificadas, devido s novas exigncias do mercado quanto segurana da informao, em especial nas relaes que envolvem o mercado exterior e onde a segurana o diferencial competitivo (instituies financeiras, telecomunicaes e rea mdica). Conforme apresentado, a implantao de um SGSI um processo que busca continuamente o aprimoramento do modelo de gesto da segurana da informao. Para tal, o acompanhamento e gerenciamento do fluxo como ciclo PDCA devem ser uma constante na organizao, seja atravs de auditorias peridicas ou de aes de melhorias inseridas na rotina diria de administrao da informao.

Uma lista completa pode ser obtida em (Certification Portal, 2005)

Vol. 2, No. 2, 2005, pp. 121-136

134 Martins, A. B et Santos, C. A. S.

Recomenda-se a gerao de um manual de segurana do projeto SGSI, contendo todos os documentos gerados em cada etapa do processo, ou seja: A Poltica de Segurana; A anlise de risco; O Inventrio; A declarao de aplicabilidade com os controles especficos ao escopo selecionado; Os temos e as polticas de uso dos sistemas e dos servios oferecidos; Os indicadores de acompanhamento; Os incidentes registrados e classificados, alm dos 28 procedimentos (PR) e os Instrumentos Normativos (IOs) recomendados na ISO 17799. Algumas ferramentas podem ajudar, no processo de implementao e acompanhamento do ciclo PDCA. Dentre elas: sistema de controle de acesso dos usurios, sistema de inventrio de hardware e software, sistema de acompanhamento de no conformidades e o sistema de acompanhamento de indicadores. Aps a implantao do SGSI conforme o modelo proposto, a etapa de acompanhamento e gerenciamento do ciclo deve ser uma constante na organizao, atravs de auditorias peridicas e aes de melhorias. A possibilidade de integrar os controles do SGSI ao Sistema Integrado de Gesto implantado permite a execuo de um processo de melhoria contnua, pois o ciclo do PDCA executado regularmente no cronograma das organizaes. Alm disso, a experincia obtida nos ciclos de auditoria e de implantao das melhorias, com a remoo das no conformidades encontradas, pode ser utilizada no processo.
5 CONCLUSO

Logicamente pode-se concluir que o processo de busca de solues para os problemas de segurana em ambientes computacionais envolve a necessidade do desenvolvimento de padres, os quais sero tanto utilizados no apoio construo de sistemas computacionais "seguros", como para a avaliao dos mesmos. A existncia de um SGSI implantando na organizao, permite ao usurio tomar conhecimento do quo protegidas e seguras estaro as suas informaes. Do ponto de vista dos profissionais tcnicos, eles passaro a possuir um modelo de atuao comum, evitando assim que cada equipe tenha para si um padro desconexo das demais equipes. A grande contribuio da metodologia permitir que o responsvel pela implementao do projeto de segurana tenha uma viso nica do sistema de segurana da informao e dos diversos padres, controles e mtodos que o compem. O projeto de gesto de segurana da informao desenvolvido teve como referncia o ambiente computacional a empresa Cetrel S.A. As etapas de implantao do SGSI envolveram um nvel mais gerencial, e no necessariamente tcnico. A implementao e manuteno de um SGSI exigem uma dedicao e anlise profunda do ambiente computacional e organizacional. Esta no uma tarefa fcil e obrigaria o apoio da direo da organizao e a participao de todos os funcionrios com esta finalidade. Alm disso, o processo poderia envolver a participao de terceiros, como clientes e fornecedores, bem como a contratao de uma consultoria externa. Por tudo isso, tornar seguro um ambiente computacional pode ser uma tarefa bastante complexa, requerendo gesto e procedimentos apropriados. A oportunidade de utilizar um ambiente de produo como da empresa Cetrel S.A. para implantar a metodologia desenvolvida, explicitou as principais dificuldades encontradas na implantao de um SGSI. O projeto desenvolvido e implantando, alm de utilizar a BS7799/2 como base, resultou no desenvolvimento de uma metodologia prpria para a elaborao e implementao de forma clara e objetiva o programa de gesto da segurana da informao, utilizando como suporte a NBR ISO/IEC 17799 e

Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management

Uma Metodologia para Implantao de um Sistema de Gesto de Segurana da Informao 135

outros importantes padres de segurana. Ao todo esta ISO contempla 127 controles alm daqueles que no foram citados na norma. Porm, para se atingir o patamar de segurana desejado nem sempre necessria a adoo de todos estes mecanismos, mas sim uma seleo criteriosa dos controles a partir da realizao de uma anlise de risco. Uma das contribuies deste trabalho foi justamente a gerao de subsdios para o gerenciamento da implementao de um SGSI. Por isso, ele foi desenvolvido levandose em considerao as etapas do projeto que foram alcanadas, ao invs de detalhes de como foram alcanadas. Assim, as etapas descritas na seo 6 deste artigo devem ser vistas como modelo gerencial. Isto , elas so, na verdade, documentos (como relatrios, procedimentos, formulrios e planos), ao invs de produtos de natureza muito tcnica (como, por exemplo, a instalao de um firewall). Este fato demonstra a preocupao em desenvolver o esboo de implementao segundo uma linha mais gerencial do que tcnica. Desta forma, a abordagem utilizada segue o que parece ser uma tendncia das modernas tcnicas de gesto, que focalizam mais os resultados obtidos em detrimento dos processos empregados para obt-los. Outro ponto importante foi a constatao de que o ciclo necessrio para implantao dos controles de segurana similar ao ciclo j adotado por outras importantes normas. Isto possibilitou implantao do SGSI a partir da experincia de implantao do Sistema Integrado de Gesto, tornando mais rpido e fcil a integrao do SGSI ao modelo de gesto j existente na organizao (SIG CETREL, 2002).
6 REFERNCIAS
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR 11584, Critrios de segurana fsica, relativos a microcomputadores e terminais, em estaes de trabalho. Julho 1991. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR 11515, Critrios de segurana fsica relativos ao armazenamento de dados. Dezembro 1990. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. ISO/IEC 17799 Tecnologia da Informao - Cdigo de prtica para a Gesto da Segurana da Informao. International Organization for Standardization, Switzerland, 2000. COBRA. (2002) Consultative, Objective & Bi-functional Risk Analysis, Iso Compliance Analyst, Release 3.1.8b. C&A Systems Security Ltd. 2002. INTERNATIONAL ORGANISATION FOR STANDARDISATION. DRAFT BS 77992:2002: Information security management specification for information security management systems. British Standard Institute, London, 2001. INTERNATIONAL ORGANISATION FOR STANDARDISATION. DRAFT ISO/IEC TR 19791: IT security techniques Security assessment of operational systems. DIN Deutsches Institut fr Normung e. V., 2004. INTERNATIONAL ORGANISATION FOR STANDARDISATION. DRAFT ISO/IEC FCD 18045: IT Security techniques Methodology for IT Security Evaluation, DIN Deutsches Institut fr Normung e. V., 2004. INTERNATIONAL ORGANISATION FOR STANDARDISATION. DRAFT ISO/IEC TR 15443-1: Information technology - Security techniques. DIN Deutsches Institut fr Normung e. V., 2004. INTERNATIONAL ORGANISATION FOR STANDARDISATION. DRAFT ISO/IEC TR 15446: Information technology - Security techniques Guide for the production of Protection Profiles and Security Targets. DIN Deutsches Institut fr Normung e. V., 2004.
Vol. 2, No. 2, 2005, pp. 121-136

136 Martins, A. B et Santos, C. A. S.

INTERNATIONAL ELECTROTECHNICAL COMMISSION. IEC 61508-n, Functional safety of eletrical/electronic/programmable electronic safety-related systems (1998). Commission Electrotechnique Internationale, 1998. IETF Internet Engineering Task Force. Request for Coments (RFC) n 2828. GTE/BBN Technologies, 2000. Disponvel em: <http://www.ietf.org/ rfc/rfc2828.txt>. Acessado em: 01 maio 2004. INTERNATIONAL ORGANISATION FOR STANDARDISATION. ISO/IEC TR 13335-n, Guidelines for the Management of IT Security (GMITS). International Organization for Standardization, Switzerland, 1998. INTERNATIONAL ORGANISATION FOR STANDARDISATION. ISO/IEC 15408-n, Information Technology Security Techniques Evaluation Criteria for IT Security (1999). International Organization for Standardization, Switzerland, 1999. MSF. Microsoft Solutions Framework. Disponvel em: <http://www.microsoft.com/brasil/security/guidance/prodtech/win2000/ secmod134.mspx # XSLTsection121121120120>. Acesso em: 20 jul. 2004. MSIA Microsoft Software Inventory Analyzer. Verso 2.1.0.0220. 2004. SIG CETREL. (2002) Manual do Sistema Integrado de Gesto da CETREL S.A.. Camaari, Bahia. 2002. TCSEC, DEPARTMENT OF DEFENSE. (1985) Trusted Computer System Evaluation Criteria. December, 1985. Disponvel em: <http:// www.radium.ncsc.mil/tpep/library/rainbow/index.html>. Acesso em Ago. 2002.

Revista de Gesto da Tecnologia e Sistemas de Informao/Journal of Information Systems and Technology Management