Escolar Documentos
Profissional Documentos
Cultura Documentos
ABSTRACT
This work aims to identify the business activities with major trends in incidents related
to information security as well as map to these activities the main methods and
practices based on existing standards such as ISO 27001 and ISO 27002, and some
existing solutions and methodologies, which can mitigate the risks that these activities
are exposed. The methodology used for the preparation of the research was to
document research.
1. INTRODUO ..................................................................................................... 4
CONCLUSO ........................................................................................................... 43
REFERNCIAS ......................................................................................................... 44
1. INTRODUO
1
Tangveis So os bens de propriedade da empresa que podem ser tocados. Ex.: Mquinas; Computadores;
Impressoras; etc. - Disponvel em <http://www.dicio.com.br/tangivel/>
2
Intangveis So as propriedades da empresa difcil de se ver e de se tocar. Ex.: Imagem da Organizao;
Estratgias, Valores; etc. - <http://www.dicio.com.br/intangivel/>
3
Conforme Pesquisa realizada pela PWC, existe um aumento permanente de ameaas relacionadas
segurana da informao. Informao disponvel em:
,https://www.pwc.com.br/pt/10minutes/assets/2016/pwc-10min-pesq-global-seg-inf-16.pdf>
4
Famlia ISO 27000 So normas de padres internacionais sobre boas prticas na gesto da segurana da
informao.
5
Informao Disponvel em: <http://www.iso270012013.info/iso27001/family.aspx>
6
SGSI Sistema de Gesto de Segurana da Informao.
Desta forma, para o desenvolvimento deste trabalho foi necessrio recorrer
ao tipo de pesquisa documental, pois foi necessrio realizar uma reviso bibliogrfica
atravs de consultas em artigos, sites, bibliografias e estatsticas, buscando
conceituar atividades de negcios e segurana da informao para melhor destacar
os setores de atividades com os maiores ndices de incidentes relacionadas
segurana da informao e as melhores prticas em segurana a serem adotadas por
estas atividades.
Nos dias atuais, negcio conhecido como o elo de conexo entre pessoas
fsicas ou jurdicas que buscam selar um acordo para obter fins lucrativos. Tentar
explicar o significado de Negcio o mesmo que evidenciar o mbito de atuao em
que pessoas ou empresas se dedicam para a obteno de recursos financeiros.
Negcio tambm pode ser conhecido como local de negociao e de comercializao,
7
Culto do cio Tempo reservado para exercitar, discutir e meditar.
que quando se progride de maneira formal, tende se a criar empresas e at mesmo
grandes organizaes (CHIAVENATO, 2014; EVANGELISTA ,2014).
Pode ser dividido em comrcio varejista, ou seja, que vendem mercadorias direto para
os consumidores finais; ou comrcio atacadista, que abastecem o comrcio varejista
comprando direto do produtor. Exemplo de comrcio com este tipo de atividade so
os restaurantes, supermercados e lojas em geral.
Utilizaremos como base para a identificao destes setores a lista CNAE 12, que
segundo o IBGE (2016), a classificao oficialmente adotada pelo Sistema
Estatstico Nacional na produo de estatsticas por tipo de atividade econmica, e
pela Administrao Pblica, na identificao da atividade econmica em cadastros e
registros de pessoa jurdica.
Setores com maiores ndices de incidentes Principais Grupos de Atividades na lista CNAE
12
CNAE Classificao Nacional de Atividades Econmicas.
Setores com maiores ndices de incidentes Principais Grupos de Atividades na lista CNAE
No Brasil, 58% dos crimes so comitidos por fatores internos, e deste montante,
87% dos criminosos brasileiros esto em cargos de gerncia executiva ou
intermediria (PWC, 2016).
13
ISO 31000 Norma de padro internacional para fornecimento de princpios e diretrizes genricas para a
gesto de riscos.
classificados. Essas naturezas podem ser divididas em trs contextos que so de
ordem estratgica, operacional, ou financeira comforme a seguir:
14
ISO 27005 Norma de padro internacional que fornece diretrizes para o processo de gesto de riscos de
segurana da informao baseada nos requisitos de um SGSI (Sistema de Gesto de Segurana da Informao).
3. SEGURANA DA INFORMAO
Milnios depois, por volta de 2000 a.c., deu se incio ao princpio da criptografia,
quando generais, reis e rainhas procuravam meios de comunicao com suas tropas
de exrcitos. A preocupao em manter segredos e estratgias de batalhas para com
os inimigos, fez com que se iniciasse o desenvolvimento de uma forma segura de
mascarar mensagens, permitindo que apenas o destinatrio tivesse acesso ao seu
15 Egito Antigo - Civilizao da Antiguidade oriental do Norte de frica, concentrada ao longo ao curso inferior
do rio Nilo por volta de 3100 a.c.
16
PAPIROS - uma planta utilizada para a escrita (precursor do papel) durante a Antiguidade no Egito.
contedo. Departamentos foram criados para a elaborao de cdigos criptogrficos,
que por outro lado, sempre estavam sob ataques de decifradores (Azevedo, 2011).
17
ENIGMA - Mquina eletromecnica de criptografia com rotores.
18
Informao disponvel em: <https://pt.wikipedia.org/wiki/Hist%C3%B3ria_da_criptografia>
19
TIME-SHARING - um termo referente a sistemas operacionais que ilustra a questo de computadores que
podem ser acessados ao mesmo tempo por vrias pessoas.
20
DoD Computer Security Initiative - Iniciativas de Segurana de Informtica.
Criteria - DoD 5200.28-STD"21. O processo de escrita do Orange Book teve incio no
ano de 1979 e sua verso final em 1985. Devido s operaes e ao processo de
criao do Centro de Avaliao e do Orange Book, foi dado incio produo de
uma grande quantidade de documentos tcnicos representando o incio da formao
de uma norma ligada a segurana de computadores. Esta srie de documentos
conhecida pelo nome de The Rainbow Series, cujo documentos continuam sendo
atualizados e disponibilizados pela internet.22
Em outubro de 2005 a segunda parte da BS 7799 tambm foi adotada pela ISO,
dando se incio s normas da famlia 27000, que contm padres internacionais para
segurana da informao, tendo como o incio a norma ISO/IEC 27001:2005 (Sales,
2010). Da em diante, foram elaboradas outras normas da famlia 27000, sempre com
o principal objetivo de melhorar o sistema de gesto de segurana da informao das
empresas e organizaes, como por exemplo a ISO/IEC 27002 e a ISO/IEC 27005
que so atualizadas at os dias de hoje.
21
Livro Critrios de avaliao de informtica confivel do Departamento de Defesa 5200.28-STD
22
Informao disponvel em: <http://csrc.nist.gov/publications/secpubs>
23
ISO Organizao Internacional para padronizao
incio de uma implementao de boas prticas para segurana da informao. Segue
abaixo as principais normas da famlia 27000 para o processo de SGSI:
24
Informaes disponveis em: <http://www.iso.org>
25
Quadro da Legislao Relacionada Segurana da Informao e Comunicaes Disponvel em:
<http://dsic.planalto.gov.br/documentos/quadro_legislacao.htm>
26
Informaes disponveis em: <http://www.nist.gov/>
Dentre as normas citadas acima, vale ressaltar algumas outras normas que
tambm esto descritas no quadro de normas tcnicas relacionadas segurana da
informao e que esto resumidamente descritas abaixo:
ABNT NBR ISO IEC 17799: 2005. - Esta norma equivalente ISO/IEC
17799:2005. Consiste em um guia prtico que estabelece diretrizes e princpios
gerais para iniciar, implementar, manter e melhorar a gesto de segurana da
informao em uma organizao. Os objetivos de controle e os controles
definidos nesta norma tm como finalidade atender aos requisitos identificados
na anlise/avaliao de riscos.
27
ITU - (Unio internacional das comunicaes) Agncia da ONU especializada em tecnologias de informao e
comunicao.
Roubo de Identidades - quando algum frauda um perfil para ter algum tipo
de vantagem e usa as informaes de uma conta falsa para, por exemplo, abrir
um cadastro em lojas, realizar fraudes em cartes de crditos e at realizar
transaes bancrias;
28
ISACA Associao internacional que suporta e patrocina o desenvolvimento de metodologias e
certificaes para o desempenho das atividades de auditoria e controle em sistemas de informao.
Governana Conecta o Projeto e a Estratgia com os Processos. o
conjunto de respnsabilidades e prticas execidas pelo conselho e gesto executiva
com o objetivo de fornecer orientao estratgica;
29
COBIT - Modelo de negcios e de gesto global para governana e gesto de TI corporativa.
negcio da organizao. E os controles de conformidade que envolvem assuntos
relacionados a TI, so fatores crticos neste contexto;
Muitas atividades, que eram fornecidas pelo estado e passaram a ser prestadas
pela iniciativa privada atravs de privatizaes e reformas constitucionais, tiveram a
necessidade de serem fiscalizadas atravs de agncias e orgos reguladores
especficos. A principal finalidade dessas agncias/orgos, regimentar e fiscalizar
as atividades dessas organizaes, devendo garantir a normalidade e eficincia da
prestao de servios por elas prestadas. (MONTENEGRO,2014).
Considerando que segundo a PWC (2016), 58% dos crimes realizados no Brasil
referem-se a Fraudes em Compras, as atividades que manipulam ou armazenam
dados de cartes, que dentre os Setores Crticos identificados esto os Servios
Financeiros e as Atividades de Varejo e Consumo, devem se adequarem s regras do
PCI-DSS (Payment Card Industry Data Security Standard). O PCI-DSS um padro
de segurana elaborado com um conjunto de controles tcnicos, polticas e
procedimentos, tendo como principal objetivo aprimorar a segurana em transaes
com cartes de crdito, e proteger os dados do portador do carto contra fraudes. O
PCI DSS foi criado pelas operadoras de cartes de crditos Visa, Mastercard,
Discover e American Express, e possuem 12 exigncias a serem seguidas para que
a conformidade com os padres de segurana sejam seguidos. Segue abaixo a
descrio das 12 exigncias conforme o PCI Security Standards Council, (2013):
30
Fonte da Informao: <http://dsic.planalto.gov.br/>
Exigncia 6: Desenvolver e manter sistemas e aplicativos seguros;
Exigncia 12: Manter uma poltica que atenda segurana da informao para
funcionrios e prestadores de servios;
31
Fonte da Informao: <http://www.fraudes.org/showpage1.asp?pg=312>
Alm dos EUA, as empresas de Servios Financeiros que tambm fazem
negcios na Unio Europeia ou lidam com dados de seus cidados esto submetidas
s regulamentaes da EUDPD (European Union Data Protection Directive). A
EUDPD fornece requisitos bsicos que todo estado membro da Unio Europeia deve
atender atravs de regulamentaes nacionais afim de padronizar a proteo da
privacidade de dados para cidados em toda a Unio Europeia.32
Considerando que segundo a PWC (2013), 23% dos crimes realizados no Brasil
se refere a Suborno e Corrupo, vale destacar a lei 12.846/2013, tambm conhecida
como lei anticorrupo. A lei 12.846/2013 de autoria do poder executivo e trata da
responsabilizao objetiva, administrativa e civil de empresas pela prtica de atos
contra a Administrao Pblica, nacional ou estrangeira.34
32
Fonte da Informao:
<http://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwiW96y3r_bOAhUBj
5AKHb5FCS0QFggeMAA&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2F3%2F4%2F2%2F3422
BD20-F94B-4B0F-89A3-D50628BF82A9%2FIT%2520Compliance%2520Management%2520Guide-
BRZ.docx&usg=AFQjCNFmBbKBoW7_GHcFuzmghvze5LCZhg&bvm=bv.131783435,d.Y2I>
33
Fonte da Informao: <http://www.transportes.gov.br/conteudo/56-acoes-e-programas/2815-conheca-o-
pnlt.html>
34
Informao Disponvel em: <http://www.cgu.gov.br/assuntos/responsabilizacao-de-empresas/lei-
anticorrupcao>
devido grande variedade de assuntos de segurana contidos nestas normas. Sero
identificadas abaixo as principais sees da norma ISO 27001 em conjunto com os
controles da ISO 27002 para uma proposta dos principais procedimentos relacionadas
segurana da informao baseados em normas e que podem ser aplicadas a todas
as atividades existentes nos Setores Crticos.
A PSI deve primeiro ser publicada e ento apresentada aos usurios atravs
de um programa de conscientizao. Esse programa deve incluir constantes
lembretes de como proteger os recursos da organizao e de quem a
responsabilidade de proteger esses recursos (Fontes, 2012). Pois os usurios devem
estar cientes das ameaas e das vulnerabilidades que envolvem a Segurana da
Informao dentro da organizao (ABNT, NBR 27002, 2013).
Qualquer coisa que tenha valor para a organizao e que precise ser protegido,
segundo a norma ISO 27002, classificado como ativo. Os ativos devem ser
classificados e identificados, de forma que um inventrio possa ser estruturado e
mantido afim de relacionar os bens vinculados segurana da informao, como por
exemplo: (software; hardware; sistema de documentao; armazenamento; alm dos
servios de manutenes) e classificando e rotulando a informao conforme a
necessidade de segurana e proteo.
Um controle que no faz parte da seo 10 mas que vale ser mencionado
devido sua importncia para o elemento Processo a criptografia. Os Controles
criptogrficos permitem que os princpios bsicos que fundamentam a segurana da
informao (confidencialidade, integridade e disponibilidade) sejam aplicados. Deve
ser desenvolvido uma poltica para o uso de controles criptogrficos, abordando os
padres que sero adotados, leis ou regulamentaes aplicveis ao uso, e o
gerenciamento das chaves criptogrficas ao longo de todo o seu ciclo de vida. O
sistema de gerenciamento de chaves deve ser baseado em um conjunto de normas,
procedimentos e mtodos para gerar, distribuir, alterar, recuperar, armazenar e
destruir as chaves, garantindo um uso eficaz de tcnicas criptogrficas (ISO 27002).
Fonte Prpria, baseado em: ABNT NBR ISO/IEC ISO 27002, 2013
35
Informao disponvel em: <http://www.k2seguranca.com.br/destaques/conceitos-basicos-do-cftv-ip--parte-
1>
36
Informao disponvel em: <https://securosis.com/assets/library/reports/DLP-Whitepaper.pdf>
Monitoramento de Funcionrios O monitoramento necessrio dentro das
organizaes pois garante a segurana das informaes prevenindo assim o
seu vazamento. Todas as atividades relacionadas internet devem ser
monitoradas, sejam elas trocas de mensagens ou sites visitados, visando assim
prevenir que funcionrios mal intencionados se utilizem desses meios para
fazer uso indevido das informaes da empresa (PUPO, 2011);
Uso de VPN A VPN (Virtual Private Network) uma rede privada construda
sobre a infraestrutura de uma rede pblica, com o objetivo de criar uma
comunicao entre computadores ou outros dispositivos que possuem as
credenciais necessrias para o acesso. Entres os tipos existentes de VPN
37
Informao disponvel em: <http://www.continuitycentral.com/bcs.htm>
destacam se a Intranet VPN que pode facilitar a comunicao entre
departamentos de uma mesma empresa, e Extranet VPN conecta as
informaes da empresa com usurios externos sendo scios, clientes,
fornecedores, etc; 38
Fonte Prpria
38
Informao disponvel em: <http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/>
39
Malware Abreviatura de Software Malicioso
Os controles indicados neste tpico, sejam eles provenientes de normas ou de
solues existentes, servem de grande suporte para as atividades dos Setores
Crticos que buscam boas prticas para segurana da informao. No caso do PCI
DSS, o nico controle que possui particularidade especfica, sendo a aplicabilidade
dos outros controles e metodologias genricas s todas as atividades dos Setores
Crticos. Os benefcios atrelados segurana da informao com a aplicao dessas
boas prticas, minimizam tambm os riscos de incidentes relacionados
cibersegurana, j que todos os conceitos adotados para a segurana ciberntica vo
de encontro com as boas prticas sugeridas neste tpico. Mapearemos no prximo
tpico algumas consideraes para que a implementao das boas prticas ocorra
corretamente com base nos controles e solues j identificados.
Definir como medir a eficincia dos controles Medir o que est sendo feito,
garantir que o objetivo estabelecido est sendo cumprido. Por isso deve ser
definido o modo com que ser medido o cumprimento dos objetivos do SGSI
analisando cada controle aplicvel;
O incio de uma correta gesto de riscos dentro das atividades dos Setores
Crticos, comea com a Definio do Contexto, ou seja, o momento em que
definido os critrios bsicos necessrios para a gesto de riscos de segurana da
informao, a definio do escopo e dos limites e o estabelecimento de uma
organizao apropriada para atuar na gesto de riscos (ABNT NBR ISO/IEC 27005:
2011). Segue abaixo algumas orientaes que segundo KOSUTIC (2010), faz parte
do contexto de aplicao da norma ISO 27001 e que tambm faz parte das atividades
relevantes da gesto de riscos contida na ISO 27005:
O procedimento para ao corretiva requer que seja definido como que ser
identificado as inconformidades e suas causas, e como ser definida e
implementada as aes corretivas que iro eliminar a causa da inconformidade;
ABNT (2013). ABNT NBR ISO/IEC ISO 27001 - Tecnologia da informao Tcnicas
de segurana Sistemas de gesto de segurana da informao. - 2013.
ABNT (2011). ABNT NBR ISO/IEC ISO 27005 - Tecnologia da informao Tcnicas
de segurana Gesto de riscos de segurana da informao. - 2011.
ABNT (2009). ABNT NBR ISO/IEC ISO 27009 - Gesto de riscos Princpios e
diretrizes. - 2009.
KOSUTIC, Dejan - The ISO 27001 & ISO 22301 Blog; 2010
Disponvel em: <http://advisera.com/27001academy/pt-br/blog/> - Acesso em 15 Jul.
2016