Você está na página 1de 23
 

• Introdução

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.5

1.

Prefácio

.

. Por: José Eduardo Campos

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.6

2. A Quem se Destina este Documento

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.7

3. Método de Desenvolvimento . . . . . . . . . . .

3. Método de Desenvolvimento

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.7

. 3.b Profissionais Componentes do InfoSec Council

.

3.a Agradecimentos

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.7

.9

4. Necessidade de Cultura de Segurança . . . . . . . . .

4.

Necessidade de Cultura de Segurança

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.10

Por: Edison Fontes

5. Políticas e Normas . . . . . . . . . . .

5.

Políticas e Normas

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.13

Por:Valmir Schreiber

6. Aspectos Legais e Responsabilidade do Gestor de SI   . . . . .

6.

Aspectos Legais e Responsabilidade do Gestor de SI

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.16

Por: Renato Opice Blum

7. COBIT, ITIL, NBR 17799: os Padrões .22

7.

COBIT, ITIL, NBR 17799: os Padrões

.22

. Por:Valmir Schreiber, Ariosto Farias Jr e Astor Calasso

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

8. Programas de Conscientização em SI . . . . . . . . .

8.

Programas de Conscientização em SI

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.33

Por:TC João Rufino de Sales

. Por: Dionísio Campos e Ricardo Franco Coelho 9. . Ambientes . . . .

. Por: Dionísio Campos e Ricardo Franco Coelho

9.

.

Ambientes

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.36

10. SI Extrapolando a Organização . . . . . . . . . .

10.

SI Extrapolando a Organização

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.39

Por: Christiane Mecca

11. Conclusão . . . . . . . . . . . . .

11.

Conclusão

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.41

InfoSec Council

O InfoSec Council, criado em 2005, foi idealizado como uma reunião de Profissionais de alto nível (“C-level”)

cujas áreas de atuação implicassem no estímulo, criação, manutenção e evolução de técnicas e estratégias voltadas à Segurança da Informação.

Nesse aspecto estão compreendidas as disciplinas de:

• Tecnologia da Informação;

• Segurança da Informação;

• Segurança Corporativa;

• Auditoria de Sistemas;

• Governança de TI;

• Recursos Humanos (voltada à Segurança e Auditoria).

Ainda que esses Profissionais exerçam suas atividades em Organizações – privadas, públicas e associativas - sua participação se dá em caráter PESSOAL, em função de sua comprovada e reconhecida experiência nesse exercício. Além de Profissionais atuantes em Empresas, têm assento no InfoSec as Associações de Profissionais representativas, tais como: ISACA, ISSA, ASIS, ABSEG e ABNT.

O objetivo do InfoSec é atender as 3 Comunidades-alvo (Usuária, Provedora e Acadêmica) e, indo mais

além, contribuir e influenciar a evolução dos aspectos regulatórios da Tecnologia da Informação.

DIVULGAÇÃO

Os direitos autorais deste documento são do InfoSec Council e devem ser respeitados nos termos da Lei 9.610, de 19/02/1998, em especial quanto ao artigo 46.

É autorizada a reprodução do todo ou de suas partes para uso Acadêmico, devendo ser citada expressa- mente sua fonte. É vedada a reprodução ou armazenamento deste documento para fins comerciais, exceto em caso de autorização anterior, por escrito, do InfoSec Council. Nenhuma outra permissão ou direito são concedidos em relação a este documento.

InfoSec Council infosec.brasil@hotmail.com

1.PREFÁCIO

2.

A QUEM SE DESTINA ESTE DOCUMENTO

Durante as primeiras reuniões realizadas, o tema Conscientização do Usuário e sua participação no processo de Segurança foi identificado por todos como um tema extremamente relevante, que afeta qual- quer Organização independentemente do seu porte ou tipo de negócio. Considerando esse fato, foi deci- dida a elaboração de um guia prático e conceitual reunindo experiências dos participantes do grupo e endereçando os diversos aspectos relacionados à conscientização do Usuário.

Com a possibilidade de uma intervenção, durante o CNASI/SP 2005 foi decidido, por meio de um debate, onde serão apresentados os aspectos a serem contemplados no documento final. Dessa forma, interagin- do com a parcela da comunidade de segurança da informação presente no CNASI, os responsáveis pelo desenvolvimento de cada tema poderiam obter mais subsídios para a execução da sua tarefa, além de agregar experiências e opiniões reais da comunidade - que poderá enviar, via correio eletrônico, sugestões e comentários sobre o debate do CNASI.

O resultado desse trabalho está materializado neste documento em forma de white-paper. O objetivo é fornecer à Comunidade um guia e uma fonte de argumentos na contínua tarefa de mantermos nossos Clientes, os Usuários, conscientes da importância representada pela Segurança da Informação.

De uma forma resumida, este documento descreve os principais aspectos que devem ser considerados em um processo de formação de cultura em Segurança da Informação.

Sugestões e observações podem ser enviadas para o e-mail infosec.brasil@hotmail.com

Este trabalho é endereçado à Gerência Executiva, aos profissionais responsáveis pelos controles e pela Informação (incluindo Gestores de SI e Gestores de TI) e aos profissionais de Auditoria, apoiando-os na avaliação dos ambientes da Informação.

3. MÉTODO DE DESENVOLVIMENTO

As contribuições para este documento incluem diversos representantes de vários segmentos privados e de órgãos públicos. Como tal, é uma combinação de informações e opiniões de todos os participantes do InfoSec Council e não expressa o ponto de vista de qualquer participante individual, menos ainda das Organizações nas quais eles trabalham.

3.a Agradecimentos O InfoSec Council deseja agradecer às Organizações e Empresas em que os seus Membros atuam, pelo estímulo e motivação que proporcionam aos seus Executivos.

APOIO

APOIO Associações Representadas no Infosec Council 3.b Profissionais componentes do Infosec Council Ariosto Farias Jr

Associações Representadas no

Infosec Council

APOIO Associações Representadas no Infosec Council 3.b Profissionais componentes do Infosec Council Ariosto Farias Jr
APOIO Associações Representadas no Infosec Council 3.b Profissionais componentes do Infosec Council Ariosto Farias Jr
APOIO Associações Representadas no Infosec Council 3.b Profissionais componentes do Infosec Council Ariosto Farias Jr
APOIO Associações Representadas no Infosec Council 3.b Profissionais componentes do Infosec Council Ariosto Farias Jr

3.b Profissionais componentes do Infosec Council

Ariosto Farias Jr

Astor Calasso

Christiane Mecca

Dioniso Campos

Edison Fontes

Francisco Figueiredo

Igor Pipolo

João Rufino de Sales

– Delegado do Brasil do Comitê ISO IEC JTC1/SC27, Coordenador do ABNT/CB21/SC02 e Chairman of the Brazilian 7799 User Group

– Consultor / Astor Consultoria

– CSO / Rhodia

– Gerente de Segurança Corporativa / Nextel e VP / ASIS

– CSO / Gtech

– Supervisor de Fiscalização de TI / BaCen-Brasil

– Chairman ASIS Brasil e Chaiman da ABSEG

– Chefe 3º CTA

Jorge Peres

– CSO / GM Brasil

Mônica Orsolini

– CSO / Promon

Pedro Arruda

– Gerente Geral de Segurança / Petrobrás

Renato Ópice Blum

– Advogado, Especialista em Direito Eletrônico

Ricardo Franco Coelho

– Coordenador Segurança-SP, VP da ASIS e ABSEG

Valmir Schreiber

– CSO / Banco BNP Paribas e Chairman ISACA Brasil

4. NECESSIDADE DE CULTURA DE SEGURANÇA: CULTURA SE CRIA!

A existência de um processo de formação e manutenção de cultura em SI fortalece a cadeia de valores para alcançarmos o nível adequado de proteção.

Para que o processo de segurança da informação tenha sucesso na Organização é fundamental que o mesmo seja suportado adequadamente pelo ambiente e pela cultura dessa Organização. A cultura é o conjunto de valores que são seguidos por todos dentro da Organização. A descrição desses valores deve estar formalizada por meio de políticas e outros normativos.

Quando o que está formalizado é coerente com o que é executado e seguido, a Organização é ver- dadeira em seus conceitos. Nesse caso, a cultura da Organização facilita a implementação das regras que devem ser seguidas por todos.

Mas o que deve ser feito para se construir essa cultura em segurança? Podemos identificar alguns passos que facilitam essa estruturação:

Essa formalização por meio dos regulamentos deve ser assinada por uma hierarquia adequada. Por exem- plo, se for a política de segurança para toda a organização, deve ser assinada pelo Presidente da mesma.

c) Garantir a existência de um processo de conscientização

A conscientização tem por objetivo explicar para o Usuário o que é a segurança da informação, quais são

os requisitos básicos da segurança, quais os riscos que o Usuário sofre ao utilizar a informação e que medi- das ele deve executar para ter uma melhor proteção para a informação.

Muitas vezes a conscientização vai apenas lembrar o que as pessoas esquecem. Mas é importantíssima a lembrança constante desses requisitos de segurança.

O processo de conscientização está bem ligado ao comportamento da pessoa. Por exemplo, é no proces-

so de conscientização que o Usuário é orientado para que não converse sobre informação confidencial em locais públicos. É uma orientação meramente para o seu comportamento, mas, mesmo sabendo dessa orientação, o usuário deve ser lembrado de tempos em tempos de ter esse cuidado.

 

d)

Garantir a existência de um processo de treinamento nos procedimentos

a)

Ter o apoio da alta administração

O

treinamento tem por objetivo ensinar ao Usuário alguns procedimentos que ele deve realizar quanto

Criar cultura significa passar por um processo de mudança e, desta forma, o apoio da Direção é funda- mental para que todos entendam que as ações recomendadas estão relacionadas ao negócio da Organização e que a direção assim deseja porque tem como objetivo o sucesso e continuidade da com- panhia.

Deve-se criar cultura não por capricho de uma área, mas sim para o bem da Organização. O apoio explí- cito da Direção deixa claro que isto é uma decisão de negócio.

Cuidado para não interpretar de forma errada esse apoio, entendendo-o como colocar a cultura “gargan- ta adentro”. Seu objetivo principal é mostrar a ligação com o sucesso e continuidade do negócio. Evidente que, em alguns momentos, quando de uma inadequada rejeição da cultura, podemos lembrar ao Usuário que a Organização funciona de uma maneira determinada e que segue suas regras. Caso ele não con- corde com as mesmas, a Organização não deve ser um lugar adequado para ele trabalhar.

b) Formalizar os critérios básicos de que se quer implementar como cultura

As regras básicas devem ser formalizadas em regulamentos (políticas, normas e procedimentos), ser de conhecimento de todos os Usuários e ser de fácil acesso.

ao uso da informação, normalmente, no ambiente de tecnologia. Muitas vezes o Usuário está conscienti- zado, mas não sabe como ou o que deve fazer. Por exemplo, devemos ensiná-lo a manusear o produto antivírus e o tratamento de mensagens do produto firewall que foi instalado em seu micro. São orien- tações que ele precisa saber. Precisamos capacitar o Usuário a andar no mundo virtual com segurança.

e) Identificar os grupos de usuários e adequar o treinamento

Todos os Usuários devem ser conscientizados e receber treinamento de segurança da informação. Do Presidente ao mais humilde Colaborador, bem como os Estagiários e Prestadores de serviço, todos devem passar por esses processos.

O que podemos e devemos fazer é identificar grupos de Usuários que possuam necessidades similares e

dar o treinamento de forma direcionada a essas necessidades. Temos uma tendência de fazermos essa classificação pelos grupos da hierarquia funcional. É uma opção e atende razoavelmente, porém, a recomendação é para construir o treinamento pelo tipo de uso da informação. Isto é, todos que usam a Internet devem ter um treinamento específico. Seja o Presidente ou seja o Usuário da área de Compras.

f) Estar em parceria com a área de recursos humanos

Quando falamos em pessoas temos que envolver a área de Recursos Humanos. É fator crítico de sucesso, inclusive em relação aos processos de treinamento e conscientização - eles devem fazer parte do programa anual da área de RH. Novos funcionários, mudanças de cargos, tratamento com terceiros e outras situações que envolvem pessoas, o RH estará contemplando.

g) Estar em parceria com a área jurídica

Muitas vezes esquecemos de envolver a Área Jurídica no nosso processo de conscientização e treinamen- to em segurança da informação. É fundamental que a Área Jurídica acompanhe e valide o que está for- malizado - principalmente no que diz respeito à formalização da cultura através dos regulamentos - para evitar que, por questões de redação de texto, tenhamos algum problema no futuro ou estejamos indo de encontro a alguma legislação.

h) Saber que criar cultura exige tempo Trabalhar com pessoas e processos de mudança é algo fascinante! Cada implementação é diferente, enriquece e nos ensina. Além de tudo, mesmo nos casos mais difíceis, é possível; existe apenas uma questão básica: exige tempo. Como numa gestação de uma criança na qual uma mulher leva cerca de nove meses, não adianta colocar nove mulheres para termos uma gestação de um mês. "Tudo tem o seu tempo", como está registrado no Livro de Eclesiastes da Bíblia Sagrada.

i) Tratar exceção como exceção

5. POLÍTICAS E NORMAS

Devemos comunicar como as pessoas devem agir para que as atitudes ade- quadas sejam incorporadas aos hábitos individuais.

De acordo com as pesquisas e notícias, a busca por roubo de identidade é, atualmente, o alvo que mais atrai os ataques perpetrados por hackers. É a atividade que menos expõe o ladrão, de menor legislação específica pela complexidade das provas, tem continuidade e é rentável a seus autores. As descobertas dão conta de quadrilhas especializadas atuando a partir de locais antes inimagináveis para a ocorrência de um roubo cibernético, como remo- tas cidades no interior do País.

cibernético, como remo- tas cidades no interior do País. Além disso, a Tecnologia evoluí vertiginosamente, trazendo

Além disso, a Tecnologia evoluí vertiginosamente, trazendo com ela novas oportunidades de negócio – mas também novas vulnerabilidades: a mesma

solução que apóia a segurança pode, no momento seguinte, ser fonte de problemas, seja por ataques externos, internos ou mesmo por ineficiência ou descontinuidade operacional.

Então, a grande questão que provoca os Gestores de Segurança é: como proporcionar às Empresas a uti- lização da Tecnologia como alavanca de seus negócios e, ao mesmo tempo, protegê-las dos riscos ine- rentes? E como proceder quando a tecnologia falhar?

Vão surgir situações de exceção. Parece simples tratar exceções como exceções; mas, muitas vezes, con- fundimo-nos e pensamos em mudar recomendações e cultura por situações específicas. Quando aconte-

É

nesse instante que deve valer o último baluarte de defesa: a ATITUDE dos Usuários da Tecnologia!

cerem situações que necessariamente terão que fugir do padrão, analise-as com calma e, se forem

A

experiência profissional de alguns Security Officers vem pregando a fórmula 70/30: 70% de conscientização

exceções, trate-as como exceções.

e

30% de produtos e serviços específicos na área de SI. A própria norma ISO/IEC 17799-2005 declara, em

Pensar de forma estruturada a questão da cultura permitirá criar adequadamente uma cultura positiva para a proteção da informação. Não é mágica, não é esperar que os outros façam. É preciso ser pró-ativo e trabalhar junto às pessoas.Tenha certeza de que, como coloquei no título do meu segundo livro, em Segurança da Informação “O Usuário faz a diferença!”

Edison Fontes, CISM, CISA

cada um de seus capítulos, evidências da necessidade de uma linha de divulgação da Política geral e dos procedimentos específicos a cada serviço disponível aos Usuários. Essa comunicação significa que todos os escalões e níveis da Corporação devem estar aderentes, do Presidente à Portaria.

Por que a conscientização é tão importante? Porque o elo mais fraco desta corrente de SI é o Usuário, tanto no ambiente profissional - enquanto trabalha a partir da Empresa -, como no ambiente doméstico - quando chega em sua casa. Os hackers não atacam Bancos, atacam Correntistas; não atacam Provedores, mas sim seus Assinantes. E estes Assinantes e Correntistas são os Colaboradores da Empresa durante o expediente.

As definições de Normas e Políticas de SI dependem do ambiente e missão da Organização. Nem mais, nem menos. Nelas, são documentados os limites que os Funcionários e Colaboradores têm em suas atividades.

Uma política é um regulamento que descreve os requisitos básicos, que indica a filosofia da Organização. São as “leis”.Todas as ações a serem realizadas pelas pessoas devem seguir e estar alinhadas a essa política.

Norma é um regulamento que define como a Política será operacionalizada; orienta o que se pode fazer dentro de uma segurança controlada. E atenção: é característica das pessoas testarem seus limites!

É primordial que as Normas e Políticas de Segurança, tal como o Código de Ética que os Profissionais devem respeitar, sejam revisadas, divulgadas e conhecidas por intermédio de Intranets e de Programas de Conscientização da Segurança da Informação. Com este processo buscamos certificar que todos os Profissionais da Empresa tenham o conhecimento das regras e que também as levem para seus lares, induzindo seus familiares a atuarem da mesma forma no ambiente doméstico.

Exemplos de Políticas de Segurança: acessos a sites, utilização de senhas, usos dos recursos de TI, sigilo/ confidencialidade de informações, privacidade de Clientes, nível das informações em documentos etc. São atribuições do Comitê de Segurança da Informação.

As Normas de Segurança orientam a forma correta e segura e os meios necessários para a operação dos processos de negócios sem expor a riscos altos o manuseio/acesso em sua forma de execução.

Um exemplo prático de Norma de Segurança é o próprio Firewall, onde as regras definidas são compara- das com as Políticas. As Normas de Segurança são as formas de como manusear as regras no Firewall.

Além disso, todos esses regulamentos devem ser escritos em uma linguagem simples, direta e de maneira que cada Usuário da informação os entenda. Deve ser explicitado o que é obrigatório e o que é dese- jável/opcional. Devemos nos lembrar que, caso algo possa ser interpretado de maneira errada, será inter- pretado de maneira errada!

Que tipo de informação? Quanto é suficiente? Com que freqüência? De que fonte? Por conta dessas dúvi- das, as próprias Normas e Políticas devem dar subsídios para podermos atender a necessidade de for- talecimento dos nossos Usuários. As Políticas de Segurança da Informação devem refletir as melhores práticas do mercado, fruto do trabalho da Comunidade de Segurança, atendendo a demanda por segu- rança da informação e, em troca, serem compartilhadas.

Não se deve “reinventar a roda”; não existem fórmulas inéditas ou milagrosas. As políticas devem refletir a regra "Treine como fazer, faça como treinou". Exemplos estão disponíveis na Internet e oferecem uma possibilidade única para todos nós: se todos os Gestores de Segurança cobrarem a existência, partici- parem da elaboração e seguirem as Normas e Políticas de Segurança da Informação nas Empresas onde trabalham será obtido, em retorno, um padrão de Segurança uniforme e consistente no mercado.Todos os elos estarão fortalecidos, minimizando-se o risco de falhas.

Valmir Schreiber, CISA – presidente da ISACA-SP Colaborou:André Pitkowski, diretor da ISACA-SP, CSO e consultor em SI

6. ASPECTOS LEGAIS E RESPONSABILIDADE DO GESTOR DE SI

O gestor tem o dever de promover o processo de conscien- tização e treinamento e deve seguir os padrões e as boas práticas.

As empresas têm investido muito na implementação de tecnologias que possibilitem o desempenho mais eficaz e de melhor qualidade da atividade econômica escolhida. Com isso, novos profissionais começaram a se estabele- cer neste ramo da Tecnologia da Informação.

a se estabele- cer neste ramo da Tecnologia da Informação. O termo informação deve ser entendido

O termo informação deve ser entendido como todo o

patrimônio que se refere à cultura da empresa ou ao seu negócio, podendo tais informações serem de caráter comercial, técnico, financeiro, legal, de recursos humanos, ou de qualquer outra natureza, que tenham valor para a organização e que se encontrem ou não armazenadas em recursos computacionais da empresa, com tráfego dentro da sua infra-estrutura tecnológica.

Os profissionais da Tecnologia da Informação estão ligados ao complexo de atividades relacionadas às diversas formas de utilização dos recursos proporcionados pelo computador. Como conseqüência, são responsáveis por proporem soluções capazes de maximizar o uso das ferramentas tecnológicas, bem como por sugerir medidas tendentes a evitar riscos dos mais diversos tipos para a empresa, seja com relação à perda de dados, vírus, entre outros.

Estas considerações iniciais foram feitas com vistas a delimitar a atividade do gestor de segurança da infor- mação, para que seja possível a análise da responsabilidade que poderá advir no desempenho de suas funções.

O gestor tem o dever de promover o processo de conscientização e treinamento.

Vale ressaltar que é extremamente necessária a interligação entre o setor de auditoria e a área jurídica para criarem um documento apto a conectar aspectos técnicos e preventivos com relação à segurança, posto que através de tal documento será possível atribuir a devida publicação a todos os interessados, direta ou indiretamente, dentro da empresa.

O documento retro mencionado é conhecido como Regulamento Interno de Segurança da Informação

(RISI), que constitui um conjunto de normas e regras básicas de segurança da informação que visam pos- sibilitar o compartilhamento de informações dentro da infra-estrutura tecnológica da empresa através de seus recursos computacionais.

A

eficácia do regulamento depende da vinculação de todas as pessoas que tenham contato com a empre-

sa,

tais como:

• EMPREGADOS: considerando os prepostos da empresa que mantêm vínculo empregatício (CLT);

• PRESTADORES DE SERVIÇOS: tendo em vista os prepostos de empresas contratadas - ou autôno-

mos -, que de qualquer forma estejam alocados na prestação de algum serviço em favor da empresa por

força de contrato de prestação de serviços (sem qualquer vínculo empregatício);

• COLABORADORES: outras pessoas como estagiários, cooperados e quaisquer terceiros que não se

enquadrem no conceito de empregado ou prestador de serviços, mas que, direta ou indiretamente,

exerçam alguma atividade dentro ou fora da empresa.

Assim, dentro do regulamento serão inseridas cláusulas relativas aos Usuários da rede; senhas e amplitude de acesso a arquivos; controle de ameaças (vírus, hackers etc.); uso e instalação de software e hardware; utilização de equipamentos (computadores, impressoras, notebooks, palmtops etc.); procedimentos de acesso à Internet e ao correio eletrônico; dentre outras.

O Termo de Uso de Segurança da Informação (TUSI) também deve ser utilizado pela empresa. O TUSI

consiste em um compromisso assumido individualmente de maneira expressa por empregados, presta-

dores de serviços ou colaboradores declarando estarem subordinados ao cumprimento das atribuições

Assim, é recomendável que elabore uma espécie de relatório com a descrição da atual situação da empre-

e

responsabilidades advindas do RISI.

sa, no que tange à tecnologia empregada.

 

O

TUSI é um documento importante, na medida em que garante a ciência das partes e poderá ser um

A partir daí, um estudo deverá ser dirigido a este relatório para a verificação da existência de “brechas”

para problemas de cunho econômico e jurídico.

excelente meio de prova, já que a pessoa se compromete por escrito.

Depende do gestor a divulgação do regulamento a todos os interessados.

Como visto, o gestor deve seguir os padrões delimitados pelo documento que outorgou esta função e estar imbuído de boas práticas; afinal, cabe a ele fiscalizar o cumprimento das normas de segurança e ela- borar projetos para garanti-la.

Ninguém pode alegar em sua defesa o desconhecimento das normas vigentes. Portanto, o gestor deverá estar sempre atualizado a respeito dos aspectos jurídicos que envolvem sua profissão.

É muito importante que exista este tipo de conhecimento, pois o gestor de segurança poderá ser respon- sabilizado, civil e criminalmente, por seus atos, seja em virtude da conivência com certos comportamen- tos, ou, ainda, por não ter agido com o cuidado e diligência do “homem médio”, nos seguintes termos:

Código Penal:

Condescendência criminosa

Art. 320 - Deixar o funcionário, por indulgência, de responsabilizar subordinado que cometeu infração

no exercício do cargo ou, quando lhe falte competência, não levar o fato ao conhecimento da autoridade competente:

Pena - detenção, de quinze dias a um mês, ou multa.

Art. 13 - O resultado, de que depende a existência do crime, somente é imputável a quem lhe deu causa. Considera-se causa a ação ou omissão sem a qual o resultado não teria ocorrido. (Redação dada pela Lei nº 7.209, de 11.7.1984)

Superveniência de causa independente

§ 2º - A omissão é penalmente relevante quando o omitente devia e podia agir para evitar o resultado.

O dever de agir incumbe a quem: (Redação dada pela Lei nº. 7.209, de 11.7.1984)

a) tenha por lei obrigação de cuidado, proteção ou vigilância;

b) de outra forma, assumiu a responsabilidade de impedir o resuLtado;

c) com seu comportamento anterior, criou o risco da ocorrência do resultado.

Código Civil:

Art. 1.011. O administrador da sociedade deverá ter, no exercício de suas funções, o cuidado e a diligên- cia que todo homem ativo e probo costuma empregar na administração de seus próprios negócios.

Art. 1.016. Os administradores respondem solidariamente perante a sociedade e os terceiros prejudi- cados, por culpa no desempenho de suas funções. Ademais, o funcionário, em razão do cargo ou função que ocupa, poderá tomar conhecimento de informações sigilosas, como componentes de fórmulas cri- adas por empresas que elaborem produtos; detalhes sobre a vida de clientes que sejam partes em deman- das judiciais; dados cadastrais de clientes; planejamento para desenvolver a atividade comercial durante o ano; entre outras.

Por tais motivos, alguns dispositivos do Código Penal poderão incidir:

Divulgação de segredo

Art. 153 - Divulgar a alguém, sem justa causa, conteúdo de documento particular ou de correspondên- cia confidencial de que é destinatário ou detentor e cuja divulgação possa produzir dano a outrem:

Pena - detenção de um a seis meses ou multa.

§ 1º Somente se procede mediante representação.

§ 1o-A. Divulgar, sem justa causa, informações sigilosas ou reservadas - assim definidas em lei - contidas ou não nos sistemas de informações ou banco de dados da Administração Pública:

Pena - detenção de 1 (um) a 4 (quatro) anos e multa.

§ 2o Quando resultar prejuízo para a Administração Pública, a ação penal será incondicionada.

Art. 154 - Revelar alguém, sem justa causa, segredo de que tem ciência em razão de função, ministério, ofício ou profissão e cuja revelação possa produzir dano a outrem:

Pena - detenção de 3 (três) meses a 1 (um) ano ou multa. Parágrafo único - Somente se procede mediante representação.

Não obstante isso, pode acontecer de um funcionário acessar, sem a devida autorização, documentos ou informações confidenciais de que não lhe seja permitido o conhecimento. Assim, ocorrerá o descumpri- mento de ordens de seu empregador ou superior hierárquico, podendo o empregado ser demitido por

justa causa em virtude de ato de indisciplina ou de insubordinação (artigo 482, alínea “h” da CLT).

Ademais, pode o gestor deparar-se com casos de concorrência desleal, que são as práticas antiéticas ou ilegais no exercício da atividade econômica. Inclusive, o próprio administrador poderá incorrer em tais práticas.

Por isso, é válido apontar os casos de concorrência desleal, previstos na Lei 9.276/96, para que o gestor saiba reconhecer caso esteja diante de alguma das hipóteses:

Art. 195. Comete crime de concorrência desleal quem:

I- publica, por qualquer meio, falsa afirmação em detrimento de concorrente, com o fim de obter vantagem; II- presta ou divulga, acerca de concorrente, falsa informação, com o fim de obter vantagem; III- emprega meio fraudulento, para desviar, em proveito próprio ou alheio, clientela de outrem; IV- usa expressão ou sinal de propagandas alheias, ou os imita, de modo a criar confusão entre os produtos ou estabelecimentos; V- usa, indevidamente, nome comercial, título de estabelecimento ou insígnia alheios ou vende, expõe ou oferece à venda ou tem em estoque produto com essas referências; VI- substitui, pelo seu próprio nome ou razão social, em produto de outrem, o nome ou razão social deste, sem o seu consentimento; VII- atribui-se, como meio de propaganda, recompensa ou distinção que não obteve; VIII- vende ou expõe ou oferece à venda, em recipiente ou invólucro de outrem, produto adulterado ou falsificado, ou dele se utiliza para negociar com produto da mesma espécie, embora não adulterado ou falsificado, se o fato não constitui crime mais grave; IX- dá ou promete dinheiro ou outra utilidade a empregado de concorrente, para que o empregado, fal- tando ao dever do emprego, lhe proporcione vantagem; X- recebe dinheiro ou outra utilidade, ou aceita promessa de paga ou recompensa, para, faltando ao dever de empregado, proporcionar vantagem a concorrente do empregador; XI- divulga, explora ou utiliza-se, sem autorização, de conhecimentos, informações ou dados confidenciais, utilizáveis na indústria, comércio ou prestação de serviços, excluídos aqueles que sejam de conhecimen- to público ou que sejam evidentes para um técnico no assunto, a que teve acesso mediante relação con- tratual ou empregatícia, mesmo após o término do contrato; XII- divulga, explora ou utiliza-se, sem autorização, de conhecimentos ou informações a que se refere o inciso anterior, obtidos por meios ilícitos ou a que teve acesso mediante fraude; XIII- vende, expõe ou oferece à venda produto, declarando ser objeto de patente depositada, ou conce- dida, ou de desenho industrial registrado, que não o seja; ou menciona-o, em anúncio ou papel comercial, como depositado ou patenteado, ou registrado, sem o ser;

XIV- divulga, explora ou se utiliza, sem autorização, de resultados de testes ou outros dados não divulga- dos, cuja elaboração envolva esforço considerável e que tenham sido apresentados a entidades governa- mentais como condição para aprovar a comercialização de produtos. Pena - detenção de 3 (três) meses a 1 (um) ano ou multa.

§ 1º Inclui-se nas hipóteses a que se referem os incisos XI e XII o empregador, sócio ou administrador da empresa, que incorrer nas tipificações estabelecidas nos mencionados dispositivos.

§ 2º O disposto no inciso XIV não se aplica quanto à divulgação por órgão governamental competente para autorizar a comercialização de produto, quando necessário, para proteger o público.

Deve ser ressaltado que vultosas indenizações poderão ser fixadas para compensação dos danos causa- dos, tendo em vista o ato ilícito ou ilegal, sendo primordial a adoção de medidas tendentes a evitá-los, pois o sucesso de um empreendimento depende, dentre outras coisas, do grau de zelo de seus profis- sionais.

Renato M. S. Opice Blum – advogado e economista; Colaborou: Rubia Maria Ferrão - autora da monografia “Monitoramento de e-mails versus Privacidade – Aspectos Jurídicos Relevantes”.

7. COBIT, ITIL, NBR 17799: OS PADRÕES

O uso, pela Organização, de práticas comprovadas identifica que ela está alinhada com padrões internacionais e facilitará qualquer audi- toria ou avaliação da organização no que se refere à proteção da informação.

O Profissional de Segurança deve desenvolver ações alinhadas

com as melhores práticas para a proteção e controle da infor- mação. Como padrões de mercado aceitos e seguidos pela grande maioria das organizações e governos encontram-se o COBIT, ITIL e a Norma NBR ISO/IEC 17799.

Essas práticas recomendam a existência de processo formal de conscientização em segurança da informação, porém, não orien- tam como fazer essa conscientização. Então, por que devemos considerar essas práticas? Porque, de algu- ma forma, estaremos seguindo ou respondendo questionamentos que tomam por base essas práticas. Além disso, todas as melhores práticas enfatizam que o elo mais fraco da segurança é exatamente o ser humano.

o elo mais fraco da segurança é exatamente o ser humano. Precisamos estar cientes que cada

Precisamos estar cientes que cada uma dessas práticas tem abordagem e escopo diferentes. Neste capí- tulo, faremos uma breve descrição de cada um desses 3 padrões e sua inter-relação com a SI.

COBIT - COMMON OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY

O COBIT é uma estrutura de relações e processos para dirigir e controlar o ambiente de TI, orientan-

do-a às metas da Organização e oferecendo métricas estruturadas com base no BSC em suas 4 perspec- tivas: Financeira, Clientes, Processos e Inovação/Aprendizado.

Além da Auditoria de Sistemas, o COBIT é muito utilizado para a Governança de TI, seguindo padrões para um ambiente globalizado.

Cronologia de evolução do COBIT:

• 1996: 1ª versão elaborada pela ISACF - Information Systems Audit and Control Foundation;

• 1998: 2ª versão, incluindo documentação de alto nível, controles, objetivos detalhados e criação do Implementation Tool Set;

• 2000: 3ª versão, com o foco em Governança de TI;

• 2005: versão 4, com adequações para melhor integração com regulamentações e compliance (Basiléia e Sarbanes-Oxley).

O

COBIT não exclui qualquer padrão aceito para controles de Segurança da Informação e Auditoria; ele

os

agrega às suas recomendações! Por exemplo:

• Padrões técnicos: ISO, EDIFACT etc.;

• Códigos de conduta: OECD, ISACA, Conselho Europeu etc.;

Critérios de Qualificação para Sistemas e Processos de TI: ITSEC, TCSEC, ISO9000, SPICE, TickIT, Common Criteria etc.;

Padrões profissionais para Auditoria: COSO, IFAC, AICIPA, CICA, ISACA, IIA, PCIE, GAO.

O

COBIT 4.0 trata TI em 4 dimensões, denominados Domínios:

• Planejar e Organizar: Implica uma visão estratégica para a Governança de TI, que busca a melhor realização dos objetivos organizacionais na área tecnológica;

• Adquirir e Implementar: Qualifica tanto a Identificação de soluções a serem desenvolvi- das e/ou adquiridas como a implementação e integração ao ambiente, assegurando que o ciclo de vida destas soluções é adequado ao ambiente organizacional; • Entregar e Suportar: Domínio responsável em verificar o tratamento de serviços deman-

dados pelos processos de Negócios, recursos para a continuidade operacional, o treinamento e a segurança das operações. É neste domínio que se assegura a entrega de informações através do processamento de dados dos sistemas aplicativos, bem como todo o suporte necessário para sua operação no mal ou em situações anômalas;

• Monitorar: Administra o processo de controles da organização de TI e a garantia de inde-

pendência nas Auditorias existentes. É fundamental para avaliar contínua e regularmente a

qualidade e a conformidade dos controles implantados.

Nesses 4 domínios existem, de forma detalhada, 34 processos de controles de alto nível e para estes

processos foram criados 318 objetivos de controles necessários para analisar e atender aos requisitos de

TI e, conseqüentemente, aos objetivos do Negócio.

Como resultado de avaliação desses objetivos, criam-se as estratégias para mitigação de riscos existentes, baseados nos resultados obtidos.

Para cada um dos 34 processos, o COBIT contempla os Fatores Críticos de Sucesso e determina os Indicadores de Resultados (KGI) e Indicadores de Performance (KPI), que geram as métricas para a avali-

ação da Governança de TI, para Diretrizes de Auditoria e para a Segurança da Informação.

O COBIT apresenta um modelo para atestar a maturidade de cada processo em uma escala de 5 está-

gios possíveis, sendo eles:

0 – Não existe;

1 – Inicial;

2 – Repetível e intuitivo;

3 – Processos definidos;

4 – Gerenciados;

5 – Processos otimizados.

Para o Security Officer, o COBIT é utilizado como um modelo para um Programa de Segurança da Informação, INTEGRANDO segurança com os objetivos de TI relacionados aos negócios e também estruturando Políticas, Normas e Procedimentos de Segurança da Informação.

Nos Processos, existem objetivos focados para SI, tais como:

DS5: Garantir a Segurança dos Sistemas; PO9: Avaliar e Gerenciar Riscos de TI; DS3: Gerência de Performance e Capacidade; DS7:Treinamentos a Usuários; DS10: Gerência de Problemas e Incidentes; DS12: Gerência de Ambientes (Segurança Física).

A estratégia do COBIT 4.0 faz com que ele assuma diversas funções dentro da Organização:

• Uma Ferramenta: para a Governança de TI;

• Aderência da TI ao Negócio: Requisições orientadas e fundamentadas das áreas-fim da Organização, atendendo aos objetivos estratégicos;

• Garantia de Qualidade: Harmonia e detalhamento para atender aos padrões e práticas de mer- cado, tais como: ITIL, ISO 17799, PMBOK e PRINCE2;

• Gestão de Risco: Controles objetivos e detalhados;

• Governança Corporativa: habilita e facilita a Arquitetura empresarial (RACI–Responsible, Accountable, Consulted and Informed);

• Procedural: Definição de fluxos e processos de TI;

• Comunicação: Unifica a linguagem e divulga os processos deTI, em todos os níveis da Organização;

• Feedback: estimula os comentários, sugestões e recomendações de evolução.

INFOSEC COUNCIL – 24

Referências:

IT Governance Institute – COBIT 3.0 e 4.0 www.itgovernance.org e www.isaca.org Information System Control Journal volume 6 2005

VALMIR SCHREIBER, CISA – presidente da ISACA-SP

ITIL – IT INFASTRUCTURE LIBRARY

O ITIL é um conjunto de padrões que provê os fundamentos para o processo de gerenciamento dos recursos tecnológicos da TI.Apresenta uma abordagem prática dos processos de produção e entrega dos serviços, baseada em experiência. Seu foco, portanto, é no serviço prestado pela TI das Organizações, visando aumentar a qualidade desses serviços.

Na Gestão de Segurança, o ITIL possui um processo específico para a Segurança da Informação, enfati- zando a importância do adequado gerenciamento da SI e considerando os SLA’s entre os processos do Negócio e os da TI.Além disso, recomenda que o gerenciamento de Segurança é parte integrante do tra- balho de cada Gerente, em todos os níveis.

FUNDAMENTOS - Valor da Informação:

• Confidencialidade;

• Integridade;

• Disponibilidade;

• Privacidade;

• Anonimato;

• Autenticidade;

• Não Repúdio.

NEGÓCIO
NEGÓCIO

SLA

• Autenticidade; • Não Repúdio. NEGÓCIO SLA T E C N O L O G I

TECNOLOGIA

PLANEJAMENTO DA SEGURANCA
PLANEJAMENTO
DA SEGURANCA

INFOSEC COUNCIL – 25

ATUAÇÃO RECOMENDADA: Prevenção/ Ameaça Redução Detecção Incidente Repressão Danos Correção
ATUAÇÃO RECOMENDADA:
Prevenção/
Ameaça
Redução
Detecção
Incidente
Repressão
Danos
Correção
Avaliação
Recuperação

O ITIL é dividido em 10 Processos Principais e 4 Processos de Apoio (satélites). Os Processos Principais são agrupados em dois Grupos:

Grupo de Suporte aos Serviços (Service Support Set):

• Gestão de Configuração e de Ativos;

• Controle de Incidentes / Help Desk;

• Gestão de Problemas;

• Gestão de Mudanças;

• Gestão de Liberação.

Grupo de Serviços Prestados (Service Delivery set):

• Gestão de Níveis de Serviço (SLA);

• Gestão de Disponibilidade;

• Gestão de Desempenho e Capacidade;

• Plano de Continuidade de Negócios;

• Custeio e Gestão Financeira.

INFOSEC COUNCIL – 26

Os Processos de Apoio são:

• SLA;

• Segurança;

• Informação;

• Rede e Operações.

Como itens fundamentais para a Segurança, o ITIL recomenda fortemente alguns procedimentos que possibilitam essa evolução:

• Catálogo de Serviços: a TI deve publicar na Organização um descritivo de seus serviços, com as respectivas condições, que atendem a cada requisito do Negócio;

• OLA’s (Operational Level Agreement): deve ser estabelecido com cada tomador INTERNO de

serviço; é um SLA mais “enxuto”, mas prevendo integralmente os serviços e suas condições, inclu- sive custos internos;

• UC’s – Underpinning Contracts: são aqueles estabelecidos com provedores externos, nos quais

devem ser previstas todas as condições, incluindo bônus, penalidades, condições de saída, etc;

• BD dos ativos existentes e suas configurações atualizadas, incluindo SW, HW, documentação

atualizada, Procedimentos e classificação quanto à Segurança (ver quadro “Valor da Informação”, acima);

• Criação de um Service Desk como ponto focal de contato para todos os Usuários de TI; é a

área “dona” de todos os incidentes e seu foco é a continuidade de serviço e manutenção do SLA; incluem-se aí os incidentes de Segurança;

• Gestão de Problemas: nessa área são estudados os incidentes, determinando sua relação, causas e medidas para evitá-los; essa abordagem permite detectar “brechas” de Segurança e deve pre- ver forte documentação dos incidentes e soluções;

• Gestão de Mudanças: coordena TODAS as mudanças em infra-estrutura de TI, apóia-se na do- cumentação dos incidentes e é responsável end-to-end da mudança;

OBS: Falhas na Gestão de Mudanças são, historicamente, as causas mais freqüentes de incidentes de Segurança.

INFOSEC COUNCIL – 27

• Comitê de Mudanças: autoriza, avalia e aceita as mudanças necessárias; deve ter representantes

de todas as áreas (TI, Segurança e Negócio); facilita a introdução das medidas de Segurança e sua

evolução; detecta novas vulnerabilidades;

• Gestão de Liberação: seu objetivo é controlar a implantação e a distribuição de novas versões

de SW; sua ação é disparada pelo Comitê de Mudanças e controla todos os SW corretos, reco- nhecidos, registrados, legais e autorizados; deve prever sempre uma situação de rollback em caso de problemas.

Referências:

www.itsmf.com • www.itsmf.com.br • www.itil.com.uk • www.cert.br • www.itil.org.uk

Valmir Schreiber – presidente da ISACA-SP Astor Calasso – diretor da ISACA-SP

A NORMA NBR ISO IEC 17799:2005

A NBR ISO IEC 17799 é um código de boas práticas para a gestão da Segurança da Informação, atua-

lizado pelo Comitê Internacional da ISO IEC.

Aprovada pela ISO (em Genebra - 15/06/2005), é o resultado de um trabalho de cinco anos, que envolve aproximadamente 100 especialistas em SI de 35 Países.

Mais de 4500 comentários foram analisados e discutidos nas várias reuniões realizadas em Seoul, Berlin, Varsóvia, Québec, Paris, Cingapura, Fortaleza e Viena, entre 2001 e 2005.

A nova versão apresenta os mais modernos conceitos sobre Gestão da Segurança da Informação exis-

tentes no mercado. As principais mudanças foram:

1) Tornou a norma “user friendly”, ou seja, de fácil leitura e entendimento. Apresenta o OBJETIVO DO CONTROLE, define qual o CONTROLE a ser implementado e apresenta DIRETRIZES para a sua imple- mentação. Além disso, ainda apresenta INFORMAÇÕES ADICIONAIS, como, por exemplo, aspectos legais e referências a outras normas.

INFOSEC COUNCIL – 28

2) Foi criada uma seção específica sobre Análise/Avaliação e tratamento de riscos. Essa seção recomen- da que:

a. A análise/avaliação de riscos de SI inclua um enfoque para estimar a magnitude do risco e a comparação contra critérios definidos; b.As análises/avaliações de riscos de SI periódicas, contemplando as mudanças nos requisitos de SI e na situação de risco; c.A análise/avaliação de riscos de SI tenha um escopo claramente definido, que pode ser em toda a Organização ou em parte dela.

A análise/avaliação de riscos é uma das três fontes principais para que uma Organização identifique os

seus requisitos de SI, além de legislações vigentes, estatutos, regulamentações e cláusulas contratuais que

a Organização deva atender; e os princípios, objetivos e requisitos do negócio que venha apoiar as ope- rações da Organização.

3) Existe uma nova definição de SI, agora contemplando outras propriedades: autenticidade, não repúdio

e confiabilidade. Os componentes principais para a preservação e proteção da informação, como a con- fidencialidade, a integridade e a disponibilidade, foram mantidos na nova definição.

4) O conceito de ativos foi ampliado para incluir pessoas e imagem/reputação da Organização, além dos ativos de informação, ativos de software, ativos físicos e serviços já existentes na versão 2000.

5) Uma nova seção sobre Gestão de Incidentes de SI.

6) Os controles existentes foram atualizados, melhorados e incorporados com outros controles.

7) 17 novos controles foram incorporados na versão 2005.

No Brasil, a ABNT (Associação Brasileira de Normas Técnicas) lançou no dia 24/08/2005 a versão NBR ISO IEC 17799:2005; a partir de 2007 será numerada como NBR ISO IEC 27002.

INFOSEC COUNCIL – 29

PORQUE ADOTAR A NBR ISO IEC 17799:2005

As normas publicadas pela Organização Internacional de Normalização, a ISO, têm uma grande aceitação no mercado. Um exemplo disso é a norma ISO 9001:2000, que trata da Gestão da Qualidade, conside- rada como a mais difundida norma da ISO que existe no mundo.

No caso da NBR ISO IEC 17799, que é um Código de Boas Práticas para a Segurança da Informação, a sua aplicação é um pouco mais restrita que a ISO 9001:2000, pois ela não é uma norma voltada para fins certificação.

Entretanto, a NBR ISO IEC 17799 pode ser usada pela maioria dos setores da economia, pois todas as Organizações, independentemente do seu porte ou do ramo de atuação, do setor público ou privado, precisam proteger as suas informações sensíveis e críticas.

As principais recomendações da NBR ISO IEC 17799 estão detalhadas nas 11 seções abaixo, totalizando 39 categorias principais de SI:

• Política de Segurança da Informação;

• Organizando a Segurança da Informação;

• Gestão de Ativos;

• Segurança em Recursos Humanos;

• Segurança Física e do Ambiente;

• Gerenciamento das Operações e Comunicações;

• Controle de Acesso;

• Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;

• Gestão de Incidentes de Segurança da Informação;

• Gestão da Contunuidade de Negócios;

• Conformidade.

A NOVA FAMÍLIA DA NORMAS ISO IEC 27000

Como forma de dar suporte à implantação da ISO IEC 27001:2005, o Comitê da ISO IEC que trata da segu- rança da informação decidiu pela criação de uma família de normas sobre Gestão da Segurança da Informação. Esta família foi batizada pela série ISO IEC 27000, a exemplo da série ISO 9000 das normas de qualidade e da série ISO 14000 das normas sobre meio ambiente.

INFOSEC COUNCIL – 30

Esta nova família estará relacionada com os requisitos mandatórios da ISO IEC 27001:2005, como, por exemplo, a definição do escopo do Sistema de Gestão da Segurança da Informação, a avaliação de riscos, a identificação de ativos e a eficácia dos controles implementados.

Na reunião do Comitê ISO IEC, em Nov/2005 (Kuala Lumpur-Malásia), foram aprovadas as seguintes nor- mas e projetos de norma desta nova família:

Número: ISO IEC NWIP 27000 (NWIP= New Work Item Proposal) Título: Information Security Management Systems – Fundamentals and Vocabulary Situação: Ainda nos primeiros estágios de desenvolvimento. Previsão de publicação como norma inter- nacional: 2008/2009. Aplicação: Apresentar os principais conceitos e modelos de SI.

Número: ISO IEC 27001:2005 Título: Information Security Management Systems - Requirements Situação: Norma aprovada e publicada pela ISO em 15/10/2005. A ABNT publicará como Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006. Aplicação: Todas as Organizações; define requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI. É a norma usada para fins de certificação e substitui a norma Britânica BS 7799-2:2002. Será a base para as Organizações que desejem implantar um SGSI.

Número: ISO IEC 27002:2005 (Atual ISO IEC 17799) Título: Information Technology – Code of Practice for IS Management Situação: Norma aprovada e publicada pela ISO em 15/06/2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 17799 no dia 24/08/2005. A partir de 2007, será numerada como NBR ISO IEC 27002. Aplicação: Guia prático de diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de SI em uma Organização. Os objetivos de controle e os controles atendem aos requisitos iden- tificados na análise/avaliação de riscos.

Número: ISO IEC 1 st WD 27003 Título: Information Security Management Systems - Implementation Guidance Situação: Em desenvolvimento, denominado de WD - Working Draft. Previsão de publicação como norma internacional: 2008-2009. Aplicação: Fornecer um guia prático para implementação de um SGSI, baseado na ISO IEC 27001.

INFOSEC COUNCIL – 31

Número: ISO IEC 2nd WD 27004 Título: Information Security Management - Measurements Situação: Vários comentários já foram discutidos e incorporados ao projeto. Previsão de publicação como norma internacional: 2008-2009. Aplicação: Fornece diretrizes com relação a técnicas e procedimentos de medição para avaliar a eficá- cia dos controles de SI implementados, dos processos de SI e do SGSI.

Número: ISO IEC 2 nd CD 27005 Título: Information Security Management Systems - Information Security Risk Management Situação: Em estágio avançado, vem sendo discutido há mais de 2 anos. Previsão de publicação como norma internacional: 2007. Aplicação: Fornece diretrizes para o gerenciamento de riscos de SI.

Ariosto Farias Jr.– Delegado do Brasil do Comitê ISO IEC JTC1/SC27, Coordenador do ABNT/CB21/SC02 e Chairman do THE BRAZILIAN 7799 USER GROUP

INFOSEC COUNCIL – 32

8. PROGRAMAS DE CONSCIENTIZAÇÃO EM SI

Qual o valor informação que você possui?

A pergunta acima é fundamental para iniciar a maioria das campanhas sobre segurança

da informação em empresas ou instituições.

Na verdade, quando falamos em segurança da informação não nos referimos apenas

a algo que pertence somente à instituição na qual realizamos o nosso trabalho.A segu- rança da informação traz consigo um pouco de cada um de nós porque somos nós quem produzimos a informação. Portanto, alterar as informações institucionais é o mesmo que alterar informações pessoais, e ninguém deseja ter sua privacidade inva- dida ou seus segredos íntimos revelados. A preservação da intimidade é algo natural

às pessoas e às sociedades humanas.

é algo natural às pessoas e às sociedades humanas. É por esse motivo que o responsável

É por esse motivo que o responsável pela conscientização em relação à segurança da informação deve

iniciar seu trabalho pelas pessoas que trabalham na instituição e expandir gradativamente sua conscienti-

zação para a sociedade. Somente assim poderá atingir corações e mentes, sensibilizando-os para um tema tão delicado e com presença tão constante na sociedade contemporânea.

Vejamos um pequeno exemplo de como fazer um trabalho de conscientização.Tomaremos como exem- plo o relato de uma experiência sobre a utilização do e-mail coorporativo.

Certa vez, trabalhando em uma Organização pública eu precisava alertar as pessoas das vulnerabilidades

a que elas estavam expostas ou que expunham suas instituições com o simples uso do e-mail via Internet.

Então enviei, durante uma campanha de conscientização, um e-mail com o seguinte texto, que expressa a

mais pura verdade técnica:

“Você sabia que os administradores dos servidores de rede, em especial os dos servidores de e-mail, podem ler seus e-mails com grande facilidade?”

Como podemos constatar, o e-mail acima teve por objetivo despertar no Usuário um sentimento de invasão de privacidade, já que o fato nele relatado não é de conhecimento da maioria das pessoas que utilizam os sistemas de correio eletrônico.

As reações ao e-mail foram diversas. A primeira veio da área de Tecnologia da Informação, que nos acusou

INFOSEC COUNCIL – 33

de quebrar a confiança do Usuário na sua área e aproveitaram a oportunidade para informar que jamais

os administradores da instituição fizeram qualquer tipo de acesso a contas particulares dos servidores. A

segunda reação veio dos Usuários, que queriam saber se realmente essa prática existia na instituição. Para acalmar os ânimos, comunicamos que o e-mail apenas informava que era fácil aos administradores de rede

terem acesso a tudo que trafega pela sua rede de computadores, e que o alerta contido no e-mail não significava que os mesmos estivessem fazendo isso.

Polêmica à parte, a maioria dos nossos Usuários, a partir de uma simples mensagem de e-mail, ficou bas- tante conscientizada da necessidade de cuidar do que escrevem em suas mensagens eletrônicas, e apren- deram que a única mensagem segura para se postar em um e-mail é aquela que em nenhuma hipótese

as comprometeriam - a qual poderia ser lida por qualquer um durante o percurso entre o emissor e o destinatário.

Outro ponto interessante que pode ser tratado com facilidade diz respeito à classificação das infor- mações.Toda informação, seja ela da instituição ou pessoal, tem um valor intrínseco, mas somente algu- mas delas possuem potencial para causar prejuízo se forem disponibilizadas de maneira inadequada.

Alguns autores dizem que a diferença de uma pessoa bem sucedida e uma pessoa comum é a sua capaci- dade de decidir e separar adequadamente o que é urgente e o que é importante. Com as informações acontece algo bastante semelhante. O segredo do sucesso está em proteger aquelas mais importantes. Quando falamos sobre o assunto nas instituições, a maioria das pessoas pensa assim: “De novo aqueles paranóicos da segurança querendo colocar o carimbo de secreto em todos os documentos e mandan- do aquela cartinha dizendo que quem revelar os segredos vai para rua”. É justamente esse comporta- mento negativo em relação a segurança que precisa ser revertido.

O assunto, como disse, é de difícil abordagem e não vale a pena para quem precisa chegar num auditório

falando sobre a importância da informação e sobre os graus de sigilo adotados pela sua instituição. Ao invés disso, faça o seguinte: implemente um plano de visitas aos locais de trabalho de cada pessoa, do dire- tor ao mais humilde funcionário, reúna um grupo de no máximo dez pessoas e chegue no horário em que todos estejam envolvidos em suas atividades de rotina. Eu descobri nas minhas visitas que o único papel que as pessoas conseguem atribuir de maneira palpável à noção de valor é ao papel moeda. Isso mesmo, ao dinheiro. Ele é um excelente assistente para o seu trabalho de informar ao Usuário da importância de atribuir segurança e proteção às informações.

Na maioria das vezes você vai encontrar sobre as mesas um número considerável de documentos sem o menor tratamento de segurança, quer seja em meio físico ou digital. Sugira que cada colaborador anexe

INFOSEC COUNCIL – 34

a cada informação produzida uma nota que expresse o seu valor. Feito isso, verifique se algum documen-

to importante será deixado sobre a mesa após o fim da rotina diária ou mesmo numa simples saída para

o almoço.

Como poderemos verificar, é muito fácil fazer uma campanha de segurança quando buscamos envolver

nossos colaboradores e executivos de forma pessoal. Outro fator muito importante é solicitar a colabo- ração de todos os setores da empresa. Faça uma pequena reunião com todos: jurídico, recursos humanos

e capacitação. Conscientize todos sobre a importância de sua participação para o sucesso da ação.

Você tem em mãos um assunto que está na moda.Todos nós estamos permanentemente expostos aos riscos na sociedade moderna. Ajudar as pessoas com a sua proteção pessoal é a melhor maneira de se criar um ambiente positivo em relação à segurança da informação no mundo corporativo.

Ao compreendermos o valor das informações que estão em nossas mãos poderemos aumentar o nível de segurança na sociedade, e isso só é possível pela conscientização. Lembre-se de João Batista, aquele personagem bíblico que falava que era a voz que clamava no deserto. O responsável pela segurança da informação é o João Batista da instituição.

TC João Rufino de Sales Revisão – Marcelo Felipe Moreira Persegona M.S.C.

INFOSEC COUNCIL – 35

9. AMBIENTE FÍSICO E AMBIENTE VIRTUAL: TRATAMENTOS ISOLADOS?

Transmitimos e queremos proteger a informação independente de onde ela esteja: ambiente físico, ambiente virtual ou na mente das pessoas.

O

ambiente físico deve ser contemplado no processo de conscientização

da

informação do Usuário, o que é mais fácil nas empresas onde já existe

um bom tratamento das questões de segurança patrimonial. Em geral, nes-

sas empresas também já existe uma percepção clara da importância das normas e de seu cumprimento, o que faz com que a migração dessa per- cepção para o ambiente virtual se dê de forma natural, desde que esti- mulada.

Importante é dar ao Usuário uma visão clara de que as informações a pro- teger estão por toda parte, de modo que os ambientes físico e virtual não podem ser tratados de maneira excludente ou isolada.

não podem ser tratados de maneira excludente ou isolada. Com efeito, a livre circulação de informações

Com efeito, a livre circulação de informações é condição de vida e de trabalho, de acesso a tecnologias e a métodos de produção, o que faz com que ela esteja em toda parte, por necessidade de negócios e de organização social.

Mas a informação também é vital para a atividade criminosa contra as empresas, o que por si justifica a conscientização do Usuário para a importância da proteção das informações nos diversos ambientes em que ela circula.

Um programa de proteção e conscientização pode ser amparado pelo conhecimento de alguns cami- nhos possíveis para a realização dessa proteção e pela integração dos Usuários nas medidas de proteção.

Essa proteção pode começar por um inventário das informações empresariais a serem protegidas, e aí se incluem todas aquelas que poderão ser utilizadas em prejuízo da empresa se forem do conhecimento de outras pessoas além das que delas necessitam para realizar seu trabalho.

Outra providência é a classificação das informações para efeito de uniformização da linguagem dentro da empresa, além dos critérios de classificação para evitar a inclusão de informações sem maior importância, para que não se deixe de incluir dados que, depois, se percebe que eram vitais.

INFOSEC COUNCIL – 36

A lista, que nunca se esgota, inclui planos estratégicos, tecnologia, listas de clientes, dados de funcionários,

orçamentos, dados contábeis e financeiros, idéias, projetos de marketing, planos de fusões e/ou incorpo- rações, estratégias de relações trabalhistas, chegando até a reveses momentâneos e superáveis, mas de impacto negativo sobre a imagem da empresa.

A proteção dessas informações, que estão entre os bens da empresa e integram seus ativos, é parte das

atividades diárias da organização como um todo. Não pode ser vista como responsabilidade de uma área isolada, porque as informações estão no meio que as contém (papéis, disquetes, computadores etc.) e, principalmente, na cabeça de qualquer um que delas tenha conhecimento.

Qualquer programa de proteção de informações deve, portanto, prever ações de proteção de meios e ambientes, além de ser amparado por procedimentos e atitudes dos funcionários, sem o qual não atingirá seus objetivos.

Algumas noções podem orientar programas de divulgação, como, por exemplo, a informação, que é de pro- priedade da empresa e não do funcionário; a discrição, que deve orientar as atitudes de proteção; os pro- cedimentos, que devem estar estabelecidos formalmente etc.

No ambiente físico, podem ser desenvolvidas ações de proteção sobre documentos em geral, originados da empresa ou a ela destinados. Como regra geral, todos os documentos são importantes e são de pro- priedade da empresa, cabendo dispensar-lhe o devido cuidado no recebimento, transporte, manuseio e guar- da, para que possam produzir o efeito desejado.

Essa proteção deve alcançar materiais como impressos, anotações, cópias, carbonos, planos, diagramas, cro- quis, mapas e outros, bem como partes, rascunhos ou fragmentos, além de fotos, negativos, slides, fitas de vídeo e outros suportes de imagens, materiais gráficos das diversas fases de produção de documento clas- sificado, materiais de informática de maneira geral, inclusive listagens.

A proteção desses documentos e materiais somente será efetiva se acompanhada da proteção dos ambi-

entes físicos em que se encontram e aqueles onde são produzidas ou discutidas as informações sensíveis, assim como os sistemas pelos quais essas informações circulam.

Esses tópicos são complexos por tratarem da proteção contra monitoramento, transmissão ou intercep- tação de comunicações, quer verbal, quer por telefone, fax, microondas, rádio, Internet ou o que seja, o que exige controle sobre áreas, conhecimento técnico e equipamentos que permitam detecção de dis- positivos, verificação constante de linhas, acompanhamento de manutenções, limpezas, entregas, retiradas de móveis etc.

INFOSEC COUNCIL – 37

A invasão de sistemas, por seu turno, pode ocorrer por conta da habilidade do invasor, mas pode ocor-

rer também por conta de informações obtidas na própria empresa, sem maiores dificuldades, a não ser que os Usuários internos estejam bem informados e comprometidos com a proteção.

Um Usuário não informado e não comprometido com a empresa pode fornecer informações sensíveis a terceiros nas mais diversas situações, tais como:

• Para demonstrar que é bem informado(a);

• Compulsivamente, sob o efeito de álcool ou outras drogas;

• Em restaurantes e encontros sociais, perto de pessoas que não conhece e que podem estar ali somente porque ele(a) está e porque sabem que costuma falar demais fora da empresa;

• Para agradar pessoas a quem deve favores ou de quem quer favores;

• Por dinheiro ou para obter vantagens;

• Por estar apaixonado(a) por pessoa cujo objetivo é a informação e que não hesita em jogar com emoções para conseguir seu intento, para uso próprio ou a serviço de outros;

• Por estar sendo chantageado(a) etc.

A espionagem industrial é desenvolvida para obter segredos empresariais, geralmente associados ao dife-

rencial competitivo da empresa visada.Traz imensos problemas para governos, empresas, universidades, institutos de pesquisa e outros.

Vemos, então, que é um engano a empresa não dispensar ao assunto a atenção devida; pode ser vítima de espionagem e perder mercado, funcionários, produtos, oportunidades e imagem, sem entender o porquê.

A proteção adequada assenta-se sobre a proteção do ambiente físico, do ambiente virtual e deve contar

com a participação consciente dos Usuários nas medidas e programas de proteção, sem a qual as diver- sas barreiras, físicas ou virtuais, poderão ser vencidas de alguma forma.

Dioniso Campos – Gerente de Seg.Corporativa / Nextel e VP / ASIS e Ricardo Franco Coelho – Coordenador Segurança-SP,VP da ASIS e ABSEG

INFOSEC COUNCIL – 38

10. SI EXTRAPOLANDO A ORGANIZAÇÃO

Quanto mais o Usuário praticar a segurança, mais protegida a Organização estará.

Segurança da Informação pode ser entendida como o processo de proteger informações garantindo sua inte- gridade, disponibilidade e confidencialidade.

A adoção de um modelo corporativo de gestão de segurança da informação permite à organização equa- cionar os desafios de proteção da informação levando em conta elementos essenciais para a segurança:

ambientes físico e lógico, pessoas e processos.

E por que não extrapolar esse modelo para fora da organização e incorporar as melhores práticas de segu-

rança em nossas vidas? A conscientização de nossas famílias no ambiente doméstico é tão importante quan-

to no ambiente corporativo.

No ambiente físico, podemos considerar o cuidado com as mídias de computador (CDs, disquetes, DVDs etc.) onde são armazenados os backups dos computadores domésticos. O cuidado com o manuseio dos próprios computadores seguindo padrões para instalação elétrica e cabeamento de dados, proteção contra danos ambientais (calor, umidade, chuva etc.) e a restrição de alimentos, bebidas e fumo próximos aos equipamentos.

O ambiente lógico traz diferentes ameaças pelo crescente aumento do uso da Internet. O indiscriminado

acesso a diferentes websites abre a possibilidade de infecção dos computadores por softwares maliciosos

como: vírus, bombas lógicas (códigos que permanecem inativos por um determinado período de tempo),

cavalos de tróia (códigos maliciosos “disfarçados” de programas inofensivos) e worms (programas que rodam

de forma independente).

Outro ponto de atenção é o acesso feito a partir de computadores domésticos a websites bancários. Nesse caso, as boas práticas de segurança são tão importantes na empresa como em casa, pois as mais avançadas barreiras eletrônicas de proteção conseguem bloquear a ação dos fraudadores eletrônicos.

Sem orientação adequada, o Internauta doméstico se expõe aos mais variados truques e vulnerabilidades dos fraudadores eletrônicos, que têm como finalidade o roubo de dados bancários para efetuar transações financeiras indevidas.

Também os sites de comércio eletrônico, amplamente acessados a partir do ambiente doméstico, merecem atenção redobrada quando se faz uso de cartões de crédito para o pagamento de compras eletrônicas.

INFOSEC COUNCIL – 39

O elemento humano pode ser considerado fator decisivo para a implementação de boas práticas de segu-

rança fora da organização. Uma nova modalidade de ataque, chamada engenharia social, vem sendo massi- vamente aplicada em pessoas desinformadas e ingênuas.

Os tipos mais comuns de ataques são:

Por telefone: Uma pessoa se identifica como funcionário de uma instituição bancária solicitando a confirmação ou recadas tramento de dados pessoais;

Por e-mail: Uma mensagem solicitando cadastramento de dados pessoais ou informando pendên- cias financeiras remetem o internauta a websites falsos;

Salas de bate-papo (Chat): Os golpistas vão ganhando a confiança das vítimas até obterem seus dados pessoais, como telefone, endereço residencial, endereço escolar etc.;

Pessoalmente: As pessoas são abordadas geralmente por golpistas bem vestidos, educados e que se expressam muito bem, tentando obter algum tipo de informação.

O grande problema é que muitos Internautas domésticos, independentemente da idade, estão dando seus

primeiros passos na Internet e não têm noção dos perigos existentes na “grande rede”.

Muitos provedores de acesso à Internet, e principalmente a mídia, têm dado atenção aos golpes exis- tentes e ajudado na divulgação e prevenção.

Christiane Mecca

INFOSEC COUNCIL – 40

12. CONCLUSÃO

Por muito tempo – e ainda hoje – considerada como um “departamento” ou sim- plesmente uma “atividade a mais” dentro da área de Infra-estrutura de TI, a Segurança da Informação sofreu uma radical mudança em sua percepção dentro das Organizações.

Seja pela crescente e cada vez mais complexa regulamentação emergente, que atribui novas e pesadas responsabilidades aos Gestores das Empresas, seja pela diferenciação exigida pelos respectivos mercados, a SI passa a ser percebida pelo Negócio como um atributo fundamental para a consecução dos seus objetivos estratégicos. Não mais uma restrição de acesso às informações, mas um elemento de qualificação dos processos. Não mais como uma questão téc- nica ou tecnológica, mas um fator que permeia toda a cadeia do Negócio e o viabiliza.

fator que permeia toda a cadeia do Negócio e o viabiliza. E, principalmente, não mais uma

E, principalmente, não mais uma responsabilidade exclusiva de um técnico enclausurado em uma torre sombria, permanentemente debruçado sobre manuais e registros de incidentes, às voltas com temas como vírus, ataques, hackers, dispositivos sensores de incidentes físicos, falta de energia, links corrompidos etc.

A Gestão do Risco tornou-se uma questão de negócio, responsabilizando toda a hierarquia da

Organização, sendo uma preocupação que atinge desde o Board Director até o mais singelo Colaborador.

Co-responsabilidade é a palavra chave. Fundamental então se torna a ampla compreensão dessa questão.

As diversas Áreas da Organização devem cerrar fileiras em torno do tema estabelecendo verdadeiras

parcerias em que a proatividade seja a regra. Por exemplo:

• O Gestor do Negócio estabelece os requisitos básicos para a Operação;

• O Gestor Jurídico deve analisar amplamente e acompanhar o ambiente legal e fiscal, estabele- cendo as regras de adequação e atendimento às regulamentações internas e externas;

• O Gestor Financeiro deve prover o atendimento às imposições dos Acionistas, sua expectativa de retorno e, principalmente, de perenidade do Negócio;

• O Gestor Operacional deve propor alternativas de processos que atendam às regras de

fornecimento dos produtos e serviços;

• O Gestor de TI (CIO, CTO, Sistemas etc.) deve garantir que as boas práticas estejam presentes em cada sistema, desde a sua concepção;

INFOSEC COUNCIL – 41

• A Auditoria Interna, inclusive a de Sistemas, deve zelar para que as regras de negócio sejam respeitadas e cumpridas com segurança e confiabilidade;

• O Gestor de Marketing, junto com o Gestor de RH, deve garantir que as mensagens, as

atribuições e a atitude individual esperadas (e exigidas!) de cada Colaborador sejam por ele co- nhecidas, praticadas e sua responsabilidade seja cobrada;

• O CSO, por fim, deve observar e fazer observar todas as regras de melhor utilização da TI e de operação dos processos criados.

No exemplo acima, pode até parecer que estão simplesmente enumeradas as funções básicas de cada área. E é verdade! A melhor garantia de que os processos de uma Organização tenham uma boa atuação

e de que os investimentos e a sua própria reputação estejam protegidos é a colocação em prática des-

ses princípios fundamentais. Com isso, criar-se-á um ambiente em que as responsabilidades não sejam vis- tas como fronteiras estritamente definidas, mas como uma atribuição constante e permanente; uma questão maior que a todos envolve e afeta.

Uma prática que tem apresentado bons resultados é justamente a criação de Comitês de Segurança da Informação, compostos por representantes de todas as áreas acima mencionadas. É uma forma de unir os diversos interesses setoriais em torno de uma agenda comum.

Não por acaso, este tema de “Formação de Cultura em SI” foi o escolhido como o primeiro trabalho a ser tratado pelo INFOSEC COUNCIL. Ele foi derivado exatamente dessa visão compartilhada pelos

Profissionais do Grupo, com enorme experiência no tema, de que a Cultura é o ponto primeiro de todo

o trabalho a ser desenvolvido pelos Gestores de SI das Organizações.

Pouco ou nada adiantará a Organização empregar esforços, investimentos, planejamento e dedicação à Segurança da Informação se isso tudo não for precedido de uma verdadeira “evangelização” de toda a

Equipe em prol desse ambiente.Afinal, quando tudo falha, a única coisa que pode fazer a diferença – e faz

– é a atitude das pessoas.

Em resumo, todo o trabalho em Segurança da Informação deverá sempre compreender um trabalho de inter-relacionamento e de uma verdadeira formação de Espírito de Equipe dentro da Organização. O compartilhamento de objetivos e o alinhamento estratégico são fundamentais.

Essa é a base.

Astor Calasso - diretor / ISACA-SP

INFOSEC COUNCIL – 42

INFOSEC COUNCIL – 43