Você está na página 1de 92

Gesto da Segurana da Informao

Braslia-DF.
Elaborao

Marne Duarte Boulitreau

Produo

Equipe Tcnica de Avaliao, Reviso Lingustica e Editorao


Sumrio

APRESENTAO.................................................................................................................................. 5

ORGANIZAO DO CADERNO DE ESTUDOS E PESQUISA..................................................................... 6

INTRODUO.................................................................................................................................... 8

UNIDADE I
CONHECENDO A SEGURANA DA INFORMAO................................................................................ 10

CAPTULO 1
INTRODUO E CONCEITOS GERAIS DA SEGURANA DA INFORMAO................................ 10

CAPTULO 2
CLASSIFICAO DA INFORMAO........................................................................................ 18

CAPTULO 3
ANLISE DE RISCOS; TIPOS DE INCIDENTE; ATAQUES SEGURANA DA INFORMAO............. 23

UNIDADE II
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO.......................................................... 29

CAPTULO 1
CRIPTOGRAFIA; SEGURANA FSICA E LGICA....................................................................... 29

CAPTULO 2
MECANISMOS LGICOS PARA GARANTIA DE IDENTIDADE........................................................ 35

CAPTULO 3
MECANISMOS DE PROTEO FIREWALS, IDS, IPS E VPN......................................................... 41

UNIDADE III
SEGURANA ORGANIZACIONAL.......................................................................................................... 50

CAPTULO 1
ESTRUTURANDO A POLTICA DE SEGURANA DA INFORMAO............................................... 50

CAPTULO 2
SISTEMA DE GESTO DE SEGURANA DA INFORMAO SGSI............................................... 63

UNIDADE IV
NORMAS E PADRES............................................................................................................................ 73

CAPTULO 1
ISO 27001 E 27002................................................................................................................ 73
CAPTULO 2
DEMAIS NORMAS E PADRES.................................................................................................. 79

CAPTULO 3
TICA NA COMPUTAO........................................................................................................ 85

REFERNCIAS................................................................................................................................... 90
Apresentao

Caro aluno

A proposta editorial deste Caderno de Estudos e Pesquisa rene elementos que se


entendem necessrios para o desenvolvimento do estudo com segurana e qualidade.
Caracteriza-se pela atualidade, dinmica e pertinncia de seu contedo, bem como pela
interatividade e modernidade de sua estrutura formal, adequadas metodologia da
Educao a Distncia EaD.

Pretende-se, com este material, lev-lo reflexo e compreenso da pluralidade


dos conhecimentos a serem oferecidos, possibilitando-lhe ampliar conceitos
especficos da rea e atuar de forma competente e conscienciosa, como convm
ao profissional que busca a formao continuada para vencer os desafios que a
evoluo cientfico-tecnolgica impe ao mundo contemporneo.

Elaborou-se a presente publicao com a inteno de torn-la subsdio valioso, de modo


a facilitar sua caminhada na trajetria a ser percorrida tanto na vida pessoal quanto na
profissional. Utilize-a como instrumento para seu sucesso na carreira.

Conselho Editorial

5
Organizao do Caderno
de Estudos e Pesquisa

Para facilitar seu estudo, os contedos so organizados em unidades, subdivididas em


captulos, de forma didtica, objetiva e coerente. Eles sero abordados por meio de textos
bsicos, com questes para reflexo, entre outros recursos editoriais que visam tornar
sua leitura mais agradvel. Ao final, sero indicadas, tambm, fontes de consulta para
aprofundar seus estudos com leituras e pesquisas complementares.

A seguir, apresentamos uma breve descrio dos cones utilizados na organizao dos
Cadernos de Estudos e Pesquisa.

Provocao

Textos que buscam instigar o aluno a refletir sobre determinado assunto antes
mesmo de iniciar sua leitura ou aps algum trecho pertinente para o autor
conteudista.

Para refletir

Questes inseridas no decorrer do estudo a fim de que o aluno faa uma pausa e reflita
sobre o contedo estudado ou temas que o ajudem em seu raciocnio. importante
que ele verifique seus conhecimentos, suas experincias e seus sentimentos. As
reflexes so o ponto de partida para a construo de suas concluses.

Sugesto de estudo complementar

Sugestes de leituras adicionais, filmes e sites para aprofundamento do estudo,


discusses em fruns ou encontros presenciais quando for o caso.

Ateno

Chamadas para alertar detalhes/tpicos importantes que contribuam para a


sntese/concluso do assunto abordado.

6
Saiba mais

Informaes complementares para elucidar a construo das snteses/concluses


sobre o assunto abordado.

Sintetizando

Trecho que busca resumir informaes relevantes do contedo, facilitando o


entendimento pelo aluno sobre trechos mais complexos.

Para (no) finalizar

Texto integrador, ao final do mdulo, que motiva o aluno a continuar a aprendizagem


ou estimula ponderaes complementares sobre o mdulo estudado.

7
Introduo
O objetivo desta apostila introduzi-lo aos principais conceitos e boas prticas da
Gesto de Segurana da Informao atual. Aps a sua leitura, espero que voc consiga
aplic-los em seu ambiente de trabalho de maneira a tornar a sua empresa segura o
suficiente aos padres desejados.

Ela est dividida em quatro unidades:

Na Unidade I, Conhecendo Segurana da Informao, fao uma introduo aos


conceitos gerais da segurana de informao de forma que voc possa entender os
principais termos acadmicos e tcnicos utilizados neste tpico; demostro como pode
ser a classificao da informao, pois com ela podemos dar o devido tratamento que ela
necessita; por fim, demonstro o que uma anlise de riscos, quais os tipos de incidentes
e ilustro ataques segurana da informao.

Na Unidade II, Mecanismos de Garantia de Segurana da Informao, nesta unidade


classifico os principais componentes utilizados na segurana lgica como Firewalls, IDS
e IPS, bem como fao a distino entre segurana fsica e lgica. Distino importante
para identificar incidentes.

Na Unidade III, Segurana Organizacional, descrevo os principais mtodos e


documentos da segurana organizacional. Documentos que servem como elementos
norteadores para desenvolvimento e manuteno da segurana de qualquer empresa.

Por ltmo, na Unidade IV, Normas e Padres, ilustro e comento as principais normas
vigentes que devem ser seguidas por todos os profissionais que pretendem implementar
uma boa gesto de segurana de informao na empresa.

Objetivos
Conhecer os conceitos e as nomenclaturas principais usados na gesto de
segurana da informao.

Conhecer mecanismos utilizados para implementar a segurana fsica,


lgica e organizacional em uma empresa.

Conhecer mtodos e documentos, mnimos, necessrios a segurana


organizacional.

Conhecer as normas vigentes a serem seguidas como bom direcionamento


de uma gesto de segurana da informao.

8
9
CONHECENDO A
SEGURANA DA UNIDADE I
INFORMAO

CAPTULO 1
Introduo e conceitos gerais da
segurana da informao

Proteo da informao
O contexto atual de um grande crescimento na conectividade de empresas e pessoas
principalmente em relao grande rede mundial que a internet. Com este aumento,
as empresas cada vez mais se utilizam da tecnologia para expandir seus negcios, com
isto, podemos verificar uma grande dependncia da informao e novas oportunidades
de negcios e como o e-comerce, e-busnisses, e-sales entre outros.

Smola (2003, p. 2) afirma:

Seja para um supermercadista preocupado com a gesto de seu estoque,


seja para uma instituio bancria em busca da automao de suas
agncias bancrias todos decidem suas aes e seus planos com base
nas informaes.

Campos (2006, p. 4) afirma Entendemos que a informao um elemento essencial


para a gerao do conhecimento, para tomada de decises e representa efetivamente
valor para o negcio, dentro de cada um dos processos..

Este aumento de conectividade, da dependncia e da exposio gera uma necessidade


de se manter os servios ativos o mximo de tempo possvel e, para tanto, necessrio
segurana.

A segurana da informao a rea destinada a proteger a informao propriamente


dita e os ativos que a protegem de forma a manter a sua integridade, disponibilidade,
confidencialidade, legalidade e autenticidade.

10
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I

Conceitos relacionados a este tpico:

Manter a integridade de uma informao garantir que a informao


estar correta quando manipulada pelo usurio.

Manter a disponibilidade significa que, quando o usurio necessitar da


informao, ela estar disposio.

Manter a confidencialidade garantir que a informao que foi


armazenada s ser acessada por pessoas devidamente autorizadas.

Manter a legalidade significa que a informao armazenada est em


total conformidade com as legislaes vigentes, bem como com a
poltica de segurana da empresa.

Manter a autenticidade garantir que as pessoas e ativos envolvidos


com a informao sejam realmente quem indicam ser.

de muita importncia que todos os envolvidos com a segurana da informao da


empresa tenham total conhecimento destes conceitos, pois assim estariam procedendo
de acordo com os padres descritos na atualidade.

Contextualizando, os conceitos descritos temos:

Integridade: um arquivo armazenado em um servidor de arquivos deve


ter a garantia que no ser corrompido por um vrus enquanto estiver no
equipamento.

Disponibilidade: este arquivo descrito deve estar disponvel a qualquer


momento que o usurio ou ativo necessite, pois, caso contrrio, seria
como se ele no estivesse no servidor.

Confidencialidade: o mesmo arquivo s deve ser acessado ser acessado


apenas por quem tem este direito, bem como a tarefa executada por este
seja a que realmente possa efetuar.

Legislao: o arquivo em contexto deve conter informaes em


conformidade com a legislao vigente, ou seja, no poderia ser um
filme de pornografia infantil, por exemplo, bem como no deve conter
informaes que a empresa no autorize que seja armazenada, como os
dados pessoais de clientes ou de projetos confidenciais da empresa.

11
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO

Autenticidade: caso este arquivo seja enviado a um parceiro empresarial,


tem de existir a garantia de que tanto o arquivo chegou como tambm o
parceiro realmente quem se props a ser.

Garantindo que estes conceitos esto sendo aplicados por meio de medidas de segurana
aplicadas, um plano diretor desenvolvido sob medida da empresa e (ou) ativos especficos
traz uma segurana de acordo com os padres normatizados atualmente.

Para contextualizar o contedo, fao uma relao com o mundo real indicando se
o problema apresentado est relacionado com a confidencialidade, integridade ou
disponibilidade. Por exemplo:

1. Funcionrios conversando em voz alta no aeroporto sobre a


nova proposta de contrato: neste caso, os funcionrios esto errando
por no manter a confidencialidade da informao. Ao estarem falando em
voz alta, alguma pessoa desautorizada pode escutar e ter conhecimento de
informaes sigilosas que no poderia ter cincia. Quanto integridade e
a disponibilidade no vejo motivo para ter errado.

2. Fogo nas instalaes prediais: aos ter este incidente, pode acontecer
a perda dos trs princpios da segurana da informao. Principalmente
a integridade e a disponibilidade. A integridade claramente afetada,
pois, aps o incndio, a informao que estava armazenada no prdio no
estaria mais ntegra. Da mesma forma, tambm no estaria disponvel
para manuseio. Quanto confidencialidade, pode-se dizer que no,
necessariamente, foi perdida, mas uma parte importante da informao
pode no ter sido totalmente incinerado e consequentemente pessoas
no autorizadas podem ter cincia dela.

3. Arquivo corrompido no servidor: o arquivo, ao estar corrompido,


normalmente no pode se torna impossvel de ser acessado, alm de no
estar mais ntegro. Quanto confidencialidade, ela no afetada, pois
no apenas as pessoas devidamente autorizadas, mas tambm as no
autorizadas, no tero acesso informao.

4. Uso da Internet sem proteo: o uso da internet pela empresa


uma prtica importante para maioria das empresas atuais. Seja como
atividade fim do negcio, no caso de e-comerce, por exemplo, mas
tambm para apenas acesso de e-mail e informaes. Em ambos os
casos, ao se fazer acesso a internet, voc est abrindo uma porta para
o mundo. Por causa disto, importante ter uma proteo adequada a

12
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I

seu negcio pois, por esta porta aberta um atacante pode se apoderar
de suas informaes (quebrando a confidencialidade), pode alter-las
(quebrando a integridade) e tambm pode remov-la do ligar (quebrando
a disponibilidade).

5. Engenharia Social funcionrio passando dados para


terceiros sem inteno disto: importante entender que a inteno
no influencia na anlise de quebra dos conceitos bsicos de segurana
da informao. Isto significa que, mesmo sem a inteno de quebrar a
confidencialidade, um funcionrio, por meio de um ataque de engenharia
social, estaria fazendo isto. No necessariamente este fato tornaria as
informaes indisponveis. Neste caso, a anlise feita apenas pelo fato
desta ao e no da consequncia dela, ou seja, por exemplo, se um terceiro
clonar um crach de um funcionrio, por esta ao ele poder no futuro
quebrar os trs conceitos, mas no momento apenas a confidencialidade
foi quebrada.

O que aconteceria se sua empresa fosse atingida por uma chuva torrencial e
todo um pavimento dela sofresse uma enchente? Faa uma reflexo de quais
conceitos de segurana da informao seriam quebrados.

Ciclo de vida da informao


Outra caracterstica importante que a informao esteja seguindo estes preceitos
em todas as fases de seu ciclo de vida que podemos descreve como: manuseio,
armazenamento, transporte e descarte. Conforme descrito na figura 1.

13
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO

Figura 1.

Fonte: Smola (2003).

Estas fases do ciclo devem ser tratadas igualmente sem prioridades nem desdenho a
nenhuma delas, pois o nvel de segurana atingido ser sempre de acordo com o menor
conseguido em uma delas. como uma corrente que tem como medida de segurana a
do elo mais fraco.

Finalmente, seguindo estes conceitos descritos nas normas vigentes como a ISO 27002,
bem como citados por autores como Marcos Smola e Emlio Nakamura, a empresa
estaria no caminho certo para manter suas informaes em segurana.

importante perceber que, independente do core businesses da empresa, os conceitos


estabelecidos pelos autores dos textos e descritos nesta apostila devem ser observados
para atingir um bom nvel de segurana.

Segundo Marcos Smola (2009), temos as cinco regras, com as quais concordo:

Por fora do hbito, ainda deixo o que passei a considerar Regras de


Ouro:
1. risco faz parte da natureza, basta aprender a encar-lo conscientemente;
2. incidente certo e a diferena est na preparao para administr-lo;
3. tecnologia apenas o meio e no deve estar no foco dos negcios em
geral;

4. bons processos sobrevivem s variaes e valem o investimento, e

5. pessoas so ativos-chave e podem transformar qualquer organizao.

14
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I

Estas regras nos ajudam a identificar problemas corriqueiros encontrados no mercado


na implementao da segurana da informao em uma empresa. Normalmente, existe
uma valorizao na tica tcnica desta relevando e deixando em segundo plano um elo
muito importante nela: a pessoa. muito importante frisar no existe a segurana da
informao em nvel aceitvel sem a participao de todos os colaboradores que fazem
a empresa.

Os sistemas de informao a cada dia aumentam seu espao nas organizaes brasileiras
e mundiais. Este fenmeno faz com que, cada vez mais, elas dependam da informao
e dos ativos que as gerencia para que o negcio continue com o bom rendimento e at
para que ele no sofra um prejuzo ou possa crescer.

Esta dependncia em crescimento uma preocupao para todos. Tanto para os donos
das empresas quanto para os profissionais da rea de tecnologia. Todos se fazem uma
pergunta: como fazer para manter minha informao segura?

Poltica de segurana
A melhor maneira para manter segura a informao, que to importante para
empresa, que exista um ajuste entre a proteo que ser dada a ela com a necessidade
de mostrar a usurios externos a mesma. Para tanto, importante o conhecimento dos
processos da empresa, dos ativos que os protegem e tambm das metodologias que
sero aplicadas para proteg-las. A proteo na medida certa conseguida por meio da
poltica de segurana que deve ser elaborada sob medida, levando em considerao
todas as peculiaridades da organizao. Mais adiante, nesta apostila, serei mais
especfico na descrio deste importante documento.

Manuteno da poltica de segurana


Para esse fim, pode-se utilizar uma ferramenta de melhoria contnua j consolidada no
mercado. Este ciclo o PDCA. Com ele a poltica de segurana seria sempre reavaliada
no contexto atual e estaria sempre atingindo os objetivos iniciais.

Esta ferramenta considerada uma das primeiras ferramentas da gesto de qualidade


e muito utilizada em diversas situaes. No nosso contexto, ela muito importante
para manter os objetivos da poltica de segurana sempre condizente as necessidades
atuais da empresa.

15
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO

Outros conceitos importantes


Ativos: todo e qualquer dispositivo ou informao que tem um valor para
a instituio ou empresa.

Vulnerabilidade: uma falha de segurana que pode ser utilizada para


um ataque.

Ameaa: os ativos esto sujeitos a muitos tipos de ameaas que exploram


suas vulnerabilidades. As ameaas, segundo a ISO 27001, podem
ser divididas em humanas e no humanas. As humanas se dividem
intencionais, quando a pessoa executa o ataque sabendo e querendo
faz-lo, e no intencional, quando no existe expressamente a vontade
de execut-lo.

Risco: a probabilidade de uma ameaa conseguir se aproveitar de uma


vulnerabilidade e, com isso, ser bem-sucedida.

Incidente: quando de fato o ataque obteve xito e assim a ameaa


conseguiu se utilizar da vulnerabilidade e o executou.

Para contextualizar o assunto, vou classificar, a partir de uma descrio, se ela uma
ameaa, vulnerabilidade e/ou risco. Na realidade, determinadas aes podem ser
isoladamente um dos conceitos ou os trs ao mesmo tempo. Vamos ento analisa-las:

1. Refrigerao insuficiente na sala de servidores: em primeira tica, este


item seria uma vulnerabilidade, pois o fato de a sala servidores no estar
refrigerada adequadamente no necessariamente gerar algum problema
de segurana. Logo, no um incidente, bem como este fato isolado
no se beneficiar de algo para causar um incidente. Porm caso na
documentao de segurana seja descrito que a sala de servidores tem de
ser climatizada e, inclusive, indicando temperatura ideal para ela, o fato
dela no estar seguindo o que est previsto resultaria em um incidente
de segurana pois este problema acrescentou uma vulnerabilidade ao
negcio.

2. Mdias em local inadequado: o armazenamento de mdias em locais


indesejados, ou at exposio delas, uma vulnerabilidade pois estando
em locai inapropriados podem ser pegas por pessoas desautorizadas,
quebrando o conceito de confidencialidade e, inclusive, podendo ser
alteradas e incorrendo tambm na integridade.

16
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I

3. Visitante mal-intencionado: um visitante mal-intencionado claramente


uma ameaa. A partir do momento que a segurana fsica foi quebrada,
seja por uma pessoa autorizada ou no, ela, provavelmente, ter a
oportunidade de causar um incidente.

4. Software malicioso: um software malicioso instalado em uma mquina,


ou at disseminado na rede interna, uma grande ameaa que pode
ocorrer. Este software, ao est localizado internamente, j passou por
barreiras de delimitao de permetro com firewall e ips/ids e assim
mais facilmente podero explorar as vulnerabilidades tcnicas existentes
podendo quebrar todos os conceitos de segurana da informao.

Um usurio que utiliza uma senha fraca como 123456 ou qweasd em


um computador pode ser considerado uma ameaa? E a inexistncia de
documentao de procedimento para entrada de visitantes seria um incidente?
Raciocine e se questione. importante para entender os conceitos de ameaa,
incidente e vulnerabilidade.

Estas anlises feitas no so verdade absoluta. Acredito que se percebe que dependendo
do contexto ou tica que se analisa uma determinada ao ou item pode-se ter um
resultado diferente. Logo, o importante para o aluno se familiarizar com os conceitos de
vulnerabilidade, ameaa e incidente e trabalhar de maneira a reduzir as vulnerabilidades
existentes, para reduzir a possibilidade das ameaas conseguirem causar um incidente
ao negcio.

A partir do momento que se tem a lista de ativos importantes para a empresa, deve-se
relacionar as vulnerabilidades existentes e assim fazer a anlise de riscos.

Anlise de risco a avaliao de que incidente realmente acontea. Esta avaliao pode
ser qualitativa, quando se mensura um conceito ou valor estimado para que o incidente
ocorra (anlise mais usual de ser feita), ou quantitativa, quando calculado exatamente
o valor que seria perdido se ocorresse o incidente (esta anlise muito difcil que seja
possvel de ser feita).

17
CAPTULO 2
Classificao da informao

Conceitos da classificao da informao


A classificao da informao comeou a ser utilizada antes mesmo da informatizao
das instituies. Ela muito importante para avaliao de como manter a informao
segura de acordo com o que ela representa para empresa ou instituio.

Existem vrias formas de classifica-la. A ISO 27002:2005 recomenda que ela seja
classificada, porm no estabelece como isto deve ser feito. Dentre os critrios existentes
posso citar: de acordo com o seu valor para a instituio, requisitos legais a serem
atingidos, sensibilidade aos objetivos, bem como requisitos da instituio e criticidade
da informao para a organizao.

Neste captulo, descrevo estes critrios conceituando-os e, tambm, exemplificando de


acordo com as classificaes j utilizadas por instituies e empresas no mercado.

Figura 2.

Fonte: Prprio autor.

Etapas para gerenciar a classificao da


informao.
Segundo Kosutic, a boa prtica da classificao da informao dividida em 4 (quatro)
etapas:

18
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I

Figura 3.

Fonte: Kosutic (2014).

Inserir a informao no inventrio: em que a informao deve ser inserida


em um inventrio de ativos.

Classificao propriamente dita: na qual deve ser classificada de acordo


com o critrio adotado pela instituio.

Rotulagem da informao: que o ato de marca-la ou etiqueta-la de


maneira que todos ao manuse-la tenham conhecimento do seu tipo.

Manuseio da informao: etapa em que ela pode ser utilizada por pessoas
autorizadas.

importante entender que estas etapas, apesar de no serem mandatrias, no podem


ser desprezadas no processo de classificao da informao.

Inventrio de ativos
Este processo serve para identificar as informaes e o devido responsvel, ou dono,
dela. Tambm neste processo identificado o formato e tipos de mdia dela. Kosutic
(2014) exemplifica assim os formatos possveis:

Documentos eletrnicos.

Sistemas de informao/bases de dados.

19
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO

Documentos em papel.

Mdias de armazenamento (ex.: discos, cartes de memria etc.).

Informao transmitida verbalmente.

E-mail.

Critrios para a classificao da informao

Um dos critrios mais utilizados para a classificao o do grau do sigilo. Segundo


Dantas, o artigo 5o do Decreto Federal no 4.533/2002 classifica a informao conforme
o grau de sigilo para as instituies. Desta forma, ele as classifica em:

Ultrassecretos: aqueles cujo conhecimento no autorizado possa acarretar


dano excepcionalmente grave segurana da sociedade e do Estado.

Secretos: aqueles cujo conhecimento no autorizado possa causar dano


grave segurana da sociedade e do Estado.

Confidenciais: aqueles que, no interesse do poder executivo e das partes,


devam ser de conhecimento restrito e cuja revelao no autorizada possa
frustrar seus objetivos ou acarretar dano segurana da sociedade e do
Estado.

Reservados: aqueles cuja revelao no autorizada possa comprometer


planos, operaes ou objetivos neles previstos ou referidos. Este tipo de
classificao bem utilizado por instituies pblicas por todo o mundo.

Outro critrio utilizado de acordo com a confidencialidade. Neste a informao


dividida em:

Confidencial: cujo vazamento pode causar danos graves a instituio ou


empresa.

Restrita: cujo vazamento pode causar prejuzos s metas a serem atingidas


pela instituio.

Uso interno: apenas colaboradores podem ter acesso.

Pblica: que todos inclusive no colabores podem ter acesso.

20
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I

Por fim, para exemplificar outra tambm utilizada podemos classifica-las de acordo
com o grau de importncia para empresa, caso exista algum problema de integridade
com ela. Neste caso, podem ser divididas em:

Crtica: devem ser mantidas devido a alguma exigncia legal ou a


funcionalidade do negcio, ou seja, caso seja perdida tornaria o negcio
ilegal ou invivel.

Vital: caso ocorra algum incidente, poderia causar grandes prejuzos a


empresa e podem dificultar a continuidade do negcio.

Sensvel: caso seja perdida, ir gerar um retrabalho, porm, nada de


relevante s atividades da empresa ou instituio.

No sensvel: Informao que empresa detm, porm em ocorrncia de


um incidente no geraria maiores transtornos a organizao.

Independente do critrio utilizado para classificao, normalmente quem a faz o dono


dela, pois ele quem tem maior capacidade de mensurar a que tipo ela faz parte.

muito importante frisar que essas formas de classificao nos d uma ideia de como
podemos separar a informao por grupos. Ela pode ser executada de vrias maneiras
e mtodos levando em considerao vrios critrios. No existe uma forma correta de
se fazer. importante que se classifique a informao de acordo com a peculiaridade da
atividade, ou at, do ramo de atuao da sua instituio ou empresa.

Rotulagem da informao

Figura 4.

Fonte: Reis (2016).

21
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO

A rotulagem da informao o terceiro processo vinculado sua classificao. Este


item muito importante para a identificao do grupo que a respectiva informao
faz parte. Desta maneira, o colaborador tem a cincia de que tipo de informao est
manipulando, ou at mesmo se est autorizado, ou no, manipula-la. Este processo
tambm, normalmente, de responsabilidade do dono da informao.

Manuseio de ativos
O manuseio de ativos segundo Kosutic (2014) :

usualmente a parte mais complexa do processo de classificao voc


deveria desenvolver regras sobre como proteger cada tipo de ativo
dependendo do nvel de confidencialidade. Por exemplo, voc poderia
usar uma tabela na qual voc deve definir as regras para cada nvel de
confidencialidade para cada tipo de mdia.

Realmente, devido a variedade de formatos em que a informao pode estar representada,


bem como os tipos em que ela se enquadra, torna este processo o mais complexo dos
quatro. Mas extremamente importante que se tenha o devido cuidado com esta etapa.

22
CAPTULO 3
Anlise de riscos; tipos de incidente;
ataques segurana da informao

Anlise de riscos
A definio de anlise de riscos, segundo a norma ISO 27001, uso sistemtico de
informaes para identificar fontes e estimar o risco.

Esta atividade muito importe como ponto de partida para criao de um Sistema de
Segurana da Informao. Ela executada, conforme a definio, para identificar locais
onde seria necessria a atuao para minimizar, reduzir, transferir ou mitigar os riscos
por meio das medidas de segurana. Ela disposta em 4 (quatro) etapas, segundo a
mesma norma:

1. Avaliar o que aconteceria caso alguma caracterstica da informao


(integridade, disponibilidade, confidencialidade) fosse quebrada.

2. Avaliar a probabilidade disto acontecer.

3. Estimar os nveis de riscos, classificando-os.

4. Determinar se ir aceitar o risco ou se ir atuar para minimiz-lo a um


nvel aceitvel pela organizao.

Quando esta atividade deve ser executada? Quais os erros comuns cometidos?

Esta atividade deve ser executada sempre que houver a necessidade de implantar ou
reciclar um procedimento ou documento de segurana. Exemplos: desenvolvimento de
um novo sistema, Gesto de continuidade de um processo, Reviso de uma atividade ou
aps um incidente de segurana.

Normalmente, ao se elaborar uma anlise de riscos, incorre-se em erros. So eles:

Escopos infinitos: importante se definir qual o real objetivo desta


anlise, bem como em quais processos ou ativos se deseja aplica-la.

23
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO

Foco excessivo em tecnologia: muito comum que o tcnico em TI


abranja apenas processos tecnolgicos em detrimento a segurana fsica
e documental.

Falta de comprometimento da direo: a direo da empresa tem de estar


ciente do processo e tambm fazer parte dele, o apoiando.

Recursos econmicos escassos: algumas anlises requerem auditorias


externas ou ferramentas de alto custo que a empresa no tem recursos
para adquirir ou alugar.

Pouca periodicidade: esta atividade deve ser executada sempre que haja
com mudanas de tecnologia ou de procedimentos executados para
empresa, bem como por um perodo compatvel com o processo.

A anlise de risco pode ser feita de forma qualitativa ou quantitativa conforme descrito
anteriormente. A anlise quantitativa, apesar de ser mais precisa, muitas vezes,
impossvel de ser executada.

Qual seria o valor perdido por uma grande empresa e-comerce (venda pela
internet) se um hacker invadisse seu banco de dados de clientes e o divulgasse?
Imagine seus dados pessoais divulgados na rede por causa disto? Voc compraria
novamente nesta empresa?

Desta forma, comum que seja executada uma anlise qualitativa indicando
conceitualmente o risco. Estimando valores, notas ou at cores a cada provvel
incidente. Por exemplo:

Vermelho (risco alto); amarelo (risco mdio) e verde (risco baixo).

24
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I

Quadro 1.

CONFIDENCIALIDADE

DISPONIBILIDADE
INTERGRIDADE
VULNERABILIDADE

Acesso interno por colaboradores no autorizado.


Cadastro de clientes Erro de digitao.
Perda por crash no servidor.
Doena de famlia.
Consultores Licena mdica.
Pedir demisso.
Crash no servidor.
Relatrio padro Usurio apagar por engano.
O arquivo corromper.

Fonte: Prprio autor.

Incidentes
A norma ISO 27001 descreve incidente como: um simples ou uma srie de eventos
de segurana da informao indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operaes do negcio e ameaar a segurana da
informao.

Estes incidentes tm de ser analisados de acordo com a probabilidade de ocorrncia


verificando quais as vulnerabilidades que podem ser utilizadas pelas ameaas para
caus-lo.

Tambm importante que exista um processo especfico que o gerencie. Isto significa
que estes devem ser relacionados cronologicamente identificando causas e efeitos, bem
como os responsveis por solucion-los e que atividades foram utilizadas para tal.

Desta forma, por meio do histrico, possvel que sejam prevenidos e tambm
solucionados de forma mais rpida caso ocorram.

A norma ISO 27001 descreve no item h do tpico 4.2.2 isto: Implementar procedimentos
e outros controles capazes de permitir a pronta deteco de eventos de segurana da
informao e resposta a incidentes de segurana da informao.

25
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO

Como a sua empresa faz a gesto de um incidente de segurana da informao?


Quem informado quando h um incidente? Ele documentado para auxiliar
em futuras medidas corretivas e preventivas?

Ataques segurana da informao


O ataque pode ser executado de vrias maneiras e formas. Eles podem se aproveitar de
vulnerabilidades tcnicas, quando se existe uma falhada de segurana em uma aplicao,
por exemplo, vulnerabilidades fsicas, quando no existe uma forma de controle de
acesso a reas fsicas importantes da empresa, ou at vulnerabilidades das pessoas,
quando um colaborador no foi capacitado corretamente para lidar com situaes de
risco.

Existem vrios tipos de ameaas que podem se utilizar de vulnerabilidades existentes


e assim ter sucesso e causar um incidente de segurana. Dentre eles temos podemos
citar:

Engenharia social: termo utilizado para descrever a atividade que, a


partir de usurios e colaboradores da empresa, o atacante obtm dados
importantes. Nestes casos, inclusive, normal que sejam passados dados
sem que haja a inteno por parte do funcionrio.

Ataque de fora bruta: neste tipo de ataque, o hacker se utiliza de um


software para testar sistematicamente logins e senhas at obter acesso ao
sistema.

Figura 5.

Fonte: <https://3pmjw2b9xdm3frnub1v9dnl13zr-wpengine.netdna-ssl.com/files/2014/10/1.png>. Acesso em: 1/9/2016.

26
CONHECENDO A SEGURANA DA INFORMAO UNIDADE I

Ip spoofing: neste tipo de ataque, o hacker se utiliza de uma conexo j


estabelecida com o alvo para sequestra-la e assim obter acesso a ele.

DOS: neste tipo de ataque, o hacker simplesmente para o servio que est
rodando no alvo e assim impossibilita usurios interessados de utiliz-lo.
O DDOS uma verso mais sofisticada que utiliza o mesmo princpio,
porm para atingir o objetivo usa vrias mquinas ao mesmo tempo
espalhadas pela rede.

Phishing: tcnica em que o atacante se utiliza de uma isca para obter


dados pessoais de diversos tipos como senhas e informaes financeiras.

Figura 6.

Fonte: <http://www.blogwebdesignmicrocamp.com.br/mercado-de-trabalho/phishing-tome-cuidado/>. Acesso em: 1/9/2016.

Malware: termo utilizado para descrever um software malicioso usado


por pessoas mal-intencionadas que desejam obter informaes, causar
danos ou alteraes.

Vrus: software que se instala e dissemina entre os arquivos do sistema.

Spywares: programa desenvolvido para capturar dados pessoais


dos usurios e envi-los a um terceiro sem que o proprietrio tenha
conhecimento ou autorize esta ao.

Keylogger: este tipo de software captura tudo que o usurio est


digitando, como senhas, dados pessoais e envia a um terceiro sem a
devida autorizao.

27
UNIDADE I CONHECENDO A SEGURANA DA INFORMAO

Figura 7.

Fonte: <https://sim-redes.wikispaces.com/Keylogger>. Acesso em: 1/9/2016.

Rootkits: um cdigo malicioso utilizado para permitir que um terceiro


tenha permisso de utilizar o equipamento como se fosse administrador
dele. Independe do tipo de equipamento ou sistema operacional.

Cavalo de Tria: um tipo de malware que abre portas de acesso no sistema


de maneira que o atacante possa utiliza-la para obter acesso a ele.

Worm: software que se dissemina atravs da rede para outros


computadores com finalidades especficas.

Ransomware: software malicioso utilizado para criptografar informaes


do computador de maneira a inviabilizar o uso. Desta maneira, o
sequestrador pede um resgate para decript-las.

Este ltimo tipo de software, por exemplo, uma ferramenta que est sendo utilizada
para ataque de todos os tipos de organizaes, seja ela particular ou privada. Houve at
uma reportagem em programa de televiso de uma emissora bem conceituada alertando
empresas e instituies pblicas a tomarem cuidado com este tipo de software. Em um
caso relatado, uma prefeitura teve todos os dados, em nvel de documentao e banco
de dados, criptografados e assim ficou impossibilitada de exercer suas funes. Pois
sem a senha para decriptar as informaes no poderiam ser manipuladas. Com isso
tiveram que pagar a quantia solicitada pelos sequestradores para poder utiliza-los.

28
MECANISMOS
DE GARANTIA DE UNIDADE II
SEGURANA DA
INFORMAO

CAPTULO 1
Criptografia; segurana fsica e lgica

Criptografia
A palavra criptografia tem como origem morfolgica as palavras krypts, que significa
escondido, e grphein, que em portugus escrita. uma tcnica que foi utilizada
inicialmente por comandantes de maneira que as informaes da guerra pudessem ser
enviadas por mensageiros sem que houvesse perigo de, caso fossem interceptadas,
serem lidas e interpretadas.

A chave de Csar N um exemplo deste incio. Ela consistia em trocar as letras das
palavras pela N vezes da frente seguindo a ordem do alfabeto. Assim, para N=3 teramos
a=d. Com este algoritmo se no texto claro estivesse escrito BOLA o criptografado teria
EROD. Desta maneira o texto perde totalmente o significado inicial.

A criptografia essencial no mundo atual, pois garante a integridade e o sigilo das


informaes que trafegam na rede. Estas informaes podem ser as chaves envolvidas
na autenticao do usurio ou at os prprios dados que esto sendo transportados.

Segundo Nakamura (2007, p. 301), a cincia que tem importncia fundamental para
a segurana da informao, ao servir como base para diversas tecnologias e protocolos.

A criptografia baseada em algoritmos conforme demostrado na figura 8.

29
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO

Figura 8.

Fonte: Castell

Algoritmo de criptografia uma funo matemtica utilizada para cifrar e decifrar um


determinado dado.

Temos que a criptografia esconde um texto legvel (claro) ou informao reconhecvel


em um texto ilegvel ou numa informao que no possa ser reconhecida.

Segundo Alecrim:

Trata-se de um conjunto de bits baseado em um determinado algoritmo


capaz de codificar e de decodificar informaes. Se o receptor da
mensagem usar uma chave incompatvel com a chave do emissor,
no conseguir extrair a informao. E podem ser dividas em chaves
simtricas e assimtricas.

A chave simtrica um tipo de chave mais simples, em que o emissor e o receptor fazem
uso da mesma chave, isto , uma nica chave usada na codificao e na decodificao
da informao.

Do centro de segurana da Microsoft do Brasil temos: A criptografia assimtrica usa


um par de chaves pblica/privada. Os dados criptografados com a chave privada podem
ser decriptografados apenas com a chave pblica correspondente e vice-versa.

Quando a chave conhecida pelo emissor e pelo receptor a mesma, chamada simtrica
e o algoritmo que trabalha desta maneira chamado de simtrico. Quando a chave
diferente nas extremidades, chamada de assimtrica e o algoritmo descrito da
mesma forma.

A encriptao acontece quando o emissor transforma o texto claro em texto criptografado.


Para Nakamura (2007), cifragem o processo de disfarar a mensagem original, em
texto claro, em um texto cifrado. No site Kioskea, o fato de codificar uma mensagem de
maneira a torn-la secreta chama-se codificao. Logo, podemos dizer que o ato de

30
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II

esconder a informao para que pessoas indesejadas no tenham acesso. Apenas quem
tem a chave correta poder entender a informao.

Decriptar o ato de encontrar o texto claro que est escondido em um criptografado.


Para Nakamura (2007), cecifragem faz o inverso da cifragem revelando o texto claro
que est criptografado. No site Kioskea, o mtodo oposto, consistindo em encontrar
a mensagem original, designa-se por descodificao. a ao de tornar pblica a
mensagem, ou seja, torn-la inteligvel.

Como exemplo, destaca-se a forma de criptografia utilizada no meio sem fio que
escolhida no ato em que se seleciona o protocolo de criptografia. O WEP utiliza a
criptografia simtrica e por este motivo mais fcil de ser quebrado. O WPA e o WPA2
utiliza a criptografia assimtrica, dificultando assim, a sua quebra.

Outro exemplo o protocolo SSL muito utilizado em transaes eletrnicas bancrias


atuais. Nele, utilizado o algoritmo RSA como forma de canal seguro e o RC4 para
garantir o sigilo das informaes.

Segurana fsica
A segurana fsica a tcnica ou o processo de restringir o acesso ao ambiente apenas
a pessoas devidamente autorizadas. Desta forma, importante segmentar a rea em
permetros designando qual o pessoal autorizado a cada um deles. Podemos listar
alguns controles utilizados:

Controles de acesso.

Controles de intruso.

CFTV.

Alarmes (incndio, invaso do prdio, entre outros).

Segundo Gil, A segurana fsica refere-se manuteno das condies operacionais e


de integridade dos recursos materiais usados no ambiente de informtica.

Estes recursos incluem: hardware (terminais, impressoras etc.), insumos (disquetes,


fita de impressora etc.) e componentes (cabos de conexo, estabilizadores etc.). As
principais situaes de insegurana fsica em informtica so:

roubo, perda ou extravio de planilhas, formulrios, relatrios e


documentos usados ou gerados no ambiente de informtica.

31
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO

roubo, perda ou danos a disquetes e outros meios de gravao;

agresses fsicas propositais ou acidentais configurao do computado.

Um exemplo a tcnica militar de defesa que ilustrada pela figura 9.

Figura 9.

Fonte: Smola

Nesta figura podemos descrever cada fase:

Desencorajar: avisos de no entrada, cmeras falsas de segurana,


informar prticas de auditoria e treinamentos.

Dificultar: cartes magnticos de entrada, senhas, criptografia.

Discriminar: definir perfis, grupos de acesso.

Detectar: possvel acesso desautorizado, monitoramento e auditar.

Deter: acionamento de barreiras corretivas, mandar um segurana para


barrar usurio no autorizado, punies.

Diagnosticar: no uma barreira propriamente dita e sim uma forma de


demostrar o incio de um novo ciclo.

Apesar de sua clara importncia, muitas vezes a segurana fsica negligenciada,


principalmente, pelos tcnicos de TI. Costumasse lembrar-se da aquisio de firewall,
IPS/IDS, porm esquecem que o ambiente onde os equipamentos esto instalados deve
ter acesso restrito.

32
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II

Qual a melhor maneira de fazer o controle de acesso fsico a empresa? Da forma


tradicional por meio de chaves? Utilizando algo que o colaborador conhece, ou
seja, uma senha previamente cadastrada? Baseado em o que o colaborador tem,
como crachs? Ou baseado em caractersticas fsicas do usurio (biometria),
como a digital, por exemplo?

A forma como o controle de acesso implementado depende muito do nvel de segurana


que voc deseja e tambm do fluxo de pessoas no ponto de acesso principalmente em
horrio de pico. No adianta, por exemplo, por um acesso a biometria em um local com
poucas catracas e um grande fluxo de pessoas, pois isso ir gerar um transtorno muito
grande aos colaboradores. Tambm importante lembrar que portas de acesso no
so formas muito seguras de ser fazer, pois a segurana falharia caso um o usurio se
autenticasse e deixasse outras pessoas passarem. Caso voc opte por esta alternativa,
importante que haja o monitoramento em tempo real para inibir esta prtica.

Segurana lgica
A segurana lgica consiste em garantir proteo a sistema, software, dados, ou seja,
ativos e informaes de maneira que no sejam acessados de forma lgica ou remota.
Neste tipo de segurana, podem ser utilizados muitas tcnicas e dispositivos. Dentre
eles podemos destacar:

Criptografia.

Firewalls.

Sistemas de deteco ou preveno de intruso (IPS/IDS).

Redes privadas virtuais (VPNs).

Listas de controle de acesso.

Arquivos de senhas e de logs.

Esse controle pode ser baseado de dois modos:

1. A partir de recurso computacional: quando se restringe o acesso a um


determinado equipamento a um protocolo ou servio especfico atravs
de um firewall.

33
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO

2. A partir do usurio: quando atravs de login e senha, por exemplo, se


identifica o usurio e restringe o acesso ao que devidamente autorizado
a ele.

Segundo Pinheiro, so elementos bsicos de controle de acesso lgico:

Apenas usurios autorizados devem ter acesso aos recursos


computacionais.

Os usurios devem ter acesso apenas aos recursos realmente necessrios


para a execuo de suas tarefas.

O acesso aos recursos crticos do sistema deve ser monitorado e restrito.

Os usurios no podem executar transaes incompatveis com sua


funo.

34
CAPTULO 2
Mecanismos lgicos para garantia de
identidade

Assinatura digital
Como o prprio nome descreve, este tipo de tcnica serve para garantir a identidade
de uma determinada pessoa e assim que a confidencialidade no foi violada. Ela pode
ser utilizada tanto para garantir a identidade do emissor como tambm do receptor.
Podemos dividir as chaves utilizadas para esta garantia em dois grandes tipos: chave
nica e chave dupla.

Chave nica

A mesma chave utilizada para encriptar e decriptar a mensagem. Tem como


caractersticas:

rpido na execuo;

necessrio distribuio da senha ou a senha compartilhada por


emissor e receptor;

necessidade de enviar a chave para o receptor;

chaves secretas podem ser diferentes para cada usurio;

no permite a assinatura digital.

35
Figura 10.

Fonte: Nakamura (2007).

Chave dupla

Chaves diferentes utilizadas para encriptar ou decriptar a mensagem. Normalmente


divida em chaves pblicas e privadas. Nas chaves pblicas, o usurio a gera e envia a
que interessar, ou seja, uma chave nica que vrias pessoas podem ter para identificar
um usurio. J a chave privada apenas o dono a tem de maneira a garantir a identidade
dele. Tem como caractersticas:

possvel utilizar assinatura e certificao digital;

comunicao feita por meio de 2 pares de chaves diferentes (privada e


pblica);

necessita de maior capacidade de processamento (60 a 70 vezes mais


lento).

Forma de garantir quem foi o autor da mensagem:

emissor codifica mensagem com sua chave privada;

receptor decodifica a mensagem a chave pblica do emissor.

36
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II

Figura 11.

Fonte: Nakamura (2007).

Este processo no garante o sigilo da mensagem.

Uma aplicao comum utilizar as duas tcnicas ao mesmo tempo. Utilizando


algoritmos de chave pblica e privada para autenticao dos usurios e de chave nica
para encriptao e sigilo das mensagens. Desta forma, uma maneira de garantir a
identidade tanto do emissor, como tambm do receptor :

Emissor:

codifica mensagem com sua chave privada;

codifica a mensagem cifrada com a chave pblica do emissor.

Receptor:

decodifica a mensagem com sua chave privada;

decodifica a mensagem a chave pblica do emissor.

Certificado digital
um arquivo ou informao que contm dados de uma pessoa ou instituio. Ele pode
ser armazenado de forma digital por meio de dispositivos como pen drives ou tokens
geradores de cdigos ou at com cartes com lista de senhas. Na prtica, so utilizados
para comprovar sua identidade.

37
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO

Consiste ento em chaves pblicas assinadas digitalmente por uma autoridade


certificadora.

Figura 12.

Fonte: <http://www.viacert.com.br/arquivos/galeria_fotos/g-lg-designer-agencia-digital18-09-2014c900cfA.jpg>. Acesso em:


1/9/2016.

Podemos citar algumas informaes encontradas em um certificado digital:

Dados que identificam o dono (nome, nmero de identificao, estado


etc.).

Nome e endereo da Autoridade Certificadora (AC) que emitiu o


certificado.

O nmero de srie e o perodo de validade do certificado.

Poltica de utilizao.

Este certificado gerado por uma Autoridade Certificadora que a responsvel por
emiti-los e, tambm, autentica-los. Exemplos destas autoridades so: VeriSign, Equifax,
Saphety e a Multicert.

Voc j precisou utilizar o certificado digital? Como foi a experincia? Lembra-se


de qual foi a Autoridade Certificadora? Como sugesto a partir de hoje preste
ateno nestas informaes.

38
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II

Infraestrutura de chave pblica (PKI)


Infraestrutura de segurana na qual os servios so implementados e utilizados, por
meio de conceitos e tcnicas de chaves pblicas, que podem criar, gerenciar, armazenar,
distribuir e revogar certificados digitais, com base na criptografia de chave pblica.

Alm da Autoridade Certificadora, que pode ser interna ou terceirizada, temos a RA,
autoridade dedicada a realizar o registro dos usurios e o Servio de diretrio, que
funciona como repositrio de chaves, certificados etc.

So funes do PKI:

Registro:

processo no qual a entidade se registra em uma autoridade certificadora;

pode ser realizada por meio de um RA.

Inicializao:

processo no qual a entidade obtm os valores necessrios para o incio


das comunicaes com o PKI.

Certificao:

processo pelo qual a CA envia o certificado digital para a entidade que


o solicitou.

Recuperao, gerao e atualizao de chaves:

chaves podem ser geradas pelo usurio ou pelo prprio CA. Atualizaes
devem ser de acordo com a poltica e segurana e quando da ausncia
do usurio na empresa.

Certificao cruzada:

quando 2 CA se autenticam.

Revogao:

Quando o CA revoga por expirao ou mudana.

Distribuio e publicao:

transmisso ao proprietrio e publicao em repositrio.

39
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO

O Processo a seguir descreve a solicitao de certificado:

1. Usurio solicita o certificado digital ao RA.

2. O RA Verifica a identidade do usurio.

3. Caso vlida, solicita o certificado ao CA.

4. Caso invlida, recusa a solicitao do usurio.

5. O CA publica o Certificado no repositrio e o envia ao usurio.

Figura 13.

Fonte: Nakamura (2007).

40
CAPTULO 3
Mecanismos de proteo Firewals,
IDS, IPS e VPN

Firewall
um componente ou um conjunto de componentes que restringem o acesso entre uma
rede protegida e a internet, ou entre redes protegidas e a Internet como um todo, ou at
um termo ingls que em portugus significa literalmente parede de fogo e designa uma
medida de segurana implementada com o objetivo de limitar ou impedir o acesso de
terceiros a uma determinada rede ligada internet.

Para sua aquisio, ou escolha, existem vrios itens a serem levados em considerao.

Fabricante/fornecedor: importante ter referncias de uso destes


equipamentos j que exercem uma funo muito importante na segurana
da organizao.

Suporte tcnico: muitas vezes, esta a caracterstica que deve ser mais
criteriosa. O suporte tcnico pode dar dicas de configurao, soluo de
problemas ou at de recuperao do equipamento.

Tempo para implantao: o tempo que ser necessrio para coloca-lo em


produo indicar como voc poder se capacitar para utiliz-lo.

Anlise de logs: os logs so ferramentas importantssimas para resoluo


de problemas e auditorias internas.

Desempenho: um firewall pode ser interessante para determinada


empresa e no suportar as necessidades de outra. Ento importante ter
cincia da capacidade do firewall a ser adquirido.

Gerenciamento: a forma que se gerencia um firewall importante


principalmente para quem vai configur-lo emant-lo.

Capacitao pessoal: pesquisar se existem cursos e formas de capacitar


o pessoal tcnico tambm uma boa prtica quando se vai adquirir esta
ferramenta.

41
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO

As funcionalidades que podemos encontrar em firewalls do mercado so: filtros de


conexes; filtros de contedos ou proxies; zona desmilitarizada (local onde esto
localizados equipamentos que sero acessados externamente); traduo de ips e
portas (Network address Translation NAT); criao de Rede Privada Virtual (VPN);
autenticao de usurios; e balanceamento de cargas. A figura 14 ilustra uma forma
muito utilizada de localizao de um firewall em uma rede com uma zona desmilitarizada
configurada.

Figura 14.

Fonte: <http://i.stack.imgur.com/aFNLH.jpg>. Acesso em: 1/9/2016.

Um firewall consiste em regras que so adicionadas em formas de lista. Podemos citar


dois grandes tipos:

Bloqueia todo trfego excetuando alguns especficos (mais seguro) que


a forma mais segura de implementao, mas que d mais trabalho ao
administrador.

Libera todo trfego excetuando alguns especficos. Desta maneira, para


ser implementada de forma segura, o administrador deve monitorar
periodicamente o trfego de maneira a bloquear os trfegos indesejados.

IDS/IPS
Tem como objetivo detectar atividades suspeitas, imprprias, incorretas ou anmalas
em uma rede. Ele um elemento importante dentro do arsenal de defesa de uma
organizao. Ao encontrar um destes tipos de atividades, ele pode simplesmente indicar
a ocorrncia (IDS) ou tomar uma ao, como por exemplo, interrompe-la (IPS).

42
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II

So caractersticas importantes destes dispositivos: monitoramento e anlise das


atividades dos usurios e sistemas; avaliao de integridade de arquivos importantes
dos sistemas e arquivos de dados; anlise estatstica do padro de atividade; anlise
baseada em assinaturas de ataques conhecidas; anlise de atividades anormais; anlise
de protocolos; deteco de erros de configurao no sistema; deteco em tempo real;
identificao de destino de ataque; transparncia para no ser detectado; capacidade de
prevenir ataques atuando no kernel do sistema.

A adio destes tipos de equipamentos geram, basicamente, 4 (quatro) tipos de


resultados:

Trfego suspeito detectado: quando realmente ele encontra um trfego


indesejado.

Trafego suspeito no detectado (falso negativo): quando um trfego


indesejado identificado como normal. Isto indica uma vulnerabilidade
do equipamento.

Trfego legtimo analisado como suspeito (falso positivo): quando um


trfego que no est no escopo de indesejado no est na base de dados
do equipamento.

Trfego legtimo analisado como legtimo (normal).

Misuse Detection System uma metodologia utilizada que baseada em algum


conhecimento prvio (parecido com antivrus atuais) e tem taxa de acertos considerada
boa, porm, depende de base de dados atualizada. Ela no consegue detectar ataques
desconhecidos e tem dificuldade para anlise de ataques coordenados.

Outra metodologia a Anomaly Detection System que as intruses so detectadas por


meio de desvios de comportamento, ou seja, o equipamento no incio apenas analisa o
trfego e, depois de um certo tempo, identifica os que no condizem com os analisados
anteriormente. Esta tcnica toma a deciso por meio de estatsticas ou heursticas. Nela
todos os ataques podem ser capturados, inclusive os novos, porm pode gerar muitos
falsos negativos e positivos.

Existem basicamente 3 tipos de sistemas de deteco de intruso segundo Nakamura:

Os IDS/IPS podem ser baseados em host (HIDS/HIPS) que monitora o


sistema com base em arquivos de log ou agentes de auditoria inclusive
podendo ser capaz de monitorar acessos e arquivos que foram alterados.

43
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO

Os NIDS/NIPS que so baseados em redes que monitoram o trfego de


um segmento de rede, geralmente com a interface atuando em modo
promscuo ou at hbridos que utilizam as duas tcnicas.

Honeypot que consistem em uma mquina host adicionada ao sistema


sem conter dados ou aplicaes importantes empresa com o propsito
de se passar por um legtimo computador dela e configurado para
interagir com o a atacante monitorando os passos do ataque deixando
clara o modus operandi do ataque para poder se proteger de futuras aes
em equipamentos reais.

Figura 15.

Fonte: Nakamura (2007).

So vantagens e desvantagens dos baseados em host:

Quadro 2.

Vantagens Desvantagens
Baseado nos logs do sistema. Dificuldade de gerncia em muitos hosts.
Atividades do sistema monitoradas detalhadamente. Diferenciado para os sistemas operacionais.
Detectar Keyboard ataque. No detecta ataques na rede (smurf).
Detecta ataques criptografados. Caso invadido pode perder informaes.
Independente da topologia das redes. Perda de desempenho do host.
Poucos falso-positivos. Necessidade de espao em disco (logs).

Fonte: Nakamura (2007).

44
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II

So vantagens e desvantagens do baseado em rede:

Quadro 3.

VANTAGENS DESVANTAGENS
Dificuldade de deteco para protocolos especficos (portas no
Monitoramento para mltiplas plataformas.
convencionais).
Ataques de rede podem ser detectados. No capaz de monitorar trfego criptografado.
Detectar ataques em tempo real. Dificuldade de utilizao em redes segmentadas.
No causa impacto no desempenho da rede. Alguns so incapazes de tratar fragmentao de pacotes.
Dificuldade de ser detectado pelo hacker. A varredura pausada no detectada.
Detecta atividades suspeitas em servios conhecidos (80, 25, 23, 5900
etc.).

Fonte: Nakamura (2007).

Os IDS, ao detectar tentativas de ataques internos e externos, permitem que o


administrador de segurana tenha acompanhamento do que acontece quanto a ataques
em sua rede. A localizao em que est agindo importante para identificar que tipo
de trfego ser detectando. A figura 16 ilustra algumas possibilidades de localizaes e,
logo aps, descrevo o tipo de trfego localizado e suas caractersticas.

A maneira mais segura para minimizar ataques bem-sucedidos a utilizao de todos


os tipos de IDS, IPS e honeypots juntos, pois assim, caso o atacante consiga passar por
uma barreira, ele estar poder ser detectado por outra.

Figura 16.

Fonte: Nakamura (2007).

45
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO

IDS 1 detecta todas as tentativas de ataque a rede da organizao; rica


fonte de informaes sobre tipos de ataques; deteco simultnea aos
ataques.

IDS 2 funciona no prprio firewall; detecta tentativas de ataque ao


firewall.

IDS 3 detectam tentativas de ataque servidores da DMZ capazes de


passar pelo firewall, prevenindo servios legtimos; deteco de intruses
bem-sucedidas.

IDS 4 detecta ataques contra recursos internos; detecta ataques


provindos da VPN; deteco de intruses bem-sucedidas.

IDS 5 detecta ataque a DMZ 2 que passaram pelo firewall, pela VPN ou
por algum outro servio da DMZ 1; deteco de intruses bem-sucedidas.

IDS 6 detecta tentativas de ataques a rede interna; importante em


ambientes atuais com vrios bolses de segurana; deteco de intruses
bem-sucedidas.

Na empresa que voc trabalha ou j trabalhou existe algum IDS/IPS? Onde ele
est localizado? Qual o tipo dele? Ela j sofreu algum incidente de segurana
que poderia ser prevenido por meio deste equipamento?

Uma cincia multidisciplinar que vem com um mercado crescente atualmente, devido
ao aumento no nmero de pessoas e empresas se utilizando da internet, seja como
atividade fim, ou at para aumento de desempenho, a Forense Computacional. O
objetivo dela o estudo de tcnicas para preveno, aquisio, recuperao e anlise de
dados em sistemas operacionais.

Por este motivo uma boa prtica que sejam armazenados logs de trfego, dos sistemas
utilizados, configuraes aplicadas com suas respectivas datas e tambm monitorar os
endereos lgicos utilizados em redes internas.

VPN
Este acrnimo significa Virtual Private Network, ou seja, rede privada virtual. Ele
identifica uma rede privada construda sobre a infraestrutura de uma rede pblica,
normalmente a internet. Na prtica, uma conexo em que o acesso e a troca de dados
somente permitido a usurios e/ou redes que faam parte de uma mesma comunidade

46
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II

de interesse. Ela importante principalmente no aspecto econmico ao permitirem


a substituio de conexes dedicadas, cada vez mais caras, pelas conexes pblicas.
Porm, muito importante que se tenha o devido cuidado com a segurana neste tipo
de conexo. Este ganho quanto ao custo se deve a popularizao dos links ADSL nos
ltimos anos que reduziram consideravelmente o custo de um acesso internet banda
larga.

Esta tcnica muito utilizada para conectar matriz, filiais, fornecedores, distribuidores,
parceiros de negcios, clientes e usurios mveis. Ao se conectar as redes internas de
empresas como filiais a uma matriz, VPN identificada como SitetoSite, bem como
conectar usurios remotos a rede interna de forma segura identificada como Cliente
VPN.

A Cliente VPN usa uma VPN para um omputador poder acessar a rede da matriz da
empresa por meio da Internet criando um tnel seguro entre o PC do computador a um
roteador da VPN na matriz.

Figura 17.

Fonte: <http://brainwork.com.br/2014/12/02/configurao-de-vpn-remote-access-em-roteadores-cisco/>. Acesso em: 1/9/2016.

Esta tecnologia se utiliza de um tunelamento que inicialmente foi utilizado para


comunicao entre protocolos diferentes e nela o encapsulamento ponto a ponto das
transmisses dentro de pacotes IP, permitindo trfego de diferentes protocolos e de
dados de vrias fontes para diversos destinos em uma mesma infraestrutura. Mendona
a descreve assim:

47
UNIDADE II MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO

A tcnica de tunelamento consiste no encapsulamento de um protocolo


dentro de outro. Ela permite que um pacote seja enviado com segurana
atravs de uma rede pblica como a Internet. Devido a isso, usada
para a criao de VPNs.

O tunelamento que utilizado nas redes privadas virtuais usa protocolos que
encapsulam os dados do usurio de maneira a deixa-lo protegido tanto para perdade
de confidencialidade como tambem de integridade. Existem muitos protocolos que so
utilizados. Dentre eles podemos citar:

L2TP: tem como base o Layer 2 Forwording (L2F) proprietrio da Cisco


Systems. Ele pode ser transparente para o usurio, ou seja, o usurio
acessa a empresa atravs da VPN mas no sabe que a est utilizando, mas
tambm pode ser utilizado com acesso discado pelo usurio.

PPTP: a abordagem deste protocolo diferente do anterior pois com ele o


usurio quem faz a discagem e com isso mais indicado para utilizao
em dispositivos mveis como notepads e notebooks.

IPSEC: surgiu em 1995 e um padro da Internet Engineering Task


Force (IETF). Pode ser utilizado tanto no IPv4 como no IPv6. Ele pode
ser utilizados tanto em redes siteTosite como em redes cliente VPN. Ele
composto por cabealho de autenticao, cabealho de encapsulamento
de dados do usurio e protocolo de negociao de chaves.

SSL: originalmente desenvolvido para garantir segurana de aplicaes


cliente/servidor este protocolo pode ser utilizado para criao de client
VPN.

O protolo IPSEC pode ser utilizado de dois modos:

Modo transporte: modo nativo que a transmisso direta dos dados


protegidos pelo IPSec entre os hosts.

48
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II

Figura 18.

Fonte: <http://www.gta.ufrj.br/grad/09_1/versao-final/vpn/TunelamentonaCamadadeRede.html>. Acesso em: 1/9/2016.

Modo Tnel: geralmente utilizado pelos gateways IPSec, com o


um elemento do meio, transparente para o host, desta maneira no
necessrio que o host suporte o protocolo. O gateway encapsula o pacote
IP com criptografia IPSec, incluindo o cabealho original. Ele ento
adiciona um cabealho IP no pacote de dados.

Figura 19.

Fonte: <http://www.gta.ufrj.br/grad/09_1/versao-final/vpn/TunelamentonaCamadadeRede.html>. Acesso em: 1/9/2016.

49
SEGURANA UNIDADE III
ORGANIZACIONAL

CAPTULO 1
Estruturando a poltica de segurana
da informao

Introduo
A ISO 27002 a define:

A informao um ativo como qualquer outro ativo importante e


essencial para os negcios de uma organizao e consequentemente
necessita ser adequadamente protegida. Isto especiamente importante
no ambiente de negcios, cada vez mais interconectado.

Por a informao ser to importante, deve existir em uma organizao uma srie de
procedimentos, processos, estruturas organizacionais e polticas de maneira a nortear a
forma como proceder e agir para que seja mantida a sua integridade, confidencialidade e
disponibilidade. Tambm importante tanto medidas fsicas, tcnicas e organizacionais.

Esta informao pode estar disposta de vrias formas em uma empresa como, por
exemplo, impressa ou armazenada eletronicamente em um servidor ou dispositivo
mvel.

A segurana da informao a ao de proteger este importante ativo que a informao


de aes elementos internos e externos minimizando ou at eliminando o risco e
maximizando o retorno financeiro.

As medidas organizacionais so necessrias, pois nem todos os sistemas de informao


so seguros em sua concepo; logo, so necessrias a medidas para minimizar os
incidentes de segurana. Estas medidas norteiam quais medidas fsicas e lgicas devem
ser tomadas para manter um nvel desejado de segurana. Existem inmeros itens que

50
MECANISMOS DE GARANTIA DE SEGURANA DA INFORMAO UNIDADE II

podem ser criados e muitos deles no so necessariamente obrigatrios. Depende da


organizao e do tipo de segurana inerente a ela.

Existem controles considerados pela norma como ponto de partida e prticas manter
uma segurana da informao confivel que se aplicam na maioria das empresas seja
ela pblica ou privada. So eles:

Proteo de dados e privacidade de informaes pessoais: deve ser


aplicada de acordo com as legislaes e regulamentaes existentes e
todos da empresa devem ter cincia deste controle. Normalmente, mais
bem atingida sendo nomeado um responsvel e este deve orientar a todos
sobre as regras e os procedimentos a serem seguidos.

Proteo de registros organizacionais: proteger informaes da empresa


contra perda, destruio e falsificao. Procedimentos como polticas
de uso e de descarte podem ser importantes para que informaes
importantes da empresa no caiam em mo indesejadas.

Direitos de propriedade intelectual: Devem existir procedimentos e


controles de forma a garantir que as propriedades intelectuais tanto de
documentos como de softwares sejam seguidas conforme as legislaes
vigentes. Importante ter uma forma de gerncia e auditoria de softwares
utilizados por colaboradores.

Documentos da poltica de segurana da informao: deve ser aprovado


pelo diretor da empresa e todos os colaboradores e partes externas
relevantes devem ter cincia dos seus procedimentos.

Atribuio de responsabilidades para a segurana da informao: deve ter


conformidade com a poltica de segurana de informao. importante
que as responsabilidades estejam bem definidas e relacionadas.

Conscientizao, educao e treinamento em segurana da informao:


visa a conscientizao de colaboradores e parceiros importantes de
procedimentos e aes desejadas pela organizao. Devem ser feitos
treinamentos regulares como todos e tambm quando da entrada na
organizao.

Processamento correto nas aplicaes: fazer a preveno de perdas e


ocorrncias de erros, perdas e modificao no autorizadas.

51
Gesto de vulnerabilidades tcnicas: deve ser feito auditorias internas e
externas em busca de vulnerabilidades tcnicas de maneira a minimiz-
las a nveis desejados.

Gesto da continuidade do negcio: identificar processos, pessoas e


ativos crticos ao negcio identificando forma de mant-los disponveis
e em ao.

Gesto de incidentes de segurana da informao e melhorias: devem


ser definidos procedimentos e responsabilidades sobre incidentes de
segurana, bem como gesto para facilitar e mapear aes tomadas.

Dentre estes procedimentos, polticas e sistemas podem ressaltar dois muito


importantes: a poltica de segurana da informao e o sistema de gesto de segurana
da informao. Estes so descritos nos captulos seguintes desta apostila.

A importncia da poltica de segurana


Para descrever o assunto de poltica de segurana, temos trechos de livros, artigos
escritos por autores conhecidos e desconhecidos.

Segundo Emlio Nakamura (2007), A poltica de segurana a base para todas as


questes relacionadas proteo da informao, desempenhando um papel importante
em todas as organizaes.

Seu desenvolvimento o primeiro passo da estratgia de segurana das organizaes.


por meio desta poltica que todos os aspectos envolvidos na proteo dos recursos
existentes so definidos e, portanto, grande parte do trabalho dedicado a sua
elaborao e seu planejamento.

Maximilian Immo Orm Gorissen, como CEO da CompuStream Secury, descreveu o


objetivo de uma poltica desta maneira:

o conjunto de diretrizes, normas e procedimentos que devem ser seguidos


e que visam conscientizar e orientar os funcionrios, clientes, parceiros
e fornecedores para o uso seguro do ambiente, tanto fsico quanto o
informatizado, com informaes sobre como gerenciar, distribuir e proteger
seus principais ativos, as informaes.

Na prtica, ela serve como documento norteador para todos os outros relativos
segurana de uma empresa. Logo ela trata dos aspectos humanos, culturais, e

52
SEGURANA ORGANIZACIONAL UNIDADE III

tecnolgicos de uma empresa, seja ela pblica ou privada. Ela um documento nico,
no sentido de no existir uma poltica de segurana que possa ser aplicada em mais
de uma empresa pois cada um tem suas peculiaridades mesmo que sejam do mesmo
ramo de negcio, por exemplo, estas no teriam as mesmas estruturas fsicas, nem
vizinhana, bem como os mesmos colaboradores.

Planejamento
Segundo Nakamura (2007):

O planejamento da poltica de segurana exige uma viso mais


abrangente, de modo que os riscos sejam entendidos para que possam
se enfrentados. Normalmente, a abordagem com relao segurana
reativa, o que pode, invariavelmente, trazer futuros problemas para a
organizao.

de muita importncia que a poltica seja apoiada pelos altos executivos da empresa e
tambm divulgada para todos os colaboradores. Ela tambm deve ter carter proativo
pois existem estatsticas que demonstram que muitas empresas no sabem que foram
atacadas. Inclusive a tica que, se existe uma certeza, esta que um dia sua empresa
sofrer um ataque. O planejamento deve ser feito como carter geral e mais abrangente
possvel.

So alguns dos controles necessrios para uma boa poltica de segurana:

Software de deteco de vrus e cavalos de troia.

Software de controle de acesso lgico.

Mecanismos de controle de acesso fsico.

O mnimo que deve ser considerado na poltica, quanto a definio dos elementos da
Poltica de Segurana, o documento que a compe no deve ser complexo, para facilitar
sua leitura, e, tambm, no deve ser excessivamente tcnico. Mas deve apresentar
regras e procedimentos bem claros e definidos, tais como:

definio dos agentes envolvidos em segurana da informao dentro da


empresa;

classificao de informaes;

poltica de acessos externos e internos;

53
UNIDADE III SEGURANA ORGANIZACIONAL

poltica de uso da intranet e da internet;

eventos mnimos a serem logados nos Sistemas Corporativos;

trilhas de auditoria;

poltica de backup;

poltica de uso de software;

acesso fsico e lgico.

Segundo a norma ISO 27002, aps a elaborao da poltica importante haver uma
anlise crtica da mesma. Esta dividida em duas partes: controle e diretrizes para
implementao:

Controle

Convm que a poltica de segurana da informao seja analisada a intervalos


planejados ou quando mudanas significativas ocorrerem, para assegurar a sua contnua
pertinncia, adequao e eficcia.

Existe poltica de segurana na sua empresa? Est na dvida? Isto correto de


acontecer?

Elementos
Dentre os elementos que a poltica de segurana adequada deve possuir so os essenciais
para o combate a adversidades.

Segundo Hurley, os elementos essenciais para a definio da poltica de segurana e


para sua implementao so:

Vigilncia: consiste em manter todos os colaboradores da empresa seja ele


diretor ou do baixo escalo vigilantes e com entendimento da importncia
da segurana da informao. Isto deve ser feito por meio de palestras
de boas vindas, ou seja, a todos os colaboradores que esto entrando na
empresa, bem como tambm, sistematicamente, em perodos especficos
(trimestralmente, anualmente) para que todos estejam atualizados de
suas possveis alteraes. Tambm inclui monitoramento de sistemas
tcnicos e fsicos.

54
SEGURANA ORGANIZACIONAL UNIDADE III

Atitude: consiste que todos os colaboradores alm de saber de que se


trata a poltica de segurana tem de prezar para que ela seja aplicada.
Por exemplo, no adianta todos saberem que as cortinas da empresa tm
de estar fechadas para evitar possveis vazamentos se um funcionrio
que a ver aberta no toma atitude de fech-la. Logo, este item significa a
postura e a conduta quanto segurana.

Estratgia: possuir capacidade a adaptao a mudanas no ambiente.


Deve conter um plano de defesa contra intruses. Tambm de muita
importncia entender que uma poltica de segurana no deve influenciar
negativamente no andamento do negcio. Por exemplo, no posso proibir
a entrada de pessoas estranhas na minha empresa se o meu negcio de
vendas ao cliente, ou seja, como vou vender se o cliente no pode entrar
em minha loja?

Tecnologia: a soluo adotada deve ser flexvel e sobre medida para a


empresa. No adianta adquirir um equipamento subdimensionado
simplesmente porque mais barato, pois isto pode dar um falso
sentimento de segurana aumentando a vulnerabilidade da empresa.

Figura 20.

Fonte: Nakamura (2007).

Segundo Nakamura:

A poltica de segurana no deve conter detalhes tcnicos de mecanismos


a serem utilizados ou procedimentos que devem ser adotados por
indivduos particulares, mas, sim, regras gerais e estruturais que se
aplicam ao contexto de toda a organizao.

55
UNIDADE III SEGURANA ORGANIZACIONAL

Diretrizes para implementao


Convm que a poltica de segurana da informao tenha um gestor com responsabilidade
de gesto aprovada para desenvolvimento, anlise crtica e avaliao da poltica
de segurana da informao. Esta anlise deve incluir a avaliao de oportunidades
para a melhoria da poltica de segurana da informao da organizao e tambm
ter um enfoque para gerenciar a segurana da informao em resposta s mudanas
ao ambiente organizacional, s circunstncias do negcio, s condies legais ou ao
ambiente tcnico.

A poltica de segurana uma preocupao constante de empresas e organizaes em


geral atualmente. importante frisar que esta poltica deve ser elaborada sob medida
para cada organizao, pois cada uma tem a sua peculiaridade, seja pela sua estrutura
fsica, por seu quadro pessoal ou pelos ativos que a compe.

Esta poltica deve contemplar todos os setores da empresa, desde o estratgico, passando
pelo ttico e por fim o operacional. Para tanto, deve ser conhecido todos os processos
da organizao para que as diretrizes gerais sejam elaboradas. A partir destas diretrizes
sejam relacionadas s normas que sero seguidas por cada segmento ou grupo da
organizao e, a partir destas, os procedimentos e as instrues que cada colaborador
deve seguir.

Por fim, a tarefa de manter a segurana em um nvel desejado pela poltica no acaba
quando de sua implantao. Esta fase apenas o incio, pois, devido a evoluo do
mercado e da organizao, ela tem de estar em constante adaptao.

Poltica de segurana pode ser definida como um grupo de diretrizes que geram normas
as quais se transformam em procedimentos que norteiam as atividades e os processos
de uma organizao de forma a manter a informao da empresa com risco aceitvel.

Estas Diretrizes devem fazer para das atividades exercidas pelo grupo estratgico da
organizao. J todo o grupo ttico desta deve estar ciente das normas a serem seguidas.
E por fim, o grupo operacional deve ter em mos os procedimentos e as instrues que
tero de adotar para que a segurana seja mantida.

Desta forma, podemos dizer que a poltica, no seu contexto geral, pode ser ilustrada
pela figura 21.

56
SEGURANA ORGANIZACIONAL UNIDADE III

Figura 21.

Fonte: Smola (2003).

Esta pirmide refora que todos da empresa tm de participar para que seja atingido
o nvel de segurana desejado. Isto que dizer que desde o diretor da empresa at o
faxineiro tm de estar conscientizado de como proceder para que o objetivo geral seja
atingido.

Para Emilio e Maximilian, em suas definies e descries de objetivos, como benefcios


da adoo de uma poltica de segurana adequada teremos:

Serve como referncia para anlise de desempenho de mecanismos de


segurana.

Ajudam a garantir a consistncia em sistemas de segurana.

Estipulam as consequncias caso falhas ocorram.

Servem como guia para segurana da informao.

Definem utilizao aceitvel.

Permitem que a equipe de segurana seja amparada pelo aval do corpo


diretor da organizao.

Para que estes benefcios sejam atingidos, as polticas devem ser bem debatidas por
todos da organizao por meio de palestras, reunies e brainstorms compostos por
todos que possam contribuir positivamente.

57
UNIDADE III SEGURANA ORGANIZACIONAL

Descrio do contedo por diretrizes, normas e


procedimentos

Diretrizes:

Valor da informao e comprometimento da organizao com a segurana.

Sistema de classificao.

Responsabilizao.

Designao Security Officer.

Perodos de reviso.

Normas:

Cada norma deve possuir um dono.

So especficas para determinadas atividades.

No devem depender da tecnologia aplicada.

Procedimentos e instrues:

Devem ser regidos por uma norma.

Aplicam a tecnologia para atender a norma.

A poltica no deve ser excessivamente tecnolgica. Este um erro comum, porm


muito grave. A poltica de segurana deve abranger tanto o aspecto tecnolgico como
tambm o aspecto humano da organizao, pois, este um grande motivo de quebra de
segurana seja por um erro no intencional ou por ataques com a tcnica de engenharia
social.

importante dizer que a poltica de segurana no deve ser esquecida aps a sua
implantao. Como tanto o cenrio interno e tambm o externo das organizaes esto
sempre em constante mudana, ser necessrio que sejam feitos ajustes e mudanas
para que a poltica continue atingindo os seus objetivos.

58
SEGURANA ORGANIZACIONAL UNIDADE III

Maiores obstculos
Alm dos obstculos comuns existentes por qualquer documentao norteadora de
segurana, muitos outros podem surgir durante a implantao. Wood (1999) cita as
seguintes:

Desculpe, no existem recursos financeiros suficientes e as prioridades


so outras.

Por que voc continua falando sobre a implementao da poltica?.

Foram feitos todos os esforos para o desenvolvimento da poltica, isso


tudo?.

Temos realmente que fazer tudo isso?.

O que voc quer dizer com existem dependncias.

O que voc quer dizer com ningum sabe o que fazer depois.

Desculpe isso muito complexo.

A poltica de segurana vai fazer com que eu perca meu poder?.

Por que eu tenho de me preocupar com isso? Esse no meu trabalho.

No podemos lidar com isso pois no temos um processo disciplinar.

Estrutura de uma poltica de segurana


Nesta seo eu apresento um modelo de estrutura de segurana da informao que
deve ser mudada de acordo com a organizao. Como j foi salientada em vrios
momentos, a poltica muda de empresa para empresa mesmo que sejam matriz e filial.
Uma atitude que pode ser tomada que os detalhes necessrios sejam inseridos em
normas, procedimentos e polticas especficas para cada caso. Logo segue um exemplo
de estrutura descrito por Nakamura:

1. Introduo

1.1. Poltica de segurana

1.1.1. Informaes gerais

1.1.2. Objetivos

59
UNIDADE III SEGURANA ORGANIZACIONAL

1.2. Estrutura de responsabilidade organizacional

1.2.2.1. Servios de informao corporativos

1.2.2.2. Servios de informao de unidades de negcios

1.2.2.3. Organizaes internacionais

1.2.2.4. Encarregados

1.2.1. Padres de segurana

1.2.1.4.1. Confidencialidade

1.2.1.4.2. Integridade

1.2.1.4.3. Autorizao

1.2.1.4.4. Acesso

1.2.1.4.5. Uso apropriado

1.2.1.4.6. Privacidade dos funcionrios

2. Descrio do sistema

2.1. Papel do sistema

2.1.1. Tipo de informao manipulada pelo sistema

2.1.2. Tipos de usurios (administrativos, usurio normal, controlador de


impresso etc.)

2.1.3. Nmeros de usurios

2.1.4. Classificao de dados

2.1.5. Quantidade de dados

2.1.6. Configurao do sistema

2.1.6.1. Nmero de terminais

2.1.6.2. Nmero de consoles de controle

2.1.6.3. Nmero de tipos de terminais (inteligentes, de impresso etc.)

2.1.6.4. Arranjos para carregamento de mdia

2.1.6.5. Software
60
SEGURANA ORGANIZACIONAL UNIDADE III

2.1.6.6. Interconexes

3. Requisitos de segurana e medidas

3.1. Ameaas confidencialidade, integridade e disponibilidade dos dados

3.2. Natureza e recursos de possveis atacantes e atratividade dos sistemas e dos


dados como alvo.

3.3. Impacto do comprometimento acidental dos dados

4. Plano de resposta a incidentes de segurana

4.1. Preparao e planejamento da resposta a incidentes

4.2. Notificao de pontos de contato

4.3. Identificao de incidente

4.4. Resposta a um incidente

4.5. Consequncias de um incidente

4.6. Forense computacional e implicaes legais

4.7. Contatos de relaes pblicas

4.8. Passos-chave

4.8.1. Conteno

4.8.2. Erradicao

4.8.3. Recuperao

4.8.4. Acompanhamento

4.9. Responsabilidades

5. Contatos e outros recursos

6. Referncias

Volto a frisar que este serve como um modelo que provavelmente no ser idntico ao
ideal a ser aplicado em sua empresa, mas pode ser um elemento norteador para auxlio
da criao de uma poltica de segurana.

61
UNIDADE III SEGURANA ORGANIZACIONAL

A poltica de segurana:

nica.

Deve ser atualizada periodicamente.

No pode ter o contexto excessivamente tcnico.

Deve ter a anuncia da alta direo da empresa.

Deve ser conhecida por todos os colaboradores.

Deve conter informaes de segurana fsica.

62
CAPTULO 2
Sistema de Gesto de Segurana da
Informao SGSI

Introduo
Segundo a ISO 27001:

A organizao deve estabelecer, implementar, operar, monitorar,


analisar criticamente, manter e melhorar um SGSI (Sistema de
Segurana da Informao) documentado dentro do contexto das
atividades de negcio globais da organizao e os riscos que ela
enfrenta.

Segundo a mesma norma, a poltica do Sistema de Gesto de Segurana da Informao


por hierarquia superior a Poltica de Segurana da Informao descrita no captulo
anterior. Isto significa que a primeira um elemento norteador da segunda.

Basicamente, o Sistema de Gesto de Segurana da Informao dividido em quatro


partes para facilitar a sua implantao. Antes de descrever as partes especficas deste
sistema descrevo a seguir o modelo, utilizado pela norma, para estabelec-las. Este o
PDCA.

Este acrnimo (PDCA) descreve as quatro etapas do processo de melhoria contnua e


contextualizando-a em como ela atua nos sistemas de segurana, temos:

Plan (planejar): estabelece a poltica, os objetivos, os processos e os


procedimentos do Sistema de Gesto de Segurana da Informao,
relevantes para a gesto de riscos e a melhoria da segurana da
informao para produzir resultados de acordo com as polticas e os
objetivos globais em que deve ser planejado. Exemplos: Plano Diretor,
Plano de Continuidade de Negcios, Polticas de segurana, Declarao
de aplicabilidade, entre outros.

Do (fazer): implementa e opera os planos, as polticas, os controles e


os procedimentos criados no planejamento. Exemplos: controles de
segurana, treinamento de sensibilizao, entre outros.

63
UNIDADE III SEGURANA ORGANIZACIONAL

Check (checar): avalia e, quando aplicvel, mensura o desempenho de


um processo frente a poltica, os objetivos e a experincia prtica do SGSI
e apresenta os resultados para a anlise crtica pela direo. Exemplos:
avaliao de anlise de risco, deteco de intruso, auditorias internas ou
at externas, testes de invaso, entre outros.

Act (agir): executa as aes corretivas e preventivas, com base nos


resultados das auditorias e da anlise crtica pela direo ou outra
informao pertinente, para alcanar a melhoria do sistema como um
todo. Um exemplo a resposta a incidentes.

Figura 22.

Fonte: Bezerra (2014).

O controle (check), etapa descrita por este ciclo, serviria para que as mudanas
internas e externas no aumentassem os riscos. Estes seriam avaliados constantemente
repassando as possveis novas vulnerabilidades para uma adaptao da poltica vigente.

Agora que sabemos o modelo em que foram baseadas as fases do sistema, podemos
descrev-las.

Estabelecer o SGSI
Nesta fase, deve estabelecer o escopo e os limites do SGSI de acordo com as peculiaridades
do negcio.

Aes a serem tomadas:

1. Atender aos requisitos, regulamentao, legalidade do negcio.

64
SEGURANA ORGANIZACIONAL UNIDADE III

2. Ter uma definio dos critrios em que os riscos sero avaliados.

3. Identificar os riscos, formas de controle que sero utilizados, avaliar


possveis riscos residuais.

4. Ser aprovada e ter o ciente de possveis resduos de riscos aceitveis pela


direo da empresa.

5. Defina objetivos e controles que estabelea direcionamento global do


sistema.

6. Preparar uma declarao de aplicabilidade do sistema.

Implementar o SGSI
Deve formular um plano de tratamento de riscos, implement-lo e medir a eficcia dos
controles estabelecidos. Este plano o cerne desta fase.

Aes a serem tomadas:

1. Elaborar e implementar o plano de tratamento de riscos.

2. Criar controles de verificao para aes do plano.

3. Criar formas de mensurar e gerenciar se os controles esto atingindo aos


objetivos.

4. Conscientizar colaboradores e terceirizados da importncia dos controles


implementados.

5. Implementar formas de identificar e detectar incidentes de segurana da


informao.

1. Gerenciar os recursos do Sistema de Gesto de segurana da Informao.

Monitorar e analisar criticamente o SGSI


Prontamente detectar erros, tentativas de violaes de segurana, bem-sucedidas ou
no, identificando incidentes. Determinar e relacionar aes tomadas.

65
UNIDADE III SEGURANA ORGANIZACIONAL

Aes a serem tomadas:

2. Detectar erros nos controles aplicados na implementao e tentativas de


burla-los.

3. Criar ferramentas de monitoramento para que a direo tenha respaldo


para anlise da eficcia do sistema.

4. Agendar auditorias internas, ou at, externas agendadas.

5. Realizar anlise crticas dos controles aplicados e seus resultados.

6. Atualizar os planos e controles.

Manter e melhorar o SGSI


Implementar melhorias, executar aes preventivas e corretivas e comunica-las a todas
as partes interessadas.

Aes a serem tomadas:

1. Implementar melhorias identificadas no monitoramento e auditorias.

2. Aplicar aes preventivas e corretivas do sistema.

3. Comunicar a todos os interessados as aes de melhorias aplicadas.

Figura 23.

Fonte: <http://s.profissionaisti.com.br/wp-content/uploads/2010/10/PDCA_SGSI.jpg>. Acesso em: 2/9/2016.

Qual a etapa mais difcil de implementao do sistema de gerenciamento de


segurana da informao? Existe um em sua empresa?

66
SEGURANA ORGANIZACIONAL UNIDADE III

Plano diretor de segurana da informao


Um dos pontos a serem realizados no planejamento do Sistema de Gesto de segurana
da informao o Plano diretor de segurana da informao.

Para criao dele, devemos seguir os seguintes passos.

Misso e Escopo

Misso: deve exprimir direcionamento. Direcionar a estratgia de


segurana da empresa visando mitigar os riscos inerentes ao negcio
para maximizar os lucros e minimizar prejuzos. Segundo Lira:

o detalhamento da razo de ser de uma empresa. Mostra, ento, o


porqu da sua empresa existir. Tambm deve deixar claro o segmento
em que o negcio est inserido e como a empresa espera ser reconhecida
por seus clientes, fornecedores e parceiros.

Escopo: define o mbito do Plano. Processos internos da organizao.


Segundo Dismore: um processo de descrio detalhada do objetivo do
projeto.

Identificao dos processos

Os processos so as atividades que juntas fazem com que o negcio funcione. A sua
identificao basicamente tem 4 (quatro) fases.

Deve-se fazer o mapeamento de negcios crticos, fazendo a identificao dos gestores


dos processos. Este momento marco do incio da integrao e comprometimento de
gestores, bem como incio do entendimento sobre funcionamento do negcio.

Figura 24.

Fonte: Smola.

A identificao de processos normalmente gera um fluxograma que interliga todas as


atividades do negcio.

67
UNIDADE III SEGURANA ORGANIZACIONAL

Mapeamento de relevncia

Sabendo quais so os processos que movem o negcio o momento de enquadra-los de


maneira a encontrar quais os mais crticos da lista, ou seja, identificar quais processos
so imprescindveis para que o negcio tenha continuidade. Este mapeamento tambm
pode ser dividido em 4 (quatro) fases.

Deve-se fazer o mapeamento da relevncia dos processos de negcio com o envolvimento


dos gestores com viso holstica do negcio tendo o cuidado com a percepo dos fatores
importantes e com critrios bem definidos.

A partir do momento que se sabe qual a relevncia de cada processo, entende-se que
se faz necessrio identificar quais conceitos seriam quebrados caso cada processo,
principalmente os mais crticos, parem.

Quadro 4.

Escala Auxlio de interpretao


1 No Considervel Pode provocar impactos irrelevantes.
2 Relevante Pode provocar impactos considerveis.
3 Importante Pode provocar impactos parcialmente significativos.
4 Crtico Envolve a paralizao de Processos de Negcio, podendo provocar impactos significativos.
Envolve o comprometimento do processo de negcio podendo provocar impactos incalculveis na
5 Vital
recuperao e na continuidade do negcio.

Fonte: Smola.

Estudo de impacto CIDAL

A sigla CIDAL um acrnimo com as letras iniciais dos conceitos de segurana.


Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade. A ideia
estimar o quanto o processo importante para a empresa. Isto, na realidade, significa
classificar a sensibilidade CIDAL de cada processo. O envolvimento dos gestores com
viso isolada de processos importante, pois como so donos deles, so as pessoas, mas
capazes de executar esta tarefa.

68
SEGURANA ORGANIZACIONAL UNIDADE III

Quadro 5.

Processo de Venda Conceitos Aspectos

Confidencialidade

Disponibilidade

Autencidade
Integridade

Legalidade
Escala

1 No Considervel
2 Relevante
3 Importante
4 Crtico
5 Vital

Fonte: Semola.

O quadro 5 descreve uma tabela na qual pode ser avaliado o processo de venda de uma
empresa.

Estudos de prioridades

O estudo de prioridades consiste em classificar os processos quanto a gravidade,


urgncia e tendncia (GUT).

1. Quanto a gravidade:

Analisar se, caso algum fato atingir qualquer um dos conceitos e aspectos, provocando
a quebra da segurana, o que aconteceria ao negcio.

1. Sem gravidade.

2. Baixa gravidade.

3. Mdia gravidade.

4. Alta gravidade.

5. Altssima gravidade.

69
UNIDADE III SEGURANA ORGANIZACIONAL

Quadro 6.

Processo de Vendas

Gravidade
Escala

1 Sem gravidade
2 Baixa gravidade
3 Media gravidade
4 Alta gravidade
5 Altssima gravidade

Fonte: Smola.

Nesta atividade, deve-se considerar a severidade do impacto.

Segundo Smola, a anlise consiste em:

O que seria do processo de aprovao de crdito de uma instituio


financeira, se a base de dados dos clientes fosse corrompida, tendo sua
integridade atingida?

1. Quanto a urgncia:

Caso ocorra algum incidente com o processo para solucionar os efeitos do ocorrido,
quanto celeridade, como reduzir os riscos no processo, a grande finalidade do plano
diretor. Nesta atividade, voc avaliaria qual a real velocidade seria necessria para
solucionar o problema. Sendo assim poderamos classificar em:

1. Sem pressa.

2. Tolerante espera.

3. O mais cedo possvel.

4. Com alguma urgncia.

5. Imediatamente.

70
SEGURANA ORGANIZACIONAL UNIDADE III

Quadro 7.

Processo de Vendas

Gravidade
Escala

1 Sem pressa
2 Tolerante a espera
3 O mais cedo possvel
4 Com muita urgncia
5 Imediatamente

Fonte: Smola.

Deve considerar o tempo de durao dos impactos associados segundo Smola: O que
seria do processo de aprovao de crdito de uma a financeira, se a base de dados dos
clientes permanecesse corrompida 2 dias consecutivos?.

1. Quanto a tendncia:

Consiste nos riscos se nenhuma atividade preventiva ou corretiva for aplicada qual
seria a tendncia de acontecer um incidente Neste caso poderamos classificar em um
dos 5 graus abaixo:

1. No vai agravar.

2. Var agravar em longo prazo.


3. Vai agravar em mdio prazo.
4. Vai agravar em curto prazo.
5. Vai agravar imediatamente.

Quadro 8.

Processo de Vendas
Tndncia

Escala

1 No vai gravar
2 Vai agravar em longo prazo
3 Vai agravar em mdio prazo
4 Vai agravar em curto prazo
5 Vai agraver imediatamente

Fonte: Smola.

71
UNIDADE III SEGURANA ORGANIZACIONAL

Deve considerar a oscilao da importncia dos impactos associados diretamente.


Segundo Smola, O que seria do processo de aprovao de crdito de uma instituio
financeira, se a base de dados dos clientes fosse corrompida a curto, mdio e longo
prazos, tendo sua integridade atingida?.

Por fim, ento, Smola prope que aps a identificao da pontuao, a partir da
multiplicao entre os fatores e os valores encontrados, chegamos a um resultado que
qualifica a importncia do processo. Pode-se, ento, ilustra-lo por meio de cores, por
exemplo:

1. 1-42 (VERDE).

2. 43 83 (AMARELO).

3. 84 125 (VERMELHO).

Neste caso, a cor verde classifica os processos menos crticos e a vermelha os processos
mais crticos.

Estudo de permetros

O estudo de permetros o momento de unir conceitos. Nele se faz necessrio identificar


em que processos os ativos do negcio iriam influenciar caso deixassem funcionar. Isto
chamado Mapeamento dos ativos. O mapeamento da relao entre ativos e processos
de negcio chamado do estudo de permetros.

Neste estudo, voc vai identificar caso a base de dados de clientes seja corrompida
no ser possvel que o processo de identificar devedores da empresa, por exemplo.
Logo este processo depende diretamente do referido banco de dados o qual muito
importante.

Estudo de atividades

Depois de todas estas atividades, importante que a empresa se preocupe em nomear,


ou at, contratar colaborados para montar os grupos importantes para manter e criar a
segurana. Dentre os possveis grupos podemos citar:

Organizao do Comit Corporativo de Segurana.

Organizao do Security Office.

Organizao de Comits Interdepartamentais de Segurana.

72
NORMAS E UNIDADE IV
PADRES

CAPTULO 1
ISO 27001 e 27002

Introduo
As normas ISO 27001 e 27002 praticamente se completam. Uma define os requisitos
para um bom sistema de segurana da informao e a outra identifica controles para
implementao deste sistema. Elas devem ser utilizadas pela empresa juntas com a
implementao dos controles da 27002 para conceber um SGSI ideal para empresa.

Existem ainda mais normas da Famlia 27000. A 27003 (guia de implementao);


27004 Padronizao de medio do gerenciamento de segurana da informao
sugerindo mtricas para ajuda da implementao. 27005 Padronizao de
Gerenciamento de Risco; 27006 Guia de certificaes e registros dos processos do
SGSI; e 27007 Guia de Auditoria.

Todas elas ajudam as empresas a manter a segurana a nveis desejveis.

73
UNIDADE III SEGURANA ORGANIZACIONAL

Figura 25.

Fonte: <http://www.devmedia.com.br/cobit-4-1-entendendo-seus-principais-fundamentos/28793>. Acesso em: 2/9/2016.

ISO 27001
Formalmente conhecida como ISO 27001:2005, esta norma relaciona os itens genricos
requisitados para um Sistema de Gesto de Segurana da Informao. Contm neles
requisitos de polticas e procedimentos com abordagem tcnica, fsica e organizacional.
Ela possui uma certificao que pode ser obtida por empresas.

Ela estruturada em 9 (nove) tpicos. So eles:

1. Introduo.

2. Objetivo.

3. Referncia normativa.

4. Termos e definies.

5. Sistema de gesto de segurana da informao.

6. Responsabilidade da direo.

7. Auditorias internas do SGSI.

8. Anlise crtica do SGSI pela direo.

9. Melhoria do SGSI.

A norma usa um modelo de estrutura com o objetivo de minimizar ou at neutralizar os


riscos ao negcio. Esta especificao divide o plano em seis partes:

74
1. Definio da poltica de segurana.

2. Definio do escopo do Sistema de Gesto de Segurana da Informao.

3. Conduta de aceitao do risco.

4. Gerenciamento e identificao de riscos.

5. Seleo de controles e objetivos a serem implementados.

6. Preparao de aceitao e aplicabilidade.

Quanto aos requisitos de documentao, devem ser monitorados e analisados


pela Direo da empresa. Portanto, importante que em todos os documentos seja
acrescentada a comprovao de anuncia da direo que pode ser feita por meio de
assinatura fsica ou digital. Alm disso, devem estar disponveis a ela uma forma de
monitoramento dos controles de maneira a fcil anlise e comprovao que o Sistema
de Gesto de Segurana da Informao esteja sendo cumprido.

Estes documentos devem ser protegidos de acordo com o nvel de sigilo indicado de
maneira que apenas pessoal autorizado tenha acesso.

tambm de importante que seja fornecida pela direo evidncias do seu


comprometimento com todo o processo, como, por exemplo: comprovante de
comparecimento em palestras de conscientizao e assinatura em pareceres tcnicos.

Por fim, por meio de softwares ou visitas programadas, importante que sejam
feitas auditorias, que podem ser internas ou externas, programadas e de surpresa,
supervisionadas pela Direo para comprovao de que todos os colaboradores esto
comprometidos com o Sistema.

Voc acha importante uma empresa obter a certificao ISO 27001? Quais
seriam as vantagens disso? Agora que voc conhece um pouco sobre a norma,
faria diferena se voc soubesse que a empresa que mantm relacionamento
possui esta certificao?

75
UNIDADE IV NORMAS E PADRES

A leitura da norma da norma ISO 27001 completa importante para todos que
pretendem ser profissionais em segurana de TI.

Figura 26.

Fonte: <http://image.slidesharecdn.com/gestodeseguranadainformaoparaconcursos-questescespe01-140701212720-
phpapp01/95/gesto-de-segurana-da-informao-para-concursos-questes-cespe-01-11-638.jpg?cb=1404250115>. Acesso em:
2/9/2016.

ISO 27002
Esta norma contm os controles que devem ser utilizados para implementao dos
conceitos descritos na norma ISO 27001 e deve ser utilizada como conjunto completo
de controles para segurana da informao. Ela possui uma certificao que pode ser
obtida por profissionais. Originalmente nomeada como ISO/IEC 1779, foi publicada em
2000 e atualizada em 2013, quando houve uma alterao no nmero de tpicos de sua
estrutura.

Ela estruturada em 19 (dezenove) tpicos:

1. Introduo.

2. Objetivo.

3. Normas referenciadas.

76
NORMAS E PADRES UNIDADE IV

4. Termos e definies.

5. Estrutura desta norma.

6. Poltica de segurana da Informao.

7. Organizando a segurana da informao.

8. Controles de acesso.

9. Segurana de recursos humanos.

10. Gerenciamento de ativos.

11. Criptografia.

12. Segurana fsica de ambientes.

13. Segurana de operaes.

14. Segurana de comunicaes.

15. Sistema de aquisio, desenvolvimento e manuteno de sistemas de


informao.

16. Relacionamento com fornecedores.

17. Gesto de incidentes de segurana da informao.

18. Aspectos de segurana da informao de gerenciamento de continuidade


do negcio.

19. Conformidade.

A ordem dos tpicos no est de acordo com grau de importncia. Nem significa que
todos eles so obrigatrios. Cabe ao responsvel pela segurana em conjunto com a
Direo da empresa detectar quais os itens mais importantes e quais podem no ser
levados em considerao.

importante ter um objetivo de controle que define o que se deseja alcanar, bem
como um ou mais controles que devem ser aplicados para que estes objetivos sejam
alcanados.

No item de avaliao/anlise de riscos, importante que seja bem criterioso na


identificao dos riscos existentes, bem como que os quantifique de maneira a facilitar
as tarefas de segurana.
77
UNIDADE IV NORMAS E PADRES

A figura 27 descreve hierarquicamente o que deve ser cumprido, segundo esta norma.

Figura 27.

Fonte: <https://aghatha.files.wordpress.com/2011/06/piramede.png?w=500>. Acesso em: 2/9/2016.

A leitura da norma da norma ISO 27002 completa importante para todos que
pretendem ser profissionais em segurana de TI.

78
NORMAS E PADRES UNIDADE IV

CAPTULO 2
Demais normas e padres

Cobit
O acrnimo COBIT significa, em ingls, Control Objectives for Information and
Related Technology, ou seja, Objetos de Controle para Informao e Tecnologia. Este
modelo utilizado para governana de TI. Ele contm prticas e tcnicas de controle e
gerenciamento de ativos. Estes podem ser categorizados em:

1. Fsicos: seo de patrimnio para manuteno dos ativos com


colaboradores capacitados para tal. importante ter uma forma de
relacionar os ativos, onde esto localizados e quem so os responsveis
por ele.

2. Financeiros: planilhas eletrnicas e estruturas de cdigos de pagamentos


como sistemas SAP podem ajudar na governana deste item.

3. Humanos: como exemplo de mecanismos que podem gerenciar este tipo


de ativo temos: cadastro de funcionrios com formao e dados pessoais.
Por meio deste cadastro, podemos ter a governana dos colaboradores da
empresa.

4. De propriedade intelectual: com catalogados em sistema e listando,


inclusive, os patenteados. Tambm importante uma ferramenta para
auditoria de softwares instalados por dispositivos.

5. Informao de TI: a informao um ativo muito importante para


qualquer empresa, independente do tipo de negcio. Logo, elas devem
ser armazenadas em servidor e deve-se ter o cuidado de executar backups
peridicos de acordo com o nvel de sazonalidade deles. Ou seja, por
exemplo, podem ser semanais, dirios, por hora, ou at, por evento.

6. Relacionamento: um sistema de cadastro de fornecedores e clientes que


pode ser utilizado por qualquer um dos colaboradores responsvel por
ele.

Para que haja um controle de todos os tipos, o diretor deve nomear um responsvel por
cada um deles. Esta responsabilidade requer habilidade pessoal e treinamento para

79
UNIDADE IV NORMAS E PADRES

tal. Por exemplo, na parte financeira, a maioria das empresas tem um ordenador de
despesas que gerencia pagamentos e despesas.

O Cobit baseado na premissa que a TI tem de entregar a informao para que


a empresa possa atingir seus objetivos. Logo, o objetivo da Governana de TI e
consequentemente do modelo Cobit um modelo a fim de auxiliar no preparo de
auditorias, acompanhamento/monitoramento, a avaliao de processos de TI e auxiliar
a empresa a atingir as metas desejadas.

Figura 28.

Objetivos do
Negcio

Governana de TI
COBIT
Informao

Controle e Efetividade Planejamento e


Eficincia
Avaliao Confidencialidade
Organizao
Integridade
Disponibilidade
Fidelidade
Confiabilidade

Recursos de TI

Pessoas
Entrega e Sistemas de Aquisio e
Informao
Suporte Tecnologia Implementao
Infraestrutura
Dados

Fonte: <http://www.tecnoponta.com.br/certificacoes-cobit/>. Acesso em: 2/9/2016.

ISO/IEC 15408
Esta norma tem como objetivo definir os processos de desenvolvimento, manuteno e
anlise de sistemas informatizados, contedo funcional de segurana a serem avaliados
em uma avaliao de segurana.

Ela dividida em 17 tpicos:

1. Escopo: componentes de segurana funcional so a base para segurana


de Tecnologia da Informao expressados na proteo de arquivos e de
objetivos.

80
NORMAS E PADRES UNIDADE IV

2. Referncias normativas: a referncia de normas essencial e indispensvel


para o sucesso na aplicao desta norma.

3. Termos e definies, smbolos e abreviaes: descreve itens utilizados


pela norma.

4. Resumo: resume os objetivos a serem atingidos por todos os tpicos.

5. Requerimentos de paradigma funcional: itens necessrios a quebra de


paradigma em processos da empresa.

6. Componentes funcionais de segurana: itens necessrios para


implementao correta de segurana.

7. Auditoria de segurana: formas de auditar a segurana da informao.

8. Comunicao: prover duas famlias especficas que identifica as partes


integrantes da troca de dados.

9. Suporte criptogrfico: emprega funcionalidade de criptografia para


ajudar em alto nvel de satisfao de objetivos de segurana.

10. Proteo de dados de usurios: funes de segurana e polticas relativas


a proteo de dados de usurios.

11. Identificao e autenticao: estabelece funes para estabelecimento e


verificao de identificao de usurios.

12. Gerenciamento de segurana: especifica aspectos de gerenciamento de


atributos, dados e funes.

13. Privacidade: contm requerimentos de privacidade que prover a proteo


contra descobrimento e abuso de identidade por outros.

14. Proteo de exportao e Backup: proteo de dados na execuo e


restaurao de backups.

15. Utilizao de recurso: suporte e avaliao de recursos como processamento


e capacidade de armazenamento.

16. Controle de sesso de usurio: especifica requerimentos de controle e


estabelecimento de sesso de usurios.

17. Caminhos e canais confiveis: prover segurana de comunicao confivel


entre usurios e softwares.

81
UNIDADE IV NORMAS E PADRES

Como se pode verificar pela abrangncia dos tpicos, esta norma contm tudo sobre
os processos e procedimentos de segurana aplicveis em uma empresa, de forma a
atingir um nvel de segurana aceitvel.

ITIL
O acrnimo ITIL IT Infrastructure Library, ou seja, em traduo livre significa
Biblioteca de Infraestrutura de Tecnologia da Informao, foi desenvolvido pela
Agncia Central de Computadores e Telecomunicaes como um conjunto de cdigos
abrangentes e inter-relacionados de melhores prticas para gerenciamento de servios
de TI.

Atualmente na verso 3, o Framework ITIL composto de cinco livros principais


(Estratgia do Servio, Desenho do servio, Operao do servio, Transio do servio
e Melhoria contnua do servio) e, tambm, livros complementares, que fornecem
orientaes para provedores de servios de TI de maneira a fornece-los com qualidade
abordando processos, funes e demais habilidades necessrias. Estas orientaes
no so especficas e obrigatrias a todas as empresas de TI. Elas devem adaptadas ao
modelo de negcio da empresa de maneira a melhorar consideravelmente a qualidade
do servio prestado.

Figura 29.

Fonte: <http://videos.web-03.net/artigos/Ivania_Ramos/Biblioteca_ITIL/Biblioteca_ITIL3.jpg>. Acesso em: 2/9/2016.

82
NORMAS E PADRES UNIDADE IV

Mas qual seria a finalidade de gerenciar


servios de TI?
A maioria das empresas atuais est diretamente dependente da rea de Tecnologia
mesmo que a tenha como sua atividade fim. Isto significa que, por exemplo, uma
construtora no conseguiria entregar uma ponte em tempo hbil se no existisse um
sistema de recursos humanos para gerenciar os profissionais responsveis pela obra;
sem um sistema de gerncia de compras e almoxarifado, ou at um sistema para clculo
de composio de matrias. Logo se TI no est funcionando corretamente, entregando
informaes quando solicitada, no prazo correto e com qualidade compromete o
trabalho como um todo. Com isso a gerncia dos servios de TI tem por finalidade:

Adaptar-se rapidamente s necessidades do negcio.

Justificar o ROI (Retorno sobre o Investimento).

Reduzir custos desnecessrios.

Reduzir a indisponibilidade de recursos de TI a nvel ideal.

Seguir regulamentos e Leis vigentes.

A adoo das boas prticas propostas pela ITIL visa atingir todos os objetivos descritos
acima. Ela descreve prticas que permitem s empresas, seja ela pblica ou privada,
entregar benefcios, retorno ao investimento e sucesso sustentado.

Os benefcios obtidos com sua implementao podem ser categorizados de maneira


diferente dependendo de onde for aplicado:

1. Para o negcio:

Servios estveis de TI.

Tornar os servios de TI adaptveis a mudanas tecnolgicas.

Reduo de riscos operacionais.

Servios de qualidade com custos apropriados.

2. Para a Organizao de TI:

Enfoque profissional orientado em manter e melhorar o valor dos


servios de TI.

Melhorar gerncia e conscientizao da gesto de TI.

83
UNIDADE IV NORMAS E PADRES

Aumentar a motivao do pessoal de TI.

3. Para o profissional:

Fortalecimento profissional.

Entendimento do impacto das atividades de TI no negcio.

Conscientizao da necessidade de entrega dos servios nos prazos e


com qualidade.

Abertura de melhores oportunidades dentro na organizao.

Existe uma norma ou framework que seja mais importante para ser seguido?
Caso voc precisasse implementar todas elas em sua empresa voc iniciaria com
qual delas?

84
CAPTULO 3
tica na computao

Introduo
A tica a cincia importante em todos os seguimentos da sociedade. Ela se confunde
com a palavra moral em portugus.

Segundo Meucci:

Definir o que um agir tico, moral, correto ou virtuoso se inscrever


numa disputa social pela definio legtima da boa conduta. Da conduta
verdadeira e necessria. Avaliar a melhor maneira de agir pode ser
visto de pontos de vista totalmente diversos. Marxistas, liberais,
mulumanos, psicanalistas, jornalistas e polticos agem e valoram as
aes de maneira diferente. Porm todos eles lutam pela definio mais
legitima de uma boa ao ou da ao correta.

Ramos, em um artigo descreve assim moral e tica:

tica: Estudo dos juzos de apreciao referentes conduta humana suscetveis


de qualificao do ponto de vista do bem e do mal, seja relativamente a
determinada sociedade, seja de modo absoluto.

Moral: Conjunto de regras de conduta consideradas como vlidas,


quer de modo absoluto para qualquer tempo ou lugar, quer para grupo
ou pessoa determinada.

muito normal que estes dois termos sejam identificado como o mesmo significado,
porm, apesar de se relacionarem, isto no verdade. na realidade um modo de ser,
ou seja, como agir em uma determinada situao da vida. Logo, ela uma postura
pessoal que pressupe a liberdade de escolha. A moral na realidade fruto dos padres
que a sociedade impe, ou seja, regras determinadas pela prpria sociedade.

A moral baseada nos conceitos pessoais, poca e o lugar em que est sendo aplicada,
ou seja, o que moral para uma pessoa pode no ser para outra. Uma coisa moral no
Brasil pode no ser moral nos Estados Unidos, bem como o que o moral hoje poderia
no ser moral no sculo passado.

85
UNIDADE IV NORMAS E PADRES

Por fim, Cunha escreveu:

Ningum nasce com tica ou com moral. So construes culturais e simblicas.


As pessoas podem aprender tica na famlia, na escola, na rua, no trabalho.
Esses conceitos so adquiridos ao longo da experincia humana, seja pela
cultura, pelas regras jurdicas, pela educao ou por reflexes pessoais.

J Santos escreveu:

A tica quem define se cada uma das morais valida no ambiente em que
atuam, determina se so boas fontes de aconselhamento na hora de fazer um
escolha do tipo copiar ou no copiar? e verifica se no est havendo alguma
influncia poltica ou social de alguma organizao ou grupo no estabelecimento
destes conceitos. Num futuro prximo, talvez as opinies sejam outras e fatores
tecnolgicos, jurdicos, etc. podem mudar o ponto de vista tico da situao.

Por ser uma questo cultural, importante estudarmos a tica na computao e por
isso que este tpico descrito a seguir.

Figura 30.

TICA MORAL
Princpios ticos Cdigo de conduta

TICA PRINCIPIO MORAL CONDUTA ESPECFICA

TICA PERMANENTE MORAL TEMPORAL

TICA UNIVERSAL MORAL CULTURAL

TICA REGRA MORAL CONDUTA DA REGRA

TICA TEORIA MORAL PRATICA

TICA REFLEXO MORAL AO

TICA TRATA DO BEM/MAL MORAL TRATA DO CERTO/ERRADO

Atico=Ausncia de tica Amoral = Ausncia de Moral

Antitico=Contrrio de tica Imoral=Contrrio de Moral


Fonte: <http://1.bp.blogspot.com/-bNkta7j67cw/Vt74kvcCM5I/AAAAAAAAAAQ/3vSJo3lLdQc/s1600/12833413_108807052458958
8_844367102_n.jpg>. Acesso em: 2/9/2016.

86
tica na computao
Como existe uma grande evoluo na utilizao de tecnologia da informao nos
negcios atuais, mesmo que ela no seja a atividade fim dele, houve um crescimento na
preocupao com a tica neste segmento.

Existe um cdigo de conduta profissional para quem trabalha com tecnologia que
foi desenvolvido pela Association for Computing Machinery, que uma sociedade
composta de pessoas que trabalham e ensinam na rea. O referido cdigo se aplica a
tcnicos usurios e gerentes que trabalham com tecnologias e tambm para os que no
se consideram profissionais.

Segundo Mansur:

O ponto crucial ocorre quando um agente moral um que por definio


possua escolhas decide alterar o estado da informao ou tecnologia da
informao em um sistema humano. Mudanas no hardware, software,
contedo das informaes, fluxo das informaes, empregos baseados em
conhecimento e regras e regulamentos que afetam asinformaes esto entre
as muitas coisas que os agentes fazem e que afetam outros. Ns devemos usar
nossa imaginaomoral para guiar nossas escolhas de modo que possamos
contribuir de forma positiva para construir o mundo tico no qual queiramos
viver e deixar de herana para as geraes futuras. Como podemos fazer
isso? Fundamental a nossa conscincia, auxiliada pela compreenso e o
conhecimento em Tecnologia da Informao. Se suspeitarmos de que o nosso
comportamento possa de alguma forma prejudicar outros, provavelmente
devemos examinar nossas decises com um pouco mais de cuidado e de um
ponto de vista tico. Os fatos de um problema tico podem ser resumidos por
quatro fatores. O primeiro identificar claramente o agente moral. As aes de
quem traro a mudana induzida pela tecnologia. O prximo fator o conjunto
de alternativas disponveis para o agente. Estas so as aes do mundo real
que tero efeito sobre o sistema humano em considerao. Aes possuem
conseqncias, da o terceiro fator ... a delineao dos resultados esperados
se cada ao for executada. Finalmente, essencial identificar os interessados
que sero afetados pelas conseqncias das aes, aqueles que tenham algum
interesse afetado pelo o que o agente faz.

As consideraes ticas pra tecnologia incluem os seguintes itens:

A organizao utiliza os dados para o seu propsito e legitimamente.

87
UNIDADE IV NORMAS E PADRES

Os sistemas e servios disponibilizados para colaboradores e fornecedores


externos empresa funcionam conforme especificado e, de maneira
nenhuma, causam danos aos usurios.

OS sistemas da empresa no podem ser culpados de constrangimento a


colaboradores nem a terceiros.

A privacidade a informaes pessoais so sempre garantidas.

A monitorao de colaboradores e terceiros deve ser consentida por eles


e os dados so utilizados para auxiliar e no para puni-los.

Devem ser observados direito de propriedade intelectual inclusive a


softwares.

OS sistemas devem ser seguros e bem contratados.

Como a profissional de TI, atualmente, no tem a profisso regulamentada no pas


como mdico e advogado, por exemplo, no existe um cdigo de conduta a ser seguidos
pelos profissionais e mesmo que existisse no teria como punir um profissional que
no o cumprisse. Organizaes como a Associao Brasileira de Computao e outros
rgos, como a SUCESU, tem se esforado para que exista o mnimo das boas prticas
pelos que profissionais que atuam na rea.

Ramos cita que o instituto de tica na computao criou os dez mandamentos para tica
na informtica. Segue abaixo estes mandamentos:

1. Voc no dever usar o computador para produzir danos a outra pessoa.

2. Voc no deve interferir no trabalho de computao de outra pessoa.

3. Voc no deve interferir nos arquivos de outra pessoa.

4. Voc no deve usar o computador para roubar.

5. Voc no deve usar o computador para dar falso testemunho.

6. Voc no dever usar software pirateado.

7. Voc no dever usar recursos de computadores de outras pessoas.

8. Voc no dever ser apropriar do trabalho intelectual de outra pessoa.

9. Voc dever refletir sobre as consequncias sociais do que escreve.

10. Voc dever usar o computador de maneira que mostre considerao e


respeito ao interlocutor.

88
NORMAS E PADRES UNIDADE IV

David descreveu um pequeno cdigo de conduta para a rea de informtica que poderia
ser aplicado com pessoas e setores da sociedade. O transcrevo a seguir:

Para com a sociedade em geral, zelando pelo bem estar de todas as pessoas sem
qualquer discriminao, visando construir ou manter uma sociedade livre,
justa e solidria.

Para com os empregadores, usualmente quando estes no tm conhecimento


na rea e o supervisionamento tcnico do trabalho todo realizado com base
na confiana.

Para com os clientes, se estes forem leigos como no caso dos empregadores,
quando o profissional um prestador de servios ou consultor.

Para com a sociedade de classe, no caso, a comunidade computacional, com


o intuito de proteger os interesses da associao criadora do cdigo e de seus
membros.

Para com os colegas de profisso, que compartilham os mesmos interesses e


colaboram para o bem estar de todos.

Para com a profisso em geral, com o objetivo de no difamar os outros


trabalhadores da rea e evitar que a profisso no seja mal vista pelo restante
da sociedade.

Por fim, importante entender que, em qualquer profisso, ou at ao, se deve ter
tica.

89
Referncias

ALECRIM, Emersom. Criptografia. Disponvel em: <http://www.infowester.com/


criptografia.php>. Acessado em: 31/8/2016.

BEZERRA, Felipe. Ciclo PDCA conceito e aplicao (Guia geral). Disponvel em: em:
<http://www.portal-administracao.com/2014/08/ciclo-pdca-conceito-e-aplicacao.
html>. Acessado em: 22/7/2016.

CASTELL, Thiago; VAZ, Vernica. Tipos de criptografia. Disponvel em: <em:


http://www.gta.ufrj.br/grad/07_1/ass-dig/TiposdeCriptografia.html>. Acessado em:
1/7/2016.

CUNHA, Carolina. tica e moral: qual a diferena? Disponvel em: <em http://
vestibular.uol.com.br/resumo-das-disciplinas/atualidades/etica-e-moral-qual-e-a-
diferenca.htm>. Acessado em: 21/8/2016.

DANTAS, Marcus. Segurana da informao: uma abordagem focada em gesto de


riscos. Olinda: Livro Rpido, 2011.

DAVID, Hailton. tica em informtica. Disponvel em: <http://www.devmedia.com.


br/etica-em-informatica/14636>. Acessado em: 21/8/2016.

DINSMORE, P. C.; CABANIS-BREWIN, J. AMA Manual de Gerenciamento de


Projetos. Rio de Janeiro: Editora Brasport, 2009.

GIL, Antnio de Loureiro. Segurana em informtica. 2. ed. So Paulo: Atlas,1998.

GODOY, Max Bianchi. A segurana da informao e sua importncia para o


sucesso das organizaes. Rio de Janeiro: Ed. Kirios, 2004.

GOLALVES, J. R.. A importncia do bom gerenciamento do escopo para o


sucesso de um projeto. Disponvel em: <http://www.techoje.com.br/site/techoje/
categoria/detalhe_artigo/692>. Acessado em 1/8/2012.

GORISSEN, Maximilian. Disponvel em: <http://www.compustream.com.br/imagens/


down/Artigo%20CompuStream%20Security%20-%20Norma%20ISO%2017799.pdf>.

HURLEY, Jim. Information Security Survival of the Fittest. January, 1999.

90
REFERNCIAS

KIOSKEA.NET. Disponvel em: <http://pt.kioskea.net/contents/crypto/crypto.


php3>. Acessado em: 24/09/2011.

KOSUTIC, Dejan. Classificao da informao de acordo com a ISO 27001.


Disponvel em: <em http://advisera.com/27001academy/pt-br/blog/2014/05/14/
classificacao-da-informacao-de-acordo-com-a-iso-27001/>. Acessado em: 19/7/2016.

LIRA, Adriano. 5 dicas para estabelecer misso, viso e valores na sua empresa.
Disponvel em: <http://revistapegn.globo.com/Primeiro-Ano/noticia/2015/08/5-
dicas-para-estabelecer-missao-visao-e-valores-na-sua-empresa.html>. Acesso em:
30/8/2016.

MANSUR, Ricarco. Governana de TI metodologias, frameworks e melhores


prticas. BRASPORT, 2007.

MENDONA, Gabriel; ROMEIRO, Rafael O.; BAREIRO, Silvia B. Redes provadas


virtuais. Disponvel em: <http://www.gta.ufrj.br/grad/09_1/versao-final/vpn/index.
html>. Acessado em: 21/8/2016.

MEUCCI, Arthur. tica. Disponvel em: <http://meucci.com.br/o-conceito-de-etica/>.


Acessado em: 16/8/2016.

NAKAMURA, Emlio Tissato. Segurana de redes. 1. ed. So Paulo: Novatec, 2007.

PINHEIRO, Jos. Auditoria e anlise de segurana da informao segurana


fsica e lgica. Disponvel em: <http://www.projetoderedes.com.br/aulas/ugb_
auditoria_e_analise/ugb_apoio_auditoria_e_analise_de_seguranca_aula_02.pdf>.
Acessado em: 10/6/2016.

RAMOS, Hudson; COUTINHO, Pedro Henrique M. tica e crimes virtuais. Disponvel


em: <http://www.inf.ufes.br/~fvarejao/cs/eticapeique.htm>. Acessado em: 21/8/2016.

REIS, Bruno. Disponvel em: <http://www.portalgsti.com.br/2014/09/apostila-


classificacao-Informacao.html>. Acessado em: 20/7/2016.

RIBEIRO, Paulo. O que tica? Disponvel em: <http://brasilescola.uol.com.br/


sociologia/o-que-etica.htm>. Acessado em: 18/8/2016.

RUFINO, Nelson Murilo de O. Segurana de redes sem fio. 2. ed. So Paulo:


Novatec, 2007.

91
REFERNCIAS

SANTOS, Daniel. A tica na computao. Disponvel em: <http://www.cin.


ufpe.br/~if679/docs/2003-1/dfs2%20e%20gfa/etica%20na%20computacao.doc>.
Acessado em: 21/8/2016.

SMOLA, Marcos. A firewall subiu no telhado. Artigo 110 Abril de 2009.


Disponvel em: <http://www.semola.com.br/disco/Coluna_IDGNow_110.pdf>.
Acesso em: 30/8/2016.

______. Gesto de segurana da informao. 1. ed. So Paulo: Campus, 2003.

WOOD, Charles Cresson. Infosecurity Magazine. Policies: The path to Less Pain.
More Gain. August 1999.

92