Escolar Documentos
Profissional Documentos
Cultura Documentos
Brasília
Fevereiro de 2008
Especialização Gestão da Segurança da Informação e Comunicações
Sumário
Introdução ...................................................................................................................................................................................................... 5
A. Definições e Conceitos .................................................................................................................................................................... 5
B. Estabelecendo Controles ................................................................................................................................................................ 6
A Norma ISO 17799...................................................................................................................................................................................... 9
1. Política de Segurança da Informação.......................................................................................................................................... 9
2. Organizando a Segurança da Informação ...............................................................................................................................10
3. Gestão de Ativos...............................................................................................................................................................................10
4. Segurança em Recursos Humanos.............................................................................................................................................10
5. Segurança Física e do Ambiente.................................................................................................................................................11
6. Gestão das Operações e Comunicações ..................................................................................................................................12
7. Controle de Acesso..........................................................................................................................................................................13
8. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação....................................................................14
9. Gestão de Incidentes de Segurança da Informação.............................................................................................................15
10. Gestão da Continuidade do Negócio ....................................................................................................................................15
11. Conformidade.................................................................................................................................................................................16
Conclusão .....................................................................................................................................................................................................17
Referências Bibliográficas........................................................................................................................................................................19
Introdução
As empresas vem utilizando soluções tecnológicas cada mais avançadas no intuito de ganhar velocidade
nos processos, obter maior precisão e qualidade de seus produtos e serviços e reduzir os riscos do negócio. De
mãos dadas com o aumento do investimento nas áreas tecnológicas estão os novos desafios enfrentados pelas
empresas: o de manter a segurança e o retorno do investimento. É fundamental que organização procure definir,
alcançar, manter e melhorar a segurança da informação dentro da organização para assegurar a competitividade
e a imagem da organização junto ao mercado.
Em geral, pode-se dizer que as empresas buscam reduzir os seus ativos humanos em função do ganho
de produtividade resultante da informatização e automação de tarefas. Por exemplo, algumas empresas buscam
a redução/substituição de documentos impressos por mensagens eletrônicas e documentos digitalizados. Como
resultado deste processo, as organizações atuais possuem uma gama de informações em formato digital que
precisam ser gerenciadas e protegidas. Obviamente que quanto maior o valor da informação, maior a
necessidade de proteger as mesmas contra acessos não autorizados, uma vez que a divulgação destas
informações podem pôr em risco à saúde da organização.
Em uma pesquisa recente, publicado pela Forbes, que avaliou 35 empresas (americanas) que tiveram
seus arquivos expostos em 2007, estimou-se um prejuízo superior a 6 milhões de dólares [2]. Entre as principais
causas estão ações de terceiros, como consultores (40%), e ações de hackers e código malicioso (9%). Aqui no
Brasil a situação não é diferente. Segundo pesquisa da VF Intelligence [3], realizada no período de abril/06 a
março/07, revelou que 54% das corporações brasileiras sofreram algum tipo de ataque em suas redes, seja nos
servidores ou diretamente nos PCs dos funcionários. A pesquisa foi realizada com 350 empresas, 60% das quais
com mais de mil empregados. Outro dado interessante é que destas empresa, 40% constataram que os
incidentes partiram de dentro das empresas. Na maior parte das ocorrências, figura o envio de material
confidencial para terceiros, seguido por roubo de propriedade intelectual e eliminação não-autorizada de
arquivos. A pesquisa também mostra que apenas 38% das empresas destinam verba específica para a questão da
segurança da informação e risco.
Obviamente que a proteção da informação tem um custo, entretanto, negligenciar esses fatos podem
resultar em um prejuízo ainda maior para a organização. Este trabalho tem como objetivo apresentar um
conjunto de objetivos de controle e controles baseados nas melhores práticas do mercado para suportar a
implantação de sistemas de gestão da segurança da informação. Aqui utilizaremos como base os controles
especificados na norma ABNT NBR ISO/IEC 17799 [1].
A. Definições e Conceitos
Com o objetivo de criar um consenso sobre os termos utilizados neste documento, utilizaremos as
definições relacionadas abaixo cujo o significado está diretamente relacionado à segurança da informação.
Informação:
Segundo a definição da ISO/IEC 17799 [1], a informação “é um ativo que, como qualquer outro ativo
importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser
adequadamente protegida”. Em outras palavras, manter a segurança significa proteger os ativos.
Ativo:
Aqui, um ativo significa “qualquer objeto que tenha valor para a organização”[1]. Da mesma forma que as
pessoas atribuem valores diferenciado aos seus pertences, seja por motivos sentimentais ou simplesmente
por um questão de gosto/preferência, cada organização pode associar valores diferenciados para seus ativos
(independentemente do valor monetário). Diferentemente dos indivíduos, cada organização irá prezar pela
segurança do seus ativos baseado no risco que um eventual comprometimento do mesmo trará para o
negócio. Dentre os diversos tipos de ativos que possam fazer parte de uma organização, podemos citar
ativos de:
• Informação: inclui-se aqui as base de dados e arquivos, contratos e acordos, documentação de sistema,
informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte
ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e
informações armazenadas;
• Software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
Assegurar e proteger esses ativos é fundamental para a organização uma vez que nem todos os sistemas e
softwares utilizados pela organização foram projetados para prover segurança da informação. Entretanto,
muitas organizações ainda não possuem total conhecimento dos seus ativos, e, conseqüentemente não
conseguem estimar o custo do comprometimento dos mesmos.
Vulnerabilidade:
Significa “estar sujeito a ser atacado, derrotado, prejudicado ou ofendido” [16]. Aqui podemos estender um
pouco esta definição como sendo uma falha ou fragilidade, seja no projeto, implementação ou
configuração, tanto de equipamentos, sistemas, e edificações, que quando explorada por um atacante
resulta na violação da segurança.
Segurança:
Definida como “um estado, qualidade ou condição de uma pessoa ou coisa que está livre de perigos, de
incertezas, assegurada de danos e riscos eventuais, afastada de todo mal” [16]. No que se refere à
segurança de computadores podemos dizer que e este está seguro se atende a três requisitos básicos
[15]:
• Confidencialidade: as informações só podem ser acessadas por pessoas autorizadas;
• Integridade: a informação não é destruída ou corrompida e o sistema tem um desempenho
correto;
• Disponibilidade: os serviços/recursos do sistema estão disponíveis sempre que forem necessários.
Ameaça:
“Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização”
[1]. Exemplos de ameaças incluem:
• Fraudes eletrônicas;
• Espionagem;
• Sabotagem;
• Vandalismo;
• Danos causados por código malicioso;
• Ação de hackers e ataques de DoS.
Risco:
“Combinação da probabilidade de um evento e de suas conseqüência” [1].
Controle:
“Utilização de todos os meios e dispositivos em uma firma ou empresa para promover, direcionar, restringir,
governar e verificar as várias atividades que têm como propósito principal a observação de que os objetivos
da empresa são alcançados. Os meios de controle incluem, mas não estão somente limitados a: forma de
organização, políticas, sistemas, procedimentos, instruções, padrões, comitês, contabilização, predições,
orçamentos, itinerários, relatórios, checklists, registros, métodos, dispositivos e auditoria interna” [17].
B. Estabelecendo Controles
O estabelecimento de controles podem garantir a precisão e confiabilidade dos registros e adesão
operacional aos padrões administrativos. Os controles devem ser selecionados e implementados para
assegurar que os riscos sejam reduzidos a um nível aceitável pela organização [1]. Aqui vale ressaltar que
6 Controles de Segurança da Informação. Prof. Jacir Luiz Bordim
Especialização Gestão da Segurança da Informação e Comunicações
existe um compromisso entre o custo de implementação do controle e custo com potenciais falhas na
segurança da informação. Uma análise de risco criteriosa permitirá estabelecer limites com os quais a
organização poderá definir quais riscos serão aceitos e quais riscos terão controles de proteção
implementados (veja Figura 1 abaixo).
Figura 1: Compromisso entre o custo com controles e o custo possíveis falhas de segurança.
Os controles podem ser classificados: (i) controles de prevenção, (ii) detecção, e (iii) correção. Os controles
preventivos estabelecem mecanismos para prevenir uma atividade indesejável. Os controles de detecção
encontram erros quando o sistema preventivo não os captura. Os controles corretivos visam estabelecer o que
deve ser feito quando um evento não desejado acontece.
Modificações, adição de novos controles podem ser considerados para fechar o ciclo que venha a
prevenir a recorrência do mesmo comportamento indesejado. Controles dissuasivos podem ser utilizados para
desencorajar violações enquanto que controles de recuperação podem inclui todas as práticas, procedimentos e
métodos para restaurar as operações de uma organização em caso de um evento ou desastre, ataque ou falha do
sistema. Este controle inclui as atividades de planejamento continuo, recuperação de desastres e backups.
É importante que um conjunto de controles seja considerado como ponto de partida para a
implementação da segurança da informação. Mas como identificar ou mesmo estabelecer um conjunto mínimo
de controles? Para estabelecer um controle podemos nos basear componentes listados abaixo:
• O ambiente de controle: refere-se a todos os níveis da organização, incluindo a integridade, os
valores éticos, a competência das pessoas e o gerenciamento;
• Avaliação de riscos: processo de comparar o risco estimado com critérios de risco pré-definidos
para determinar a importância do risco
• As atividades de controle: autorizações e aprovações para diferentes atividades e tarefas,
verificação e revisão dessas atividades;
• Informação e Comunicação: as mudanças nas políticas organizacionais e na direção das atividades
gerenciais devem ser efetivamente comunicadas;
• Monitoramento: monitoração e análise crítica dos eventos de segurança.
Além da utilização dos componentes acima, os controles devem ser selecionados com base nos
requisitos legais e nas melhores práticas de segurança da informação. Embora existam hoje vários padrões,
normas e frameworks de melhores práticas, dificilmente teremos um único conjunto de normas e padrões
aplicáveis para qualquer tipo de organização [4]. Um dos principais motivos para isso é o fato de que as práticas
de negócio variam significativamente de país para país (para maiores informações sobre as normas e padrões
existentes veja [4][6]).
Dentre as normas, padrões e frameworks conhecidos, a norma ISO 17799 [1] apresenta um conjunto
bastante abrangente de objetivos de controle e controles para suportar a implantação de sistemas de gestão da
segurança da informação. A norma possui aplicação geral e está aderente ao estado da arte em tecnologia da
informação corporativa. Por estes motivos, utilizaremos a ISO 17799 como guia em nosso estudo em Controles
de Segurança da Informação. A norma define dois grandes grupos de controles, a saber:
I. Controles essenciais
1. Proteção de dados e privacidade de informações pessoais;
2. Proteção de registros organizacionais;
Controles de Segurança da Informação. Prof. Jacir Luiz Bordim 7
Especialização Gestão da Segurança da Informação e Comunicações
Embora a norma ISO 17799 [1] especifique um conjunto bastante abrangente de controles, cada
organização deve realizar uma profunda análise de risco e a partir deste ponto estabelecer quais controles
devem ser implementados. A Figura 2 mostra as relações entre os riscos, a necessidade de segurança, os
controles, ameaças, vulnerabilidades e impacto potencial aos ativos.
No que segue, será detalhado os controles associados a cada uma das seções listadas acima.
Dentre as diretrizes para implementação dos controles acima convém que o documento seja avaliado,
aprovado, divulgado e comunicado pela direção. Além disso, é importante que o documento contenha
declarações sobre as metas, escopo e importância da segurança da informação para a organização. A política de
informação deve ser re-avaliada em intervalos regulares (e realimentada com subsídios de análise de riscos,
incidentes de segurança, vulnerabilidades, ou qualquer outra alteração que possa impactar na segurança da
organização). Maiores informações e exemplos de políticas de segurança da informação podem ser obtidas junto
ao SANS (SysAdmin, Audit, Network, Security) Institute [9] bem como na própria ISO 17799 [1].
b. Partes externas
1. Identificação dos riscos relacionados com partes externas
2. Identificando a segurança da informação, quando tratando com os clientes
3. Identificando segurança da informação nos acordos com terceiros
3. Gestão de Ativos
A principal preocupação e dificuldade com relação a gestão de ativos está em definir quais ativos devem
ser protegidos e o nível de proteção que deve ser atribuído a cada ativo. Como mencionado anteriormente,
existem vários tipos de ativos, e diferentes organizações podem priorizar um determinado tipo de ativo em
detrimento de outro baseado nos riscos associados. Portanto, é fundamental que haja uma análise que permita
classificação dos ativos de acordo com a importância e risco do mesmo para o negócio. A gestão de ativos tem
por objetivo alcançar e manter a proteção adequada dos ativos da organização e assegurar que a informação receba
um nível adequado de proteção. Aqui são estabelecidos 5 objetivos de controle divididos em duas categorias:
I. Responsabilidade pelos ativos
1. Inventário dos ativos
2. Proprietário dos ativos
3. Uso aceitável dos ativos
As diretrizes para implementação dos controles acima estão alinhas com o conhecimento e classificação
dos ativos existentes, incluindo os não tangíveis, e a necessidade da organização de delegar/atribuir
responsabilidades sobre os mesmos.
pergunta direcionada a um funcionário: Você sabe quando uma informação não é inofensiva? Pergunta difícil de
ser respondida se o funcionário for despreparado [10]. Portanto, o objetivo de controle aqui é assegurar que
pessoas que relacionam-se com a organização comportem-se conforme seus papéis, visando reduzir roubo, fraude e
mau uso de recursos. Aqui temos três categorias e um total de nove objetivos de controle.
I. Antes da contratação (controles)
1. Papéis e responsabilidades
2. Seleção
3. Termos e condições de contratação
I. Áreas seguras
1. Perímetro de segurança física
2. Controles de entrada física
3. Segurança em escritórios, salas e instalações
4. Proteção contra ameaças externas e do meio ambiente
5. Trabalhando em áreas seguras
6. Acesso do público, áreas de entrega e de carregamento
Para a implementação dos controles acima, é fundamental que se saiba o grau de sensibilidade das
informações e que as mesmas sejam tratadas de forma apropriada ou mesmo re-locadas para áreas seguras.
Nestas áreas, todos os cuidados devem ser tomados. Esses cuidados incluem, vulnerabilidades da infra-estrutura
física e equipamentos, controlar e monitorar o acesso e implementar mecanismos eficientes para minimizar
possíveis vulnerabilidades. Aqui entram aspectos que vão desde o comportamento dos funcionários (como não
fumar, comer, beber próximo de equipamentos), condições do ambiente (umidade, temperatura), manutenção
dos equipamentos por pessoal autorizado, e abrangem inclusive o controle de descarte de equipamentos.
Controles de Segurança da Informação. Prof. Jacir Luiz Bordim 11
Especialização Gestão da Segurança da Informação e Comunicações
V. Cópias de segurança
1. Cópias de segurança das informações
X. Monitoramento
1. Registros de auditoria
2. Monitoramento do uso do sistema
3. Proteção das informações dos registros (log)
4. Registros (log) de administrador e operador
5. Registros (log) de falhas
6. Sincronização dos relógios
A extensão que estes objetivos de controle devem ser implantados dependem muito da características do
negócio e os riscos associados. Entretanto, hoje, praticamente todas as organizações disponibilizam contas de
correio eletrônico aos seus funcionários e formas de proteção contra abusos devem ser implementadas. Vírus,
trojans, malware, spyware, entre outros, já fazem parte das preocupações das organizações que possuem acesso
à Internet. Implementar mecanismos de prevenção contra código malicioso e estratégias para manter cópias de
segurança se faz necessário em praticamente todas as organizações. Essas questões, embora estejam
diretamente relacionadas com a segurança dos dados, não restringem o acesso não autorizado por terceiros ou
mesmo pelos próprios funcionários. O monitoramento do uso do sistema e proteção dos registros (logs) são
imprescindíveis para que se possa verificar falhas no sistema e identificar vulnerabilidades. Da mesma forma é
importante estar com os sistemas atualizados e participar de listas de discussões e fóruns especializados que
possuam informativos sobre novos códigos maliciosos e criticidade das atualizações.
7. Controle de Acesso
Como vimos na seção de Segurança Física, a implementação dos controles físicos reduzem os riscos de
roubo e destruição dos ativos. A aplicação de controles físicos pode reduzir os riscos de que um intruso
ultrapasse os controles lógicos construídos nos sistemas. Entretanto, hoje existem diversas maneiras de se ter
acesso à informação sem a necessidade de estar fisicamente próximo do equipamento onde as mesmas estão
armazenadas. Os diversos aspectos que tratam do controle de acesso incluem a necessidade da organização
estabelecer uma política de controle de acesso, o gerenciamento de acesso de usuários, bem como a correta
utilização dos equipamentos de rede, entre outros. O objetivo, de forma geral, é controlar acesso à informação e
garantir a operação segura e correta dos recursos de processamento da informação. Nesta seção são definidos vinte
e cinco objetivos de controle divididos em sete categorias, a saber:
As diretrizes de implementação dos controles mostram que inicialmente é necessário estabelecer regras
de controle de acesso e direitos para cada usuário ou grupos de usuários e que as mesmas sejam expressas
claramente na política de controle de acesso. Definir e detalhar os direitos de acesso, controlar a distribuição e
manutenção de senhas de acesso, estabelecer mecanismos de controle de acesso à rede, sistemas e aplicações
são tarefas que demandam por pessoal capacitado e conhecimentos específicos na área. Além da própria norma,
as referências [8,13,14,15] possuem informações bem detalhadas que podem auxiliar na implementação dos
controles vistos aqui.
identificando os eventos que podem causar interrupções e a probabilidade de impacto no negócio bem como
estabelecer procedimentos de restauração das operações.
11. Conformidade
A conformidade tem como objetivo evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou
obrigações contratuais e de quaisquer requisitos de segurança da informação. A norma define três categorias e dez
objetivos de controle para esta seção.
Conclusão
Este documento abordou as seções da ISO 17799 tentando trazer para o leitor uma visão global sobre a
necessidade e importância no estabelecimento de um conjunto de controles para prover a segurança das
informações. Vimos também que existem outros modelos, frameworks e guias de melhores práticas que
abordam controles. Entre estes modelos podemos citar o COBIT (Control OBjectives for Information and related
Technology) o qual foi criado pela Information Systems Audit and Control Association (ISACA), e a IT Governance
Institute (ITGI) em 1992 [18]. O COBIT é formado por um conjunto de publicações. O Control Objectives do
COBIT prove informações necessárias para delinear e identificar controles para a segurança da informação.
Outra fonte de importante de informação é o Recommended Security Controls for Federal Information Systems
(Special Publication SP800-53) publicado pela National Institute of Standards and Technology (NIST) [19]. O
capítulo dois, Fundamentos, trata de vários aspectos relacionados diretamente com controles, bem como inclui
uma lista de controles mínimos que devem ser implementados em sistemas de informação federal. A
Information Systems Audit and Control Association (ISACA) possui publicações específicas sobre o mapeamento
entre o COBIT e ISO 17799 bem como COBIT e NIST SP 800-53.
Referências Bibliográficas
1. ABNT ISO/IEC 17799:2005, Tecnologia da informação — Técnicas de segurança — Código de prática para a
gestão da segurança da informação.
2. Revista Forbes Online, http://www.forbes.com/2007/11/27/data-privacy-hacking-tech-security-
cx_ag_1128databreach.html, acesso em 20/01/2008.
3. InfoSecurity Task Force, http://www.istf.com.br/vb/showthread.php?t=10823, acesso em 20/01/2008.
4. C. Davis, M. Schiller, e K. Wheeler, IT Auditing-Using Controls to Protect Information Asset, McGraw-Hill ,
2007.
5. Contents of BS7799, http://iso-17799.safemode.org/index.php?page=Contents_of_BS7799-2, acesso em
20/01/2008.
6. Gustavo A. Alves, Segurança da Informação: Uma Visão Inovadora da Gestão, Editora Ciência Moderna Ltda,
2006.
7. Ricardo Mansur, Governança de TI: Metodologias, Frameworks, Melhores Práticas, Brasport Ltda, 2007.
8. The Site Security Handbook, RFC 2196, http://www.faqs.org/rfcs/rfc2196.html , acesso em 20/01/2008.
9. SANS (SysAdmin, Audit, Network, Security) Institute, http://www.sans.org/resources/policies/, acesso em
20/01/2008.
10. Mário César Pintaudi Peixoto, Engenharia Social e Segurança da Informação na Gestão Corporativa, Brasport
Ltda, 2006.
11. O monitoramento do correio eletrônico no ambiente de trabalho,
http://jus2.uol.com.br/doutrina/texto.asp?id=3486&p=2, acesso em 20/01/2008.
12. Lei 9800, http://www.planalto.gov.br/ccivil/leis/L9800.htm, acesso em 20/10/1008.
13. Evi Nemeth, G. Snyder, S. Seebas, Trent R. Hein, Manual de Administração do Sistema Unix, 3ª edição,
Prentice Hall, 2001.
14. Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Kent, Ronald W. Ritchey, Inside Network Perimeter
Security, Sams Publishing, 2005.
15. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Cartilha de Segurança a para
Internet, CertBr, http://cartilha.cert.br/, acesso em 20/01/2008.
16. Dicionário Houaiss, Editora Objetivo Ltda, 2002.
17. Instituto de Auditores Internos, http://www.audibra.org.br/, aceso em 20/01/2008.
18. Information Systems Audit and Control Association, http://www.isaca.org/, acesso em 20/01/2008.
19. National Institute of Standards and Technology , http://csrc.nist.gov/publications/PubsSPs.html, acesso em
20/01/2008.