Você está na página 1de 19

Gestão da Segurança da Informação e Comunicações

Controles de Segurança da Informação

Jacir Luiz Bordim


(bordim@unb.br)

Carga horária: 15 horas/aula

Brasília
Fevereiro de 2008
Especialização Gestão da Segurança da Informação e Comunicações

2 Controles de Segurança da Informação. Prof. Jacir Luiz Bordim


Especialização Gestão da Segurança da Informação e Comunicações

Sumário
Introdução ...................................................................................................................................................................................................... 5
A. Definições e Conceitos .................................................................................................................................................................... 5
B. Estabelecendo Controles ................................................................................................................................................................ 6
A Norma ISO 17799...................................................................................................................................................................................... 9
1. Política de Segurança da Informação.......................................................................................................................................... 9
2. Organizando a Segurança da Informação ...............................................................................................................................10
3. Gestão de Ativos...............................................................................................................................................................................10
4. Segurança em Recursos Humanos.............................................................................................................................................10
5. Segurança Física e do Ambiente.................................................................................................................................................11
6. Gestão das Operações e Comunicações ..................................................................................................................................12
7. Controle de Acesso..........................................................................................................................................................................13
8. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação....................................................................14
9. Gestão de Incidentes de Segurança da Informação.............................................................................................................15
10. Gestão da Continuidade do Negócio ....................................................................................................................................15
11. Conformidade.................................................................................................................................................................................16
Conclusão .....................................................................................................................................................................................................17
Referências Bibliográficas........................................................................................................................................................................19

Controles de Segurança da Informação. Prof. Jacir Luiz Bordim 3


Especialização Gestão da Segurança da Informação e Comunicações

4 Controles de Segurança da Informação. Prof. Jacir Luiz Bordim


Especialização Gestão da Segurança da Informação e Comunicações

Introdução
As empresas vem utilizando soluções tecnológicas cada mais avançadas no intuito de ganhar velocidade
nos processos, obter maior precisão e qualidade de seus produtos e serviços e reduzir os riscos do negócio. De
mãos dadas com o aumento do investimento nas áreas tecnológicas estão os novos desafios enfrentados pelas
empresas: o de manter a segurança e o retorno do investimento. É fundamental que organização procure definir,
alcançar, manter e melhorar a segurança da informação dentro da organização para assegurar a competitividade
e a imagem da organização junto ao mercado.
Em geral, pode-se dizer que as empresas buscam reduzir os seus ativos humanos em função do ganho
de produtividade resultante da informatização e automação de tarefas. Por exemplo, algumas empresas buscam
a redução/substituição de documentos impressos por mensagens eletrônicas e documentos digitalizados. Como
resultado deste processo, as organizações atuais possuem uma gama de informações em formato digital que
precisam ser gerenciadas e protegidas. Obviamente que quanto maior o valor da informação, maior a
necessidade de proteger as mesmas contra acessos não autorizados, uma vez que a divulgação destas
informações podem pôr em risco à saúde da organização.
Em uma pesquisa recente, publicado pela Forbes, que avaliou 35 empresas (americanas) que tiveram
seus arquivos expostos em 2007, estimou-se um prejuízo superior a 6 milhões de dólares [2]. Entre as principais
causas estão ações de terceiros, como consultores (40%), e ações de hackers e código malicioso (9%). Aqui no
Brasil a situação não é diferente. Segundo pesquisa da VF Intelligence [3], realizada no período de abril/06 a
março/07, revelou que 54% das corporações brasileiras sofreram algum tipo de ataque em suas redes, seja nos
servidores ou diretamente nos PCs dos funcionários. A pesquisa foi realizada com 350 empresas, 60% das quais
com mais de mil empregados. Outro dado interessante é que destas empresa, 40% constataram que os
incidentes partiram de dentro das empresas. Na maior parte das ocorrências, figura o envio de material
confidencial para terceiros, seguido por roubo de propriedade intelectual e eliminação não-autorizada de
arquivos. A pesquisa também mostra que apenas 38% das empresas destinam verba específica para a questão da
segurança da informação e risco.
Obviamente que a proteção da informação tem um custo, entretanto, negligenciar esses fatos podem
resultar em um prejuízo ainda maior para a organização. Este trabalho tem como objetivo apresentar um
conjunto de objetivos de controle e controles baseados nas melhores práticas do mercado para suportar a
implantação de sistemas de gestão da segurança da informação. Aqui utilizaremos como base os controles
especificados na norma ABNT NBR ISO/IEC 17799 [1].

A. Definições e Conceitos

Com o objetivo de criar um consenso sobre os termos utilizados neste documento, utilizaremos as
definições relacionadas abaixo cujo o significado está diretamente relacionado à segurança da informação.

Informação:
Segundo a definição da ISO/IEC 17799 [1], a informação “é um ativo que, como qualquer outro ativo
importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser
adequadamente protegida”. Em outras palavras, manter a segurança significa proteger os ativos.

Ativo:
Aqui, um ativo significa “qualquer objeto que tenha valor para a organização”[1]. Da mesma forma que as
pessoas atribuem valores diferenciado aos seus pertences, seja por motivos sentimentais ou simplesmente
por um questão de gosto/preferência, cada organização pode associar valores diferenciados para seus ativos
(independentemente do valor monetário). Diferentemente dos indivíduos, cada organização irá prezar pela
segurança do seus ativos baseado no risco que um eventual comprometimento do mesmo trará para o
negócio. Dentre os diversos tipos de ativos que possam fazer parte de uma organização, podemos citar
ativos de:
• Informação: inclui-se aqui as base de dados e arquivos, contratos e acordos, documentação de sistema,
informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte
ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e
informações armazenadas;
• Software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

Controles de Segurança da Informação. Prof. Jacir Luiz Bordim 5


Especialização Gestão da Segurança da Informação e Comunicações

• Físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros


equipamentos;
• Serviços: serviços de computação e comunicações, utilidades gerais;
• Pessoal: pessoas e suas qualificações, habilidades e experiências;
• Intangíveis: como a reputação e a imagem da organização.

Assegurar e proteger esses ativos é fundamental para a organização uma vez que nem todos os sistemas e
softwares utilizados pela organização foram projetados para prover segurança da informação. Entretanto,
muitas organizações ainda não possuem total conhecimento dos seus ativos, e, conseqüentemente não
conseguem estimar o custo do comprometimento dos mesmos.

Vulnerabilidade:
Significa “estar sujeito a ser atacado, derrotado, prejudicado ou ofendido” [16]. Aqui podemos estender um
pouco esta definição como sendo uma falha ou fragilidade, seja no projeto, implementação ou
configuração, tanto de equipamentos, sistemas, e edificações, que quando explorada por um atacante
resulta na violação da segurança.

Segurança:
Definida como “um estado, qualidade ou condição de uma pessoa ou coisa que está livre de perigos, de
incertezas, assegurada de danos e riscos eventuais, afastada de todo mal” [16]. No que se refere à
segurança de computadores podemos dizer que e este está seguro se atende a três requisitos básicos
[15]:
• Confidencialidade: as informações só podem ser acessadas por pessoas autorizadas;
• Integridade: a informação não é destruída ou corrompida e o sistema tem um desempenho
correto;
• Disponibilidade: os serviços/recursos do sistema estão disponíveis sempre que forem necessários.

Ameaça:
“Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização”
[1]. Exemplos de ameaças incluem:
• Fraudes eletrônicas;
• Espionagem;
• Sabotagem;
• Vandalismo;
• Danos causados por código malicioso;
• Ação de hackers e ataques de DoS.

Risco:
“Combinação da probabilidade de um evento e de suas conseqüência” [1].

Evento de segurança da informação:


“Ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de
segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser
relevante para a segurança da informação” [1].

Controle:
“Utilização de todos os meios e dispositivos em uma firma ou empresa para promover, direcionar, restringir,
governar e verificar as várias atividades que têm como propósito principal a observação de que os objetivos
da empresa são alcançados. Os meios de controle incluem, mas não estão somente limitados a: forma de
organização, políticas, sistemas, procedimentos, instruções, padrões, comitês, contabilização, predições,
orçamentos, itinerários, relatórios, checklists, registros, métodos, dispositivos e auditoria interna” [17].

B. Estabelecendo Controles
O estabelecimento de controles podem garantir a precisão e confiabilidade dos registros e adesão
operacional aos padrões administrativos. Os controles devem ser selecionados e implementados para
assegurar que os riscos sejam reduzidos a um nível aceitável pela organização [1]. Aqui vale ressaltar que
6 Controles de Segurança da Informação. Prof. Jacir Luiz Bordim
Especialização Gestão da Segurança da Informação e Comunicações

existe um compromisso entre o custo de implementação do controle e custo com potenciais falhas na
segurança da informação. Uma análise de risco criteriosa permitirá estabelecer limites com os quais a
organização poderá definir quais riscos serão aceitos e quais riscos terão controles de proteção
implementados (veja Figura 1 abaixo).

Figura 1: Compromisso entre o custo com controles e o custo possíveis falhas de segurança.

Os controles podem ser classificados: (i) controles de prevenção, (ii) detecção, e (iii) correção. Os controles
preventivos estabelecem mecanismos para prevenir uma atividade indesejável. Os controles de detecção
encontram erros quando o sistema preventivo não os captura. Os controles corretivos visam estabelecer o que
deve ser feito quando um evento não desejado acontece.
Modificações, adição de novos controles podem ser considerados para fechar o ciclo que venha a
prevenir a recorrência do mesmo comportamento indesejado. Controles dissuasivos podem ser utilizados para
desencorajar violações enquanto que controles de recuperação podem inclui todas as práticas, procedimentos e
métodos para restaurar as operações de uma organização em caso de um evento ou desastre, ataque ou falha do
sistema. Este controle inclui as atividades de planejamento continuo, recuperação de desastres e backups.
É importante que um conjunto de controles seja considerado como ponto de partida para a
implementação da segurança da informação. Mas como identificar ou mesmo estabelecer um conjunto mínimo
de controles? Para estabelecer um controle podemos nos basear componentes listados abaixo:
• O ambiente de controle: refere-se a todos os níveis da organização, incluindo a integridade, os
valores éticos, a competência das pessoas e o gerenciamento;
• Avaliação de riscos: processo de comparar o risco estimado com critérios de risco pré-definidos
para determinar a importância do risco
• As atividades de controle: autorizações e aprovações para diferentes atividades e tarefas,
verificação e revisão dessas atividades;
• Informação e Comunicação: as mudanças nas políticas organizacionais e na direção das atividades
gerenciais devem ser efetivamente comunicadas;
• Monitoramento: monitoração e análise crítica dos eventos de segurança.

Além da utilização dos componentes acima, os controles devem ser selecionados com base nos
requisitos legais e nas melhores práticas de segurança da informação. Embora existam hoje vários padrões,
normas e frameworks de melhores práticas, dificilmente teremos um único conjunto de normas e padrões
aplicáveis para qualquer tipo de organização [4]. Um dos principais motivos para isso é o fato de que as práticas
de negócio variam significativamente de país para país (para maiores informações sobre as normas e padrões
existentes veja [4][6]).

Dentre as normas, padrões e frameworks conhecidos, a norma ISO 17799 [1] apresenta um conjunto
bastante abrangente de objetivos de controle e controles para suportar a implantação de sistemas de gestão da
segurança da informação. A norma possui aplicação geral e está aderente ao estado da arte em tecnologia da
informação corporativa. Por estes motivos, utilizaremos a ISO 17799 como guia em nosso estudo em Controles
de Segurança da Informação. A norma define dois grandes grupos de controles, a saber:
I. Controles essenciais
1. Proteção de dados e privacidade de informações pessoais;
2. Proteção de registros organizacionais;
Controles de Segurança da Informação. Prof. Jacir Luiz Bordim 7
Especialização Gestão da Segurança da Informação e Comunicações

3. Direitos de propriedade intelectual.


II. Controles considerados práticas para a segurança da informação
1. Documento da política de segurança da informação;
2. Atribuição de responsabilidades para a segurança da informação;
3. Conscientização, educação e treinamento em segurança da informação;
4. Processamento correto nas aplicações;
5. Gestão de vulnerabilidades técnicas;
6. Gestão da continuidade do negócio;
7. Gestão de incidentes de segurança da informação e melhorias.

Embora a norma ISO 17799 [1] especifique um conjunto bastante abrangente de controles, cada
organização deve realizar uma profunda análise de risco e a partir deste ponto estabelecer quais controles
devem ser implementados. A Figura 2 mostra as relações entre os riscos, a necessidade de segurança, os
controles, ameaças, vulnerabilidades e impacto potencial aos ativos.

Figura 2: Fluxograma de Segurança da Informação [7].

8 Controles de Segurança da Informação. Prof. Jacir Luiz Bordim


Especialização Gestão da Segurança da Informação e Comunicações

A Norma ISO 17799


Uma das primeiras normas de segurança da informação foi criada pela British Standard Institute, a qual
foi catalogada como BS 7799 -- Code of Practice for Information Security Management, em 1995 [5]. Em 2000, a
BS 7799 foi reconhecida pelos países membros da Internacional Standard Organization (ISO), denominada de
ISO/IEC 17799, e aceita como padrão internacional em 2000. Em 2001 a norma foi traduzida pela Associação
Brasileira de Normas Técnicas (ABNT) sob a denominação de NBR 17799 – Código de Prática para Gestão da
Segurança da Informação [6]. A ISO/IEC 17799 foi renomeada em 2007 e tornou-se então a ISO/IEC 270002. A ISO
17799 é composta de 11 seções as quais são divididas em 39 categorias. Cada categoria possui um ou mais
objetivos de controle, o qual especifica o que deve ser alcançado, o controle (que deve ser feito para alcançar tal
objetivo) e as diretrizes de implementação. Abaixo estão listadas as seções da norma bem como o respectivo
número de categorias.
1. Política de Segurança da Informação (1);
2. Organizando a Segurança da Informação (2);
3. Gestão de Ativos (2);
4. Segurança em Recursos Humanos (3);
5. Segurança Física e do Ambiente (2);
6. Gestão das Operações e Comunicações (10);
7. Controle de Acesso (7);
8. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6);
9. Gestão de Incidentes de Segurança da Informação (2);
10. Gestão da Continuidade do Negócio (1);
11. Conformidade (3).

No que segue, será detalhado os controles associados a cada uma das seções listadas acima.

1. Política de Segurança da Informação


Embora existam várias definições para política de segurança, aqui utilizaremos a definição em [8], “uma
política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da
empresa”. Entre os propósitos de uma política de segurança da informação podemos citar: (i) informar aos
usuários, equipe e gerentes, as suas obrigações; (ii) especificar os mecanismos através dos quais estes requisitos
podem ser alcançados; e (iii) oferecer um ponto de referência que permita a auditoria. Obviamente que para que
estes propósitos sejam alcançados, é importante que estejam envolvidos na formulação da política: o
administrador de segurança, o pessoal técnico, a equipe de reação a incidentes, o conselho legal, e a
administração. Entre as características desejáveis de uma boa política de segurança da informação, ela deve ser
implementável através de procedimentos de administração; utilizar ferramentas de segurança, onde apropriado,
e com sanções onde a prevenção efetiva não seja tecnicamente possível e definir claramente as
responsabilidade. O objetivo da política de segurança da informação é então o de obter orientação e apoio
da direção para o estabelecimento da política. A seção de Política de Segurança da Informação estabelece dois
objetivos de controle, a saber:
1. Documento da política de segurança da informação aprovado
2. Análise crítica da política de segurança da informação

Dentre as diretrizes para implementação dos controles acima convém que o documento seja avaliado,
aprovado, divulgado e comunicado pela direção. Além disso, é importante que o documento contenha
declarações sobre as metas, escopo e importância da segurança da informação para a organização. A política de
informação deve ser re-avaliada em intervalos regulares (e realimentada com subsídios de análise de riscos,
incidentes de segurança, vulnerabilidades, ou qualquer outra alteração que possa impactar na segurança da
organização). Maiores informações e exemplos de políticas de segurança da informação podem ser obtidas junto
ao SANS (SysAdmin, Audit, Network, Security) Institute [9] bem como na própria ISO 17799 [1].

Controles de Segurança da Informação. Prof. Jacir Luiz Bordim 9


Especialização Gestão da Segurança da Informação e Comunicações

2. Organizando a Segurança da Informação


O objetivo aqui é estabelecer uma estrutura organizacional que possibilite gerenciar a segurança da
informação na organização mantendo à segurança da informação que são acessados, processados, comunicados ou
gerenciados por partes externas. Para tal, são estabelecidos 11 objetivos de controle, divididos em duas categorias:
a. Estrutura da segurança da informação
1. Comprometimento da direção com a segurança da informação
2. Coordenação da segurança da informação
3. Atribuição de responsabilidades para a segurança da informação
4. Processo de autorização para os recursos de processamento da informação
5. Acordos de confidencialidade
6. Contato com autoridades (relacionadas à segurança)
7. Contato com grupos especiais
8. Análise crítica independente de segurança da informação

b. Partes externas
1. Identificação dos riscos relacionados com partes externas
2. Identificando a segurança da informação, quando tratando com os clientes
3. Identificando segurança da informação nos acordos com terceiros

As diretrizes de implementação dos controles consistem fundamentalmente no apoio e empenho da direção


na aprovação e implementação da política, e posteriormente alocando de recursos e conscientizando os
envolvidos da importância da segurança da informação para a organização. As atribuições de responsabilidade
devem ser realizadas de forma adequada e alinhada com o conhecimento e a capacidade dos envolvidos. Formas
de verificar se cada indivíduo está cumprindo com suas tarefas/atribuições devem ser implementadas. No que
tange as partes externas, a identificação dos riscos e implementação de controles apropriados devem ser
implementados, tais como, procedimentos de acesso e controles sobre a divulgação e uso de informações.

3. Gestão de Ativos
A principal preocupação e dificuldade com relação a gestão de ativos está em definir quais ativos devem
ser protegidos e o nível de proteção que deve ser atribuído a cada ativo. Como mencionado anteriormente,
existem vários tipos de ativos, e diferentes organizações podem priorizar um determinado tipo de ativo em
detrimento de outro baseado nos riscos associados. Portanto, é fundamental que haja uma análise que permita
classificação dos ativos de acordo com a importância e risco do mesmo para o negócio. A gestão de ativos tem
por objetivo alcançar e manter a proteção adequada dos ativos da organização e assegurar que a informação receba
um nível adequado de proteção. Aqui são estabelecidos 5 objetivos de controle divididos em duas categorias:
I. Responsabilidade pelos ativos
1. Inventário dos ativos
2. Proprietário dos ativos
3. Uso aceitável dos ativos

II. Classificação da informação


1. Recomendações para classificação
2. Rótulos e tratamento da informação

As diretrizes para implementação dos controles acima estão alinhas com o conhecimento e classificação
dos ativos existentes, incluindo os não tangíveis, e a necessidade da organização de delegar/atribuir
responsabilidades sobre os mesmos.

4. Segurança em Recursos Humanos


Vimos que pesquisas recentes mostram que grande parte dos incidentes de segurança partiram de
dentro das próprias organizações (40% do casos analisados em [3]). Estes dados mostram que a segurança da
informação deve dar atenção especial àqueles que terão acesso à ela. Estes cuidados devem iniciar mesmo antes
da contratação e devem se estender, em alguns casos, até mesmo após o término de contrato. Entretanto, para
que seja possível exigir o compromisso com a segurança, é necessário criar mecanismos de conscientização e
educação em segurança compatíveis com as atribuições e conhecimento de cada um. Imagine a seguinte

10 Controles de Segurança da Informação. Prof. Jacir Luiz Bordim


Especialização Gestão da Segurança da Informação e Comunicações

pergunta direcionada a um funcionário: Você sabe quando uma informação não é inofensiva? Pergunta difícil de
ser respondida se o funcionário for despreparado [10]. Portanto, o objetivo de controle aqui é assegurar que
pessoas que relacionam-se com a organização comportem-se conforme seus papéis, visando reduzir roubo, fraude e
mau uso de recursos. Aqui temos três categorias e um total de nove objetivos de controle.
I. Antes da contratação (controles)
1. Papéis e responsabilidades
2. Seleção
3. Termos e condições de contratação

II. Durante a contratação


1. Responsabilidades da direção
2. Conscientização, educação e treinamento em segurança da informação
3. Processo disciplinar

III. Encerramento ou mudança da contratação


1. Encerramento de atividades
2. Devolução de ativos
3. Retirada de direitos de acesso

As diretrizes de implementação para os controles em (I) discorrem sobre mecanismos de coleta de


informações sobre o candidato e sua adequação com o cargo pretendido. No que tange a seção (II), a
participação da direção é imprescindível pois cabe a ela estabelecer a política de segurança e assegurar que
todos saibam e cumpram com os seus deveres. Da mesma forma que deve haver cuidados na contratação, deve
haver mecanismos para assegurar a confidencialidade das informações e processos durante e após o seu término
do contrato. Na mesma linha, todos os direitos de acesso devem ser retirados e os ativos retornados à
organização após o término do contrato.

5. Segurança Física e do Ambiente


Os locais de processamento de informações sensíveis podem requerer que a organização estabeleça
áreas seguras. Estas áreas devem ser protegidas por perímetros de segurança definidos, tanto com barreiras de
segurança como com controles de acesso apropriados. O objetivo principal aqui é o de prevenir acesso físico não
autorizado, que possam ocasionar danos e interferências nas instalações e organizações. Para atingir este objetivo,
são propostos treze objetivos de controle, divididos em duas categorias, a saber:

I. Áreas seguras
1. Perímetro de segurança física
2. Controles de entrada física
3. Segurança em escritórios, salas e instalações
4. Proteção contra ameaças externas e do meio ambiente
5. Trabalhando em áreas seguras
6. Acesso do público, áreas de entrega e de carregamento

II. Segurança de equipamentos


1. Instalação e proteção do equipamento
2. Utilidades
3. Segurança do cabeamento
4. Manutenção dos equipamentos
5. Segurança de equipamentos fora das dependências da organização
6. Reutilização e alienação segura de equipamentos
7. Remoção de propriedade

Para a implementação dos controles acima, é fundamental que se saiba o grau de sensibilidade das
informações e que as mesmas sejam tratadas de forma apropriada ou mesmo re-locadas para áreas seguras.
Nestas áreas, todos os cuidados devem ser tomados. Esses cuidados incluem, vulnerabilidades da infra-estrutura
física e equipamentos, controlar e monitorar o acesso e implementar mecanismos eficientes para minimizar
possíveis vulnerabilidades. Aqui entram aspectos que vão desde o comportamento dos funcionários (como não
fumar, comer, beber próximo de equipamentos), condições do ambiente (umidade, temperatura), manutenção
dos equipamentos por pessoal autorizado, e abrangem inclusive o controle de descarte de equipamentos.
Controles de Segurança da Informação. Prof. Jacir Luiz Bordim 11
Especialização Gestão da Segurança da Informação e Comunicações

6. Gestão das Operações e Comunicações


As redes de computadores são relativamente novas (a tecnologia de rede Ethernet, praticamente
onipresente hoje, data da década de 80, menos de 30 anos atrás) e, em muitos casos, as instituições jurídicas e
sociais não tem acompanhado a velocidade das novas tecnologias. Embora existam leis bem definidas com
relação à privacidade, uso e abuso do correio convencional, no que tange o correio eletrônico ainda não
existem leis específicas. Entretanto, o M. Juiz Douglas Alencar Rodrigues entende que “não há como reconhecer a
existência de direito a privacidade na utilização de equipamentos concebidos para a execução de funções geradas por
contrato de trabalho” [11]. Já a lei 9800, de 1999, permite às partes a utilização de sistema de transmissão de
dados para a prática de atos processuais [12]. Conforme sugerido em [13], é importante que as diretivas e
procedimentos sejam anotadas, aprovadas e verificadas pelo conselho jurídico. Essa separação deve ser realizada
antes que haja um problema que envolva, ou precise envolver, documentos eletrônicos.
A gestão das operações e comunicações tem como objetivo principal o de assegurar a operação dos
recursos de processamento da informação de forma segura e correta. Dez seções são definidas para tratar a da
gestão das operações e comunicações, num total de trinta e dois objetivos de controles. Abaixo estão listados as
categorias e respectivos objetivos de controle.

I. Procedimentos e responsabilidades operacionais


1. Documentação dos procedimentos de operação
2. Gestão de mudanças
3. Segregação de funções
4. Separação dos recursos de desenvolvimento, teste e de produção

II. Gerenciamento de serviços terceirizados


1. Entrega de serviços
2. Monitoramento e análise crítica de serviços terceirizados
3. Gerenciamento de mudanças para serviços terceirizados

III. Planejamento e aceitação dos sistemas


1. Gestão de capacidade
2. Aceitação de sistemas

IV. Proteção contra códigos maliciosos e códigos móveis


1. Controles contra códigos maliciosos
2. Controles contra códigos móvies

V. Cópias de segurança
1. Cópias de segurança das informações

VI. Gerenciamento da segurança em redes


1. Controles de rede
2. Segurança dos serviços de rede

VII. Manuseio de mídias


1. Gerenciamento de mídias removíveis
2. Descarte de mídias
3. Procedimentos para tratamento de informação
4. Segurança da documentação dos sistemas

VIII. Troca de informações


1. Políticas e procedimentos para troca de informações
2. Acordos para a troca de informações
3. Mídias em trânsito
4. Mensagens eletrônicas
5. Sistemas de informações do negócio

IX. Serviços de comércio eletrônico


1. Comércio eletrônico
2. Transações on-line
12 Controles de Segurança da Informação. Prof. Jacir Luiz Bordim
Especialização Gestão da Segurança da Informação e Comunicações

3. Informações publicamente disponíveis

X. Monitoramento
1. Registros de auditoria
2. Monitoramento do uso do sistema
3. Proteção das informações dos registros (log)
4. Registros (log) de administrador e operador
5. Registros (log) de falhas
6. Sincronização dos relógios

A extensão que estes objetivos de controle devem ser implantados dependem muito da características do
negócio e os riscos associados. Entretanto, hoje, praticamente todas as organizações disponibilizam contas de
correio eletrônico aos seus funcionários e formas de proteção contra abusos devem ser implementadas. Vírus,
trojans, malware, spyware, entre outros, já fazem parte das preocupações das organizações que possuem acesso
à Internet. Implementar mecanismos de prevenção contra código malicioso e estratégias para manter cópias de
segurança se faz necessário em praticamente todas as organizações. Essas questões, embora estejam
diretamente relacionadas com a segurança dos dados, não restringem o acesso não autorizado por terceiros ou
mesmo pelos próprios funcionários. O monitoramento do uso do sistema e proteção dos registros (logs) são
imprescindíveis para que se possa verificar falhas no sistema e identificar vulnerabilidades. Da mesma forma é
importante estar com os sistemas atualizados e participar de listas de discussões e fóruns especializados que
possuam informativos sobre novos códigos maliciosos e criticidade das atualizações.

7. Controle de Acesso
Como vimos na seção de Segurança Física, a implementação dos controles físicos reduzem os riscos de
roubo e destruição dos ativos. A aplicação de controles físicos pode reduzir os riscos de que um intruso
ultrapasse os controles lógicos construídos nos sistemas. Entretanto, hoje existem diversas maneiras de se ter
acesso à informação sem a necessidade de estar fisicamente próximo do equipamento onde as mesmas estão
armazenadas. Os diversos aspectos que tratam do controle de acesso incluem a necessidade da organização
estabelecer uma política de controle de acesso, o gerenciamento de acesso de usuários, bem como a correta
utilização dos equipamentos de rede, entre outros. O objetivo, de forma geral, é controlar acesso à informação e
garantir a operação segura e correta dos recursos de processamento da informação. Nesta seção são definidos vinte
e cinco objetivos de controle divididos em sete categorias, a saber:

I. Requisitos de negócio para controle de acesso


1. Política de controle de acesso

II. Gerenciamento de acesso do usuário


1. Registro de usuário
2. Gerenciamento de privilégios
3. Gerenciamento de senha do usuário
4. Análise crítica dos direitos de acesso de usuário

III. Responsabilidades dos usuários


1. Uso de senhas
2. Equipamento de usuário sem monitoração
5. Política de mesa limpa e tela limpa

IV. Controle de acesso à rede


1. Política de uso dos serviços de rede
2. Autenticação para conexão externa do usuário
3. Identificação de equipamento em redes
4. Proteção e configuração de portas de diagnóstico remotas
5. Segregação de redes
6. Controle de conexão de rede
7. Controle de roteamento de redes

V. Controle de acesso ao sistema operacional


Controles de Segurança da Informação. Prof. Jacir Luiz Bordim 13
Especialização Gestão da Segurança da Informação e Comunicações

1. Procedimentos seguros de entrada no sistema (log-on)


2. Identificação e autenticação de usuário
3. Sistema de gerenciamento de senha
4. Uso de utilitários de sistema
5. Desconexão de terminal por inatividade
6. Limitação de horário de conexão

VI. Controle de acesso à aplicação e à informação


1. Restrição de acesso à informação
2. Isolamento de sistemas sensíveis

VII. Computação móvel e trabalho remoto


1. Computação e comunicação móvel
2. Trabalho remoto

As diretrizes de implementação dos controles mostram que inicialmente é necessário estabelecer regras
de controle de acesso e direitos para cada usuário ou grupos de usuários e que as mesmas sejam expressas
claramente na política de controle de acesso. Definir e detalhar os direitos de acesso, controlar a distribuição e
manutenção de senhas de acesso, estabelecer mecanismos de controle de acesso à rede, sistemas e aplicações
são tarefas que demandam por pessoal capacitado e conhecimentos específicos na área. Além da própria norma,
as referências [8,13,14,15] possuem informações bem detalhadas que podem auxiliar na implementação dos
controles vistos aqui.

8. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação


O surgimento e disseminação da linguagem COBOL (COmmon Business Oriented Language) no início da
década de 60 deu início a automação de sistemas que até então eram totalmente manuais. Neste período, as
principais preocupações eram a conformidade com os sistemas manuais, a velocidade de processamento e a
capacidade de armazenamento. De lá para cá, as linguagens de programação, e o processo de desenvolvimento
de software como um todo, evoluíram. Concomitantemente, surgiu a necessidade de interligar computadores e
sistemas corporativos, surgindo então os sistemas distribuídos. Essa mudança acabou por introduzir novas
ameaças ao correto funcionamento dos sistemas, que agora necessitam tratar de eventos como falha de
transmissão, time-outs, entre outros. Aliado a isso, estão as questões que tratam da segurança dos dados e
possíveis falhas no desenvolvimento/sistema final que possam permitir o acesso indesejável ao sistema.
A utilização de softwares produzidos por terceiros (pacotes de software) é bastante comum hoje.
Portanto, é importante que os gestores de segurança se preocupem em planejar e priorizar medidas que
envolvam o departamento interno de desenvolvimento de sistemas ou seu fornecedor (fábrica de software) para
garantir que os níveis de segurança sejam determinados e que as medidas que assegurem a segurança dos
softwares sejam especificadas e seguidas. No que se refere a aquisição, desenvolvimento e manutenção de
sistemas de informação, a ISO 17799 define como objetivo principal de garantir que a segurança seja parte
integrante dos sistemas de informação. A norma define seis categorias e um total de dezesseis objetivos de
controle, conforme abaixo:

I. Requisitos de segurança de sistemas de informação


1. Análise e especificação dos requisitos de segurança

II. Processamento correto nas aplicações


1. Validação dos dados de entrada
2. Controle do processamento interno
3. Integridade de mensagens
4. Validação de dados de saída

III. Controles criptográficos


1. Política para o uso de controles criptográficos
2. Gerenciamento de chaves

IV. Segurança dos arquivos do sistema


1. Controle de software operacional
2. Proteção dos dados para teste de sistema
14 Controles de Segurança da Informação. Prof. Jacir Luiz Bordim
Especialização Gestão da Segurança da Informação e Comunicações

3. Controle de acesso ao código-fonte de programa

V. Segurança em processos de desenvolvimento e de suporte


1. Procedimentos para controle de mudanças
2. Análise crítica técnica das aplicações após mudanças no sistema operacional
3. Restrições sobre mudanças em pacotes de software
4. Vazamento de informações
5. Desenvolvimento terceirizado de software

VI. Gestão de vulnerabilidades técnicas


1. Controle de vulnerabilidades técnicas

As diretrizes de implementação dos objetivos de controle incluem desde o teste de funcionalidade e


conformidade com os requisitos de segurança da organização, a aquisição de produtos certificados e a utilização
de técnicas criptográficas para a implementação de autenticação de mensagens de sistema. Cuidados especiais
devem ser tomados ao utilizar e contratar software de terceiros.

9. Gestão de Incidentes de Segurança da Informação


Em [15], um incidente de segurança é definido como “qualquer evento adverso, confirmado ou sob
suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores”. Entre os exemplos de
incidentes de segurança estão as tentativas de ganhar acesso não autorizado a sistemas ou dados, ataques de
DoS, modificações em um sistema, sem o conhecimento ou consentimento prévio, entre outros. O objetivo de
gestão de incidentes de segurança da informação visa assegurar que fragilidades e eventos de segurança da
informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em
tempo hábil. Aqui temos duas categorias e cinco objetivos de controle definidos:

I. Notificação de fragilidades e eventos de segurança da informação


1. Notificação de eventos de segurança da informação
2. Notificando fragilidades de segurança da informação

II. Gestão de incidentes de segurança da informação e melhorias


1. Responsabilidades e procedimentos
2. Aprendendo com os incidentes de segurança da informação
3. Coleta de evidências

As diretrizes de implementação apontam para a necessidade de se estabelecer um procedimento de


notificação formal de eventos através um canal apropriado para evitar que essas notificações possam cair em
mãos erradas e serem usadas contra a própria organização. As notificação dos resultados (tratamento do evento)
devem ser comunicadas, bem como devem ser estabelecido um processo disciplinar para envolvidos em eventos
que comprometam a segurança.

10. Gestão da Continuidade do Negócio


A gestão da continuidade de negócio visa identificar potenciais impactos que podem ameaçar a
organização. O desenvolvimento de metodologias e técnicas que permitam criar capacidade de respostas com
vistas aos interesses da organização são de suma importância. A gestão da continuidade do negócio tem como
objetivo manter as atividades do negócio, proteger os processos críticos contra falhas e assegurar a sua retomada em
tempo hábil. Esta seção define uma categoria de controle contendo cinco objetivos de controle:

I. Aspectos da gestão da continuidade do negócio, relativos à segurança da informação


1. Incluindo segurança da informação no processo de gestão da continuidade de negócio
2. Continuidade de negócios e análise/avaliação de riscos
3. Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação
4. Estrutura do plano de continuidade do negócio
5. Testes, manutenção e reavaliação dos planos de continuidade do negócio

As diretrizes de implementação para os objetivos de controle envolvem o desenvolvimento de uma


estratégia abrangente de segurança da informação que dêem suporte para continuidade dos negócios,
Controles de Segurança da Informação. Prof. Jacir Luiz Bordim 15
Especialização Gestão da Segurança da Informação e Comunicações

identificando os eventos que podem causar interrupções e a probabilidade de impacto no negócio bem como
estabelecer procedimentos de restauração das operações.

11. Conformidade
A conformidade tem como objetivo evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou
obrigações contratuais e de quaisquer requisitos de segurança da informação. A norma define três categorias e dez
objetivos de controle para esta seção.

I. Conformidade com requisitos legais


1. Identificação da legislação vigente
2. Direitos de propriedade intelectual
3. Proteção de registros organizacionais
4. Proteção de dados e privacidade de informações pessoais
5. Prevenção de mau uso de recursos de processamento da informação
6. Regulamentação de controles de criptografia

II. Conformidade com normas e políticas de segurança da informação e conformidade técnica


1. Conformidade com as políticas e normas de segurança da informação
2. Verificação da conformidade técnica

III. Considerações quanto à auditoria de sistemas de informação


1. Controles de auditoria de sistemas de informação
2. Proteção de ferramentas de auditoria de sistemas de informação

As diretrizes de implementação visam atender requisitos estatutários, regulamentares e contratuais


relevantes, preservar e proteger ativos que possuam restrições sobre de propriedade intelectual, desenvolver e
implementar uma política de privacidade e proteção de dados, além de estabelecer limites bem definidos o uso
informações utilizadas por auditores externos.

16 Controles de Segurança da Informação. Prof. Jacir Luiz Bordim


Especialização Gestão da Segurança da Informação e Comunicações

Conclusão

Este documento abordou as seções da ISO 17799 tentando trazer para o leitor uma visão global sobre a
necessidade e importância no estabelecimento de um conjunto de controles para prover a segurança das
informações. Vimos também que existem outros modelos, frameworks e guias de melhores práticas que
abordam controles. Entre estes modelos podemos citar o COBIT (Control OBjectives for Information and related
Technology) o qual foi criado pela Information Systems Audit and Control Association (ISACA), e a IT Governance
Institute (ITGI) em 1992 [18]. O COBIT é formado por um conjunto de publicações. O Control Objectives do
COBIT prove informações necessárias para delinear e identificar controles para a segurança da informação.
Outra fonte de importante de informação é o Recommended Security Controls for Federal Information Systems
(Special Publication SP800-53) publicado pela National Institute of Standards and Technology (NIST) [19]. O
capítulo dois, Fundamentos, trata de vários aspectos relacionados diretamente com controles, bem como inclui
uma lista de controles mínimos que devem ser implementados em sistemas de informação federal. A
Information Systems Audit and Control Association (ISACA) possui publicações específicas sobre o mapeamento
entre o COBIT e ISO 17799 bem como COBIT e NIST SP 800-53.

Controles de Segurança da Informação. Prof. Jacir Luiz Bordim 17


Especialização Gestão da Segurança da Informação e Comunicações

18 Controles de Segurança da Informação. Prof. Jacir Luiz Bordim


Especialização Gestão da Segurança da Informação e Comunicações

Referências Bibliográficas

1. ABNT ISO/IEC 17799:2005, Tecnologia da informação — Técnicas de segurança — Código de prática para a
gestão da segurança da informação.
2. Revista Forbes Online, http://www.forbes.com/2007/11/27/data-privacy-hacking-tech-security-
cx_ag_1128databreach.html, acesso em 20/01/2008.
3. InfoSecurity Task Force, http://www.istf.com.br/vb/showthread.php?t=10823, acesso em 20/01/2008.
4. C. Davis, M. Schiller, e K. Wheeler, IT Auditing-Using Controls to Protect Information Asset, McGraw-Hill ,
2007.
5. Contents of BS7799, http://iso-17799.safemode.org/index.php?page=Contents_of_BS7799-2, acesso em
20/01/2008.
6. Gustavo A. Alves, Segurança da Informação: Uma Visão Inovadora da Gestão, Editora Ciência Moderna Ltda,
2006.
7. Ricardo Mansur, Governança de TI: Metodologias, Frameworks, Melhores Práticas, Brasport Ltda, 2007.
8. The Site Security Handbook, RFC 2196, http://www.faqs.org/rfcs/rfc2196.html , acesso em 20/01/2008.
9. SANS (SysAdmin, Audit, Network, Security) Institute, http://www.sans.org/resources/policies/, acesso em
20/01/2008.
10. Mário César Pintaudi Peixoto, Engenharia Social e Segurança da Informação na Gestão Corporativa, Brasport
Ltda, 2006.
11. O monitoramento do correio eletrônico no ambiente de trabalho,
http://jus2.uol.com.br/doutrina/texto.asp?id=3486&p=2, acesso em 20/01/2008.
12. Lei 9800, http://www.planalto.gov.br/ccivil/leis/L9800.htm, acesso em 20/10/1008.
13. Evi Nemeth, G. Snyder, S. Seebas, Trent R. Hein, Manual de Administração do Sistema Unix, 3ª edição,
Prentice Hall, 2001.
14. Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Kent, Ronald W. Ritchey, Inside Network Perimeter
Security, Sams Publishing, 2005.
15. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Cartilha de Segurança a para
Internet, CertBr, http://cartilha.cert.br/, acesso em 20/01/2008.
16. Dicionário Houaiss, Editora Objetivo Ltda, 2002.
17. Instituto de Auditores Internos, http://www.audibra.org.br/, aceso em 20/01/2008.
18. Information Systems Audit and Control Association, http://www.isaca.org/, acesso em 20/01/2008.
19. National Institute of Standards and Technology , http://csrc.nist.gov/publications/PubsSPs.html, acesso em
20/01/2008.

Controles de Segurança da Informação. Prof. Jacir Luiz Bordim 19