Você está na página 1de 55

Índice Analítico

I. Segurança Estratégica da Informação ..................................................................5


Objetivos da Segurança da Informação ..................................................................12

II. Pilares da Segurança da Informação ..................................................................14


Conceitos ....................................................................................................................15

Confidencialidade .................................................................................................15
Integridade.............................................................................................................16
Disponibilidade......................................................................................................16
Aspectos .....................................................................................................................17

Autenticação ..........................................................................................................17
Autorização ............................................................................................................17
Auditoria ................................................................................................................18
Autenticidade.........................................................................................................18
Não Repúdio ..........................................................................................................19
Legalidade ..............................................................................................................19
III. Divisão da Segurança da Informação .........................................................20

Segurança Física e do Ambiente ..............................................................................21

Segurança pessoal .................................................................................................21


Segurança patrimonial .........................................................................................21
Segurança das edificações ....................................................................................22
Segurança de infra-estruturas .............................................................................22
Classificação de perímetros de segurança ..........................................................22
Controles de acessos ..............................................................................................22
Eventos naturais ....................................................................................................23
Eventos sociais .......................................................................................................23
Segurança Lógica e Sistêmica ..................................................................................24

Perímetro lógico de segurança .............................................................................24


Redes ......................................................................................................................24
Segurança de sistemas e Hosts .............................................................................25
Controle de acesso .................................................................................................25
Segurança em Pessoas...............................................................................................26

Engenharia social ..................................................................................................26


Acompanhamento de pessoal ...............................................................................26
Conscientização .....................................................................................................27
Educação ................................................................................................................27
Política de segurança ............................................................................................28
Gerência de mudança ...........................................................................................28
Quebra de paradigma social ................................................................................29
Controle e monitoração ........................................................................................30
Reforço negativo ou positivo ................................................................................30
Ciclo de vida da informação.........................................................................................32
Fases do Ciclo ............................................................................................................32

Manipulação ..............................................................................................................32

Armazenamento ........................................................................................................33

Transporte .................................................................................................................33

Descarte......................................................................................................................34

IV. Gestão da Segurança da Informação ..................................................................35


SGSI – Sistema de Gestão da Segurança da Informação ......................................35

Information Security Officer (Gestor de Segurança da Informação) ..............36


Atribuições do Information Security Officer .................................................36
Conselho de Segurança .........................................................................................37
Atribuições do Conselho de Segurança ...........................................................37
Plano Diretor de Segurança da Informação - PDSI ..........................................38
V. Política de Segurança da Informação .................................................................39
Objetivos da Política de Segurança .........................................................................41

Desenvolvimento da Política de Segurança ............................................................45

Realização de Campanha de Conscientização ........................................................47

Conscientização .....................................................................................................48
Educação ................................................................................................................48
Treinamento ..........................................................................................................49
Implantação da Política ........................................................................................49
VI. Norma BS 7799 ......................................................................................................50
Objetivo da Norma ...................................................................................................51

Controles requeridos pela Norma ...........................................................................51

Seleção dos controles.................................................................................................53

2
Introdução

A Segurança Estratégica da Informação, à qual estamos vivenciando o surgimento como área do

conhecimento, área esta que se utiliza da várias ciências – psicologia, sociologia, tecnologia,

administração, arquivologia, antropologia, forense, direito, etc. - é de vital importância para o ‘mundo’

corporativo, governamental e mesmo para o mundo privado e pessoal – sem a segurança este tende a

desaparecer.

Uma frase muito dita nos últimos tempos é: ‘A informação é um dos ativos mais valiosos das

organizações’. Não poderia ser diferente, afinal estamos em plena transição da era da informação para a

era do conhecimento, conhecimento este que necessita de informações para que seja adquirido e

compartilhado. Nada mais natural que se procure, portanto, assegurar que este ‘ativo’ tão importante às

organizações esteja em total segurança. Sim, é natural, mas isto não significa necessariamente que todas

as organizações estejam preparadas para a tarefa de manter suas informações em segurança.

Nesta apostila vou procurar apresentar a Segurança Estratégica da Informação de maneira didática e

mostrar o que é necessário para que ela seja implementada, sem a pretensão de esgotar o assunto ou

fazer deste trabalho ‘a verdade’ sobre segurança da informação, pois esta é a minha visão sobre este

assunto, e nem sei por quanto tempo esta visão permanecerá. Espero que por pouco, pois ao mudar

estarei evoluindo, assim como a Segurança Estratégica da Informação evoluirá.

“O fator humano é o elo mais fraco da segurança”1

Vou apresentar também alguns conceitos de Gestão de Riscos e Continuidade de Negócios, que ao

meu ver são indissociáveis do tema Segurança da Informação.

1
Mitnick, Kevin D. - A Arte de Enganar. Makron Books, 2003

3
Clemente Nóbrega diz, em seu livro ‘Antropomarketing’ [Senac Rio 2002], que “Marketing é sobre

o ser humano”, onde “Precisamos compartilhar significados para obter reciprocidade e ficar vivos”. Eu

ouso adaptar suas palavras para: “Segurança da Informação é sobre o ser humano”, onde precisamos

compartilhar responsabilidades e conhecimentos para obter reciprocidade e ficar vivos, no sentido de

continuidade.

Esta visão é corroborada por uma das máximas da Segurança da Informação que afirma que “A

Segurança da Informação se mede pela segurança de seu elo mais fraco: o ser humano”.

Lembrem-se: Errar é humano, e trapacear também!

A transição da ‘era da informação’ para a ‘era do conhecimento’, apesar de parecer e em alguns

casos não passar mesmo de apenas clichê modista para gurus e vendedores de milagres corporativos, é

de fundamental importância para o tema e para que entendamos a expansão do escopo e da abordagem

que o assunto passa a exigir. Mal começamos a aplicar conceitos de Segurança da Informação e já nos é

apresentado a Segurança do Conhecimento. Já utilizamos conceitos e práticas de Segurança do

Conhecimento há muito tempo, como no caso de proteção e segredos de propriedades industriais e

intelectuais, mas o escopo deve ser ampliado e fundido ao da Segurança da Informação, que

convencionei chamar de Segurança Estratégica da Informação.

4
I. Segurança Estratégica da Informação
Informação: dados coletados, combinados e contextualizados que explicam e informam fatos

(passado).

Conhecimento: absorção e aplicação da informação de maneira a gerar valor, propor soluções e

apresentar tendências (presente e futuro).

A Informação é um ativo importante das organizações, e em muitos casos o mais importante, e como

tal deve ser protegido adequadamente durante todo seu ciclo de vida: criação, manipulação,

armazenamento, transporte e descarte.

Por informação, entendem-se, neste contexto, todos os dados armazenados e manipulados em meios

eletrônicos, em papel, micro-filmes, ou qualquer outro meio que os suporte, que quando

contextualizados geram informações e conhecimentos de valor para a empresa. Sendo o conhecimento

adquirido a partir da informação, este deve ser englobado no nosso escopo de trabalho para que também

seja protegido. Isso nos remete à ‘gestão do conhecimento’, tema que não será tratado aqui, mas que é

verdadeiramente importante neste contexto.

O conhecimento que não está em suporte físico ou eletrônico, que é o conhecimento tácito de

funcionários chaves e estratégicos, também deve ser considerado no SGSI (Sistema de Gestão de

Segurança da Informação) e sempre que possível deve ser transformando em conhecimento explícito -

documentado - para que possa ser compartilhado e perpetuado (disponibilidade). Isso nos coloca em um

processo cíclico, pois informações geram conhecimentos que, por sua vez, geram novas informações.

Todas estas informações devem ser protegidas devido o valor que representam para as organizações.

5
Informação é um bem estratégico para as organizações, principalmente para as organizações do

conhecimento, mas não limitado a estas, pois informações e conhecimentos são, em muitos casos, mais

valiosos que os bens físicos. Sendo assim, é imprescindível que todas as ações de segurança sejam

tomadas com participação efetiva e apoio direto, explícito e irrestrito da alta direção da organização,

pois segurança deixou de ser apenas opção ou diferencial competitivo, é estratégica.

Ativo: qualquer coisa que tenha valor para a organização [ISO/IEC 1335-1:2004]

Em sendo estratégico, e aqui me lembro bem do professor “Altino” [Introdução à Administração -

UNIBERO:2000] que não se cansava de nos apresentar a pirâmide hierárquica: estratégica no topo;

tático na área central e operacional na base.

A responsabilidade pela segurança da informação é toda a organização, mas para que seja

estratégica, cuidando de ativos estratégicos, deve ter como principais responsáveis os gestores das áreas

de negócio, sob a coordenação ou direção de um especialista no assunto, ou por um diretor apoiado por

consultores, uma vez que o tema traz consigo uma série de fatores técnicos e multidisciplinares.

A Gestão da área, e assuntos específicos relativos à Segurança da Informação, deve estar, portanto,

sob a tutela de um cargo situado no plano estratégico da hierarquia. CSO (Chief Security Officer), para

os que preferem termos americanos, ou simplesmente Diretor de Segurança da Informação, em bom

português. Este cargo, ou função, pode ser desempenhado pelo próprio Diretor de Riscos Corporativos, e

em outros casos em que a empresa não comporte tal cargo, pode ser dado como função e

responsabilidade a outro diretor, mas deve estar no nível estratégico e há que se ter um verdadeiro

compromisso e responsabilidade com tal função. Este diretor deve ser assessorado por especialistas nos

diversos domínios que a Segurança da Informação engloba, ainda que consultores externos.

6
A gestão ou administração da Segurança da Informação pode ser delegada, mas a responsabilidade

recairá sempre sobre os gestores do negócio. É destes a responsabilidade, inclusive legal, de zelar pela

segurança, resiliência e continuidade dos negócios.

Não se pode esperar que processos estratégicos sejam implementados a partir de níveis táticos ou

operacionais, pois o conflito de interesse - principalmente quando se trata de assunto que provoca

alterações na cultura organizacional, tira as pessoas do seu centro de conforto e altera suas atividades do

dia-a-dia, é muito forte e o poder do ‘fogo amigo’ - é grande suficiente para que as ações não passem de

pontuais e localizadas, e assim sendo, não serão incorporadas pela organização e as pessoas continuarão

sendo o ‘elo mais fraco da segurança’. Infelizmente sabemos muito bem como funciona o ‘sabe com

quem está falando?’. Sabemos que não estamos num mundo perfeito, portanto não vamos agir como se

assim fosse.

Muitas empresas têm a ilusão de que ‘segurança tecnológica’ é segurança da informação. Na

realidade é apenas parte, apenas ferramenta de suporte e aplicação da Política Corporativa de Segurança

da Informação, esta que deve fazer parte de algo maior, que é a Gestão de Riscos Operacionais, que,

juntamente com seus pares Gestão de Riscos Financeiros e Gestão de Riscos de Mercado fazem parte da

Gestão de Riscos Corporativos. O pior desta ilusão é que esta falsa segurança acaba por tornar míopes os

que deveriam cuidar de tão estratégico ativo, que além de se vangloriarem de ter ‘segurança da

informação’ agem como se realmente a tivessem. A falsa sensação de segurança é mais prejudicial do

que a certeza da insegurança, pois elimina a possibilidade de defesa, tolhe o poder da desconfiança e dá

força até às fraquezas que poderiam ser eliminadas com pouco esforço.

É imperativo, também, que haja coerência entre a implementação da segurança da informação e a

cultura organizacional, o planejamento estratégico, o nível de maturidade cultural e de dependência em

7
TI e os riscos inerentes ao ambiente e ao negócio, o que não é possível existir senão no nível estratégico

da organização.

Para que um plano de segurança estratégica da informação alcance o resultado esperado deve seguir

as seguintes premissas:

Personalizado – elaborada sob medida para a empresa;

Não existe ‘plano de segurança estratégica da informação’ em prateleiras de lojas ou empresas de

consultorias. Desconfie e duvide de quem oferecer tal solução milagrosa. Como diria o Presidente

Lula, “não tem solução milagrosa”. As coisas devem ser feita da maneira correta, no tempo certo e

com os custos financeiros e de esforços necessários a cada organização. É algo que para funcionar

deve ser feito sob-medida, seguindo padrões e normas internacionais e consagradas, aplicando as

melhores práticas conhecidas no mercado, seguindo as regulamentações setoriais, os requisitos

específicos de cada tipo de negócio e seguindo as leis aplicáveis a cada assunto abordado no plano.

Voltando aos conceitos, o conhecimento deve ser compartilhado e aplicado, mas as informações

sobre o plano, em sua maioria, terão que ser geradas internamente, a não ser aquelas comuns ao

mercado, como leis e regulamentações.

Justificável – orientada a Riscos, ou seja, deve mitigar os riscos aos quais a empresa está sujeita,

mantendo-os em níveis aceitáveis; e

Permanente – aplicável, de maneira contínua, contra as ‘ameaças reais’ às quais os processos e

ativos da empresa estão expostos.

8
Não existe segurança 100% e nem risco zero.

É importante sabermos que não há segurança 100% e que o aumento do nível da segurança não é

linear ao investimento aplicado. Chamo isso de “efeito escalada”, pois quanto mais alto o nível de

segurança, menos o avanço é proporcional ao investimento.

Investimento

Segurança

O investimento e avanço em segurança reagem de maneira semelhante às curvas geradas por PG

(progressão geométrica) e PA (progressão aritmética), respectivamente, como se fosse necessário

aumento geométrico dos investimentos financeiros e esforços para se conseguir um aumento aritmético

no nível de segurança. Ao atingirmos o nível desejado de segurança a curva de investimento tem seu

ponto de inflexão e a de segurança passa a ser estável por um período e passará a decair. É importante

notar que o investimento em segurança diminuirá a partir deste ponto, mas jamais poderá ser eliminado

por completo, pois o custo de manutenção deverá ser mantido para que o nível de segurança alcançado

seja mantido e que o processo de gestão (PDCA) seja preservado.

9
Investimento = 1, 2, 4, 8, 16, 32, 64 .....(PG)

Segurança = 1, 3, 5, 7, 9, 11, 13....... (PA)

70

60

50

40

30

20

10

0
1 2 3 4 5 6 7
Investimento
Segurança

Relação Investimento x Segurança

O efeito escalada não incide somente sobre o aspecto financeiro, mas também sobre o gerencial e o

funcional.

A administração de ambientes seguros requer mais controles e cuidados, sob pena de se perder o

esforço feito para chegar ao patamar alcançado e ficar desatualizado no que diz respeito aos controles

necessários para garantir a segurança no nível atual. Isso gera revisões e atualizações constantes, mas em

contrapartida reduz o tempo gasto com paradas indesejadas. Cabe a cada empresa descobrir o ponto de

equilíbrio para que o benefício seja satisfatório e o investimento aceitável.

10
O nível de segurança é inversamente proporcional ao nível de conforto na utilização, para os

usuários, e à facilidade de gerenciamento, para os administradores.

Os usuários finais também podem sentir os efeitos deste maior controle, principalmente aqueles que

se acostumaram em ambientes muito flexíveis, para não dizer relaxados, pois não mais terão liberdade

para fazer o que quiserem, mas apenas o que precisarem e sob controle e monitoração constante. Estes

controles podem, se não bem implementados e adequados ao ambiente, causar alguns inconvenientes, os

quais devem ser minimizados no decorrer do processo evolutivo da segurança, e também conforme os

usuários vão se habituando a trabalhar em ambientes mais seguros, e portanto, controlados.

A conscientização e educação constante dos usuários são grandes aliados dos gestores de segurança,

pois transforma os usuários em colaboradores. Isso acontece naturalmente quando estes entendem o real

objetivo da segurança.

O investimento em segurança deve ser proporcional ao valor do bem que se pretende proteger.

Visto que proteger as informações requer investimento e esforço, devemos atentar para o fato de que

nem todas as informações têm o mesmo valor, e que o valor destas variam de acordo com seu ciclo de

vida. É essencial que se faça a classificação das informações, e sua reclassificação, sempre que

necessário, para que não se invista mais que o necessário para garantir a segurança das mesmas.

Ninguém compraria um cofre de R$ 10.000,00 para guardar uma jóia de R$ 3.000,00. Seria um

desperdício de recurso. E um carro que hoje custa R$ 50.000,00 terá seu valor depreciado no ano

11
seguinte, não sendo, portanto, aceitável que se invista o mesmo valor em seu seguro por dois anos

consecutivos, pressupondo-se que não houve alteração considerável no fator risco.

Objetivos da Segurança da Informação

A segurança da informação tem dois objetivos principais: o primeiro é preservar (Confidencialidade,

Integridade e Disponibilidade) os dados e informações da organização, de seus clientes, funcionários e

parceiros. O segundo é garantir a continuidade operacional do negócio em caso de incidente,

minimizando os impactos financeiros, de imagem e operacionais, decorrentes deste incidente.

Segurança da Informação = Preservação + Continuidade.

Nenhum empresário irá investir em segurança da informação se não tiver claro, e se não estiver

consciente de quais serão os benefícios e retorno deste investimento para a organização.

Esta é uma das árduas tarefas do responsável pela segurança da informação: conscientizar e

convencer os executivos da necessidade de investir em segurança.

Alguns negócios dependem diretamente da segurança e em outros a regulamentação da atividade ou

Leis e Decretos exigem investimento em segurança e o ‘Information Security Officer’, como é chamado

o responsável pela segurança da informação, não precisará despender muito esforço para conseguir

investimento.

Os bancos, por exemplo, estão muito à frente de muitos outros tipos de negócio, pois dependem da

segurança para sobreviver. Já as indústrias ainda estão caminhando a passos lentos para a maturidade,

mas já tendo algumas áreas mais avançadas, como as de pesquisa e desenvolvimento.

12
Na maioria das organizações o ‘Information Security Officer’ precisará se esforçar para mostrar as

vantagens que o investimento em ações estruturadas em segurança trarão como retorno. Uma das

melhores maneiras de demonstrar que o investimento trará retorno, e sua real necessidade, é a realização

estudos de Análise de Riscos e Avaliação de Impactos, estudos estes que irão aclarar o quão a

organização está vulnerável, quais são os riscos aos quais está exposta e qual será o impacto em caso de

incidente.

Uma estratégica que pode auxiliar no convencimento é demonstrar o quanto a empresa poderá perder

caso não invista em segurança, uma vez que é difícil demonstrar o retorno do investimento. Podemos

chamar isso de Perda por Não Investimento (PpNI). Exemplo: Seguir uma regulamentação setorial pode

não trazer retorno à empresa, mas não seguir pode trazer prejuízo.

Alguns objetivos da segurança da informação:

Agregar valor ao negócio; diferencial competitivo; continuidade operacional; gerenciamento dos

riscos; proteção de investimentos; conformidade com determinações legais e setoriais; etc.

Alguns motivadores da segurança da informação:

Dependência crescente da informação; a informação é um dos ativos mais importantes das

organizações; responsabilidade administrativa, legal e social – acionistas, clientes, funcionários,

governo, sociedade; proteção da propriedade intelectual – patentes, marcas, direitos autorais,

segredos de negócio, segredo de fábrica; etc.

13
Para que seja possível alcançar os objetivos da segurança da informação é necessário que se siga alguns

passos, a saber:

- Realização de Análise de Risco;

- Realização de Avaliação de Impactos nos Negócios;

- Elaboração de uma Política de Segurança que reflita os objetivos do negócio;

- Realização de campanhas de conscientização e treinamento dos funcionários;

- Elaboração de um Plano de Continuidade do Negócio.

- Revisar tudo periodicamente

Segurança da Informação é um processo, não um projeto.

Para completar, segurança da informação não é projeto, e sim um processo, e como tal deve ser

contínuo, cíclico, monitorado, revisado e evoluído permanentemente, sob pena de se tornar obsoleto e de

perder seu valor para o negócio.

II. Pilares da Segurança da Informação

A segurança da informação é composta por pilares básicos, e todo o resto gira em torno disto:

Confidencialidade; Integridade; e Disponibilidade.

Este tripé da segurança da informação pela é conhecido pela sigla CID.

14
Temos ainda alguns aspectos originados dos conceitos do CID. Vamos destacar aqui alguns deles:

Autenticação; Autorização; Auditoria; Autenticidade; Não Repúdio e Legalidade.

Conceitos

Confidencialidade
Garantia de que o acesso às informações seja obtido somente por entidades autorizadas.

A confidencialidade pode ser classificada em níveis de acordo com as necessidades da empresa,

podendo ser:

Confidencial – Pode ser manipulada por um número reduzido de pessoas ou um setor da empresa,

como por exemplo P&D;

Restrita – Informação restrita pode ser manipulada por contingente maior de pessoas ou um nível

hierárquico, como por exemplo o plano estratégico da empresa que pode ser visto até no nível

hierárquico de diretoria;

Interna – Este tipo de informação deve ser limitado à da empresa, como as listas de ramais,

memorandos internos, norma internas, manuais, etc.;

Pública – Estas informações podem também ser divulgadas ao público ou publicadas em revistas,

sites, etc. Informações públicas podem também ser conhecidas como ‘não classificadas’, pois

entende-se que se não foi classificada é porque é pública. Isso pode trazer sérios problemas para a

empresa, pois uma falha de classificação pode expor informações confidenciais ao público. O mais

seguro seria adotar que tudo o que não é classificado é interna.

15
Integridade
Garantia de que as informações serão protegidas contra alterações não autorizadas e mantidas a

exatidão e a inteireza das mesmas, tal qual como foi armazenada e disponibilizada.

Um dado, ou informação, armazenado deve permanecer integra para quando for recuperado. Para

que isso seja verdadeiro não poderá sofrer interferência alguma que o modifique, seja por falhas

intencionais ou não. Os métodos de processamento, normalmente sistemas, devem também ter a

integridade preservada, pois uma alteração num sistema pode comprometer as informações resultantes

do processamento.

Este conceito não garante que os dados estejam corretos, pois se forem armazenados errados, assim

permanecerão até que uma entidade autorizada os corrija.

Disponibilidade
Garantia de que as informações estarão disponíveis onde e quando as entidades autorizadas

necessitarem, com total segurança.

A informação não tem valor para a empresa caso não esteja disponível quando for requisitada.

Muitos ataques tentam derrubar este pilar da segurança por meio da negação de serviço com ataques do

tipo DoS ou DDoS, interrompendo o acesso aos serviços e informações das empresas. Para que este

problema seja apresentado não é necessário ataque sofisticado, bastando para isso apenas que uma linha

de comunicação seja interrompida ou que um servidor seja fisicamente comprometido, intencionalmente

ou não. A falta de energia que alimenta o servidor de dados pode causar indisponibilidade, caso não haja

contramedidas para este problema.

A manutenção deste pilares da segurança da informação só será atingida se houver a integração entre

segurança física e do ambiente, tecnológica e em pessoas como já foi apresentado.

16
Aspectos

Autenticação

Processo de autenticar uma entidade como sendo aquela que se apresenta.

Entende-se por entidade, pessoas, sistemas, redes ou qualquer outra parte que necessite de

identificação para que possa manipular as informações. Este aspecto é de suma importância para a

manutenção da segurança da informação, pois se não for possível autenticar a entidade toda a cadeia de

segurança estará comprometida, seja por permitir acesso à entidade falsa ou negar acesso à entidade

legítima. Pode-se dizer que a negação de serviço é melhor que a autorização indevida, mas isso deve ser

muito bem resolvido pela empresa, pois nem sempre isso pode ser verdadeiro.

Autorização

Processo de concessão de direitos para que uma entidade autenticada acesse as informações

somente com as permissões a ela atribuída. (ler, gravar, modificar, apagar, executar, visualizar).

Esse aspecto é totalmente dependente da autenticação, pois se for autenticada uma entidade falsa

como verdadeira, esta receberá todas as permissões atribuídas à verdadeira como se ela fosse.

No processo de autorização deve-se sempre que possível utilizar o preceito de mínimo privilegio,

preceito este que diz que uma entidade deve ter o mínimo privilégio de acesso às informações dentro de

sistemas quanto for necessário para o cumprimento de suas funções.

Outro preceito é a ‘necessidade de saber’ – need to know. Questiona-se se realmente é necessário

que a entidade tenha acesso a determinadas informações ou sistemas para cumprir suas funções, em caso

negativo o acesso deve ser negado.

17
Auditoria

Processo de registrar as ações realizadas pelas entidades durante a interação com as informações e

sistemas.

Para que a segurança da informação seja efetiva é necessário que se possa determinar com precisão

quem, quando e o que foi feito nos sistemas de informações e repositórios de dados. Sem isso não será

possível responsabilizar violação de normas e quebras de segurança. Este registro de trilhas de auditoria

deve se dar em todos os ambientes da empresa, tanto físicos quanto lógicos.

Em sistemas de informação isso é feito por meio de coleta de ‘logs’, arquivos que registram todos os

eventos configurados para serem registrados e com a riqueza de detalhes que for necessário à empresa.

Em segurança física, um simples relatório manual de acesso a determinadas dependências da empresa

também pode ser considerado trilha de auditoria, assim como câmeras de vigilância e outros dispositivos

de monitoração.

Estes três aspectos compõem a sigla AAA, de Autenticação, Autorização e Auditoria

Esta sigla é utilizada por técnicos de informática voltados para segurança de sistemas e redes, mas pode

ser aplicada a qualquer sistema de segurança da informação.

Autenticidade

18
Processo que certifica a legitimidade das informações, quer seja de credenciais de acesso que

autenticam as entidades ou que as informações por estas entidades transmitidas são autênticas, assim

como a entidade remetente ou destinatária como legítima.

Os certificados digitais, que inclusive já tem valor jurídico e provê a irrevogabilidade, vêm sendo

utilizados principalmente em assinatura de documentos, cifração em trocas de mensagens e autenticação

de entidades.

A biometria vem ganhando espaço principalmente para controle de acesso e autenticação de

usuários.

Não Repúdio

Característica das informações que garante o não repúdio, seja referente à autenticidade de

documentos ou transações financeiras e comerciais.

Mais uma vez o certificado digital (assinatura eletrônica), juntamente com as certificadoras de tempo,

estão se apresentando como as tecnologias mais adequadas à esta tarefa, muitas vezes já com garantia

jurídica nos processo.

Legalidade

Característica das informações estarem em conformidade legal, assim como os processos que as

manipulam e provê validade jurídica.

Este aspecto rege que as informações devem ser mantidas dentro das determinações legais. Um

exemplo disso são as assinaturas digitais de documentos, que só terão efeito legal se forem feitas com

certificados digitais fornecidos por Entidades Certificadoras – ACs - integrantes do ICP Brasil ou por

19
entidades reconhecidas previamente por todos os participantes do processo de validação do documento.

Isso vale também para transações comerciais e financeiras.

Para que sejam realizadas transações entre o Sistema Financeiro ou Órgãos Governamentais é

obrigatório que as ACs sejam integrantes do ICP Brasil.

III. Divisão da Segurança da Informação


Para que a segurança da informação seja efetiva e completa, podemos dividi-la em três partes:

Segurança Física e do Ambiente;

Segurança Tecnológica;

Segurança em Pessoas.

FÍSICA
TECNOLÓGICA
AMBIENTE

PESSOAS

Divisão da Segurança da Informação

20
Segurança da Informação é a aplicação conjunta da segurança física e do ambiente, da segurança

tecnológica e da segurança em pessoas, com foco na gestão dos riscos inerentes aos negócios, tanto

diretos quanto indiretos.

A falsa certeza da segurança é mais prejudicial que a certeza da insegurança.

Com a não implementação de apenas uma dessas partes da segurança da informação, o máximo que

se conseguirá é criar uma falsa sensação de segurança, que é muito pior do que ter a certeza da

insegurança, pois se acreditamos, falsamente, que estamos seguros, acabamos por não tomar as medidas

necessárias para prevenção, detecção, correção e redução de impacto, mas sabendo que estamos

vulneráveis só ignoramos a necessidade de tais medidas de maneira consciente, e portanto imprudente e

inconseqüente.

Segurança Física e do Ambiente


A Segurança Física e do Ambiente é composta por (mas não somente por):

Segurança pessoal

Medidas a serem tomadas para garantir a segurança dos funcionários, prestadores de serviços e

pessoas chave da organização;

Segurança patrimonial

Controles a serem implementados para garantir a segurança do patrimônio da organização,

principalmente daqueles necessários à continuidade operacional;

21
Segurança das edificações

Cada tipo de atividade requer edificações apropriadas para tal, com níveis de segurança estrutural

e monitoração apropriada ao negócio ou atividade realizada na edificação. Processos de manutenção,

brigadas de incêndio, controle ambiental e controle de pestes podem ser considerados escopos da

segurança das edificações;

Segurança de infra-estruturas

Infra-estrutura de cabeamento lógico (backbone de rede), elétrica, de água, de condicionamento

de ar, de exaustão, de controle do ar, de detecção e combate a fogo, dentre outros, devem ser

protegidas e controladas. Devemos atentar para a infra-estrutura interna e externa, esta última um

pouco mais complicada de gerenciar por estar, na maioria dos casos, fora do controle da

organização, mas nem por isso deve ser ignorada;

Classificação de perímetros de segurança

Áreas diferentes abrigam equipamentos e processos diferentes, devendo, portanto, serem

classificadas de acordo com suas características, podendo ser: restrito, controlado e público, ou outra

classificação que atenda as necessidades de segurança;

Controles de acessos

O acesso às instalações da organização deve ser controlado e monitorado para que a segurança

seja efetiva.

22
Quando falamos em segurança física e de ambiente, boa parte das ações serão tomadas para

limitar o acesso às dependências a serem protegidas. Sem o devido controle de acesso, seja este

administrativo e simples ou tecnológico e complexo, a segurança será falha.

Eventos naturais

A natureza é bela e perfeita, não podemos contestar isso, mas em muitas situações acaba por

colocar em risco a segurança das organizações. Raios, enchentes, chuvas de granizo, temporais,

ventanias, terremotos; maremotos; calor; etc. podem afetar a continuidade operacional da

organização caso esta não mesure os riscos e implemente as medidas necessárias de segurança.

Eventos sociais

Muitos eventos sociais podem acabar por afetar a segurança das empresas, em diversos níveis e

situações. A disponibilidade a pode ser afetada caso haja, por exemplo, uma mobilização social nas

imediações da empresa, seja por greve, revolta, baderna, etc. Empresas que atuam na Av. Paulista, em

São Paulo, sofrem este tipo de transtorno constantemente, uma vez que a avenida é palco de diversas

manifestações, festivas ou não.

Em muitos casos pode ocorrer de tais manifestações fugirem ao controle e passar para ações em

massa de quebra-quebra, baderna e violência. Empresas podem ter suas dependências invadidas,

depredadas e saqueadas, estes riscos devem ser levados em consideração no processo de gestão de riscos

e segurança das informações.

Mesmo ações individuais, seja por imprudência ou sabotagem, podem levar a empresa a

situações como as acima apresentadas.

23
Segurança Lógica e Sistêmica

A segurança lógica e sistêmica deve prever ações de funcionários, hackers e crackers, parceiros,

clientes, fornecedores e quaisquer outros que interagem com a organização, prevendo e tratando os

riscos de: espionagem, sabotagem, erros, facilitação, roubo, furto e desvio de dados e informações, etc.

Perímetro lógico de segurança

A composição lógica das redes da organização pode ser composta por várias redes, redes estas

que requerem níveis diferentes de segurança. Não se pode, por exemplo, dar a mesma atenção para a

rede onde estão alocados os servidores de produção e a rede onde estão os servidores públicos, como

os que hospedam os sistemas e Sites na Internet. O firewall é a ferramenta mais utilizada para

segmentação de perímetros lógicos de segurança, por sua capacidade de proteção e pela facilidade de

customização, uma vez que a proteção é baseada principalmente em regras de permissão e / ou

negação de acesso, regras estas que definem quem pode entrar em qual rede e utilizando que tipo de

protocolo ou serviço.

Muitos roteadores têm a capacidade de auxiliar na segurança de perímetro por meio de

implementação de listas de acessos que, ainda que de maneira limitada, conseguem determinar

regras de acesso (endereço IP e protocolos) às redes por trás deles.

Redes

As redes da organização devem ser providas de mecanismos de monitoração, detecção e proteção

contra códigos maliciosos, assim como contra ataques e intrusões. A ferramenta mais aplicável para

24
esta tarefa é o IDS (NIDS - Network Intruder Detection System). Para monitoração podem ser

utilizadas ferramentas Sniffer, que capturam tráfego da rede para estudo e monitoração.

Segurança de sistemas e Hosts

Dentro da segurança lógica e sistêmica, a segurança de sistemas e aplicativos tem um papel

fundamental, pois são estes que irão manipular os dados da organização. A segurança deve ser

prevista e implementada desde a concepção e projeto dos sistemas e aplicativos, pois é quase

impossível e inviável economicamente a implementação posterior. O que se faz quando o sistema

não é seguro é implementar uma ‘camada’ externa de segurança, normalmente com softwares

especialistas de terceiros, como Host IDS, antivírus, sistemas de controle de acesso, etc.

Ainda dentro da segurança de sistemas, há que se ter cuidado especial no processo de

desenvolvimento, implementando a segregação de ambientes e funções, assim como controle

eficiente de homologações, versões e atualizações dos sistemas de produção.

Controle de acesso

O controle de acessos aos sistemas e dados é uma parte de extrema importância da segurança. O

controle de acesso deve prever as seguintes funcionalidades: Autenticação, Autorização e Auditoria.

Os bancos de dados não passam, simplificadamente falando, de repositórios de dados. O controle

de acessos a estes dados deve ser previsto desde a concepção e estruturação do banco de dados,

podendo, e devendo, ser feito de maneira integrada aos sistemas que farão a interação entre os

usuários e o banco de dados.

25
Segurança em Pessoas

A segurança em pessoas é normalmente relegada a segundo plano, mas acredito ser a mais

importante das três, por serem as pessoas o ‘elo mais fraco da corrente’.

A resistência da corrente é equivalente a resistência de seu elo mais fraco.

É nas pessoas que a segurança começa e é nelas que termina. Equipamentos tecnológicos podem ser

desligados, trocados e ligados novamente, é tudo muito previsível. Com pessoas a situação é diferente,

não podemos prever as atitudes das pessoas em situações adversas. Não devemos falar de desconfiança,

mas de precaução.

Dentro da Segurança em Pessoas, devemos trabalhar com as seguintes questões, dentre outras que sejam

necessárias à organização:

Engenharia social

Um dos grandes vilões da segurança da informação é a engenharia social, técnica que é utilizada

em larga escala por engenheiros sociais, hackers e crackers, espiões, curiosos, estelionatários, dentre

outros. A maioria das espionagens industriais e comerciais se dá por engenharia social, e quando esta

não é a principal técnica empregada pelos espiões, é utilizada no mínimo como auxiliar para outras

técnicas.

Acompanhamento de pessoal

26
As organizações são compostas fundamentalmente por pessoas, às quais estão sujeitas a

alterações de comportamento de acordo com diversos fatores, tais como humor, problemas

familiares, financeiros, com drogas, com doenças, chantagem, dentre outras tantas.

Conscientização

A conscientização do pessoal é peça chave na implementação da segurança da informação. As

pessoas devem estar cientes e conscientes da necessidade da segurança das informações, bem como

do valor dessas informações, assim como o risco e o impacto que a violação da segurança poderá

causar à organização e conseqüentemente para as pessoas que nela trabalham. Se as pessoas não

entenderem e aceitarem os argumentos apresentados pela organização a segurança poderá não ser

efetiva.

Educação

É muito comum as empresas desenvolverem Política de Segurança, implementarem uma grande

parafernália tecnológica voltada para a segurança, e tomarem muitas das medidas necessárias à

segurança da informação sem dar a devida atenção e o devido investimento à educação de seus

funcionários. As pessoas estão acostumadas a acreditar em seus interlocutores, a ajudar aos que

solicitam, a abrir arquivos que recebem, a seguir orientações recebidas por e-mail ou telefone, a

confiar em sites que se dizem seguros, a crer que os e-mails recebidos de um amigo são confiáveis, a

ter boa receptividade com seus colegas de trabalho ou enviados por estes. Estes costumes podem

abrir uma enorme lacuna de segurança se alguns cuidados não forem tomados para certificar que as

informações apresentadas são realmente verdadeiras e confiáveis.

27
A engenharia social nada mais é do que uma técnica para explorar algumas características

humanas como ego, vaidade, ambição, confiança, medo, bondade, reciprocidade, corporativismo,

coleguismo, dentre outras. Se as pessoas não forem educadas em como agir nas situações que podem

causar incidentes de segurança e colocar as informações em risco, com certeza a segurança será

violada e a organização será prejudicada.

Política de segurança

É um conjunto de normas que traduz as necessidades da organização quanto à segurança da

informação, objetivando a normalização das ações necessárias para levar a organização a um nível

de risco aceitável e confortável. A política de segurança deve ser desenvolvida sob medida para a

organização à qual será aplicada, devendo contemplar a estratégia de negócios e as expectativas de

segurança da direção. Deve, ainda, ser clara e objetiva, factível e aplicável, mensurável, relevante e

temporal.

A Política de Segurança da Informação de uma organização deverá ser aprovada pela alta direção

e publicada de maneira que todos os funcionários e parceiros tomem conhecimento da parte que lhes

cabe seguir.

Gerência de mudança

A implementação da segurança da informação comumente provoca inúmeras e profundas

mudanças nas organizações, sejam mudanças de comportamento ou em processos. Estas mudanças

devem ser acompanhadas e gerenciadas por uma pessoa que tenha bom relacionamento pessoal e

interdepartamental e com liderança e autoridade suficiente para contornar problemas que surgirão

em decorrência dessas mudanças. É natural que haja resistência por parte do pessoal, quer seja por

28
perda de direitos nos sistemas, maior monitoração e controle, falta de entendimento dos objetivos da

maior segurança, etc., mas tal resistência deve ser contornada com medidas de conscientização e em

último caso com medidas de reforço - prêmios e ou punições.

Quebra de paradigma social

Um dos paradigmas a serem quebrados é o da posse. É comum ouvirmos e dizermos: meu micro,

minha sala, meu e-mail, quando falamos das coisas pertencentes à organização. Este comportamento

fará com que as pessoas apresentem resistência às mudanças que acabarão por aumentar o controle e

a monitoração, e ninguém gosta de ter ‘suas’ coisas monitoradas por terceiros.

Deve-se reforçar, durante a conscientização e educação, que os bens, ferramentas e informações

pertencem à organização, que têm real valor para esta e por isso necessitam de monitoração e

controle, o que acabará por proteger, por conseqüência, também os interesses dos funcionários.

29
Controle e monitoração

As normas de segurança descritas na política de segurança devem ser seguidas por toda a

organização, e para que se meça a aderência e obediência às normas é necessário que haja

monitoração das ações previstas.

A monitoração não deverá ser utilizada como fonte de ameaças e punições, mas sim para

correções e ajustes das normas, dos comportamentos e das tecnologias aplicadas.

É necessário, ainda, que se deixe claro que o controle e a monitoração são para proteger as

informações e os recursos da organização e não para ‘bisbilhotar’ as ações dos funcionários,

deixando claro que a privacidade será preservada, desde que não coloque a segurança em risco, e tais

ações se darão por meio de processos transparentes estabelecidos pela organização.

Reforço negativo ou positivo

Assim como em cada lei existe a punição – reforço negativo - aplicável em caso de

descumprimento, na política de segurança deverá constar as punições aplicáveis caso sejam

descumpridas ou burladas. Se não for assim, corre-se o risco da política de segurança cair em desuso

e a área de segurança em descrédito, o que fará com que os esforços e investimentos efetuados sejam

perdidos e a segurança não seja mantida.

A organização pode, para aumentar a aderência às normas, promover reforço positivo –

premiação - para os que se destacarem no cumprimento e aderência às normas e à observância da

segurança da informação. Esta estratégia deve ser muito bem implementada para que não desvirtue a

real motivação das ações de segurança. O objetivo principal é proteger as informações, e isso não

pode ser esquecido.

30
O incidente de segurança mais freqüente é a que tem o ser humano - o elo mais fraco da corrente -

como principal ator, podendo ser intencional ou não.

Causas de incidentes não intencionais: falta de treinamento, desatenção, falta de

comprometimento, imperícia ou imprudência, negligência, dentre outros.

Causas de incidentes intencionais: sabotagens, facilitações, espionagens, ataques hackers,

engenharia social, etc.

Temos ainda os incidentes com causas não humanas, que podem ser tecnológicas e naturais: falhas

de sistemas, falhas de hardware, falhas de infra-estrutura, tempestades, alagamentos, raios etc.

A implementação de defesas pode ser feita sob uma abordagem de camadas. A figura abaixo ilustra,

com alguns exemplos, como se dá a segurança nas várias camadas de profundidade e como cada camada

é dependente da anterior.

Dados Permissões de acesso, encriptação, auditoria

Aplicativos Antivírus, anti-spyware, desenvolvimento

Servidores Autenticação, correções de S.O / aplicativos, HIDS

Rede Interna Firewalls, VLAN, NIDS, VPN, HIDS

Perímetros Firewalls, VLAN, DMZ, NIDS, VPN, HIDS

Segurança Segurança patrimonial, vigilância, edificações


Física

Normas, procedimentos, monitoração,


Política de Segurança conscientização, educação e treinamento 31
Ciclo de vida da informação
A informação deve ser protegida durante todo seu ciclo de vida. Neste ciclo de vida os requisitos de

segurança podem variar, e normalmente variam, devendo, portanto, ser investido esforço adequado à

proteção que se fizer necessário em cada fase da vida da informação.

Como exemplo podemos citar informações de um determinado produto, que durante sua fase de

desenvolvimento tais informações devem ser tratadas como confidenciais, devido sua natureza e dos

investimentos que estão sendo feitos para o desenvolvimento do produto. Após o término do

desenvolvimento, se for o caso, realiza-se o registro da patente, momento em que boa parte das

informações do produto passam a ser públicas.

Neste caso, não faria mais sentido continuar a tratar todas as informações do produto como

confidencial, podendo reduzir o investimento a partir da reclassificação dos mesmos, mantendo como

confidencial apenas aquelas que forem realmente necessárias.

Fases do Ciclo

Manipulação

Refere-se a todo ato de manuseio da informação durante os processos de criação, alteração e

processamento.

32
Nesta fase do ciclo de vida da informação é onde há maior interação entre esta e as entidades, e,

conseqüentemente, é onde ocorre a maioria das falhas de segurança.

Armazenamento

Refere-se ao armazenamento e arquivamento da informação em meios digitais, magnéticos ou

qualquer outro que a suporte.

Durante a fase do armazenamento, em que meio seja, a informação deve estar salvaguardada dos

riscos a que está sujeita, tendo preservadas a Confidencialidade, Integridade e Disponibilidade, de

acordo com a necessidade de cada tipo de informação.

Nesta fase a segurança física é muito importante, não que as outras não o sejam, pois estarão sujeitas

aos riscos ambientais, naturais ou não, mais do que os da fase de manuseio.

Aqui deve-se dividir ‘armazenamento’ de ‘arquivamento’, sendo entendido como armazenada a

informação que está à disposição das entidades que a utiliza, que está em área de produção, quando

muito em backup de segurança. O arquivamento deve ser entendido como o processo de guarda das

informações que não estão mais em produção, ou seja, não ficam disponíveis para as entidades

utilizarem nos processos de negócio. Estas são as informações contábeis, fiscais e tributárias e arquivos

mortos, dentre outros que na maioria das vezes são arquivadas para que sejam colocadas à disposição

dos órgãos públicos, caso sejam solicitadas, ou para consultas futuras.

Transporte

Refere-se a todos os atos de movimentação e transferência da informação, seja entre processos,

mídias ou entidades internas ou externas.

33
O transporte requer atenção especial, pois, normalmente, quando as informações estão em transporte,

estão fora do perímetro de segurança do ambiente que a suporta: Cartas, e-mails, caixas de arquivos,

pastas, notebooks e PDAs, comunicação telefônica e transmissões eletrônicas via rede, principalmente

redes públicas como a Internet.

Tomemos todos os tipos de comunicação como fazendo parte do ambiente de transporte, inclusive, e

muito importante, o diálogo falado, pois ao falar, transporta-se a informação pelo ambiente (ar), do

locutor ao interlocutor, e pode-se deixar vazar informações valiosas neste momento.

Descarte

Refere-se às ações de descarte e destruição das informações no meio em que se encontram.

Muitas pessoas, na realidade a maioria, acham que a informação que vai ser descartada não tem

valor. Ledo engano, e engano que pode custar muito caro para as organizações que não atentam para

este pormenor.

Em geral, ao jogarmos um documento em papel, uma cópia ou rascunho no lixo não estamos

descartando a informação, estamos, na realidade, nos desfazendo do meio que a suporta, neste caso o

papel.

Com a modernização e automação dos escritórios esta questão ficou ainda mais preocupante, pois

basta que se tire uma cópia ou impressão de má qualidade para que a mesma seja lançada na lixeira, sem

critérios e sem que se observe os cuidados necessários à segurança das informações ali contidas. O papel

carbono é outro vilão, apesar de ser cada vez menos utilizado.

34
O mesmo cuidado se deve ter com qualquer meio que suporte a informação: papel, discos

magnéticos, cartuchos, fitas de backup, CDs, micro-filmes, dentre tantos outros. Cada meio requer um

cuidado especial no descarte, para que as informações estejam protegidas.

Os cuidados com descarte devem ser considerados, também, ao se vender computadores, discos,

papéis para reciclagem, dentre outras maneiras de descartar, sem que seja necessariamente jogando no

lixo.

Esta prática é muito perigosa, principalmente no descarte de produtos magnéticos, pois não basta

apagar o arquivo do disquete ou disco rígido para que a informação seja perdida. Se a eliminação da

informação não for feita com técnica apropriada ao meio, a informação poderá ser ‘reconstruída’ a partir

de resíduos das mesmas que permanecem nos meios magnéticos. É o mesmo que apagar uma escrita à

lápis de um papel, com um pouco de esforço ou com alguma técnica, podemos descobrir o que ali estava

escrito.

IV. Gestão da Segurança da Informação

SGSI – Sistema de Gestão da Segurança da Informação

Um SGSI é um sistema de gerenciamento utilizado para estabelecer a política e os objetivos da

segurança da informação baseado em uma abordagem de análise de risco do negócio, com o intuito de

definir, implementar, operar, monitorar, manter e melhorar a segurança da informação.

O SGSI deve abranger: Infra-estrutura organizacional da política de segurança; segurança

organizacional; classificação e controle dos ativos de informação; segurança pessoal; segurança física e

35
do ambiente; gerenciamento das operações e comunicações; controle de acesso; desenvolvimento e

manutenção de sistemas; gestão da continuidade dos negócios; aspectos legais e de conformidade.

A gestão da segurança da informação deve ser feita com visão estratégica para que esteja alinhada

aos planos estratégicos de negócios e que sirva de apoio para estes.

Information Security Officer (Gestor de Segurança da Informação)

O Information Security Officer deverá ser um profissional especializado em segurança da

informação. Dependendo da área de formação deste profissional ele poderá tender a ser um “Security

Officer Tecnológico”, mais voltado para a aplicação de tecnologias, ou “Security Officer Estratégico”,

mais voltado às normatizações e gerenciamento dos riscos. Seja qual for a tendência do profissional, é

imperativo que as duas funções sejam cobertas, tanto a tecnológica quanto a estratégica, buscando

sempre a melhor dosagem de esforços para uma e outra.

Este profissional deverá, de preferência, se reportará ao ‘Conselho de Segurança’, ao ‘Comitê

Executivo’ ou diretamente ao Presidente da empresa. Em muitas empresas ele já aparece com status de

diretoria para que possa apoiar e interagir com a alta direção da empresa e para que esteja a par das

estratégias de negócios, às quais a segurança da informação deverá estar alinhada e suportando.

O posicionamento do Security Officer é determinante para que não haja conflito de interesses que

possam prejudicar as determinações e ações ou retardar a implementação das medidas necessárias à

segurança das informações.

Atribuições do Information Security Officer

Dentre as atribuições do Security Officer estão:

36
- Elaborar e aplicar o SGSI;

- Elaborar e aplicar a Política de Segurança;

- Promover a manutenção da segurança da informação;

- Promover a disseminação da cultura da segurança da informação;

- Realizar, ou acompanhar, análises de riscos e avaliações de impactos;

- Definir as medidas de segurança a serem implementadas;

- Gerenciar as medidas de segurança implementadas

- Analisar os incidentes de segurança e manter a Diretoria informada sobre a ocorrência de

incidentes ou ameaças de segurança;

- Apresentar e justificar o plano de investimentos em segurança;

Conselho de Segurança

O Conselho de Segurança, caso seja constituído, deverá ser composto por um representante de cada

processo de negócio ou párea da empresa e ainda por:

Tecnologia da Informação; Recursos Humanos; Jurídico; representantes da Diretoria ou Conselho

Executivo.

Atribuições do Conselho de Segurança

- Apoiar e participar da elaboração do SGSI;

- Participar da elaboração e homologar a Política de Segurança;

- Apoiar a manutenção da segurança da informação;

- Apoiar a disseminação da cultura da segurança da informação;

37
- Homologar as medidas de segurança a serem implementadas;

- Apoiar a elaboração do Plano de Continuidade dos Negócios;

- Homologar o Plano de Continuidade dos Negócios;

- Participar e aprovas análises de riscos e avaliações de impactos;

- Garantir os recursos necessários à manutenção da segurança da informação.

Plano Diretor de Segurança da Informação - PDSI

O PDSI deverá direcionar as ações de segurança da informação e mantê-las alinhadas ao

planejamento estratégico da empresa. Este plano deverá descrever:

- Missão e visão da área de segurança;

- Estrutura departamental e relacionamento interdepartamental e com entidades externas;

- Definição de estratégias para segurança da informação;

- Planejamento de aplicação da Política;

- Planejamento de implementações técnicas;

- Planejamento financeiro;

- Planejamento de treinamentos;

- Fatores críticos de sucesso e provisão de recursos;

- Modelo de atuação e gestão da segurança da informação – SGSI;

- Definição de responsabilidades;

- Aderência à NBR ISSO/IEC 17799 ou outras normas de segurança adotadas pela empresa;

- Estudo de impacto e adequação aos dispositivos e decretos legais e resoluções ou regulamentações

setoriais como SUSEP, Basiléia, diretrizes da CVM ou Banco Central, dentre outras;

38
- Gerenciamento da segurança da informação com apuração de resultados.

V. Política de Segurança da Informação

A Política de Segurança da Informação é um documento que deve ser aprovado pela alta

administração da Empresa, demonstrando comprometimento e apoio às determinações. Este documento,

ou conjunto de documentos, deve ser publicado respeitando a necessidade de saber de cada área ou

pessoa, e comunicado de forma adequada para todos aqueles que devem obedecê-la, sejam estes

funcionários, parceiros, fornecedores ou terceiros.

A Política de Segurança da Informação, em todos os seus níveis, deve ser elaborada, publicada e

comunicada de forma e em linguagem que seja apropriada a cada público, sejam genéricas ou

específicas, de maneira a atingir o objetivo da segurança. A aderência às normas depende muito do

entendimento das mesmas, bem como do grau de conscientização sobre o assunto.

Este conjunto de documentos deve refletir, em alto nível, os objetivos do negócio, num nível

intermediário os objetivos táticos e no nível mais baixo, os objetivos operacionais. Se os objetivos

estiverem alinhados e claros, a aderência se dará de forma mais suave, uma vez que toda normatização

ou obrigatoriedade sempre provoca resistência. Por isso a conscientização da empresa (pessoas) é fator

crítico para o sucesso da segurança da informação.

Outro aspecto, bastante relevante, que deve ser levado em conta é a cultura organizacional e o nível

de maturidade na utilização de normas gerais, como de qualidade, e em segurança da informação ou

outras que limitam a ação.

39
O enfoque da Política deve ser de HABILITAÇÃO e não de RESTRIÇÃO: Se tudo o que não for

permitido fazer não é necessário às atividades, significa que não há restrição.

Se a segurança da informação permitir que novos processos operacionais e tecnologias sejam

empregados nos processos de negócio, isso demonstra que houve habilitação, pois sem o nível de

segurança alcançado tais processos e tecnologias poderiam ser inviáveis ao negócio, devido aos riscos

que poderiam trazer a reboque.

Por fim, sem pretender exaurir os aspectos possíveis, a Política de Segurança da Informação deve ser

elaborada sob a abordagem de GESTÃO DE RISCOS e CONFORMIDADE. Todas as normas devem

ter a finalidade de reduzir riscos presentes no cenário corporativo. A tríade: Confidencialidade,

Integridade e Disponibilidade, deve estar presente em todas as determinações, quer seja diretamente ou

indiretamente, como por exemplo, focar a Gestão de Identidade (autenticação e autorização), que

contempla os três pilares da segurança.

Se não for baseado em riscos, deve ser em função de cumprimento Legal ou Regulatório, que, em

última análise, o não cumprimento representa um risco.

Não faria sentido elaborar uma norma de segurança que não prevê a gestão de riscos ou

conformidade, pois seria apenas incremento burocrático sem finalidade prática.

Diante do exposto até então, podemos afirmar que a Política de Segurança da Informação deve ser

elaborada de forma exclusiva e personalizada para cada empresa, uma vez que o cenário é único para

cada uma, ainda que alguns aspectos sejam comuns.

40
Objetivos da Política de Segurança

A Política de Segurança da Informação tem por objetivos principais:

- Alinhar as ações em segurança da informação com as estratégias de negócio;

- Explicitar a visão da alta direção em relação à segurança da informação;

- Exprimir o comprometimento da alta direção com a manutenção da segurança da informação;

- Normatizar as ações referentes à segurança da informação;

- Alinhar as ações em segurança da informação com as Leis e Regulamentações pertinentes;

- Buscar conformidade com Normas externas e cláusulas contratuais;

- Instruir sobre procedimentos relativos à segurança da informação;

- Delegar responsabilidades;

- Definir requisitos de Conscientização, Educação e Treinamentos;

- Definir ações disciplinares;

- Alinhar ações em segurança da informação com a continuidade do negócio;

- Ser o pilar de sustentação da segurança da informação; dentre outros.

A Política de Segurança da Informação é, portanto, uma coletânea de documentos, conforme abaixo

relacionados hierarquicamente, usada para definir controles em aplicativos, estabelecer critérios para

autenticação e autorização, definir critérios para análise de riscos e avaliação de impactos, critérios para

auditoria e investigações, além de disciplinar sobre violações da Política e Normas.

Em todos os documentos da Política, é importante que conste, fora as determinações, algumas

informações sobre o documento e responsáveis pelo mesmo, tais como:

41
Nome da empresa; identificação do documento; assunto abordado no documento; objetivos do

documento; áreas e pessoas responsáveis pela elaboração, aprovação e manutenção; data da elaboração e

da última alteração; classificação do documento.

- Política de Segurança – é o conjunto de todos os documentos;

- Carta do Presidente – pode ser do Conselho, da Diretoria ou outra, mas deve ser do alto escalão da

empresa, demonstrando o comprometimento com a questão e esclarecendo os motivos para tal;

- Diretrizes para Segurança da Informação – é a sintetização do que a Empresa espera que seja

feito em relação ao assunto. São diretriz de alto nível, aplicáveis em qualquer ambiente da empresa e

sem termos técnicos. Exemplos:

Todos os usuários de sistemas e informações deverão ter acesso gerenciado por identidade,

utilizando tecnologias e procedimentos de acordo com a classificação e criticidade das informações a

que terão acesso;

Todas as informações deverão ser classificadas e ter medidas de proteção de acordo com a

classificação e risco;

Os recursos de informação deverão ter sua continuidade preservada, de acordo com sua

classificação e criticidade para os processos operacionais e de negócio;

- Normas de Segurança da Informação – Podem ser gerais (para quem usa) ou específicas (para

quem cuida). São as determinações a serem seguidas por todos ou por aqueles que participam de

determinados processos. Expressa o que deve ser feito em relação à segurança da informação na

operacionalização dos processos de negócios e operacionais, quais os padrões aceitáveis de utilização

dos recursos e informações e quais as medidas disciplinares em caso de violação das mesmas. Nas

42
normas poderão conter ‘chamadas’ ou ‘links’ para outros documentos, normas, leis ou regulamentações

que devem ser seguidos, conforme determinação na norma que os invocou. Normas são mandatórias.

Exemplo:

- A autenticação dos usuários deve ser feito por meio de ‘usuário’ e ‘senha’ para todos os sistemas

de informação, sendo que os classificados como críticos (alta confidencialidade e integridade) deverão

usar mais um fator de autenticação, podendo ser biométrico, one-time-password (token) ou certificados

digitais;.

- O recurso ‘mensagem eletrônica’ (e-mail) disponibilizado pela empresa, deve ser utilizado apenas

para fins corporativos, uma vez que é um recurso da empresa e disponibilizado para este fim;

- As mensagens eletrônicas (e-mail) serão monitoradas via sistema e poderão sofrer auditorias

periódicas ou sempre que a área responsável julgar necessário. Sendo assim, não há que se ter

expectativa de ‘privacidade pessoal’ nas mensagens enviadas ou recebidas por meio deste recurso da

empresa.

- Procedimentos – É o detalhamento da Norma. Explica como as Normas devem ser seguidas,

podendo detalhar os procedimentos relevantes do processo normatizado, visando facilitar o

entendimento e aplicação das mesmas. Nos procedimentos devem ter informações do tipo: Como,

quando, quem, onde e porque. Procedimentos são mandatórios. Exemplos:

- Os backups de bancos de dados deverão ser realizados com periodicidade mínima diária,

utilizando tecnologias e processos que preservem a confidencialidade, disponibilidade e integridade

das informaçõe;.

43
- A área de TIC será responsável pela operacionalização dos backups, seguindo determinações dos

gestores dos processos que utilizam tais informações e de acordo com a classificação de riscos das

mesmas;

- Os gestores de processos e informações deverão proceder análise de riscos e impactos para que

sirvam de base para a determinação da periodicidade dos backups e restores, devendo delegar a

operação para a área de TIC e proceder análises e auditorias nos processos, a fim de garantir sua

eficácia.

- Instruções – São os documentos mas detalhados, normalmente técnicos, de como configurar,

manipular ou administrar recursos tecnológicos, ou então manuais de processos operacionais. Exemplos:

- Para criação de novos usuários, usar o tamplate ‘New_User’;

- Colocar todos os usuários no grupo ‘Corporativo’, do Exchange;

- Preencher os campos do Active Directory necessários para a assinatura padronizada no Outlook,

para todos os usuários novos;

- Guide lines (guias) – São explicações de tarefas que fazem parte de procedimentos e processos

normatizados, visando facilitar a compreensão e a aplicação das regras, minimizando as diferenças de

entendimento e nivelando o conhecimento. São sugestões não obrigatórias de serem seguidas, visto que

uma tarefa pode ser feira de várias maneiras e ainda assim apresentar o mesmo resultado. Podem ser

guias fornecidos pelos próprios fornecedores de sistemas ou outros recursos.

44
Desenvolvimento da Política de Segurança

O desenvolvimento da Política de Segurança da Informação deve ser feito com a participação efetiva

de todos os gestores de processos, de maneira que seja desenvolvida de acordo com as necessidades de

negócio de cada área, aderente aos padrões, costumes e cultura organizacional, ajustando ou alterando

padrões quando necessário, além de estar em sintonia com os planos estratégicos da Empresa e

necessidades do mercado.

Devem ser seguidas as melhores práticas expressas em normas oficiais e ‘frameworks’ de segurança

das informações e gestão de riscos, como as normas ISO da série 27000, o que proporcionará à Empresa

um diferencial competitivo, pois o mercado valoriza cada dia mais as empresas resilientes, seguras e

com condições de superar incidentes que poderiam afetar a continuidade operacional. É uma

demonstração de Governança Corporativa, outro assunto valorizado no mercado, e que não é possível de

ser alcançada sem segurança da informação e continuidade.

A Política de Segurança das Informações é constituída por uma série de normas, procedimentos,

guias e outros documentos, que serão suportados por tecnologias e processos que garantam a aderência e

obediência às mesmas. É a Política de Segurança que regerá todas as ações referentes à segurança,

devendo, portanto, ser clara, específica, atemporal e exclusiva para a Empresa.

Política de Segurança da Informação, conforme já dito, deve estar em alinhamento com a Norma

NBR ISO/IEC 17799:2005 (ou 27001 e 27002), e deverá contar uma série de normas, como por

exemplo as listadas abaixo:

45
- Diretivas de Segurança da Informação;

- Norma de Gestão de Segurança da Informação (GSI);

- Norma de Contratação e Demissão de Colaboradores;

- Norma de Contratação de Serviços de Terceiros;

- Norma de Conscientização, Educação e Treinamento em Segurança da Informação;

- Norma de Utilização de Sistemas de Comunicação (e-mail, MSN. ICQ, etc.);

- Norma de Acesso à Internet e Redes de Terceiros;

- Norma de Controle de Acesso e Administração de Usuários;

- Norma de Classificação da Informação;

- Norma de Classificação de Ativos;

- Norma de Classificação de Ambientes;

- Norma de Segurança e Gerenciamento de Mídias;

- Norma de Segurança Física e de Ambiente;

- Norma de Gerenciamento de Ativos, Configuração e Controle de Mudanças;

- Norma de Auditoria e Análise Crítica;

- Norma de Backup e Recuperação de Informações e Sistemas;

- Norma para Análise de Riscos e Avaliação de Impactos;

- Norma de Gestão de Continuidade Operacional; dentre outras normas que forem necessárias.

Para cada norma podem ser criados um ou mais procedimentos, guias ou manuais, sabendo-se que

quanto mais baixo o documento na hierarquia da Política, mais alteração poderá sofrer, por serem

operacionais. O operacional sofre mais alterações que o tático, que por sua vez sofre mais alterações que

o estratégico. Esse é o motivo para não se colocar todas as informações em um mesmo documento:

46
facilitar o gerenciamento, a atualização e a disseminação das alterações sofridas, uma vez que toda

alteração deverá ser publicada e comunicada aos interessados.

Para que o investimento feito no desenvolvimento da Política perdure, deverá ser formatado o

processo de atualização e revisão da mesma, seja periodicamente ou por mudanças no cenário

corporativo ou de risco.

Realização de Campanha de Conscientização

Como o processo de segurança da informação afeta a todos da Empresa, requerendo mudanças

de hábitos, ajustes de padrões e às vezes certo sacrifício durante a transição e aculturamento, este

processo tende a gerar resistências e conflitos, quase sempre por desconhecimento dos perigos que

rondam a Empresa, seus Funcionários e Clientes, e dos benefícios que o processo de segurança da

informação pode proporcionar - habilitação.

Pessoas são o elo mais fraco da segurança – a campanha de conscientização procurará fazer com que

as pessoas se tornem aliadas da segurança, sabendo os motivos, o que e como agir em situações de risco

para a segurança das informações.

Engenharia social só funciona porque as pessoas não estão atentas às situações de riscos, não estão

alertas às ameaças e às situações que não são pertinentes ou que fogem ao padrão ou às regras.

A campanha constante e segmentada manterá as pessoas alertas e atualizadas, e assim serão como

guardiãs das informações e alarmes de riscos.

47
A campanha de conscientização deve trabalhar em três níveis:

- Conscientização: Porque fazer

- Educação: O que e quando fazer

- Treinamento: Como fazer

Conscientização

Porque fazer – As pessoas tendem a reduzir a resistência às mudanças quando sabem exatamente os

motivos que as trouxeram, quais serão os benefícios das mudanças e quais os malefícios de não realizá-

las. Esta abordagem imprime respeito ás pessoas envolvidas e gera cumplicidade e colaboração.

Conscientização é o primeiro nível para a aceitação.

Educação

O que e quando fazer – Não basta saber as motivações que fizeram com que a mudança fosse

necessária. Há que se saber, e ter claro, o que fazer quando determinada situação ocorrer. O quando

fazer está relacionado à necessidade de diferentes ações dependendo da situação e ocasião. Sabendo-se o

que fazer, e quando fazer, elimina-se os fatores medo, apreensão e ansiedade. Bastará que algo aconteça

para que as pessoas saibam exatamente o que fazer naquela determinada situação, tendo em mente,

também, o porque. Isso dá segurança e firmeza nas ações.

48
Treinamento

Como fazer – Esta é a parte que mais se ouve quando fala-se em novos processos, ferramentas ou

qualquer mudança. É de extrema importância que cada um saiba como fazer as ações demandadas pelas

situações específicas, mas este ‘saber’ isolado gera pouco resultado.

Depois de aplicados os dois primeiros níveis da campanha, as pessoas estarão havidas por saber

como agir, quais as técnicas e quais as ferramentas disponíveis para que reajam às situações. Este desejo

não será forçado, mas brotado de forma natural decorrente da necessidade de saber como fazer o que já

se sabe o motivo de fazer e o quando fazer. É a peça que falta e que será apresentada no treinamento.

O treinamento em técnicas ou ferramentas específicas será, então, um processo natural e agradável a

todos, o que trará maior resultado de aplicação e retenção do que for ensinado.

Os níveis de ‘treinamento’ poderão ser realizados numa mesma sessão, desde que conscientemente

seja planejado e estruturado para seguir estas etapas.

Implantação da Política

O desenvolvimento, elaboração e ajustes da Política de Segurança é, por si só, um trabalho

extraordinário, dependendo do porte e complexidade da organização onde será aplicada. Mas de nada

adiantará tal elaboração se a aplicação não for feita de forma a atingir os objetivos pretendidos nas

mesmas.

49
O Plano Diretor de Segurança da Informação é onde deve constar o planejamento geral da aplicação

da Política, uma vez que irá requerer recursos financeiros e de pessoal, bem como a estruturação para

administração das tecnologias e processos implementados para suportar a Política.

VI. Norma BS 7799


A norma BS 7799 é a Norma que deu origem tanto à versão americana ISO/IEC 17799 quanto à

versão brasileira NBR ISO/IEC 17799.

O Brithish Standart 7799 é uma norma de segurança da informação criada na Inglaterra que teve seu

desenvolvimento iniciado em 1995 e está dividida em duas partes.

BS 7799-1, a primeira parte da norma, contém uma introdução, definição de extensão e condições

principais de uso da norma. Nesta parte disponibiliza 148 controles divididos em dez partes distintas e

foi planejada para ser um documento de referência para implementação de "boas práticas" de segurança

da informação. Como esta primeira parte é apenas um código de prática para segurança da informação,

não é objeto de certificação.

A BS 7799-2, a segunda parte da norma, tem como objetivo proporcionar uma base para

gerenciamento da segurança da informação. Esta á a parte da norma que a empresa deve seguir para

conseguir a certificação na BS 7799.

50
Objetivo da Norma

A Norma BS 7799 fornece recomendações para gestão da segurança da informação para uso por

aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança em suas

organizações. Tem como propósito prover uma base comum para o desenvolvimento de normas de

segurança organizacional e das práticas efetivas de gestão da segurança, e prover confiança nos

relacionamentos entre as organizações. Convém que as recomendações descritas nesta Norma sejam

selecionadas e usadas de acordo com as necessidades do negócio, com a legislação e as regulamentações

vigentes e que dizem respeito ao cenário da empresa.

Controles requeridos pela Norma

Primeiramente devemos saber o que são e para que se prestam os controles descritos na Norma.

São 10 domínios de objetivos de controle (relacionados abaixo) divididos em 36 objetivos de

controles que se subdividem em 127 controles específicos.

Os controles listados na BS 7799 estão divididos nas seguintes áreas:

- Política de Segurança da Informação;

- Segurança Organizacional;

- Classificação e controle de ativos;

- Segurança de pessoal;

- Segurança física e de ambiente;

- Gerenciamento das comunicações e operações;

- Controle de Acesso;

- Desenvolvimento e manutenção de sistemas;

- Gerenciamento da continuidade do negócio;

51
- Aderência.

A Norma não obriga a implementação de todos os controles e nem mesmo que sejam utilizados

somente os controles constantes na mesma, podendo, então, uma empresa não utilizar alguns controles

sugeridos pela Norma e aplicar outros necessário ao negócio.

Como cada domínio de objetivos de controle se expande em outros controles específicos, algumas

questões precisam ser respondidas para que se determine quais são aplicáveis à organização. Exemplos:

- Na Análise de Risco foi identificado algum risco que pode ser coberto por este objetivo de

controle?

- Se nada foi identificado na Análise de Risco que pode ser coberto por este objetivo de controle,

acrescente no Statement of Aplicability (SoA) a justificativa da não aplicação deste objetivo de

controle;

- Se foi identificado, na Análise de Risco, algum risco que pode ser coberto por este objetivo de

controle, acrescente no Summary of Controls a justificativa da aplicação deste objetivo de controle,

com um pequeno resumo do risco a ser mitigado;

- Dentro do objetivo de controle selecionado, devem ser selecionados quais controles específicos

serão aplicados.

É neste contexto que entra o documento “Statement of Applicability”, ou “Declaração de

Aplicabilidade”, onde serão especificados e justificados tanto a utilização como a não utilização de

controles, assim como a especificação e justificativa da implementação de outros controles que não os

da BS 7799.

52
Cada controle objetiva definir o que deve ser feito para que determinados processos tenham a

segurança assegurada e deve ser aplicado dentro dos processos de negócio para mitigar os riscos a que

estes estão sujeitos.

Seleção dos controles

Para que sejam definidos quais controles a ser implementados na empresa é necessário que se tenha

claramente definido quais os processos de negócio serão contemplados pelos controles e qual a

aplicabilidade destes, ou seja, a que risco o controle se propõe a mitigar.

Não faz sentido implementar um controle sem um objetivo claro e real.

Para isso, é necessário que alguns passos sejam seguidos:

- O objetivo deste trabalho deve estar totalmente entendido e aceito pelos gestores da empresa e dos

processos que serão alvo dos controles;

- O trabalho de conscientização quanto aos objetivos deste trabalho deverá ser feito em todos os

níveis de usuários que serão afetados pelos controles;

- É imperativo que não se confunda a etapa de levantamento de requisitos de segurança definição de

controles com auditoria, pois isso acabará criando limitação na colaboração que os envolvidos poderiam

dar ao trabalho.

- Antes que sejam definidos quais controles implementar, deverá ser feito um trabalho meticuloso de

Análise de Risco e Impacto nos Negócios, no qual constará o levantamento e detalhamento dos

processos de negócio, dos ativos que suportam tais processos e dos riscos e vulnerabilidades a que são

53
suscetíveis, assim como a interdependência entre os processos e a dependência entre os processos e os

ativos; (Veja mais em “Análise de Riscos”)

A seleção de controles deverá se dar baseado na análise de riscos e nos requisitos de segurança

necessários à segurança dos processos de negócio, objetivando a mitigação e controle dos riscos

identificados na “Análise de Riscos”.

Como já foi dito, pode acontecer, e normalmente acontece, de nem todos os controles da Norma

serem aplicáveis à organização, devendo constar no “Statement of Applicability” a especificação e a

justificativa da aplicação e também da não aplicação do controle pela organização. Neste documento

deverá constar também os controles que não os especificados pela BS 7799. (ver “Statement of

Applicability” (SoA)).

Uma boa ferramenta de verificação é a criação de um “Summary of Controls” (SoC), que é

equivalente ao documento de pré-auditoria, documento este que enumera todos os controles aplicados,

bem como um resumo de seus objetivos.

Para que o processo de seleção de controles seja bem realizado e tenha o comprometimento de toda a

empresa, o mesmo deverá ser realizado pelo Security Officer em parceria com:

- alta direção da organização;

- gestores dos processos de negócio;

- responsáveis por auditoria;

- responsáveis por processos operacionais;

54
- responsáveis por setores da organização;

- responsáveis por áreas específicas de controle;

- responsáveis por tecnologias aplicadas ao negócio;

- Usuários; e

- Todos os envolvidos nos processos da organização que não constam desta lista ou que o Security

Officer julgue que possa agregar ao processo decisório e de implementação.

Cada participação deverá acontecer a seu tempo, de acordo com a fase do processo, seja decisório ou

de implementação.

Cabe aos níveis estratégico e tático da organização decidir quais controles deverão ser implementados,

dentre os selecionados, definindo sempre o objetivo e relacionando o controle ao risco a ser mitigado, e

ao nível operacional a implementação e, caso necessário, propor mudanças e melhorias nos controles a

serem implementados, desde que não mude o objetivo e nem perca o foco do risco em questão.

Apostila elaborada por: Prof. Salomão de Oliveira.

Para utilização na disciplina ‘Normas e Políticas de Segurança da Informação’ no curso ‘Gestão de

Tecnologia’, no ‘Centro Universitário Radial Estácio’ de São Paulo – Campus Jabaquara.

55