NORMAS E MELHORES PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

DISSERTAÇÃO PARA SOLUÇÃO DO ESTUDO DE CASO N1

Jefferson Juliano Hilário de Oliveira

Outubro / 2021

Curso de normas e melhores práticas da segurança da informação do centro

universitário FMU, estudo de caso com relação a infraestrutura da organização e
segurança da informação da empresa pública IBH, que presta serviço gratuitos de
assistência de serviços médicos hospitalar através de uma rede que inclui um órgão
central e 40 hospitais distribuídos pelo país, que exercem a função de centros de
referência para o sistema único de saúde, com sede em Brasília.

Os hospitais foram adquiridos antes da fundação da empresa e foram

associados em etapas ao longo do tempo, durante o processo de associação de
cada unidade, não foram padronizados os recursos e ativos relacionados a
tecnologia da informação, como servidores, roteadores, switchs, storages,
dispositivos de backups, links de dados, sistemas, banco de dados, base de
autenticação de usuários e políticas de segurança da informação de cada unidade
são independentes.

Por esse motivo não existe padrão para classificação das informações
contidas nos meios digitais, incluindo, sistemas e arquivos de dados presentes nos
servidores da instituição. O tráfego dos dados não é criptografado, o e-mail não
possui recurso de criptografia tornando vulnerável a transmissão das informações,
pois são dados suscetíveis a serem interceptados por terceiros, não existem
mecanismos de auditoria que permitam verificar quem consultou ou está
consultando determinada informação e com tantos problemas as informações e
dados da instituição são vulneráveis a ataques e vazamentos.

Para resolver o problema com a falta de padronização das informações é

possível implementar normas de segurança da informação como a NBR ISO/IEC
27001 e 27002 e criar grupos de trabalhos para solucionar questões de políticas de
1
segurança da informação, definir diretrizes genéricas para todas as unidades e
considerar as particularidades de cada uma.

Para Freitas e Araújo (2008), deve-se elaborar uma comissão de segurança

da informação (grupos de trabalho), formado pelos responsáveis de inúmeros
setores, eles serão encarregados por divulgar e estabelecer os métodos de
segurança, ofertando reuniões regularmente, seja qual for a ocasião, de acordo com
o solicitado pelas condições atuais, com o proposito maior de guardar a segurança
em todos os setores da instituição.

O comitê de segurança pode elencar mecanismos a serem adotados para

controle de segurança da informação e providenciar resolução para problemas
conhecidos como:

 Instalar logs e controles de acessos digitais;

 Criptografia da rede com chave de segurança primária e secundária;

 Hierarquização de usuários (perfis diferentes de acesso, com senhas e

certificados digitais específicos)

 Padronização de um firewall e proxy central, para garantir a segurança

e controle da navegação da internet dos usuários e bloqueio eficiente
do tráfego de dados pela web;

 Servidor de backup centralizado e local;

 Disponibilização de servidor de e-mail único para toda rede;

 Investimento em padronização de ativos de rede para que seja

possível a padronização do firewall, servidor de e-mail e backup.

O comitê de segurança da informação deve implementar uma gestão de

riscos e de mudanças para auxiliar e minimizar o impacto de todo o projeto de
melhorias proposto, criar testes de segurança para validação dos novos protocolos
de segurança e estabelecer política de auditoria e treinamento.

2
 Segundo Campos (2007, p. 17), “a segurança da informação apoia-se em três
princípios: confidencialidade, integridade e disponibilidade.” Ao se falar em
segurança da informação, deve-se ter bastante atenção a estes três conceitos
fundamentais, pois toda operação que possa prejudicar qualquer um desses
princípios, seja confidencialidade, integridade ou disponibilidade, mirará em combate
a segurança.

O comitê de segurança da informação terá que levantar a legislação presente

nas atividades da organização, protegendo seu ambiente computacional, para que
não seja utilizado como instrumento de má fé, amenizando o risco de golpes. Cada
usuário deve conhecer suas responsabilidades legais para com os meios digitais da
organização, ter acesso individual aos sistemas, saber em quais situações seu
acesso à informação está sendo registrado em logs, ser informado quando seus
acessos foram violados, receber treinamento e ter meios de comunicar
irregularidades identificas, um termo de compromisso com todas essas informações
pertinentes à segurança da informação precisa ser elaborado e assinado por todos
da organização. O comitê de segurança da informação. também deve classificar as
informações de todas as áreas em todas as unidades, para que seja possível
identificar prováveis ameaças, riscos, impactos e padronizar essas ferramentas de
forma que a organização tenha uma única diretriz.

Para que seja elaborada a Política de Segurança da Informação, é necessário

seguir a NBR ISO/27001:2013, “pois é uma norma de diretrizes de boas práticas
para o gerenciamento da segurança da informação, na qual pode ser identificada as
melhores técnicas para principiar, executar, preservar e aprimorar o gerenciamento
da segurança da informação em uma empresa” (NBR ISO/27001:2013). Agra (2019,
p. 101) diz que a política de segurança da informação deve ser conhecida por todos,
ser analisada e revisada periodicamente para garantir a viabilidade e o uso dos
ativos de tecnologia da informação de forma adequada.

“A confidencialidade é a preservação de que a informação é disponível

apenas por pessoal autorizados a disporem permissão” (NBR ISO/IEC 27001:2013).
Caso a informação seja acedida por um indivíduo não autorizado, propositalmente
ou não, sucede a ruptura da confidencialidade. A ruptura dessa confidência pode
ocasionar falhas imensuráveis para a instituição ou até mesmo para seus pacientes.
3
 “A integridade é a preservação da certeza e absoluto da informação e da
metodologia de seguimento”. (NBR ISO/IEC 27001:2013). No momento que a
informação é adulterada, fraudulenta ou furtada, ocorre à quebra da integridade. A
integridade é garantida de que a informação se preserve com suas características
originais.

A disponibilidade é a certeza de que os as pessoas habilitadas tenham

acesso à informação e aos ativos correlatos sempre que indispensável. (NBR
ISO/IEC 27001:2013). No momento em que se impossibilita o acesso da informação,
isto é, quando não tem acesso por conta de violações ou ataques, igualmente as
paradas do sistema pelo mesmo motivo ou outro, correspondem a ruptura da
disponibilidade.

A norma ISO/27002:2013, contém procedimentos de verificação e tratamento

de riscos, implementação de um conjunto de controles de sua proposta de seções,
incluindo da política da informação, processos, procedimentos, estruturas
organizacionais e funções de software e hardware. Os controles precisam ser
monitorados, analisados e melhorados, para garantir que as melhorias propostas
sejam atendidas. A norma está estruturada em onze seções. As quais culminam
trinta e nove ramos essenciais de segurança, e cada grupo possui uma finalidade de
controles e podem ser aplicados um ou mais, assim como determinados requisitos e
informações acrescentais para a sua aplicação, que são:

1. Política de segurança da informação;

2. Organização da segurança da informação;

3. Gestão de ativos;

4. Segurança em recursos humanos;

5. Segurança física e do ambiente;

6. Gestão das operações e comunicações;

7. Controle de acesso;

8. Aquisição, desenvolvimento e manutenção de sistemas de informação;

4
 9. Gestão de incidentes de segurança da informação;

10. Gestão da continuidade do negócio;

11. Conformidade.

A aplicação desses controles em sua totalidade, resolveriam grande parte dos

problemas ocorridos na instituição.

A política de segurança necessita possuir a contribuição e responsabilidades

do nível estratégico da empresa, visto que é determinante a fim de que a própria
seja eficaz, sem a influência deste apoio, seja qual for a atividade será muito
complicado, haja vista o esforço e quantidade de pessoas e processos envolvidos.

Durante a elaboração da política de segurança para atender a toda a rede da

IBH, a norma irá tratar vários problemas identificados.

Para tratar a identificação e autenticação de usuários, para que seja possível

rastrear todas as atividades dos usuários dentro da rede e sistemas, existem 3
métodos: autenticação por conhecimento, com basicamente o uso do padrão usuário
e senha, mas com rastreamento por logs, de ser implementado e padronizado nos
sistemas, servidores de arquivos e autenticação de usuários. Autenticação por
propriedade, que utiliza cartões, tokens e chips, que pode ser atribuído a controles
de acesso locais, sistemas internos como de recursos humanos que lida com dados
sensíveis e autenticação por característica, que utiliza biometria ou reconhecimento
facial, que pode ser implementado em locais e/ou ativos com risco mais elevado e
garantir quem realmente teve acesso as informações.

Criptografia é uma excelente ferramenta da segurança da informação, é

utilizada para que a mensagem chegue a seu destino com a maior mitigação
possível do risco de sua interceptação, para solucionar um dos problemas
identificados na transmissão de informações do hospital, o modelo de criptografia
assimétrico deverá ser implementado, pois utiliza duas chaves distintas, uma chave
pública que é utilizada para cifrar e outra chave privada para decifrar a informação.
Exemplo: para o envio de um laudo médico a um paciente, o hospital possui a chave
pública e o paciente teria uma chave privada para poder acessar o laudo. Um dos

5
modelos mais utilizados de chaves assimétricas é o RSA (Rivest Shamir and
Adlemen) e a SSL (Secure Sockets Layer). As informações entre as duas pontas,
hospital paciente seria mais segura.

Certificados digitais podem ser utilizados para garantir que realmente a

mensagem esteja segura, mesmo que a mensagem tenha sido enviada criptografa
ainda pode-se utilizar certificados digitais para garantir a identidade de quem está
acessando a informação, existem muitas autoridades certificadoras que podem
fornecer diferentes tipos de certificados digitais, o mais utilizado é o X.509, pois
utiliza a chave pública do usuário com nome do usuário, data de emissão e controle
da validade do certificado.

O gerenciamento de riscos é um importante processo de segurança da

informação para minimizar a ocorrência de eventos que possam quebrar a
confidencialidade, integridade e disponibilidade da informação. Com a identificação
dos riscos é possível analisar os eventos, incertezas, impactos e planejar controles
dos riscos para o tratamento das ocorrências. Um monitoramento periódico deve ser
estabelecido para garantir a continuidade do negócio e garantir a diminuição dos
impactos, A norma técnica ISO/IEC 27005, possui princípios para o processo de
gestão de riscos e pode nortear toda a elaboração do texto.

A norma ISO/27002:2013 prevê em seu escopo a gestão de ativos, que

determinas as responsabilidades após sua correta identificação, catálogo de todos
os ativos, determinação de se uso adequado dos ativos, segurança e seus
respectivos proprietários. Os proprietários deveram assegurar que os ativos serão
inventariados, classificados de forma adequada e protegidos, conforme descrito na
política de segurança. Com a gestão de ativos e um servidor de firewall e proxy,
para padronizar a segurança do tráfego de dados em conjunto com os recursos já
propostos, a instituição terá um controle eficiente da navegação da internet pelos
usuários e maior segurança do tráfego de dados pela web, além de relatórios com
os dados de navegação e bloqueio de sites ou domínios indevidos. Um servidor de
backup e um servidor de e-mails que atenda todas as unidades, seu controle será
centralizado na unidade principal em Brasília com níveis de permissão adequados
disponibilizados as unidades distribuídas pelo país.

6
 Uma VPN (Virtual Private Network) pode ser implementada para que os
dados da rede sejam compartilhados entre as unidades, podendo padronizar todas
as ferramentas de rede e servidores, pois a tecnologia permite que os dados sejam
compartilhados de forma segura entre as unidades. O custo é relativamente baixo,
pois se utiliza a internet como meio de tráfego de dados e os recursos de firewall,
proxy, certificados de segurança e criptografia, viabilizam seu uso de forma
adequada.

Aconteceram dois incidentes, o vazamento de informações relacionadas aos

pacientes internados nos hospitais da rede, terceiros conseguiram interceptar dados
e obtiveram informações dos pacientes internados e acesso indevido de arquivos no
setor de recursos humanos, devido à falta de classificação da informação, arquivos
sigilosos foram acessados por funcionários que não deveriam ter acesso aos dados.

Com a formação de um comitê interno que irá implementar uma política de

segurança permeada pelas normas ISO 27001 e 27002 padronizada para toda a
instituição, uma gestão de riscos com base na norma ISO 27005 para entender
todas as fraquezas e riscos do processo organizacional, definição de acesso por
hierarquização dos usuários, a própria cultura da organização tornaria mais seguro
os dados da instituição e teria inibido a possibilidade de vazamento de dados, mas
só conscientização ainda não é suficiente para garantir a segurança das
informações.

O apoio de uma gestão e padronização de todos os ativos das 40 unidades,

com recursos de controle de logs nos sistemas, servidor de e-mail, backup, VPN,
firewall e proxy, a implantação de criptografia e certificados de segurança para
controle de autenticação de usuários, cartões e tokens controlados por entidades
certificadoras e até mesmo controles de acesso biométricos. Tornariam o risco de
informações vazarem ou que dados tivessem sido acessados por pessoas não
autorizadas bem menores,

7
 REFERÊNCIAS

Freitas, F; Araujo, M. Políticas de Segurança Da Informação: Guia prático

para elaboração e implementação. 2ed. Rio de Janeiro: Ciência Moderna LTDA,
2008.

Galvão, Michele da Costa. Fundamentos em Segurança da Informação. São

Paulo: Pearson Education do Brasil, Disponível em:
https://plataforma.bvirtual.com.br/Leitor/Publicacao/26525/epub/18?
code=NK0ygCAO93cUlwy+t8XxAlspN+yU1eh6KzAY8ktLGik8xfWjI9lb5QRGTr5lvBAr
tMSmaqsfb/66kAJwYd7TUQ==. Acesso em: 14 out 2021.

Campos, A. Sistemas de Segurança da Informação. 2 ed. Florianópolis: Visual

Books, 2007.

AGRA, Andressa. D.; BARBOZA, Fabrício.Felipe. M. Segurança de sistemas

da informação. São Paulo: Grupo A, 2019. 9788595027084. Disponível em:
https://integrada.minhabiblioteca.com.br/#/books/9788595027084/. Acesso em: 15
out. 2021.

BARRETO, Jeanine.dos. S.; ZANIN, Aline.; MORAIS, Izabelly.Soares. D.;

VETTORAZZO, Adriana.de. S. Fundamentos de segurança da informação. São Paulo:
Grupo A, 2018. 9788595025875. Disponível em:
https://integrada.minhabiblioteca.com.br/#/books/9788595025875/. Acesso em: 16
out. 2021

FONTES, Edison. Segurança da informação - 1ª edição. São Paulo: Editora

Saraiva, 2001. 9788502122185. Disponível em:
https://integrada.minhabiblioteca.com.br/#/books/9788502122185/. Acesso em: 16
out. 2021.

BOOSTEL, Isis.; REIS, Zaida.Cristiane. D. Gestão de custos, riscos e perdas. São

Paulo: Grupo A, 2018. 9788595028623. Disponível em:

8
https://integrada.minhabiblioteca.com.br/#/books/9788595028623/ . Acesso em:
16 out. 2021.

ABNT NBR ISO/IEC 27001:2013. Site Docer. São Paulo: Disponível em:
https://docero.com.br/doc/xxxnx5s. Acesso em: 15 out. 2021.

ABNT NBR ISO/IEC 27002:2013. Site jkolb.com.br. São Paulo: Disponível

em: https://jkolb.com.br/wp-content/uploads/2017/08/ISO-27002-2013.pdf . Acesso
em: 15 out. 2021.