Escolar Documentos
Profissional Documentos
Cultura Documentos
Temas
Introdução
1 A segurança da informação no ambiente corporativo
2 Segurança da informação – definição e termos-chave
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
A informação é um recurso precioso para a sociedade contemporânea. Nas organizações,
esta é uma peça fundamental nos processos de tomada de decisão, criação de novos
produtos, serviços e inovação. Por esse motivo, a informação é dita um ativo de valor, que
deve ser protegido sob diversos níveis, que variam conforme o valor que esta possui para
a organização.
Para a ISO 27002 (ABNT, 2007), a segurança da informação pode ser definida como a
proteção da informação contra vários tipos de ameaças para garantir a continuidade do
negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidades
de negócio.
A concretização de uma ameaça pode gerar diversos efeitos, tais como a perda de clientes
e contratos, danos à imagem, perda de produtividade, aumento do custo para conter, reparar
e recuperar os processos de negócios afetados pela concretização de uma ameaça, além de
penalidades e multas que podem ser aplicadas por órgãos reguladores.
Podemos definir um ativo organizacional como algo que tenha valor para a organização,
com base no que é definido pela ISO 27001. Normalmente, os ativos são elementos que
fornecem suporte aos processos de negócios. Outra definição encontrada para ativo é que
este é qualquer elemento usado para armazenar, processar, transportar, manusear e descartar
a informação, inclusive a própria.
São diversos os tipos de ativos que podemos encontrar em uma organização. Dessa
forma, eles são agrupados em categorias, quais sejam:
A norma ISO 27001 também nos trás a informação de que uma vulnerabilidade é algo
que pode ser explorado e, sendo, comprometa a segurança de sistemas e informações.
Normalmente dizemos que vulnerabilidade é a fragilidade de um ativo ou grupo de ativos
que pode ser explorada por uma ou mais ameaças (ABNT, 2007).
Para a norma ISO 27001, dá-se o nome de ataque a uma ação que comprometa a
segurança da organização, sendo também definida como a concretização da ameaça,
explorando uma vulnerabilidade (ABNT, 2007). Podemos dizer que o impacto é a consequência
gerada pela ocorrência de um ataque.
• Controles físicos: são controles que visam a limitar o contato ou acesso direto à
informação ou à infraestrutura que a suporta. São exemplos de controles físicos as
portas, trancas, blindagens etc.
• Controles lógicos: são controles que buscam impedir ou limitar o acesso à informação,
geralmente implantados de uma maneira eletrônica. Técnicas tais como criptografia,
assinatura digital e controle de acesso são exemplos clássicos de controles lógicos.
De fato, uma política é representada por um documento que deve ser definido sob
um aspecto estratégico da organização, normalmente aprovado por seus dirigentes.
Destaca-se, portanto, que nenhuma política de segurança da informação deva existir sem o
comprometimento da alta administração, de modo a viabilizar ações para que os demais
membros da organização compreendam a importância da segurança da informação.
Considerações finais
Nesta aula buscamos apresentar os principais conceitos relacionados à segurança da
informação, definindo os principais termos-chave e contextualizando o cenário de segurança
da informação nas organizações.
Vimos que há três pilares que representam as propriedades a serem garantidas pela
segurança da informação, que são: confidencialidade, integridade e disponibilidade. É em
torno desses pilares que buscamos proteger a informação em seu ciclo de vida. Neste ciclo de
vida, estabelecemos um conjunto de controles de modo a garantir tais propriedades.
Por fim, fica evidente que nenhum programa de segurança da informação pode ser bem-
sucedido se não for inclusivo, determinando de maneira clara papéis e responsabilidades de
todas as partes envolvidas e motivado principalmente pela alta administração da organização.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002: 2007. Tecnologia
da informação - código de prática para a gestão da segurança da informação. Rio de Janeiro:
ABNT, 2007.
______. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2010.
RAMOS, A. (Org.). Security Officer 1: guia oficial para formação de gestores em segurança da
informação. 2. ed. Porto Alegre: Zouk, 2008.
SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus,
2003.
Temas
Introdução
1 Norma ISO/IEC 27001:2006
2 Política de segurança da informação
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Anteriormente, discutimos uma série de conceitos sobre segurança da informação
e também abordamos a política de segurança da informação, um documento que dita as
diretrizes organizacionais para a segurança da informação que, normalmente, é aprovado
pela alta administração da empresa, como uma forma de auxiliar a implementação dos
controles e procedimentos adotados por toda a organização.
• O que proteger?
Temos que buscar respostas para todas as perguntas de modo a escrever uma política
de segurança da informação eficaz e eficiente. Ao longo da disciplina, seremos cada vez mais
capazes de respondê-las plenamente.
Com esses conceitos definidos, podemos afirmar que uma norma é aquilo que se
estabelece como medida para a realização de uma atividade. Por meio dela, definimos
regras e instrumentos de controle para assegurar a conformidade de um processo, produto
ou serviço.
A ISO/IEC 27001 tem origem na norma britânica BS-7999-2. Trata-se de uma norma que
é voltada para a certificação de uma organização sobre a implantação de um Sistema de
Gerenciamento de Segurança da Informação (SGSI). Essa norma está dividida em 11 capítulos
principais, quais sejam (ABNT, 2006):
• Políticas de segurança;
• Gerenciamento de ativos;
• Controle de acessos;
• Conformidade.
Ao longo da disciplina, abordaremos com mais profundidade essa norma, pois ela,
juntamente com outras normas, norteia os trabalhos na área de segurança da informação.
vigente no país (ABNT, 2006). Esse documento é o que chamamos de Política de Segurança
da Informação (PSI).
Para a ISO 27001, a PSI deve definir como será a manipulação das informações, além de
como essa ação será monitorada e controlada. Para que os controles se tornem efetivos, além
da premissa de comprometimento da alta administração, é imprescindível que a PSI defina
papéis e responsabilidades (ABNT, 2006).
Normalmente, o documento de uma PSI trata dos seguintes aspectos (SÊMOLA, 2003;
FONTES, 2008; ABNT, 2006):
1 Patches são pacotes de atualização e correção de erros disponibilizados com o objetivo de corrigir bugs e eventuais vulnerabilidades que
possam ser exploradas por agentes mal-intencionados.
• Publicação da PSI;
• Revisão da PSI.
Após a definição e aprovação de uma PSI por uma organização, é possível desenvolver
normas e procedimentos que tratam de ações no ambiente operacional da organização.
Para a confidencialidade uma PSI deve garantir que o acesso aos dados e às informações
fiquem restritos a pessoas e autoridades devidamente autorizadas, além da proteção em
todas as fases de seu ciclo de vida: armazenamento, transmissão e processamento.
Para a disponibilidade a PSI deve garantir o acesso aos usuários autorizados sempre
que necessário. Sem essa garantia, a instituição pode ter diversos prejuízos, assim como
danos à sua imagem.
Como já fora dito, uma política deve se basear na legislação vigente do país. Como
exemplo, citamos o Decreto nº 3.505/2000, que define os objetivos de uma política de
segurança da informação para a administração pública federal. A seguir temos alguns trechos
do documento, que identificam os objetivos de uma PSI (BRASIL, 2000):
[...]
[...]
A PSI é apenas o primeiro passo rumo a uma mudança cultural na organização, por meio
da adoção de novos procedimentos e conscientização sobre os riscos.
A PSI deve ser escrita de forma clara, para que todos os envolvidos possam entendê-la e
praticá-la. Recomenda-se evitar o uso de termos técnicos, pois o alvo principal da PSI são os
usuários que não dominam tais termos. É preciso ter em mente que todos os colaboradores
da organização, independentemente do cargo que ocupam, precisam entender a política e
quais os objetivos que a organização busca alcançar com tais diretrizes (FONTES, 2010).
A política em si pode ser composta por diversas políticas auxiliares, tais como políticas de
senha, de backup, de contratação de pessoal, de instalação de software e hardware, dentre
outros, de modo que cada área possa focar em uma política mais adequada à sua realidade
institucional (SÊMOLA, 2003; RAMOS, 2008).
O processo de adoção de uma PSI deve ser formal, contendo uma aprovação da alta
administração da empresa. Após a aprovação da PSI, sugere-se a adoção de quatro atividades
em fluxo contínuo: divulgação, distribuição, educação e treinamento e medição.
A medição é uma etapa de avaliação da efetividade das diretrizes, de acordo com a ISO
27001 (ABNT, 2006). É um elemento norteador para a alta administração acerca da atualização
de diretrizes que reflitam o cenário atual de suas operações. Por meio da medição, pode-
se avaliar o desempenho da gestão de segurança da informação e obter as sugestões de
melhoria da política.
As diretrizes das políticas podem ser direcionadas: por aspectos tecnológicos (arquitetura
da informação), pelo perfil de atuação da companhia (nacional, multinacional, de capital
aberto, familiar, serviços financeiros ou de saúde etc.), por seus reguladores nacionais e
internacionais e, principalmente, pelo apetite a risco2 da alta administração.
2 O nível de risco que uma organização está disposta a aceitar, antes de ser considerada necessária ação para reduzi-lo. Representa um
equilíbrio entre os benefícios potenciais de inovação e as ameaças que mudar inevitavelmente traz.
Considerações finais
Nesta aula foi apresentada a política de segurança da informação, sua função e seus
principais direcionadores.
Falamos também sobre a norma NBR ISO/IEC 27001, principal referência para a definição
das premissas de controle em segurança da informação e políticas institucionais.
Outro tópico abordado foi o conjunto de fatores de sucesso para a devida implantação
da PSI, principalmente a divulgação, distribuição, educação e treinamento e medição. É
imprescindível a adoção de mecanismos de divulgação, distribuição de cartilhas, treinamentos
e medição constante para a atualização da política.
As penalidades são elementos importantes de uma política, que, além de elencar papéis
e responsabilidades, deve definir como a organização irá se portar diante de infrações às
suas diretrizes.
Chegamos ao fim de mais uma aula. Espero que você tenha compreendido o papel da
PSI. Nas próximas aulas, aprofundaremos os tópicos necessários para elaboração da política
de segurança da informação, iniciando por uma análise mais detalhada das normas que
envolvem o tema.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2006. Tecnologia
da informação - técnicas de segurança - sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro: ABNT, 2006.
______. ABNT NBR ISO/IEC 27002:2007. Tecnologia da informação - código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2007.
______. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2010.
SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus,
2003.
Temas
Introdução
1 Normas ABNT NBR da família 27000
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Em nossas últimas aulas abordamos os principais conceitos de segurança da informação,
comentamos sobre a mudança cultural que deve acontecer nas organizações e os fatores de
sucesso para a implementação de uma política de segurança da informação.
Para uma organização, o fato desta estar alinhada a uma norma internacional permite
a conquista de novos mercados, além de permitir a busca por certificações que atestam o
tratamento da informação.
De um modo geral, o ciclo de atividades proposto pela norma ABNT NBR ISO/IEC
27001:2006 para a implementação de um SGSI, pode ser descrito nos seguintes passos:
2. Alocação de recursos;
4. Treinamento e educação;
Abordaremos com mais detalhes essas atividades ao longo da disciplina, porém vamos
nos atentar à atividade de número 4. Com o objetivo de fornecer suporte para a definição dos
controles a serem utilizados pela empresa, a ISO desenvolveu a norma ISO/IEC 27002, que já
possui sua versão brasileira NBR ISO/IEC 27002:2007.
Esta Norma foi preparada para prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão
de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão
estratégica para uma organização. A especificação e a implementação do SGSI de
uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de
segurança, processos empregados e tamanho e estrutura da organização. É esperado
que este e os sistemas de apoio mudem com o passar do tempo. É esperado que a
implementação de um SGSI seja escalada conforme as necessidades da organização,
por exemplo, uma situação simples requer uma solução de um SGSI simples. Esta
Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas
e externas. (ABNT NBR ISO/IEC 27001:2006 – Introdução: 0.1 – Geral, grifo nosso).
• Toda vez que temos um projeto a ser feito, a primeira coisa que fazemos é conhecer
o que precisamos e o que queremos alcançar (objetivos). Esta é a primeira fase do
PDCA, a fase de Planejamento (Plan);
• Após as atividades estarem em execução, nosso trabalho não pode ser dado por
finalizado. É preciso medir o que alcançamos, para saber se atingimos nosso objetivo
ou não. Esta fase denomina-se Verificar (check);
Essa norma é utilizada pelas empresas para fins de certificação e auditoria. Para que
uma empresa obtenha tal certificação, ela necessita estar em conformidade com todos os
requisitos apresentados pela norma. Como falamos, o ciclo de estabelecimento de um SGSI
inicia-se pela criação de plano de tratamento de riscos. Ao longo das demais aulas, veremos
que há riscos aceitáveis. Logo, em função disso, a empresa pode considerar alguns riscos
aceitáveis, de modo que ela não necessita atender a algumas diretrizes da norma. Porém, ela
terá que justificar o não cumprimento do requisito aos auditores que validarão a certificação.
O capítulo 6 aborda as auditorias internas, definindo quais áreas devem ser auditadas,
a periodicidade de tais auditorias, assim como define quem poderá atuar como auditor
nessas atividades.
O capítulo 7 simboliza a fase CHECK do PDCA, na qual são verificadas as ações realizadas
pelo SGSI. O capítulo 8, por sua vez, aborda a melhoria continua do SGSI, simbolizando o ACT
do PDCA.
A empresa que tem por objetivo obter a certificação na área, preenche um documento
denominado Declaração de Aplicabilidade. Nesse documento, estão relacionados quais
controles do Anexo A são aplicáveis em seu SGSI e justifica os que não serão aplicáveis. Por
exemplo, há controles para garantir a segurança da informação no caso de acesso remoto? Se
uma empresa não possui acesso remoto de seus colaboradores aos sistemas, não há motivos
para se implantar tais controles. Logo, na declaração de aplicabilidade, esses controles serão
descartados e justificados (SÊMOLA, 2003; ROCHA, 2008).
Observando a estrutura acima, vemos que o item 5 é uma seção da norma. O item
5.1 é uma categoria, de modo que os itens 5.1.1 e 5.1.2 sejam os controles apresentados,
juntamente com suas descrições.
Você deve ter notado a extensão da norma. Ela é repleta de um conjunto de controles
que buscam auxiliar a escolha dos mais adequados às necessidades de segurança da
informação pela organização, em função de sua análise de riscos.
Nas demais aulas, abordaremos com mais detalhes cada seção da norma ISO 27002,
contextualizada com a norma ISO 27001, assim como demais normas que venham a
ser necessárias.
Considerações finais
Nesta aula, apresentamos com mais detalhes as normas ABNT NBR ISO/IEC 27001:2006
e ABNT NBR ISO/IEC 27002:2007. Iniciamos contextualizando o papel da organização mundial
ISO e chamando a atenção ao fato de que as normas editadas por essa instituição são
adequadas em cada país. No caso do Brasil, a ABNT é a responsável pela adequação.
de diretrizes que devem ser adotadas por uma empresa para certificação na área. A empresa
deve especificar na Declaração de Aplicabilidade quais controles serão utilizados em função
de seu gerenciamento de riscos.
A norma NBR ISO/IEC 27002:2007 nos provê um conjunto de boas práticas para o
estabelecimento de controles que visam a garantir a segurança da informação, buscando a
confidencialidade, integridade e disponibilidade da informação na organização, conforme
estudamos nas aulas anteriores. Ao longo de nossas próximas aulas, nos aprofundaremos em
cada seção dessa norma, conhecendo seus principais controles propostos.
Por fim, apresentamos também uma breve visão sobre as seções dessa norma, seus
principais objetivos e um exemplo de controle que podemos encontrar em tais seções.
Ressalto que esses controles não são absolutos, muito menos representam os únicos controles
que podem ser aplicados por uma empresa. Trata-se de uma lista de recomendações, mais
conhecidas como boas práticas.
Você deve ter notado que os controles também aparecem na norma ABNT NBR ISO/IEC
27001:2006, mas de uma maneira bem resumida em seu Anexo A. Por que então há outra
norma (a NBR ISO/IEC 27002:2007) que apresenta novamente tais controles? A explicação
mais aceita na área é que há diversas formas de interpretar os controles apresentados na ISO
27001. Dependendo da interpretação, o resultado ao qual se chega é divergente do proposto
pela ISO. Logo, com o objetivo de minimizar interpretações divergentes ou tendenciosas, a
ISO editou a norma 27002 para que as boas práticas sejam expostas e haja uma tendência
maior de convergência de ações voltadas à execução dos controles.
Ressalto que as normas não estão presas a nenhuma tecnologia. A descrição dos controles
é genérica e independe de fornecedor e tecnologia. Este é um ponto muito importante, pois
garante a neutralidade de tais normas.
Uma palavra que está mais evidente é RISCO. Vimos que é com base no plano de
gerenciamento de riscos que uma organização escolhe quais controles serão aplicados.
Realizar uma correta análise e classificação de riscos é fundamental para que a política de
segurança da informação seja efetiva.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2006. Tecnologia
da informação - técnicas de segurança - sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro: ABNT, 2006.
______. ABNT NBR ISO/IEC 27002:2007. Tecnologia da informação - código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2007.
______. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2010.
ROCHA, H. Proposta de cenário para aplicação da norma NBR ISO/IEC 27002 em auditorias
governamentais do sistema de controle interno. Monografia de Especialização em Ciências da
Computação. Brasília: UNB, 2008.
SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus,
2003.
Temas
Introdução
1 Riscos
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Em nossa última aula, estudamos as normas ABNT NBR ISO/IEC 27001:2006 e 27002:2007.
A primeira delas nos fornece requisitos para o estabelecimento e manutenção de um Sistema
de Gestão da Segurança da Informação (SGSI). A especificação do que será este SGSI é muito
influenciada pelas necessidades e objetivos da instituição, seus requisitos de segurança, os
processos empregados, além do tamanho e da estrutura da empresa.
De acordo com a NBR ISO/IEC 27002:2007, existem três principais fontes para o
estabelecimento de requisitos de segurança: a primeira delas é obtida através da análise
e avaliação de risco para a organização. A segunda fonte é o arcabouço formado pelas
legislações vigentes, estatutos, regulamentação, cláusulas contratuais etc. A terceira fonte
origina-se dos princípios, objetivos e requisitos da organização para o processamento
da informação.
Avaliar riscos é importante para que possamos entender para quais ameaças os ativos de
informação estão sujeitos. A análise e avaliação consistem, portanto, em diagnosticar os riscos
aos quais nossos ativos estão sujeitos e avaliar o que vamos fazer com tais riscos: podemos
adotar controles para minimizá-los ou até mesmo torná-los aceitáveis (isto é, conviver
com eles).
Nesta aula iremos abordar a primeira dessas fontes: a análise e avaliação de risco. De
um modo geral nosso tema versará sobre a gestão de riscos para segurança da informação.
1 Riscos
O que vem a ser um risco no contexto da segurança da informação?
É vital que uma empresa tenha definido de uma maneira clara e objetiva o seu nível de
risco aceitável. Definir esse nível é elemento essencial à priorização dos investimentos em
segurança da informação.
Para que um fato seja considerado um risco, ele deve obedecer a um conjunto de
requisitos: ser algo provável de acontecer, causar prejuízos à organização, estar diretamente
relacionado a um ativo de valor, ser provocado por uma ameaça identificável, que explora
uma vulnerabilidade também passível de ser identificada.
• Risco humano - este risco é advindo de ações de pessoas, sejam elas mal intencionadas
ou não. A falta de conhecimento de um colaborador, por exemplo, pode levá-lo a
tomar decisões erradas durante a manipulação da informação;
• Risco legal - são riscos gerados pela não observância da lei ou de penalidades previstas
em lei e que possam afetar o negócio.
As organizações proativas, por sua vez, possuem uma série de controles para o
tratamento das informações, não necessitando esperar que eventos ocorram para agir
mitigando as consequências.
A norma ABNT NBR ISO/IEC 27005:2008 tem por objetivo dotar de conhecimento as
empresas para que elas se tornem mais proativas. Essa norma propõe um modelo de Sistema
de Gestão de Riscos de Segurança da Informação - SGRSI.
Também definimos nesta etapa o nível aceitável de riscos dentro da organização, assim
como quais serão os ativos considerados para a gestão de riscos (DINIZ, 2009).
A estimativa do risco faz uso das abordagens qualitativa e quantitativa para definir valores
de probabilidade de ocorrência do risco e de seus impactos.
Vamos ver um exemplo de estimativa do risco. Para estimar um risco, precisamos estimar
a probabilidade de ocorrência deste acontecer, assim como mensurar os impactos que ele
pode causar à organização.
Tabela 1 - Exemplo de Graus de Importância para Impactos na Organização causados por um Evento.
0 impacto irrelevante
0 improvável de ocorrer
5 ocorre diariamente
Na escala de exemplo que acabamos de montar, temos que o menor risco é o de valor 0
e o maior risco é o de valor 25 (5 x 5).
Uma vez que temos os riscos definidos e mensurados, podemos avaliá-los em níveis
de prioridades. Normalmente, respondemos a duas perguntas nesta etapa: o que pode dar
errado? E o que fazer para enfrentar os riscos?
Esta fase é responsável por ordenar os riscos conhecidos por prioridade, de acordo com
os critérios de avaliação de riscos que a organização pode definir (DINIZ, 2009).
Nesta etapa determina-se as ações necessárias para reduzir o risco a um nível aceitável.
Em um ciclo de melhoria contínua, a avaliação dos riscos também realiza a comparação do
risco atual com patamares predefinidos.
Com a execução das etapas anteriores, nesta etapa temos uma lista ordenada de riscos
conhecidos pela organização, segundo sua prioridade. Para a norma ISO 27001, algumas são
as opções para uma organização tratar o risco (DINIZ, 2009; AVALOS, 2009):
• Reduzir o risco: reduz-se o risco por meio da seleção de controles de modo que o
risco residual seja aceitável. Pode-se também eliminar a fonte do risco, ou minimizar
a sua probabilidade ou o seu impacto;
• Evitar o risco: identificam-se atividades que permitem que determinado risco possa
ser evitado;
• Transferir o risco: o risco deve ser transferido para outras entidades (um seguro, por
exemplo, é a transferência de um risco);
• Aceitar o risco: aceitar o risco por parte da organização. Significa “correr o risco”.
Normalmente é uma decisão da alta direção e bem embasada. Deve-se elaborar
um registro dos riscos aceitos, com a justificativa de seu aceite e com a relação dos
responsáveis por sua aprovação.
Nesta etapa há o registro formal e justificado dos riscos residuais existentes na organização.
Risco residual é aquele que resta após a implantação de controles para evitar, transferir ou
mitigar os riscos.
Se um risco residual não for aceitável pela organização, recomenda-se uma nova iteração
desse ciclo de etapas, de modo a reduzi-lo com a adoção de novos controles ou ações. Entram
no grupo de riscos residuais aqueles para os quais a organização não dá importância, ou seja,
aqueles que precisam ser aceitos.
1.1.6 Comunicação
Considerações finais
Nesta aula contextualizamos a gestão de riscos no processo de elaboração de uma
política de segurança da informação. Vimos que um dos primeiros passos para a seleção de
controles apropriados é o entendimento e a classificação dos riscos existentes.
É importante destacar que não existe instituição 100% segura, de modo que é muito
provável que não conseguiremos tratar todos os riscos nos quais a instituição está envolvida.
Fazendo uso das normas de segurança que já estudamos, juntamente com a ISO 27005,
podemos selecionar controles que minimizem os impactos dos riscos para a organização,
assim como também diminuam a probabilidade de ocorrência dos mesmos. O grau de
severidade de um risco normalmente é associado pelo seu impacto aos negócios e por sua
probabilidade de ocorrência.
Referências
AlVES, G. Segurança da informação: uma visão inovadora da gestão. Rio de Janeiro: Ciência
Moderna, 2006.
______. ABNT NBR ISO/IEC 27002:2007. Tecnologia da informação - código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2007.
______. ABNT NBR ISO/IEC 27005:2008. Gestão de Riscos de Segurança da Informação. Rio de
Janeiro: ABNT, 2008.
Objetivos Específicos
• Demonstrar os principais tipos de controle e objetivos de controle.
Temas
Introdução
1 Controles
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Nesta aula, abordaremos os principais controles apresentados na norma ABNT NBR ISO/
IEC 27001:2006. Nela teremos uma visão geral do rol de controles apresentados pela norma.
1 Controles
O termo controle normalmente é associado à ideia de um alarme, evento, medição,
monitoramento etc. Isto é, geralmente se pensa que um controle é algo muito técnico ou
simplesmente a execução de uma ação.
• A.15 Conformidade.
A seguir, conheceremos com mais detalhe cada seção apresentada nesse anexo.
Este grupo apresenta cinco controles e também se encontra dividido em dois subgrupos:
• Responsabilidade pelos ativos: são controles voltados para o inventário dos ativos
e definição de seus proprietários. O termo proprietário não representa diretamente
a posse por um ativo, até porque ele normalmente pertence à organização. Trata-
• Antes da contratação: são controles que atuam nas áreas de seleção e recrutamento,
incentivando a organização a elaborar, por exemplo, termos de aceitação da política
de segurança da informação, a serem assinados por todos os colaboradores que estão
sendo admitidos, assim como com novos fornecedores.
• Áreas Seguras: esta seção da norma apresenta controles que lidam com aspectos
relacionados à segurança física e periférica aos ativos de informação, além do
controle físico de entrada, segurança em escritórios, salas, instalações. Também trata
de ameaças externas e do ambiente, do trabalho em áreas seguras, acesso do público
a tais áreas, áreas de entrega de equipamentos e de carregamento. Esses controles,
por exemplo, estabelecem a necessidade de perímetros de segurança (como paredes
e portas controladas por cartões de acesso) em locais que possuam elementos de
processamento das informações (por exemplo, um data center). Sabemos também
que há ameaças externas, como enchentes, terremotos, explosões e perturbação
da ordem pública, que precisam ser contingenciadas por meio de controles que
mitiguem os efeitos de tais riscos;
Este grupo é o que apresenta o maior número de controles propostos pela norma. Ao
todo são 32 controles, divididos em:
• Proteção contra códigos maliciosos e códigos móveis: possui dois controles que
objetivam detectar, prever e recuperar os ativos de códigos maliciosos, assim como
propor a conscientização dos usuários sobre tais riscos.
• Troca de informações: encontramos neste grupo cinco controles que visam a manter
a segurança na troca de informações e nos softwares internos à organização, além
da interação com entidades externas. Busca-se criar políticas e procedimentos para a
proteção da informação para os processos de troca em todos os tipos de comunicação,
assim como estabelecer mecanismos de controle para a troca de informações entre
diversas instituições. Há também o enfoque para o tratamento de mensagens
eletrônicas, que necessitam ser devidamente protegidas;
sem uso. Isso evita o acesso a informações por uma pessoa que não possui o devido
privilégio. Outro controle importante é também o controle do horário de conexão
aos sistemas. Normalmente as empresas adotam políticas que proíbem o acesso
nos finais de semana e de madrugada;
Este grupo é composto por 16 controles, agrupados em seis subgrupos, quais sejam:
• Segurança dos arquivos do sistema: são controles voltados à segurança dos arquivos
de sistema, por exemplo, controle de acesso aos códigos-fonte dos sistemas;
1.11 Conformidade
Este grupo, formado por 10 controles, tem por objetivo evitar qualquer violação à lei
criminal ou civil, estatutos, regulamentações ou quaisquer obrigações contratuais que a
organização venha a ter. Encontramos neste grupo controles que tratam da proteção de
propriedade intelectual, registros organizacionais, privacidade, uso de informações pessoais
etc.
Considerações finais
Nesta aula foi apresentada uma visão geral dos controles estabelecidos pela norma ISO
27001:2006 e seus principais objetivos. Ao longo das demais aulas, abordaremos cada seção
de controles, apresentando cenários de exemplo e modelos de diretrizes de segurança da
informação.
O objetivo desta aula não foi o de ser exaustiva na apresentação dos controles. Apenas
tenha em mente que esse rol de controles é um conjunto de boas práticas oriundas de
diversas partes do mundo e consolidadas nas normas pela ISO e, consequentemente, pela
ABNT, as quais nos auxiliam na seleção de controles mais apropriados para tratar os riscos de
segurança da informação de nossa organização.
Senac São Paulo - Todos os Direitos Reservados 9
Segurança e Auditoria de Sistemas de Informação
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2006. Tecnologia
da informação - técnicas de segurança - sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro: ABNT, 2006.
______. ABNT NBR ISO/IEC 27002. Tecnologia da informação - código de prática para a gestão
da segurança da informação. Rio de Janeiro: ABNT, 2007.
Objetivos Específicos
• Entender o que é e para o que serve a Política e Gestão da Segurança da
Informação.
Temas
Introdução
1 Política de segurança da informação
2 Organização da segurança da informação
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Nesta aula conheceremos em detalhes as seções 5 e 6 da norma ISO 27001:2006, que
compreendem a política de segurança da informação e a suas organizações interna e externa,
comentando sobre as boas práticas preceituadas na ISO 27002.
A política de segurança da informação deve ser definida e apoiada pela alta direção,
para que essa demonstração de apoio e comprometimento seja observada por todos os
colaboradores.
A norma ISO 27002 nos apresenta uma estrutura básica de um documento de Política de
Segurança da Informação, ele deve conter:
O primeiro ponto a ser destacado é sobre quem aprova esta PSI e a torna vigente: a maior
autoridade na instituição, isto é, o magnífico Reitor. Esse fato, além de ser uma formalidade
exigida pela administração pública, demonstra o comprometimento da alta direção da
instituição com a política que está sendo definida.
A PSI do IFPR segue as boas práticas preceituadas na ISO 27002. Em seu início, ela
apresenta uma definição breve de segurança da informação e suas intenções com este
documento, o qual destacamos:
A informação é um ativo que a organização tem o dever e a responsabilidade de
proteger [...]
[...] A proposta desta PSI é estabelecer as diretrizes para a proteção dos ativos
de informação do IFPR. Estas diretrizes devem ter como objetivos: proteger as
informações do IFPR de ameaças, internas ou externas, deliberadas ou acidentais;
permitir o compartilhamento das informações de forma segura; assegurar que
esteja claro para todas as pessoas do IFPR seus papéis na utilização e proteção da
informação; garantir a continuidade e minimizar possíveis danos ao negócio; proteger
o IFPR de responsabilidades legais do uso inadequado das informações. (IFPR, 2011,
Seção 2, p. 3).
Veja como os trechos destacados evidenciam o seu alinhamento com a norma ISO
27002. A instituição inicia definindo conceitos de segurança da informação e apresenta o
escopo da política aprovado e os objetivos de negócio que se pretende alcançar. Observe
também que um dos objetivos é proteger a instituição de responsabilidades legais. De fato,
a política de segurança da informação proposta pelo IFPR está provendo uma orientação e
apoio à direção, assim como aos demais colaboradores e envolvidos, fornecendo requisitos
de segurança alinhados ao negócio e em conformidade com as leis e regulamentações
pertinentes.
Outro ponto de destaque é que a política de segurança da informação deve ser analisada
criticamente, a intervalos planejados, ou oportunamente, mediante mudanças significativas.
Essa prática objetiva assegurar a eficácia da norma. Em seu item 6.2, a PSI do IFPR (IFPR,
2011, Seção 6.2, p. 6) nos revela um exemplo desta diretriz: “6.2 Revisão: A PSI deve ser
revista anualmente para que seja feita a adequação da política à realidade institucional.”
É uma boa prática estabelecer um gestor para a segurança da informação, que, dentre
outras responsabilidades, seja o responsável por realizar essa análise crítica. No exemplo da
PSI do IFPR, foi instituído o Comitê Gestor da Segurança da Informação (CGSI), ao qual a
seção 7.3 atribui as seguintes responsabilidades:
Uma boa prática sugerida pela norma é a de que a direção da instituição além de aprovar
a política de segurança da informação, atribua funções de segurança e coordene e analise
a implementação da segurança da informação por toda a organização. Vejamos com o IFPR
atribui essa organização interna:
informação [...]
[...] A autoria interna irá examinar a adequação dos controles que são implementados
para proteger a informação e farão recomendações de melhorias [...]
Observe como a PSI do IFPR deixa claro o total apoio da direção, inclusive colocando
como responsabilidade dos dirigentes a busca pelo comprometimento de suas equipes.
Veja que a direção também define que a auditoria interna será responsável por examinar
a adequação dos controles. Note como a organização está se preparando para implantar a
segurança da informação internamente.
Para esse processo de organização interna, às vezes se faz necessário ter uma consultoria
especializada em segurança da informação responsável por guiar todo o processo de
estruturação da política e seus procedimentos.
A coordenação da PSI do IFPR foi atribuída ao comitê CGSI, porém, a direção definiu que
a autoria interna examinará a adequação dos controles. Por que essa segregação?
Isso decorre também de boas práticas existentes na área de segurança, as quais sugerem
que as atividades de segurança da informação sejam coordenadas por representantes de
diferentes partes da instituição, com funções e papéis relevantes (NOVAES, 2011). Se iremos
segregar as atividades para diferentes partes da instituição, quando possível, é recomendando
então que essa segregação (ou melhor, que a definição das atividades de cada representante)
seja o mais objetiva possível e esteja claramente definida na política de segurança da
informação.
Também faz parte do processo de organização interna definir como se dará a autorização
para recursos de processamento da informação. É importante criar procedimentos para que
os novos recursos possuam a autorização adequada por parte da administração de usuários,
autorizando seus propósitos e uso.
Por exemplo, neste ponto é importante refletir como a política pode tratar
o uso de recursos de processamento da informação pessoais, por exemplo, um
notebook. O uso desses aparelhos na rede da empresa pode introduzir novas
vulnerabilidades que, se existirem, convém, portanto, que sejam identificadas e
precisam ser implementados controles que tratem o risco desse evento.
Busca-se impedir que a segurança da informação seja reduzida pela introdução de novos
produtos ou serviços provenientes de partes externas.
Esta análise de risco precisa levar em consideração o tipo de acesso à informação ou aos
recursos de processamento de dados, que pode ser físico (acesso a um escritório, datacenter,
arquivos de papéis etc.), lógico (acesso a banco de dados da organização e aos sistemas de
informação) e por meio de conexão de duas redes, isto é, por acesso remoto. De acordo com
o tipo de acesso ao qual uma parte externa está envolvida, podemos obter a criticidade para
as operações do negócio e criar controles que mitiguem os eventuais riscos levantados.
Normalmente quando lidamos com partes externas, é preciso que a organização defina
procedimentos para concessão de acesso à informação, identificação de quem está
acessando, assim como a frequência da reconfirmação da permissão de acesso.
A norma também nos trás um controle que sugere que o acesso à informação pelas
partes externas não seja fornecido até que os devidos controles tenham sido implementados
e, quando viável, seja assinado um contrato, definindo os termos e as condições para acesso
à informação. Esse ponto é muito importante, pois protege a instituição de atos prejudiciais à
segurança da informação e garante que a parte externa estará consciente de suas obrigações
e aceitando as responsabilidades que estão impostas para o acesso, processamento,
comunicação ou gerenciamento dos recursos de informação da organização, normalmente
explicitados nos contratos ou termos de serviço.
A proteção dos ativos por parte da organização inclui, dentre outras atividades, a
criação de procedimentos para proteger tais ativos, a gestão de vulnerabilidades conhecidas,
procedimentos para determinar se ocorreu algum comprometimento de ativo, procedimentos
para garantia da integridade da informação e política de cópias e divulgação das informações.
Senac São Paulo - Todos os Direitos Reservados 8
Segurança e Auditoria de Sistemas de Informação
Se estamos lidando com partes externas, sejam terceiros, profissionais da limpeza e até
mesmo os clientes, é importante definir uma política de controle de acesso. Essa política
definirá um processo para autorização de acesso e privilégios dos usuários, mantendo, por
exemplo, uma lista de pessoas autorizadas a usar os serviços disponibilidades e quais seus
direitos, privilégios e responsabilidades por tal uso.
Considerações finais
Anteriormente, vimos que um controle é uma forma de gerir o risco, composto por
políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, sejam eles
elementos administrativos, técnicos, de gestão ou legais.
Nesta aula abordamos um conjunto de controles que a norma ISO 27002 nos apresenta
para organização da política de segurança da informação, compreendida pelo estabelecimento
interno da segurança da informação, assim como do relacionamento da segurança com partes
externas, sejam prestadores de serviços, profissionais terceirizados ou até mesmo clientes da
organização.
Ressalto que um dos fatores mais críticos para o sucesso de uma política de segurança
da informação provém do uso de uma abordagem e uma estrutura de implementação,
manutenção, monitoramento e melhoria da segurança da informação que esteja alinhada com
a cultura organizacional. Não é recomendável copiar políticas de segurança da informação
de outras empresas para uso na sua empresa, uma vez que as culturas organizacionais são
diferentes e há uma grande chance dos controles estabelecidos não sejam efetivos, devido à
mudança de cultura e a ruptura com o alinhamento que se faz necessário para a efetividade
da política.
Mais à frente, veremos quais as boas práticas recomendadas para a gestão dos ativos
de informação, assim como trataremos do processo de classificação da informação, de modo
que esta possa receber um nível adequado de proteção.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002. Tecnologia da
informação - código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT,
2007.
SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus,
2003.
Objetivos Específicos
• Identificar os ativos da organização e classificar a informação.
Temas
Introdução
1 Gestão de ativos
2 Classificação da informação
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Nesta aula estudaremos os controles existentes na norma ISO 27002 para a gestão
dos ativos da organização, com objetivo de alcançar e manter a proteção destes em níveis
adequados.
1 Gestão de ativos
É importante que o ativo possua um proprietário, alguém ou organismo responsável pela
manutenção apropriada dos controles atuantes nesse ativo.
De um modo geral, podemos agrupar os ativos de uma empresa nos seguintes conjuntos:
• Tipo do ativo;
• Formato da informação;
• Localização do ativo;
O quadro a seguir ilustra um exemplo de como pode ser essa regra para o ativo internet,
na qual os usuários da organização foram agrupados em 4 grupos, sendo que o ‘X’ representa
um bloqueio à categoria do conteúdo. Note como o grupo IV é mais permissivo, enquanto
que o grupo I tem todas as categorias de conteúdo apresentadas bloqueadas.
Categoria do
Grupo I Grupo II Grupo III Grupo IV
Conteúdo
Áudio/Vídeo X X
Bate-papo X X
Compras X X X
Downloads X X
Esporte X X X
E-mail corporativo
Jornalismo X
Redes Sociais X X X
Entretenimento X
Política X X
Viagem e Turismo X X X
Conteúdo Ilícito X X X X
Drogas X X X X
Hacker/Proxy X X X X
Jogos de Azar X X X X
Material Adulto X X X X
2 Classificação da informação
Classificar a informação é permitir que esta receba um nível adequado de proteção.
Realizando o processo de classificação, podemos indicar a necessidade, as prioridades e o
nível de proteção esperado para o tipo definido em informação, que possui diversos níveis de
sensibilidade e criticidade. De um modo geral, busca-se classificar a informação em termos
de seu valor, de requisitos legais, de sua sensibilidade e de sua criticidade. Além disso, nesse
processo devemos considerar a necessidade de compartilhamento ou restrição informativa,
e os impactos associados a tais necessidades.
- Quaisquer informações do Santander, que não devem ser divulgadas ao meio externo
antes da publicação pelas áreas competentes;
O quadro 2 ilustra um exemplo de como uma política pode determinar regras gerais para
gestão dos ativos, com base na classificação da informação realizada.
2.4.1 Armazenagem
Uma informação classificada como pública, por exemplo, pode ser armazenada nos
próprios computadores dos colaboradores da organização, não sendo necessário o uso de
cuidados extras para garantir a proteção.
Já uma informação sigilosa, por exemplo, deve ser armazenada em um armário ou gaveta
protegidos por chave ou algum mecanismo com senha.
2.4.2 Transmissão
Uma informação classificada como pública, por exemplo, pode ser transmitida livremente
pelos meios de comunicação, enviada por e-mail, publicada em sites etc.
2.4.3 Destruição
Para as informações públicas, o descarte pode ser imediato. Normalmente são arquivos
digitais que basta serem excluídos do computador para que a informação seja descartada.
Por outro lado, com as informações sigilosas, se for um papel, por exemplo, ele pode
ser triturado. Se a informação estiver em formato digital, normalmente as organizações
utilizam softwares específicos para descarte da informação, que garantem a não recuperação
desta. Ressalto que normalmente uma informação confidencial ou secreta tem um prazo de
retenção. Após esse prazo, é comum que sejam descartadas como informações públicas.
2.5 Rotulação
De acordo com a ISO 27001:2006, o processo de gestão de ativos é composto por quatro
etapas fundamentais:
2. ela é classificada,
3. ela é rotulada, e
Das quatro etapas acima, deixei a rotulação por último. Ela consiste no desenvolvimento
de orientações para cada tipo de informação uma extensão do que apresentamos no quadro 2.
Poderíamos, por exemplo, adicionar uma coluna à tabela e definir como será essa rotulagem.
Por exemplo, para informações confidenciais podemos definir que sua transmissão em meio
físico será feita por envelopes lacrados, com uma etiqueta de “confidencial” no canto superior
direito do envelope.
Vamos observar como os assuntos estão interligados nessa área. Mais à frente,
abordaremos um tema denominado Plano de Continuidade do Negócio. Não é de se esperar
que se uma classificação é considerada confidencial ou secreta, devido à sensibilidade que
ela possui para o negócio, que ela seja citada no plano de continuidade do negócio? Se ela
é vital para o negócio, é de se esperar que ela também será, caso algum desastre aconteça.
Reflita como não estamos tratando de assuntos isolados. Tudo está relacionado. Se você
conseguir compreender a dinâmica desses relacionamentos, conseguirá com toda a certeza
desenvolver efetivas políticas de segurança da informação.
Considerações finais
Como vimos, o processo de gestão de ativos e classificação da informação não é um
processo complexo. A norma nos permite grande flexibilidade na realização dessas tarefas,
nos fornecendo boas práticas para que seus objetivos sejam alcançados mais facilmente.
Vimos exemplos de políticas que definem seus critérios de classificação. Foi apresentado
um trecho de uma política de segurança da informação de uma instituição bancária. Note que
não foi preciso entender nada do ramo bancário para compreender quais são os requisitos
esperados pela direção.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2006. Tecnologia
da informação - técnicas de segurança - sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro: ABNT, 2006.
______. ABNT NBR ISO/IEC 27002. Tecnologia da informação - código de prática para a gestão
da segurança da informação. Rio de Janeiro: ABNT, 2007.
Objetivos Específicos
• Demonstrar os controles e testes no ciclo de vida da Gestão de Recursos
Humanos.
Temas
Introdução
1 Gestão de recursos humanos
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Nesta aula avançaremos um pouco mais no estudo da norma ISO 27001:2006, abordando
o tema Gestão de Recursos Humanos (RH). Essa área é considerada por muitos especialistas a
mais efetiva da norma, uma vez que boa parte dos ataques às organizações está relacionada,
de alguma forma, a pessoas ligadas ao alvo.
Estudaremos quais os principais controles que a norma sugere para uma efetiva gestão
de RH, observando exemplos coletados de políticas de segurança da informação de outras
instituições.
Boa aula!!!
Vamos conhecer detalhadamente os controles aplicados a cada fase, com base nas boas
práticas apresentadas na norma ABNT NBR ISO/IEC 27002.
Esses conceitos estão entrelaçados, o que normalmente gera um certo nível de dúvida.
Mas podemos pensar em algo mais simples para defini-los, de modo a tornar mais fácil o
entendimento. Dizemos que o papel é um termo que se refere às atividades inerentes a um
cargo ou posição hierárquica que será ocupada e que devem ser executadas por indivíduos.
Ou seja, são as obrigações de um cargo.
Sobre o que incluir nas descrições das atividades relacionadas a papéis e responsabilidades,
a norma nos fornece algumas dicas. Sugere-se que (ABNT, 2007):
• protejam os ativos sob sua responsabilidade contra acesso não autorizado, divulgação,
modificação, destruição e interferência;
a) Em caso da admissão:
- Entregar um login, senha inicial e perfil e acesso, quando for o caso, a ser fornecido
pela área responsável pela política de segurança para utilização nos sistemas de
telefonia, MySuite e de rede. (PATRUS, 2014).
A norma não explicita quais termos e condições de contratação devem ser utilizados,
mas o mais comum no mercado é Termo de Responsabilidade e Termo de Sigilo, em função
da sensibilidade dos ativos. Mas qual deve ser o conteúdo de tais termos? Temos algumas
boas práticas, a saber:
• Além disso, o termo deve apresentar quais ações serão tomadas em caso de
desrespeito aos requisitos de segurança da informação da organização.
Um dos controles mais conhecidos nesse tópico trata de fornecer um nível adequado
de conscientização, educação e treinamento acerca dos procedimentos de segurança da
informação e no uso dos recursos de processamento da informação de maneira a minimizar
possíveis riscos. (ABNT, 2007).
São exemplos de ativos que necessitam ser devolvidos quando do encerramento das
atividades ou término do contrato:
• Equipamentos;
• Documentos corporativos;
• Softwares;
• Cartões de acesso;
• Manuais;
• Chaves de autenticação;
• Cartões de identificação;
7.3.12.4- Deve ser previsto, no contrato inicial, uma cláusula que determine que
o funcionário, quando desligado, mantenha sigilo sobre todos os ativos de
informações e de processos das entidades. (ICP-BRASIL, 2001, p. 12, grifo do autor).
Observe o que está em destaque no trecho acima. Conforme foi exposto nesta aula, há
na política de segurança da informação um procedimento que trata do encerramento das
atividades, o qual destaca o fato da organização reconhecer os serviços relevantes prestados
e a competência dedicada pelo funcionário, de modo a manter o contato com ele, posterior
à exposição do motivo do desligamento do mesmo.
Encontra-se também na política a informação que deve ser aplicado, antes do efetivo
desligamento, um certificado de “nada consta” das diversas unidades que compõem o ICP-
Brasil. Esse é um procedimento adotado por grandes organizações, de modo a garantir que em
todos os seus componentes não existam pendências em relação ao colaborador, fornecedor
ou terceiro.
Considerações finais
Nesta aula abordamos o tema de gestão de recursos humanos na segurança da
informação.
Vimos que a norma separa esse processo em três etapas: antes da contratação, durante
a contratação e encerramento da contratação. O objetivo primário é reduzir os riscos
inerentes às atividades humanas, seja no erro humano por falta da conscientização dos riscos
existentes (que são minimizados por treinamentos e atualizações regulares), seja por uma
deliberada ação de corromper a segurança da informação do colaborador, fornecedor ou
terceiro, quando do encerramento de suas atividades.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2006. Tecnologia
da informação - técnicas de segurança - sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro: ABNT, 2006.
______. ABNT NBR ISO/IEC 27002. Tecnologia da informação - código de prática para a gestão
da segurança da informação. Rio de Janeiro: ABNT, 2007.
Temas
Introdução
1 Segurança física e do ambiente
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Nesta aula abordaremos o tema Segurança Física e de Ambiente, de acordo com a norma
ABNT NBR ISO/IEC 27002.
Como já abordamos nas aulas anteriores, a proteção deve ser proporcional ao risco.
Vamos conhecer controles voltados à redução do risco de acesso não autorizado à informação,
protegendo-a contra perda ou roubo. De igual maneira, os controles irão nos auxiliar a
proteger a informação contra ameaças provenientes de estruturas físicas, garantindo serviços
locais, tais como eletricidade, infraestrutura de refrigeração etc.
As informações que forem classificadas como críticas ou sensíveis devem ser mantidas
em áreas seguras, protegidas por perímetros de segurança definidos, contendo barreiras de
segurança e os devidos controles de acesso.
• portas externas com proteção contra acesso não autorizado, por exemplo, alarmes e
fechaduras;
As áreas seguras necessitam ser protegidas com controles de entrada, para assegurar
que apenas pessoas autorizadas possam acessá-las. Estes controles precisam armazenar data
e hora de entrada e saída, e todos os visitantes precisam ser supervisionados, exceto quando
seu acesso for previamente autorizado (ISO 27001).
• incêndios;
• terremotos;
• enchentes;
• explosões;
Como prevenir-se contra estas ameaças? Muitas são naturais e imprevisíveis, mas
podemos minimizar os impactos causados pela sua ocorrência. Por exemplo:
1 O Gás FM-200 é uma das soluções mais modernas para combate a incêndio para equipamentos de TI (datacenters). O gás é espalhado pelo
ambiente, não deixando resíduos que danifiquem os equipamentos, sem ser necessária posterior limpeza do ambiente (SILVEIRA, 2006).
Para áreas seguras, que normalmente não estão ocupadas ou não sejam locais
constantes de execução de atividades, sugere-se que estas fiquem permanentemente
trancadas e que sejam vistoriadas frequentemente. Não se pode esquecer uma área segura!
I. furto ou roubo;
II. fumaça,
III. água,
IV. poeira,
V. vibração,
É preciso preocupar-se também com comida, bebida e fumo nas proximidades das
instalações dos equipamentos de processamento da informação. Normalmente o consumo
de tais elementos é proibido nestas áreas.
Para proteção contra raios, é preciso que os edifícios tenham equipamentos de proteção
específicos, e que todas as linhas de entrada de energia e de comunicação tenham filtros
de proteção.
A norma recomenda que tais utilidades sejam inspecionadas com frequência e testadas
de maneira apropriada para assegurar seu correto funcionamento e reduzir riscos de defeitos
ou interrupções do funcionamento.
O que a norma nos fala sobre múltiplas fontes de energia é que se recomenda a utilização
de múltiplas fontes independentes para garantir o fornecimento contínuo de energia.
Infelizmente, muitas áreas no Brasil não possuem duas concessionárias, de modo que o uso
de geradores é o mais adequado nestas situações.
• para evitar erros no manuseio dos cabos, estes precisam ser devidamente
identificados. A Figura 2 apresenta um exemplo de identificação de cabos de rede,
com uma numeração que permite identificar a origem e o destino do cabo.
Considerações finais
Nesta aula abordamos o tema Segurança Física e do Ambiente.
Você verá que, com o andamento da norma, os controles estarão cada vez mais
alinhados a procedimentos. Para a segurança física e de ambiente, temos apenas linhas gerais
que precisam ser melhor delineadas com o estudo de normas e referências específicas.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: 2006. Tecnologia da
informação - técnicas de segurança - sistemas de gestão da segurança da informação - Requisitos.
Rio de Janeiro: ABNT, 2006.
______. NBR ISO/IEC 27002: 2007. Tecnologia da informação - código de prática para a gestão
da segurança da informação. Rio de Janeiro: ABNT, 2007.
SILVEIRA, C. A. F. et al. DataCenters. Universidade Santa Cecília. 2006. Disponível em: <http://
professores.unisanta.br/gprando/docs/pos/Data%20Center.pdf>. Acesso em: 15 jan. 2015.
Temas
Introdução
1 Procedimentos e responsabilidades operacionais
2 Gerenciamento dos serviços terceirizados
3 Planejamento e aceitação de sistemas
4 Proteção contra códigos maliciosos e códigos móveis
5 Cópias de segurança
6 Gerenciamento da segurança em redes
7 Manuseio de mídias
8 Troca de informações
9 Serviços de comércio eletrônico
10 Monitoramento
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Nesta aula abordaremos o tema Gestão de Operações e Comunicação, referente à seção
10 da norma ABNT NBR ISO/IEC 27002. Trata-se da seção com o maior número de controles.
De acordo com o guia SISP (2014), podemos definir que este gerenciamento trata de
atividades, processos, procedimentos e recursos que objetivam disponibilizar e manter
serviços, sistemas e infraestrutura que os suporta, satisfazendo os acordos de nível de serviço.
O que vem a ser um acordo de nível de serviço? Podemos dizer que um acordo de nível
de serviço é um requisito mínimo de qualidade, que reflete a necessidade do negócio. Por
exemplo, se temos um datacenter que recebe uma conexão com a internet via fibra ótica e
queremos que este link esteja disponível o maior tempo possível, podemos definir um acordo
de nível de serviço para que a disponibilidade do link seja de 99,999%. Esta disponibilidade
representa, em um ano, a inoperância do link por menos de seis minutos1!
• Cópias de segurança;
• Manuseio de mídias;
• Troca de informações;
• Monitoramento.
1 Apenas como curiosidade: assumindo que a operação encontra-se no regime 24x7 (24 horas, 7 dias por semana), temos um total
aproximado de 24 x 365 x 60 = 525.600 minutos de operação. Realizando (1 - 0.99999) * 525.600 = 5,26 minutos de indisponibilidade em
um ano de operação!
Quando divulgamos e segregamos funções, visamos garantir que boa parte dos
envolvidos conheçam os procedimentos e suas responsabilidades, assim como pelo fato de
estarem segregadas, contribuímos para a redução dos efeitos e redução dos impactos em
caso de falhas.
Podemos então definir que uma forma de proteger a segurança da informação quanto
aos procedimentos e responsabilidades operacionais consiste em dividir para conquistar
e divulgar.
Ainda com relação aos procedimentos, a norma nos sugere uma padronização nos
procedimentos de operação. Além disso, sabemos que o ambiente organizacional é repleto
de mudanças, mas como reagir a elas? Para isto temos que implantar um processo de gestão
de mudanças.
• Informado (I - Informed) - são os sujeitos que precisam ser informadas sobre alguma
atividade relacionada ao processo.
Gestor de Demais
Sujeitos/Atividades Área de TI Usuários
TI Dirigentes
Receber novo
equipamento de R A C I
firewall
Interromper
operação da rede
R A C I
para testes no
firewall
Comunicar as áreas
do negócio sobre
C A R I
os novos serviços e
restrições
Busca-se, com esta segregação de ambientes, garantir que o que está no ambiente de
produção é o mais estável possível e representa uma versão que atende aos requisitos do
negócio. Uma falha no ambiente de homologação, por exemplo, não corromperá a integridade
da informação do ambiente de produção.
Cabe ressaltar que o acordo de nível de serviço não é, necessariamente, uma via de
mão única. Há acordos em que a organização também se compromete com diversos níveis de
serviço de sua parte.
Tais códigos são mais conhecidos por seus nomes no idioma inglês: worms, trojans,
spywares e vírus. Normalmente estes códigos afetam a integridade do software atacado e
da informação.
Já códigos móveis são scripts servidos pela rede, applets, agentes móveis etc.
Com relação ao código móvel, devemos permitir a sua execução apenas quando
autorizada. É preciso instalar e manter bloqueios de execução destes quando não autorizados.
5 Cópias de segurança
As cópias de segurança são mais conhecidas por seu termo técnico: backup. Dizemos
que tais cópias são elementos primordiais para manter a integridade e disponibilidade da
informação e dos recursos de processamento da informação.
O gerenciamento de redes pode se estender além dos limites da organização, uma vez
que há tráfego de informações institucionais por meio de recursos de fornecedores externos.
7 Manuseio de mídias
As mídias necessitam ser controladas e fisicamente protegidas para que possamos
gerir as operações e comunicações. Devemos estabelecer controles para a prevenção da
divulgação não autorizada, modificação, remoção ou destruição dos ativos e a consequente
interrupção das atividades da organização.
Senac São Paulo - Todos os Direitos Reservados 7
Segurança e Auditoria de Sistemas de Informação
• documentos;
Quando não for mais necessário à organização, o conteúdo de tais mídias deve ser
destruído e mantido o registro desta destruição para fins de auditoria. Mídias contendo
dados sensíveis podem ser destruídas por meio de incineração ou trituração. Uma boa prática
consiste em, ao invés de nos preocuparmos em como vamos destacar mídias com informações
sensíveis, podemos nos preocupar em estabelecer uma política comum de descarte para
todas as mídias e classificação das informações que estas armazenam.
8 Troca de informações
As trocas de informações e softwares entre diversas organizações necessitam ser
reguladas por meio de uma política que atenda os requisitos das partes envolvidas, assim
como a legislação vigente.
10 Monitoramento
Monitorar é essencial para saber com o quem estamos lidando. Se tivermos um
gerenciamento de ativos e controles que visam garantir a continuidade das operações e
comunicações do negócio, alinhados em um contexto de melhoria contínua, o monitoramento
visa, além de aperfeiçoar os controles estabelecidos, detectar atividades não autorizadas de
processamento da informação.
Considerações finais
Nesta aula, estudamos uma visão geral dos controles voltados ao gerenciamento das
operações e comunicações de uma organização, no que concerne à segurança da informação.
Por se tratar da maior seção da norma ISO 27002, assim como as demais normas, recomenda-
se a sua leitura, para maior entendimento e detalhamento dos controles.
A norma aborda de forma sucinta a gestão de redes, porém cabe ao grupo formulador
das políticas e procedimentos alinhar as boas práticas com a real necessidade do negócio,
discernindo sobre técnicas e tecnologias que serão aplicadas para a gestão eficaz e segura
da rede. É de se notar que a norma distribui os controles entre as subseções. Por exemplo, a
autenticação é um dos requisitos primordiais da segurança da informação e da segurança de
redes, mas é na subseção de comércio eletrônico que a norma vai nos evidenciar a importância
da devida autenticação. Logo, temos que ter em mente, mais uma vez, que todos os controles
são interligados e relacionam-se em comum com a manutenção da confidencialidade,
integridade e disponibilidade da informação.
Vimos também que são diversas as ferramentas que podem apoiar na gestão das
operações e comunicações. Por exemplo, a Matriz RACI pode ser usada como elemento
norteador de um processo de gestão de mudanças, indicando o papel e responsabilidade de
cada sujeito envolvido com a mudança.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: 2006. Tecnologia
da informação - técnicas de segurança - sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro: ABNT, 2006.
______. ABNT NBR ISO/IEC 27002: 2007. Tecnologia da informação - código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2007.
Temas
Introdução
1 Política de controle de acesso
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Precisamos controlar o acesso à informação. Mais especificamente, precisamos controlar
o acesso à informação, aos recursos de processamento de informações e aos processos de
negócio com base nos requisitos de negócio e segurança da informação.
Esta seção da norma trata de apresentar controles para o controle de acesso à informação,
levando em consideração as políticas de autorização e disseminação da informação.
Nessa política temos que expressar claramente as regras de controle de acesso e direitos
para cada usuário ou grupos de usuários, considerando os controles de acesso lógico e físico
conjuntamente.
No momento de estabelecer uma política de controle de acesso, podemos ter por base
algumas filosofias. A primeira delas é: “Tudo é proibido, a menos que seja expressamente
permitido.” Ou seja, com essa abordagem, a política nasce com a consciência de que tudo
é proibido, identificando apenas o que está permitido. O que não estiver, entende-se como
proibido (TCU, 2012, p. 29).
A política a ser elaborada deve levar em consideração os seguintes itens (TCU, 2012, p. 29):
Algumas boas práticas podem ser utilizadas para realizar o registro e o cancelamento,
quais sejam (TCU, 2012, p. 30):
• Cada usuário deve possuir um identificador único (ID de usuário) de modo a assegurar
a responsabilidade dos usuários por suas ações;
• Por outro lado, há situações em que podemos fazer uso de grupos de IDs. O ideal é
que seja feito apenas em situações excepcionais e documentado, para aprovação por
quem é responsável;
• Verificar após a concessão dos níveis de acesso se estes são apropriados aos requisitos
de negócio e consistentes com a política de segurança da informação da organização;
• Fornecer a cada usuário uma declaração por escrito de seus direitos de acesso;
• Requerer que os usuários assinem uma declaração indicando sua concordância com
a política de acesso;
• Manter um registro formal de todas as pessoas registradas para uso dos serviços;
• Assegurar que não existam IDs de usuários redundantes ou que sejam de usuários
que estão inativos.
[...]
Uma das políticas mais aplicadas é a “política de mesa limpa”. Essa política consiste em
deixar a mesa constantemente limpa e organizada, de modo a evitar que informações que
possam comprometer o acesso aos recursos e sistemas estejam disponíveis para qualquer
pessoa que chegue próximo à estação de trabalho.
• senhas não baseadas em nada de modo que alguém possa facilmente identificar, tais
como nomes, números de telefone e datas de aniversário;
Normalmente as pessoas têm uma tendência de fazer uso de uma mesma senha, seja
para acesso pessoal ou profissional. Recomenda-se incentivar os usuários para que não façam
uso de uma mesma senha para finalidades diferentes.
Não é incomum esquecermos as senhas. Por isto que por mais difícil que seja a sua senha,
de nada ela vai adiantar se você não conseguir gravá-la em sua mente, sem a necessidade de
anotá-la em um papel, por exemplo. Logo, é comum que as empresas atribuam ao helpdesk
uma função de recuperação das senhas. É preciso criar controles efetivos nessa área, pois ela
é um alvo comum de ataques.
Com relação aos serviços de rede, recomenda-se que os usuários recebam somente
acesso para os serviços que tenham sido especificamente autorizados a utilizar. É preciso
formular uma política de uso da rede e de seus serviços, que contemple (TCU, 2012, p. 30):
É importante também definir como se dará o acesso remoto dos usuários. Normalmente,
todo o acesso remoto deve ser precedido de uma autenticação. Uma das técnicas mais
utilizadas é a solução de Redes Privadas Virtuais (Virtual Private Networks - VPN). Por meio
de uma VPN, um usuário externo torna-se membro da rede da organização, por meio de
conexões seguras, criptografadas, e que permitam uma troca segura de informações.
Adicionalmente com o uso da VPN, uma organização pode definir os requisitos mínimos
de um computador para que ele consiga se conectar via VPN, por exemplo, possuir antivírus
instalado, apresentar um certo patch do sistema instalado, uma determinada versão de
navegador web etc.
Para assegurar, por exemplo, que as portas de acesso lógico para diagnóstico e
configuração2 dos equipamentos sejam acessíveis apenas por quem possui a devida
permissão, é possível fazer uso de uma combinação do acesso requerido entre o gestor dos
serviços do computador e o pessoal de suporte.
2 Normalmente os computadores e dispositivos eletrônicos estão ligados a uma rede de dados. Para que possamos acessar o dispositivo para
realizar diagnósticos sobre o seu estado atual, além de configurá-lo remotamente, podemos criar um conjunto de portas lógicas de acesso, que
permitirão que as pessoas devidamente autorizadas realizem o acesso remoto para diagnóstico e configuração do equipamento.
A segregação das redes pode ser feita por dispositivos, tais como IP Switching. Os
domínios podem ser implementados com controle de fluxo, permissões, listas de controle de
acesso etc.
• Não mostre identificadores de sistema ou de aplicação até que o processo tenha sido
concluído com sucesso;
• Não exiba mensagens de ajuda no processo de log-on, que possam auxiliar o usuário
a descobrir a senha de acesso, por exemplo;
• Limite máximo e mínimo de horários para log-on no sistema. Por exemplo, uma
empresa pode definir que o log-on pode ser realizado apenas em dias úteis, das 07h
até às 23h.
• Cada usuário deve ter uma identificação única, protegida por senha;
• Durante a definição e troca de senha, o sistema deve exigir uma senha forte, definida
com base nos parâmetros de qualidade definidos pela organização;
O acesso à informação por usuários e pessoal de suporte deve ser restrito de acordo
com o que for definido na política de acesso da organização.
O ideal é que para cada aplicação a organização possa ter mecanismos para controlar
quais usuários podem acessá-las, e quando fazendo uso das mesmas, para quais operações
eles possuem permissão de leitura, escrita e deleção das informações.
3 Encriptado: Transformar informações informáticas ou mensagens num código único e especial, com a intenção de fazer com que esses
dados fiquem indecifráveis para quem não conhece o respectivo código (DICIONÁRIO LÉXICO).
para que se levantem todos os riscos e o proprietário da aplicação esteja ciente de sua
execução sob tais condições.
Quando do uso de recursos móveis, precisamos ter cuidado para que pessoas não
autorizadas tenham recursos aos sistemas de informação da empresa. Normalmente, quando
uma empresa fornece uma Wi-Fi pública para convidados, por exemplo, essa rede de acesso
à internet está totalmente isolada da rede interna da empresa, com o objetivo de evitar
acessos não autorizados.
Quando for autorizado o acesso remoto à rede da organização por meio de dispositivos
móveis, tal acesso deve ser concedido apenas após a validação de um grupo mínimo de
requisitos de segurança e de um processo de autenticação.
Considerações finais
Nesta aula tivemos uma visão geral dos mecanismos e regras voltados para o controle
de acesso. O controle de acesso é definido tanto físico quanto logicamente por uma política
de segurança da informação.
Há uma série de recomendações que devem ser seguidas pela organização, com
objetivo de minimizar eventuais acessos não autorizados aos sistemas e à informação.
Uma boa tarefa para assimilação dos controles apresentados nesta seção é listar quais
deles sua organização oferece ou para quais deles você conhece uma solução técnica que
atenda. Isso lhe permitirá observar como o controle de acesso, principalmente o acesso lógico,
pode ser realizado com base nos mais diferentes requisitos de segurança da informação.
Referências
ADVOCACIA-GERAL DA UNIÃO. Política de Segurança da Informação e das Comunicações da
Advocacia Geral da União: Diretrizes e Normas. Disponível em: <http://www.agu.gov.br/page/
download/index/id/13510112>. Acesso em: 27 dez. 2014.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: 2006. Tecnologia
da informação: técnicas de segurança: sistemas de gestão da segurança da informação:
Requisitos. Rio de Janeiro: ABNT, 2006.
______. ABNT NBR ISO/IEC 27002: 2007. Tecnologia da informação: código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2007.
Temas
Introdução
1 Segurança em sistemas de informação
2 Segurança em processos de desenvolvimento de software
3 Gestão de vulnerabilidades técnicas
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Faz parte da segurança da informação a garantia de que a segurança seja parte dos
sistemas de informação de uma organização.
Para uma organização, a norma ISO 27002 define como sistemas de informação o
conjunto formado por sistemas operacionais, infraestrutura, aplicações de negócio, produtos
de prateleira (isto é, são softwares de terceiros que compramos “como são”, sem customização
adicional para nosso ambiente), serviços e aplicações desenvolvidas pelo usuário.
Nesta aula, abordaremos os principais controles apresentados na norma ISO 27002 para
a incorporação da segurança nos processos de aquisição, desenvolvimento e manutenção dos
sistemas de informação de uma organização. As informações a seguir têm base na descrição
apresentada na norma ISO 27002.
Os dados de entrada das aplicações necessitam ser validados para garantir que são
corretos e apropriados, evitando erros de processamento ou erros de execução na aplicação,
corrompendo a informação. Por exemplo, é preciso garantir o formato de entrada nos campos
de dados da aplicação e tabelas de dados auxiliares utilizadas pelo sistema (por exemplo,
uma tabela de impostos, na qual devemos garantir que os impostos estão devidamente
registrados).
• dados incompletos (o usuário informa o endereço de sua residência, mas não informa
o número);
• dados inconsistentes (um sistema que permite cadastro apenas de pessoas maiores
de idade, mas o usuário informa uma data de nascimento que faz com que ele possua
nove anos de idade, gerando uma inconsistência para o negócio).
Após a validação dos dados de entrada, uma etapa a ser controlada é o processamento
interno. Falhas no processamento interno aumentam o risco de comprometimento da
integridade das informações (ISO 27002).
A validação dos dados de saída consiste em assegurar que esses dados dos sistemas
de informação sejam validados e apropriados ao momento em que são gerados. É preciso
garantir que os dados de saída sejam gerados com informação suficiente para que um leitor
Há dois tipos de técnicas criptográficas mais comuns, que fazem uso de chaves de
criptografia para a transmissão de informações: técnicas de chaves secretas e técnicas de
chaves públicas (CARISSIMI, 2009, p. 351).
Nas técnicas de chaves secretas, duas ou mais partes compartilham a mesma chave, a
qual é utilizada para cifrar uma informação que deve ser protegida. Esta chave deve ser mantida
em sigilo, pois com uso dela é possível decifrar a informação e obtê-la no formato original.
As técnicas de chaves públicas são mais conhecidas e utilizadas atualmente, nas quais
cada usuário possui um par de chaves: uma chave privada e outra chave pública. Quando um
usuário quer transmitir uma informação sigilosa, ele cifra a informação fazendo uso de sua
chave privada. O receptor, que possui a chave pública do emissor pode decifrá-la. É preciso,
então, o uso de uma chave privada cifrando a mensagem e a correta chave pública para
decifrá-la.
Além de cifrar textos, o uso de chaves públicas permite assinar digitalmente documentos.
• a atualização do sistema operacional e de seus aplicativos deve ser feita apenas por
administradores do sistema com autorização para tais atividades;
Os dados a serem utilizados para testes devem ser selecionados com cuidado,
protegidos e controlados. É importante evitar obter dados para testes provenientes
de bases de dados que contenham informações de natureza pessoal ou qualquer
informação confidencial.
Recomenda-se que toda vez que a cópia de uma base de dados for feita para fins de
testes, ocorra um processo formal de solicitação de autorização.
O acesso ao código-fonte dos sistemas deve ser restrito, com o objetivo de prevenir
a introdução de funcionalidades não autorizadas e mudanças não intencionais. O ideal é
Senac São Paulo - Todos os Direitos Reservados 6
Segurança e Auditoria de Sistemas de Informação
possuir uma biblioteca central de código-fonte e o que for sensível a negócio que fique por
meio de bibliotecas compiladas, das quais não é possível interpretar o código.
É preciso incluir neste processo uma análise e avaliação dos riscos, dos impactos das
mudanças e a especificação dos controles de segurança necessários.
Para que se consiga fazer o processo descrito acima, é importante que a organização
elabore e mantenha um inventário completo e atualizado dos ativos de informação. Este
inventário deve possuir, no mínimo:
• fornecedor do software;
Porém, o que fazer quando não existe um patch disponível em tempo hábil? A norma
nos fornece algumas dicas, quais sejam:
Considerações finais
Nesta aula estudamos uma visão geral dos processos de aquisição, desenvolvimento
e manutenção de sistemas da informação.
A aquisição de softwares de prateleira, por exemplo, deve ser feita após um processo
de análise dos riscos inerentes à aquisição e compatibilidade. Não podemos esquecer também
da disponibilidade da informação, uma característica-chave da segurança da informação. Logo,
um novo software que gere uma incompatibilidade com demais sistemas pode comprometer
a disponibilidade da informação.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: 2006. Tecnologia
da informação - técnicas de segurança - sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro: ABNT, 2006.
______. ABNT NBR ISO/IEC 27002: 2007. Tecnologia da informação - código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2007.
Temas
Introdução
1 Gestão de incidentes de segurança da informação
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Olá! Nesta aula abordaremos o processo de gestão de incidentes de segurança da
informação, enfocando aspectos sobre como registrar tais incidentes, respondendo-os e
tratando-os de modo a minimizar as consequências de sua ocorrência.
A seguir iremos nos aprofundar na gestão desses incidentes e de que modo uma
organização pode estabelecer diretrizes para tratá-los. Boa aula!
1 Esse ataque tem por objetivo sobrecarregar um servidor Web e fazê-lo indisponível, afetando o acesso à informação.
No ano de 2013, por exemplo, 61,36% dos incidentes reportados tiveram origem no
Brasil, seguidos de 13,54% de incidentes com origem nos Estados Unidos da América e 6,84%
na República Popular da China.
De acordo com Scarfone et al. (2008 apud BRITO, 2010, p. 22) um processo de resposta
a incidentes de segurança da informação é composto por quatro fases, quais sejam:
Na Figura 3 podemos notar que o processo é formado por seis etapas. Inicialmente
existem três blocos que correspondem ao ponto inicial do processo: a suspeita de um incidente
de segurança da informação. Essa suspeita pode ser formalizada por três formas distintas: (a)
por meio da detecção do incidente pela própria equipe de tratamento de incidentes, fazendo
uso de ferramentas com o IDS e análise do fluxo de conexões existentes na rede. Outras
formas (b e c) correspondem a notificações oriundas de usuários locais ou entidades externas
à rede, como o CERT.br.
Na etapa (4) são implementadas medidas com o objetivo de isolar as causas, minimizando
as consequências geradas pelo incidente. O grupo de tratamento, como já exposto, pode
fazer uso de antivírus, firewalls e outras ferramentas de apoio.
Após a mitigação do incidente, objetivo da etapa (4), inicia-se a etapa (5), consistindo
em investigar a causa-raiz do problema, ou seja, o que realmente causou o incidente,
documentando todo o processo na base de conhecimento. A base de conhecimento de
incidentes da informação possui, além de dados sobre o incidente, informações sobre quais
foram os métodos utilizados para investigação, os serviços que foram atacados, a atuação dos
responsáveis do sistema no tratamento do incidente, fomentando inclusive as estatísticas da
própria instituição.
Uma etapa a ser destacada no processo da UFRGS é a etapa (6) - educação. Esta etapa
consiste na propagação de informações aprendidas durante todo o processo de tratamento
do incidente de segurança da informação. É educando os colaboradores que minimizaremos
alguns efeitos de desconhecimento e más práticas que favoreçam a ocorrência de incidentes.
Para que possamos ter uma ideia da dimensão dos números de incidentes de segurança
da informação que exploram vulnerabilidades, o CAIS da RNP divulgou relatório em que uma
vulnerabilidade no protocolo DNS gerou a identificação de 15.000 incidentes de tentativas de
sua exploração. Semelhante a um CSIRT, o CAIS divulga constantemente quais as soluções a
serem adotadas para responder aos incidentes.
Considerações finais
Nesta aula tivemos uma visão geral do processo de tratamento de incidentes de
segurança da informação.
De nada adianta estabelecer uma série de controles que visam minimizar os riscos
à segurança da informação se quando um risco se concretiza a organização se vê incapaz
de resolvê-lo.
A norma estabelece que um grupo deve ser formado para tratamento de incidentes
e podemos encontrar nas literaturas várias formas de como tratar tais incidentes. O apoio
de CSIRTs, principalmente o CERT.br e CAIS-RNP, são de fundamental importância para a
constante atualização da organização e para uma pronta notificação de incidentes nos quais
se encontra envolvida.
Além de notificações por parte de usuários (que precisam ser capacitados e incentivados
a fazê-las) e de órgãos externos (como o CERT.br), a organização deve adotar mecanismos de
detecção automática de incidentes, como um sistema de detecção de intrusão (IDS).
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: 2006. Tecnologia
da informação - técnicas de segurança - sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro: ABNT, 2006.
______. ABNT NBR ISO/IEC 27002: 2007. Tecnologia da informação - código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2007.
SCARFONE, K. et al. Computer Security Incident Handling Guide. NIST Special Publication, v.
800-61, 2008.
Temas
Introdução
1 Gestão da continuidade de negócios
2 Conformidade
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Toda organização está sujeita a interrupções em suas atividades, em maior ou menor
probabilidade, devido a falhas, tais como falhas tecnológicas, interrupções no fornecimento
de facilidades, terrorismo etc.
Boa aula!
De acordo com Continuity Central (2006), para 32% das organizações um período
equivalente a quatro horas de inatividade pode ser considerado fatal para os negócios. As
organizações, portanto, precisam se antecipar na prevenção e contingência dos incidentes,
de modo que seus negócios sejam minimamente afetados e, quando afetados, se
recuperem rapidamente.
• Entendendo a organização;
É nessa etapa que a organização estabelece qual será sua postura em relação à gestão
da continuidade. Há uma participação ativa da alta direção da organização. As atividades
executadas nessa etapa são:
Importante também destacar que é nessa etapa que definimos o tempo máximo
de interrupção de uma atividade que a organização irá tolerar, além dos tempos para sua
recuperação e o tempo para volta à normalidade.
Cabe ressaltar que alguns pontos devem ser considerados na tomada de decisão de
quais estratégias devem ser adotadas. Os pontos mais comuns são: custo, períodos máximos
de indisponibilidade aceitos, consequências da inação (ou seja, quais as consequências para
o negócio se não agir na ocorrência do incidente) e as dificuldades técnicas existentes.
Mas, em quais momentos tais planos devem ser colocados em prática? A Figura 2 nos
fornece uma visão geral do tratamento da continuidade de negócios após a ocorrência de um
incidente, que pode nos auxiliar a obter tais respostas.
Figura 2 – Linha do tempo do incidente em relação à execução dos planos de gerenciamento de incidentes e de
continuidade e recuperação de negócios
Na Figura 2 podemos observar a sequência das ações (execução dos planos) após a
ocorrência do incidente. Dizemos que o incidente ocorre no tempo zero, quando identificamos
sua ocorrência. Após essa identificação, inicia-se o plano de resposta ao incidente. Esse plano
é executado dentro de um período de minutos ou horas após a ocorrência do incidente. Com
a execução do plano de resposta a incidentes, a organização já possui uma visão geral do
incidente, seus dados e efeitos.
Para nos auxiliar com essa questão, o COBIT1 define um modelo de maturidade para a
gestão da continuidade, formado pelos seguintes estágios de maturidade do processo:
1 O Control Objectives for Information and related Technology (COBIT) é um conjunto de boas práticas para a gestão da tecnologia da
informação desenvolvido pela Information System Audit and Control Association (ISACA) e pelo IT Governance Institute (ITGI). Um dos domínios
de organização do COBIT consiste em assegurar a continuidade dos serviços.
2 Conformidade
Estamos agora abordando a última seção da norma ISO 27002, que trata do processo
de conformidade.
O objetivo dessa seção consiste em garantir que a organização não viole quaisquer
obrigações legais, regulamentares ou contratuais no estabelecimento de sua política de
segurança da informação.
Considerações finais
Nesta aula tivemos uma visão geral do processo de continuidade de negócios e de
conformidade, estabelecidos pela norma ABNT NBR ISO/IEC 27002.
O COBIT nos fornece um modelo que pode ser facilmente adaptado à realidade da
segurança da informação para mensurar a maturidade de uma organização com relação à
continuidade de seus serviços.
Sobre a conformidade, a norma vem mais uma vez reforçar o que abordamos durante
o estudo de todas as suas seções. É preciso sempre permanecer alinhado com diretrizes,
regulamentações, legislações e obrigações contratuais pertinentes aos ativos de segurança
da informação.
Bom, aqui termina nossa aula. Espero que você tenha compreendido o processo de
gestão de continuidade de negócios, que adota os elementos que estamos discutindo desde
nossa primeira aula. Lembre-se de que a conformidade com a legislação e com cláusulas
contratuais é muito importante no estabelecimento de uma efetiva política de segurança da
informação.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: 2006. Tecnologia
da informação – técnicas de segurança – sistemas de gestão da segurança da informação –
requisitos. Rio de Janeiro: ABNT, 2006.
______ NBR ISO/IEC 27002: 2007. Tecnologia da informação – código de prática para a gestão
da segurança da informação. Rio de Janeiro: ABNT, 2007.
Temas
Introdução
1 Auditoria de sistemas de informação: principais conceitos
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Ao longo de nossa disciplina, conceituamos que ao conjunto de normas, políticas,
procedimentos, práticas, mecanismos e métricas é dado o nome de controles. É por meio dos
controles que mitigamos os riscos identificados aos nossos ativos de segurança da informação.
Bons estudos!
Normalmente não se realiza uma única auditoria ou uma auditoria de forma isolada, pois
além disso não ser eficiente, não é um processo barato. Em geral, criam-se programas de
auditoria, nos quais vários projetos podem ser auditados. Uma vez estabelecido o programa
de auditoria, cada auditoria pode ter um propósito específico, que vai desde a verificação de
situações suspeitas até a verificação de normalidade e conformidade de um processo.
Onde podemos obter pontos de controle a serem observados? Modelos como o COBIT
(Control Objectives for Information Technology) podem nos auxiliar nesta tarefa, já que
descrevem um conjunto de objetivos de controle e pontos de controles a serem observados
pelas organizações na área de tecnologia da informação.
Para fins de certificação em segurança da informação, a norma ABNT NBR ISO/IEC 27001
nos fornece os controles a serem implementados e subsídios para determinação dos pontos
de controles a serem observados em uma auditoria.
Uma vez que o propósito da auditoria está definido, os objetivos de auditoria e os pontos
de controle também, quais técnicas podem ser utilizadas para obter evidências que sejam
adequadas e suficientes para a conclusão do trabalho de auditoria? São exemplos de técnicas
para obtermos as evidências durante uma auditoria:
• entrevista e questionário;
• análise de documentações;
• conferência de cálculos;
• correlacionamento de informações;
• inspeção física;
• dentre outras.
Este tipo de auditoria tem por objetivo verificar como as atividades de gestão da política
de segurança da informação estão sendo realizadas na organização (RODRIGUES; FERNANDES,
2011, p. 18).
Algumas atividades de apoio, tais como tratamento de incidentes, são verificadas por
esse tipo de auditoria. Quando uma não conformidade é encontrada nesse tipo de auditoria,
deve-se relacionar o que ou quem está fora das diretrizes definidas. O Tribunal de Contas
da União, órgão do Governo Federal responsável por realizar diversas auditorias em órgãos
públicos federais, define que esse tipo de auditoria tem por objetivo analisar (RODRIGUES;
FERNANDES, 2011, p. 23-26):
Essa auditoria necessita de algo além dos pontos de controle que já falamos. Ela necessita
de indicadores de desempenho esperados.
Normalmente, essa auditoria procura analisar controles das seguintes áreas (RODRIGUES;
FERNANDES, 2011, p. 27-31):
• Eficiência da segurança: como citamos acima, este tipo de auditoria possui indicadores
de desempenho. Nesse ponto podem ser verificados diversos indicadores, tais como
Tempo Médio de Reparo (MTTR - Mean Time to Repair), Tempo Médio entre Falhas
(MTBF - Mean Time Between Failures), tempo médio de respostas a incidentes;
percentual de sistemas com requisitos de segurança não atendidos; percentual de
incidentes causados por violação de segurança etc.;
É possível também realizar esse tipo de auditoria para verificar elementos além da
política de segurança da informação, tais como:
Esse documento normalmente passa por um processo de revisão formal pela equipe
responsável pela auditoria, de modo a sanar eventuais inconsistências e revisar as
considerações efetuadas.
Considerações finais
Nesta aula tivemos a oportunidade de abordar o tema de auditoria em Sistemas de
Informação, mais especificamente a auditoria voltada à segurança da informação.
A auditoria não pode ser vista como um processo que irá evidenciar apenas problemas.
Ela busca revisar os controles implantados para verificar se eles estão alinhados aos objetivos
da política de segurança da informação, assim como pode auxiliar a organização a perceber o
nível de desempenho e efetividade de tais controles.
A organização pode lançar mão de auditorias internas antes de passar por um processo
de auditoria externa. Além de amadurecer os processos internos, essa prática pode criar um
ambiente mais agradável para realização de auditorias, uma vez que o processo é mais bem
compreendido pelas partes externas. Dessa maneira, a organização encontra-se ciente de
possíveis objetos de auditoria e pontos de controle.
Para fins de certificação em segurança da informação, a norma ABNT NBR ISO/IEC 27001
é uma referência para conformidade com os requisitos de segurança da informação. Um
auditor nesta área irá fazer uso extensivo da norma para a avaliação da organização.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: 2006. Tecnologia
da informação - técnicas de segurança - sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro: ABNT, 2006.
______. ABNT NBR ISO/IEC 27002: 2007. Tecnologia da informação - código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2007.
Temas
Introdução
1 Principais Técnicas de Auditoria em Sistemas de Informação
Considerações finais
Referências
Professor
André Filipe de Moraes Batista
Segurança e Auditoria de Sistemas de Informação
Introdução
Em nossa última aula, abordamos o tema de auditoria, definindo os principais tipos
que podem ser aplicados à segurança da informação, além de abordar o perfil do auditor e
certificações na área.
Ressaltamos também como cada tipo de auditoria pode verificar itens de segurança da
informação que viemos salientando desde nossa primeira aula.
Nesta aula abordaremos com mais detalhes as técnicas de auditoria que podem ser
utilizadas por uma organização para validar a efetividade dos controles estabelecidos por sua
política de segurança da informação.
Bons estudos!
Esses programas podem analisar tanto arquivos quanto grandes bases de dados. Há
também softwares prontos, disponíveis para tais fins.
Os arquivos analisados, em geral, são derivados de outros sistemas. Para melhor entender
tais arquivos, o auditor pode analisar o fluxo do sistema gerador do arquivo, entrevistar o
analista de sistemas responsável pelo sistema ou o usuário que faz uso deste, para confirmação
dos fluxos das operações, assim como analisar logs de utilização do computador que executa
o sistema, para detectar as operações realizadas neste. Podemos resumir os passos para
construção de um ambiente de testes de auditoria com base em programas de computador
da seguinte forma (ROSSONI, 2015, p. 5):
1.2 Questionários
O uso de questionários é comum em diversas técnicas de investigação. Na auditoria, isso
não é diferente. Essa técnica consiste, portanto, na elaboração de um conjunto de questões
que objetivam a verificar determinado ponto de controle do sistema de informação.
• Dentre outras.
• Execução de operações que lidam com dados nos limites das tabelas de cálculos;
Esse teste de auditoria normalmente segue o seguinte fluxo, não sendo exaustivo aos
passos a seguir (ROSSONI, 2015b, p. 3):
• Rotinas fraudulentas;
• Dentre outras.
1.6 Rastreamento
Esta técnica visa a entender o fluxo de uma transação durante o processamento do
sistema (ROSSONI, 2015c, p. 1).
Esse fluxo pode ser entendido por meio da análise de logs gerados pela aplicação ou
ferramentas que fazem uma análise externa da aplicação (observando o acesso da aplicação
na memória e na utilização de outros recursos computacionais).
1.7 Entrevistas
A técnica de entrevista é costumeiramente empregada com diversas outras técnicas e
para várias áreas de auditoria.
Essa técnica consiste em uma conversa do auditor com uma ou mais pessoas, para
compreensão de pontos de controles auditados no sistema.
Por uma questão de segurança e registro da atividade, recomenda-se elaborar uma ata que
contenha os registros dos pontos discutidos mais relevantes conforme a apresentação das perguntas.
É raro observar que esta técnica é aplicada como única técnica de auditoria.
Normalmente, ela é utilizada em conjunto com outras técnicas, tais como questionários,
rastreamento, simulação de dados etc.
Com essa análise, o auditor pode tecer considerações sobre os seguintes tópicos
(ROSSONI, 2015c, p. 2):
• Dentre outros;
• O fluxo de execução dessa técnica de auditoria pode ser assim descrito (ROSSONI,
2015c, p. 2);
• O auditor relaciona quais usuários serão utilizados para testes no sistema (perfis);
• Para cada perfil, o auditor verifica as telas do sistema, os relatórios exibidos e o fluxo
de processamento pertencente ao ponto de controle sendo auditado;
• Elabora um check list para verificar se o sistema atende aos requisitos para os pontos
de controles auditados;
De uma maneira simples, um log é um arquivo que registra uma série de eventos
relacionados ao sistema. O log pode ser desenvolvido pelo programador do sistema ou gerado
automaticamente pelo sistema operacional.
É por meio do log que realizamos uma tarefa denominada trilhas de auditoria. Uma trilha
de auditoria nos fornece um registro cronológico sobre um determinado evento, de modo
que possamos compreender seu fluxo de execução e a causa das inconsistências detectadas.
Uma resposta a um incidente pode ser parametrizada para ser bloqueada. Por exemplo,
há diversos softwares que configuram servidores de aplicação a bloquearem o acesso a um
IP de origem por X minutos após N tentativas de acesso. O log pode fornecer estatísticas
de quantas tentativas ocorreram na rede, qual a origem delas e validar a efetividade dessa
técnica na prevenção de incidentes.
Uma ferramenta gratuita para análises de logs que vem sendo bastante utilizada pela
comunidade é o Adiscon LogAnalyzer1. Essa ferramenta analisa uma série de arquivos de log
e realiza algumas correlações automáticas.
O auditor necessita garantir que está testando a versão mais atualizada do sistema,
geralmente mantida em um servidor de versionamento de código. Essa técnica, semelhante à
anterior, exige um profundo conhecimento técnico por parte do auditor (ROSSONI, 2015c, p. 5).
Considerações finais
Com esta aula, finalizamos nossa disciplina de Segurança e Auditoria em Sistemas de
Informação. Nesta disciplina abordamos temas essenciais à construção de uma efetiva
política de segurança da informação que visa a garantir as propriedades de confidencialidade,
integridade e disponibilidade da informação e dos demais ativos organizacionais.
Para alcançar nosso objetivo, as aulas foram descrevendo os controles propostos pela
norma, ao mesmo tempo em que analisávamos diversos exemplos de políticas de informações
de algumas empresas e órgãos públicos.
Para validar a efetividade desse controle e se eles estão alinhados à política de segurança da
informação, a organização pode fazer uso da auditoria. Essa auditoria, seja interna ou externa,
ou ainda uma combinação das duas, tem o objetivo de analisar criticamente a implementação
prática dos controles e fomentar o processo de melhoria contínua de nossa política.
A você, deixo um forte abraço, com o desejo de que você possa ter acrescentado algo em
seu conhecimento e experiência ao longo desta disciplina e que o conteúdo e a experiência
que tentei trocar durante as aulas possam lhe servir como subsídio para as decisões e trilhas
de sua jornada profissional.
Um grande abraço!
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: 2006. Tecnologia
da informação - técnicas de segurança - sistemas de gestão da segurança da informação -
Requisitos. Rio de Janeiro: ABNT, 2006.
______. ABNT NBR ISO/IEC 27002: 2007. Tecnologia da informação - código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2007.