7.

COBIT, ITIL, NBR 17799: OS PADRES O uso, pela Organizao, de prticas comprovadas identifica que ela est alinhada com padres internacionais e facilitar qualquer auditoria ou avaliao da organizao no que se refere proteo da informao. O Profissional de Segurana deve desenvolver aes alinhadas com as melhores prticas para a proteo e controle da informao. Como padres de mercado aceitos e seguidos pela grande maioria das organizaes e governos encontram-se o COBIT, ITIL e a Norma NBR ISO/IEC 17799. Essas prticas recomendam a existncia de processo formal de conscientizao em segurana da informao, porm, no orientam como fazer essa conscientizao. Ento, por que devemos considerar essas prticas? Porque, de alguma forma, estaremos seguindo ou respondendo questionamentos que tomam por base essas prticas. Alm disso, todas as melhores prticas enfatizam que o elo mais fraco da segurana exatamente o ser humano. Precisamos estar cientes que cada uma dessas prticas tem abordagem e escopo diferentes. Neste captulo, faremos uma breve descrio de cada um desses 3 padres e sua inter-relao com a SI. COBIT - COMMON OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY O COBIT uma estrutura de relaes e processos para dirigir e controlar o ambiente de TI, orientando-a s metas da Organizao e oferecendo mtricas estruturadas com base no BSC em suas 4 perspectivas: Financeira, Clientes, Processos e Inovao/Aprendizado. Alm da Auditoria de Sistemas, o COBIT muito utilizado para a Governana de TI, seguindo padres para um ambiente globalizado. Cronologia de evoluo do COBIT: 1996: 1 verso elaborada pela ISACF - Information Systems Audit and Control Foundation; 1998: 2 verso, incluindo documentao de alto nvel, controles, objetivos detalhados e criao do Implementation Tool Set;
INFOSEC COUNCIL 22

2000: 3 verso, com o foco em Governana de TI; 2005: verso 4, com adequaes para melhor integrao com regulamentaes e compliance (Basilia e Sarbanes-Oxley). O COBIT no exclui qualquer padro aceito para controles de Segurana da Informao e Auditoria; ele os agrega s suas recomendaes! Por exemplo: Padres tcnicos: ISO, EDIFACT etc.; Cdigos de conduta: OECD, ISACA, Conselho Europeu etc.; Critrios de Qualificao para Sistemas e Processos de TI: ITSEC, TCSEC, ISO9000, SPICE, TickIT, Common Criteria etc.; Padres profissionais para Auditoria: COSO, IFAC, AICIPA, CICA, ISACA, IIA, PCIE, GAO. O COBIT 4.0 trata TI em 4 dimenses, denominados Domnios: Planejar e Organizar: Implica uma viso estratgica para a Governana de TI, que busca a melhor realizao dos objetivos organizacionais na rea tecnolgica; Adquirir e Implementar: Qualifica tanto a Identificao de solues a serem desenvolvidas e/ou adquiridas como a implementao e integrao ao ambiente, assegurando que o ciclo de vida destas solues adequado ao ambiente organizacional; Entregar e Suportar: Domnio responsvel em verificar o tratamento de servios demandados pelos processos de Negcios, recursos para a continuidade operacional, o treinamento e a segurana das operaes. neste domnio que se assegura a entrega de informaes atravs do processamento de dados dos sistemas aplicativos, bem como todo o suporte necessrio para sua operao no mal ou em situaes anmalas; Monitorar: Administra o processo de controles da organizao de TI e a garantia de independncia nas Auditorias existentes. fundamental para avaliar contnua e regularmente a qualidade e a conformidade dos controles implantados. Nesses 4 domnios existem, de forma detalhada, 34 processos de controles de alto nvel e para estes processos foram criados 318 objetivos de controles necessrios para analisar e atender aos requisitos de TI e, conseqentemente, aos objetivos do Negcio. Como resultado de avaliao desses objetivos, criam-se as estratgias para mitigao de riscos existentes, baseados nos resultados obtidos. Para cada um dos 34 processos, o COBIT contempla os Fatores Crticos de Sucesso e determina os Indicadores de Resultados (KGI) e Indicadores de Performance (KPI), que geram as mtricas para a avaliINFOSEC COUNCIL 23

ao da Governana de TI, para Diretrizes de Auditoria e para a Segurana da Informao. O COBIT apresenta um modelo para atestar a maturidade de cada processo em uma escala de 5 estgios possveis, sendo eles: 0 No existe; 1 Inicial; 2 Repetvel e intuitivo; 3 Processos definidos; 4 Gerenciados; 5 Processos otimizados. Para o Security Officer, o COBIT utilizado como um modelo para um Programa de Segurana da Informao, INTEGRANDO segurana com os objetivos de TI relacionados aos negcios e tambm estruturando Polticas, Normas e Procedimentos de Segurana da Informao. Nos Processos, existem objetivos focados para SI, tais como: DS5: Garantir a Segurana dos Sistemas; PO9: Avaliar e Gerenciar Riscos de TI; DS3: Gerncia de Performance e Capacidade; DS7:Treinamentos a Usurios; DS10: Gerncia de Problemas e Incidentes; DS12: Gerncia de Ambientes (Segurana Fsica). A estratgia do COBIT 4.0 faz com que ele assuma diversas funes dentro da Organizao: Uma Ferramenta: para a Governana de TI; Aderncia da TI ao Negcio: Requisies orientadas e fundamentadas das reas-fim da Organizao, atendendo aos objetivos estratgicos; Garantia de Qualidade: Harmonia e detalhamento para atender aos padres e prticas de mercado, tais como: ITIL, ISO 17799, PMBOK e PRINCE2; Gesto de Risco: Controles objetivos e detalhados; Governana Corporativa: habilita e facilita a Arquitetura empresarial (RACIResponsible, Accountable, Consulted and Informed); Procedural: Definio de fluxos e processos de TI; Comunicao: Unifica a linguagem e divulga os processos de TI, em todos os nveis da Organizao; Feedback: estimula os comentrios, sugestes e recomendaes de evoluo.

Referncias: IT Governance Institute COBIT 3.0 e 4.0 www.itgovernance.org e www.isaca.org Information System Control Journal volume 6 2005 VALMIR SCHREIBER, CISA presidente da ISACA-SP

ITIL IT INFASTRUCTURE LIBRARY O ITIL um conjunto de padres que prov os fundamentos para o processo de gerenciamento dos recursos tecnolgicos da TI. Apresenta uma abordagem prtica dos processos de produo e entrega dos servios, baseada em experincia. Seu foco, portanto, no servio prestado pela TI das Organizaes, visando aumentar a qualidade desses servios. Na Gesto de Segurana, o ITIL possui um processo especfico para a Segurana da Informao, enfatizando a importncia do adequado gerenciamento da SI e considerando os SLAs entre os processos do Negcio e os da TI. Alm disso, recomenda que o gerenciamento de Segurana parte integrante do trabalho de cada Gerente, em todos os nveis. FUNDAMENTOS - Valor da Informao: Confidencialidade; Integridade; Disponibilidade; Privacidade; Anonimato; Autenticidade; No Repdio.
NEGCIO

SLA
TECNOLOGIA
PLANEJAMENTO DA SEGURANCA
INFOSEC COUNCIL 25

INFOSEC COUNCIL 24

ATUAO RECOMENDADA:

Preveno/ Reduo Deteco Represso

Ameaa

Os Processos de Apoio so: SLA; Segurana; Informao; Rede e Operaes. Como itens fundamentais para a Segurana, o ITIL recomenda fortemente alguns procedimentos que possibilitam essa evoluo: Catlogo de Servios: a TI deve publicar na Organizao um descritivo de seus servios, com as respectivas condies, que atendem a cada requisito do Negcio; OLAs (Operational Level Agreement): deve ser estabelecido com cada tomador INTERNO de servio; um SLA mais enxuto, mas prevendo integralmente os servios e suas condies, inclusive custos internos; UCs Underpinning Contracts: so aqueles estabelecidos com provedores externos, nos quais devem ser previstas todas as condies, incluindo bnus, penalidades, condies de sada, etc;

Incidente

Danos

Correo Avaliao
Recuperao

O ITIL dividido em 10 Processos Principais e 4 Processos de Apoio (satlites). Os Processos Principais so agrupados em dois Grupos: Grupo de Suporte aos Servios (Service Support Set): Gesto de Configurao e de Ativos; Controle de Incidentes / Help Desk; Gesto de Problemas; Gesto de Mudanas; Gesto de Liberao. Grupo de Servios Prestados (Service Delivery set): Gesto de Nveis de Servio (SLA); Gesto de Disponibilidade; Gesto de Desempenho e Capacidade; Plano de Continuidade de Negcios; Custeio e Gesto Financeira.

BD dos ativos existentes e suas configuraes atualizadas, incluindo SW, HW, documentao atualizada, Procedimentos e classificao quanto Segurana (ver quadro Valor da Informao, acima); Criao de um Service Desk como ponto focal de contato para todos os Usurios de TI; a rea dona de todos os incidentes e seu foco a continuidade de servio e manuteno do SLA; incluem-se a os incidentes de Segurana; Gesto de Problemas: nessa rea so estudados os incidentes, determinando sua relao, causas e medidas para evit-los; essa abordagem permite detectar brechas de Segurana e deve prever forte documentao dos incidentes e solues; Gesto de Mudanas: coordena TODAS as mudanas em infra-estrutura de TI, apia-se na documentao dos incidentes e responsvel end-to-end da mudana; OBS: Falhas na Gesto de Mudanas so, historicamente, as causas mais freqentes de incidentes de Segurana.

INFOSEC COUNCIL 26

INFOSEC COUNCIL 27

 Comit de Mudanas: autoriza, avalia e aceita as mudanas necessrias; deve ter representantes de todas as reas (TI, Segurana e Negcio); facilita a introduo das medidas de Segurana e sua evoluo; detecta novas vulnerabilidades; Gesto de Liberao: seu objetivo controlar a implantao e a distribuio de novas verses de SW; sua ao disparada pelo Comit de Mudanas e controla todos os SW corretos, reconhecidos, registrados, legais e autorizados; deve prever sempre uma situao de rollback em caso de problemas. Referncias: www.itsmf.com www.itsmf.com.br www.itil.com.uk www.cert.br www.itil.org.uk Valmir Schreiber presidente da ISACA-SP Astor Calasso diretor da ISACA-SP

2) Foi criada uma seo especfica sobre Anlise/Avaliao e tratamento de riscos. Essa seo recomenda que: a. A anlise/avaliao de riscos de SI inclua um enfoque para estimar a magnitude do risco e a comparao contra critrios definidos; b. As anlises/avaliaes de riscos de SI peridicas, contemplando as mudanas nos requisitos de SI e na situao de risco; c. A anlise/avaliao de riscos de SI tenha um escopo claramente definido, que pode ser em toda a Organizao ou em parte dela. A anlise/avaliao de riscos uma das trs fontes principais para que uma Organizao identifique os seus requisitos de SI, alm de legislaes vigentes, estatutos, regulamentaes e clusulas contratuais que a Organizao deva atender; e os princpios, objetivos e requisitos do negcio que venha apoiar as operaes da Organizao. 3) Existe uma nova definio de SI, agora contemplando outras propriedades: autenticidade, no repdio e confiabilidade. Os componentes principais para a preservao e proteo da informao, como a confidencialidade, a integridade e a disponibilidade, foram mantidos na nova definio.

A NORMA NBR ISO IEC 17799:2005 A NBR ISO IEC 17799 um cdigo de boas prticas para a gesto da Segurana da Informao, atualizado pelo Comit Internacional da ISO IEC. Aprovada pela ISO (em Genebra - 15/06/2005), o resultado de um trabalho de cinco anos, que envolve aproximadamente 100 especialistas em SI de 35 Pases. Mais de 4500 comentrios foram analisados e discutidos nas vrias reunies realizadas em Seoul, Berlin, Varsvia, Qubec, Paris, Cingapura, Fortaleza e Viena, entre 2001 e 2005. A nova verso apresenta os mais modernos conceitos sobre Gesto da Segurana da Informao existentes no mercado. As principais mudanas foram: 1) Tornou a norma user friendly, ou seja, de fcil leitura e entendimento. Apresenta o OBJETIVO DO CONTROLE, define qual o CONTROLE a ser implementado e apresenta DIRETRIZES para a sua implementao. Alm disso, ainda apresenta INFORMAES ADICIONAIS, como, por exemplo, aspectos legais e referncias a outras normas. 4) O conceito de ativos foi ampliado para incluir pessoas e imagem/reputao da Organizao, alm dos ativos de informao, ativos de software, ativos fsicos e servios j existentes na verso 2000. 5) Uma nova seo sobre Gesto de Incidentes de SI. 6) Os controles existentes foram atualizados, melhorados e incorporados com outros controles. 7) 17 novos controles foram incorporados na verso 2005. No Brasil, a ABNT (Associao Brasileira de Normas Tcnicas) lanou no dia 24/08/2005 a verso NBR ISO IEC 17799:2005; a partir de 2007 ser numerada como NBR ISO IEC 27002.

INFOSEC COUNCIL 28

INFOSEC COUNCIL 29

PORQUE ADOTAR A NBR ISO IEC 17799:2005 As normas publicadas pela Organizao Internacional de Normalizao, a ISO, tm uma grande aceitao no mercado. Um exemplo disso a norma ISO 9001:2000, que trata da Gesto da Qualidade, considerada como a mais difundida norma da ISO que existe no mundo. No caso da NBR ISO IEC 17799, que um Cdigo de Boas Prticas para a Segurana da Informao, a sua aplicao um pouco mais restrita que a ISO 9001:2000, pois ela no uma norma voltada para fins certificao. Entretanto, a NBR ISO IEC 17799 pode ser usada pela maioria dos setores da economia, pois todas as Organizaes, independentemente do seu porte ou do ramo de atuao, do setor pblico ou privado, precisam proteger as suas informaes sensveis e crticas. As principais recomendaes da NBR ISO IEC 17799 esto detalhadas nas 11 sees abaixo, totalizando 39 categorias principais de SI: Poltica de Segurana da Informao; Organizando a Segurana da Informao; Gesto de Ativos; Segurana em Recursos Humanos; Segurana Fsica e do Ambiente; Gerenciamento das Operaes e Comunicaes; Controle de Acesso; Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao; Gesto de Incidentes de Segurana da Informao; Gesto da Contunuidade de Negcios; Conformidade.

Esta nova famlia estar relacionada com os requisitos mandatrios da ISO IEC 27001:2005, como, por exemplo, a definio do escopo do Sistema de Gesto da Segurana da Informao, a avaliao de riscos, a identificao de ativos e a eficcia dos controles implementados. Na reunio do Comit ISO IEC, em Nov/2005 (Kuala Lumpur-Malsia), foram aprovadas as seguintes normas e projetos de norma desta nova famlia: Nmero: ISO IEC NWIP 27000 (NWIP= New Work Item Proposal) Ttulo: Information Security Management Systems Fundamentals and Vocabulary Situao: Ainda nos primeiros estgios de desenvolvimento. Previso de publicao como norma internacional: 2008/2009. Aplicao: Apresentar os principais conceitos e modelos de SI. Nmero: ISO IEC 27001:2005 Ttulo: Information Security Management Systems - Requirements Situao: Norma aprovada e publicada pela ISO em 15/10/2005. A ABNT publicar como Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006. Aplicao: Todas as Organizaes; define requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI. a norma usada para fins de certificao e substitui a norma Britnica BS 7799-2:2002. Ser a base para as Organizaes que desejem implantar um SGSI. Nmero: ISO IEC 27002:2005 (Atual ISO IEC 17799) Ttulo: Information Technology Code of Practice for IS Management Situao: Norma aprovada e publicada pela ISO em 15/06/2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 17799 no dia 24/08/2005. A partir de 2007, ser numerada como NBR ISO IEC 27002. Aplicao: Guia prtico de diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de SI em uma Organizao. Os objetivos de controle e os controles atendem aos requisitos identificados na anlise/avaliao de riscos. Nmero: ISO IEC 1 st WD 27003 Ttulo: Information Security Management Systems - Implementation Guidance Situao: Em desenvolvimento, denominado de WD - Working Draft. Previso de publicao como norma internacional: 2008-2009. Aplicao: Fornecer um guia prtico para implementao de um SGSI, baseado na ISO IEC 27001.

A NOVA FAMLIA DA NORMAS ISO IEC 27000 Como forma de dar suporte implantao da ISO IEC 27001:2005, o Comit da ISO IEC que trata da segurana da informao decidiu pela criao de uma famlia de normas sobre Gesto da Segurana da Informao. Esta famlia foi batizada pela srie ISO IEC 27000, a exemplo da srie ISO 9000 das normas de qualidade e da srie ISO 14000 das normas sobre meio ambiente.
INFOSEC COUNCIL 30

INFOSEC COUNCIL 31

Nmero: ISO IEC 2nd WD 27004 Ttulo: Information Security Management - Measurements Situao: Vrios comentrios j foram discutidos e incorporados ao projeto. Previso de publicao como norma internacional: 2008-2009. Aplicao: Fornece diretrizes com relao a tcnicas e procedimentos de medio para avaliar a eficcia dos controles de SI implementados, dos processos de SI e do SGSI. Nmero: ISO IEC 2 nd CD 27005 Ttulo: Information Security Management Systems - Information Security Risk Management Situao: Em estgio avanado, vem sendo discutido h mais de 2 anos. Previso de publicao como norma internacional: 2007. Aplicao: Fornece diretrizes para o gerenciamento de riscos de SI.

8. PROGRAMAS DE CONSCIENTIZAO EM SI Qual o valor informao que voc possui? A pergunta acima fundamental para iniciar a maioria das campanhas sobre segurana da informao em empresas ou instituies. Na verdade, quando falamos em segurana da informao no nos referimos apenas a algo que pertence somente instituio na qual realizamos o nosso trabalho.A segurana da informao traz consigo um pouco de cada um de ns porque somos ns quem produzimos a informao. Portanto, alterar as informaes institucionais o mesmo que alterar informaes pessoais, e ningum deseja ter sua privacidade invadida ou seus segredos ntimos revelados. A preservao da intimidade algo natural s pessoas e s sociedades humanas. por esse motivo que o responsvel pela conscientizao em relao segurana da informao deve iniciar seu trabalho pelas pessoas que trabalham na instituio e expandir gradativamente sua conscientizao para a sociedade. Somente assim poder atingir coraes e mentes, sensibilizando-os para um tema to delicado e com presena to constante na sociedade contempornea. Vejamos um pequeno exemplo de como fazer um trabalho de conscientizao.Tomaremos como exemplo o relato de uma experincia sobre a utilizao do e-mail coorporativo. Certa vez, trabalhando em uma Organizao pblica eu precisava alertar as pessoas das vulnerabilidades a que elas estavam expostas ou que expunham suas instituies com o simples uso do e-mail via Internet. Ento enviei, durante uma campanha de conscientizao, um e-mail com o seguinte texto, que expressa a mais pura verdade tcnica: Voc sabia que os administradores dos servidores de rede, em especial os dos servidores de e-mail, podem ler seus e-mails com grande facilidade? Como podemos constatar, o e-mail acima teve por objetivo despertar no Usurio um sentimento de invaso de privacidade, j que o fato nele relatado no de conhecimento da maioria das pessoas que utilizam os sistemas de correio eletrnico. As reaes ao e-mail foram diversas. A primeira veio da rea de Tecnologia da Informao, que nos acusou

Ariosto Farias Jr. Delegado do Brasil do Comit ISO IEC JTC1/SC27, Coordenador do ABNT/CB21/SC02 e Chairman do THE BRAZILIAN 7799 USER GROUP

INFOSEC COUNCIL 32

INFOSEC COUNCIL 33

de quebrar a confiana do Usurio na sua rea e aproveitaram a oportunidade para informar que jamais os administradores da instituio fizeram qualquer tipo de acesso a contas particulares dos servidores. A segunda reao veio dos Usurios, que queriam saber se realmente essa prtica existia na instituio. Para acalmar os nimos, comunicamos que o e-mail apenas informava que era fcil aos administradores de rede terem acesso a tudo que trafega pela sua rede de computadores, e que o alerta contido no e-mail no significava que os mesmos estivessem fazendo isso. Polmica parte, a maioria dos nossos Usurios, a partir de uma simples mensagem de e-mail, ficou bastante conscientizada da necessidade de cuidar do que escrevem em suas mensagens eletrnicas, e aprenderam que a nica mensagem segura para se postar em um e-mail aquela que em nenhuma hiptese as comprometeriam - a qual poderia ser lida por qualquer um durante o percurso entre o emissor e o destinatrio. Outro ponto interessante que pode ser tratado com facilidade diz respeito classificao das informaes. Toda informao, seja ela da instituio ou pessoal, tem um valor intrnseco, mas somente algumas delas possuem potencial para causar prejuzo se forem disponibilizadas de maneira inadequada. Alguns autores dizem que a diferena de uma pessoa bem sucedida e uma pessoa comum a sua capacidade de decidir e separar adequadamente o que urgente e o que importante. Com as informaes acontece algo bastante semelhante. O segredo do sucesso est em proteger aquelas mais importantes. Quando falamos sobre o assunto nas instituies, a maioria das pessoas pensa assim: De novo aqueles paranicos da segurana querendo colocar o carimbo de secreto em todos os documentos e mandando aquela cartinha dizendo que quem revelar os segredos vai para rua. justamente esse comportamento negativo em relao a segurana que precisa ser revertido. O assunto, como disse, de difcil abordagem e no vale a pena para quem precisa chegar num auditrio falando sobre a importncia da informao e sobre os graus de sigilo adotados pela sua instituio. Ao invs disso, faa o seguinte: implemente um plano de visitas aos locais de trabalho de cada pessoa, do diretor ao mais humilde funcionrio, rena um grupo de no mximo dez pessoas e chegue no horrio em que todos estejam envolvidos em suas atividades de rotina. Eu descobri nas minhas visitas que o nico papel que as pessoas conseguem atribuir de maneira palpvel noo de valor ao papel moeda. Isso mesmo, ao dinheiro. Ele um excelente assistente para o seu trabalho de informar ao Usurio da importncia de atribuir segurana e proteo s informaes. Na maioria das vezes voc vai encontrar sobre as mesas um nmero considervel de documentos sem o menor tratamento de segurana, quer seja em meio fsico ou digital. Sugira que cada colaborador anexe
INFOSEC COUNCIL 34

a cada informao produzida uma nota que expresse o seu valor. Feito isso, verifique se algum documento importante ser deixado sobre a mesa aps o fim da rotina diria ou mesmo numa simples sada para o almoo. Como poderemos verificar, muito fcil fazer uma campanha de segurana quando buscamos envolver nossos colaboradores e executivos de forma pessoal. Outro fator muito importante solicitar a colaborao de todos os setores da empresa. Faa uma pequena reunio com todos: jurdico, recursos humanos e capacitao. Conscientize todos sobre a importncia de sua participao para o sucesso da ao. Voc tem em mos um assunto que est na moda. Todos ns estamos permanentemente expostos aos riscos na sociedade moderna. Ajudar as pessoas com a sua proteo pessoal a melhor maneira de se criar um ambiente positivo em relao segurana da informao no mundo corporativo. Ao compreendermos o valor das informaes que esto em nossas mos poderemos aumentar o nvel de segurana na sociedade, e isso s possvel pela conscientizao. Lembre-se de Joo Batista, aquele personagem bblico que falava que era a voz que clamava no deserto. O responsvel pela segurana da informao o Joo Batista da instituio.

TC Joo Rufino de Sales Reviso Marcelo Felipe Moreira Persegona M.S.C.

INFOSEC COUNCIL 35

9. AMBIENTE FSICO E AMBIENTE VIRTUAL: TRATAMENTOS ISOLADOS? Transmitimos e queremos proteger a informao independente de onde ela esteja: ambiente fsico, ambiente virtual ou na mente das pessoas. O ambiente fsico deve ser contemplado no processo de conscientizao da informao do Usurio, o que mais fcil nas empresas onde j existe um bom tratamento das questes de segurana patrimonial. Em geral, nessas empresas tambm j existe uma percepo clara da importncia das normas e de seu cumprimento, o que faz com que a migrao dessa percepo para o ambiente virtual se d de forma natural, desde que estimulada. Importante dar ao Usurio uma viso clara de que as informaes a proteger esto por toda parte, de modo que os ambientes fsico e virtual no podem ser tratados de maneira excludente ou isolada. Com efeito, a livre circulao de informaes condio de vida e de trabalho, de acesso a tecnologias e a mtodos de produo, o que faz com que ela esteja em toda parte, por necessidade de negcios e de organizao social. Mas a informao tambm vital para a atividade criminosa contra as empresas, o que por si justifica a conscientizao do Usurio para a importncia da proteo das informaes nos diversos ambientes em que ela circula. Um programa de proteo e conscientizao pode ser amparado pelo conhecimento de alguns caminhos possveis para a realizao dessa proteo e pela integrao dos Usurios nas medidas de proteo. Essa proteo pode comear por um inventrio das informaes empresariais a serem protegidas, e a se incluem todas aquelas que podero ser utilizadas em prejuzo da empresa se forem do conhecimento de outras pessoas alm das que delas necessitam para realizar seu trabalho. Outra providncia a classificao das informaes para efeito de uniformizao da linguagem dentro da empresa, alm dos critrios de classificao para evitar a incluso de informaes sem maior importncia, para que no se deixe de incluir dados que, depois, se percebe que eram vitais.

A lista, que nunca se esgota, inclui planos estratgicos, tecnologia, listas de clientes, dados de funcionrios, oramentos, dados contbeis e financeiros, idias, projetos de marketing, planos de fuses e/ou incorporaes, estratgias de relaes trabalhistas, chegando at a reveses momentneos e superveis, mas de impacto negativo sobre a imagem da empresa. A proteo dessas informaes, que esto entre os bens da empresa e integram seus ativos, parte das atividades dirias da organizao como um todo. No pode ser vista como responsabilidade de uma rea isolada, porque as informaes esto no meio que as contm (papis, disquetes, computadores etc.) e, principalmente, na cabea de qualquer um que delas tenha conhecimento. Qualquer programa de proteo de informaes deve, portanto, prever aes de proteo de meios e ambientes, alm de ser amparado por procedimentos e atitudes dos funcionrios, sem o qual no atingir seus objetivos. Algumas noes podem orientar programas de divulgao, como, por exemplo, a informao, que de propriedade da empresa e no do funcionrio; a discrio, que deve orientar as atitudes de proteo; os procedimentos, que devem estar estabelecidos formalmente etc. No ambiente fsico, podem ser desenvolvidas aes de proteo sobre documentos em geral, originados da empresa ou a ela destinados. Como regra geral, todos os documentos so importantes e so de propriedade da empresa, cabendo dispensar-lhe o devido cuidado no recebimento, transporte, manuseio e guarda, para que possam produzir o efeito desejado. Essa proteo deve alcanar materiais como impressos, anotaes, cpias, carbonos, planos, diagramas, croquis, mapas e outros, bem como partes, rascunhos ou fragmentos, alm de fotos, negativos, slides, fitas de vdeo e outros suportes de imagens, materiais grficos das diversas fases de produo de documento classificado, materiais de informtica de maneira geral, inclusive listagens. A proteo desses documentos e materiais somente ser efetiva se acompanhada da proteo dos ambientes fsicos em que se encontram e aqueles onde so produzidas ou discutidas as informaes sensveis, assim como os sistemas pelos quais essas informaes circulam. Esses tpicos so complexos por tratarem da proteo contra monitoramento, transmisso ou interceptao de comunicaes, quer verbal, quer por telefone, fax, microondas, rdio, Internet ou o que seja, o que exige controle sobre reas, conhecimento tcnico e equipamentos que permitam deteco de dispositivos, verificao constante de linhas, acompanhamento de manutenes, limpezas, entregas, retiradas de mveis etc.
INFOSEC COUNCIL 37

INFOSEC COUNCIL 36

A invaso de sistemas, por seu turno, pode ocorrer por conta da habilidade do invasor, mas pode ocorrer tambm por conta de informaes obtidas na prpria empresa, sem maiores dificuldades, a no ser que os Usurios internos estejam bem informados e comprometidos com a proteo. Um Usurio no informado e no comprometido com a empresa pode fornecer informaes sensveis a terceiros nas mais diversas situaes, tais como: Para demonstrar que bem informado(a); Compulsivamente, sob o efeito de lcool ou outras drogas; Em restaurantes e encontros sociais, perto de pessoas que no conhece e que podem estar ali somente porque ele(a) est e porque sabem que costuma falar demais fora da empresa; Para agradar pessoas a quem deve favores ou de quem quer favores; Por dinheiro ou para obter vantagens; Por estar apaixonado(a) por pessoa cujo objetivo a informao e que no hesita em jogar com emoes para conseguir seu intento, para uso prprio ou a servio de outros; Por estar sendo chantageado(a) etc. A espionagem industrial desenvolvida para obter segredos empresariais, geralmente associados ao diferencial competitivo da empresa visada. Traz imensos problemas para governos, empresas, universidades, institutos de pesquisa e outros. Vemos, ento, que um engano a empresa no dispensar ao assunto a ateno devida; pode ser vtima de espionagem e perder mercado, funcionrios, produtos, oportunidades e imagem, sem entender o porqu. A proteo adequada assenta-se sobre a proteo do ambiente fsico, do ambiente virtual e deve contar com a participao consciente dos Usurios nas medidas e programas de proteo, sem a qual as diversas barreiras, fsicas ou virtuais, podero ser vencidas de alguma forma. Dioniso Campos Gerente de Seg. Corporativa / Nextel e VP / ASIS e Ricardo Franco Coelho Coordenador Segurana-SP,VP da ASIS e ABSEG

10. SI EXTRAPOLANDO A ORGANIZAO Quanto mais o Usurio praticar a segurana, mais protegida a Organizao estar. Segurana da Informao pode ser entendida como o processo de proteger informaes garantindo sua integridade, disponibilidade e confidencialidade. A adoo de um modelo corporativo de gesto de segurana da informao permite organizao equacionar os desafios de proteo da informao levando em conta elementos essenciais para a segurana: ambientes fsico e lgico, pessoas e processos. E por que no extrapolar esse modelo para fora da organizao e incorporar as melhores prticas de segurana em nossas vidas? A conscientizao de nossas famlias no ambiente domstico to importante quanto no ambiente corporativo. No ambiente fsico, podemos considerar o cuidado com as mdias de computador (CDs, disquetes, DVDs etc.) onde so armazenados os backups dos computadores domsticos. O cuidado com o manuseio dos prprios computadores seguindo padres para instalao eltrica e cabeamento de dados, proteo contra danos ambientais (calor, umidade, chuva etc.) e a restrio de alimentos, bebidas e fumo prximos aos equipamentos. O ambiente lgico traz diferentes ameaas pelo crescente aumento do uso da Internet. O indiscriminado acesso a diferentes websites abre a possibilidade de infeco dos computadores por softwares maliciosos como: vrus, bombas lgicas (cdigos que permanecem inativos por um determinado perodo de tempo), cavalos de tria (cdigos maliciosos disfarados de programas inofensivos) e worms (programas que rodam de forma independente). Outro ponto de ateno o acesso feito a partir de computadores domsticos a websites bancrios. Nesse caso, as boas prticas de segurana so to importantes na empresa como em casa, pois as mais avanadas barreiras eletrnicas de proteo conseguem bloquear a ao dos fraudadores eletrnicos. Sem orientao adequada, o Internauta domstico se expe aos mais variados truques e vulnerabilidades dos fraudadores eletrnicos, que tm como finalidade o roubo de dados bancrios para efetuar transaes financeiras indevidas. Tambm os sites de comrcio eletrnico, amplamente acessados a partir do ambiente domstico, merecem ateno redobrada quando se faz uso de cartes de crdito para o pagamento de compras eletrnicas.

INFOSEC COUNCIL 38

INFOSEC COUNCIL 39

O elemento humano pode ser considerado fator decisivo para a implementao de boas prticas de segurana fora da organizao. Uma nova modalidade de ataque, chamada engenharia social, vem sendo massivamente aplicada em pessoas desinformadas e ingnuas. Os tipos mais comuns de ataques so: Por telefone: Uma pessoa se identifica como funcionrio de uma instituio bancria solicitando a confirmao ou recadas tramento de dados pessoais; Por e-mail: Uma mensagem solicitando cadastramento de dados pessoais ou informando pendncias financeiras remetem o internauta a websites falsos; Salas de bate-papo (Chat): Os golpistas vo ganhando a confiana das vtimas at obterem seus dados pessoais, como telefone, endereo residencial, endereo escolar etc.; Pessoalmente: As pessoas so abordadas geralmente por golpistas bem vestidos, educados e que se expressam muito bem, tentando obter algum tipo de informao. O grande problema que muitos Internautas domsticos, independentemente da idade, esto dando seus primeiros passos na Internet e no tm noo dos perigos existentes na grande rede. Muitos provedores de acesso Internet, e principalmente a mdia, tm dado ateno aos golpes existentes e ajudado na divulgao e preveno.

12. CONCLUSO Por muito tempo e ainda hoje considerada como um departamento ou simplesmente uma atividade a mais dentro da rea de Infra-estrutura de TI, a Segurana da Informao sofreu uma radical mudana em sua percepo dentro das Organizaes. Seja pela crescente e cada vez mais complexa regulamentao emergente, que atribui novas e pesadas responsabilidades aos Gestores das Empresas, seja pela diferenciao exigida pelos respectivos mercados, a SI passa a ser percebida pelo Negcio como um atributo fundamental para a consecuo dos seus objetivos estratgicos. No mais uma restrio de acesso s informaes, mas um elemento de qualificao dos processos. No mais como uma questo tcnica ou tecnolgica, mas um fator que permeia toda a cadeia do Negcio e o viabiliza. E, principalmente, no mais uma responsabilidade exclusiva de um tcnico enclausurado em uma torre sombria, permanentemente debruado sobre manuais e registros de incidentes, s voltas com temas como vrus, ataques, hackers, dispositivos sensores de incidentes fsicos, falta de energia, links corrompidos etc. A Gesto do Risco tornou-se uma questo de negcio, responsabilizando toda a hierarquia da Organizao, sendo uma preocupao que atinge desde o Board Director at o mais singelo Colaborador. Co-responsabilidade a palavra chave. Fundamental ento se torna a ampla compreenso dessa questo. As diversas reas da Organizao devem cerrar fileiras em torno do tema estabelecendo verdadeiras parcerias em que a proatividade seja a regra. Por exemplo: O Gestor do Negcio estabelece os requisitos bsicos para a Operao; O Gestor Jurdico deve analisar amplamente e acompanhar o ambiente legal e fiscal, estabelecendo as regras de adequao e atendimento s regulamentaes internas e externas; O Gestor Financeiro deve prover o atendimento s imposies dos Acionistas, sua expectativa de retorno e, principalmente, de perenidade do Negcio; O Gestor Operacional deve propor alternativas de processos que atendam s regras de fornecimento dos produtos e servios; O Gestor de TI (CIO, CTO, Sistemas etc.) deve garantir que as boas prticas estejam presentes em cada sistema, desde a sua concepo;

Christiane Mecca

INFOSEC COUNCIL 40

INFOSEC COUNCIL 41

 A Auditoria Interna, inclusive a de Sistemas, deve zelar para que as regras de negcio sejam respeitadas e cumpridas com segurana e confiabilidade; O Gestor de Marketing, junto com o Gestor de RH, deve garantir que as mensagens, as atribuies e a atitude individual esperadas (e exigidas!) de cada Colaborador sejam por ele conhecidas, praticadas e sua responsabilidade seja cobrada; O CSO, por fim, deve observar e fazer observar todas as regras de melhor utilizao da TI e de operao dos processos criados. No exemplo acima, pode at parecer que esto simplesmente enumeradas as funes bsicas de cada rea. E verdade! A melhor garantia de que os processos de uma Organizao tenham uma boa atuao e de que os investimentos e a sua prpria reputao estejam protegidos a colocao em prtica desses princpios fundamentais. Com isso, criar-se- um ambiente em que as responsabilidades no sejam vistas como fronteiras estritamente definidas, mas como uma atribuio constante e permanente; uma questo maior que a todos envolve e afeta. Uma prtica que tem apresentado bons resultados justamente a criao de Comits de Segurana da Informao, compostos por representantes de todas as reas acima mencionadas. uma forma de unir os diversos interesses setoriais em torno de uma agenda comum. No por acaso, este tema de Formao de Cultura em SI foi o escolhido como o primeiro trabalho a ser tratado pelo INFOSEC COUNCIL. Ele foi derivado exatamente dessa viso compartilhada pelos Profissionais do Grupo, com enorme experincia no tema, de que a Cultura o ponto primeiro de todo o trabalho a ser desenvolvido pelos Gestores de SI das Organizaes. Pouco ou nada adiantar a Organizao empregar esforos, investimentos, planejamento e dedicao Segurana da Informao se isso tudo no for precedido de uma verdadeira evangelizao de toda a Equipe em prol desse ambiente. Afinal, quando tudo falha, a nica coisa que pode fazer a diferena e faz a atitude das pessoas. Em resumo, todo o trabalho em Segurana da Informao dever sempre compreender um trabalho de inter-relacionamento e de uma verdadeira formao de Esprito de Equipe dentro da Organizao. O compartilhamento de objetivos e o alinhamento estratgico so fundamentais. Essa a base. Astor Calasso - diretor / ISACA-SP
INFOSEC COUNCIL 42 INFOSEC COUNCIL 43