Escolar Documentos
Profissional Documentos
Cultura Documentos
ESCOLA POLITÉCNICA
MBA EM ENGENHARIA DA COMPUTAÇÃO AVANÇADA
MBCA-3
DISCIPLINA DE GOVERNANÇA
ISO/IEC 27002
Gabriel Ferreira
Filipe Muggiati
Mário Vale
Rodrigo de Souza
Rio de Janeiro
Setembro de 2010
RESUMO
O presente trabalho visa apresentar a norma ISO/IEC 27002, responsável pelas boas práticas
de Gestão de Segurança da Informação, as quais envolvem as avaliações de risco, políticas de
segurança da informação, gestão de ativos e outros segmentos.
Este trabalho apresenta uma breve introdução sobre a norma, sua evolução cronológica e,
posteriormente, apresenta sua estrutura básica. Em seguida são resumidas as principais seções, seus
objetivos e processos de controle.
Por fim, é apresetado um estudo de caso com propostas de medidas de segurança da
informação para a gestão de continuidade do negócio de uma microempresa.
ii
SUMÁRIO
1. INTRODUÇÃO................................................................................................................................1
1.1 Objetivo.....................................................................................................................................1
2. INFORMAÇÃO E SEGURANÇA DA INFORMAÇÃO................................................................2
2.1 A Informação como um Ativo....................................................................................................2
2.2 Segurança da Informação...........................................................................................................2
2.3 Motivação da Segurança da Informação....................................................................................2
2.4 Requisitos...................................................................................................................................3
2.5 Avaliação dos Riscos..................................................................................................................3
2.6 Seleção de Controles..................................................................................................................4
2.7 Pontos de Partida.......................................................................................................................4
3. A ISO/IEC 27002..............................................................................................................................6
3.1 Seções Preliminares...................................................................................................................7
3.2 Seção 5 – Política de Segurança da Informação........................................................................8
3.3 Seção 6 – Organizando a Segurança da Informação..................................................................8
3.4 Seção 7 – Gestão de Ativos........................................................................................................8
3.5 Seção 8 – Segurança em Recursos Humanos............................................................................8
3.6 Seção 9 – Segurança Física e do Ambiente...............................................................................9
3.7 Seção 10 – Gerenciamento das Operações e Comunicações.....................................................9
3.8 Seção 11 – Controle de Acessos..............................................................................................10
3.9 Seção 12 – Aquisição, desenvolvimento e manutenção de sistemas de informação...............10
3.10 Seção 13 – Gestão de Incidentes de Segurança da Informação.............................................10
3.11 Seção 14 – Gestão da Continuidade do Negócio...................................................................11
3.12 Seção 15 – Conformidade......................................................................................................11
4. ESTUDO DE CASO......................................................................................................................12
4.1 Justificativa..............................................................................................................................12
4.2 A ISO/IEC 27001 e 27002 nas Pequenas e Microempresas....................................................12
4.3 A Nota Fiscal Eletrônica..........................................................................................................13
4.4 PROPOSTA: Implementar uma Gestão de Continuidade do Negócio para emissão de NFe em
Microempresas...............................................................................................................................13
4.5 Análise de Riscos.....................................................................................................................13
4.6 Gestão de Ativos......................................................................................................................14
4.7 Segurança Física e do Meio Ambiente – Proteção contra ameaças externas e do meio
ambiente.........................................................................................................................................14
4.8 Segurança de Equipamentos....................................................................................................15
4.9 Manutenção dos Equipamentos...............................................................................................15
4.10 Procedimentos e Responsabilidades Operacionais................................................................15
4.11 Proteção contra Códigos Maliciosos......................................................................................16
4.12 Cópias de Segurança..............................................................................................................16
4.13 Gestão de Incidentes de Segurança da Informação e melhorias............................................16
4.14 Testes dos planos de Continuidade do Negócio.....................................................................17
4.15 Resultados..............................................................................................................................17
5. CONCLUSÕES..............................................................................................................................19
6. REFERÊNCIAS BIBLIOGRÁFICAS...........................................................................................20
iii
1. INTRODUÇÃO
Atualmente, a informação pode ser considerada um grande ativo para muitas empresas, seja
ela na forma de produto final, como um software, ou na forma de um modelo de negócio. Por isso, é
muito importante que algumas de suas características fundamentais, como a integridade, a
confidencialidade e a disponibilidade sejam garantidas. Assim, surge a Segurança da Informação
que tem como objetivo a proteção de um conjunto de informações que possuem valor para o
negócio, através de medidas como implantação de política e controles de segurança.
Neste contexto, tem-se a ISO/IEC 27002, que é uma norma que apresenta as diretrizes para
um Sistema de Gestão de Segurança da Informação. No Brasil, as normas ISO para segurança da
informação foram adotadas e traduzidas pelas ABNT recebendo a denominação de NBR ISO/IEC
27001:2006 e NBR ISO/IEC 27002:2005.
As empresas que possuem a certificação da ISO-27002 são credenciadas nas diferentes
seções abordadas pela norma, apresentando um Sistema de Gestão de Segurança da Informação,
que aborda desde os Recursos Humanos, passando pelo próprio ambiente físico de trabalho, gestão
de ativos e operações de comunicação das informações.
Enquanto que a norma ISO 27001 refere-se a quais requisitos de sistemas de gestão de
informação devem ser implementados pela organização, a ISO 27002 é um guia que orienta a
utilização de controles de segurança da informação, definindo as melhores práticas para gestão da
Segurança da Informação.
1.1 Objetivo
1
2. INFORMAÇÃO E SEGURANÇA DA INFORMAÇÃO
De acordo com a ISO 27002, informação é um ativo que, como qualquer outro ativo
importante para o negócio, tem valor para a organização e consequentemente precisa ser protegida.
Os SGSI são baseados em três atributos, conhecidos como a tríade CIA (Confidentiality,
Integrity and Availability), representando os principais fatores que orientam a análise, o
planejamento e a implementação da segurança para um determinado grupo de informações que se
deseja proteger. Outros atributos importantes são a autenticidade e, com o evoluir do comércio
eletrônico e da sociedade da informação, a privacidade, que se tornou outra grande preocupação.
Ainda com relação as diretrizes abordadas pela tríade CIA, podemos defini-las como[2]:
• Confidencialidade: propriedade que limita o acesso a informação tão somente às entidades
legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
• Integridade: propriedade que garante que a informação manipulada mantenha todas as
características originais estabelecidas pelo proprietário da informação, incluindo controle de
mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).
• Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o
uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
Em vista que a informação e os processos de apoio, sistemas e redes são importantes ativos
para negócios, são de principal importância as atividades de definir, manter e melhorar a segurança
2
da informação para que possamos assegurar a competitividade, o fluxo de caixa, a lucratividade, o
atendimento aos requisitos legais e a imagem da organização junto ao mercado.
Atualmente, numa era onde conhecimento e informação são fatores de suma importância
para qualquer organização ou nação, segurança da informação é um pré-requisito para todo e
qualquer sistema de informações e deve atingir toda a empresa, desde os funcionários, acionistas,
terceiras partes, clientes ou outras partes externas.
2.4 Requisitos
Num primeiro momento, é essencial que uma organização identifique os seus requisitos de
segurança da informação. Existem três fontes principais de requisitos de segurança da informação.
Este avaliação portanto tem, por objetivo, identificar os riscos de segurança presentes na
organização, fornecendo conhecimento para que sejam implementados controles eficazes de
segurança.
Uma avaliação bem feita dará informações à organização para garantir a confidencialidade,
disponibilidade e integridade das informações, além de trazer benefícios como conhecimento real
dos riscos, otimização dos recursos e fornece subsídios para um plano de ação.
Uma vez que os requisitos de segurança da informação e os riscos tenham sido identificados
e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados
sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível
aceitável. Estes controles podem ser dos mais variados tipos, como senhas de acesso, política de
segurança da informação (PSI), contratos de responsabilidade sobre uso da informação,
equipamento de firewall (proteção contra invasões por hackers), entre muitos outros.
A NBR 27002 considera que um certo número de controles pode ser considerado um bom
ponto de partida para a implementação da segurança da informação. Estes controles são baseados
tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente
usadas.
De acordo com a norma, os controles considerados essências para uma organização, sob o
ponto de vista legal, incluem, dependendo da legislação aplicável:
4
d) documento da política de segurança da informação;
Esses controles se aplicam para a maioria das organizações e na maioria dos ambientes.
5
3. A ISO/IEC 27002
Entre as razões oferecidas para adoção estão a melhoria da eficácia da S.I., aceitação global,
redução potencial do valor do seguro, conformidade com as legislações, levando a benefícios como
redução do risco de responsabilidade de não implementação de S.I. ou de políticas e procedimentos,
confiança de parceiros e clientes e mecanismos para medir o sucesso do sistema.
6
3.1 Seções Preliminares
Estabelece os principais objetivos da norma, que são, de acordo com a norma, de iniciar,
implementar, manter e melhorar a gestão da informação de uma organização, através da
implementação dos controles usados para atender os requisitos identificados na avaliação de riscos.
[1]
• Um ou mais controles que podem ser aplicados para alcançar o objetivo de controle.
A ISO apresenta ainda as diretrizes que devem ser adotadas para a implantação dos controles
citados.
Esta é uma seção introdutória sobre análise de riscos, que já foi discutida neste trabalho no
capítulo 2.5.
7
3.2 Seção 5 – Política de Segurança da Informação
A Gestão dos Ativos da organização será analisada pelos proprietários, para que, depois de
feito o levantamento, os ativos sejam mantidos e classificados de acordo com o nível de proteção
adequado para cada um, tornando-se necessária a criação de um documento com as regras bem
definidas sobre o uso desses ativos.
8
3.6 Seção 9 – Segurança Física e do Ambiente
As instalações da organização devem ser mantidas em áreas seguras, com níveis e controles
de acessos diferenciados, tanto na questão da segurança da informação quanto na segurança física.
Os equipamentos também são protegidos de ameaças ambientais, mesmo os que se encontram na
organização e os que estão fora do espaço físico da mesma, de acordo com os risco identificados no
Gerenciamento de Riscos.
Esta seção trata da definição dos procedimentos e responsabilidades pela gestão e operação
de todos os recursos de processamento das informações. Isto implica também em documentar todos
os procedimentos operacionais realizados na organização, como backups ou procedimentos para o
reinicio ou recuperação em caso de falha do sistema, por exemplo.
Estabelece que os serviços terceirizados devem ser monitorados e deve ser feita uma análise
crítica do que é entregue para verificar se os resultados estão de acordo com o que foi acordado.
Por fim, destaca-se que é nesta seção que são estabelecidos os muitos procedimentos
delicados do cotidiano de uma organização, como o tratamento de informações em mídia removível
e a troca de informações, ou seja, tudo que envolve operação e comunicação em uma organização.
9
3.8 Seção 11 – Controle de Acessos
Todo o acesso à informação deve ser feito com base nas necessidades do negócio. Portanto,
deve ser garantido o acesso ao usuário autorizado, mantendo-se o principio da disponibilidade e
prevenindo o acesso do usuário não autorizado, garantindo assim a confidencialidade da
informação.
Como já foi mencionado, estas informações devem ser protegidas garantindo a sua
confidencialidade, autenticidade e integridade por meios criptográficos.
Esta seção apresenta as ações e procedimentos que devem ser realizados na ocorrência de
um Incidente de SI. Indica a criação de procedimentos formais para a notificação de tais incidentes
(denial of service, código malicioso etc), pois é muito importante que todos os responsáveis sejam
notificados e que seja possível tomar medidas corretivas em tempo hábil. Esta seção também
recomenda que sejam indicados responsáveis para cada tipo de incidente e que sejam estabelecidos
mecanismos para o registro de ocorrências, de modo que sejam armazenadas informações
importantes e que a sua análise possa, eventualmente, evitar futuros incidentes.
10
3.11 Seção 14 – Gestão da Continuidade do Negócio
De acordo com a NBR, a seção de Gestão de Continuidade do Negócio tem como objetivo
impedir a interrupção das atividade do negócio, garantindo a continuidade dos processos
considerados críticos, mesmo em casos de falhas ou de desastres naturais.
Para que esta gestão seja feita de maneira adequada, deve-se, inicialmente, identificar os
riscos que envolvem os processos críticos para o negócio. Uma vez identificados estes riscos e seus
efeitos, pode-se tomar medidas para evitar que aconteçam ou, para ao menos, minimizar os seus
efeitos. Além disso, é possível realizar a transferência destes riscos para terceiros, através de
seguros, por exemplo.
Esta seção também indica que os planos de contingência para a gestão da continuidade do
negócio sejam devidamente documentados, estejam acessíveis, tenham gestores e sejam testados,
para evitar imprevistos.
Esta seção tem o objetivo de evitar a violação de qualquer obrigação da organização, seja ela
de caráter legal ou contratual. Para isto, a seção de Conformidade recomenda que seja identificada
toda a legislação aplicável ao negócio. Também estabelece diretrizes para a proteção de direito
intelectual, de dados e a privacidade de informações pessoais.
Além disso, regulamenta o uso da criptografia, que em alguns países é considerada ilegal e,
por isso, eventualmente estabelece restrições a importações e exportações.
Esta seção também estabelece diretrizes para se verificar a conformidade com que os
procedimentos de segurança da informação estão sendo implementados em relação às normas e
políticas da empresa.
11
4. ESTUDO DE CASO
4.1 Justificativa
Tendo em vista o alto custo da certificação ISO/IEC 27001, GOMES [5] apresenta um
cenário preocupante para a Segurança da Informação nas Pequenas e, principalmente,
Microempresas. Isto pode ser exemplificado por alguns dados, citados por AFONSO [6], que “de
acordo com uma pesquisa realizada pelo Instituto Applied Research/SYMANTEC (2009), 30% das
pequenas e médias empresas brasileiras não usam antivírus, 47% delas não contam com
ferramentas de segurança na máquina dos seus usuários, e 42% não implantam ferramentas de
backup e de restauração de desktops.”
De acordo com Gomes[5], um dos principais motivos que levam a essa falta de segurança, é
que os gestores só entendem a importância dos investimentos da Segurança da Informação quando
sofrem uma grande perda. Gomes[5] também observa que a situação nas microempresas é ainda
mais grave, pois apenas 24% destas empresas possuem uma política de segurança e 15%
apresentam treinamentos dos funcionários nesta área.
Isto, segundo Gomes[5], criou um novo nicho de mercado de segurança da informação, para
Micro e Pequenas empresas, que aos poucos está sendo explorado por empresas de segurança que
passaram a oferecer produtos a um custo acessível à estas empresas.
12
4.3 A Nota Fiscal Eletrônica
Nos últimos anos, o governo vem, gradativamente exigindo dos diversos segmentos da
indústria e do comércio, de produtos ou serviços, a emissão da Nota Fiscal Eletrônica. No caso das
grandes empresas, que já possuem todo um SGSI, isto não representa um problema tão crítico.
Porém, no caso de pequenas e microempresas, isto representa um problema imediato de
Continuidade do Negócio1, pois em caso de falhas no sistema de emissão das NFe, a empresa fica
impossibilitada de realizar vendas e, consequentemente, prejuízos financeiros.
4.4 PROPOSTA: Implementar uma Gestão de Continuidade do Negócio para emissão de NFe
em Microempresas.
Em um primeiro momento, foi feita uma matriz de identificação dos riscos, como é
recomendados pela ISO/IEC 27002. Nesta matriz foram colocados, além dos riscos, quais são os
fatores que ocasionam o evento e as suas eventuais conseqüências.
Uma vez identificados os riscos, pode-se definir quais serão os objetivos e, por conseguinte,
os controles para se mitigar cada um destes riscos. Isto será feito nos capítulos a seguir, na ordem
em que são apresentados pela ISO/IEC 27002.
4.7 Segurança Física e do Meio Ambiente – Proteção contra ameaças externas e do meio
ambiente
2- A legislação exige que estes arquivos sejam armazenados pela empresa por 5 anos.
14
local principal [1]. Por isso, será feito um sistema de backup online dos ativos identificados.
• Referência: ISO/IEC 27002 – Seção 9.1.4, item “b”.
15
4.11 Proteção contra Códigos Maliciosos
16
efetivas e ordenadas a incidentes de segurança da informação.
• Diretriz adotada: Serão estabelecidos procedimentos para manusear incidentes de falha no
microcomputador emissor da NFe.
• Referência: ISO/IEC 27002 – Seção 13.1.1
4.15 Resultados
Observa-se que a ISO/IEC 27002 permite uma abordagem simples e lógica de medidas que
podem ser tomadas para se identificar e mitigar riscos associados a continuidade do negócio.
Além disso, a aplicação específica, de apenas alguns pontos da norma, permite a elaboração
de soluções com um custo aceitável e compatível com a realidade das microempresas, como mostra
as estimativas das tabelas a seguir:
AÇÃO CUSTO
Instalar NO Break 600VA no PC do Adriano R$ 300,00
Instalar o sistema emissor de NFe em outro micro (Redundância) R$ 50,00
Realizar simulação de trocaMicro emissão de NFe (Documentar Procedimento) R$ 50,00
Realizar teste de autonomia do nobreak R$ 0,00
Realizar Backup ONLINE da base de dados e das NFes 7x por semana R$ 100,00
Documentar todo o processo de emissão de NFe R$ 100,00
Instalação de Anti-vírus gratuito R$ 30,00
INVESTIMENTO INICIAL TOTAL R$ 630,00
Tabela 1: Custos estimados do investimento necessário para adotar as medidas propostas.
17
MANUTENÇÃO/ANO CUSTO
No Break R$ 150,00
Servidor de Backup ONLINE R$ 100,00
Micro Servidor R$ 150,00
INVESTIMENTO TOTAL/ANO R$ 400,00
Tabela 2: Custos estimados para a manutenção das medidas propostas.
Por fim, é importante destacar que este estudo de caso tem um caráter exclusivamente
didático, objetivando um melhor entendimento da ISO/IEC 27002, seus objetivos e diretrizes, e não
deve ser aplicado de maneira prática sem que antes sejam feitas avaliações mais criteriosas dos
riscos, objetivos e controles adotados.
18
5. CONCLUSÕES
Observou-se, com a elaboração deste trabalho, que a informação pode ser um dos principais
ativos de uma empresa, pois possui um valor agregado altíssimo, quando comparada a matéria-
prima produzidas normalmente por países subdesenvolvidos. Porém, a complexidade da ISO/IEC
27002 demostra que protegê-la não é uma tarefa trivial, pois a informação pode se apresentar de
inúmeras formas e, atualmente, com as ferramentas tecnológicas disponíveis, possui uma
mobilidade incrível, podendo estar do outro lado do planeta em uma fração de segundo.
No estudo de caso apresentado, observou-se que apenas a análise da norma permite elaborar
planos simples para a mitigação de riscos associados à segurança da informação, o que pode trazer
benefícios significativos para muitas empresas de pequeno porte.
19
6. REFERÊNCIAS BIBLIOGRÁFICAS
[1] ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia
da informação – Técnicas de segurança – Código de prática para a gestão de segurança
da informação. ABNT, 2005.
[4] Gerra, Márcia Regina - Fundamentos da Segurança da Informação com Base na ISO/IEC
27002 - TI Exames
[5] GOMES, Bruno Bellard - Estudo de caso sobre o impacto da implementação da norma nbr
ISO/IEC 27002 em micro e pequenas empresas - Sistemas de Informação – Centro Universitário
Módulo - Caraguatatuba – SP – Brasil – 2010.
[6] AFONSO, Rodrigo. Por que pequenas empresas investem pouco em segurança?. Disponível
em: http://computerworld.uol.com.br/seguranca/2009/06/09/por-que-pequenas-e-medias-
empresas-investem-pouco-em-seguranca/ - 2009.
20