Escolar Documentos
Profissional Documentos
Cultura Documentos
Gestão da infra-estrutura
através do ITIL e Gestão de
Segurança para T.I.
Ms. João Caldas Jr.
1
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
Sumário
Apresentação................................................................................................4
2
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
Capítulo 8 - Conformidade.........................................................................35
Produtos ..................................................................................................... 39
Considerações Finais..................................................................................42
Bibliografia.................................................................................................42
3
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
controles sob uma gestão mais eficiente e em níveis informação, vinda do dicionário Aurélio diz que “é o
aceitáveis de riscos, que são as leis e regulamentações. conjunto de dados acerca de alguém de ou de algo”.
A observância à legislação traz para as empresas uma Estendendo esse conceito, podemos dizer que a informação
mercado por profissionais que possam apoiar a empresa De nada vale um conjunto de dados sem que se faça
em garantir a conformidade dos seus processos. a interpretação dos mesmos para que se possa extrair
Então, caros alunos, preparem-se para conhecer esse um conhecimento útil. Isso, para as organizações, é
tema com mais profundidade, pois certamente fará a necessariamente uma vantagem competitiva.
diferença no seu perfil profissional e na sua carreira. As organizações necessitam da informação para
tomar decisões objetivando seus fins, como o sucesso de
seus empreendimentos e, muitas vezes, a sua própria
Renato Silva de Lima, PMP, ITIL, CGEIT sobrevivência. Isto mostra o quão estratégica é a
informação. Sem ela não há estratégias a serem traçadas,
4
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
não há mudanças a serem feitas ou até mesmo não há a um segundo plano as estratégias de negócios. Os altos
empresa a ser gerida. executivos não têm conseguido usar as novas tecnologias
porque não têm acesso às informações que precisam em
As empresas fazem parte do mundo dos negócios que tempo hábil e a elas de forma adequada.
visa o lucro e o retorno dos capitais investidos no menor
tempo possível. Nesse ambiente de alta competitividade, as
informações assumem um papel extremamente importante
para o seu sucesso. Com a enorme quantidade de
informações que são geradas e disponibilizadas todos os dias,
são necessários critérios para sua seleção e organização.
5
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
http://youtu.be/JA-LaiIlWFE
Temas comuns nos dias atuais, como ataques de prazerosa de como a informação e os meios de comunicação
crackers, de engenharia social, vírus, worms, negação de evoluíram! Hoje vivemos, sem dúvida, um momento
serviço, espionagem eletrônica, são noticiadas a todo o de grandes mudanças, em que somos constantemente
momento e com isso, são registradas perdas irreparáveis surpreendidos e abarcados por modernas e complexas
para as organizações. tecnologias de transmissão e armazenamento digital de
dados, inimagináveis em anos atrás.
Diante deste cenário, definir e implementar um processo
de Segurança da Informação torna-se imprescindível para Mas o desafio real, desde os primórdios, como nos dias
as organizações, sejam elas do setor público ou privado. de hoje, ainda é conter as diversas ameaças à informação,
algumas das quais já são bastante conhecidas como
6
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
incêndios, saques, catástrofes naturais e deterioração dos Como resultado de uma abordagem mais estruturada
meios de armazenamento. de controles e com o objetivo de criar um processo padrão
de gestão da informação, surgiram várias propostas e
práticas de segurança em todo o mundo, algumas das
1.3 Ameaças à Informação quais destacaremos dessa disciplina.
À medida que a sociedade evoluiu, a preocupação com Um dos grandes trunfos da grande expansão dos
a Segurança da Informação, aumentou, principalmente no sistemas computacionais é, certamente, a enorme
quesito confidencialidade. Foram criados vários processos facilidade de compartilhamento de recursos e informações.
de cifragem da informação com a função de alterar o Os benefícios que a conectividade em rede, em especial
conteúdo das mensagens antes de seu envio. Ao capturar a internet, proporciona a toda a humanidade, dispensam
uma mensagem, o interceptador obtinha apenas um texto maiores comentários. Porém, essa conectividade pode
cifrado e não a mensagem original. Em tempos de guerra, expor os computadores e as redes como um todo a
este processo permitiu que segredos e estratégias fossem diversas ameaças.
trocados de forma segura entre aliados.
A partir da década de 1990, o boom da internet trouxe,
Citando um exemplo bem antigo ligado à guerra, o também, o boom dos ataques às redes de computadores.
imperador romano César já utilizava cifragem para a troca A segurança de dados deixou de ser apenas uma
de informações entre seus exércitos! Hoje temos tecnologias preocupação com a perda da informação devido a um
que se utilizam de mecanismos semelhantes, mas em um acidente com os meios de armazenamento ou a uma
nível de complexidade muito maior. Mas a história se repete. operação indevida do usuário.
O surgimento dos computadores e de sua interconexão Existe hoje a ameaça real de ataques via rede,
através de redes mundialmente distribuídas permitiu podendo haver roubo das informações, vandalismos que
maior capacidade de processamento e de distribuição das as destruam ou simplesmente técnicas de negação de
informações. Com essa capacidade de comunicação surgiu, serviço impedindo o acesso aos dados.
também, a necessidade da criação de mecanismos que
Outra grande fonte de ameaça é o ataque interno, esse
evitassem o acesso e a alteração indevida das informações.
muitas vezes até mais difícil de ser contido devido ao nível
Atualmente a criptografia e a esteganografia são de acesso e a proximidade que usuário tem à rede e aos
largamente utilizadas em diversas aplicações de seus recursos físicos.
transferência e armazenamento de dados.
Neste caso, como resolver o problema de permitir o
acesso a certas informações aos usuários autorizados e,
Esteganografia (do grego “escrita simultaneamente, como negar o acesso aos usuários não
escondida”) refere-se ao estudo e uso autorizados?
das técnicas para ocultar a existência
de uma mensagem dentro de outra. A
esteganografia é o ramo particular da criptologia
que consiste em fazer com que uma forma escrita
seja camuflada em outra a fim de mascarar o seu
verdadeiro sentido.
Fonte: http://pt.wikipedia.org/wiki/Esteganografia
7
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
Nos tópicos seguintes de nosso estudo trataremos de 1) Nos últimos anos estamos presenciando o
crescimento de uma nova forma de comunicação e
temas importantes de controles e políticas de Segurança
relacionamento da sociedade chamada Redes Sociais.
da Informação para entendermos como reduzir riscos
As empresas vêm ensaiando dia a dia uma forma
diante de ameaças às informações.
eficiente de obter vantagem competitiva do uso das
redes sociais para seus negócios, uma vez que há
O nível de controle que devemos grandes oportunidades que devem ser avaliadas.
implementar deverá ser proporcional ao
valor do que se está protegendo. Ou seja, Como deve ser avaliada a viabilidade de
a implantação do sistema de Segurança da implementar um sistema de segurança da informação
Informação tem que apresentar um custo benefício que em uma empresa?
torne a tentativa de ataque tão cara que desestimule 2) A história da segurança da informação vem
o atacante, ao mesmo tempo em que ela seja mais desde o antigo Egito. A evolução do uso da informação
barata do que o valor da informação protegida. trouxe cada vez mais um grau de complexidade
Quando o valor do ativo que se está protegendo é maior a cada época. Qual o maior desafio desde os
tão alto que o dano causado ao mesmo é difícil de ser primórdios diante desse tema?
calculado, devemos assumir o valor da informação
como altíssimo, imensurável.
8
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
9
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
atingir, os conceitos e métodos que veremos nas próximas O risco que uma empresa corre, portanto, é a
seções e capítulos constituem as peças fundamentais para probabilidade de uma ameaça realmente explorar
a construção de um sistema seguro. uma vulnerabilidade em seu sistema e o impacto
que esta ação teria no negócio. O risco é, portanto,
Mas, o primeiro passo é identificar o que precisa ser
a cola que liga uma ameaça a uma vulnerabilidade
protegido. Como veremos ao longo de nosso estudo,
e a probabilidade de que tal cenário ocorra, além
em alguns casos podemos optar por simplesmente não
de definir o impacto provável decorrente desta
proteger determinada informação ou recurso. Isso ocorre,
ocorrência.
tipicamente, quando o custo de proteger é maior que o
custo da informação em si. • Exposição (Exposure): Para que o risco ocorra, é
necessário que uma vulnerabilidade esteja exposta. Na
Vejamos, então, o que precisa ser protegido.
medida em que se coloca um sistema não configurado
• Ativo (Asset): Segundo a norma ISO/IEC-13335-1 de forma correta em funcionamento, este está sendo
(2004), um ativo é “qualquer coisa que tenha valor exposto a uma vulnerabilidade (fragilidade) de para
para a organização”. Como vimos, hoje em dia, uma ameaça e correndo um risco.
informação é um dos mais importantes ativos de
• Contramedida (Countermeasure): Para evitar
uma empresa, podendo existir de diversas formas,
que um invasor abuse do sistema, são colocados
sendo estas não necessariamente em meio digital.
controles em prática para mitigar uma perda
Para qualquer empresa, todos os seus dados são
potencial. Uma contramedida pode ser uma
ativos valiosíssimos e a perda, comprometimento
configuração de software, um novo hardware ou
ou vazamento destas informações poderá trazer
um procedimento que elimina uma vulnerabilidade
prejuízos difíceis de serem calculados (como a
ou reduz a chance de um invasor explorá-la.
imagem da empresa ser manchada), além de ter
consequências legais. • Controle (Control): Segundo a ABNT NBR ISO/
IEC 27002 (2005), “um controle é uma forma de
• Ameaça (Threat): Usamos geralmente os
gerenciar o risco, incluindo políticas, procedimentos,
termos ameaça, risco e vulnerabilidade como
diretrizes, práticas ou estruturas organizacionais.”
sinônimos, mas na verdade cada um deles tem um
Por exemplo, pode-se implementar controles num
significado próprio e uma relação com os demais.
sistema para alertar quando um cliente realiza um
É importante que você entenda esta relação.
login vindo de um IP fora do Brasil.
Segundo Harris (2010), uma ameaça é qualquer
perigo potencial para uma informação ou sistema.
Uma ameaça é, portanto, quando alguém identifica 2.3. Principais Tipos de Incidentes
uma vulnerabilidade no sistema de e a explora de
alguma forma. Caro aluno, como especialistas na área de segurança,
devemos saber que os principais tipos de incidentes que
• Vulnerabilidade (Vulnerability):Segundo a ABNT uma empresa pode sofrer são:
NBR ISO/IEC 27002 (2005), uma vulnerabilidade
é uma fragilidade de um ativo ou grupo de ativos • Escuta não autorizada (Eavesdropping): A escuta
não autorizada se refere à monitoração indevida de
que pode ser explorada por uma ou mais ameaças.
trocas de mensagens. Normalmente requer que o
• Risco (Risk): Risco é invasor tenha acesso
a probabilidade de uma físico ao ambiente
ameaça explorar uma e empregue uma
vulnerabilidade e o ferramenta capaz de
seu impacto potencial. capturar e duplicar
as informações que
10
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
11
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
Para detectar, impedir ou mitigar os danos causados pelos mecanismo de segurança. Há duas vantagens
atacantes e invasores, a política de segurança pode usar nessa abordagem. Primeiro, nenhum mecanismo
uma ou mais das metodologias que serão listadas a seguir. fornece defesa contra todos os tipos de ameaças.
Segundo, dessa forma um mecanismo serve de
backup para outro. Por exemplo, exigir de um
• Monitoramento (Monitoring): É o processo
pelo qual o uso que usuários fazem do sistema usuário uma confirmação adicional ao seu login e
é observado, gerando-se registros (logs) dessa senha para confirmar uma compra é uma forma
utilização. Comportamentos considerados como de evitar que um invasor adquira itens em nome
atividades anormais para seus perfis geram deste usuário. Esta confirmação adicional pode ser
alertas e podem ocasionar mudanças na forma ou uma segunda senha, um código recebido por SMS
quantidade de registros gerados para estas ações. no celular cadastrado, o uso de um teclado virtual
Estes logs devem permitir a reconstrução da ação ou a confirmação de dados pessoais, como data de
que gerou o alerta e idealmente devem permitir nascimento ou nome da mãe, por exemplo.
o seu uso como evidências em um processo de
auditoria ou investigação. • Criptografia (Cryptography): É a arte de escrever
em código. A criptografia visa primariamente
• Segregação de Rede (Network Segregation and
impedir que um invasor consiga decifrar o conteúdo
Isolation): Se a empresa colocar todos os dados e
de determinada mensagem trocada entre usuários.
funções do seu sistema em um único servidor, o
A criptografia desempenha um papel fundamental
invasor terá apenas que conseguir acesso a esta
principalmente na transmissão de informações
máquina para obtê-los. Colocar “todos os ovos
entre sistemas. Além da confidencialidade, a
em uma mesma cesta” não é uma boa prática de
segurança. Para aumentar a segurança, devem-se criptografia pode ser utilizada para confirmar a
implementar mecanismos que isolem os dados e autenticidade e integridade de uma informação.
processos de um sistema de maneira a eliminar ou
minimizar a possibilidade de o comprometimento
de um afetar a segurança do outro.
12
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
• Ponto de Sufocamento (Choke Point): Esta problemas de memória ou cenários no qual não é
técnica consiste em obrigar todos os sistemas ou possível garantir a segurança do sistema, ele falha
todo o fluxo de rede a passar por um único ponto. de forma controlada, negando acesso a todos. Após
Neste ponto então, podem ser implementados isso, o sistema pode reiniciar, garantindo assim
diversos controles. Este ponto pode ser um firewall que a recuperação também se dê de forma segura
que é posicionado e isola o sistema de outras redes (também conhecido como Trusted Recovery).
(rede interna, Internet, etc.).
13
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
não se deve postergar o início dos trabalhos, em função 1. Definir o escopo da política
da fragilidade a que o negócio pode estar exposto.
Escreva o esboço do documento da política de segurança
Se necessário, para implementar e manter a política para sua organização. Esse documento deve ser genérico,
definida, pode ser utilizada uma consultoria especializada, possuir apenas suas ideias principais, sem preocupação
com conhecimento nos diversos aspectos da segurança com precisão. Escreva também uma justificativa para sua
dos bens de informação e das tecnologias que os apoiam. implantação, sempre com o foco nos negócios e riscos
a que a organização está sujeita caso não se implante a
Possuir uma política de Segurança da Informação
política de segurança da informação.
na organização é importantíssimo para o sucesso dos
negócios, melhor dizendo, para muitas organizações é 2. Apresentar para as pessoas chaves
fator critico para seu sucesso e sobrevivência.
Apresente seu esboço para a área de negócio, gerentes e
Para a criação de uma política de segurança da diretoria com o objetivo de angariar a confiança da iniciativa
informação deve haver uma área responsável que se e o engajamento da direção, que é fundamental para a
incumbirá de sua criação, implantação, revisão, atualização implantação da política. Uma vez que estas importantes
e designação de funções. Nessa área deve ser escolhido um pessoas estejam convencidas da importância da política,
gestor responsável pela análise e manutenção da política. você terá o próximo desafio que é a implantação. Não se
esqueça que, em algumas situações, somente com o apoio
Para garantir a aplicação eficaz da política, o ideal é
da diretoria será possível aplicar as políticas criadas.
que o alto escalão, como diretoria, gerentes e supervisores
façam parte dessa área, além de usuários, desenvolvedores, 3. Definir um Comitê de Segurança da Informação
auditores, especialistas em questões legais, recursos
Crie um comitê de política de segurança, que deverá ser
humanos, TI e gestão de riscos.
formado por pessoas interessadas na criação da política,
Os passos para a criação da política de segurança são: mas que devem ser de setores distintos na organização.
Com base em seu documento, o comitê deverá assumir as
seguintes atividades e funções:
2.6. Criação de uma Política de O comitê terá a função legisladora do processo. Porém,
Segurança continua sendo do gestor (no caso, você) a responsabilidade
pela aplicação da política. O comitê deverá se reunir
Caro aluno, os passos apresentados podem ser melhor periodicamente. As reuniões têm o objetivo de avaliar e
detalhados. Vamos descrever, de forma estruturada, aprimorar a política de segurança, os incidentes ocorridos
uma proposta para que você possa criar uma política de e as ações a serem tomadas para correção.
segurança respeitando uma série de etapas importantes
que no dia-a-dia das organizações é esquecido. Estas são O documento criado deverá ter uma linguagem simples
14
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
6. Conscientização
15
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
i- Eavesdropping ii- Impersonation iii- feita com o uso de um software específico, chamado
Unauthorized Modification iv- Intrusion comumente de sniffer.
v- Denial of Service vi- Information Theft F. A invasão acontece se o atacante obtiver
acesso não ao sistema, mas aos recursos que suportam
A. Ocorre quando o invasor consegue acessar e
este sistema, como servidores ou roteadores, por
copiar dados confidenciais do sistema.
exemplo. Caso este acesso permita ao invasor um
B. Um invasor pode tentar alterar alguma
acesso com direitos de administração no recurso
informação de forma indevida. É importante notar
invadido ele poderá fazer o que bem entender no
que o invasor tentará alterar a informação quando
sistema.
ela estiver armazenada em algum meio (disco rígido,
banco de dados, etc.) ou quanto estiver em trânsito
pela rede. a) i-E ii-C iii-A iv-B v-F vi-D
C. Neste tipo de incidente o invasor não busca b) i-F ii-C iii-B iv-E v-D vi-A
comprometer os dados ou acesso ao sistema, mas não
c) i-E ii-D iii-B iv-F v-C vi-A
permitir que usuários legítimos tenham acesso a ele.
D. Para realizar algumas ações maliciosas, d) i-A ii-E iii-F iv-C v-B vi-D
um invasor pode tentar passar-se por um usuário
16
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
17
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
• Ferramentas de gerência de documentos: conhecer e cumprir essa política para uso dos recursos, a
Estas ferramentas servem como uma camada fim de não comprometer a empresa e ao próprio usuário.
adicional de proteção dos documentos limitando as
Exemplos de ativos que necessitam de cuidados
ações que os usuários autorizados podem realizar
especiais para seu uso são:
com os ativos de informação, por exemplo, um
usuário pode ler, mas não imprimir. Além de limitar • Internet: Dentro de uma organização os usuários
o acesso, estas ferramentas podem também manter utilizam um sistema de controle de uso da internet.
um registro das ações realizadas por cada usuário Qualquer ato realizado em qualquer computador
e das tentativas de executar ações não permitidas. dentro da empresa é registrado como proveniente do
endereço IP registrado da empresa. É importante que
• Sistemas de controle de backup: O backup
a empresa especifique e divulgue a todos os usuários
é uma cópia fiel dos ativos de informação mais
quais os tipos de acesso são permitidos ou proibidos,
importantes da organização. Por este motivo
de acordo com a lei e com a política de segurança
é desejável que se controle exatamente o que
corporativa, além de manter o registro adequado de
acontece com cada uma das mídias destinadas
todas as comunicações oriundas da empresa.
a este fim. Existem várias ferramentas capazes
de controlar as mídias, seu uso e as informações • Correio eletrônico: O correio eletrônico é
contidas em cada uma. uma ferramenta de comunicação que identifica
o funcionário e a empresa perante o mundo
• Ferramentas de gestão empresarial: Estas
como um nome e sobrenome separados pelo @
ferramentas controlam toda a gestão da empresa.
(lê-se “at” em inglês, que significa “em”). Esta
Uma boa ferramenta deste tipo é capaz de
ferramenta deve ser utilizada somente para uso
separar os proprietários para cada processo
profissional e nunca, em hipótese alguma, deverá
dentro da empresa. Para que se tenha um
ser utilizada em alguma ação suspeita, que poderá
controle efetivo dos ativos é essencial que cada
comprometer o usuário e a empresa, uma vez que
ativo de informação dentro de uma organização
está é a provedora do recurso que possibilita a
possua uma pessoa responsável: essa pessoa é
ligação com a internet. Existem ferramentas
denominada “proprietário do ativo”. Apesar de a
que monitoram conteúdo impróprio em correio
palavra proprietário expressar posse, o proprietário
eletrônico, mas o melhor e indispensável recurso
é apenas uma pessoa designada pela empresa
para responder pelo ativo e classificá-lo quanto à
sua necessidade de confidencialidade, integridade
e disponibilidade. Por estes motivos muitos
autores preferem chamá-lo de gestor do ativo.
Os proprietários são os responsáveis por cuidar da
manutenção dos ativos, e mesmo que parte deste
processo seja delegada pelo proprietário a um
terceiro, o mesmo continua sendo o responsável
primário pela proteção adequada dos ativos.
Além de ter um proprietário, os ativos da empresa é que todos os usuários conheçam e forneçam
possuem usuários. É importante que sejam criadas regras provas de que conhecem a política da empresa em
que comporão a política da empresa quanto a permissões relação ao uso deste recurso.
de uso de informações e de ativos associados aos recursos
• Estações de trabalho: A estação de trabalho do
de processamento das informações. Cada usuário deve
usuário, assim como sua mesa ou cadeira, pertence
18
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
exclusivamente à empresa e deve ser tratada como Cada informação dentro da empresa possui a
um recurso precioso, sujeito à política corporativa necessidade de estar disponível para uma pessoa ou
e às normas estabelecidas para seu uso. O mal equipe, ao mesmo tempo em que há a necessidade de um
uso de estações de trabalho podem impactar na controle que garanta que ela estará realmente disponível
produtividade do usuário, na manutenção da para os usuários legítimos.
confidencialidade dos dados por ele manipulados
A classificação deve levar em conta estas premissas
e na adequação da empresa às leis de direitos
e principalmente o impacto nos negócios pela quebra
autorais, dentre outros problemas.
na disponibilidade, integridade ou confidencialidade das
• Notebooks: Os dispositivos móveis circulam mesmas.
livremente para dentro e fora do perímetro da
Para alcançarmos este objetivo de forma eficaz é
empresa. É necessário que a empresa tenha uma
necessário definir categorias de informações que sejam
política bem definida de uso destes equipamentos,
bem objetivas quanto à criticidade de cada uma. Esta
que esta seja bem divulgada e conhecida por todos
classificação deve ser feita pelo proprietário (gestor) da
os usuários de dispositivos móveis. Sempre que
informação em um momento inicial e posteriormente,
possível esta política deve ser reforçada por peças
em prazos pré-definidos, quando a informação pode
de tecnologia uma vez que seu mau uso pode
ser reclassificada de acordo com os requisitos de
trazer ameaças aos dispositivos e a outros ativos
confidencialidade que ainda representa para a organização.
quando este retornar para dentro do perímetro de
proteção da empresa. Alguns ativos de informação
perdem totalmente o valor depois
de um determinado evento.
3.2. Classificação e Gestão dos Ativos de O vencedor de um Oscar, por
Informação exemplo, passa de um dos
segredos mais bem guardados do
Um dos maiores desafios da segurança da informação
mundo para uma informação de
é a necessidade de termos a informação íntegra, correta e
domínio público em questão de
ao mesmo tempo disponível somente para os usuários que
horas. Esta informação já poderia
realmente devem acessá-la. Não haveria muita dificuldade
ser classificada originalmente
em se proteger uma informação se ela não precisasse
como “Confidencial” até a noite
estar disponível somente para os usuários legítimos.
da entrega e “Desclassificada”
Uma vez que garantimos que a informação esteja após esta data.
disponível somente para os usuários autorizados, é
É de responsabilidade do
necessário garantir que eles façam o uso correto destas
proprietário do ativo, definir a
informações. Para alcançar este objetivo é necessário
sua classificação, analisando-o
que um processo eficiente de classificação da informação
conforme critérios estabelecidos.
seja estabelecido, garantindo que os usuários dos ativos
de informação conheçam a sua real importância para a Para que você execute este processo de classificação
corporação. de uma informação, siga os seguintes passos:
Outro aspecto relevante da informação é que ela não • Identifique quem é o proprietário da informação;
mantém o mesmo valor ao longo do tempo. Algumas • Especifique quais critérios serão utilizados para sua
tendem a se tornar públicas ou simplesmente não classificação;
interessar a mais ninguém. • Converse com o proprietário da informação — esta
deve ser enquadrada
• em alguma das categorias estipuladas;
19
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
• Indique qual o nível de segurança necessário para ser utilizados para classificar seus ativos de informação
proteger cada categoria; quanto à sua confidencialidade, não existindo uma
• Documente as exceções; forma única definida para tal. Uma vez definidos estes
• Crie rótulos para a informação impressa e digital; níveis, deve haver procedimentos para tratamento e
• Defina o método que será utilizado para transferir a manuseio.
custódia da informação;
• Requisitos de Integridade: Uma outra
• Indique um procedimento para a desclassificação da
classificação que se deve fazer dos ativos é quanto
informação;
à sua integridade. As necessidades de integridade
• Treine e conscientize os usuários.
podem ter vários níveis: baixo, médio, alto, crítico,
etc, de acordo com a necessidade da empresa.
20
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
21
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
Em relação à análise das informações prestadas pelo Isto é, a pessoa precisa estar conscientizada sobre
candidato, devemos verificar: os processos, procedimentos e regras da segurança da
informação na empresa.
• Se as informações da experiência profissional estão
adequadas ao cargo/função; O processo que acontece quando as pessoas
• Se as informações prestadas são verdadeiras: dados
(funcionários, fornecedores e terceiros) deixam a
acadêmicos, documentos de identificação pessoal;
organização ou mudam o tipo de trabalho, deve acontecer
• A situação de crédito na praça e registros criminais.
de forma ordenada e controlada. As pessoas relacionadas
a esses procedimentos devem estar cientes da suas
responsabilidades.
22
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
23
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
24
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
armazenadas, de forma a evitar que ele seja afetado por Como vimos, as áreas seguras devem ser protegidas
esses tipos de ameaças. ao máximo. A melhor forma de fazer isso é utilizarmos
o conceito de necessidade de conhecimento (need to
know). Ambientes considerados seguros não devem ser
identificados a fim de dificultar sua localização por quem
não é autorizado para estar lá. Somente aqueles que
precisarem de acesso aos mesmos devem conhecer sua
localização dentro da organização e quais os métodos de
acesso e mecanismos de proteção dos mesmos.
25
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
Controles para proteção de áreas seguras devem O fornecimento de água também é importante, pois
estar disponíveis para proteger os equipamentos, como abastece os sistemas de umidificação e refrigeração,
proteções elétricas e hidráulicas. Adicionalmente deve- como o ar-condicionado. O fornecimento de utilidades
se evitar o consumo de alimentos e fumo próximo aos deve ser monitorado continuamente e o não fornecimento
equipamentos a serem protegidos. ou fornecimento inadequado deve ser alertado (pode se
considerar o uso de alarmes).
Este trabalho é feito inicialmente pela política de
segurança e reforçado pela campanha de conscientização. Tanto o fornecimento de energia quanto a comunicação
Para equipamentos que processem dados sensíveis é dos dados (lembremos que hoje existem ambientes de
importante que tenham segurança física reforçada, como TI distribuídos e convergentes) são feitos normalmente
alojá-los em locais de difícil acesso e controlar esses através de cabos ou de comunicação em redes sem fio.
acessos, através de identificação e auditorias.
Todo o cabeamento deve ser, portanto, protegido quanto
à sua interrupção, devendo os cabos passarem por locais
26
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
protegidos fisicamente e recomenda-se que cheguem ao manutenção de equipamentos e nos casos de substituição,
datacenter pelo subterrâneo, longe do acesso público. devem-se tomar os mesmos passos para o descarte.
27
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
( ) Atualmente há uma série de técnicas A gestão operacional visa assegurar o sucesso das
para recuperação de dados em discos, isso foi
operações dos recursos de processamento da informação,
particularmente útil no caso do desastre de 11 de
reduzindo os riscos do mau uso ou uso doloso dos
setembro de 2000 em New York, quando muitas
sistemas. Nada mais reconfortante para um ambiente
informações foram recuperadas.
organizacional, do que ter em mãos documentos com
a) VVFFF procedimentos operacionais detalhados de ações a serem
tomadas nas mais diversas situações (como inicializar
b) FFVVV
e desligar computadores, gerar cópias de segurança,
c) VVFFV manutenção de equipamentos, tratamento de mídias,
segurança e gestão do tratamento das correspondências
d) VFVFF
e dos ambientes de computadores). Isso demanda um
trabalho rigoroso de anotação de rotinas para posterior
documentação das mesmas. Também devem ser previstas
Capítulo 6 - Segurança situações não rotineiras, bem como emergenciais.
Operacional
Assista ao filme sobre Segurança
Operacional na Aviação:
Gerenciar recursos de processamento de
informações é um conjunto de tarefas que http://youtu.be/9fA0eg_atMU
demanda critério de manuseio e responsabilidades
Caso ache interessante, leia mais sobre o tema em:
bem definidas. Como não se pode prever tudo,
devemos ao menos prever o óbvio de todas as h tt p : / / w w w 2 . a n a c . g ov. b r / S G S O 2 / O s % 2 0
situações e o improvável em alguns casos. Dessa quatro%20componentes%20do%20SGSO.asp
forma, os riscos poderão ser minimizados a níveis
até melhores do que o tolerável. Neste capítulo
serão apresentadas as diretrizes a serem adotadas Relatar todas as situações possíveis pode parecer um
a fim de estabelecer e documentar procedimentos procedimento enfadonho, e realmente o é. Porém, sua
e responsabilidades pela gestão operacional dos
execução pode ser muito facilitada caso se possa contar
recursos de processamento da informação, bem
com o auxílio de todos os que estão diretamente ligados a
como a importância da separação de funções e
cada atividade.
áreas de responsabilidade.
28
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
Basta solicitar que cada um descreva suas atividades Outro cuidado importante, é que o acesso a cada
diárias ligadas ao trato com os recursos de processamento ambiente seja feito apenas por pessoas destinadas a
da informação. É importante, também, pedir para trabalhar em cada área. Assim, o ambiente de produção
descreverem as atividades que porventura tenham fugido deverá ser acessado apenas por pessoal de produção,
da rotina, e aquelas as quais nunca ocorreram, mas que enquanto os ambientes de desenvolvimento e teste só
acreditam que um dia poderá ser um fato, ainda que
poderão ser acessados por pessoal das áreas respectivas.
uma única vez. Com esses dados em mãos, comece a
documentar as atividades, tendo em mente que a pessoa
que lerá esse documento, o fará pela primeira vez.
29
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
• Controle dos ambientes: Os ambientes de teste e manter o nível apropriado de segurança e de entrega de
devem trabalhar com dados que não sejam sensíveis à serviços em consonância com os acordos de entrega de
organização, a fim de garantir a confidencialidade destes. serviços terceirizados.
Além disso, mesmo com a terceirização, as organizações várias medidas de como fazer cópias de segurança para
continuam com uma gerência do processo. a eficiência do processo. Dentre elas podemos destacar:
30
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
• É extremamente recomendável que haja duas cópias c) Devem ser implementados controles para proteção
de segurança: uma no local próximo ao equipamento e da confidencialidade e integridade dos dados trafegando
outra no local físico protegido e diferente do original. Essa sobre redes públicas e sem fio, bem como aos sistemas
medida irá garantir que, caso haja uma catástrofe, ainda e aplicações a elas conectadas. Esse quesito passa pela
será possível conseguir recuperar os dados; implantação de medidas de segurança como criptografia e
• Deve-se testar periodicamente se as cópias de VPNs – Virtual Private Networks ou Redes Virtuais Privadas.
segurança são utilizáveis, ou seja, se não se deterioraram;
d) Além de possuir meios para intimidar possíveis
• Criar procedimentos para recuperação de cópias de
ataques, é imprescindível que a rede também disponha de
segurança no menor tempo possível.
meios para detectar os ataques. Portanto, mecanismos de
registro e monitoração devem ser aplicados para que haja
6.5. Segurança de Dados em Redes a gravação das ações relevantes de segurança.
Uma rede segura deve ser protegida contra códigos e) Devem ser registrados todos os eventos possíveis,
maliciosos e ataques inadvertidos e deve, ao mesmo tempo, permitindo analisar o que aconteceu e compreender o
estar em sintonia com os requerimentos do negócio. Cabe que estava ocorrendo em um determinado momento. Mas
aos gestores de segurança implementar os controles a fim esses registros em si devem ser protegidos dos atacantes,
de garantir a segurança dos dados em rede, bem como a para evitar que sejam alterados e para evitar o acesso aos
proteção dos serviços disponibilizados contra acessos não próprios registros:
autorizados. • os registros devem ser criptografados;
• os registros devem ser armazenados somente para
Para que uma rede possa ter um bom nível de
leitura;
segurança da informação, bem como seus serviços serem
• os registros devem ser armazenados em vários lugares.
protegidos, é essencial a implementação de controles que
evitem acessos não autorizados. Várias medidas podem
ser tomadas para a efetivação desses controles. Devem f) Deve haver uma coordenação entre as atividades
ser considerados os seguintes aspectos: de gerenciamento, a fim de otimizar os serviços e
assegurar que os controles estejam aplicados sobre toda a
a) Para minimizar os riscos de uso acidental ou mau uso infraestrutura de processamento da informação.
deliberado dos sistemas, a responsabilidade operacional
pelas redes deve ser separada da operação dos recursos O controle de acesso aos dados e informações das
redes devem ser implementados. Várias técnicas podem
computacionais.
ser empregadas a fim de se obter segurança de acesso aos
b) Devem ser estabelecidas as responsabilidades e serviços de redes, tais como:
procedimentos sobre o gerenciamento de equipamentos
• Autenticação de usuários: através de senhas
remotos, incluindo equipamentos em áreas de usuários.
específicas os usuários autorizados ganham acesso à rede.
Porém, como hoje as redes estão interconectadas e um
usuário pode se logar remotamente à rede, sua senha
é utilizada diversas vezes. Os riscos inerentes à captura
dessa senha, que é enviada em forma de texto pleno,
através de varreduras de pacotes (packet snnifers), tornam
necessária a utilização de novos meios de autenticação,
como PGP ou dispositivos baseados em tokens, apenas
para citar alguns.
• Confidencialidade: para proteger a informação
contra leituras não autorizadas, é recomen-dável a
utilização de mecanismos como criptografia dos dados,
31
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
32
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
33
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
A fim de padronizar e facilitar o gerenciamento de acesso • Os privilégios devem ser concedidos apenas se
do usuário deve ser criado um procedimento formal de registro houver necessidade, e desde que não estejam ferindo a
e cancelamento de um usuário (registro e cancelamento de política de segurança;
seu ID e senha) para garantir e revogar acessos a que ele • As listas de controles de acesso devem ser feitas pelo
tem direito em todos os sistemas e serviços. proprietário (gestor) do recurso, o qual determinará o tipo
de proteção adequada a cada recurso e quem terá acesso
Os procedimentos de controle devem incluir: a eles;
• Deve ser criado um processo de autorização e um
• A verificação da autorização do proprietário do
registro de todos os privilégios concedidos.
sistema para o uso do sistema de informação ou serviço;
• Confirmação através de documento escrito de que o
usuário está ciente das condições de acesso; Após a identificação do usuário
• Remoção ou modificação dos direitos de acesso a através de seu ID, o mesmo deve
usuários que mudaram de funções ou se desligaram da ser autenticado a fim de que
organização; o sistema possa conferir se o
• Cuidados para que não haja IDs redundantes. usuário é quem realmente diz ser.
34
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
• Prover uma forma segura de armazenar senhas no Ao escolher uma senha, o usuário deverá lembrar-se de:
computador;
• Evitar senhas muito curtas ou muito longas (oito
• Alterar senhas padrões de instalação de sistemas ou
dígitos no mínimo é o recomendável).
softwares.
• Evitar senhas óbvias, como sobrenome, datas de
aniversário, nome da namorada, número de telefone,
A análise dos direitos de acesso deve ser executada placa de carro, etc.
periodicamente a fim de se determinar se os direitos • Criar senhas com caracteres e números a fim de
concedidos ainda são válidos para aquele usuário. Esse evitar ataques de dicionário;
• Não repetir caracteres e não usar caracteres seguidos
cuidado visa garantir o controle efetivo dos acessos às
do teclado (QWERT, LKJHGF, QAZWSX).
informações e recursos.
• Criar senhas distintas para sistemas distintos.
Recomenda-se que a periodicidade varie entre três • Alterar a senha a intervalos regulares e não repetir
e seis meses para todas as contas de usuário, devendo senhas antigas.
também ser executada para um usuário específico sempre
que houver mudança de função ou cargo deste, ou o
Exercícios do Capítulo 7
mesmo se desligar da organização.
1) Como deve ser feita a concessão de privilégios
O uso de senhas requer certos cuidados que dependem
de acesso?
do usuário e, portanto, a segurança depende do
conhecimento deste no uso correto de senhas. Os usuários 2) O que deve ser levado em conta na criação da
devem ter pleno conhecimento das políticas de senha e política de acesso?
devem segui-las à risca.
3) O que devemos incluir em um procedimento
de concessão de acesso para um sistema ou em uma
área da rede?
Capítulo 8 - Conformidade
Nos dias atuais, pode-se afirmar que o que
há de mais importante no mundo corporativo
é a informação. Os detentores da informação
obtêm larga vantagem na disputa pelo
Algumas diretrizes devem ser seguidas pelo usuário exigente mercado, porém só isso não basta, é
para manter esse nível de segurança, tais como: imprescindível ainda garantir a disponibilidade e
o acesso à mesma. Para isso devem ser definidos
• Evitar escrever a senha em papel ou armazená-la em processos de conformidade e adequação às
arquivos ou memória de dispositivos móveis, como em regras de acesso e uso da informação, tema que
agenda de celulares. será objeto deste capítulo.
• Procurar memorizar a senha e apagá-la da fonte de
onde a recebeu (papel, e-mail, arquivo, etc).
• Não compartilhar senhas. 8.1 Processos de Conformidade
• Manter a confidencialidade da senha.
Os meios eletrônicos por onde trafegam a informação
• Ao menor indício de comprometimento de uma
senha, alterá-la imediatamente. são expostos constantemente a todo tipo de ameaça,
tais como: espionagem, concorrência desleal, fraudes
35
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
eletrônicas, sabotagem e até mesmo sequestro de • TAM e Gol que são reguladas pela ANAC
informações essenciais para a organização. • Unilever e Nestle pelo Ministério da Saúde
• Telefonica, TIM, VIVO e Claro pela ANATEL
Desse modo, as questões relacionadas à Segurança • Vale do Rio Doce pelo Ministério das Minas e Energia
da Informação conquistaram lugar de destaque nas
estratégias corporativas em âmbito mundial. Proteger a
informação das inúmeras ameaças tornou-se essencial
para garantir a continuidade do negócio, minimizando
riscos e maximizando o retorno sobre os investimentos.
36
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
respeitando as leis e regulamentações locais de cada país, segurança devem ser realizadas pelos gestores, e caso
a fim de evitar a violação dos mesmos. alguma não-conformidade seja detectada, o gestor deve
adotar o seguinte procedimento:
O Código Civil Brasileiro, em seu artigo 186, prevê a verificação técnica deve ser realizada manualmente por
responsabilidade civil para “aquele que viola direito ou engenheiro de sistemas, gerando relatório técnico para
causa dano a outrem, ainda que exclusivamente moral, por interpretação por um técnico especialista.
terceiros prejudicados no desempenho de suas funções”. controle seja efetivo, deve haver um processo estruturado
de auditoria de sistemas de informação, aconselhando
que a auditoria e suas atividades inerentes, quando
envolvida na verificação dos sistemas operacionais, sejam
minuciosamente planejadas e acordadas internamente
a fim de evitar quaisquer riscos de interrupção nos
procedimentos e processos do negócio.
Temos como controle a atribuição de responsabilidade A prática de mercado indica a auditoria como parte
aos gestores, que devem verificar se todos os procedimentos estrutural do processo de controle corporativo.
de segurança dentro da sua área estão sendo executados Os acordos relativos aos requisitos de auditoria devem
adequadamente nos moldes previstos no regulamento de ser acordados com o nível apropriado de administração
segurança da informação adotada pela corporação. (observância de hierarquia). O objetivo da verificação da
auditoria deve ser acordado e controlado, limitando-se a
Análises críticas a intervalos regulares da conformidade
verificação apenas ao acesso para leitura de software e dados.
do processamento da informação com a política de
37
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
guardar arquivos como documentos de auditoria, que seja TI da organização, também facilita a implementação
realizado com a proteção apropriada, havendo monitoração da segurança, que é parte integrante do processo de
de todo acesso, documentação de todo o procedimento, implementação da própria ITIL. A Segurança da Informação
bem como que os auditores não tenham nenhum vínculo encontra-se na segunda fase de implementação da ITIL,
com as áreas auditadas. a fase de Desenho dos Serviços (Service Design). Nesta
fase deve existir foco na confidencialidade, integridade e
Tais diretrizes certamente têm por finalidade a disponibilidade da informação no contexto dos negócios e
preservação da idoneidade do procedimento de auditoria, processos de negócio.
gerando confiabilidade inequívoca nas conclusões
apresentadas. A OCG – Office of Government Commerce define, nos
próprios livros de implementação da ITIL, que o principal
guia para definir o que deve ser protegido e o nível de
Exercícios do Capítulo 8
proteção tem que estar no próprio negócio. Além disso,
1) As políticas de segurança devem esta para ser eficaz, a segurança deve abordar processos de
alinhadas aos processos de proteção da informação todo o negócio e cobrir tanto o aspecto físico como o aspecto
e principalmente às leis e regulamentações de técnico. Somente dentro do contexto de necessidades de
mercado que envolve cada empresa. Qual o papel da negócio e gestão de riscos podem-se definir os critérios
Segurança da Informação para o tema conformidade? de segurança. A ITIL define, ainda, que um guia de
segurança básica deve conter: política de segurança de
2) Considere uma empresa que não possui um
processo estruturado de gestão de segurança das informação, ISMS – Information Security Management
suas informações e com isso se mantém em não System (Sistema de Gerenciamento da Segurança da
conformidade com as leis e regulamentações que Informação), estratégia de segurança orientada para
estão vigentes para seu setor de atuação. Que tipo os objetivos da organização, estrutura de segurança e
de penalidade essas empresas podem sofrer? controles, gestão de riscos, monitoramento de processos,
estratégias de comunicação e consciencialização da
importância da segurança. [PAULINO, 2010]
38
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
Este processo trata da segurança alinhada à governan de serviço, como por exemplo para cada plataforma de TI,
ça corporativa, além de garantir o CID (Confidencialidade, aplicação e rede.
Integridade e Disponibilidade). Este processo de • Implantar: implanta todas as medidas especificadas
nos planejamentos. Classifica e gerencia os recursos de
Gerenciamento de SI é baseado na norma ISO/IEC 27001,
TI, trata da Segurança de Pessoal e gerencia a segurança
que aponta um ciclo para a gestão de segurança da
como um todo (implantação de responsabilidades e
informação. Na verdade, o ciclo descrito na ITIL usa a tarefas, desenvolve regulamentos e instruções, cobre todo
terminologia CPIAM . o ciclo de vida, tratamento de ambientes, mídias, proteção
contra vírus e ameaças).
• Controlar – é a primeira atividade do gerenciamento
• Avaliar: avalia o desempenho das medidas
de segurança e trata da organização e do gerenciamento
planejadas e atende aos requisitos de clientes e terceiros.
do processo.
Os resultados podem ser usados para atualizar medidas
• Planejar – inclui definir os aspectos de segurança acordadas em consultas com os clientes e para sugerir
do ANS - Acordo de Nível de Serviço em conjunto com mudanças. Pode ser feita de três formas: auto-avaliação,
o Gerenciamento de Nível de Serviço, detalhando no auditorias internas e auditorias externas.
ANO- Acordo de Nível Operacional posteriormente. • Manutenção: mantém a parte do ANS que trata de
Também define as atividades em contratos com terceiros segurança e mantém os planos detalhados de segurança.
relacionadas à segurança. Importante lembrar que os É feita baseada nos resultados da avaliação e na análise de
ANOs são planejamentos para uma unidade do provedor mudanças nos riscos.
Gerente de Fornecedor
Responsável por atender aos objetivos deste processo, cuidar da política de Segurança da Informação como um todo e
garantir que a mesma seja adequada e seguida por todos.
Produtos
39
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
Como já vimos, o SLA é um acordo formal de níveis de Medidas de segurança devem ser criadas em cinco
serviço no qual são definidos todos os fatores inerentes níveis, como vem descrito no guia de implementação ITIL
a um serviço contratado/prestado pelas duas partes, por da OCG, e esses níveis são:
exemplo, o nível de disponibilidade do serviço, as políticas
1. Prevenção: medidas para impedir que um
de segurança existentes que tanto o cliente como o
problema de segurança ocorra. O melhor exemplo de
fornecedor se comprometem a cumprir e as próprias regras
medidas preventivas é a atribuição de direitos de acesso
do serviço. Por outro lado, os OLAs definem os mesmos
a um grupo limitado de pessoas. Os outros requisitos
aspectos que os SLAs mas no nível interno, ou seja, o que
associados a esta medida incluem o controle de direitos de
acesso (concessão, manutenção e retirada de direitos) e a
40
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
autorização (identificação de quem tem direito ao acesso • A segurança da informação fica alinhada com os
às informações e utilização dos sistemas). processos do negócio, devido à integração que a ITIL permite.
• A segurança fica muito bem definida e estruturada,
2. Redução: medidas que são tomadas com possibilitada pela definição de papéis e responsabilidades
antecedência para minimizar os possíveis danos que que a ITIL preconiza, o que permite a eficiência dos controles
possam ocorrer no futuro. Por exemplo, cópias de segurança escolhidos.
periódicas e desenvolvimento, teste e manutenção de • Nada é mais importante na segurança que a contínua
planos de contingência. auditoria e controle, e a ITIL viabiliza isso devido à otimização
contínua de todos os serviços.
3. Detecção: medidas para detectar problemas • A integração da segurança nas operações, visto que nos
de segurança. Se existe um problema é bom que seja manuais de processos já podem ser incluídas as regras de
identificado rapidamente. Um exemplo claro é o uso segurança.
de anti-vírus que detecta uma ameaça e nos avisa da • A documentação periódica que a ITIL sugere é uma
vulnerabilidade. ótima prática para o controle e alteração das políticas de
segurança.
4. Repressão: medidas que são utilizadas para
neutralizar qualquer continuação ou repetição do incidente
de segurança. Por exemplo, uma conta temporariamente Para finalizarmos, é importante reforçarmos que
bloqueada após várias tentativas fracassadas de logon. aplicar uma política de Segurança de Informação não é
tarefa fácil mesmo utilizando as práticas da ITIL. Como
5. Correção: medidas de reparação de dano. Por
já dissemos, é necessário todo o apoio da alta direção
exemplo, restauração da cópia de segurança, ou retorno a
e a sensibilização de todos para a importância interna e
uma situação estável anterior (roll-back, back-out).
externa dessa segurança.
Podemos concluir, caro aluno, que a aplicação de boas
Fazendo a ligação desta disciplina com as anteriores
práticas em uma organização traz vantagens na definição
que falaram com detalhes da ITIL, definimos aqui uma
e aplicação de uma política de segurança de informação. A
abordagem importante na governança corporativa, que
ITIL vem melhorar e contribuir para este processo, porque
é a definição de um processo, apoiado pela execução e
contempla a gestão da segurança de informação nos
responsabilidades das pessoas com o uso estruturado
serviços. Os benefícios que as organizações podem obter
da tecnologia, o que traz um nível maior de controles e
com a adoção das boas práticas da ITIL são grandes, e
maturidade nos processos de TI.
entre eles destacamos:
41
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
Caro aluno, esperamos que você tenha atingido nossos ALBERTIN, Rosa; ALBERTIN, Albert. Estratégias de
objetivos com os temas discutidos nessa disciplina. Governança de Tecnologia da Informação. Rio de
janeiro: Campus, 2009.
Nosso objetivo foi trazer para você uma abordagem
tática e estratégica desse tema que vem a cada dia sendo ALEXANDER, Philip. Information security: a
cobrado de forma mais enfática nos perfis profissionais Manager’s Guide to Thwarting Data Thieves
que as empresas buscam: a segurança da informação. and Hackers. Connecticut–London: Praeger Security
International Business Security, 2008.
Levamos as discussões em um nível de profundidade
que, acreditamos, capacita você desde já a implementar ANDRADE, Adriana; ROSSETTI, José P. Governança
um plano de gestão de segurança da informação com Corporativa. São Paulo: Atlas, 2007.
fundamentos claros de controle da informação e das ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS.
políticas. Você está capacitado a analisar uma empresa NBR ISO/IEC 27002: Tecnologia da informação –
pelo seus processos e relacionar as políticas de segurança Técnicas de segurança – Código de prática para a
que elas necessitam. gestão de segurança da informação. Rio de Janeiro:
Como você aprendeu, a implantação de controles 2005.
mais eficientes e dentro de um ciclo de melhoria BO2K. BO2K - Opensource Remote Administration
contínua, apoiados pelas melhores práticas da ITIL, trará Tool. Cult of the Dead Cow, 2011. Disponível em http://
maturidade à gestão de segurança e, consequentemente, www.bo2k.com/. Acesso em: 11 de dezembro de 2011
um maior nível de maturidade na gestão de riscos para as
organizações. CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO
DE INCIDENTES DE SEGURANÇA NO BRASIL – CERT.Br.
Com base nessa nova visão relativa ao valor das Cartilha de Segurança para Internet. Disponível em:
informações, concluímos que implementar um processo http://cartilha.cert.br/conceitos/sec4.html. Acesso em: 25
gestão de segurança da informação para as organizações, de novembro de 2011.
estruturada dentro de políticas bem definidas, alinhadas
com as diretrizes executivas e com o negócio, é fator crítico COMPUTER EMERGENCY RESPONSE TEAM. CERT
de sucesso para as organizações e, acima de tudo, para Advisory CA-2002-30 Trojan Horse tcpdump and
a sua sobrevivência no mercado. Adicionalmente, devem libpcap Distributions. CERT Coordination Center (CERT/
ser respeitadas as leis e regulamentações, os interesses CC), 2002. Disponível em http://www.cert.org/advisories/
dos acionistas e do ecossistema que estão ligados à CA-2002-30.html. Acesso em: 15 de março de 2011
responsabilidade da empresa com o meio ambiente, a
DIAS, Cláudia. Segurança e Auditoria da Tecnologia
sociedade, o governo, etc.
da Informação. Rio de Janeiro: Axcel Books do Brasil
Parabéns por ter concluído esta disciplina e esperamos Editora, 2000.
que o conhecimento aqui adquirido contribua de forma
FORD, Jeffrey Lee. Manual completo de firewalls
significativa para a sua melhor atuação profissional!
pessoais: tudo o que você precisa saber para
proteger o computador. São Paulo: Pearson, 2002.
42
Gestão da infra-estrutura através do ITIL e Gestão de Segurança para T.I
ISO/IEC 13335-1. Information technology – SOUZA NETO, Manoel Veras; RAMOS, Anatália S. M.
Security techniques – Management of information Gestão da Tecnologia da Informação. Natal: Editora
and communications technology security – Part UFRN, 2010.
1: Concepts and models for information and
STAMP, Mark. Information security: principles and
communications technology security management.
practices. Massachussetts: San Jose State University,
Genebra: 2004.
2005.
LYRA, Maurício Rocha. Segurança e Auditoria em
STEWART, James Michael; TITTEL, Ed; CHAPPLE, Mike.
Sistemas de Informação. Rio de Janeiro: Editora
CISSP: Certified Information Systems Security
Ciência Moderna, 2008.
Professional – Study Guide. Indianapolis: Wiley
NORTHCUTT, Stephen; NOVAK, Judy. Network Publishing, 2008.
Intrusion Detection. Avenel, New Jersey: Sams
TANENBAUM, Andrew S. Redes de Computadores.
Publishing, 2002.
Rio de Janeiro: Campus, 2003.
O´BRIEN, James A. Sistemas de Informação e as
TENABLE. Tenable Nessus. Disponível em http://
decisões gerenciais na era da Internet. 3.ed. São
tenable.com/products/nessus. Acesso em 30 de novembro
Paulo: Saraiva, 2010.
de 2011.
OLIVEIRA, D. P. R. Sistemas de informações
TURBAN, Efraim; KING, David; ARONSON; Jay E.
gerenciais: estratégias, táticas, operacionais. 12.ed.
Business Intelligence. Porto Alegre: Bookman, 2009.
São Paulo: Atlas, 2008.
WEISS, Aaron. Spyware be gone! Revista networker:
PAULINO, Sergio F. C. ITIL e a Segurança de
Agents of destruction: fending off spyware. Ano 1, Vol. 9.
Informação. 2010. Disponível em: http://sergiopaulino.
P. 18-25. Nova York, ACM Press, 2005.
net84.net/articles/sdi-capsi.pdf. Acesso em 19 dez. 2011.
Indicações na web:
PAYTON, Anne M. A review of spyware campaigns
and strategies to combat them. Anais da Terceira Palestras: Web Security Forum - Décima Oitava Palestra
Conferência Anual em Segurança da Informação - Jefferson D’Addario
(InfoSecCD ’06). P. 136–141, Nova Iorque. ACM Press,
Foco em gestão de segurança da Informação com visão
2006.
geral do tema
RAPPAPORT, Theodore S. Comunicações sem fio:
http://www.youtube.com/watch?v=x3f4MbT5D9c
princípios e prática. São Paulo: Pearson, 2009.
43