Textobase PoliticasdeSeguranca

Ps-graduao Segurana da Informao
Polticas de Segurana e Planos de Continuidade de Negcios
Prof. Edilberto Silva www.edilms.eti.br edilms@yahoo.com
Braslia-DF Abril/2011
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Sumrio
I. II.
2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9
Introduo e apresentao da disciplina ................................................. 4 Conceitos bsicos ................................................................................... 6

Aceitao do risco ................................................................................................ 6 Ameaa ................................................................................................................. 6 Anlise de riscos ................................................................................................... 6 Avaliao de riscos ............................................................................................... 6 Ativo ..................................................................................................................... 6 Confidencialidade ................................................................................................. 6 Disponibilidade ..................................................................................................... 6 Gesto de riscos ................................................................................................... 6 Impacto................................................................................................................. 7
2.10 Incidente ............................................................................................................... 7 2.11 Integridade ........................................................................................................... 7 2.12 Risco ..................................................................................................................... 7 2.13 Risco residual ........................................................................................................ 7 2.14 Tratamento do risco ............................................................................................. 7 2.15 Vulnerabilidade .................................................................................................... 7
III.
3.1 3.2 3.3 3.4
Diretrizes, normas e procedimentos. ...................................................... 8

ISO/IEC 27001:2006 .............................................................................................. 8 ISO/IEC 27002:2005 .............................................................................................. 9 ISO/IEC 27005:2008 ............................................................................................ 10 COBIT 4.1 x ITIL v3 x ISO/IEC 27.002................................................................... 13
3.4.1 COBIT 4.1 ....................................................................................................... 13 3.4.2 ITIL 3 .............................................................................................................. 15
IV.
4.1 4.2 4.3 4.4 4.5 4.6 4.7
Metodologia para Implantao de um SGSI .......................................... 17

A Concepo do Sistema .................................................................................... 17 Estabelecimento de uma Poltica de Segurana da Informao ........................ 18 Anlise de Risco .................................................................................................. 18 Gerenciamento de Riscos ................................................................................... 20 Seleo dos Controles e Declarao de Aplicabilidade ...................................... 20 Implementao e Acompanhamento dos Indicadores ...................................... 21 Auditoria do Sistema .......................................................................................... 21
V. VI.
Comit de Segurana da Informao ..................................................... 22 PCN - Plano de Continuidade dos Negcios ........................................... 23
www.facsenac.edu.br Pgina 2 de 45
6.1 6.2 6.3 6.4 6.5
AIN - Anlise de Impacto no Negcio ................................................................. 24 Metodologia para desenvolvimento do PCN ..................................................... 24 Plano de Administrao de Crise. ....................................................................... 26 Plano de Continuidade Operacional................................................................... 27 Plano de Recuperao de Desastres. ................................................................. 27
6.5.1 Identificao e Anlise de Riscos de Desastres/Ameaas ............................. 28 6.5.2 Classificao de Riscos Baseada em pesos relativos ..................................... 29 6.5.3 Construindo a Avaliao de Risco.................................................................. 30 6.6 Fases de um Plano de Recuperao de Desastres. ............................................ 31
6.6.1 Fase de Ativao ............................................................................................ 32 6.6.2 Fase de Execuo........................................................................................... 32 6.6.3 Fase de reconstituio ................................................................................... 32 6.7 Documentao do Plano de Recuperao de Desastres. ................................... 33
6.7.1 Contedo do documento de recuperao de desastres ............................... 33 6.8 Estratgias de Contingncia ............................................................................... 35
6.8.1 In-House ........................................................................................................ 36 6.8.2 Contratos com terceiros. ............................................................................... 36 6.8.3 Cold Site ......................................................................................................... 36 6.8.4 Warm Site ...................................................................................................... 36 6.8.5 Hot Site .......................................................................................................... 36 6.8.6 Local recproco. ............................................................................................. 37
VII.
7.1 7.2
Auditoria e Controle ............................................................................. 37

Controles e Pontos de Controle ......................................................................... 37 Processos de Auditoria da Segurana da Informao ........................................ 39
7.2.1 Gesto do projeto ou do programa de auditoria .......................................... 39 7.2.2 Deciso sobre o propsito da auditoria ........................................................ 39 7.2.3 Identificao de objetos e pontos de controle.............................................. 40 7.2.4 Definio de tcnicas para obter evidncias e procedimentos de controle . 40 7.2.5 Montagem da roteirizao de auditoria ....................................................... 40 7.2.6 Coleta e registro de evidncias em papis de trabalho ................................ 41 7.2.7 Verificao, validao e avaliao de evidncias .......................................... 41 7.2.8 Produo de pareceres e outros entregveis................................................ 41 7.2.9 Acompanhamento ps-auditoria .................................................................. 41 7.3 Classificao da Informao segundo Decreto 4.553/2002 ............................... 42
VIII. Referncias: ......................................................................................... 44

I. Introduo e apresentao da disciplina

Ol! Tudo bem? com grande satisfao que estaremos juntos em mais uma disciplina. Esta em especial, pois uma disciplina rica em conceitos e aplicaes prticas. Uma disciplina que tenho certeza contribuir para o desenvolvimento e know how na capacidade e viso gerencial que todo bom gestor de segurana deve possuir, sobretudo na complexidade do tema no atual cenrio da Tecnologia da Informao. Um especialista na rea de segurana deve estar apto a analisar e gerenciar diversos cenrios e conhecer bem as prticas, normativos, leis e tcnicas associadas segurana, afinal o entendimento sobre a importncia da segurana da informao caracteriza-se cada vez mais como condio sine qua non na gerncia estratgica das organizaes, qui dos pases. A exemplo disto o governo brasileiro criou no Gabinete de Segurana Institucional da Presidncia da Repblica o Departamento de Segurana da Informao e Comunicaes, a fim de aprimorar e organizar a segurana ciberntica, coordenando as atividades de segurana da informao procurando assegurar, dentro do espao ciberntico, aes de segurana da informao e comunicaes como fundamentais para a disponibilidade, a integridade, a confidencialidade e a autenticidade da informao. Nesta disciplina de Polticas de Segurana e Planos de Continuidade de Negcio vamos juntos aprender e aplicar conceitos relacionados segurana da informao sob o prisma organizacional, especialmente no desenvolvimento de planos importantes e vitais para organizaes no sculo XXI onde a Segurana da Informao faz parte da chave do sucesso. Na nova conformao da Sociedade da Informao, vale destacar os seguintes fenmenos: a) Elevada convergncia tecnolgica; b) Aumento significativo de sistemas e redes de informao, bem como da interconexo e interdependncia dos mesmos; c) Aumento crescente e bastante substantivo de acesso Internet e das redes sociais; d) Avanos das tecnologias de informao e comunicao (TICs); e) Aumento das ameaas e das
www.facsenac.edu.br
Pgina 4 de 45
vulnerabilidades de segurana ciberntica; e, f) Ambientes complexos, com mltiplos atores, diversidade de interesses, e em constantes e rpidas mudanas. Neste cenrio desafiador aprenderemos sobre comit gestor de segurana da informao, auditoria e controle, anlise de impacto no negcio, estratgias de contingncia, Compliance e polticas de segurana. E desenvolveremos plano de contingncia, plano de administrao de crise, plano de continuidade operacional e plano de Recuperao de Desastres. Esta disciplina os ajudar a atingir os propsitos do curso onde um especialista em segurana da informao deve estar apto a projetar, implantar e gerenciar solues que aumentam o sigilo, a integridade e disponibilidade das informaes, garantindo um processo contnuo de certificao da segurana s organizaes. nosso foco ainda desenvolver competncias para que vocs possam atuar como Analistas de Segurana da Informao e assim analisar riscos, elaborar polticas de segurana e planos de continuidade de negcios bem assim realizar auditorias de sistemas. Diante deste desafio preparei um material com conceitos bsicos sobre o assunto e, como no poderia deixar de ser, vamos colocar a mo na massa e elaborar vrios documentos a fim de aplicar o conhecimento obtido haja vista que Segurana da informao est em voga. Ento vamos l! Arregacem as mangas! Abram suas mentes! Vamos aprender juntos a desenvolver bons planos de segurana e assim contribuir significativamente para a rea de segurana e para nossas vidas! Contem comigo! Bons estudos! Prof. Edilberto Silva :=D
www.facsenac.edu.br
Pgina 5 de 45
II. Conceitos bsicos

2.1 Aceitao do risco
Deciso de aceitar um risco [ABNT ISO/IEC Guia 73:2005]
2.2
Ameaa
Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao [ISO/IEC 13335-1:2004]
2.3
Anlise de riscos
Uso sistemtico de informaes para identificar fontes e estimar o risco [ABNT ISO/IEC Guia 73:2005]
2.4
Avaliao de riscos
Processo de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco [ABNT ISO/IEC Guia 73:2005].
2.5
Ativo
Qualquer coisa que tenha valor para a organizao [ISO/IEC 13335-1:2004]
2.6
Confidencialidade
Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados [ISO/IEC 13335-1:2004].
2.7
Disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada [ISO/IEC 13335-1:2004].
2.8
Gesto de riscos
Atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos [ABNT ISO/IEC Guia 73:2005]
2.9 Impacto
Abrangncia dos danos causados por um incidente de segurana sobre um ou mais processos de negcio.
2.10 Incidente
Fato (evento) decorrente de uma ao de uma ameaa, que explora uma ou mais vulnerabilidades, levando a perda de princpios da segurana da informao.
2.11 Integridade
Propriedade de salvaguarda da exatido e completeza de ativos [ISO/IEC 13335-1:2004].
2.12 Risco
Probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade ou disponibilidade, causando impactos nos negcios. Equao do Risco:
2.13 Risco residual

Risco remanescente aps o tratamento de riscos [ABNT ISO/IEC Guia 73:2005].
2.14 Tratamento do risco

Processo de seleo e implementao de medidas para modificar um risco [ABNT ISO/IEC Guia 73:2005]
2.15 Vulnerabilidade
Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas.
www.facsenac.edu.br
Pgina 7 de 45
III.Diretrizes, normas e procedimentos.

A seguir apresenta-se um resumo pontual sobre as normas ISO/IEC, modelos, boas prticas de servios e gesto de TI relacionadas e que serviro de apoio em nossa disciplina. O intuito meramente diferenciar seus objetivos em um arcabouo breve e assim ajudar e deixar mais claro onde utilizar cada um nas atividades a serem desempenhadas em nossa disciplina.
3.1
ISO/IEC 27001:2006
Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI deve ser uma deciso estratgica para uma organizao. A especificao e a implementao do SGSI de uma organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos empregados e tamanho da estrutura organizacional. esperado que este e os sistemas de apoio mudem com o passar do tempo. esperado que a implementao de um SGSI seja escalada conforme as necessidades da organizao, por exemplo, uma situao simples requer uma soluo de um SGSI simples. Estrutura da ISO 27001:2006
0. Introduo 1. Objetivo 2. Referncia normativa 3. Termos e denies 4. Sistema de gesto de segurana da informao (Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentao) 5. Responsabilidades da direo (Comprometimento da direo / Gesto de recursos) 6. Auditorias internas do SGSI 7. Anlise crtica do SGSI pela direo (Geral / Entradas para a anlise crtica / Sadas da Anlise Crtica) 8. Melhoria do SGSI (Melhoria contnua / Ao corretiva / Ao preventiva)
A 27001 adota o modelo conhecido como PDCA - Plan-Do-Check-Act (figura 1), que aplicado para estruturar todos os processos do SGSI - Sistema de Gesto de Segurana da Informao.
www.facsenac.edu.br
Pgina 8 de 45
Figura 1 Modelo PDCA Plan, Do, Act e Check
PDCA na ISO 27001

Plan (planejar) (estabelecer o SGSI) Estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e objetivos globais de uma organizao. Implementar e operar a poltica, controles, processos e procedimentos do SGSI Avaliar e, quando aplicvel, medir o desempenho de um processo frente poltica, objetivos e experincia prtica do SGSI e apresentar os resultados para a anlise crtica pela direo. Executar as aes corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI.
Do (fazer) (implementar e operar o SGSI) Check (checar) (monitorar e analisar criticamente o SGSI
Act (agir) (manter e melhorar o SGSI)
3.2
ISO/IEC 27002:2005
A norma ABNT NBR ISO/IEC 27002:2005 evidencia que imprescindvel proteger a informao dos diversos tipos de ameaas existentes com o objetivo de garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio para usurios, empresas e instituies, sejam elas privadas ou pblicas. Esta Norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos definidos nesta Norma provem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao.
Os objetivos de controle e os controles desta Norma tm como finalidade ser implementados para atender aos requisitos identificados por meio da anlise/avaliao de riscos. Esta Norma pode servir como um guia prtico para desenvolver os procedimentos de segurana da informao da organizao e as eficientes prticas de gesto da segurana, e para ajudar a criar confiana nas atividades inter-organizacionais.
Estrutura da ISO 27002:2005

0. Introduo 1. Objetivo 2. Termos e definies 3. Estrutura da norma 4. Anlise/avaliao e tratamento de riscos 5. Poltica de segurana da informao 6. Organizando a segurana da informao 7. Gesto de ativos 8. Segurana em recursos humanos 9. Segurana fsica e do ambiente 10. Gerenciamento das operaes e comunicaes 11. Controle de acessos 12. Aquisio, desenvolvimento e manuteno de sistemas 13. Gesto de incidentes de segurana da informao 14. Gesto da continuidade do negcio 15. Conformidade
3.3
ISO/IEC 27005:2008
Esta norma fornece diretrizes para a segurana da informao da gesto de riscos, tendo como objetivo fornecer um guia para a implementao da abordagem de gerenciamento de riscos orientada ao processo, para auxiliar na execuo e no cumprimento satisfatrio da implementao da gesto de riscos da informao, baseado nos requisitos da norma ISO/IEC 27001. Foi elaborada para facilitar uma implementao satisfatria da segurana da informao tendo como base a gesto de riscos. Aplica-se a todos os tipos de organizao que pretendam gerir os riscos que poderiam comprometer a segurana da informao da organizao. Nesta norma encontrado um conjunto de tcnicas que so empregadas para guiar o gerenciamento dos riscos de segurana, incluindo recomendaes sobre a avaliao de riscos, tratamento, aceitao, comunicao, monitoramento e reviso dos riscos.
www.facsenac.edu.br
Pgina 10 de 45
Estrutura da ISO 27005:2008

1. Introduo 2. Escopo 3. Referncias Normativas 4. Termos e Denies 5. Organizao da Norma 6. Contextualizao 7. Viso Geral do Processo de Gesto de Riscos de Segurana da Informao 8. Denio do Contexto 9. Anlise/Avaliao de Riscos de SI 10. Tratamento do Risco de SI 11. Aceitao do Risco de SI 12. Comunicao do Risco de SI 13. Monitoramento e Anlise Crtica de Riscos de SI
Uma viso do gerenciamento de riscos, segundo a ISO 27.005, mostrada na figura 2.
Figura 2 Overview do Gerenciamento de Risco ISO 27005 www.facsenac.edu.br Pgina 11 de 45
E o tratamento do Risco, parte do processo de gerenciamento mostrado na figura 3.
Figura 3 Tratamento de Risco na ISO 27005
Da mesma forma que na ISO 27001 a 27005:2008 tambm adota o modelo PDCA. PDCA na ISO 27005
Plan (planejar) Estabelecimento do Contexto (Contextualizao) Anlise/Avaliao do Risco Desenvolvimento do Planejamento de Risco Aceitao do Risco Do (fazer) Check (checar) Act (agir) Implementao do Tratamento de Risco Monitorao e Reviso dos Riscos Manuteno e melhoria do Processo de Gerenciamento de Risco da Segurana da Informao
www.facsenac.edu.br
Pgina 12 de 45
3.4
COBIT 4.1 x ITIL v3 x ISO/IEC 27.002
Em 2008 a ISACA (COBIT) e a OGC (ITIL) publicaram um trabalho deveras importante para nossa disciplina qui para nosso papel de gestores de TI e de segurana. Trata-se do documento Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit 1 que trata sobre o alinhamento do COBIT 4.1, ITIL V3 e ISO / IEC 27002 para Benefcio Empresarial, traduzindo literalmente. O documento uma verso atualizada tratando das ltimas verses lanadas dos modelos relacionados e que trata sobre aplicao geral das melhores prticas de TI concentrando-se na Governana e Controle de TI, Gesto de Servios e Gerenciamento da Segurana da Informao. (ISACA, 2008) Sugiro uma leitura no documento oficial, pois acredito que ele uma fonte de informao extraordinria para os temas que estamos tratando aqui. Para contextualizar melhor, mas sem a pretenso de esgotar as partes mais importantes para nossa disciplina, descrevo a seguir alguns tpicos relevantes. 3.4.1 COBIT 4.1 O COBIT (Control Objectives for Information Technology) descreve um conjunto de objetivos (objetos) de controle e pontos de controle, tpico de Organizaes de Tecnologia da Informao. Ressalta-se que nem todos os objetivos declarados no COBIT 4.1 so relacionados segurana da informao. O modelo, em sua verso 4.1 (ISACA, 2002), apresenta objetivos de controle agrupados em 34 arqutipos de processos de organizao de TI. Os 34 processos organizacionais so agrupados em 4 domnios (Planejamento e Organizao, Aquisio e Implementao, Entrega e Suporte de Servios de TI, alm do Monitoramento e Avaliao). Os 318 objetivos de controle so subdivididos (implementados) com pontos de controle (chamados no COBIT de prticas de controle).
1
Disponvel em http://www.isaca.org/KNOWLEDGE-CENTER/COBIT/Pages/Downloads.aspx
www.facsenac.edu.br
Pgina 13 de 45
O COBIT fornece as melhores prticas e ferramentas para monitorar e gerenciar as atividades de TI, ajudando os executivos a compreender e gerir investimentos de TI em todo seu ciclo de vida. Ele fornece um mtodo para avaliar se os servios de TI e novas iniciativas so susceptveis de oferecer os benefcios esperados. De forma resumida o COBIT inclui aspectos relacionados segurana especialmente em: Quanto aos critrios da informao: Confidencialidade, Integridade e Disponibilidade. No domnio PO Planejamento e Organizao os processos: P02 - Definir a Arquitetura da Informao, PO4 Definir os Processos, Organizao e os Relacionamentos de TI e PO9 Avaliar e Gerenciar os Riscos de TI. No domnio AI Aquisio e Implementao o processo: AI2 Adquirir e Manter Software Aplicativo. No domnio DS Entrega e Suporte os processos: DS4 Assegurar Continuidade de Servios, DS5 Assegurar a Segurana dos Servios, DS7 Educar e Treinar os Usurios, DS8 Manage Service Desk and Incidents. A ttulo exemplificativo so mostrados na figura 4 os relacionamentos entre processos, objetivos e mtricas do processo DS5 Garantir Segurana dos Servios. descrita na figura a relao entre os objetivos de negcios de TI, processos e atividades e suas diferentes mtricas, bem como os objetivos em cascata. Abaixo do objetivo est demonstrada a medida de resultados. As setas menores mostram que a mesma mtrica um indicador de performance para um objetivo de maior nvel. (ITGI, 2007)
www.facsenac.edu.br
Pgina 14 de 45
Figura 4 Relacionamento entre Processos, Objetivos e Mtricas (DS5)
3.4.2 ITIL 3 Hoje, as organizaes dependem de TI para satisfazer seus objetivos corporativos, atender s necessidades de seus negcios e agregar valores aos clientes. Para que isso acontea de uma forma gerencivel, responsvel e repetitivo, as empresas devem garantir que servios de TI sejam alta qualidade e que sejam fornecidos com as seguintes caractersticas: Projetados para acompanhar as necessidades do negcio e requisitos do usurio; Em conformidade com a legislao; Eficiente e eficaz na origem e entrega; Continuamente revisado e aprimorado.
www.facsenac.edu.br
Pgina 15 de 45
Figura 5 Parte do mapeamento em alto nvel do modelo de servios do ITIL v3
O Gerenciamento de Servios de TI est preocupado com o planejamento, projeto, implementao, operao, suporte e melhoria nos servios de TI que sejam adequados s necessidades de negcios. O Gerenciamento de Servios de TI o conjunto de capacidades organizacionais (processos e mtodos de trabalho, funes, papis e atividades) realizadas para prover valor sob a forma de servios. O Gerenciamento de Servios um conjunto de habilidades da organizao para fornecer valor para o cliente em forma de servios (ITIL V3) O ITIL V3 tem um eixo (ncleo) de conduo das atividades, o livro de Estratgia de Servio, que norteia os demais livros / processos, que so: Desenho de Servio, Transio de Servio e Operao de Servio. Circundando todos os processos est o livro de Melhoria Contnua de Servio. Todos so tidos como fases do ciclo de vida dos servios, sendo a Estratgia a fase inicial do mesmo sendo distribudos ao longo do ciclo de vida do servio de TI.
www.facsenac.edu.br
Pgina 16 de 45
A ITIL oferece um abrangente, consistente e coerente framework de melhores prticas para o gerenciamento de servios e processos, voltado para alcance da eficcia empresarial e eficincia na gesto de servios. Isto inclui aspectos relacionados segurana especialmente nos tpicos a seguir. No Desenho de servios: ISM Gerenciamento de Segurana da Informao e ITSCM - Gerenciamento de Continuidade dos servios de TI Na Transio de servios: Gerenciamento de Configurao e de Ativos de Servio (SACM) especificamente na validao e testes de servios. A figura 5 mostra uma parte do mapeamento em alto nvel do modelo de servios do ITIL V3, descrevendo a relao entre os servios mencionados. (ITILV3, 2007)
IV.
Metodologia para Implantao de um SGSI
Martins (MARTINS, 2005) apresenta uma proposta de metodologia para a implantao de um Sistema de Gesto da Segurana da Informao (SGSI). A metodologia baseada em padres e normas de segurana tais como: TECSEC: 1985, ISO 15408:1999, ISO/IEC TR 13335:1998, ISO/IEC 17799:2001 e IEC 61508:1998. O estudo apresenta uma metodologia em alto nvel com intuito de se tornar uma referncia para implantao e acompanhamento de Sistemas de Gesto da Segurana da Informao em organizaes. As etapas e normas a elas associadas desta metodologia, bem como os resultados produzidos em cada etapa apresentada na figura 6
4.1 A Concepo do Sistema

A etapa inicial, que ocorre antes da realizao do primeiro passo da metodologia, corresponde fase de concepo do sistema. neste momento em que se determina a viabilidade do projeto, realiza-se o planejamento inicial de suas fases, bem como algumas estimativas iniciais de custo, alocao de pessoal, cronograma, escopo, objetivos e metas. Normalmente, a fase de concepo abrange duas etapas: Diagnstico da situao atual e Planejamento do SGSI com preparao para a sua implantao
www.facsenac.edu.br
Pgina 17 de 45
4.2 Estabelecimento de uma Poltica de Segurana da Informao

Para construir as polticas de segurana da organizao, o comit deve tomar como base os padres e normas de segurana. A poltica de segurana um documento que deve descrever as recomendaes, as regras, as responsabilidades e as prticas de segurana. Entretanto, sabe-se que no existe uma Poltica de Segurana Modelo que possa ser implementada em toda e qualquer organizao, pois a poltica dever ser moldada especificidade de cada caso. Nos tpicos V e VI deste texto so tratados sobre o Comit de Segurana e sobre a PCN Plano de Continuidade dos Negcios que faz parte da poltica de Segurana da Informao.
4.3 Anlise de Risco

Na 3 etapa realizado o diagnstico da segurana para o escopo definido, atravs da identificao dos ativos de informao envolvidos e do mapeamento de todas as ameaas relacionadas a estes onde para cada ameaa deve ser determinado o nvel de risco envolvido. Nessa etapa estimado o impacto que um determinado risco pode causar ao negcio. Como praticamente impossvel oferecer proteo total contra todas as ameaas existentes, preciso identificar os ativos e as vulnerabilidades mais crticas, possibilitando a priorizao dos esforos e os gastos com segurana. Uma vez que os riscos tenham sido identificados e a organizao definiu quais sero tratados, as medidas de segurana devem ser de fato implementadas. A ISO/IEC 27005:2008 descrita no tpico III descreve os passos para o gerenciamento de riscos que inclui a anlise de riscos.
www.facsenac.edu.br
Pgina 18 de 45
Figura 6 Metodologia para desenvolvimento de um SGSI
www.facsenac.edu.br
Pgina 19 de 45
4.4 Gerenciamento de Riscos

Nessa etapa estimado o impacto que um determinado risco pode causar ao negcio. Como praticamente impossvel oferecer proteo total contra todas as ameaas existentes, preciso identificar os ativos e as vulnerabilidades mais crticas, possibilitando a priorizao dos esforos e os gastos com segurana. Uma vez que os riscos tenham sido identificados e a organizao definiu quais sero tratados, as medidas de segurana devem ser de fato implementadas. A ISO/IEC 27005:2008 descrita no tpico III descreve os passos para o gerenciamento de riscos que inclui a anlise de riscos.
4.5 Seleo dos Controles e Declarao de Aplicabilidade

Aps a identificao dos requisitos de segurana, convm que os controles sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nvel aceitvel. A ISO 27001:2006 prov os controles aplicveis a esta etapa visto que so relacionados diretamente gesto de segurana da informao. Como no basta instituir uma srie de regras a serem cumpridas internamente necessrio estabelecer procedimentos e controles para o acesso de parceiros externos corporao, como por exemplo: definio de convnios para acesso s bases corporativas e da poltica de uso da intranet e Internet; definio de modelo de identificao de pirataria; de gerenciamento de rede; de distribuio de verses de software e de padres Internet; deteco de inatividade de modems ligados rede; definio do padro de atualizao de antivrus e do acesso de empregados ao provedor corporativo; padronizao do portal institucional e do site comercial; implantao, roteamento, criptografia, certificao digital, configurao de firewall, dentre outras ferramentas e tecnologias necessrias. Aps sua definio, os controles devem ser implementados dentro do escopo estabelecido, seguindo as informaes geradas durante o processo de anlise de riscos, tomando o cuidado de sempre manter o foco nos propsitos do negcio, evitando prejudicar, inviabilizando ou retardando demasiadamente, a atividade fim da organizao
4.6 Implementao e Acompanhamento dos Indicadores

Os processos de implantao de contramedidas e de diretivas de segurana ocorrem durante toda a fase de implantao da metodologia. Em seguida, deve ocorrer um processo de acompanhamento de todos os controles implementados e, para isso, necessria a produo de indicadores especficos que possibilitem visualizar as condies de funcionamento e desempenho do ambiente analisado. A implementao dos controles selecionados pode envolver a aquisio de tecnologia de software e/ou hardware (custos adicionais), mas em alguns casos, essa implementao resulta apenas na criao de padres e normas internas a serem obedecidas.
4.7 Auditoria do Sistema

As auditorias internas do SGSI tm a finalidade de verificar, com base em evidncias objetivas, se as seguintes condies ocorrem satisfatoriamente: Os procedimentos e instrues operacionais so adequados e eficazes. Os setores da Empresa vm atuando em concordncia com os documentos normativos. Os subsdios fornecidos so suficientes para elaborao dos relatrios peridicos de anlise crtica do SGSI. Para que as auditorias internas ocorram com eficcia, recomenda-se que alguns princpios sejam seguidos, como por exemplo, a independncia dos auditores, o planejamento e notificao prvios, o aprimoramento contnuo do SGSI e a busca de constataes e observaes que agreguem valores s atividades referentes segurana da informao, aos objetivos e metas da organizao e s suas polticas. A auditoria discutida no tpico VII Auditoria e controle deste texto.
www.facsenac.edu.br
Pgina 21 de 45
V. Comit de Segurana da Informao

O sucesso de um Projeto Organizacional e seus desmembramentos inclui a adoo e gesto da Segurana da Informao que comea com o comprometimento de todos os setores da organizao com a poltica de Segurana da Informao a ser implantada. Este comprometimento pode ser obtido atravs da criao de um comit ou frum de segurana da informao, que deve se encontrar regularmente a fim de balizar e respaldar o trabalho do CSO Chief Information Security Officer que executivo responsvel pela segurana da informao da organizao inteira, tanto fsica como lgica. (SEMOLA, 2003) O CSO dentre outras tarefas responsvel por supervisionar e coordenar os esforos de segurana em toda a empresa, incluindo as reas de tecnologia da informao, recursos humanos, comunicao, jurdica, gesto de instalaes e de outros grupos, e identificar iniciativas de segurana e padres definidos para a organizao. (SEMOLA, 2003a) Em linhas gerais, o CSO tem um perfil executivo, tomando partido das decises macro estratgicas da companhia e participando ativamente da modelagem do SGSI - Sistema de Gesto de Segurana. Este papel deve ser gerenciado no nvel estratgico, envolvendo a cpula da alta direo, com adequado planejamento alinhado s normas como ISO/IEC 27001, 27002 e 27005, visando adequar-se as conformidades, como por exemplo, Sarbanes-Oxley. Uma das funes principais deste comit definir o nvel de risco aceitvel pela organizao. Dependendo do tamanho da organizao, alm deste comit, recomendada a criao de um departamento de segurana da informao, sob responsabilidade do CSO - Chief Security Officer. Algumas organizaes podem ter tambm uma diretoria de segurana que engloba as reas de segurana fsica ou patrimonial e segurana lgica. Seja qual for o modelo usado, indispensvel que o CSO tenha visibilidade em toda a organizao. A inexistncia do comit afastar o departamento de segurana das decises estratgicas, fazendo com que este se torne um departamento meramente operacional da rea de Tecnologia da Informao.
www.facsenac.edu.br
Pgina 22 de 45
VI.
PCN - Plano de Continuidade dos Negcios
Segundo Smola (2003) o PCN - Plano de Continuidade de Negcios ou em ingls BCP Business Continuity Planning envolve a anlise de Impacto de negcios e os planos de contingncia, composto dos planos: de Administrao de Crises (PAC), de Recuperao de Desastres (PRD) e de Continuidade Operacional (PCO). O objetivo principal do Plano de Continuidade de Negcios garantir a continuidade de processos e informaes vitais sobrevivncia da empresa, no menor espao de tempo possvel, com o objetivo de minimizar os impactos do desastre, como mostrado na figura 7.
Figura 7 Linha de tempo de um desastre em um PCN (DRS Pty, 2011)
Assim, todos os planos que compem o PCN tm o intuito de formalizar aes a serem tomadas para que, em momentos de crise, a recuperao, a continuidade e a retomada possam ser efetivas, evitando que os processos crticos de negcio da organizao sejam afetados, o que pode acarretar em perdas financeiras. O PCN composto por fases como referenciado pela norma BS 25999 e ilustrado na figura 8. A BS 25999 uma Norma Britnica para GCN - Gesto da Continuidade do Negcio que apresenta um conjunto detalhado de controles baseados nas melhores prticas da GCN, englobando todo seu ciclo de vida. Define a potencialidade estratgica e ttica da organizao para planejar e responder aos incidentes e s rupturas do negcio, a fim de dar continuidade s suas operaes num nvel predefinido como aceitvel. A norma genrica e orienta as organizaes para operacionalizarem os seus sistemas de GCN. Uma organizao pode preparar-se para as piores etapas e melhorar a sua resistncia s ameaas. (Silva, 2010)
Figura 8 Fase de Plano de Continuidade (Silva, 2010)
6.1 AIN - Anlise de Impacto no Negcio

AIN - Anlise de Impacto no Negcio ou em ingls BIA Business Impact Analysis uma parte inerente da BS 25999 e que ajuda as organizaes a identificarem as suas atividades e os recursos crticos que suportam os seus produtos/servios-chave, assim como o impacto da sua falha na organizao. A AIN uma componente essencial do Plano de Continuidade do Negcio. (BS2599, 2011)
6.2 Metodologia para desenvolvimento do PCN

Para implantao de um PCN Plano de Continuidade de Negcio apropriado a utilizao de uma metodologia reconhecida de modo a garantir uma abordagem estruturada adotado e aplicado consistentemente ao longo do desenvolvimento e de sua implementao. Duas associaes profissionais reconhecidas internacionalmente so dedicadas ao desenvolver padres para elaborao de PCN, que so consideradas boas prticas: (ISACA, 2002) Disaster Recovery International Institute (DRI), USA Disaster Recovery Institute International (DRI), EUA
Business Continuity Institute (BCI), United Kingdom Business Continuity Institute (BCI), Reino Unido Alguns pases como a Austrlia j possuem normas para continuidade de negcios como, por exemplo, a OB7AS/NZS, 2000 36. A figura 9 mostra uma viso geral desta metodologia. Embora distintas, as metodologias tm contedo semelhantes, que pode ser resumido em 7 fases: 1 Iniciao do projeto (objetivos e pressupostos); 2 Requisitos funcionais (obteno e anlise dos fatos, as alternativas e as decises de gesto) 3 Concepo e desenvolvimento (elaborao do plano) 4 Implantao (criao do plano) 5 Testes e exerccios (ps-implantao reviso do plano) 6 Manuteno e atualizao (atualizao do plano) 7 Execuo (declarar desastre e executar as operaes de recuperao)
Com este propsito e formado pelas etapas de Anlise de Impactos de Negcios, Estratgias de Contingncia em trs planos de contingncia propriamente ditos (Plano de Administrao de Crises, Plano de Continuidade Operacional e Plano de Recuperao de Desastres) o Plano de Continuidade de Negcios deve ser elaborado com o claro objetivo de contingenciar situaes e incidentes de segurana que no puderam ser evitados. A seguir so apresentados os planos de contingncia: de Crise, de Continuidade Operacional e de Recuperao de Desastres, que por serem de vital importncia, na gesto corporativa da segurana da informao, precisam ser exaustivamente testados e aprovados. A homologao de todos os planos cogente para garantir eficincia e permitir ajustes diante de mudanas fsicas, tecnolgicas e humanas comuns em um ambiente corporativo. (SEMOLA, 2003)
www.facsenac.edu.br
Pgina 25 de 45
Figura 9 Viso geral do Plano de Continuidade Negcios (ISACA, 2002)
6.3 Plano de Administrao de Crise.

Tem o propsito de definir passo a passo o funcionamento das equipes antes, durante e depois da ocorrncia do incidente. Este plano tem com objetivo define os procedimentos a serem executados at o retorno normal das atividades. Exemplo: comunicao do fato imprensa
6.4 Plano de Continuidade Operacional.

Define os procedimentos para contingenciamento dos ativos que suportam cada processo de negcio O objetivo deste plano reduzir o tempo de indisponibilidade e os impactos potenciais ao negcio. Exemplo: as aes diante da queda de uma conexo Internet
6.5 Plano de Recuperao de Desastres.

Os desastres so inevitveis, mas principalmente imprevisvel, e eles variam em tipo e magnitude. Para uma organizao, um desastre significa interrupo abrupta de todo ou parte de suas operaes de negcios, que podem ser resultado direto em perda de receita e de imagem. Para minimizar as perdas de desastres, muito importante ter um bom plano de recuperao de desastres para todos os subsistemas de negcio e operao de uma empresa. (SEMOLA, 2003) Assim este plano abrange a recuperao e restaurao das funcionalidades dos ativos humanos, operacionais, tecnolgicos que suportam o negcio. Seu objetivo o restabelecimento do ambiente e das condies originais de operao. A figura 10 ilustra o ciclo das operaes enunciadas em um plano de recuperao de desastres (Disaster Recovery), quando ocorre um desastre e as operaes normais da empresa so suspensas e substitudas por etapas que a conduzem de um desastre de volta a um estado de normalidade (Operao normal Desastre Operaes Interrompidas Restaurao das Operaes seguindo o PRD Reconstruo dos Processos Operao Normal). (CISCO, 2011)
Um plano de recuperao de desastres eficiente desempenha o seu papel em todas as fases das operaes como descrito acima, e continuamente melhorado por exerccios de recuperao de desastres e processos de captura de feedback. (FAGUNDES, 2011)
www.facsenac.edu.br
Pgina 27 de 45
Figura 10 - Ciclo do Plano de Desastre (Disaster and Recovery)
Em resumo, o plano de recuperao de desastres (1) Identifica e classifica as ameaas/riscos que podem levar a desastres; (2) define os recursos e processos que assegurem a continuidade dos negcios durante o desastre e; (3) define o mecanismo para obter a reconstituio o negcio de volta ao normal a partir do estado de recuperao de desastre, aps os efeitos do desastre so mitigados. Estas etapas so descritas, resumidamente, a seguir: 6.5.1 Identificao e Anlise de Riscos de Desastres/Ameaas O primeiro passo no planejamento de recuperao de desastres inesperados identificar as ameaas ou riscos que podem provocar desastres fazendo uma anlise dos riscos que abranja as ameaas continuidade do negcio. A anlise de risco envolve a avaliao existente segurana fsica e ambiental e sistemas de controle e avaliao da sua adequao com relao s ameaas potenciais. O processo de anlise de risco comea com uma lista das funes essenciais do negcio. Esta lista ir definir as prioridades para enfrentar os riscos onde as funes essenciais so
aqueles cuja interrupo seria consideravelmente prejudicar as operaes do negcio e pode resultar em perda financeira. Estas funes essenciais devem ser priorizadas com base em sua importncia relativa a operaes comerciais. Por exemplo, no caso de um prestador de servios de telecomunicaes, embora as operaes de faturamento e operaes de CRM / helpdesk so funes essenciais. 6.5.2 Classificao de Riscos Baseada em pesos relativos Ao avaliar os riscos, recomenda-se a classific-los em diferentes classes de preciso prioriz-los. Em geral, os riscos podem ser classificados em cinco categorias.
Riscos externos
Riscos externos so aqueles que no podem ser associados com uma falha dentro da empresa. Eles so muito importantes na medida em que no esto diretamente sob o controle da organizao que enfrenta os danos. Estes riscos podem ser divididos em quatro subcategorias: Natural: Esses desastres esto no topo da lista em qualquer plano de
recuperao de desastres. Normalmente para mitigar o risco de interrupo das operaes de negcios, uma soluo de recuperao dever envolver instalaes de recuperao de desastres em um local longe da rea afetada. As oportunidades para mitigar os efeitos de algumas catstrofes naturais so considerveis atualmente. Humana: Estes desastres incluem atos de terrorismo, sabotagem, ataques de
vrus, erros de operaes, crimes, e assim por diante. Estes podem ser causados tanto por pessoas internas quanto por pessoas externas organizao. Civil: Estes riscos geralmente esto relacionados com a localizao das
unidades de negcio como, por exemplo, greves, tumultos, a instabilidade poltica local, e assim por diante. Fornecedor: Esses riscos esto vinculados capacidade dos fornecedores para manter seu nvel de servios em um desastre.
www.facsenac.edu.br
Pgina 29 de 45
Risco sobre Facilidades
Facilidades so riscos que afetam as instalaes locais. Ao avaliar esses riscos, precisam ser considerados: eletricidade, telefones, gua, controle climtico, estruturas de construo e segurana fsica.
Riscos de Sistemas de Dados
Riscos dos sistemas de dados so aqueles relacionados ao uso de infra-estrutura compartilhada, como redes, servidores de arquivos e aplicaes de software que poderiam afetar vrios departamentos. Um dos objetivos fundamentais na anlise desses riscos identificar todos os pontos nicos de falha na arquitetura de sistemas de dados. Riscos dos sistemas de dados podem ser avaliados dentro das seguintes subcategorias: rede de comunicao de dados, sistemas de Telecomunicaes e da rede, servidores compartilhados, vrus, backup de dados / sistemas de armazenagem, patchs de software e bugs.
Riscos Departamentais
So falhas dentro de departamentos especficos. Estes seriam os eventos, como um incndio num espao onde so armazenados lquidos inflamveis, ou a falta de uma chave que impede uma operao especfica. Uma avaliao eficaz dos riscos de departamento necessita considerar todas as funes crticas dentro do departamento de equipamentos operacionais, chave e registros vitais, cuja ausncia ou perda ir comprometer as operaes. Indisponibilidade de pessoal qualificado tambm pode ser um risco.
Riscos sobre Desktop
So todos os riscos que podem acontecer para reduzir ou interromper o trabalho do diaa-dia pessoal de cada empregado. Cada processo e ferramenta utilizados no trabalho pessoal devem ser cuidadosamente examinados e contabilizados como essenciais. 6.5.3 Construindo a Avaliao de Risco Aps a avaliao das categorias de maior risco concluda, hora de pontuao e classificao de todos eles, categoria por categoria, em termos de probabilidade e impacto. O
www.facsenac.edu.br
Pgina 30 de 45
processo de pontuao pode ser abordado atravs da preparao de uma folha de pontuao, conforme exemplo mostrado na figura 11, que tem os seguintes parmetros: Grupos: Riscos: Impacto: so as subcategorias da categoria principal risco. riscos individuais em cada grupo que pode afetar os negcios. impacto que ameaa a existncia da empresa
Riscos e Impactos so estimados em uma escala de 0 a 10, sendo 0 (no provvel) a 10 (altamente provvel). Tempo de Restaurao estimada em uma escala de 1-10. Um valor maior significa maior tempo de recuperao, portanto, a prioridade de ter um mecanismo de recuperao de desastres para este risco maior.
Figura 11 Avaliao e Pontuao de Riscos
6.6 Fases de um Plano de Recuperao de Desastres.

A recuperao de desastre acontece em fases seqenciais iniciando-se com a fase de ativao e depois as fases de execuo e de reconstituio.
www.facsenac.edu.br
Pgina 31 de 45
6.6.1 Fase de Ativao A ruptura ou emergncia pode acontecer com ou sem aviso prvio. Deste modo a deteco de um evento de catstrofe deve ser rpida e precisa. E necessrio possuir tambm um plano de comunicao apropriado. Estes passos so chave para reduzir os efeitos da entrada em emergncia, e assim permitir que o pessoal responsvel trabalhe melhor, reduzindo assim o impacto do desastre. O Comit de Recuperao de Desastre responsvel pelo lanamento da fase de ativao, que envolve: Os procedimentos de notificao; A avaliao de danos; Ativao do Plano de recuperao; 6.6.2 Fase de Execuo A fase de Execuo somente pode comear aps a ativao do plano de recuperao de desastres e quando a equipe de operaes apropriada for notificada e mobilizada. As atividades desta fase tm como objetivo principal em realizar de fato os passos previstos no plano de recuperao de desastres. Dependendo das estratgias de recuperao definido no plano, essas funes podem incluir tratamento manual temporrio, recuperao e operao de um sistema alternativo, ou transio para um site alternativo2. Para evitar confuso em uma situao de emergncia, os procedimentos de recuperao devem ser documentados em um formato passo a passo simples, sem assumir ou omitir quaisquer etapas processuais. 6.6.3 Fase de reconstituio Na fase de reconstituio, as operaes so transferidas de volta para a instalao original, uma vez que os problemas que deram causa ao desastre foram sanados. Se o sistema
2
Veja neste documento sobre estratgias de Contingncia.
www.facsenac.edu.br
Pgina 32 de 45
original ou facilidade irrecupervel, esta fase tambm envolve sua reconstruo. A equipe de execuo continua em operao at que a restaurao e testes esto completos. As principais tarefas que ocorrem nesta fase so: Monitorar continuamente o site ou adequao de instalaes para reocupao; Ratificar se o ambiente est livre de seqelas da catstrofe e que no existem mais ameaas; Assegurar que todos os servios de infra-estrutura necessria, como energia, gua, telecomunicaes, segurana, controle ambiental, equipamentos de escritrio e suprimentos, esto operacionais; Instalao de sistemas de hardware, software e firmware; Estabelecer conectividade entre sistemas internos e externos; Realizao de testes para garantir a funcionalidade completa; Desligar sistema de emergncia; Encerrar operaes de contingncia; Organizar a equipe de operaes de retorno instalao original
6.7 Documentao do Plano de Recuperao de Desastres.

O resultado do processo de planejamento de recuperao de desastres o documento de plano de recuperao de desastres. Durante uma emergncia, este documento ir ser a principal fonte de informaes para os procedimentos de recuperao de desastres. 6.7.1 Contedo do documento de recuperao de desastres O plano de recuperao precisa ser mantido atualizado de acordo com ambiente atual organizao. Um plano que no atualizado e testado to ruim quanto no ter um plano, pois durante as emergncias, o documento pode direcionar passos errneos. Assim cogente uma manuteno peridica na documentao do plano. A seguir esto alguns dos contedos que precisam estar contidos neste documento.
www.facsenac.edu.br
Pgina 33 de 45
Informaes bsicas
O documento deve incluir informaes como os autores / proprietrios com os seus contactos, histrico de reviso e outros detalhes do documento (nome, localizao, verso), referncias, e as audincias do documento. No histrico de reviso do documento, bom ter uma breve descrio das mudanas feitas em cada verso. Uma tabela de contedos uma obrigao para referncia rpida, e altamente recomendvel que as sees numeradas para o nvel mais baixo possvel para fins de referncia fcil. Como este documento contm informaes sensveis aconselhvel classificlo com confidencial.
Objetivo
O objetivo do documento deve ser claramente indicado na introduo contendo, a definio dos objetivos e o que o plano pretende atingir.
Escopo
O escopo do plano define as circunstncias em que o plano chamado e o perodo de tempo para execuo dos procedimentos definidos no documento. As diferentes condies de falha que levam a invocar o plano devem ser claramente indicadas.
Hipteses
As condies do plano devem ser claramente indicadas. Isso pode envolver a listagem das dependncias do plano. Por exemplo, a definio de um nmero mnimo de pessoal especializado que deve estar disponvel no ambiente da recuperao de desastres. Sempre que possvel essas dependncias devem ser acompanhadas com os contatos adequados.
Excluses
Todas as atividades relacionadas com desastres que o plano no cobre devem ser indicadas. Essa informao ser til durante a recuperao de desastres.
Descrio do sistema
A descrio do sistema de recuperao de desastres deve ser simples de entender com nmeros adequados, grficos de fluxo de trabalho, e assim por diante. Se necessrio, as descries podem conter apndices de referncia com maiores detalhes.
www.facsenac.edu.br
Pgina 34 de 45
Papis e Responsabilidades
As funes do pessoal gerencial e tcnico e as suas responsabilidades durante a ativao, execuo, e as fases de reconstituio, devem ser claramente indicadas. Sugere-se a disponibilizao de diagramas com a estrutura da entidade mostrando as relaes de hierarquia bem como os papis atribudos a cada ator no processo.
Detalhes de contato
Informaes de contato atualizadas devem ser includas para todos os funcionrios administrativos e tcnicos envolvidos no planejamento, ativao, execuo, e as fases de reconstituio. Os contatos tanto em situaes normais e situaes de emergncia devem ser mencionados. Esta informao recomendada para ser adicionado como um anexo do documento do plano de recuperao de desastres.
Ativao de Procedimentos
Os procedimentos de notificao, avaliao de danos, e planejamento de ativao devem ser alinhados com coeso lgica e simplicidade.
Execuo de Procedimentos
O procedimento de recuperao para cada um dos componentes do plano deve ser explicado passo a passo em detalhes. Sugere-se que os passos sejam mostrados na forma de fluxograma a fim de facilitar a visualizao as dependncias e seqenciamento das tarefas. Os critrios de sucesso e fracasso de cada procedimento tambm devem ser mencionados, assim como instrues sobre novas aes em caso de sucesso e fracasso.
Reconstituio dos Procedimentos
A simulao com a execuo de procedimentos semelhantes para a reconstituio dos componentes devem ser explicados e executados em detalhe. Os critrios de sucesso e fracasso e as instrues para novas aes, dificuldades e correes nos procedimentos em caso de sucesso e fracasso tambm deve ser inseridos no documento.
6.8 Estratgias de Contingncia

Segundo a Agncia Estadual de Gerenciamento de Riscos do Texas (SORM), h seis tipos de planos de contingncia: (Pelliciotti, 2008)
6.8.1 In-House Nas In-House (Instalaes do cliente) tem-se instalaes nos moldes da principal, que podem ser ocupadas em caso de emergncia, uma opo cara, mas que rapidamente deixar o ambiente disponvel para a empresa. 6.8.2 Contratos com terceiros. Envolve o uso temporrio das instalaes de outra empresa. 6.8.3 Cold Site Local vazio ou Cold Site um plano que requer apenas uma sala vazia sem equipamentos de computador ou conexes para realizar o trabalho. Tudo dever ser levado posteriormente e dever haver no plano, um tempo calculado para restaurar o ambiente. O Cold Site do tipo Fixed Center um local vazio para que, em uma situao de desastre, uma organizao possa instalar seus prprios computadores. Lembrando que este local j deve estar equipado com energia eltrica, infra-estrutura de cabos de rede e telefonia em um ambiente controlado. J o tipo Mobile Center segue a mesma definio, porm montado em outro local mvel (porttil) que pode ser at mesmo prximo das instalaes atuais. 6.8.4 Warm Site O Warm Site um local parcialmente vazio uma sala com o mnimo de equipamento, mesas, cadeiras e telefones, mas sem todos os computadores, software e dados necessrios para a realizao do trabalho. Ou seja, uma localidade com alguns equipamentos e computadores prontos para recuperar algum servio indisponvel. No Warm site do tipo Mobile Center onde h oferecimento de equipamentos e computadores prontos para recuperarem os servios de forma mvel dentro de certo tempo, geralmente definido entre 24 horas. 6.8.5 Hot Site O hot site um local equipado, uma instalao substituta com especificaes que atendam a demanda da empresa, alimentada 24 horas por dia, 7 dias da semana, com sistemas,
aplicativos e dados necessrios realizao do trabalho. Indicado para empresas com grande volume de dados. O Hot Site do tipo Fixed Center detm equipamentos dedicados para espelhar os sistemas crticos de um ambiente empresarial, pronto para assumir imediatamente as operaes sem perda de dados. 6.8.6 Local recproco. Este plano requer um contrato assinado com outra filial da mesma empresa ou com outra empresa, para compartilhar o espao do escritrio e recursos em uma emergncia.
VII. Auditoria e Controle

A auditoria de segurana de informao uma atividade devidamente estruturada para examinar criteriosamente a situao dos controles que se aplicam segurana da informao, especialmente por meio da anlise de objetos e seus pontos de controle, em face da probabilidade de ameaas s informaes crticas sobre as quais atuam esses controles. (RODRIGUES, 2011) A auditoria da Segurana da Informao importante para atestar que os controles de segurana em prtica so eficientes e eficazes e assim minimizar exposies da organizao a riscos que podem provocar danos, se concretizados. A introduo de controles evita: a) manter registros de informao que esto errados; b) contabilizar informaes que no so aceitveis; c) interromper o negcio; d) decidir erroneamente sobre gerenciamento; e dentre outras razes e) evitar fraudes.
7.1
Controles e Pontos de Controle
De acordo como dicionrio Aurlio controle significa: "s.m. Verificao administrativa; superintendncia; fiscalizao financeira; o fato de ter sob o seu domnio e fiscalizao.". Ou seja, representa todo e qualquer meio que possa submeter um ente a determinado comportamento, atitude ou funcionamento, com o objetivo de gerenciar. Desta forma, como exemplo de controle tem-se: normas, polticas, procedimentos, prticas, mtricas, e mecanismos automatizados.
Os OA - Objetos de Auditoria ou OC - Objetivos de Controle, bem como seus respectivos pontos de controle, esto elencados, de forma genrica, no Plano de Auditoria e dependem do tipo de auditoria a ser realizada: Auditoria da Gesto em Segurana da Informao; Auditoria de Desempenho Operacional de Segurana da Informao; e Auditoria de Conformidade. Os Objetivos de Controle pode englobar computadores, criptografia wireless. Cada tipo de auditoria possui uma gama diferente de Objetos e PC - Pontos de Controle a serem auditados. Portanto, os objetos e pontos de controle dizem respeito ao Plano de Auditoria, o que implica dizer que tais elementos, longe de serem todos utilizados, devem ter sua aplicabilidade analisada diante do contexto a ser empregado. O mundo real pode requerer novos objetos e pontos de controle associados, no listados no Plano de Auditoria original.
Figura 12 - Tipos, objetos e pontos de controle de auditoria
Assim sendo os Objetos de Controle so decompostos em Pontos de Controle para cada objeto de auditoria selecionado. Um Ponto de Controle caracteriza situaes especficas que podem estar relacionadas aos produtos, processos, procedimentos, eventos ou qualquer outro item observvel e relevante para uma auditoria de segurana, exemplificado nas figuras 12 e 13.
Figura 13 Organogramas de Controle, Objetos e pontos de controle de auditoria
7.2
Processos de Auditoria da Segurana da Informao
Segundo Fernandes e Rodrigues (2011) um modelo de processo e metodologias de auditoria de sistemas de tecnologia da informao composto por 9 passos: 7.2.1 Gesto do projeto ou do programa de auditoria Auditorias isoladas e espordicas so pouco eficazes, alm de dispendiosas. O primeiro passo numa auditoria estabelecer a gesto do projeto ou dos projetos que constituem um programa de auditoria. Auditoria , em geral, um trabalho de equipe, realizado na forma de um projeto, no qual esto envolvidas pessoas, que executaro uma srie de atividades tcnicas especializadas, produzindo um resultado demandado por um cliente, dentro de prazos, custos e qualidades esperadas. O escopo da auditoria precisa ser bem delimitado, as comunicaes entre os membros do projeto e com os clientes precisam ser bem organizadas. necessrio fazer monitoramento da ao e tomada de aes corretivas.
7.2.2 Deciso sobre o propsito da auditoria O segundo passo numa auditoria de segurana da informao decidir acerca do propsito da auditoria, que pode variar entre verificar situaes suspeitas, eventos ou ocorrncias que merecem ateno acurada e entre analisar os riscos de segurana a que a organizao pode estar exposta
7.2.3 Identificao de objetos e pontos de controle Compreende analisar o sistema de controle interno do auditado, identificando onde os elementos do controle interno se encaixam nos objetos (ou objetivos) e pontos de controle, descritos de forma genrica no plano de auditoria que foi estruturado na fase de planejamento. Junto a estes objetos e pontos se espera obter evidncias a respeito da situao atual da organizao, quanto segurana da informao. Para realizar exames aprofundados preciso definir o que ser auditado, que so os objetos de auditoria (OA). Tais objetos so elencados e selecionados de acordo com o contexto e os propsitos da auditoria. Em seguida so elencados pontos de controle (PC) para cada objeto de auditoria selecionado. 7.2.4 Definio de tcnicas para obter evidncias e procedimentos de controle Uma vez identificados objetos e pontos de controle possvel elencar as tcnicas que sero usadas para a obteno de evidncias que sejam suficientes, adequadas, relevantes e teis para a concluso dos trabalhos, bem como os procedimentos de controle (tambm chamados de testes) que sero efetuados junto aos pontos de controle, permitindo a montagem da roteirizao detalhada.
7.2.5 Montagem da roteirizao de auditoria A roteirizao detalhada de auditoria o itinerrio dos procedimentos e testes que sero ou podero ser executados pelo auditor. A roteirizao montada para que o auditor use da forma mais eficaz o tempo em que estar no ambiente do auditado, bem como para uniformizar os procedimentos de uma equipe da qual participam diversos auditores. A roteirizao descreve a sequncia de passos a seguir, e deve ser sucinta e objetiva, para facilitar a execuo pelo auditor. Para facilitar a compreenso de conceitos complexos, que muitas vezes so articulados ou referenciados numa roteirizao. A roteirizao deve fazer referncia a documentos mais detalhados e descritivos, como normas, guias e padres, por exemplo: ITGI (2007) e ITIL V3 (2007)
www.facsenac.edu.br
Pgina 40 de 45
7.2.6 Coleta e registro de evidncias em papis de trabalho O sexto passo numa auditoria consiste em coletar e registrar evidncias para fins de avaliao. A coleta feita no ambiente do auditado. A roteirizao detalhada orienta as aes dos auditores em campo durante a coleta e anlise de evidncias, em geral elaborada em formato de formulrios, em papel ou meio digital, que quando preenchidos auxiliam e sumarizam dados para anlise. 7.2.7 Verificao, validao e avaliao de evidncias O stimo passo numa auditoria consiste em, rigorosamente, verificar, validar e avaliar as evidncias obtidas. Muitas delas, que parecem desconectadas em um momento, devem comear a fazer sentido de acordo com os achados ou fatos constatados. Pode-se iterar e voltar a coletar e registrar novas evidncias, conforme se mostrem insuficientemente conclusivos os dados coletados. Isto ocorre, sobretudo, quando no se tem experincia com o tipo de auditoria e os objetos de controle auditados. A conexo lgica entre evidncias, achados e fatos pode ser estabelecida na roteirizao detalhada, mas no deve ser considerada como nica fonte de achados. A roteirizao serve como instrumento para guiar o julgamento do auditor. Os papis de trabalho organizados permitem a recuperao de informao. 7.2.8 Produo de pareceres e outros entregveis O passo final nesse modelo simplificado de processo de auditoria a produo de pareceres com recomendaes e concluses do Auditor. Cada passo pode liberar entregas, como mostrado na Figura 14, destacando-se como produtos da auditoria: o plano de auditoria, os relatrios situacionais de auditoria e os pareceres. O Auditor dever produzir pelo menos um plano de auditoria, um relatrio situacional e um parecer para cada engajamento de auditoria 7.2.9 Acompanhamento ps-auditoria Conforme orienta a norma ISO 19011, o acompanhamento ps-auditoria ocorre sempre no mbito de um programa de auditoria. preciso ter bem definidas as competncias e a forma de avaliao dos auditores, bem como as atividades que sero realizadas. Esse acompanhamento uma atividade de gesto, seja para garantir mudanas, seja para sustentar boas prticas que devem persistir.
Figura 14 - Tipos, objetos e pontos de controle de auditoria
7.3
Classificao da Informao segundo Decreto 4.553/2002
A classificao da informao vital em relao do aspecto de conformidade na auditoria. Neste sentido o Decreto 4.553/2002 (BRASIL, Decreto 4553) dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, auxiliando os gestores na definio de critrios de classificao de dados nas organizaes pblicas O decreto cria classificaes de documentos onde o grau de sigilo dado conforme gradao atribuda a dados, informaes, rea ou instalao considerados sigilosos em decorrncia de sua natureza ou contedo. A nomenclatura e os prazos de durao da classificao a que se refere este decreto vigoram a partir da data de produo do dado ou informao, da seguinte forma:
Tipo Ostensivos
Descrio Sem classificao, cujo acesso pode ser franqueado a qualquer interessado; Dados ou informaes cuja revelao no autorizada possa comprometer planos, operaes ou objetivos neles previstos ou referidos.
Durao
Reservados
Mximo de
cinco anos.
Dados ou informaes que, no interesse do Poder Executivo e das partes, devam ser de conhecimento Confidenciais restrito e cuja revelao no autorizada possa frustrar seus objetivos ou acarretar dano segurana da sociedade e do Estado. Dentre outros, dados ou informaes referentes a sistemas, instalaes, programas, projetos, planos ou operaes de interesse da defesa nacional, a assuntos diplomticos e de inteligncia e a planos ou detalhes, programas ou instalaes estratgicos, cujo conhecimento no autorizado possa acarretar dano grave segurana da sociedade e do Estado. Dentre outros, dados ou informaes referentes soberania e integridade territorial nacionais, a planos e operaes militares, s relaes internacionais do Pas, a projetos de pesquisa e desenvolvimento cientfico e tecnolgico de interesse da defesa nacional e a programas econmicos, cujo conhecimento no autorizado possa acarretar dano excepcionalmente grave segurana da sociedade e do Estado.
Mximo de
dez anos.
Secretos
Mximo de vinte anos.
UltraSecretos
Mximo de trinta anos.
www.facsenac.edu.br
Pgina 43 de 45
VIII.
Referncias:
ALVES, Sandra. Plano de Continuidade de Negcio: critrios e parmetros para a realizao do BIA (Business Impact Analysis) http://www.brasiliano.com.br/blog/?p=2209 (06/03/11) BS25999.com, Business Continuity Management http://www.bs25999.com (16/02/11) CISCO. Disaster Recovery: Best Practices http://www.cisco.com/en/ US/ technologies/ collateral/tk869/tk769/white_paper_c11-453495.html, 2008 (26/02/11) BRASIL, Decreto 4553 de 27/12/2002 - Dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, e d outras providncias.. http://www.planalto.gov.br/ccivil_03/decreto/2002/D4553.htm (27/02/11) DIAS, Cludia. Segurana e Auditoria da Tecnologia da Informao. Axcel Books do Brasil, Rio de Janeiro, 2000. DRS Pty - Disaster Recovery Services Pty 2011, Disaster Management - Business Continuity Plan Template & Disaster Recovery Plan Template. http://www.expressbcp.co.uk/ (15/02/11) FAGUNDES, Eduardo M. Disaster Recovery Plan (DRP). http://www.efagundes.com /artigos/Disaster_Recovery_Plan.htm (06/03/11) INTERNACIONAL ORGANIZATION FOR STANDARDIZATION. Norma ISO/IEC 17799:2005. Estados Unidos, 2005. ISACA. Business Continuity: A Business Survival Strategy, Ken Doughty, CISA, CBCP, 2002 http://www.isaca.org/Journal/Past-Issues/2002/Volume-1/Pages/BusinessContinuity-A-Business-Survival-Strategy.aspx (15/02/11) _____. Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit. 2008 http://www.isaca.org/Knowledge-Center/Research/Documents/AligningCOBIT,ITILV3,ISO27002-Bus-Benefit-12Nov08-Research.pdf (12/03/11) ITILV3. An Introductory Overview of ITIL V3, The IT Service Management Forum itSMF Ltd, 2007 ITGI. COBIT 4.1. IT Governance Institute, 2007. MARTINS, Alade Barbosa. SANTOS, Celso Alberto Saibel. Uma metodologia para implantao de um sistema de gesto de segurana da informao Revista de Gesto da Tecnologia e Sistemas de Informao, Vol. 2, No. 2, 2005 ( pp. 121-136)
www.facsenac.edu.br
Pgina 44 de 45
PELLICIOTTI, Mauro R. Plano de Recuperao de Desastre, 2008. http://www.linhadecodigo.com.br /artigo/1684/Plano-deRecupera%C3%A7%C3%A3o-de-Desastre.aspx RODRIGUES, Roberto W S. Fernandes, Jorge H C. Auditoria e Conformidade de Segurana da Informao, CEGSIC 2009-2011, 2011 SILVA, Aldo. Gesto de Continuidade de Negcios. 28/07/2010. http://securityofficer. wordpress.com /2010/07/28/gestao-de-continuidade-de-negocios (13/02/11) SEMOLA, M. Gesto da segurana da informao. So Paulo: Campus, 2003. _________. Qual o papel do Gestor de Segurana? Coluna Firewall IDGNow, Junho de 2003a
www.facsenac.edu.br
Pgina 45 de 45

Textobase PoliticasdeSeguranca

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Textobase PoliticasdeSeguranca

Enviado por

Direitos autorais:

Formatos disponíveis

Ps-graduao Segurana da Informao

Polticas de Segurana e Planos de Continuidade de Negcios

Prof. Edilberto Silva www.edilms.eti.br edilms@yahoo.com

Introduo e apresentao da disciplina ................................................. 4 Conceitos bsicos ................................................................................... 6

Diretrizes, normas e procedimentos. ...................................................... 8

3.4.1 COBIT 4.1 ....................................................................................................... 13 3.4.2 ITIL 3 .............................................................................................................. 15

Metodologia para Implantao de um SGSI .......................................... 17

6.1 6.2 6.3 6.4 6.5

Auditoria e Controle ............................................................................. 37

VIII. Referncias: ......................................................................................... 44

I. Introduo e apresentao da disciplina

II. Conceitos bsicos

Deciso de aceitar um risco [ABNT ISO/IEC Guia 73:2005]

Qualquer coisa que tenha valor para a organizao [ISO/IEC 13335-1:2004]

2.13 Risco residual

2.14 Tratamento do risco

III.Diretrizes, normas e procedimentos.

Figura 1 Modelo PDCA Plan, Do, Act e Check

PDCA na ISO 27001

Act (agir) (manter e melhorar o SGSI)

Estrutura da ISO 27002:2005

Estrutura da ISO 27005:2008

Uma viso do gerenciamento de riscos, segundo a ISO 27.005, mostrada na figura 2.

Figura 2 Overview do Gerenciamento de Risco ISO 27005 www.facsenac.edu.br Pgina 11 de 45

E o tratamento do Risco, parte do processo de gerenciamento mostrado na figura 3.

Figura 3 Tratamento de Risco na ISO 27005

COBIT 4.1 x ITIL v3 x ISO/IEC 27.002

Figura 4 Relacionamento entre Processos, Objetivos e Mtricas (DS5)

Figura 5 Parte do mapeamento em alto nvel do modelo de servios do ITIL v3

Metodologia para Implantao de um SGSI

4.1 A Concepo do Sistema

4.2 Estabelecimento de uma Poltica de Segurana da Informao

4.3 Anlise de Risco

Figura 6 Metodologia para desenvolvimento de um SGSI

4.4 Gerenciamento de Riscos

4.5 Seleo dos Controles e Declarao de Aplicabilidade

4.6 Implementao e Acompanhamento dos Indicadores

4.7 Auditoria do Sistema

V. Comit de Segurana da Informao

PCN - Plano de Continuidade dos Negcios

Figura 7 Linha de tempo de um desastre em um PCN (DRS Pty, 2011)

Figura 8 Fase de Plano de Continuidade (Silva, 2010)

6.1 AIN - Anlise de Impacto no Negcio

6.2 Metodologia para desenvolvimento do PCN

Figura 9 Viso geral do Plano de Continuidade Negcios (ISACA, 2002)

6.3 Plano de Administrao de Crise.

6.4 Plano de Continuidade Operacional.

6.5 Plano de Recuperao de Desastres.

Figura 10 - Ciclo do Plano de Desastre (Disaster and Recovery)

Risco sobre Facilidades

Figura 11 Avaliao e Pontuao de Riscos

6.6 Fases de um Plano de Recuperao de Desastres.

Veja neste documento sobre estratgias de Contingncia.

6.7 Documentao do Plano de Recuperao de Desastres.

6.8 Estratgias de Contingncia

VII. Auditoria e Controle

Controles e Pontos de Controle

Figura 12 - Tipos, objetos e pontos de controle de auditoria

Figura 13 Organogramas de Controle, Objetos e pontos de controle de auditoria

Processos de Auditoria da Segurana da Informao

Figura 14 - Tipos, objetos e pontos de controle de auditoria

Classificao da Informao segundo Decreto 4.553/2002

Mximo de vinte anos.