POS0858 NORMAS E MELHORES PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

06/10/21, 19:49 Roteiro de Estudos
https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 1/12
Introdução
Olá, estudante! Você está no Roteiro de estudos da disciplina Normas e melhores práticas de
Segurança da Informação.
Você terá a oportunidade de conhecer e/ou se aprofundar nos assuntos a seguir:
Fundamentos e princípios da Segurança da Informação.
Conceitos básicos que norteiam e de�nem a atuação das instituições.
Formação de uma política de Segurança da Informação.
Normas ISO NBR/IEC 27001 e ISO NBR/IEC 27002: seções e aplicações.
Técnicas de criptogra�a de dados.
Certi�cado digital.
Gerenciamento de riscos.
Normas e melhores práticas de Segurança da Informação
Roteiro deRoteiro de 
EstudosEstudos
Autor: Jorge de Castro Azevedo
Revisor: José Roberto
06/10/21, 19:49 Roteiro de Estudos
https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 2/12
Fundamentos da Segurança da
Informação
Segurança da Informação é o processo de resguardar dados e informações de determinadas
ameaças, como destruição, modi�cação, deturpação, roubo, remoção, perda, divulgação e
indisponibilidade. Esse processo é fundamentado, segundo padrões internacionais, em quatro
princípios básicos (BARRETO; MORAIS; VETTORAZZO, 2018):
Con�dencialidade
A informação será disponibilizada exclusivamente às entidades legítimas e previamente
autorizadas pelo proprietário da informação. O acesso às informações deve ser restrito, ou
seja, somente os indivíduos explicitamente autorizados podem acessá-las. Perda de
con�dencialidade signi�ca que a informação foi destituída de sigilo. Se uma informação for
con�dencial, ela será sigilosa e deverá ser guardada com proteção e não divulgada para
indivíduos não-autorizados.
Integridade
Evidencia que a informação deve manter todas as características estabelecidas no momento
em que foi liberada pelo seu proprietário, garantindo-lhe a sua proteção contra alterações
intencionais, indevidas ou acidentais. Em outros termos, é a garantia de que a informação
previamente guardada é a mesma que será recuperada.
Disponibilidade
Garante que a informação deve estar acessível sempre que seus usuários (entidades
autorizadas) necessitarem, não importando o motivo. Em outras palavras, é a garantia de que a
informação sempre estará disponível.
Autenticidade
Atesta que a informação é originada do emissor anunciado e que sua origem não sofreu
alterações no decorrer do processo de transmissão.
Nesse sentido, alguns conceitos básicos precisam ser previamente conhecidos para que os
devidos controles sejam estabelecidos, implementados, analisados, monitorados e
aperfeiçoados. São eles:
● Incidente de segurança: toda ocorrência adversa relacionada à segurança.
Exemplos: ataques à infraestrutura tecnológica, furto de informação,
vazamento de dados sigilosos.
● Ativo: qualquer item – material ou imaterial – detentor de valor para a
06/10/21, 19:49 Roteiro de Estudos
https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 3/12
instituição e para o negócio. Exemplo: processos, pessoas, servidores,
dispositivos de rede (roteadores, switches, �rewall, entre outros), serviços,
banco de dados, softwares e computadores.
● Ameaça: corresponde à probabilidade de ocorrência de um evento acidental
ou proposital, perpetrada por um agente, que pode afetar um local, sistema ou
ativo de informação de uma instituição.
● Vulnerabilidade: fraqueza existente em um ou mais ativos da instituição e
que possa ser utilizada por uma ameaça para comprometer a segurança das
informações.
● Risco: probabilidade de ocorrência de determinado evento na instituição,
com as suas respectivas consequências.
● Ataque: ação que viole a segurança de uma informação dentro da
instituição. Um evento originado pela utilização de certa vulnerabilidade por
uma ameaça.
● Impacto: consequência mensurada de uma ocorrência especí�ca.
No decorrer do tempo, a informação sempre foi um item de extrema relevância para as
instituições, sejam elas públicas ou privadas – e hoje mais do que nunca. A informação se
tornou o ativo de maior importância estratégica para as mais diferentes organizações. A
análise dos dados coletados norteia muitas das ações implementadas. Dessa forma, a
segurança e a proteção dos dados continuamente ganham relevância no cenário atual da nossa
sociedade.
Política de Segurança da
Informação
Podemos descrever a Política de Segurança da Informação como um agrupamento de regras
gerais contemplando ações, técnicas, normas, procedimentos e boas práticas com o objetivo de
conduzir a segurança das informações dentro das instituições. Como requisito fundamental,
deve ser adotada por todos os componentes da organização, a �m de orientá-los sobre o
seu funcionamento, além de ser clara e objetiva, evitando redundâncias na construção de
regras e processos.
Segundo os autores Coelho, Araújo e Bezerra (2014), a política de Segurança da Informação
pode ser dividida nos seguintes itens.
06/10/21, 19:49 Roteiro de Estudos
https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 4/12
Quadro 1 - Divisão da Política de Segurança da Informação
Fonte: Adaptado de Coelho, Araújo e Bezerra (2014).
A política de Segurança da Informação deve ser estabelecida através de um processo formal,
porém adaptável, com o objetivo de autorizar adequações segundo as características do
negócio. De acordo com os autores Coelho, Araújo e Bezerra (2014), um roteiro comum para a
sua adaptação contempla as seguintes etapas:
● Levantar qual a legislação presente na organização.
● Realizar o levantamento dos recursos críticos.
● Classi�car as informações da instituição, considerando todos os setores e
suas respectivas informações, e não apenas a área de tecnologia da
informação.
● Analisar as demandas de segurança, tendo como alvo identi�car prováveis
ameaças, riscos e impactos na organização.
● Construir a proposta para a política de segurança.
● Explanar a todos os envolvidos o conteúdo da proposta apresentada.
● Sancionar a política de segurança.
● Construir a política de segurança.
● Manter, periodicamente, a política de segurança, procurando identi�car as
melhorias necessárias e efetuar as revisões cabíveis.
Políticas
Orientações que visam justi�car a necessidade de se aplicar a
Segurança da Informação na instituição e que devem ser seguidas
para obtê-la.
Normas
Requisitos fundamentais que explicam como devem ser
construídos o conjunto de controles que foram pormenorizados
nas políticas. Explicam quais passos devem ser seguidos para se
alcançar as diretrizes delimitadas na política de segurança.
Procedimentos
Atividades que têm como objetivo apresentar detalhadamente a
forma como deve ser construído o controle ou o conjunto de
controles. Apresentam como realizar na prática cada item de�nido
nas normas especí�cas e em suas políticas.
Instruções
Explanação de um processo ou conjunto de processos para a
criação e a execução de controles de Segurança da Informação.
Evidências
Instrumentos utilizados para permitir a obtenção e a comprovação
da aplicabilidade, da e�cácia e da e�ciência dos controles de
segurança. Possibilitará a geração de dados que tornem possíveis
o rastreio e a realização de auditorias.
06/10/21, 19:49 Roteiro de Estudos
https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 5/12
Um dos papéis mais relevantes da política de Segurança da Informação é descrever qual a
posição da empresa com relação à responsabilidade de cada colaborador ao utilizar os
recursos tecnológicos disponíveis. Por isso, a realização de treinamentos constantes é de
suma importância para gerar maior conscientização por parte dos funcionários e tornar efetivo
todo o esforço dispendidona elaboração e implementação da política de segurança. É
necessário considerar que as pessoas também fazem parte do processo de segurança e que o
fator humano pode vir a ser o ponto mais vulnerável, principalmente perante a prática de
ataques de engenharia social.
Normas ISO NBR/IEC 27001 e ISO
NBR/IEC 27002
A norma ABNT NBR ISO/IEC 27001 foi criada para especi�car as exigências de um sistema de
Gestão de Segurança da Informação (SGSI), tendo como referência uma abordagem de riscos
para o negócio. A norma é segmentada em oito seções, conforme o resumo apresentado por
Advisera (2019), através dos itens a seguir:
● Seção 0: Introdução – descreve o objetivo da ISO 27001 e sua relação com as
outras normas 27000.
● Seção 1: Escopo – enuncia que esta norma é aplicável a todas as instituições.
● Seção 2: Referências normativas – aponta a norma ISO/IEC 27000 como
pré-requisito obrigatório para a aplicação da norma ABNT NBR ISO/IEC 27001.
● Seção 3: Termos e de�nições – repete a referência à norma ISO/IEC 27000.
● Seção 4: Contexto da organização – corresponde à fase de planejamento do
ciclo PDCA e delimita o escopo do SGSI.
● Seção 5: Liderança – relacionada à etapa de planejamento (Plan) do ciclo
PDCA, de�ne as responsabilidades da direção, estabelecendo papéis e
responsabilidades, e o conteúdo da política de Segurança da Informação de
alto nível.
● Seção 6: Planejamento – aprofunda a etapa de planejamento (Plan) do ciclo
PDCA e estabelece requisitos para a avaliação de riscos e os treinamentos para
combatê-los e a Declaração de Aplicabilidade, além de de�nir os objetivos da
Segurança da Informação.
● Seção 7: Apoio – corresponde ainda à fase de planejamento (Plan) do ciclo
PDCA e de�ne requisitos de disponibilidade de recursos, competências,
conscientização, comunicação e controle de documentos e registros.
06/10/21, 19:49 Roteiro de Estudos
https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 6/12
● Seção 8: Operação – está relacionada à etapa de execução (Do) do ciclo
PDCA e especi�ca a implementação da avaliação e tratamento de risco, assim
como controles e outros processos necessários para atingir os objetivos de
Segurança da Informação.
● Seção 9: Avaliação do desempenho – corresponde à etapa de veri�cação
(Check) do ciclo PDCA e de�ne requisitos para monitoramento, medição,
análise, avaliação, auditoria interna e análise crítica pela direção da
organização.
● Seção 10: Melhoria – descreve a etapa de atuação (Act) do ciclo PDCA e
estabelece requisitos para não conformidades, ações corretivas e melhoria
contínua.
A norma ABNT NBR ISO/IEC 27002 (Tecnologia da Informação – Técnicas de segurança – Código
de prática para controles de segurança da informação) foi composta para servir como manual
prático para a elaboração e implementação de processos e controles de Segurança da
Informação em uma instituição. De acordo com os autores Coelho, Araújo, Bezerra (2014), esta
norma é estruturada em capítulos, do 0 ao 18. Os capítulos de 0 a 4 apresentam os temas de
introdução (0), Escopo (1), Referência normativa (2), Termos e de�nições (3) e Estrutura desta
norma (4). Os capítulos 5 a 18 são chamados de seções, conforme o diagrama apresentado na
�gura. Portanto, existem catorze seções apresentando os códigos de práticas da gestão da
segurança. Cada seção de�ne um ou mais objetivos de controle. As catorze seções formam o
total de 35 objetivos de controle.
Figura 1 - Melhores práticas para controle: seções da norma 27002
Fonte: COELHO; ARAÚJO; BEZERRA, 2014, p. 40.
Vamos abordar algumas seções? A seção 7 da norma visa assegurar que funcionários e partes
externas entendam suas responsabilidades e estejam em conformidade com os papéis para os
quais foram selecionados, tratando, por exemplo, da responsabilização dos usuários pelo uso
dos recursos de TI.
06/10/21, 19:49 Roteiro de Estudos
https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 7/12
A seção 11, por exemplo, aborda a segurança física que visa, primariamente, evitar o acesso
não aprovado, danos ou interferência às infraestruturas físicas e às informações da instituição.
Vale ressaltar que a proteção fornecida deve ser compatível com os riscos levantados,
assegurando a preservação da con�dencialidade da informação. Essa norma também fala do
gerenciamento de senhas; sempre que houver suspeita ou indícios de vazamento, os usuários
devem atualizar suas senhas de acesso.
Ao todo, há 114 controles: são os elementos que de�nem o que a norma 27002 considera
como relevante para a composição de um processo de Segurança da Informação.
Criptogra�a de dados
A criptogra�a corresponde a conceitos e técnicas utilizadas com o objetivo de codi�car uma
informação, permitindo que apenas o emissor da mensagem e o devido receptor possam
consultá-la – mesmo que interceptada por terceiros, ela não deve ser decifrada.
As técnicas de criptogra�a de dados mais difundidas são baseadas em chaves criptográ�cas,
que correspondem ao conjunto de bits gerados através de um algoritmo com a �nalidade de
codi�car e decodi�car os dados transmitidos.
As técnicas de chaves criptográ�cas são categorizadas em simétricas e assimétricas. As
primeiras possuem maior desempenho, sendo, assim, recomendadas para grandes volumes de
informação. A técnica de chave simétrica é a mais simples e não é totalmente segura, devido ao
fato de tanto emissor quanto receptor portarem a mesma chave. Por isso, é menos segura e o
seu conteúdo pode ser obtido por terceiros, bastando, para tanto, que o algoritmo seja
descoberto. A outra categoria corresponde à técnica de chave assimétrica, que, por sua vez,
possui duas chaves: pública e privada. A chave pública é distribuída abertamente, sendo
utilizada para codi�car a informação. Esta possui desempenho inferior, sendo recomendada
para assinaturas digitais e troca de chaves. Sua tecnologia é  baseada no padrão X.509, sendo
composta por programas, formatos de dados, procedimentos, protocolos de comunicação,
políticas de segurança e mecanismos criptográ�cos de chave pública, de forma a viabilizar a
autenticação, a con�dencialidade, o não repúdio e a integridade às informações
compartilhadas. Já a chave privada, para decodi�car, é secreta, pois apenas o destinatário �nal
a possui.
O Secure Sockets Layer (SSL), por exemplo, faz o uso de um sistema de criptogra�a com duas
chaves para criptografar os dados: uma chave pública, conhecida por todos; e uma chave
privada; conhecida apenas pelo destinatário.
06/10/21, 19:49 Roteiro de Estudos
https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 8/12
Um resumo do processo seria esse: o emissor criptografa a mensagem com a chave pública do
receptor; este, ao receber a mensagem, irá decifrá-la com a sua chave privada. Uma das regras
mais importantes da composição dessa técnica determina que ambas as chaves sejam
independentes, de modo que uma não possa ser facilmente obtida através da outra. Um dos
algoritmos mais utilizados atualmente na criptogra�a assimétrica é o RSA. Podemos observar
na prática a disseminação do uso da criptogra�a ao observarmos o aumento dos sites na
internet que utilizam o protocolo HTTPS, em substituição do HTTP, com o objetivo de garantir
que todas as transmissões de dados entre os computadores e os servidores web sejam
criptografadas.
Além da utilização de chaves, as melhores práticas da Segurança da Informação tratam da
técnica de certi�cado digital, que, segundo o CERT.BR (2019), tem o objetivo de garantir a
identidade de um ativo, seja ele instituição, colaborador ou equipamento. Trata-se de um
arquivo contendo dados que identi�cam o seu proprietário, com nome da Autoridade
Certi�cadora (AC), número de série e período de validade do certi�cado.
Assim, a Assinatura Digital consiste em uma ferramenta para provar que osdados foram
gerados pelo detentor de uma chave especí�ca. É um caso especial de código de integridade de
mensagens em que o código pode ter sido composto por apenas um dos participantes.
A utilização da criptogra�a é um aspecto fundamental na Segurança da Informação, tanto que
sua adoção é tratada como requisito obrigatório para a obtenção da con�dencialidade,
LIVRO
Fundamentos em Segurança da Informação
Autora: Michele da Costa Galvão
Editora: Pearson
Ano: 2015
Comentário: para saber mais e aprofundar seus conhecimentos
sobre os tópicos discutidos na disciplina, indicamos a leitura do
livro Fundamentos em Segurança da Informação, da autora
Michele da Costa Galvão.
Esse título está disponível na Biblioteca Virtual Laureate.
06/10/21, 19:49 Roteiro de Estudos
https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 9/12
autenticidade e integridade de informação. Devido a sua importância, possui uma seção
totalmente a ela dedicada na ISO/IEC 27002 (Seção 10: Criptogra�a), que delimita como meta
assegurar o uso efetivo e apropriado da criptogra�a através da adoção de uma política de
controle criptográ�co e gerenciamento das chaves utilizadas.
Assim, são fundamentais para a viabilidade da criptogra�a e a descriptogra�a: software,
protocolos, algoritmos e chaves. Enquanto ocorre o processo de autenticação, os dois
componentes selecionam a chave que será usada para prover a privacidade durante a
comunicação posterior. A utilização de um servidor de autenticação como terceiro ente
con�ável também é possível.
Gestão de riscos
Os riscos estão presentes nas operações relacionadas a informações em todas as instituições.
O gerenciamento de riscos é um dos principais processos da gestão de Segurança da
Informação, tendo como principal objetivo minimizar a ocorrência de eventos que possam
interferir negativamente na integridade, no sigilo e na disponibilidade das informações
utilizadas pela organização. Entre as atividades mais relevantes da gestão de riscos, segundo
Hintzbergen et al (2018), podemos listar:
Elaboração dos objetivos.
Identi�cação de riscos.
Análise de riscos.
Planejamento do tratamento de risco.
Construção de controles.
Avaliação dos riscos.
Na primeira etapa, o objetivo principal é decidir qual será o objetivo desse processo. Os
responsáveis dentro da instituição decidem qual será a prioridade (minimizar riscos, custos,
ocorrência de falhas etc.). Na segunda etapa, é realizada a identi�cação dos riscos. Para cada
organização, existe um conjunto especí�co deles, intrinsecamente relacionados ao negócio e ao
tipo de informação utilizada pela organização. No terceiro processo, é realizada a análise dos
riscos previamente identi�cados. Tem como objetivos principais:
Identi�car quais informações a organização detém e o seu valor para o negócio.
Desvendar quais as ameaças que podem comprometer a organização e apresentar suas
vulnerabilidades.
Classi�car os riscos e ameaças de acordo com o grau de impacto sob a organização.
Calcular o curso de ocorrência de um incidente em comparação com o custo necessário
para preveni-lo.
06/10/21, 19:49 Roteiro de Estudos
https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062… 10/12
Na quarta fase do processo, é realizada o planejamento do tratamento de risco. Muitas vezes
não é possível – ou é �nanceiramente inviável – a eliminação de todos os riscos. Existem várias
abordagens de tratá-los:
Eliminar o risco: ataque à origem do risco, impedindo em de�nitivo que o incidente
relacionado a ele possa ocorrer. Nem sempre é possível.
Reduzir o risco: utilização de técnicas de prevenção.
Imobilizar o risco: situações nas quais as organizações decidem que a melhor estratégia
para determinado risco é acompanhá-lo.
Transferir o risco: aquisição de um seguro que transfere o risco em caso de incidente
para a seguradora, por exemplo.
Na quinta etapa do processo, devemos criar um controle de risco através da execução de todo
o planejamento elaborado nas etapas anteriores. Para que essa execução seja efetiva dentro
da instituição, é necessário que todos os colaboradores, inclusive os gestores, estejam
comprometidos com o processo, que exista um monitoramento contínuo e que a
comunicação seja constante na gestão para que o processo esteja alinhado com os objetivos da
organização.
Na última etapa, ao observamos que os processos, sistemas, informações e até os riscos são
dinâmicos e mudam com o passar do tempo, devemos então adaptar o processo de gestão de
riscos para um modelo cíclico, visando sempre mantê-lo atualizado, e�caz e capaz de
acompanhar todas as mudanças pertinentes. (GALVÃO, 2015)
É importante, também, falar do plano de contingência, que consiste em um conjunto de
processos, criado de maneira preventiva, visando delimitar responsabilidades e organizar
procedimentos, de modo que, em caso de ocorrência de um incidente, a organização continue
operando seus serviços sem impactos ou com o menor impacto possível. Assim, o plano de
contingência consiste em um planejamento universal com principal objetivo da manutenção do
ambiente de informações da organização com total segurança, visando prevenir contra
quaisquer ameaças à integridade e às operações.
Dada a sua relevância, a gestão de riscos também possui uma norma técnica exclusiva, a
ISO/IEC 27005, que especi�ca os princípios para o processo de gestão de riscos na Segurança
da Informação.
Conclusão
A informação se tornou o ativo de maior importância estratégica para as instituições. Cada vez
mais se transmitem informações através da internet, seja na utilização do e-commerce, seja
06/10/21, 19:49 Roteiro de Estudos
https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062… 11/12
através de acesso a serviços on-line, tornando esses dados mais suscetíveis a diferentes
ataques.
A utilização das melhores práticas para a Segurança de Informação se tornou, assim, fator
essencial, levando à criação de norma especí�ca para o tratamento do tema, através da ABNT
NBR ISO/IEC 27002 (HINTZBERGEN et al, 2018). A aplicação de boas práticas visa garantir que os
princípios relacionados à informação – con�dencialidade, integridade, disponibilidade e
autenticidade – sejam preservados. A conscientização de todos os envolvidos é de extrema
relevância para a correta implementação dos processos de Segurança da Informação – e a
melhor maneira de atingir esse objetivo é através da educação.
Referências Bibliográ�cas
ABNT NBR ISO/IEC 27001. (2006). Tecnologia da informação – Técnicas de Segurança – Sistemas
de gestão de segurança da informação – Requisitos. Rio de Janeiro: Associação Brasileira de
Normas Técnicas.
ABNT NBR ISO/IEC 27002. (2005). Tecnologia da informação – Técnicas de Segurança – Código
de prática para a gestão da segurança da informação. Rio de Janeiro: Associação Brasileira de
Normas Técnicas.
ABNT NBR ISO/IEC 27005. (2008). Tecnologia da informação – Técnicas de Segurança – Gestão
de riscos de segurança da informação. Rio de Janeiro: Associação Brasileira de Normas
Técnicas.
BARRETO, J. S.; ZANIN, A.; MORAIS, I. S.; VETTORAZZO, A. S. Fundamentos de Segurança da
Informação. Porto Alegre: Sagah, 2018.
CERT.BR. Cartilha de segurança para Internet. Disponível em:
<https://cartilha.cert.br/criptogra�a/>. Acesso em: 10/09/2019.
COELHO, F. E. S.; ARAÚJO, L. G. S.; BEZERRA, E. K. Gestão da Segurança da Informação: NBR
27001 e NBR 27002. Brasília: Escola Superior de Redes, 2014.
GALVÃO, M. C. Fundamentos em Segurança da Informação. São Paulo: Pearson, 2015.
HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na
ISO 27002. Rio de Janeiro: Brasport, 2018.
LEAL, R.   O que é a ISO 27001? Advisera, [s. d.]. Disponível em:
<https://advisera.com/27001academy/pt-br/o-que-e-a-iso-27001/>. Acesso em: 10/09/2019.https://cartilha.cert.br/criptografia/
https://advisera.com/27001academy/pt-br/o-que-e-a-iso-27001/
06/10/21, 19:49 Roteiro de Estudos
https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062… 12/12