Baixe o app para aproveitar ainda mais
Prévia do material em texto
06/10/21, 19:49 Roteiro de Estudos https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 1/12 Introdução Olá, estudante! Você está no Roteiro de estudos da disciplina Normas e melhores práticas de Segurança da Informação. Você terá a oportunidade de conhecer e/ou se aprofundar nos assuntos a seguir: Fundamentos e princípios da Segurança da Informação. Conceitos básicos que norteiam e de�nem a atuação das instituições. Formação de uma política de Segurança da Informação. Normas ISO NBR/IEC 27001 e ISO NBR/IEC 27002: seções e aplicações. Técnicas de criptogra�a de dados. Certi�cado digital. Gerenciamento de riscos. Normas e melhores práticas de Segurança da Informação Roteiro deRoteiro de EstudosEstudos Autor: Jorge de Castro Azevedo Revisor: José Roberto 06/10/21, 19:49 Roteiro de Estudos https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 2/12 Fundamentos da Segurança da Informação Segurança da Informação é o processo de resguardar dados e informações de determinadas ameaças, como destruição, modi�cação, deturpação, roubo, remoção, perda, divulgação e indisponibilidade. Esse processo é fundamentado, segundo padrões internacionais, em quatro princípios básicos (BARRETO; MORAIS; VETTORAZZO, 2018): Con�dencialidade A informação será disponibilizada exclusivamente às entidades legítimas e previamente autorizadas pelo proprietário da informação. O acesso às informações deve ser restrito, ou seja, somente os indivíduos explicitamente autorizados podem acessá-las. Perda de con�dencialidade signi�ca que a informação foi destituída de sigilo. Se uma informação for con�dencial, ela será sigilosa e deverá ser guardada com proteção e não divulgada para indivíduos não-autorizados. Integridade Evidencia que a informação deve manter todas as características estabelecidas no momento em que foi liberada pelo seu proprietário, garantindo-lhe a sua proteção contra alterações intencionais, indevidas ou acidentais. Em outros termos, é a garantia de que a informação previamente guardada é a mesma que será recuperada. Disponibilidade Garante que a informação deve estar acessível sempre que seus usuários (entidades autorizadas) necessitarem, não importando o motivo. Em outras palavras, é a garantia de que a informação sempre estará disponível. Autenticidade Atesta que a informação é originada do emissor anunciado e que sua origem não sofreu alterações no decorrer do processo de transmissão. Nesse sentido, alguns conceitos básicos precisam ser previamente conhecidos para que os devidos controles sejam estabelecidos, implementados, analisados, monitorados e aperfeiçoados. São eles: ● Incidente de segurança: toda ocorrência adversa relacionada à segurança. Exemplos: ataques à infraestrutura tecnológica, furto de informação, vazamento de dados sigilosos. ● Ativo: qualquer item – material ou imaterial – detentor de valor para a 06/10/21, 19:49 Roteiro de Estudos https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 3/12 instituição e para o negócio. Exemplo: processos, pessoas, servidores, dispositivos de rede (roteadores, switches, �rewall, entre outros), serviços, banco de dados, softwares e computadores. ● Ameaça: corresponde à probabilidade de ocorrência de um evento acidental ou proposital, perpetrada por um agente, que pode afetar um local, sistema ou ativo de informação de uma instituição. ● Vulnerabilidade: fraqueza existente em um ou mais ativos da instituição e que possa ser utilizada por uma ameaça para comprometer a segurança das informações. ● Risco: probabilidade de ocorrência de determinado evento na instituição, com as suas respectivas consequências. ● Ataque: ação que viole a segurança de uma informação dentro da instituição. Um evento originado pela utilização de certa vulnerabilidade por uma ameaça. ● Impacto: consequência mensurada de uma ocorrência especí�ca. No decorrer do tempo, a informação sempre foi um item de extrema relevância para as instituições, sejam elas públicas ou privadas – e hoje mais do que nunca. A informação se tornou o ativo de maior importância estratégica para as mais diferentes organizações. A análise dos dados coletados norteia muitas das ações implementadas. Dessa forma, a segurança e a proteção dos dados continuamente ganham relevância no cenário atual da nossa sociedade. Política de Segurança da Informação Podemos descrever a Política de Segurança da Informação como um agrupamento de regras gerais contemplando ações, técnicas, normas, procedimentos e boas práticas com o objetivo de conduzir a segurança das informações dentro das instituições. Como requisito fundamental, deve ser adotada por todos os componentes da organização, a �m de orientá-los sobre o seu funcionamento, além de ser clara e objetiva, evitando redundâncias na construção de regras e processos. Segundo os autores Coelho, Araújo e Bezerra (2014), a política de Segurança da Informação pode ser dividida nos seguintes itens. 06/10/21, 19:49 Roteiro de Estudos https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 4/12 Quadro 1 - Divisão da Política de Segurança da Informação Fonte: Adaptado de Coelho, Araújo e Bezerra (2014). A política de Segurança da Informação deve ser estabelecida através de um processo formal, porém adaptável, com o objetivo de autorizar adequações segundo as características do negócio. De acordo com os autores Coelho, Araújo e Bezerra (2014), um roteiro comum para a sua adaptação contempla as seguintes etapas: ● Levantar qual a legislação presente na organização. ● Realizar o levantamento dos recursos críticos. ● Classi�car as informações da instituição, considerando todos os setores e suas respectivas informações, e não apenas a área de tecnologia da informação. ● Analisar as demandas de segurança, tendo como alvo identi�car prováveis ameaças, riscos e impactos na organização. ● Construir a proposta para a política de segurança. ● Explanar a todos os envolvidos o conteúdo da proposta apresentada. ● Sancionar a política de segurança. ● Construir a política de segurança. ● Manter, periodicamente, a política de segurança, procurando identi�car as melhorias necessárias e efetuar as revisões cabíveis. Políticas Orientações que visam justi�car a necessidade de se aplicar a Segurança da Informação na instituição e que devem ser seguidas para obtê-la. Normas Requisitos fundamentais que explicam como devem ser construídos o conjunto de controles que foram pormenorizados nas políticas. Explicam quais passos devem ser seguidos para se alcançar as diretrizes delimitadas na política de segurança. Procedimentos Atividades que têm como objetivo apresentar detalhadamente a forma como deve ser construído o controle ou o conjunto de controles. Apresentam como realizar na prática cada item de�nido nas normas especí�cas e em suas políticas. Instruções Explanação de um processo ou conjunto de processos para a criação e a execução de controles de Segurança da Informação. Evidências Instrumentos utilizados para permitir a obtenção e a comprovação da aplicabilidade, da e�cácia e da e�ciência dos controles de segurança. Possibilitará a geração de dados que tornem possíveis o rastreio e a realização de auditorias. 06/10/21, 19:49 Roteiro de Estudos https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 5/12 Um dos papéis mais relevantes da política de Segurança da Informação é descrever qual a posição da empresa com relação à responsabilidade de cada colaborador ao utilizar os recursos tecnológicos disponíveis. Por isso, a realização de treinamentos constantes é de suma importância para gerar maior conscientização por parte dos funcionários e tornar efetivo todo o esforço dispendidona elaboração e implementação da política de segurança. É necessário considerar que as pessoas também fazem parte do processo de segurança e que o fator humano pode vir a ser o ponto mais vulnerável, principalmente perante a prática de ataques de engenharia social. Normas ISO NBR/IEC 27001 e ISO NBR/IEC 27002 A norma ABNT NBR ISO/IEC 27001 foi criada para especi�car as exigências de um sistema de Gestão de Segurança da Informação (SGSI), tendo como referência uma abordagem de riscos para o negócio. A norma é segmentada em oito seções, conforme o resumo apresentado por Advisera (2019), através dos itens a seguir: ● Seção 0: Introdução – descreve o objetivo da ISO 27001 e sua relação com as outras normas 27000. ● Seção 1: Escopo – enuncia que esta norma é aplicável a todas as instituições. ● Seção 2: Referências normativas – aponta a norma ISO/IEC 27000 como pré-requisito obrigatório para a aplicação da norma ABNT NBR ISO/IEC 27001. ● Seção 3: Termos e de�nições – repete a referência à norma ISO/IEC 27000. ● Seção 4: Contexto da organização – corresponde à fase de planejamento do ciclo PDCA e delimita o escopo do SGSI. ● Seção 5: Liderança – relacionada à etapa de planejamento (Plan) do ciclo PDCA, de�ne as responsabilidades da direção, estabelecendo papéis e responsabilidades, e o conteúdo da política de Segurança da Informação de alto nível. ● Seção 6: Planejamento – aprofunda a etapa de planejamento (Plan) do ciclo PDCA e estabelece requisitos para a avaliação de riscos e os treinamentos para combatê-los e a Declaração de Aplicabilidade, além de de�nir os objetivos da Segurança da Informação. ● Seção 7: Apoio – corresponde ainda à fase de planejamento (Plan) do ciclo PDCA e de�ne requisitos de disponibilidade de recursos, competências, conscientização, comunicação e controle de documentos e registros. 06/10/21, 19:49 Roteiro de Estudos https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 6/12 ● Seção 8: Operação – está relacionada à etapa de execução (Do) do ciclo PDCA e especi�ca a implementação da avaliação e tratamento de risco, assim como controles e outros processos necessários para atingir os objetivos de Segurança da Informação. ● Seção 9: Avaliação do desempenho – corresponde à etapa de veri�cação (Check) do ciclo PDCA e de�ne requisitos para monitoramento, medição, análise, avaliação, auditoria interna e análise crítica pela direção da organização. ● Seção 10: Melhoria – descreve a etapa de atuação (Act) do ciclo PDCA e estabelece requisitos para não conformidades, ações corretivas e melhoria contínua. A norma ABNT NBR ISO/IEC 27002 (Tecnologia da Informação – Técnicas de segurança – Código de prática para controles de segurança da informação) foi composta para servir como manual prático para a elaboração e implementação de processos e controles de Segurança da Informação em uma instituição. De acordo com os autores Coelho, Araújo, Bezerra (2014), esta norma é estruturada em capítulos, do 0 ao 18. Os capítulos de 0 a 4 apresentam os temas de introdução (0), Escopo (1), Referência normativa (2), Termos e de�nições (3) e Estrutura desta norma (4). Os capítulos 5 a 18 são chamados de seções, conforme o diagrama apresentado na �gura. Portanto, existem catorze seções apresentando os códigos de práticas da gestão da segurança. Cada seção de�ne um ou mais objetivos de controle. As catorze seções formam o total de 35 objetivos de controle. Figura 1 - Melhores práticas para controle: seções da norma 27002 Fonte: COELHO; ARAÚJO; BEZERRA, 2014, p. 40. Vamos abordar algumas seções? A seção 7 da norma visa assegurar que funcionários e partes externas entendam suas responsabilidades e estejam em conformidade com os papéis para os quais foram selecionados, tratando, por exemplo, da responsabilização dos usuários pelo uso dos recursos de TI. 06/10/21, 19:49 Roteiro de Estudos https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 7/12 A seção 11, por exemplo, aborda a segurança física que visa, primariamente, evitar o acesso não aprovado, danos ou interferência às infraestruturas físicas e às informações da instituição. Vale ressaltar que a proteção fornecida deve ser compatível com os riscos levantados, assegurando a preservação da con�dencialidade da informação. Essa norma também fala do gerenciamento de senhas; sempre que houver suspeita ou indícios de vazamento, os usuários devem atualizar suas senhas de acesso. Ao todo, há 114 controles: são os elementos que de�nem o que a norma 27002 considera como relevante para a composição de um processo de Segurança da Informação. Criptogra�a de dados A criptogra�a corresponde a conceitos e técnicas utilizadas com o objetivo de codi�car uma informação, permitindo que apenas o emissor da mensagem e o devido receptor possam consultá-la – mesmo que interceptada por terceiros, ela não deve ser decifrada. As técnicas de criptogra�a de dados mais difundidas são baseadas em chaves criptográ�cas, que correspondem ao conjunto de bits gerados através de um algoritmo com a �nalidade de codi�car e decodi�car os dados transmitidos. As técnicas de chaves criptográ�cas são categorizadas em simétricas e assimétricas. As primeiras possuem maior desempenho, sendo, assim, recomendadas para grandes volumes de informação. A técnica de chave simétrica é a mais simples e não é totalmente segura, devido ao fato de tanto emissor quanto receptor portarem a mesma chave. Por isso, é menos segura e o seu conteúdo pode ser obtido por terceiros, bastando, para tanto, que o algoritmo seja descoberto. A outra categoria corresponde à técnica de chave assimétrica, que, por sua vez, possui duas chaves: pública e privada. A chave pública é distribuída abertamente, sendo utilizada para codi�car a informação. Esta possui desempenho inferior, sendo recomendada para assinaturas digitais e troca de chaves. Sua tecnologia é baseada no padrão X.509, sendo composta por programas, formatos de dados, procedimentos, protocolos de comunicação, políticas de segurança e mecanismos criptográ�cos de chave pública, de forma a viabilizar a autenticação, a con�dencialidade, o não repúdio e a integridade às informações compartilhadas. Já a chave privada, para decodi�car, é secreta, pois apenas o destinatário �nal a possui. O Secure Sockets Layer (SSL), por exemplo, faz o uso de um sistema de criptogra�a com duas chaves para criptografar os dados: uma chave pública, conhecida por todos; e uma chave privada; conhecida apenas pelo destinatário. 06/10/21, 19:49 Roteiro de Estudos https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 8/12 Um resumo do processo seria esse: o emissor criptografa a mensagem com a chave pública do receptor; este, ao receber a mensagem, irá decifrá-la com a sua chave privada. Uma das regras mais importantes da composição dessa técnica determina que ambas as chaves sejam independentes, de modo que uma não possa ser facilmente obtida através da outra. Um dos algoritmos mais utilizados atualmente na criptogra�a assimétrica é o RSA. Podemos observar na prática a disseminação do uso da criptogra�a ao observarmos o aumento dos sites na internet que utilizam o protocolo HTTPS, em substituição do HTTP, com o objetivo de garantir que todas as transmissões de dados entre os computadores e os servidores web sejam criptografadas. Além da utilização de chaves, as melhores práticas da Segurança da Informação tratam da técnica de certi�cado digital, que, segundo o CERT.BR (2019), tem o objetivo de garantir a identidade de um ativo, seja ele instituição, colaborador ou equipamento. Trata-se de um arquivo contendo dados que identi�cam o seu proprietário, com nome da Autoridade Certi�cadora (AC), número de série e período de validade do certi�cado. Assim, a Assinatura Digital consiste em uma ferramenta para provar que osdados foram gerados pelo detentor de uma chave especí�ca. É um caso especial de código de integridade de mensagens em que o código pode ter sido composto por apenas um dos participantes. A utilização da criptogra�a é um aspecto fundamental na Segurança da Informação, tanto que sua adoção é tratada como requisito obrigatório para a obtenção da con�dencialidade, LIVRO Fundamentos em Segurança da Informação Autora: Michele da Costa Galvão Editora: Pearson Ano: 2015 Comentário: para saber mais e aprofundar seus conhecimentos sobre os tópicos discutidos na disciplina, indicamos a leitura do livro Fundamentos em Segurança da Informação, da autora Michele da Costa Galvão. Esse título está disponível na Biblioteca Virtual Laureate. 06/10/21, 19:49 Roteiro de Estudos https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062_… 9/12 autenticidade e integridade de informação. Devido a sua importância, possui uma seção totalmente a ela dedicada na ISO/IEC 27002 (Seção 10: Criptogra�a), que delimita como meta assegurar o uso efetivo e apropriado da criptogra�a através da adoção de uma política de controle criptográ�co e gerenciamento das chaves utilizadas. Assim, são fundamentais para a viabilidade da criptogra�a e a descriptogra�a: software, protocolos, algoritmos e chaves. Enquanto ocorre o processo de autenticação, os dois componentes selecionam a chave que será usada para prover a privacidade durante a comunicação posterior. A utilização de um servidor de autenticação como terceiro ente con�ável também é possível. Gestão de riscos Os riscos estão presentes nas operações relacionadas a informações em todas as instituições. O gerenciamento de riscos é um dos principais processos da gestão de Segurança da Informação, tendo como principal objetivo minimizar a ocorrência de eventos que possam interferir negativamente na integridade, no sigilo e na disponibilidade das informações utilizadas pela organização. Entre as atividades mais relevantes da gestão de riscos, segundo Hintzbergen et al (2018), podemos listar: Elaboração dos objetivos. Identi�cação de riscos. Análise de riscos. Planejamento do tratamento de risco. Construção de controles. Avaliação dos riscos. Na primeira etapa, o objetivo principal é decidir qual será o objetivo desse processo. Os responsáveis dentro da instituição decidem qual será a prioridade (minimizar riscos, custos, ocorrência de falhas etc.). Na segunda etapa, é realizada a identi�cação dos riscos. Para cada organização, existe um conjunto especí�co deles, intrinsecamente relacionados ao negócio e ao tipo de informação utilizada pela organização. No terceiro processo, é realizada a análise dos riscos previamente identi�cados. Tem como objetivos principais: Identi�car quais informações a organização detém e o seu valor para o negócio. Desvendar quais as ameaças que podem comprometer a organização e apresentar suas vulnerabilidades. Classi�car os riscos e ameaças de acordo com o grau de impacto sob a organização. Calcular o curso de ocorrência de um incidente em comparação com o custo necessário para preveni-lo. 06/10/21, 19:49 Roteiro de Estudos https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062… 10/12 Na quarta fase do processo, é realizada o planejamento do tratamento de risco. Muitas vezes não é possível – ou é �nanceiramente inviável – a eliminação de todos os riscos. Existem várias abordagens de tratá-los: Eliminar o risco: ataque à origem do risco, impedindo em de�nitivo que o incidente relacionado a ele possa ocorrer. Nem sempre é possível. Reduzir o risco: utilização de técnicas de prevenção. Imobilizar o risco: situações nas quais as organizações decidem que a melhor estratégia para determinado risco é acompanhá-lo. Transferir o risco: aquisição de um seguro que transfere o risco em caso de incidente para a seguradora, por exemplo. Na quinta etapa do processo, devemos criar um controle de risco através da execução de todo o planejamento elaborado nas etapas anteriores. Para que essa execução seja efetiva dentro da instituição, é necessário que todos os colaboradores, inclusive os gestores, estejam comprometidos com o processo, que exista um monitoramento contínuo e que a comunicação seja constante na gestão para que o processo esteja alinhado com os objetivos da organização. Na última etapa, ao observamos que os processos, sistemas, informações e até os riscos são dinâmicos e mudam com o passar do tempo, devemos então adaptar o processo de gestão de riscos para um modelo cíclico, visando sempre mantê-lo atualizado, e�caz e capaz de acompanhar todas as mudanças pertinentes. (GALVÃO, 2015) É importante, também, falar do plano de contingência, que consiste em um conjunto de processos, criado de maneira preventiva, visando delimitar responsabilidades e organizar procedimentos, de modo que, em caso de ocorrência de um incidente, a organização continue operando seus serviços sem impactos ou com o menor impacto possível. Assim, o plano de contingência consiste em um planejamento universal com principal objetivo da manutenção do ambiente de informações da organização com total segurança, visando prevenir contra quaisquer ameaças à integridade e às operações. Dada a sua relevância, a gestão de riscos também possui uma norma técnica exclusiva, a ISO/IEC 27005, que especi�ca os princípios para o processo de gestão de riscos na Segurança da Informação. Conclusão A informação se tornou o ativo de maior importância estratégica para as instituições. Cada vez mais se transmitem informações através da internet, seja na utilização do e-commerce, seja 06/10/21, 19:49 Roteiro de Estudos https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062… 11/12 através de acesso a serviços on-line, tornando esses dados mais suscetíveis a diferentes ataques. A utilização das melhores práticas para a Segurança de Informação se tornou, assim, fator essencial, levando à criação de norma especí�ca para o tratamento do tema, através da ABNT NBR ISO/IEC 27002 (HINTZBERGEN et al, 2018). A aplicação de boas práticas visa garantir que os princípios relacionados à informação – con�dencialidade, integridade, disponibilidade e autenticidade – sejam preservados. A conscientização de todos os envolvidos é de extrema relevância para a correta implementação dos processos de Segurança da Informação – e a melhor maneira de atingir esse objetivo é através da educação. Referências Bibliográ�cas ABNT NBR ISO/IEC 27001. (2006). Tecnologia da informação – Técnicas de Segurança – Sistemas de gestão de segurança da informação – Requisitos. Rio de Janeiro: Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002. (2005). Tecnologia da informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27005. (2008). Tecnologia da informação – Técnicas de Segurança – Gestão de riscos de segurança da informação. Rio de Janeiro: Associação Brasileira de Normas Técnicas. BARRETO, J. S.; ZANIN, A.; MORAIS, I. S.; VETTORAZZO, A. S. Fundamentos de Segurança da Informação. Porto Alegre: Sagah, 2018. CERT.BR. Cartilha de segurança para Internet. Disponível em: <https://cartilha.cert.br/criptogra�a/>. Acesso em: 10/09/2019. COELHO, F. E. S.; ARAÚJO, L. G. S.; BEZERRA, E. K. Gestão da Segurança da Informação: NBR 27001 e NBR 27002. Brasília: Escola Superior de Redes, 2014. GALVÃO, M. C. Fundamentos em Segurança da Informação. São Paulo: Pearson, 2015. HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018. LEAL, R. O que é a ISO 27001? Advisera, [s. d.]. Disponível em: <https://advisera.com/27001academy/pt-br/o-que-e-a-iso-27001/>. Acesso em: 10/09/2019.https://cartilha.cert.br/criptografia/ https://advisera.com/27001academy/pt-br/o-que-e-a-iso-27001/ 06/10/21, 19:49 Roteiro de Estudos https://anhembi.blackboard.com/webapps/late-course_content_soap-BBLEARN/Controller?ACTION=OPEN_PLAYER&COURSE_ID=_749062… 12/12
Compartilhar