Prévia do material em texto
Políticas e normas para a segurança1-4ª final.indd 1 19/7/2012 10:12:53 Políticas e normas para a segurança1-4ª final.indd 3 19/7/2012 10:12:56 Copyright© 2012 por Brasport Livros e Multimídia Ltda. Todos os direitos reservados. Nenhuma parte deste livro poderá ser reproduzida, sob qual- quer meio, especialmente em fotocópia (xerox), sem a permissão, por escrito, da Editora. Editor: Sergio Martins de Oliveira Diretora: Rosa Maria Oliveira de Queiroz Gerente de Produção Editorial: Marina dos Anjos Martins de Oliveira Assistente de Produção Editorial: Mell Siciliano Revisão de Texto: Maria Inês Galvão Editoração Eletrônica: Maristela Carneiro – Algo+ Capa: Use Design Produção para ebook: Fábrica de Pixel Técnica e muita atenção foram empregadas na produção deste livro. Porém, erros de digitação e/ou impressão podem ocorrer. Qualquer dúvida, inclusive de conceito, solicitamos enviar mensagem para editorial@brasport. com.br, para que nossa equipe, juntamente com o autor, possa esclarecer. A Brasport e o(s) autor(es) não assu- mem qualquer responsabilidade por eventuais danos ou perdas a pessoas ou bens, originados do uso deste livro. BRASPORT Livros e Multimídia Ltda. site: www.brasport.com.br Rua Pardal Mallet, 23 – Tijuca 20270-280 Rio de Janeiro-RJ Tels. Fax: (21)2568.1415/2568.1507 e-mails: marketing@brasport.com.br vendas@brasport.com.br editorial@brasport.com.br Filial SP Av. Paulista, 807 – conj. 915 01311-100 São Paulo-SP Tel. Fax (11): 3287.1752 e-mail: filialsp@brasport.com.br Políticas e normas para a segurança1-4ª final.indd 4 19/7/2012 10:12:56 http://www.brasport.com.br mailto:marketing@brasport.com.br mailto:vendas@brasport.com.br mailto:filialsp@brasport.com.br mailto:editorial@brasport.com.br mailto:editorial@brasport.com.br mailto:editorial@brasport.com.br Dedico este livro: A todas as crianças da terra. A todas as pessoas que já foram crianças e que se esqueceram que foram crianças. A todas as pessoas que já foram crianças e que continuam com a pureza das crianças. A todas as crianças que foram sempre crianças porque se encantaram antes de se tornarem adultos. A todas as crianças que, pelos infinitos destinos da vida, cresceram mas possuem uma mente inocente de criança. A todos os meus sobrinhos e sobrinhas. A todos os meus sobrinhos-netos e sobrinhas-netas. Ao meu primeiro neto, Mateus. Políticas e normas para a segurança1-4ª final.indd 5 19/7/2012 10:12:56 Eu fico com a pureza da resposta das crianças: é a vida! É bonita e é bonita! Viver e não ter a vergonha de ser feliz. Cantar e cantar e cantar a beleza de ser um eterno aprendiz. Canção: O que é o que é? Luiz Gonzaga do Nascimento Jr – Gonzaguinha (1945, 1991) O homem confiará no homem, como o menino confia em outro menino Parágrafo Único do Artigo Quarto – Estatutos do Homem Thiago de Mello (1926) Deixai vir a mim as criancinhas, porque delas é o Reino dos Céus. Bíblia Sagrada, Evangelho de Mateus, Capítulo 19, Versículo 14 Políticas e normas para a segurança1-4ª final.indd 6 19/7/2012 10:12:57 Agradecimentos Ao nosso bom Deus pelo dom da vida, sem o qual nada disso seria possível, sem o qual não existiria o eterno sopro divino em cada um de nós. Ao meus alunos e aos colegas profissionais que sempre exigem material sobre segurança da informação e mais especificamente sobre políticas e normas. Às organizações que me confiaram a tarefa de elaborar e revisar suas políticas de segurança da informação. A abordagem prática deste livro é fruto desta experiência, exigindo que cada organização receba o seu regulamento específico. Ao Centro Paula Souza do Governo do Estado de São Paulo, pela oportunidade do Mestrado em Tecnologia e pelo seu objetivo de aproximar a academia das organizações. Ao Prof. Napoleão Galegale pela sua orientação, sua sabedoria e seu compartilhamento de conhecimento para a minha Dissertação de Mestrado em Tecnologia, documento que embasa a parte teórica deste livro. À Profa Dra. Marília Macorin de Azevedo e ao Prof. Dr. Pedro Luiz Cortez, pelo crivo acadêmico durante a qualificação e defesa da Dissertação de Mestrado. À minha esposa e namorada, Fatima Fontes, que me acompanha no desenvolvimento dos meus textos. Políticas e normas para a segurança1-4ª final.indd 7 19/7/2012 10:12:57 VIII Políticas e Normas para a Segurança da Informação Ao meu Editor Sergio Oliveira pela confiança de sempre e também a todos da Editora Brasport que contribuíram para a elaboração deste livro. Aos anjos do Hospital do Coração/SP, na figura do Dr. Saverio Angrisani Neto, que me deixaram mais forte para a caminhada da vida. Às entidades profissionais ABSEG, ISACA, ISSA, ASIS e InfoSec Council que sempre apoiam as minhas atividades profissionais em segurança da informação. Políticas e normas para a segurança1-4ª final.indd 8 19/7/2012 10:12:57 Sobre o Autor EDISON LUIZ GONÇALVES FONTES é profissional de segurança e proteção da informação na organização e dedica-se a este assunto desde 1989. Possui Mestrado em Tecnologia pelo Centro Paula Souza do Governo do Estado de São Paulo, Especialização pelo Mestrado de Ciência da Computação UFPE, pós- graduação em Gestão Empresarial pela FIA-USP e Bacharelado em Informática UFPE. Possui as certificações internacionais: CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager) e CRISC (Certified in Risk and Information System Control) pela ISACA (Information System Audit and Control Association / USA). Natural de Recife, PE, é professor de MBAs da FIAP, professor convidado do MBA Tecnologia da Informação da FIA-USP e Revisor “ad hoc” da RAUSP – Revista de Administração da USP. Atuou como Coordenador de Segurança da Informação no Banco BANORTE e posteriormente fez trabalhos de consultoria em diversas organizações. Foi Gerente na área de GRMS (Global Risk Management Solutions) da PricewaterhouseCoopers e posteriormente exerceu a função de Security Officer and Software Quality Assurance Manager da GTECH Brasil. Foi Gerente Sênior da Prática da Segurança da Informação da CPM Braxis. Seu trabalho de políticas de segurança da informação desenvolvido para o NOSI (Núcleo Operacional para a Sociedade da Informação do Governo da Políticas e normas para a segurança1-4ª final.indd 9 19/7/2012 10:12:57 X Políticas e Normas para a Segurança da Informação República de Cabo Verde) foi base para o Decreto Lei 19/2010, aprovado pelo Conselho de Ministros, promulgado pelo Presidente da República e referendado pelo Primeiro Ministro. O referido decreto estabelece as políticas, normas e regras de segurança da informação para Rede Tecnológica Privativa do Estado (RTPE). Sua experiência em desenvolvimento e revisão de políticas e normas de segurança da informação supera cinco centenas de documentos nas mais diversas organizações. É autor dos livros “Vivendo a segurança da informação”, Editora Sicurezza, 2000 e “Segurança da informação: o usuário faz a diferença!”, Editora Saraiva, 2006, “Praticando a segurança da informação”, Editora Brasport, 2008, “Clicando com segurança”, Editora Brasport, 2011. É coautor dos livros “Banco Eletrônico”, PricewaterhouseCoopers, 2001, “Porque GESITI – Segurança, Inovação e Tecnologia”, CENPRA/MCT, Editora Komedi, 2007 e Innovations and Advanced Techniques in Computer and Information Sciences and Engineering, Editora Springer Netherlands, 2008. Foi premiado pela apresentação de trabalhos nas Conferências 12 e 13 da GUIDE LATIN AMERICA e em Congresso Nacional da SUCESU. Foi eleito, através de voto da comunidade de profissionais e usuários, Profissional do Ano em Segurança da Informação, recebendo o Prêmio SECMASTER 2003 promovido pela ISSA (Information Systems Security Association) Capítulo São Paulo e VIAFORUM. Em 1978 recebeu o Prêmio Universitário Banorte. É sócio-fundador do Capítulo São Paulo da ISACA e sócio-fundador da ABSEG- Associação Brasileira deProfissionais de Segurança. Participa do InfoSec Council, grupo de profissionais de segurança, sendo coautor das duas publicações deste grupo. É colunista da Information Week Brasil. Atualmente é sócio da Núcleo Consultoria em Segurança. Políticas e normas para a segurança1-4ª final.indd 10 19/7/2012 10:12:58 Apresentação Tenho experiência profissional em elaboração, revisão e implantação de políticas, normas e procedimentos nas mais diversas organizações, seja como Gestor de Segurança da Informação ou como Consultor. Em função desta experiência fui convidado para ser o Professor da disciplina de Políticas e Normas no MBA de Gestão da Segurança da Informação da FIAP. Esta disciplina exigiu a estruturação do assunto para ser levado a estes alunos de pós-graduação. Por estar envolvido neste tema de regulamentos, decidi desenvolver meu trabalho de pesquisa e dissertação de Mestrado em Tecnologia abordando o tema “Política de segurança da informação: uma contribuição para o estabelecimento de um padrão mínimo”. Este livro é fruto destas três frentes de trabalho e tem por objetivo facilitar o desenvolvimento, a implantação e a manutenção de políticas e normas de segurança da informação. Ele apresenta os aspectos teóricos que precisam ser considerados pelos profissionais envolvidos no desenvolvimento de regulamentos de segurança e também apresenta uma parte prática onde foram disponibilizados trinta exemplos reais de políticas, normas e documentos complementares. São exemplos que podem ser tomados como base na construção dos regulamentos de segurança da informação. Utilize estes exemplos como uma referência. Quero dizer: utilize estes exemplos como uma trilha e não como um trilho. Sei que meu DNA de escritor, após algumas centenas de documentos, está presente em todos os trabalhos que desenvolvo. Alguns leitores poderão identificar trechos parecidos em regulamentos desenvolvidos para suas organizações. Mas em nenhum caso o exemplo apresentado neste livro é cópia Políticas e normas para a segurança1-4ª final.indd 11 19/7/2012 10:12:58 XII Políticas e Normas para a Segurança da Informação exata de trabalhos finalizados. Este meu DNA de escrita é uma marca que estará em todos os documentos que desenvolvo. A utilização deste livro pode acontecer pelos alunos e professores nos cursos de pós-graduação e de graduação, MBAs e nas organizações pelos profissionais de segurança da informação, pelos auditores, profissionais de controle, profissionais de gestão de risco e demais profissionais interessados no tema segurança da informação. Sua leitura pode ser sequencial, acompanhando a lógica dos capítulos, ou pode ser direta para os capítulos e anexos que mais despertem interesse do leitor. Este livro supre uma lacuna de literatura neste assunto com esta abordagem prática e teórica. Ele foi feito pensando em ser proveitoso para os envolvidos com a segurança da informação. Um grande abraço, Edison Fontes, CISM, CISA, CRISC edison@pobox.com Políticas e normas para a segurança1-4ª final.indd 12 19/7/2012 10:12:58 mailto:edison@pobox.com Prefácio Sinto-me bastante gratificado em fazer este prefácio, atendendo a um gentil convite que me foi feito pelo autor, Prof. Edison Fontes. Tive oportunidade de conhecer e conviver com o Edison no período em que estava desenvolvendo estudos e pesquisas para obter seu título de Mestre em Tecnologia no Centro Estadual de Educação Tecnológica Paula Souza – CEETEPS, mantido pelo Governo do Estado de São Paulo. Na ocasião, o Edison já possuía grande experiência profissional na área de segurança da informação e fiquei muito animado com o seu projeto de pesquisa, tornando-me seu orientador na elaboração e defesa de sua dissertação, a qual, de certa forma, está relacionada com o tema central deste livro. Confesso que o livro me surpreendeu positivamente quanto à abrangência do conteúdo e a didática de como é apresentado, estendendo e complementando a pesquisa original. A segurança da informação faz parte da pauta dos temas de maior importância a serem tratados pelas organizações, bem como das pesquisas acadêmicas, com vistas a preservar o principal ativo da nossa sociedade: a informação. O autor apresenta de forma encadeada, a partir do conceito de informação, o seu processo de segurança e a necessidade de uma política específica para tanto, propondo e discutindo estruturas para tais políticas e finalizando com diversos exemplos práticos abordando os três níveis de direcionamento de atividades para implementação da segurança da informação: políticas, normas e procedimentos, exemplos estes, com certeza, frutos de sua experiência prática como consultor de empresas. Políticas e normas para a segurança1-4ª final.indd 13 19/7/2012 10:12:58 XIV Políticas e Normas para a Segurança da Informação Um ponto importante que gostaria de destacar no livro é a análise da segurança da informação realizada pelo autor, em relação às principais estruturas de referência para gestão da Tecnologia da Informação, tidas como representativas das melhores práticas do mercado tais como as normas ISO, o COBIT e o ITIL. Tenho certeza de que os leitores encontrarão neste livro o conhecimento necessário para auxiliá-lo a entender, elaborar e/ou avaliar políticas e normas para a segurança da informação. Prof. Dr. Napoleão Verardi Galegale PUC-SP / CEETEPS Políticas e normas para a segurança1-4ª final.indd 14 19/7/2012 10:12:58 Sumário Capítulo 1. A Informação ............................................................................................. 1 Capítulo 2. O Processo de Segurança da Informação .......................................... 7 Capítulo 3. A Necessidade da Política e de Outros Regulamentos .................12 Capítulo 4. A Política de Segurança da Informação e a Gestão de Riscos ....17 Capítulo 5. A Política de Segurança da Informação e a Norma NBR ISO/IEC 27002 ...................................................................23 Capítulo 6. A Política de Segurança da Informação e a Norma NBR ISO/IEC 27001 .................................................................34 Capítulo 7. A Política de Segurança da Informação e a Norma NBR ISO/IEC 27005 .................................................................43 Capítulo 8. A Política de Segurança da Informação e o COBIT .....................52 8.1 – O COBIT ..................................................................................................................................... 52 8.2 – Os domínios do COBIT ........................................................................................................ 55 8.3 – Domínios do COBIT e os processos de TI .................................................................... 57 8.4 – Processo de TI – DS5 Garantir a Segurança dos Sistemas .................................... 59 Políticas e normas para a segurança1-4ª final.indd 15 19/7/2012 10:12:58 XVI Políticas e Normas para a Segurança da Informação 8.5 – COBIT e a política de segurança da informação ....................................................... 63 Capítulo 9. A Política de Segurança da Informação e o ITIL ............................64 9.1 – Estrutura do ITIL .................................................................................................................. 64 9.2 – ITIL e a política de segurança da informação ......................................................... 67 Capítulo 10. A Política de Segurança da Informação e a Governança ..........70 10.1 – Governança corporativa ................................................................................................... 70 10.2 – Governança de segurança da informação ................................................................ 71 10. 3 – A participação da direção e das áreas de negócio na governança dasegurança da informação ................................................................................................ 76 Capítulo 11. Arquitetura para Políticas e Normas de Segurança da Informação ............................................................................................77 Capítulo 12. Escrevendo Políticas e Normas de Segurança da Informação .............................................................82 12.1 – O processo de criação de regulamentos ................................................................... 82 12.2 – Motivações para a existência da política de segurança da informação ........ 82 12.3 – O projeto de política de segurança da informação ............................................... 84 12.4 – Alinhamento aos objetivos da organização, objetivos do negócio .............88 12.5 – Desenvolvendo a política e normas de segurança da informação ..............90 12.6 – Premissas para uma existência verdadeira de políticas e normas ................... 92 12.7 – Desenvolvendo políticas e normas de segurança da informação ................... 93 12.8 – Escrevendo o texto do documento .............................................................................. 97 12.9 – A definição dos controles a serem considerados .................................................101 Capítulo 13. Exemplos de Políticas, Normas e Procedimentos ......................103 13.1 – Nível 1: Políticas, Diretrizes ...................................................................................105 Exemplo 1. Política de segurança e proteção da informação ......................................105 Exemplo 2. Política de segurança da informação .............................................................110 Políticas e normas para a segurança1-4ª final.indd 16 19/7/2012 10:12:59 XVIISumário Exemplo 3. Política de segurança da informação ...........................................................111 Exemplo 4. Política de segurança da informação (Prestador) ....................................113 Exemplo 5. Política de segurança e proteção da informação ....................................120 13.2 – Nível 2 políticas, normas .....................................................................................125 Exemplo 6. Uso de correio eletrônico ..................................................................................126 Exemplo 7. Utilização do ambiente internet pelo usuário ...........................................132 Exemplo 8. Classificação da informação ...........................................................................136 Exemplo 9. Acesso à informação ...........................................................................................147 Exemplo 10. Respeito à privacidade do usuário ........................................152 Exemplo 11. Uso de recurso computacional .......................................................................157 Exemplo 12. Continuidade operacional ............................................................ 160 Exemplo 13. Cópias de segurança da informação ............................................................162 Exemplo 14. Validação de cópias de segurança-gestor da informação .......................................................................................................168 Exemplo 15. Desenvolvimento e manutenção de sistemas........................... 169 Exemplo 16. Conscientização e treinamento de usuário em segurança da informação .........................................................................172 Exemplo 17. Programas produto de tecnologia da informação ..................................174 Exemplo 18. Acesso à informação no ambiente convencional ....................................176 13.3 – Nível 3 e demais níveis: normas, procedimentos ......................................... 180 Exemplo 19. Acesso lógico ao ambiente de produção pelo pessoal de desenvolvimento e manutenção de sistemas...........................................180 Exemplo 20. Utilização de senha para o acesso lógico ...................................................184 Exemplo 21. Acesso remoto pelo usuário ............................................................................188 Exemplo 22. Registro de incidentes .................................................................. 190 Exemplo 23. Registro de ocorrência em segurança da informação ...........................192 Exemplo 24. Cadastro de gestores da informação ...........................................................193 Políticas e normas para a segurança1-4ª final.indd 17 19/7/2012 10:12:59 XVIII Políticas e Normas para a Segurança da Informação Exemplo 25. Documentos em papel – lixo, destruição e reciclagem .........................195 Exemplo 26. Usuário da informação .......................................................................................198 Exemplo 27. Termo de responsabilidade para uso da informação .............................202 Exemplo 28. Termo de responsabilidade do usuário .......................................................204 13.4 – Glossário ...............................................................................................................................205 Exemplo 29. Termos utilizados nos documentos de segurança da informação ..........................................................................205 13.5 – Planejamento ............................................................................................213 Exemplo 30. Planejamento da gestão da segurança da informação .........................214 Anexo 1. Controles da NBR ISO/IEC 27002 .........................................................222 Anexo 2. Padrão mínimo de política de segurança da informação ..............248 Anexo 3. Alinhamento da política de segurança da informação com os gestores da organização .........................................................................255 Bibliografia ................................................................................................................ 263 Políticas e normas para a segurança1-4ª final.indd 18 19/7/2012 10:12:59 Capítulo1. A Informação Desde o início da vida a informação é um elemento fundamental para a sobrevivência dos seres de todas as espécies e mais especialmente para a raça humana. A informação permitiu descobertas como o fogo, a roda e tantas outras que são consideradas comuns nos dias de hoje. A informação é parte das nossas vidas. Chegamos até aqui porque a informação foi compartilhada de geração para geração. Considerando o ambiente corporativo, a informação é um recurso essencial para toda organização, independentemente do seu porte e do seu segmento de atuação no mercado. É utilizando a informação que processos organizacionais funcionam, as pessoas podem realizar as suas atividades profissionais, a geração de conhecimento acontece e o compartilhamento desse conhecimento é realizado. Enfim, a informação possibilita que a organização atinja os seus objetivos. Silva e Tomaél (2007) consideram que a organização, pública ou privada, depende da informação para seus processos decisórios, não pode funcionar sem uma quantidade significativa de informação e o seu conhecimento acontece pela utilização do recurso informação. Sem a informação não existe conhecimento, compartilhamento de conhecimento e crescimento corporativo. A informação possibilita que a organização tenha mais chances no mercado competitivo onde atua. Ter a informação correta e disponível no momento certo, se bem utilizado, pode ser uma vantagem competitiva da organização. A existência e a continuidade da organização não acontecem apenas pelos fatores de produção e de mercado. A informação é um fator estruturalpara o sucesso e a continuidade da organização. A informação possibilita a execução das atividades operacionais, mas, antes de tudo, é um recurso crítico para a definição da estratégia da organização. Políticas e normas para a segurança1-4ª final.indd 1 19/7/2012 10:12:59 2 Políticas e Normas para a Segurança da Informação Nenhuma organização pode estabelecer sua estratégia sem utilizar o recurso informação. O monitoramento das ações que buscam atender aos objetivos estabelecidos somente acontece porque existe informação que será utilizada por todos os níveis hierárquicos da organização. Isto significa que sem informação a organização não sobrevive, independentemente do seu porte e do seu segmento de mercado. O que diferencia o uso da informação entre as organizações é a necessidade de disponibilidade, a exigência de integridade e o rigor em relação ao sigilo que cada organização precisa para a sua informação. O grau de disponibilidade, integridade e confidencialidade (sigilo) protegerá a informação para que a organização operacionalize os seus negócios e atenda aos seus objetivos. Os modernos recursos da tecnologia da informação possibilitam à organização tratar de maneira segura uma maior quantidade de informação, utilizar mais rapidamente a informação, disponibilizar esta informação para um maior número de pessoas, permitir que este acesso seja feito com grande mobilidade e possibilitar o uso da informação a qualquer momento. Este fato acarreta grandes possibilidades da organização disponibilizar produtos e serviços nunca antes imaginados, porém exige uma proteção rigorosa da informação. Informações que antes estavam escritas em um relatório e poderiam ser protegidas quando guardadas em uma gaveta com chave hoje estão no ambiente de tecnologia e podem ficar disponíveis pela Internet para milhões de usuários em todo o mundo. Uma pequena falha ou uma ação criminosa pode disponibilizar informações confidenciais ou bloquear o acesso a informações críticas para a realização dos objetivos da organização. O poder da informação pode levar a organização aos píncaros do sucesso, como pode colocar a organização em uma situação de fracasso em função de impactos financeiros, impactos operacionais ou impactos de imagem ocasionados por falhas, erros ou fraudes no uso da informação. A informação também é importante para a sociedade. A Unesco considera o acesso à informação um direito da sociedade e desenvolve ações para que este direito seja disponibilizado pelo Programa Informação para Todos, que é uma junção de duas iniciativas: Programa Geral de Informação (PGI) e Programa Intergovernamental de Informática (IIP). O Programa de Informação para Todos, desenvolve ações para o conteúdo da sociedade da informação e para a existência da infoestrutura para esta sociedade em evolução, realizando treinamentos e atividades para apoiar o estabelecimento de políticas de informação e de promoção de conexão de redes. Políticas e normas para a segurança1-4ª final.indd 2 19/7/2012 10:12:59 3A Informação Werthein (2000, p. 7) explica bem a importância que a Unesco considera para a informação quando indica que “No espírito da Declaração Universal dos Direitos do Homem que constitui a base dos direitos à informação na sociedade da informação, e levando em consideração os valores e a visão delineados anteriormente, o Programa Informação para Todos deverá prover uma plataforma para a discussão global sobre acesso à informação, participação de todos na sociedade da informação global e as consequências éticas, legais e societárias do uso das tecnologias de informação e comunicação. Deverá prover também a estrutura para colaboração internacional e parcerias nessas áreas e apoiar o desenvolvimento de ferramentas comuns, métodos e estratégias para a construção de uma sociedade de informação global e justa.” A informação possibilita o conhecimento da organização. Este conhecimento é a base para a geração de valor nas corporações. Segundo Domeneghetti e Meier (2009), a informação é a matéria-prima para o conhecimento estruturado nas organizações. Eles consideram que “A globalização da economia, impulsionada pela Tecnologia da Informação e pela malha intermitente, multiformato e multicanal das comunicações, é uma realidade da qual não se pode escapar. A informação tornou-se a fonte de aproximadamente três quartos do valor agregado nas indústrias. É neste contexto que o Conhecimento, ou melhor, que a Gestão do Conhecimento e a Inteligência Competitiva se transformam em valiosos recursos estratégicos para a vida das pessoas e das empresas.” (Domeneghetti e Meir, 2009, p. 176). Assis (2006) considera a informação um dos insumos importantes para o desenvolvimento empresarial quando disponibilizada com rapidez e precisão, refletindo o contexto atual do mercado e da economia mundial. Para Laureano e Moraes (2005) a informação é substrato da inteligência competitiva e deve ser administrada em seus particulares, diferenciada e salvaguardada. Freitas e Kladis (1995) defendem que a informação na sociedade é um bem de extrema importância, sendo um dos fatores responsáveis pela sobrevivência das organizações e, quando bem gerenciado, um forte fator de vantagem competitiva. E considerando a informação e a tecnologia da informação, Ikenaga (2008, p. 2) afirma que “As empresas estão cada vez mais dependentes de seus sistemas de informação e dos recursos de tecnologia da informação.” A informação é a fonte do conhecimento. O conhecimento não existirá se não houver uma origem de informação que possibilita a estruturação desse conhecimento (Sales e Almeida, 2007). Políticas e normas para a segurança1-4ª final.indd 3 19/7/2012 10:12:59 4 Políticas e Normas para a Segurança da Informação O homem depende da informação para o seu crescimento como pessoa e como sociedade. A informação transformada em conhecimento é reconhecida como um elemento crítico para o desenvolvimento e crescimento da organização, como bem demonstra a resposta de um gerente em uma pesquisa sobre a proteção do conhecimento: “O conhecimento foi um dos fatores críticos que mais contribuiu para que a empresa chegasse aonde chegou e com as perspectivas futuras que possui” (Lobo e Jamil, 2008, p. 104). Sendo a informação um recurso essencial para a realização dos negócios da organização, a ABNT (2005) normatiza que esta informação precisa ser protegida adequadamente de maneira a garantir a sua confidencialidade, integridade e disponibilidade. O não atendimento a estes requisitos (confidencialidade, integridade e disponibilidade), ou a um deles, acarreta impactos negativos para a organização. Uma pesquisa realizada pela Universidade do Texas indicou que 93% das organizações que tiveram indisponibilidade de informação por mais de dez dias em função de desastre nos recursos de TI, chegaram à falência um ano depois (Brotby, 2009). Em termos de impactos financeiros e perda de clientes, Brotby (2009) complementa: “Uma análise detalhada realizada pela PGP Corporation em conjunto com a Vontu Company, identificou que 31 companhias que sofreram violações de informação em um período de doze meses tiveram uma perda média de US$ 4,8 milhões, além do que 19% dos clientes deixaram de se relacionar com a companhia e outros 40% dos clientes consideravam a possibilidade de deixar de serem clientes” (Brotby, 2009, p. 14). Brotby (2009) continua exemplificando o impacto direto da segurança da informação quando cita um estudo da Aberdeen Group que considerou empresas de vários tamanhos, porém todas elas com faturamento anual maior que US$ 500 milhões. “Firmas que operaram com excelência (Best-in-class) em segurança possuem nível de perdas financeiras a menos de um por cento, enquanto as demais organizações têm experimentado perdas que superam cinco por cento” (Brotby, 2009, p. 9). Segundo Pereira e Nascimento (2005), erros e ações de má-fé em relação à informação acarretam maisdo que prejuízos às organizações e afetam a sociedade. As organizações precisam implantar um processo de segurança da informação, e este processo deve ser considerado um ativo da organização, como tantos outros. Domeneghetti e Meir (2009) consideram a segurança da informação um Políticas e normas para a segurança1-4ª final.indd 4 19/7/2012 10:12:59 5A Informação dos ativos intangíveis de proteção de valor. Na opinião destes autores, os bens ou ativos de uma organização podem ser classificados como bens tangíveis e bens intangíveis. Os bens tangíveis são os bens físicos ou bens financeiros. Os bens intangíveis podem ser divididos em intangíveis que geram valor e intangíveis que protegem valor. Como intangíveis que geram valor eles citam as Marcas, a Inovação e o Capital Intelectual. Como ativos intangíveis de proteção de valor são considerados a Segurança da Informação, a Gestão de Riscos e a Governança Corporativa. Estes ativos intangíveis de proteção de valor devem proteger os ativos intangíveis de geração de valor e os ativos tangíveis. Para exemplificar que os bens intangíveis possuem valor, Domeneghetti e Meir (2009) citam três casos reais. O primeiro indica que “Em 1996, especialmente emblemático, a IBM possuía US$ 19 bilhões de bens móveis, fábricas e equipamentos. A Microsoft somava US$ 30 milhões, mas seu valor de venda, traduzido pelos papéis negociados na Bolsa, superava em muito a oponente. Havia algo muito mais valioso do que ativos físicos ou financeiros” (Domeneghetti e Meir, 2009, p. 2). O segundo acontece “Quando a Philip Morris incorporou a Kraft por US$ 10 bilhões, esta última tinha um patrimônio contabilizado de pouco mais de US$ 1 bilhão. A diferença entre os valores contábeis e os valores de aquisição da empresa pode ser atribuída a ativos intangíveis” (Domeneghetti e Meir, 2009, p. 2). Por último cita que, segundo a Economática, “a Nike vale quase quatro vezes o seu balanço contábil. A diferença são os bens intangíveis” (Domeneghetti e Meir, 2009, p. 14). A informação é um bem para organização e necessita ser adequadamente protegida pela utilização de um processo de segurança da informação. Para implantar e manter um processo de segurança da informação a Norma NBR ISO/ IEC 27002:2005 – Tecnologia da Informação – Código de prática para a gestão da segurança da informação – orienta que “Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos de negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização” (ABNT, 2005, p. 8). Os gestores da organização têm a responsabilidade pelo bom funcionamento da organização e para tanto devem garantir a existência e a continuidade do processo de segurança da informação. Portanto, é estrutural que seja desenvolvida e implantada uma política de segurança da informação para que Políticas e normas para a segurança1-4ª final.indd 5 19/7/2012 10:13:00 6 Políticas e Normas para a Segurança da Informação todas as ações de proteção dos recursos de informação sejam bem direcionadas e adequadas à organização. Esta política e demais regulamentos devem ser publicados e comunicados a todos os seus usuários. A segurança da informação é um processo da organização e deve considerar a informação tanto no ambiente convencional quanto no ambiente de tecnologia. Muitas vezes as organizações (ou os profissionais que conduzem o processo de segurança da informação) são direcionadas para contemplar apenas as informações que estão no ambiente computacional. Evidentemente este ambiente possui uma grande quantidade de informações, e, dependendo do tipo de negócio e do grau de sofisticação de uso da tecnologia, a maioria das informações está neste ambiente. Porém, o ambiente convencional, quando do uso de papel e o ambiente pessoal com as informações nas mentes dos indivíduos, precisa ser considerado no processo de segurança da informação. Mesmo considerando que a maior parte das informações de uma organização específica está no ambiente de tecnologia, a utilização da informação acontece pelas pessoas. E as pessoas estão no ambiente convencional. A segurança da informação acontece pelas pessoas e é um processo corporativo. Políticas e normas para a segurança1-4ª final.indd 6 19/7/2012 10:13:00 Capítulo 2. O Processo de Segurança da Informação Para a existência do processo de segurança da informação na organização é fundamental a existência de política e dos demais regulamentos de proteção da informação. A política definirá as diretrizes, os limites e o direcionamento que a organização deseja para os controles que serão implantados na sua proteção da informação (ABNT, 2005; Vianez, Segobia e Camargo, 2008). Por força da legislação, as organizações do segmento financeiro e as grandes corporações que possuem ações em Bolsas de Valores em alguns países, como nos Estados Unidos por causa da Lei Sarbanes-Oxley, já foram obrigadas a elaborar suas políticas de segurança da informação. Outras organizações, por decidirem seguir a estrutura da Governança Corporativa, inclusive no Brasil, também se viram obrigadas a desenvolver e implantar políticas de segurança da informação. Muitas dessas organizações já possuem políticas de segurança há alguns anos e já fizeram revisões e ajustes práticos para estes regulamentos. No entanto, existem outras organizações que não se enquadram nestes casos e que começam a ser pressionadas para protegerem a sua informação de uma maneira mais formal e estruturada. Este fato acontece porque estas organizações prestam serviços para organizações maiores que estão obrigadas a possuírem uma estrutura de segurança da informação. Estas organizações maiores entendem que seus fornecedores, que são elementos da sua cadeia de realização do negócio, devem ter o mesmo grau e estrutura de segurança da informação que elas possuem. Políticas e normas para a segurança1-4ª final.indd 7 19/7/2012 10:13:00 8 Políticas e Normas para a Segurança da Informação Em outros casos, a conscientização do empresário e a atitude madura dos acionistas, desejando a sustentabilidade do negócio, têm exigido que a organização funcione de maneira bem estruturada, utilize as melhores práticas e possua os controles organizacionais adequados para a segurança da informação. O processo de segurança da informação existe para possibilitar que a organização utilize de maneira confiável os recursos que suportam as informações necessárias para as suas atividades estratégicas, táticas e operacionais. Quando se fala de segurança da informação estamos indicando a proteção dos recursos de informação. Thomas Peltier (2004) indica que a Segurança da informação direciona e suporta a organização para a proteção de seus recursos de informação contra divulgação indevida, seja ela intencional ou não intencional, modificação não autorizada, destruição não desejada, ou negação de serviço através da implantação de controles de segurança definidos em políticas e procedimentos. A segurança da informação deve estar ligada diretamente aos objetivos de negócio. A segurança da informação não deve existir para ela mesma; o processo de segurança da informação por si só não tem valor; a segurança da informação deve existir para atender à organização e aos seus objetivos de negócio. Peltier (2004) reforça indicando que, para garantir que os objetivos de negócio sejam alcançados no tempo previsto e de uma maneira eficiente, padrões e políticas eficazes devem existir na organização. E complementa ao indicar que a criação de políticas, padrões e procedimentos deve ser benéfica para a organização. Nenhuma política deve ser criada para garantir que a organização esteja em conformidade com os requerimentos de auditoria. Políticas, padrões e procedimentos são criados para garantir que a organização atenda aos requisitoslegais e às obrigações contratuais para com seus clientes, acionistas, funcionários e demais colaboradores. Desta maneira as regras e os controles de segurança da informação não são criados para atender a própria segurança. Eles são implantados para proteger os recursos de informação que são utilizados estratégica e operacionalmente para o funcionamento da organização e para o atendimento dos objetivos da organização. Esta proteção se faz necessária para qualquer tipo de organização. A NBR ISO/IEC 27002:2005 indica explicitamente que o processo de segurança da informação é importante tanto para o setor público quanto para o setor privado: Políticas e normas para a segurança1-4ª final.indd 8 19/7/2012 10:13:00 9O Processo de Segurança da Informação A segurança da informação é importante para os negócios, tanto do setor público como do setor privado, e para proteger as infraestruturas críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes (ABNT, 2005, p. x). A existência do processo de segurança da informação é de responsabilidade da direção executiva da organização quando da sua definição de Governança Corporativa. A direção, representação executiva dos acionistas da organização, define qual o grau de exigência que deseja para que a informação seja adequadamente protegida. O processo de segurança da informação somente terá sucesso se a sua implantação for uma decisão estratégica da organização e consequentemente a direção apoie explicitamente o desenvolvimento, a implantação e a manutenção deste processo de proteção da informação. A NBR ISO/IEC 27001 provê um modelo para estabelecer, implantar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI) conforme as necessidades da organização. Neste modelo é considerado o gerenciamento de riscos. A NBR ISO/IEC 27001 especifica: A abordagem de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que os seus usuários enfatizem a importância de: a) entendimento dos requisitos de segurança da informação de uma organização e da necessidade de estabelecer uma política e objetivos para a segurança da informação; b) implementação e operação de controles para gerenciar os riscos de segurança da informação de uma organização no contexto dos riscos de negócio globais da organização; c) monitoração e análise crítica do desempenho e eficácia do SGSI; d) melhoria contínua baseada em medições objetivas (ABNT, 2006, p. V). Políticas e normas para a segurança1-4ª final.indd 9 19/7/2012 10:13:00 10 Políticas e Normas para a Segurança da Informação Para a implantação desta gestão da segurança da informação, a norma adota uma abordagem de processo utilizando o modelo conhecido como PDCA (Plan- Do-Check-Act). A primeira etapa é de Planejamento (P-Plan) e acontece no início do ciclo PDCA. Nesta etapa deve-se: Estabelecer a política, os objetivos, os processos e os procedimentos do SGSI relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização (ABNT, 2006, p. VI). Nesta etapa de planejamento são enfatizados dois elementos para gestão da segurança da informação: a política e a gestão de riscos. A orientação para o desenvolvimento da política encontra-se na ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação e a orientação para a gestão de risco em segurança da informação encontra-se na ABNT NBR ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos. Após a definição de que haverá o processo de segurança da informação existe a necessidade de fazer a gestão deste processo. A Norma NBR ISO/IEC 27001 define esta gestão como o SGSI (Sistema de Gestão de Segurança da Informação) que deve ser desenvolvido de maneira escalonada e deve seguir o Modelo PDCA (Plan-Do-Check-Act) que permitirá o planejamento, a operação, a avaliação e a melhoria contínua da segurança da informação. Neste modelo a política de segurança da informação e os demais regulamentos são desenvolvidos na etapa de planejamento (P-Plan). Considerando o tamanho da organização, seu tipo de negócio e seus objetivos de negócio, o funcionamento do processo de segurança pode ter o funcionamento de comitês permanentes com representantes das diversas áreas da organização ou pode ter a própria direção da organização como validadora das ações planejadas em segurança da informação. O Gestor da Segurança da Informação deve garantir que o processo de proteção da informação seja desenvolvido e funcione de maneira organizada, seguindo as normas e os regulamentos e deve alinhar com a direção da organização se as prioridades das ações de segurança estão de acordo com o planejamento estratégico da organização. Políticas e normas para a segurança1-4ª final.indd 10 19/7/2012 10:13:00 11O Processo de Segurança da Informação O processo de segurança da informação da organização deve ser bem gerenciado (Gestão da Segurança da Informação) e deve estar totalmente coerente com as prioridades da organização (Governança da Segurança da Informação e Governança Corporativa). A estrutura organizacional que deve suportar o processo de segurança da informação deve ser coerente com as características da organização, como tamanho, tipo de negócio, objetivos e momento de vida da organização. Mas, sejam quais forem as suas características, cada organização tem condições de desenvolver, implantar e manter um processo de segurança da informação. O posicionamento da Área de Gestão da Segurança da Informação deve acontecer de maneira que o Gestor de Segurança da Informação tenha a independência necessária e o poder adequado para desenvolver, implantar e manter o processo de segurança da informação. Um processo de segurança da informação abrange muitas áreas da organização, tem contato e exige mudanças de poder em relação ao acesso à informação, intervém na cultura organizacional, cria novas responsabilidades para gestores, executivos e usuários de uma maneira geral. Desta maneira, o Gestor de Segurança da Informação deve ter um nível hierárquico adequado com o grau de dependência que a organização possui em relação à informação. Porém, este mesmo Gestor deverá buscar definir junto com a organização, por meio dos seus executivos e gestores, qual a rigidez que os controles de proteção da informação deverão ter. Fazendo isso, o Gestor de Segurança estará atuando com sabedoria e profissionalismo. Quanto mais independência, autonomia e autoridade tiver o Gestor da Segurança da Informação, mais chances de sucesso o processo de proteção da informação terá. Ter autoridade e autonomia não significa que a Área de Segurança da Informação e seus regulamentos estarão isentos de controles. Como qualquer área significativa para a organização, a Área de Segurança da Informação também precisa ser auditada e controlada para garantir que está desenvolvendo suas atividades coerentes com a sua missão e sua responsabilidade. Políticas e normas para a segurança1-4ª final.indd 11 19/7/2012 10:13:00 Capítulo 3. A Necessidade da Política e de Outros regulamentos É estrutural que a organização tenha uma política de segurança da informação para que o processo de proteção da informação possa ser elaborado, implantado e mantido. Esta política (ou conjunto de políticas) definirá as diretrizes, os limites e o direcionamento que a organização deseja para os controles que serão implantados na proteção da sua informação. A necessidade da existência de políticas para a existência do processo de segurança da informação é descrita na NBR ISO/IEC 27002: A segurança da informaçãoé obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos (ABNT, 2005, p. x). Porém, muitas organizações possuem dificuldade para o desenvolvimento de políticas de normas de segurança da informação. Albertin e Pinochet (2010) descrevem o levantamento realizado em cinco unidades hospitalares no Estado de São Paulo, onde, em todas elas, de uma maneira direta ou indireta, os gestores declaram a importância da segurança da informação, porém nenhuma delas possui uma política adequada para a segurança da informação. Políticas e normas para a segurança1-4ª final.indd 12 19/7/2012 10:13:01 13A Necessidade da Política e de Outros Regulamentos Quando muito, possuem algumas regras de controle de acesso ao ambiente computacional. Algumas das proposições geradas a partir de depoimentos dos gestores desses hospitais demonstram a dificuldade que estas organizações têm para gerar uma política de segurança da informação. No seu livro os autores citam situações em que: O hospital possui deficiência em desenvolver uma política de segurança da informação (Albertin e Pinochet, 2010, p. 275). Os gestores na sua maioria consideram que falta conhecimento de como mapear as necessidades para se desenvolver uma política de segurança da informação formal (Albertin e Pinochet, 2010, p. 275). O hospital possui claras deficiências em desenvolver uma política de segurança da informação devido à falta de orientação da Secretaria (de Estado) e do conselho de saúde (Albertin e Pinochet, 2010, p. 275). Uma grande quantidade das organizações que atuam no Brasil precisa definir seu conjunto de regulamentos de segurança da informação pelo fato de serem fornecedoras, ou desejarem ser fornecedoras de organizações que estão submetidas a regulamentos que exigem um processo de segurança estruturado e que agora estão exigindo esta mesma proteção das organizações que fazem parte da sua cadeia de valor. Outras organizações estão implantando Governança Corporativa, que por sua vez exige a existência da Governança de Segurança da Informação e consequentemente, será necessária a existência da política de segurança da informação nesta organização e nas outras organizações que participam da sua cadeia de valor. Em breve, todas as organizações precisarão definir e implantar políticas e normas de segurança da informação. A segurança da informação abrange mais que o ambiente da tecnologia da informação, porém este ambiente de tecnologia, cada vez mais, processa e armazena as informações da organização. Desta maneira as atividades operacionais e o atendimento aos objetivos estratégicos da organização dependem totalmente do ambiente de tecnologia da informação e da própria informação. Consequentemente, é necessário proteger a informação e definir diretrizes (políticas e normas) para que esta proteção possua regras que direcionem estratégica e operacionalmente a sua existência. Os gestores das organizações estão cientes dessa criticidade. Albertin e Pinochet (2010) comentam sobre a 12ª Edição da Pesquisa da FGV-EAESP de Comércio Eletrônico: Políticas e normas para a segurança1-4ª final.indd 13 19/7/2012 10:13:01 14 Políticas e Normas para a Segurança da Informação A Pesquisa da FGV-EAESP de Comercio Eletrônico, em sua 12ª edição, de março de 2010, apresentou uma mostra significativa formada por 434 empresas, de vários setores e portes, que atuam no ambiente tradicional e também estão atuando no ambiente de comércio eletrônico, em maior ou menor nível, e aquelas constituídas apenas por este ambiente. (...) (...) Esta pesquisa evidenciou que as empresas estão atribuindo maior importância aos aspectos de relacionamento com clientes, privacidade e segurança, adoção de clientes e alinhamento estratégico, entre outros. Sendo que o aspecto de privacidade e segurança é considerado um dos itens mais críticos. Embora a Pesquisa da FGV-EAESP de Comércio Eletrônico, em sua 12ª edição de março de 2010, indique que o item privacidade e segurança esteja posicionado em segundo lugar, a oitava edição da mesma pesquisa, de março de 2006, apresentou o item privacidade e segurança em primeiro lugar. Portanto tem-se obtido certa estabilidade na priorização pelas empresas quanto à necessidade na utilização de tecnologia da informação em relação ao tema da privacidade e segurança (Albertin e Pinochet, 2010, p. 10). Outro fato que reforça que a segurança da informação e a existência de políticas são preocupações contínuas e prioritárias nas organizações é o conjunto de respostas do estudo conduzido pela Consultoria PricewaterhouseCopers, CIO Magazine e CSO Magazine. Este é o maior estudo do gênero do mundo, o qual representa a análise consolidada dos dados fornecidos por mais de 12.800 executivos, entre CEOs, CFOs, CIOs e CSOs, vice-presidentes e diretores de TI e segurança da informação de empresas médias, grandes e gigantes de 135 países e de todos os setores. No Brasil houve a participação de quinhentos executivos. Apesar de toda a crise mundial em relação à segurança da informação descrita no estudo, destaca-se no documento da PwC: ▪ A conformidade com políticas internas é um dos cinco fatores direcionadores mais importantes para o gasto com a segurança da informação. Isto significa a preexistência de políticas de segurança. Os outros fatores foram: condições econômicas, continuidade do negócio/recuperação de desastres, reputação da empresa e conformidade regulatória. Políticas e normas para a segurança1-4ª final.indd 14 19/7/2012 10:13:01 15A Necessidade da Política e de Outros Regulamentos ▪ 56% responderam que o ambiente regulatório se tornou mais complexo e oneroso. ▪ 55% responderam que o ambiente de risco crescente aumentou o papel e a importância da função de segurança da informação. ▪ 43% responderam que ameaças à segurança dos ativos aumentaram. ▪ 53% responderam que não reduziram o orçamento para iniciativas de segurança e nem adiaram estas iniciativas. ▪ 52% responderam que vão aumentar os gastos com segurança da informação nos próximos doze meses. Todas estas respostas demonstram que as organizações consideram a segurança da informação um fator importante para o alcance dos seus objetivos de negócio. Isto significa que as organizações precisam ter as suas políticas de segurança, pois, no âmbito das organizações, a manutenção da segurança depende da adequada formulação e implantação de políticas corporativas. O termo “política” utilizado neste livro para um tipo de regulamento indica a diretriz, a orientação básica para a segurança da informação. Maximiniano (2010) considera que política define em linhas gerais o curso de ação a ser seguido quando determinado tipo de problema se apresenta. Isto significa que a política cria critérios que devem ser seguidos quando a tomada de decisões é necessária. Desta maneira, as decisões, considerando os mesmos critérios, tenderão a definir a mesma regra de comportamento para um problema que se apresenta. A política é o mais alto nível de declaração do que a organização acredita e quer que exista em todas as suas áreas. A política é uma diretiva da direção executiva para criar um programa de segurança da informação, estabelecer seus objetivos e definir responsabilidades. O principal documento da política indicará qual é a filosofia da organização para o uso da informação pelos seus funcionários, prestadores de serviço, estagiários, diretores, acionistas e até pelo executivo-presidente. As regras definidas valem para todos. E se o tratamento for diferente para tipos de usuários diferentes, esta definição deve estar formalizada na política e nos demaisregulamentos de segurança da informação. Outros autores colaboram nesta linha de definição: Políticas e normas para a segurança1-4ª final.indd 15 19/7/2012 10:13:01 16 Políticas e Normas para a Segurança da Informação Uma política é um guia genérico para a ação. Ela delimita uma ação, mas não especifica o tempo. É uma definição de propósitos de uma empresa e estabelece linhas de orientação e limites para a ação dos indivíduos responsáveis pela implantação. As políticas são princípios que estabelecem regras para a ação e contribuem para o alcance bem- sucedido dos objetivos (Chiavenatto, 2010, p. 173). Política de segurança é um conjunto de diretrizes gerais destinadas a governar a proteção que será dada aos ativos de informação (Caruso e Steffen, 1999, p. 49) Política de segurança é um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações recebam a proteção conveniente que possibilite garantir a sua confidencialidade, integridade e disponibilidade (Barman, 2002, p. 4). As políticas são as linhas mestras que indicam os limites ou restrições sobre aquilo que se quer conseguir (Albertin e Pinochet, 2010, p. 34). A própria NBR ISO/IEC 27002 tem a sua definição do termo política: 2. Termos e definições 2.8 Política Intenções e diretrizes globais formalmente expressas pela direção (ABNT, 2005, p. 2). A política e os demais regulamentos de segurança da informação precisam ter uma arquitetura para que facilite a compreensão da extensão que esses regulamentos estão considerando. Deve haver a divisão por assuntos (horizontal) e pela granularidade do conteúdo (profundidade e detalhamento – vertical) das orientações. No Capítulo 11 deste livro este tema é tratado e é recomendada uma estrutura para os regulamentos de segurança da informação. Políticas e normas para a segurança1-4ª final.indd 16 19/7/2012 10:13:01 Capítulo 4. A Política de Segurança da Informação e a Gestão de riscos Muitas vezes ficamos confusos sobre a definição da política de segurança da informação e a gestão de riscos. Mas existe o caminho adequado para o tratamento desta questão: a política de segurança da informação deve existir primeiro para que a gestão de risco seja definida e em seguida implantada. A NBR ISO/IEC 27005 – Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação indica que, para que a gestão de risco seja realizada, é necessário que ela seja parte da gestão da segurança da informação e que seja definida a sua contextualização, indicando onde a gestão de risco será aplicada: na organização como um todo, em uma área, em um sistema ou a controles específicos. Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão da segurança da informação e aplicada tanto à implementação quanto à operação cotidiana de um SGSI (ABNT, 2008, p. 3). Em um SGSI, a definição do contexto, a análise/avaliação de riscos, o desenvolvimento do plano de tratamento do risco e a aceitação do risco, fazem parte da fase “planejar” (ABNT, 2008, p. 6). O processo de gestão de riscos de segurança da informação pode ser aplicado à organização como um todo, a uma área específica da organização (por exemplo: um departamento, uma localidade, um serviço), a um sistema de informações, a controles já existentes, planejados ou apenas aspectos particulares de um controle (por exemplo: o plano de continuidade de negócio) (ABNT, 2008, p. 4). Políticas e normas para a segurança1-4ª final.indd 17 19/7/2012 10:13:01 18 Políticas e Normas para a Segurança da Informação A ABNT NBR ISO/IEC 27002, ao tratar da análise, da avaliação e do tratamento de risco, orienta: Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz (ABNT, 2005, p. 6). Ao se definir o escopo e os limites para a gestão de riscos, a ABNT NBR ISO/ IEC 27005 declara que: O escopo e os limites da gestão de riscos de segurança da informação estão relacionados ao escopo e aos limites do SGSI conforme requerido na ABNT ISO/IEC 27001 4.2.1.a (ABNT, 2008, p. 9). A ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistema de gestão de segurança da informação – Requisitos, item 4.2.1, indica os primeiros elementos para que a organização estabeleça um SGSI e cita a política de segurança da informação: 4.2.1 Estabelecer o SGSI a) Definir o escopo e os limites do SGSI (Sistema de gestão de Segurança da Informação) nos termos das características do negócio, a organização, sua localização, ativos de tecnologia, incluindo detalhes para quaisquer exclusões do escopo. b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que: 1. inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para as ações relacionadas com a segurança da informação; 2. considere os requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais; 3. esteja alinhada com o contexto estratégico de gestão de risco da organização no qual o estabelecimento e manutenção do SGSI irá ocorrer; Políticas e normas para a segurança1-4ª final.indd 18 19/7/2012 10:13:01 19A Política de Segurança da Informação e a Gestão de Riscos 4. estabeleça critérios em relação aos quais os riscos serão avaliados. c) Definir a abordagem de análise e avaliação de riscos da organização (ABNT, 2006, p. 4). Desta forma a Política do Sistema de Gestão da Segurança da Informação deverá considerar e contextualizar a gestão de riscos, conforme a própria ABNT NBR ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos em segurança da informação e a ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação indicam: Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com análises/avaliações de riscos de outras áreas, se necessário (ABNT, 2005, p. 6). Convém que a organização defina o escopo e os limites da gestão de riscos de segurança da informação (ABNT, 2008, p. 8). O escopo do processo de gestão de riscos de segurança da informação precisa ser definido para assegurar que todos os ativos relevantes sejam considerados na análise/avaliação de riscos. Além disso, os limites precisam ser identificados para permitir o reconhecimento dos riscos que possam transpor esses limites (ABNT, 2008, p. 8). Convém que a organização e as responsabilidades para o processo de gestão de riscos de segurança da informação sejam estabelecidas e mantidas (ABNT, 2008, p. 9). O escopo e os limites da gestão de riscos de segurança da informação estão relacionados ao escopo e aos limites do SGSI (ABNT, 2008, p. 9). A gestão de riscos por sua vez será parte do Sistema de Gestão de Segurança da Informação e fará com que este SGSI se mantenha contínuo: Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão da segurança da informação e aplicada tanto à implementação quanto à operação cotidiana de um SGSI (ABNT, 2008, p. 3). Políticas e normas para a segurança1-4ª final.indd 19 19/7/2012 10:13:02 20 Políticas e Normas para a Segurança da Informação Convém que a gestão de riscos de segurança da informação seja um processo contínuo (ABNT, 2008, p. 3). Convém que as análises/avaliações de riscos também sejam realizadas periodicamente para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação de risco e quando uma mudança significativa ocorrer. Essas análises/avaliações devem ser realizadas de forma metódica, capaz de gerar resultados comparáveise reproduzíveis (ABNT, 2006, p. 6). Peltier, em todos os seus livros que tratam o assunto segurança da informação, salienta a importância da política de segurança da informação como o primeiro e o mais importante aspecto para criar um programa de segurança da informação, estabelecer seu objetivos e definir as responsabilidades das pessoas que se relacionam com a informação e com os recursos de informação. Em relação à Gestão de Riscos, Thomas Peltier declara: O primeiro e mais importante aspecto da segurança da informação é a política de segurança. Se a segurança da informação fosse uma pessoa a política de segurança seria o sistema nervoso. Política é a base da segurança da informação, providencia a estrutura e define os objetivos dos demais aspectos da segurança da informação (Peltier, 2005, p. 17). Um importante fator para o sucesso na implantação de um processo de segurança da informação é implantar uma completa arquitetura de gerenciamento de risco. Esta arquitetura deve estar conectada às políticas e aos padrões de segurança da informação e deve direcionar o risco para o negócio em um ambiente automático e contínuo (Peltier, 2001, p. 17). A análise de risco permite à organização colocar foco nos seus objetivos de segurança da informação (Peltier, 2001, p. 17). A política define o escopo para o qual serão considerados os controles de segurança da informação que serão desenvolvidos e implantados. A Gestão de Risco, considerando o contexto definido pela política de segurança, identificará os ativos, selecionará os controles apropriados e definirá as prioridades de implantação destes controles. A não implantação da política impede o desenvolvimento adequado da segurança da informação na organização, uma vez que faltarão referenciais para implantação Políticas e normas para a segurança1-4ª final.indd 20 19/7/2012 10:13:02 21A Política de Segurança da Informação e a Gestão de Riscos dos controles. Sem a política não haverá a definição do escopo que delimita o campo de ação dos controles, e esta falta de limites fará com que o processo de segurança da informação seja infinito e nunca possa ser avaliado adequadamente. O risco de não existência da política deve ser minimizado e até eliminado. Para que isto aconteça é necessário implantar o conjunto de regulamentos, iniciando pela política principal (diretriz) que definirá o escopo e os limites da própria gestão de risco. Page (2002) confirma este risco, não existência de regulamentos, ao declarar: A priorização para o desenvolvimento e a implantação dos elementos de segurança da informação deve ser obtida da análise e avaliação de riscos. Entendemos que a ameaça e o risco da não existência de um conjunto de regulamentos para que os controles tomem por base e sejam implantados é uma questão estrutural para o processo de segurança da informação, que deve ser tratado adequadamente, pois a sua ausência pode inclusive inviabilizar o processo de segurança (Page, 2002, p. 18). Por fim, a ABNT NBR 27002:2005 orienta o uso de controles como ponto de partida e a utilização da gestão de riscos para a identificação da relevância da implantação e existência desses controles: 0.6 – Ponto de partida para a segurança da informação. Um certo número de controles pode ser considerado um bom ponto de partida para a implementação da segurança da informação. Estes controles são baseados tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas. Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem dependendo da legislação aplicável: a) proteção de dados e privacidade de informações pessoais; b) proteção de registros organizacionais; c) direitos de propriedade intelectual. Os controles considerados práticas para a segurança da informação incluem: a) documento da política de segurança da informação; Políticas e normas para a segurança1-4ª final.indd 21 19/7/2012 10:13:02 22 Políticas e Normas para a Segurança da Informação b) atribuição de responsabilidades para a segurança da informação; c) conscientização, educação e treinamento em segurança da informação; d) processamento correto nas aplicações; e) gestão de vulnerabilidades técnicas; f) gestão de continuidade de negócio; g) gestão de incidentes de segurança da informação. Esses controles se aplicam para a maioria das organizações e na maioria dos ambientes. Convém observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinado segundo os riscos específicos a que uma organização está exposta. Por isso, embora o enfoque acima seja considerado um bom ponto de partida, ele não substitui a seleção de controles, baseado na análise/avaliação de riscos (ABNT, 2005, p. xII). Desta maneira as organizações devem primeiramente considerar, para o seu processo de segurança da informação, os controles definidos/descritos na NBR ISO/ IEC 27002 e tomá-los como controles básicos. Depois deve considerar a análise/ avaliação de riscos específicos a que a organização está exposta, um instrumento para graduar a relevância da aplicação de cada um destes controles na organização. Concluindo, a política de segurança da informação deve primeiramente ser definida e em seguida a gestão de riscos indicará a prioridade dos controles. Mas estas ações devem se retroalimentar com o objetivo de gerar para a organização o melhor processo de segurança da informação que ela precisa e que pode ter. Políticas e normas para a segurança1-4ª final.indd 22 19/7/2012 10:13:02 Capítulo 5. A Política de Segurança da Informação e a Norma NBr ISO/IEC 27002 Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da Informação A NBR ISO/IEC 27002:2005 é a norma estrutural da gestão da segurança da informação. Ela define um código de prática para a gestão da segurança da informação e orienta quais elementos devem ser considerados para uma adequada proteção da informação. A própria norma considera que “controles adicionais e recomendações não incluídas nesta norma podem ser necessários” (ABNT, 2005, p. xIII). Porém, independentemente da existência destes controles adicionais, a norma recomenda a integração destes controles: A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados onde necessários, para garantir que os objetivos de negócio e de segurança da organização sejam atendidos (ABNT, 2005, p. x). As Normas ISO/IEC 27002 e ISO/IEC 27001 têm origem no Padrão Britânico, que em 1993 criou a Norma BS 7799. Oliveira Jr. (2010), Sêmola (2003) e Martins e Santos (2005) descrevem que em 1995, em função do avanço das empresas e do crescimento da tecnologia, este código de prática foi republicado pelo BSI (British Standart International). No final da década de 1990 o BSI criou um programa de certificação de empresas certificadoras capazes de atestarem organizações na Políticas e normas para a segurança1-4ª final.indd 23 19/7/2012 10:13:02 24 Políticas e Normas para a Segurança da Informação Norma BS 7799. Neste momento a Norma BS 7799 tinha duas partes. A parte 1 continha o código de conduta ou o guia de execução para a gestão da segurança da informação. A parte 2 continha os requisitos de auditoria para a certificação de um sistema de gestão de segurança da informação. Em função da importância do assunto segurança da informação, era fundamental que estas normas fossem publicadas por um órgão de reconhecimento internacional. No ano de 2000, foi publicada pela ISO (International Organization for Standardization)a norma ISO 17799, baseada na Norma BS 7799-1. Em 2005 esta norma passou por uma nova revisão que culminou na nova versão ISO/IEC 17799:2005. Neste mesmo ano de 2005, a BS 7799-2 foi adotada pela ISO e foi a primeira norma da família 27000, dedicada à segurança da informação. A BS 7799-2 tornou-se a ISO/IEC 27001:2005. Em 2007 a ISO/IEC 17799:2005 passou para o novo padrão e tornou- se a Norma ISO/IEC 27002:2005. No Brasil estas normas foram consideradas pela Associação Brasileira de Normas Técnicas (ABNT) que é o Foro Nacional de Normatização. Na ABNT elas foram submetidas ao Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-2) e foram publicadas como: NBR ISO/ IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistema de Gestão de segurança da informação – Requisitos, ABNT, 2006; e NBR ISO/ IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação, ABNT, 2005 (ABNT, 2005). O objetivo da NBR ISO/IEC 27002 é declarado da seguinte forma: Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma proveem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação (ABNT, 2005, p. 1). A NBR ISO/IEC 27002:2005 é composta por dezesseis capítulos, numerados de zero a quinze e são consideradas onze seções de controles de segurança da informação. Cada seção é composta por um número variado de categorias principais de segurança da informação e cada categoria possui certo número de controles. Estes controles são os elementos que definem o que a norma considera importante para um processo de segurança da informação na organização e devem ser os elementos considerados para as políticas de segurança da informação das organizações. Políticas e normas para a segurança1-4ª final.indd 24 19/7/2012 10:13:02 25A Política de Segurança da Informação e a Norma NBR ISO/IEC 27002 Existem 133 controles explícitos nesta norma. Estes controles, de maneira isolada ou agrupada, ou considerando outros controles não descritos nesta norma, são os elementos que devem ser considerados, em granularidade diferente, nos diversos regulamentos de segurança da informação. Temos em seguida a descrição de cada capítulo e a relação dos 133 controles explicitados nesta norma. a) Capítulo 0 – Introdução Este capítulo inicia o assunto segurança da informação descrevendo o que é a segurança da informação, por que a segurança da informação é necessária, como se deve estabelecer requisitos de segurança da informação, a análise e avaliação dos riscos de segurança da informação, como começar o processo segurança da informação, fatores críticos de sucesso e desenvolvimento de diretrizes. b) Capítulo 1 – Objetivo Este capítulo descreve o objetivo da norma. c) Capítulo 2 – Termos e definições Neste capítulo estão definidos os termos utilizados na norma. O Anexo 3 contém os termos descritos na norma e que são utilizados nesta pesquisa. d) Capítulo 3 – Estrutura A divisão das seções e das categorias de segurança da informação são explicadas neste capítulo. e) Capítulo 4 – Análise/avaliação e tratamento de riscos Neste ponto a Norma descreve o processo de risco em duas fases: análise/ avaliação do risco e tratamento do risco. Apesar deste capítulo definir alguns controles, eles não são considerados controles oficiais da norma, ficando apenas como orientações, como por exemplo: Políticas e normas para a segurança1-4ª final.indd 25 19/7/2012 10:13:02 26 Políticas e Normas para a Segurança da Informação Convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para a aceitação dos riscos e dos objetivos relevantes para a organização. Convém que as análises/avaliação de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando mudança significativa ocorrer (ABNT, 2005, p. 6). Em relação à política de segurança, este capítulo não indica diretamente política, mas faz uma referência indireta quando ele cita a necessidade de escopo para a gestão de riscos: Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário (ABNT, 2005, p. 6). Isto porque, mais adiante na cronologia das normas, a NBR ISO/IEC 27005, ao considerar o escopo e os limites para a gestão de riscos, declara que: O escopo e os limites da gestão de riscos de segurança da informação estão relacionados ao escopo e aos limites do SGSI conforme requerido na ABNT ISO/IEC 27001 4.2.1.a (ABNT, 2008, p. 9). Por sua vez a NBR ISO/IEC 27001 descreve em relação ao SGSI: 4.2.1 Estabelecer o SGSI A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia. b) Definir uma política do SGSI nos termos das características do negócio: a organização, sua localização, ativos e tecnologia que: (....) 3) esteja alinhada com o contexto estratégico de gestão de risco da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer; Políticas e normas para a segurança1-4ª final.indd 26 19/7/2012 10:13:03 27A Política de Segurança da Informação e a Norma NBR ISO/IEC 27002 4) estabeleça critérios em relação aos quais os riscos serão avaliados (ABNT, 2006, p. 4). f) Capítulo 5 – Política de segurança da informação Neste capítulo a norma recomenda que o documento de política de segurança da informação deve definir como a organização vai se posicionar em relação aos controles das demais categorias de segurança. A partir deste capítulo começam a ser definidos os controles de segurança. Para esta pesquisa, estes controles, de maneira independente ou agrupados, são a referência para a identificação dos elementos mínimos que devem compor um padrão mínimo para a política de segurança da informação de uma organização. g) Controles Descrevemos a seguir o título (assunto tratado) de cada controle. O Anexo 1 contém a descrição de cada um deles. Controles do Capítulo 5 – Política de segurança da informação (1) Documento da política de segurança da informação. (2) Análise crítica da política de segurança da informação. Controles do Capítulo 6 – Organizando a segurança da informação (3) Comprometimento da direção com a segurança da informação. (4) Coordenação da segurança da informação. (5) Atribuição de responsabilidades para a segurança da informação. (6) Processo de autorização para os recursos de processamento da informação. (7) Acordos de confidencialidade. (8) Contato com autoridades. (9) Contato com grupos especiais. (10) Análise crítica independente de segurança da informação. Políticas e normas para a segurança1-4ª final.indd 27 19/7/2012 10:13:03 28 Políticas e Normas para a Segurança da Informação (11) Identificação dos riscos relacionados às partes externas. (12) Identificando a segurança da informação, quando tratando com os clientes. (13) Identificando a segurança da informação nos acordos com terceiros. Controles do Capítulo 7 – Gestão de ativos (14) Inventário dos ativos. (15) Proprietário dos ativos. (16) Uso aceitável dos ativos. (17) Classificação da informação – Recomendações para classificação. (18) Classificação da informação – Rótulos e tratamento da informação. Controles do Capítulo 8 – Segurança em recursos humanos (19) Papéis e responsabilidades. (20) Seleção. (21) Termos e condições de contratação. (22) Responsabilidades da direção. (23) Conscientização, educação e treinamento em segurança da informação.