PLANEJAMENTO DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Unidade 3:
Tópico 1 - Introdução:
Olá, aluno(a). Como vai o planejamento da sua vida? Para gerir a Segurança da
Informação, precisamos ter um planejamento, afinal, são muitos processos a serem
elaborados, coordenados e executados.
O Plano Diretor de Segurança (PDS) é uma importante ferramenta para a tomada
de decisão da empresa, pois unifica processos, garante controle de recursos
humanos e tecnológicos, identifica ameaças e reduz gastos desnecessários.
Já o Plano de Continuidade do Negócio (PCN) é elaborado para impedir que
desastres causados por ameaças diversas, desastres naturais, fraudes, falhas nos
sistemas, dentre outras, impeçam o funcionamento dos serviços vitais de uma
empresa. Pronto(a) para entender sobre esses planos?
Tópico 2 - Plano Diretor de Segurança:
O Plano Diretor de Segurança (PDS) é uma ferramenta de planejamento e gestão
de Segurança da Informação. O PDS norteia as atividades e os processos de
segurança da empresa e mantém os negócios sob risco controlado, mantém os
ativos críticos seguros e garante uma resposta rápida, caso ocorra algum incidente.
Não existe PDS padrão, mesmo que a empresa tenha o mesmo segmento de
negócio. Cada empresa tem suas características únicas, vulnerabilidades, ameaças
e impactos, portanto o PDS é único de acordo com a necessidade de cada uma.
Metodologia:
Modelar o PDS é essencial para entender o negócio da empresa, seus planos a
curto, médio e longo prazos, e as demandas futuras previstas no plano de negócio.
Para mapear vulnerabilidades, ameaças e riscos de impacto, é necessário realizar
um levantamento minucioso das informações do negócio.
Nessa fase, é interessante montar um mapa de relacionamento e dependências
entre os principais processos da empresa. Um exemplo de mapa pode ser
consultado na Figura 3.1.
Mapear os principais processos não é uma tarefa fácil, principalmente quando se
trata de uma grande empresa, primeiramente, porque é difícil encontrar um grupo
acessível com visão global corporativa e também porque o ambiente é muito
complexo, com tecnologias diferentes, localizações geográficas diferentes e muitos
processos distribuídos descontroladamente.
A metodologia do PDS é formada por 6 etapas complementares que asseguram a
modelagem de um plano diretor de segurança personalizado:
● identificação dos processos do negócio;
● mapeamento da relevância;
● estudo de impacto CIDAC;
● estudo de prioridade GUT;
● estudo de perímetros;
● estudo de atividades.
Identificação dos Processos do Negócio:
É o momento de identificar os processos críticos da empresa que serão tratados
pela Gestão de Segurança da Informação. Para a identificação desses processos,
são necessárias longas e detalhadas reuniões com quem mais conhece a empresa:
os gestores das principais áreas que ocupam a posição de executivo-gerencial.
Esses gestores detêm o conhecimento do foco principal do negócio, do que faz a
empresa funcionar, de quais falhas provocam perda financeira, de quais ativos
devem ser protegidos e das principais áreas que sustentam esse negócio.
Outro objetivo das reuniões com os gestores de todas as áreas é provocar uma
discussão que dê subsídio para o levantamento dos ativos físicos, tecnológicos,
humanos e de conectividade dos principais processos de negócio.
Ao final dessa etapa, espera-se como resultado o mapeamento dos processos
críticos de negócio para a operação da empresa, a identificação e o envolvimento
dos gestores-chaves e um entendimento inicial do negócio da empresa.
Mapeamento da Relevância:
Podemos dizer que o funcionamento do negócio fica bem mais claro após a
identificação dos processos críticos. Então, é o momento de mapear a relevância de
cada processo para priorizar adequadamente as atividades da solução.
Chamamos de priorização dos processos de negócio crítico a relação de peso entre
eles associada à importância para o negócio. Nessa etapa, o ideal é envolver um ou
mais gestores com a visão global do negócio, sem envolvimento com nenhuma área
específica. Dessa maneira, suas decisões serão imparciais e não terão influência na
priorização das ações das próximas etapas.
Critérios:
A metodologia para a definição de relevância define valores na faixa de 1 a 5, sendo
5 o maior grau de relevância e 1 o menor grau de relevância. Conforme o Quadro
3.1, esses valores podem ser associados a palavras ou expressões, o que deixa a
metodologia mais intuitiva e auxilia os envolvidos a mensurar a relevância entre os
processos.
Para não gerar confusões interpretativas, as palavras e expressões do Quadro 3.1
não devem ser interpretadas isoladamente; só devem ser utilizadas para ponderar
ou mensurar cada processo de negócio voltado para o levantamento de prioridade
daquele processo específico.
Para que essa metodologia seja aplicada com sucesso, os gestores envolvidos
devem definir um processo-alvo para a operação do negócio e refazer várias vezes
a análise, comparando com outros processos, reajustando os valores até que
encontre um valor ideal. Para auxiliar na metodologia, apresentam-se as escalas
para classificação da relevância dos processos de negócio (Quadro 3.1).
Ao final dessa etapa, espera-se o mapeamento de relevância dos processos e
maiores envolvimento e compreensão dos gestores com visão global da empresa.
Estudo de impacto de Confidencialidade, Integridade,
Disponibilidade, Autenticidade e Conformidade (CIDAC):
Os processos de negócios críticos já foram identificados. Nesse momento, a análise
será voltada para encontrar a sensibilidade de cada processo, caso haja quebra de
segurança, principalmente quebra da confidencialidade, integridade, disponibilidade,
autenticidade e conformidade.
O estudo será realizado entrevistando os gestores de cada processo isoladamente,
e o critério será o mesmo aplicado no mapeamento de relevância, mas sem
considerar o negócio como um todo. No Quadro 3.2 poderá ser observada a
aplicação do critério do mapeamento de relevância exemplificado para um só
processo de negócio.
Nessa etapa, ocorrerá a classificação da sensibilidade CIDAC de cada processo de
negócio isoladamente e o envolvimento e a compreensão dos gestores dos
processos específicos.
Tópico 3 - PDS - Metodologias finais e Organização
dos Comitês:
A metodologia do PDS tem como principal objetivo fazer o levantamento de todos os
processos de negócio, aplicações, infraestrutura física, tecnológica e humana, seus
relacionamentos e dependências, construindo um verdadeiro mapa que auxiliará
nos processos de decisões. O objetivo deste tópico, além de dar continuidade ao
mapeamento da metodologia, é abordar as organizações do Comitê Corporativo de
Segurança, do Security Officer e dos Comitês Interdepartamentais.
Estudo de prioridade de Gravidade, Urgência e Tendência
(GUT):
Nessa etapa, inicia-se o estudo da pontuação de prioridade, aplicando-se a matriz
GUT: gravidade, urgência e tendência. Esse estudo será aplicado em processos
individuais, por meio de reuniões com os gestores de cada processo. A prioridade
final é composta da análise e do produto da gravidade, urgência e tendência.
Para definir essa prioridade, foram propostas três perguntas:
Dimensão gravidade:
● Seria muito grave para o processo do negócio em análise se algum fato
atingisse qualquer um dos conceitos e aspectos, provocando a quebra da
segurança da informação?
Para responder essa questão, é preciso levar em consideração a severidade do
impacto diretamente associado a um processo de negócio analisado.
Dimensão urgência:
● Havendo a quebra da segurança da informação, independentemente do
conceito ou dos aspectos atingidos, qual seria a urgência em solucionar os
efeitos do ocorrido e em reduzir os riscos no processo de negócio em
análise?
Já essa pergunta deve ser respondida levando-se em consideração o tempo de
duração dos impactos diretamente associados no processo de negócio analisado.
Dimensão tendência:
● Considerando os planos de curto, médio e longo prazos associados à
evolução do processo do negócio em análise,qual seria a tendência dos
riscos de segurança se nenhuma atividade preventiva ou corretiva fosse
aplicada?
Essa pergunta deve ser respondida considerando-se a oscilação da importância do
impacto diretamente associado ao processo de negócio analisado.
Critérios:
A metodologia aplica valores entre 1 e 5 para definir o grau de prioridade, isto é,
quanto maior o valor, maior é a priorização. Nesta metodologia, pode-se utilizar
palavras e expressões para auxiliar os envolvidos a mensurar a prioridade entre os
processos; essas expressões podem ser observadas no Quadro 3.3.
Cuidado com interpretações errôneas das expressões adotadas nas escalas; elas
devem ser interpretadas apenas para o processo de negócio específico.
O GUT final é formado pela multiplicação dos valores e a faixa de valor final
possível varia de 1 a 125. Para facilitar a identificação dos processos e de suas
prioridades, o GUT final é apresentado em blocos com cores predefinidas, sendo as
faixas de 1 a 42 - Verde, de 43 a 83 - Amarela e de 84 a 125 - Vermelha. Nessa
etapa, espera-se o mapeamento de prioridades de cada processo de negócio e a
compreensão de cada processo em função das dimensões do GUT.
Estudo de Perímetros:
Nessa etapa, iremos conhecer os elementos da infraestrutura que sustentam os
processos dos principais negócios da empresa.
Hoje, o mundo é tecnológico; muito raramente algum negócio sobrevive sem um
mínimo de tecnologia; em todas as empresas, não existem ativos que atendam
somente a um processo de negócio.
Na maioria das vezes, existe infraestrutura compartilhada e agrupamento de
processos, como pode ser verificado na Figura 3.2.
Agora que já mapeamos os processos, chegou a hora de reconhecer quais ativos os
sustentam, como tecnologia, pessoas e aplicações. Com base nessas informações,
será possível realizar o levantamento das vulnerabilidades e planejar a aplicação
de controles de segurança para eliminar, diminuir ou administrar as mesmas.
Para a realização desses levantamentos, serão necessárias entrevistas com os
gestores da área técnica-tática. Esses gestores irão levantar as informações de
topologias físicas e tecnológicas e identificar os projetos ligados direta ou
indiretamente aos processos de negócio.
Esses projetos farão parte do plano diretor de segurança. Não se esqueça de que
esse é o momento de descobrir todos os ativos que sustentam o negócio: plantas
baixas, mapas topológicos, inventários de equipamentos, sistemas e aplicações de
todas as plataformas, banco de dados, fluxos de dados, troca de informações e tudo
que é importante para a operação e o funcionamento do negócio. Nessa etapa,
espera-se o mapeamento dos ativos e da relação entre ativos e processos.
Estudo de Atividades:
Esse é o momento que todas as informações são utilizadas, é o início do processo
do plano diretor de segurança, onde são indicadas as atividades/projetos relevantes
para o negócio da empresa, de acordo com suas prioridades, distribuídos ao longo
do tempo.
Para a realização dessa etapa, são necessárias várias reuniões para a interpretação
das informações coletadas, recursos disponíveis e análise do nível de segurança
atual e recomendada, de acordo com a atividade. Nessa etapa, espera-se o
mapeamento dos ativos e da relação entre ativos e processos do negócio.
Organização do Comitê Corporativo de Segurança:
Para que a empresa tenha sucesso na Gestão de Segurança da Informação é fator
crítico a criação do comitê corporativo de segurança da informação. Esse comitê
deve ter posição privilegiada no organograma da empresa para ter poder de
decisão. A sua primeira tarefa é definir responsabilidades de planejamento,
execução e monitoramento dos processos.
Esse grupo será composto por pessoas de diversas áreas estratégicas, com
especialistas de visões distintas. A empresa deve realizar a divulgação interna e a
oficialização do comitê corporativo de segurança o principal papel do comitê
corporativo de segurança é planejar, organizar, concentrar, integrar e coordenar as
ações de segurança de todos os ambientes e processos, tendo autonomia para
alterar os planos, de acordo com as mudanças físicas, tecnológicas e humanas que
poderão ocorrer futuramente.
Organização do Security Office:
O Security Office é uma função, cuja responsabilidade é liderar o comitê corporativo
de segurança e interagir com os líderes dos comitês interdepartamentais de
segurança. O Security Office tem um perfil técnico diferenciado, com visão
corporativa e agilidade na gestão. Esse conjunto de habilidades faz com que o
profissional conduza com coerência os macro-objetivos de segurança e do negócio
da empresa.
A Segurança e o negócio da empresa devem coexistir pacificamente: a segurança
trabalhando na redução do risco e de possíveis impactos por meio de controles
corporativos de segurança e o negócio apontando estratégias e novas aplicações
para a ascensão da empresa. O Security Office orienta, questiona, analisa
ameaças, riscos, impactos e viabilidades técnicas futuras.
Organização de Comitês Interdepartamentais de
Segurança:
Os comitês interdepartamentais de segurança são orientados por diretrizes do
comitê corporativo de segurança, mas nem por isso são menos importantes. Esses
comitês têm a responsabilidade de medir os resultados dos departamentos
específicos e reportar ao comitê superior novas necessidades e situações que
exponham a informação a algum risco.
Os comitês interdepartamentais de segurança fornecem subsídios para auxiliar a
tomada de decisão do comitê corporativo de segurança.
Tópico 4 - Continuidade do Negócio:
A continuidade do negócio está no nosso cotidiano e não percebemos. Você
conhece alguém que tem um carro e não possui seguro? O simples fato de fazer um
seguro de carro é um plano de continuidade de negócio, pois, mediante o
pagamento de um seguro, em caso de sinistro, você recupera parte do valor
investido no seu carro e como contingência recebe um carro reserva até que o seu
seja substituído ou consertado.
É claro que esse fato é somente uma analogia; a continuidade do negócio é bem
mais complexa, conforme relatado na ISO 27002: garantir a continuidade das
atividades, após a ocorrência de uma interrupção inesperada da operação ou dos
processos do negócio é uma tarefa essencial da gestão de segurança da
informação.
A continuidade do negócio visa garantir a sobrevivência dos processos e das
informações vitais de uma empresa no menor tempo possível, com o intuito de
minimizar os impactos de um desastre.
O assunto é tão sério que, em 2006, a British Standards Institute publicou a norma
BS 25999-1, definindo um código de prática para gestão de continuidade do negócio
e no ano seguinte foi lançada a segunda parte dessa norma, definindo o sistema de
gestão de continuidade do negócio.
Em 2012, a ISO lançou a norma ISO 22301, que definiu o Business Continuity
Management System (BCMS), o que possibilitou que as empresas certifiquem seus
sistemas de gestão de continuidade do negócio.
O cerne da Gestão de Continuidade do Negócio:
A criação do SGCN com todas as etapas e planos necessários tem como principal
objetivo contingenciar situações e incidentes de segurança inevitáveis. Pode ser
comparado com um paraquedas reserva, que entra em ação para salvar a vida do
paraquedista, em caso de falha do paraquedas principal.
Dentre as diversas etapas do SGCN, podemos citar o planejamento, a gestão de
processos e a elaboração de políticas de continuidade, seguidas de análise de
impactos, definição de estratégias e elaboração de planos específicos. O SGCN
pode ser iniciado por três planos:
● Plano de administração de crises;
● Plano de continuidade operacional;
● Plano de recuperação de desastres.
Na Figura 3.3 é possível visualizar uma ilustração do Plano de continuidade do
negócio.
Não existe plano de continuidade do negócio padrão; tudo depende do objeto que
será contingenciado e da sua dimensão de atuação. De maneira geral, o PCN não
tem a obrigatoriedade de ser um plano único.
Dependendodos processos, das variáveis de tolerância à falha e dos impactos, o
PCN pode ser composto de vários planos integrados que cobrem diferentes
perímetros físicos, tecnológicos e humanos ou planos direcionados a ameaças
específicas. Independentemente do objeto da contingência, a empresa deverá
definir uma estratégia para conduzi-la a operar com um nível de risco controlado.
Análise de Impacto no Negócio:
A primeira etapa que deve fornecer informações para o dimensionamento das
demais fases do PCN é o Business Impact Analysis (BIA). O objetivo do BIA é fazer
o levantamento do grau de relevância dos processos ou das atividades que fazem
parte do escopo da contingência.
Em seguida, deve-se mapear todos os ativos físicos, tecnológicos e humanos que
suportam cada processo e, depois, fazer uma apuração dos impactos quantitativos
que poderiam ser gerados com a sua paralisação total. No Quadro 3.4, é possível
observar a classificação de relevância dos processos de um escopo
predeterminado.
Após a análise BIA, teremos uma fotografia das funcionalidades do processo, como
o agrupamento dos ativos e relacionamento com os processos, a definição de
prioridades de contingência e o levantamento dos níveis de tolerância à
indisponibilidade de cada processo.
Depois dessa etapa, é possível definir quais ameaças devem ser contingenciadas,
de acordo com a probabilidade e a gravidade de um incidente. Na Figura 3.4
podemos observar uma seleção de ameaças a serem consideradas pelo plano e
pela tolerância de cada processo do negócio.
A Análise BIA deveria ser precedida de uma análise de risco – a principal atividade
para orientar as ações de segurança da informação. Caso assim fosse, o BIA seria
apenas uma quantificação dos impactos e a seleção das ameaças consideradas no
plano de continuidade do negócio.
Estratégia de Contingência:
Depois de definido o que é crítico e de como a empresa se comporta com relação
aos impactos, deve-se pensar a respeito da continuidade do negócio e definir as
estratégias de contingência. São descritas sete estratégias de contingência a seguir.
1. Hotsite - Esta é uma estratégia de instalação alternativa que está pronta para
entrar em operação imediatamente após a ocorrência de um desastre. O
hotsite pode ser uma instalação de processamento de dados, de
comunicação ou qualquer outra função de negócio crítico que precisa ser
duplicada.
2. Warm-site - Esta estratégia é um local de processo alternativo parcialmente
equipado, mais tolerante a falhas que podem ficar indisponíveis por mais
tempo sem afetar diretamente o negócio da empresa. Podemos tomar como
exemplo o serviço de e-mail, que pode ficar sem comunicação por minutos,
sem comprometer o serviço ou gerar grandes impactos.
3. Realocação de Operação - Esta estratégia tem o objetivo desviar a atividade
atingida por uma ameaça para outro ambiente físico, equipamentos ou links
da mesma empresa. Podemos citar como exemplo o desvio do tráfego de um
roteador ou servidor com problemas para outro roteador ou servidor saudável
que suporte a nova carga e o acúmulo de tarefas.
4. Bureau de Serviços - Esta é uma estratégia que prevê que, caso o ambiente
sofra algum desastre, pode transferir a operacionalização da atividade
atingida para um ambiente terceirizado, fora da empresa. Tal estratégia
requer um tempo de tolerância maior, devido ao tempo de reativação
operacional da atividade. Ter as informações da empresa manuseadas por
terceiros também pode ser um grande risco; por esse motivo, tal estratégia
requer controles e procedimentos mais rígidos, com procedimentos, critérios
e mecanismos que garantam as condições de segurança no ambiente
contingenciado.
5. Acordo de Reciprocidade - A proposta desta estratégia é a aproximação de
empresas com características ou serviços semelhantes que, por meio de um
acordo formal, estabelecem em conjunto situações de contingência e definem
procedimentos de compartilhamento de recursos para alocar a atividade
atingida por um desastre no ambiente de outra empresa. Tal estratégia
permite que ambas as empresas reduzam significativamente os
investimentos. As empresas envolvidas no processo devem adotar
procedimentos de segurança personalizados e mecanismos de redução da
exposição de suas informações enquanto estiverem trafegando
temporariamente em ambiente de terceiros, principalmente quando se trata
de empresas concorrentes.
6. Cold-site - Esta estratégia propõe um local alternativo de contingência sem
qualquer equipamento ou recurso, com exceção de ar-condicionado e piso
elevado. Equipamentos e recursos de contingência devem ser instalados
posteriormente conforme a necessidade da contingência. O ambiente não
possui recursos de processamento de dados. A estratégia é aplicada a
situações que têm grande tolerância de indisponibilidade.
7. Autossuficiência - A estratégia de autossuficiência é utilizada quando
nenhuma outra estratégia é aplicável, quando os impactos não são
significativos ou são inviáveis, seja financeiro, técnico ou estratégico.
Qualquer uma das estratégias estudadas até o momento depende do nível de
tolerância que a empresa pode suportar e do nível de risco que os executivos estão
dispostos a correr. Todas essas informações devem ser levantadas no início do
PCN com a análise de riscos e impactos que servirão para apoiar escolhas mais
assertivas.
A continuidade de Negócio e seus Planos:
Depois dos estudos realizados, podemos deduzir que já foi realizada a análise de
impacto no negócio ou BIA. Os processos e ativos críticos que serão
contingenciados já foram mapeados, já foram levantados os valores financeiros que
envolvem o negócio direta ou indiretamente, foi definida a ordem de
contingenciamento e os investimentos necessários para a manutenção atual e
pós-evento de interrupção de processos e unidades de negócio em função de
possíveis desastres.
Finalmente, chegou o momento de definir e redigir os planos, organizá-los por tipo,
definir a Política de Segurança da Informação e fazer a análise de riscos e
vulnerabilidades e os testes de invasão.
Planos de Contingência:
São procedimentos que serão executados como alternativa para a continuidade
operacional do negócio; são desenvolvidos por ameaça e processo de negócio,
ambos pertencendo a um escopo predefinido. O Plano de contingência pode ser
dividido em três módulos que tratam de cada momento vivido pela empresa,
conforme está descrito a seguir.
Plano de Administração de Crise:
Esse plano serve para gerenciar o processo de GCN e coordena equipes
envolvidas em tempo de contingência. Define os procedimentos que serão
executados no período de retorno à normalidade. Um exemplo das atividades deste
plano é a comunicação do incidente ou desastre à imprensa.
Plano de Continuidade Operacional:
O Plano de Continuidade Operacional visa à manutenção dos Processos de
Negócio realizados pela empresa e define procedimentos para contingenciar ativos
que suportam os processos de negócio. Seu objetivo é reduzir os impactos ao
negócio.
Plano de Recuperação de Desastres:
Este documento define todos os recursos necessários para administrar o processo
de recuperação e restauração dos ativos que suportam os processos de negócio,
com o intuito de recuperar o ambiente e as condições originais de operação.
Reflita:
O ataque às Torres Gêmeas, ocorrido em 11 de setembro de 2001, foi considerado
o maior desastre dos Estados Unidos. Milhares de famílias, empresas e governos
foram atingidos e tiveram que recomeçar do zero. Contudo, o que aconteceu
mostrou ao mundo as fragilidades da Continuidade do Negócio. A partir desse
desastre, muitas lições foram aprendidas, tais como:
● descentralização do site recovery;
● testes regulares com processos e pessoas;
● diversificação das fontes de energia e provedor de internet.
Será que após todo o conhecimento adquirido com os desastres ocorridos até
agora, somos capazes de montar um Plano de Continuidade do Negócio sem
brechas?
Política de Segurança da Informação:
A Políticade segurança da informação tem o papel de fornecer orientações e apoio
às ações de gestão de segurança e é composta por um conjunto de documentos
que devem ser lidos, compreendidos e seguidos por todos os funcionários de uma
empresa.
Nela, são descritas as diretrizes, as normas, os processos e os procedimentos que
garantem a confidencialidade, integridade e disponibilidade dos ativos da empresa.
A política deve ser personalizada de acordo com as características da empresa,
mas tem como padrão estabelecer responsabilidades e critérios para manuseio,
armazenamento e transporte das informações dentro do nível de segurança da
empresa.
As diretrizes expressam a importância que a empresa dá à informação e orienta o
funcionário a se comprometer com os processos de segurança e a cultura
organizacional. A implantação da política deve ter o apoio e o envolvimento da alta
direção da empresa. Somente dessa maneira, ela será respeitada e seguida por
todos.
A Política deve tratar da estrutura do Security Office, de métricas, índices,
indicadores do nível de segurança, controles de conformidade legal, capacitação de
usuários, mecanismos de controle de acesso físico e lógico, auditoria do uso dos
recursos, registro de incidentes, gestão de continuidade do negócio, dentre outros.
As normas têm o caráter tático, detalham situações, ambientes e processos
específicos e fornecem orientação para o uso correto das informações. Alguns
exemplos de normas são: criação e manutenção de senhas, desenvolvimento e
manutenção de sistemas, uso de internet, acesso remoto, uso de notebook,
contratação de terceirizados e classificação da informação.
A norma de classificação da informação é muito importante porque descreve os
critérios necessários para sinalizar a importância e o valor da informação. Não
existe regra para realizar essa classificação, pois depende do perfil do negócio e
das características das informações do modelo corporativo.
Os procedimentos e as instruções estão presentes no perfil operacional das
empresas, pois a sua função é descrever detalhadamente cada atividade associada
a cada situação distinta do uso das informações.
Vale lembrar que a norma de conduta para a elaboração da política de segurança
deve ser a conformidade com requisitos legais, obrigações contratuais, direitos de
propriedade intelectual, direitos autorais de software e todas as regulamentações
que possam incidir no negócio da empresa.
As diretrizes orientam, as normas definem e os procedimentos e as instruções
descrevem os passos necessários para executar as definições das normas.
Desenvolver a Política de Segurança da Informação de uma empresa é bastante
complexo, principalmente se levarmos em consideração todo o seu parque
tecnológico e todas as mudanças que o negócio pode sofrer, mas o mais importante
é começar delegando responsabilidades, alocando as equipes departamentais e
desenvolvendo equipes para a divulgação de diretrizes, normas, procedimentos e
instruções da política, com o objetivo de conscientizar os funcionários.
Análise de Riscos e Vulnerabilidades:
Atualmente, realizar a análise de segurança já é prioridade na maioria das
empresas que já entendem a necessidade de diagnosticar os riscos que podem
comprometer o seu negócio.
A Análise de riscos é uma ferramenta fundamental para se medir o nível de
segurança de uma empresa, por meio da cooperação entre o entendimento dos
desafios do negócio, o levantamento das funcionalidades dos processos do negócio
e a relação que esses processos têm com os ativos físicos, tecnológicos e humanos
que podem causar falhas de segurança.
Existem dois métodos que orientam a análise de riscos: o quantitativo e o
qualitativo. O método quantitativo mensura o impacto financeiro provocado por uma
quebra de segurança, baseado no valor dos próprios ativos. Já o qualitativo é
orientado por critérios que permitem estimar os impactos ao negócio provocados
pela exploração de uma vulnerabilidade.
Seguindo a metodologia de mapeamento de processos definida pelo plano diretor,
tem-se o mapa de relacionamento e dependência de ativos. Nesse momento,
iniciam-se as coletas de evidências e identificação de ameaças e vulnerabilidades
presentes nos ativos. Os principais aspectos considerados em uma análise de
vulnerabilidades são:
● relação da importância que um processo tem para o negócio;
● relação de dependência que os processos de negócio têm com os ativos;
● projeção do impacto causado por uma ameaça;
● robabilidade de uma ameaça ser explorada por uma vulnerabilidade;
● severidade potencial da exploração de um ativo;
● qualificação das vulnerabilidades presentes nos ativos;
● qualificação das ameaças potenciais.
Como a análise de risco abrange todos os ativos da empresa: físico, tecnológico e
humano, é necessário realizar a identificação das ameaças através de entrevistas
com todos os funcionários, fazer um estudo comportamental dos recursos humanos,
inspeção física presencial nos ambientes, estudo de documentos e análise técnica
dos ativos tecnológicos, para coletar evidências da presença de falhas.
Pela complexidade dos ambientes e dos ativos é impossível coletar todas as
evidências por meio de dispositivos automatizados ou informatizados.
Uma análise de riscos consistente consta com recursos humanos com competência
diversificada, com ferramentas de apoio e gestão do levantamento e de uma base
de conhecimento atualizada.
O cálculo da probabilidade e severidade é realizado primeiramente para cada ativo;
depois disso, pode ser calculado o nível de risco de cada processo do negócio de
acordo com os ativos que o sustentam. Esses resultados nos permitem organizar as
prioridades e dimensionar um plano de ação de curto, médio ou longo prazos.
Dessa maneira, é possível tomar decisões e elaborar contramedidas para cada
perímetro da empresa, tais como eliminar o risco, reduzir o risco, transferir o risco
ou aceitar o risco. Por motivos diversos, pode ocorrer dessas contramedidas nunca
serem implementadas, o que leva qualquer empresa a encontrar um nível de risco
controlado de acordo com o seu negócio.
Segurança é administrar os riscos. A análise de riscos é uma ferramenta que deve
ser utilizada pela empresa para auxiliá-la a encontrar um padrão que garanta a sua
operação em um nível de risco aceitável. Devido ao dinamismo das mudanças
sofridas no ambiente corporativo, a análise de riscos deve ser transformada em um
processo contínuo de gestão; assim, a empresa se manterá no patamar de risco
controlado.
Teste de Invasão:
Normalmente quando se ouve falar em teste de invasão, logo se imagina uma
atividade nociva. Na verdade, o teste de invasão tem o objetivo de avaliar qual é o
grau de segurança da empresa, por meio dos controles implementados para
determinados perímetros.
O teste de invasão simula tentativas de invasão a partir de vários pontos, internos
ou externos, tem um objetivo bem definido e utiliza vários métodos e técnicas. Para
que o teste seja realizado com clareza, deve ser definido qual perímetro será
testado, para qual tipo de ameaça será avaliada a proteção e qual é o tempo de
validade do teste.
O teste não pode expor as informações da empresa nem comprometer a operação,
porém, quanto mais o teste de invasão se aproximar da realidade, melhor será
qualificado. Para as comprovações do teste de invasão, deve-se apresentar a
descrição do formato do teste, os métodos empregados, as evidências das
tentativas e, caso haja, os resultados positivos.
Saiba mais:
O Teste de invasão é uma excelente ferramenta para medir o nível de Segurança de
uma empresa. No vídeo Pen Test: Técnicas de Invasão e Plataforma de Pentest -
Cyber Week - Hacker Security - 29/03/19, exibido no último dia do evento da Cyber
Week 2019, os apresentadores apresentam e reforçam vários conceitos de
segurança e exemplificam vários testes de invasão, dando informações importantes
para quem deseja adquirir conhecimento sobre como funciona esse processo. Para
saber mais, acesse o link aseguir. Link:
O teste de invasão pode ser:
● Interno: O analista que realizará o teste estará alocado dentro da empresa,
representando a tentativa de ataque ou invasão de um funcionário próprio ou
terceirizado da empresa.
● Externo: O analista que realizará esse teste estará fora da empresa alvo; se
a simulação foi lógica, o analista estará em algum ponto da Internet. Este
teste tem a finalidade de testar os acessos ao ambiente corporativo, via
acesso remoto, acesso a sites corporativos, entre outros.
● Cego: Neste teste, o analista que realizará o teste não tem nenhum tipo de
informação sobre a mesma, o que dificulta a atividade e não traz bons
resultados. Normalmente, o invasor realiza uma coleta prévia antes de
realizar qualquer ataque, por engenharia social, grampo telefônico ou outros
meios.
● Não cego: O analista que realizará o teste possui informações privilegiadas
da empresa, o que o auxilia na realização do teste. Este modelo demonstra
maior eficiência por ser muito parecido com os ataques reais. A simulação
demonstra que quem realiza esse tipo de ataque já tem um conhecimento
prévio, possui acesso privilegiado e informações da empresa.
O teste de invasão é um bom recurso para testar o nível de segurança em que a
empresa se encontra e apresentar aos executivos o resultado dos investimentos
realizados com a segurança da informação e a necessidade de futuros
investimentos, porém, essa atividade deve ser realizada com profissionais
qualificados e as suas ações devem ser controladas e acompanhadas pelo Security
Office, pois não devem representar nenhum risco para a empresa.
Tópico 5 - Conclusão:
O Plano Diretor é o pontapé inicial para a implantação da Gestão de Segurança da
Informação. Por meio de uma metodologia bem definida e personalizada, de acordo
com as atividades da empresa, é possível identificar os processos, mapear a
relevância, realizar os estudos de impacto CIDAC, prioridade GUT, perímetros e
atividades.
A criação do comitê corporativo de segurança é fator crítico para a Gestão de
Segurança da Informação. Com a liderança do Security Officer, o comitê consegue
alocar as equipes necessárias para análise de impacto no negócio, análise de risco,
elaboração de plano de continuidade do negócio e teste de invasão.
O Plano Diretor é fruto de um planejamento bem definido, interação entre equipes e
conhecimento do negócio, e o resultado é a apresentação de um nível de segurança
controlado, que aumenta a competitividade da empresa no mercado, melhorando
sua imagem e agregando valor.