Baixe o app para aproveitar ainda mais
Prévia do material em texto
WBA0458_v1.0 POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO APRENDIZAGEM EM FOCO 2 APRESENTAÇÃO DA DISCIPLINA Autoria: Márcia Maria Savoine Leitura crítica: Ítalo Diego Teotônio Olá, estudante! Nesta disciplina, você conhecerá os principais controles de segurança da informação: a política de segurança da informação e a classificação da informação. A segurança da informação não tem relação somente com os softwares, mas com todo processo que compreenda pessoas, equipamentos de hardware (computadores, dispositivos, impressoras, entre outros), comunicação de dados e qualquer outra atividade relacionada ao uso da tecnologia nas organizações. É importante ter o controle para preservar a integridade dos dados, garantir sua disponibilidade para as pessoas adequadas, além de estabelecer a confidencialidade das informações para a organização, todas essas características de segurança da informação devem ser estabelecidas em uma política de segurança da informação nas organizações. Então, para se ter esse controle de segurança da informação, trabalharemos com quatro temáticas relevantes para o desenvolvimento da política de segurança em uma organização: (1) introdução à política de segurança da informação; (2) os frameworks ITIL e Cobit e governança na política de segurança da informação, em que o Cobit consiste em um framework de gestão da área de TI e de alinhamento estratégico para ajudar a entender e a gerenciar os riscos e benefícios associados, já o ITIL fornece boas práticas, orientações sobre a concepção de serviços de TI, processos e outros aspectos do esforço de gestão de serviços; 3 (3) a classificação da informação, que consiste na definição de níveis de proteção que cada dado deve receber na segurança da informação; e (4) exemplos práticos de políticas, normas e procedimentos. Vamos lá? Bons estudos! INTRODUÇÃO Olá, aluno (a)! A Aprendizagem em Foco visa destacar, de maneira direta e assertiva, os principais conceitos inerentes à temática abordada na disciplina. Além disso, também pretende provocar reflexões que estimulem a aplicação da teoria na prática profissional. Vem conosco! TEMA 1 Introdução à política de segurança da informação ______________________________________________________________ Autoria: Márcia Maria Savoine Leitura crítica: Ítalo Diego Teotônio 5 DIRETO AO PONTO Neste conteúdo, você estudou o quão uma política de segurança da informação se faz necessária em uma organização, pois ela determina o uso de regras e controles para preservação dos ativos pelos usuários, além disso, podemos identificar quais as características que uma política de segurança deve ter para ser desenvolvida. Para que uma política de segurança de informação atenda às necessidades de uma organização, é importante utilizar alguns critérios no seu desenvolvimento e na sua implantação, como também fazer o desenvolvimento de uma política em etapas, de acordo com o nível organizacional que aquela diretriz ou aquele regulamento se enquadram. São indicadas as seguintes etapas: (I) iniciar o projeto; (II) desenvolvimento do projeto; (III) entrega, comunicação e treinamento do produto final; e (IV) definição dos processos de manutenção e atualização. Para um melhor desenvolvimento dessas etapas, elas podem ser divididas em subetapas. É altamente indicado que o gestor de segurança, ao estruturar a política, tenha um conhecimento sedimentado nas normas ISO/IEC 27001 (ABNTa, 2013), ISO/IEC 27002 (ABNTb, 2013), frameworks de melhores práticas como o ITIL e o Cobit, pois são normas e frameworks internacionais que orientam a segurança da informação. Desenvolver a política de segurança da informação considerando o nível organizacional (tático, estratégico e operacional), para determinar quais tipos de documentos (normas, procedimentos, regulamentos ou regras) devem ser criados, faz com que a política seja efetiva na organização, conforme Tabela 1. 6 Tabela 1 – Síntese dos níveis organizacionais com os documentos relacionados ESTRATÉGICO (Nível 1) TÁTICO (Nível 2) OPERACIONAL (Nível 3 e demais níveis) Documentos: políticas e diretrizes Documentos: políticas e diretrizes Documentos: normas e procedimentos 1. Objetivo. 2. Abrangência. 3. Implantação ou implementação. 4. Definições. 5. Diretrizes e regras. 6. Responsabilidades complementares . 7. Conclusão. 8. Anexos. 1. Objetivo. 2. Abrangência. 3. Implementação. 4. Política de segurança e proteção da informação. 5. Definições. 6. Regras. 7. Responsabilidades complementares. 8. Conclusão. 9. Anexos. 1. Objetivo deste regulamento. 2. Abrangência deste regulamento. 3. Implementação deste regulamento. 4. Definições. 5. Regras e procedimentos. 6. Controles e responsabilidades. 7. Conclusão Fonte: elaborada pela autora. É mostrada na Figura 1 a estrutura de uma política de segurança da informação que é indicada de acordo com os níveis organizacionais. 7 Figura 1 - Estrutura da política de segurança da informação de acordo com níveis organizacionais Fonte: Elaborada pela autora. Referências bibliográficas ABNTa, Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001:2013. Tecnologia da informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Requisitos. Rio de Janeiro, p. 30. 2013. ABNTb, Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002:2013. Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação. Rio de Janeiro, p. 99. 2013. FONTES, E. Políticas e normas para a segurança da informação. Rio de Janeiro: Brasport, 2012. 8 SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. 2. ed. Rio de Janeiro: Elsevier, 2014. PARA SABER MAIS Atualmente, há uma grande preocupação com segurança da informação. Então, as empresas estão criando suas políticas para assegurar seus bens ativos, ou seja, as informações. Apenas em 2019, ocorreram mais de 875.327 mil incidentes de segurança da informação no Brasil, de acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), em que os tipos de incidentes reportados como ataques e suas porcentagens são de: Scan, 46,81%; DoS, 34,42%; Worm, 11,48%; fraude, 4,5%; web, 2,55%; invasão, 0,06%; e outros, 0,17%. Esses números são indicativos de um fator importante: os gestores de segurança da informação estão falhando em proteger os seus dados com uma política de segurança da informação que o tornam vulneráveis. Referências bibliográficas CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. c2020. Disponível em: https://www.cert. br//. Acesso em: 24 jun. 2020. TEORIA EM PRÁTICA A empresa XYZ teve, recentemente, vários ataques virtuais e dados foram roubados por pessoas não autorizadas. O vazamento foi tratado como um problema interno, ou seja, a empresa não 9 divulgou a seus clientes tais ataques e roubos de dados com medo da reação do mercado e, consequentemente, dos clientes. Esta empresa possui uma política de segurança da informação que foi desenvolvida e implantada por cinco anos. Contudo, de acordo com o texto da nova Lei Geral de Proteção de Dados (Lei n° 13.709/18, (BRASIL, 2018)), que entrou em vigor em agosto de 2020, qualquer vazamento de dados deve ser comunicado imediatamente à agência reguladora e aos titulares da informação, sob pena de multas e sanções para as empresas, sejam públicas ou privadas. Então, de acordo com esta lei, a responsabilidade na garantia da segurança da informação aumenta bastante e torna- se fundamental evitar situações que possam, em casos extremos, vir a impedir a continuidade dos negócios por determinação do governo. Preocupada com os ataques recebidos e com os dados roubados, a empresa XYZ contratou você para ser gestor de segurança da informação. Qual sua primeira ação para garantir a segurança da informaçãona empresa? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 Para que uma política de segurança da informação seja desenvolvida, implantada e mantida adequadamente, é importante termos exemplos reais desses processos. O capítulo Indicações de leitura 10 Lorem ipsum dolor sit amet Autoria: Nome do autor da disciplina Leitura crítica: Nome do autor da disciplina 13, “Exemplos de políticas, normas e procedimentos” mostra exatamente isto. Para realizar a leitura, acesse a plataforma EBSCOhost, na Biblioteca Virtual da Kroton, e busque pelo título da obra. FONTES, E. Políticas e normas para a segurança da informação: como desenvolver, implantar e manter regulamentos para a proteção da informação nas organizações. Rio de Janeiro: Brasport, 2012. Indicação 2 A NBR ISO/IEC 27.002 faz parte do grupo de normas internacionais que focam nas boas práticas para a gestão da segurança da informação. A norma, em sua íntegra, é dividida em seções, e em sua seção 5 faz referência exclusivamente à política de segurança da informação. Para ampliar seus conhecimentos sobre as melhores práticas de gestão de segurança da informação para desenvolvimento de uma política de segurança da informação, estude o capítulo 6 – “Política de segurança baseada na ISO 27.002”. Para realizar a leitura, acesse a plataforma Biblioteca Senac, na Biblioteca Virtual da Kroton, e busque pelo título da obra. AGUILERA, F. E. Padrões, normas e política de segurança da informação. São Paulo: Senac, 2019. 11 QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. Em uma política de segurança da informação, o nível operacional é onde são criados(as): a. Normas. b. Regras. c. Procedimentos e instruções. d. Políticas. e. Normas e regras. 2. É importante que uma política de segurança de informação seja organizada em uma estrutura hierárquica, apresentando seus elementos categorizados. A respeito de tais categorias (regulamentos, procedimentos, diretrizes e normas), considere as afirmações: 12 I. Regulamentos não são obrigatórios, porém, ao serem desenvolvidos na organização, o seu não cumprimento pode levar a penalidades disciplinares. II. Procedimentos devem ser descritivos vagos e superficiais a respeito de práticas cotidianas. III. Diretrizes são obrigatórias e têm caráter consultivo. IV. Normas estabelecem parâmetros a serem observados. Assinale a alternativa correta. a. A afirmação I é verdadeira. b. A afirmação II é verdadeira. c. A afirmação IV é verdadeira. d. A afirmação III é verdadeira. e. As afirmações I, II e III são verdadeiras. GABARITO Questão 1 - Resposta C Resolução: No nível operacional, são descritos na política quais instruções ou procedimentos que o usuário técnico tem que realizar para poder acessar informações do ambiente de tecnologia da organização. Questão 2 - Resposta C Resolução: A afirmação I está errada porque regulamentos são obrigatórios. A afirmação II está errada porque faz referência à forma específica de executar uma atividade ou um processo, e isto não pode ser vago ou superficial, e sim direto e exato. A afirmação III está errada porque não é obrigatório desenvolver diretrizes, pois elas têm caráter somente de consulta em caso de dúvida. E a afirmação IV está 13 correta, pois as normas realmente descrevem parâmetros a serem observados. TEMA 2 ITIL, Cobit e governança na política de segurança da informação ______________________________________________________________ Autoria: Márcia Maria Savoine Leitura crítica: Ítalo Diego Teotônio 15 DIRETO AO PONTO Neste conteúdo, você estudou como a política de segurança da informação deve estar integrada à governança, tanto corporativa como a de TI de uma organização. E também aprendeu a utilizar frameworks internacionais, Cobit e ITIL, que são um suporte robusto para a efetivação da segurança da informação, pois eles fornecem métricas para garantir a eficácia da prática. A governança de TI consiste em um conjunto estruturado de políticas, normas, métodos e procedimentos destinados a permitir à alta administração e aos executivos o planejamento, a direção e o controle da utilização atual e futura de tecnologia da informação, em total alinhamento com os objetivos do negócio, com o objetivo de ter a segurança da informação em um nível aceitável de risco. E a governança de TI, por ter como foco o direcionamento e monitoramento das práticas de gestão e uso da TI de uma organização, alinhados aos seus objetivos, constitui padrões e relacionamentos construídos de forma estruturada. Isto vem ao encontro do desenvolvimento da política de segurança da informação, pois ela precisa estar alinhada aos objetivos estratégicos do negócio. Para realizar a implementação da governança de TI, é indicado fortemente utilizar frameworks ou modelos já consolidados no mercado que podem fornecer gerenciamento de controles para garantir a eficácia de sua implementação. Frameworks como o Cobit e o ITIL são modelos voltados para a governança de TI e práticas de gerenciamento dos serviços de TI. Neste sentido, o Cobit tem como foco principal orientar as organizações na implementação, operação e melhoria dos 16 processos de governança e gestão de TI. Já a biblioteca ITIL proporciona orientações de boas práticas para gestão e execução de serviços de TI, sob a perspectiva da geração de valor ao negócio. Ou seja, ao serem utilizados em conjunto e em consonância com a governança de TI e acoplados na política de segurança da informação, podem trazer controle efetivo de segurança da informação na organização. Figura 1 – Estrutura da política de segurança da informação em consonância com governanças e frameworks Fonte: elaborada pela autora. Referências bibliográficas AXELOS. ITIL Foundation – ITIL. 4. ed. Londres: AXELOS, 2019. ISACA. Cobit 5 – Modelo corporativo para governança e gestão de TI da organização. Illinois, EUA: Isaca, 2012. 17 PARA SABER MAIS Em plena Indústria 4.0, manter a governança de TI com toda a infraestrutura atualizada e atendendo a todas as exigências dos clientes e do mercado, e com um nível de segurança da informação considerado adequado de acordo com as regras do negócio, é considerado um dos grandes desafios para os gestores organizacionais. Em 2017, a Isaca realizou uma pesquisa junto a 732 líderes de organizações ao redor do mundo, denominada Better tech governance is better for business, e descobriu que 92% dos entrevistados acreditavam que uma melhor governança de TI resulta em melhores resultados econômicos, enquanto 89% acreditavam que isso levava mais agilidade aos negócios. De acordo com a pesquisa, pressupõe-se que a governança de TI é uma prioridade que ascendeu ao conselho superior das organizações. Os entrevistados também disseram acreditar que uma forte governança de TI pode levar a operações mais eficientes e enxutas, maior capacidade de resposta aos clientes e parceiros, retornos mais demonstráveis dos investimentos e melhor priorização de projetos. Neste contexto, pergunta-se: “Quais são as chaves para uma governança de TI efetiva na Era Digital?” – este é o título de uma matéria da revista CIO, que expõe a importância da governança de TI nas organizações atuais e, também, contém algumas pesquisas da Isaca (Associação de Auditoria e Controle de Sistemas de Informação) e da Gartner Group (que é um instituto de pesquisa e consultoria na área toda tecnologia da informação,reconhecido e respeitado mundialmente). Além de expor os modelos de governança de TI adotados pelas empresas, é comentado, também, na matéria sobre o Cobit, um importante framework 18 desenvolvido pela Isaca para uso na governança de TI e que pode contribuir para a segurança da informação nas organizações. Uma importante afirmação dos entrevistados na matéria é colocada ao final: “Fazer negócios à velocidade do digital requer que a organização avalie continuamente se suas capacidades de tomada de decisão apoiam sua ambição digital”. Referências bibliográficas PRATT, M. K. Quais são as chaves para uma governança de TI efetiva na Era Digital? Revista CIO From IDG, Estados Unidos, . Disponível em: https://cio.com.br/gestao/quais-sao-as-chaves- para-uma-governanca-de-ti-efetiva-na-era-digital//. Acesso em: 2 jul. 2020. TEORIA EM PRÁTICA Analise a seguinte situação: a empresa ZYX Digital diariamente tem acontecimentos anormais em seus ativos digitais, tais como: vazamentos de dados, enganos não intencionais de funcionários e incidentes relativos aos seus dispositivos pessoais. Isso tem aumentado consideravelmente o nível de instabilidade da infraestrutura de TI e também não há como garantir que as informações continuem seguras. O gerente de segurança da informação da ZYX Digital, apesar de já ter implantado políticas de segurança da informação, tem sua carga de trabalho aumentada por todos estes acontecimentos, fazendo com que ele não tenha tempo para gerenciar a infraestrutura de segurança da informação de forma proativa. Para melhorar essa situação problemática, está sendo estudada por ele, em conjunto com os gestores da empresa, a implantação de frameworks voltados para 19 o gerenciamento de TI que abordem fortemente segurança da informação, pois percebeu-se que existem processos indefinidos e a gestão em segurança não consegue manter a integridade da informação e proteger os ativos de TI, e está maximizando o impacto sobre os negócios devido às vulnerabilidades e aos incidentes da segurança. Diante desta problemática, você, na situação do gerente de segurança da informação da empresa ZYX Digital, tendo que aplicar boas práticas de gerenciamento, uma vez que a alta gerência já sinalizou a implantação de algum framework de governança de TI, já apontado sendo a ITIL ou Cobit, qual(is) ação(ões) você tomaria? Qual seria sua decisão junto à alta gerência? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 Como já visto, o Cobit é um framework de gerenciamento de TI concebido pela Isaca para auxiliar as empresas em torno do gerenciamento de informações e governança de TI. Para ampliar seu aprendizado sobre este framework, acesse o material de Fernandes e Abreu, realize a leitura do capítulo 6, “Modelos abrangentes de governança de TI”, em específico o tópico 6.2, que é detalhado sobre o Cobit. Para realizar a leitura, acesse a plataforma EBSCOhost, na Biblioteca Virtual da Kroton, e busque pelo título da obra. Indicações de leitura 20 FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2014. Indicação 2 Considerando que a ITIL constitui uma biblioteca para implementação de boas práticas de gerenciamento de serviços de TI, vamos aprender mais sobre ela? Para isto, acesse o material de Fernandes e Abreu, realize a leitura do capítulo 7, “Modelos para gerenciamento de serviços de TI”, em específico o tópico 7.1, que é detalhado sobre o ITIL. Para realizar a leitura, acesse a plataforma EBSCOhost, na Biblioteca Virtual da Kroton, e busque pelo título da obra. FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2014. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, 21 além de questões de interpretação com embasamento no cabeçalho da questão. 1. A ITIL é uma biblioteca de boas práticas desenvolvida pelo governo britânico e, atualmente, a propriedade e a comercialização deste portfólio de melhores práticas pertencem à Axelos. As boas práticas do modelo têm como objetivo: a. O gerenciamento de serviços de tecnologia de informação de alta qualidade. b. Identificar e fornecer uma visão geral para a prática de BPM. c. Servir como base de conhecimento para que os profissionais de análise de negócios compreendam seu papel nas organizações. d. Traduzir a estratégia da empresa em termos operacionais. e. Sistema abrangente e flexível para alcançar, sustentar e maximizar o sucesso empresarial. 2. O Cobit é um modelo de boas práticas de governança e gerenciamento da TI empresarial desenvolvida pela Isaca. Este framework é sustentado por cinco princípios. Assinale a alternativa que indica estes cinco princípios: a. Controle empírico do processo; auto-organização; colaboração; priorização baseada em valor,; desenvolvimento iterativo. b. Proteger os ativos da empresa; produzir dados contábeis confiáveis; estabelecer protocolos e procedimentos que colaboradores devem seguir; manter informações financeiras organizadas; reduzir erros. 22 c. Desenvolvimento iterativo do software; gestão de requisitos; uso de arquiteturas baseadas em componentes; verificação contínua da qualidade do software; controle de mudanças no software. d. Justificação de negócio contínua; aprender com a experiência; papéis e responsabilidade definidos; gerenciar por estágios; gerenciar por exceção. e. Satisfazer as necessidades das partes interessadas; cobrir a organização de ponta a ponta; III) aplicar um framework integrado único; possibilitar uma visão holística; separar governança de gerenciamento. GABARITO Questão 1 - Resposta A Resolução: O framework é voltado para o gerenciamento de serviços de TI, ou seja, elevar o grau de maturidade e qualidade que permita o uso eficaz e eficiente dos seus ativos estratégicos de TI (incluindo sistemas de informação e infraestrutura de TI). Questão 2 - Resposta E Resolução: Satisfazer as necessidades das partes interessadas; cobrir a organização de ponta a ponta; aplicar um framework integrado único; possibilitar uma visão holística; separar governança de gerenciamento, constituem todos os princípios do Cobit. TEMA 3 Classificação da informação ______________________________________________________________ Autoria: Márcia Maria Savoine Leitura crítica: Ítalo Diego Teotônio 24 DIRETO AO PONTO Neste conteúdo, você estudou sobre como a classificação da informação é essencial para que as organizações possam centralizar seus recursos para a segurança da informação de maneira eficiente. Sabendo aplicar as propriedades de disponibilidade, confidencialidade e integridade das informações com as quais a organização trabalha, esta pode gerar políticas de segurança da informação que foram meticulosamente analisadas e desenvolvidas especificamente para cada recurso da organização. Neste contexto, o desenvolvimento da classificação da informação com os rótulos e o tratamento da informação deve estar totalmente alinhado à política de segurança da informação de uma organização e, também, às regras de negócio. Os critérios de controle para a classificação devem ser desenvolvidos em consonância com as propriedades disponibilidade, confidencialidade e integridade. Sendo que, na confidencialidade, têm-se os critérios: confidencial, restrita, interna e pública. Com relação à integridade, os critérios são: registrada, controladae normal. E, com relação à indisponibilidade, têm-se os seguintes critérios: vital, crítica e comum. Na classificação da informação, os responsáveis inseridos no processo são: proprietário, custodiante, grupos de acesso e o usuário. Após as informações serem classificadas, é necessário realizar a rotulagem das informações, que consiste em definir os níveis de classificação que identificam o conteúdo daquela informação. Por exemplo, se um cliente recebe um e-mail, é necessário saber o controle do seu nível de confidencialidade; ou se um usuário faz um pedido de criação de senha de acesso, é necessária a comprovação de controle do seu nível de autenticidade. E 25 o processo final da classificação da informação consiste no tratamento da informação, ou seja, conjunto de ações referentes a recepção, classificação, utilização, acesso, reprodução, transporte, distribuição, armazenamento, eliminação, avaliação ou controle da informação. Então, é somente por meio deste tratamento apropriado das informações que são fornecidos os controles e a proteção adequada, propondo assegurar sua confidencialidade, integridade e disponibilidade. Na Figura 1, você tem uma estrutura sobre a classificação da informação e os elementos que a compõem. Figura 1 – Estrutura da classificação da informação Fonte: Elaborada pela autora. 26 Referências bibliográficas FONTES, E. Políticas e normas para a segurança da informação. Rio de Janeiro: Brasport, 2012. SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. 2. ed. Rio de Janeiro: Elsevier, 2014. PARA SABER MAIS Você sabe quando foi publicada no Brasil a primeira lei sobre a Política Nacional de Segurança da Informação, com todas as características de confidencialidade, disponibilidade e integridade, como também a classificação das informações? Vamos lá, então, para um pouco de história e fatos importantes sobre a política de segurança da informação no Brasil, que fortalece a cultura de segurança da informação na sociedade brasileira. O primeiro passo para a criação de uma PSI foi a Lei nº 8.159, de 8 de janeiro de 1991 (BRASIL, 1991), que dispõe sobre a política nacional de arquivos públicos e privados e providências, e foi sancionada pelo presidente Fernando Collor de Melo. Porém, a lei ainda não era a política de segurança da informação do país. Não continha a estrutura sobre a proteção das informações nacionais. A próxima atualização foi em 1998, com o Decreto nº 2.910, de 29 de dezembro de 1998, que foi sancionada pelo então presidente Fernando Henrique Cardoso, e estabelecia normas para a salvaguarda de documentos, materiais, áreas, comunicações e sistemas de informação de natureza sigilosa, e dava outras providências. E também não era ainda uma política de segurança da informação, mas já dava indícios de classificação da informação, pois atribuía, na seção II da Lei, o conceito de 27 Documento Sigiloso Controlado – DSC e, no capítulo III, os conceitos de segurança das comunicações e dos sistemas de informação. E, finalmente, no ano 2000, temos oficialmente a primeira PSI com o decreto nº 3.505, de 13 de junho de 2000 (BRASIL, 2000), promulgado pelo presidente Fernando Henrique Cardoso, que institui a política de segurança da informação nos órgãos e entidades da Administração Pública Federal no Brasil. E no art. 3º, são atribuídos os objetivos da política da informação, sendo: I - dotar os órgãos e as entidades da Administração Pública Federal de instrumentos jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não- repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis. Já se asseguravam os pilares principais da segurança da informação (confidencialidade, integridade e a disponibilidade) e os complementares (autenticidade e não repúdio) em uma política de segurança da informação, como também classificar as informações e tratá-las. Que tal agora analisar o decreto na íntegra, com todos estes detalhes que foram estudados por você? E 18 anos depois, o presidente Michel Temer promulga o Decreto nº 9.637, de 26 de dezembro de 2018 (BRASIL, 2018), que institui a Política Nacional de Segurança da Informação e, também, dispõe sobre a governança da segurança da informação, alterando todos os decretos anteriores. No capítulo I do decreto, especificamente nos artigos 1º e 2º, é instituído: Art. 1º Fica instituída a Política Nacional de Segurança da Informação – PNSI, no âmbito da administração pública federal, 28 com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação a nível nacional. Art. 2º Para os fins do disposto neste Decreto, a segurança da informação abrange: I - a segurança cibernética; II - a defesa cibernética; III - a segurança física e a proteção de dados organizacionais; e IV - as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação dispõe sobre princípios, objetivos, instrumentos, atribuições e competências de segurança da informação para os órgãos e entidades da Administração Pública Federal, sob o prisma da governança, e previu, para sua implementação, a elaboração da Estratégia Nacional de Segurança da Informação e dos Planos Nacionais. Para proceder à classificação da informação, é necessário fazer o preenchimento do Termo de Classificação de Informação – TCI, conforme Anexo do Decreto 7.724 de 16 de maio de 2012. Dentre as informações que compõem o citado termo, tem-se o Código de Indexação de Documento que contém Informação Classificada – CIDIC. Referências bibliográficas BRASIL. Lei nº 8.159, de 8 de janeiro de 1991. Dispõe sobre a política nacional de arquivos públicos e privados e dá outras providências. Brasília, DF, 1991. Disponível em: https://www2. camara.leg.br/legin/fed/lei/1991/lei-8159-8-janeiro-1991-322180- normaatualizada-pl.html. Acesso em: 11 jul. 2020. BRASIL. DECRETO No 2.910, DE 29 DE DEZEMBRO DE 1998. Disponível em: <http://legislacao.planalto.gov.br/legisla/legislacao. 29 nsf/Viw_Identificacao/dec%202.910-1998?OpenDocument>. Acesso em: 11 jul. 2020. BRASIL. Decreto nº 3.505, de 13 de junho de 2000. Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Brasília, DF, 2000. Disponível em: https://www2.camara.leg.br/legin/fed/decret/2000/decreto-3505- 13-junho-2000-368759-publicacaooriginal-1-pe.html. Acesso em: 11 jul. 2020. BRASIL. Decreto nº 7.724, de 16 de maio de 2012. Disponível em: <http://legislacao.planalto.gov.br/legisla/legislacao.nsf/Viw_ Identificacao/DEC%207.724-2012?OpenDocument>. Acesso em: 11 jul. 2020. BRASIL - Decreto nº 9.637, de 26 de dezembro de 2018. Política Nacional de Segurança da Informação. Brasília, DF, 2018. Disponível em: https://www.in.gov.br/materia/-/asset_publisher/ Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n- 9-637-de-26-de-dezembro-de-2018-56969938 Acesso em: 11 jul. 2020. TEORIA EM PRÁTICA Reflita sobre a seguinte situação: foi definido que você é o responsável pela classificação da informação, ou seja, quem definiu e realizou a análise crítica das classificações e restrições de acesso (proprietário da informação) na política de segurança da informação da empresa XYZ Telecom. No desenvolvimento da política de segurança da informação, em específico na realização da classificação e rotulagem das informações dos clientes, os dados pessoais (como o CPF) e para cobrança não foram 30 classificados e rotulados como sigilosos, mas sim como públicos, e foram expostos na internet pelo site da empresa. Esse tipo de situação causou prejuízos financeiros à empresa, além de penalidades jurídicas. Qual a solução mais adequada para esta situação? Quais ações emergenciaisdevem ser realizadas por você? E na perspectiva do meio e longo prazo, quais ações você deve realizar? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 Neste livro, o exemplo 8 ilustra com detalhes a classificação da informação. Para realizar a leitura, acesse a plataforma Virtual 3.0_Pearson, na Biblioteca Virtual da Kroton, e busque pelo título da obra. FONTES, E. Políticas e normas para a segurança da informação. 1. ed. Rio de Janeiro: Brasport, 2012. Cap.13, p. 136-146. Indicação 2 Nesta obra de Lima, o tópico 3, “Classificação da informação”, mostra com detalhes o grau de complexidade do processo de classificação da informação. Indicações de leitura 31 Para realizar a leitura, acesse a plataforma Biblioteca Virtual 3.0_ Pearson, na Biblioteca Virtual da Kroton, e busque pelo título da obra. LIMA, A. Gestão da segurança e infraestrutura de tecnologia da informação. São Paulo: Senac, 2018. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 1. Em qual ano foi promulgado o Decreto nº 9.637, que institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação, alterando todos os decretos anteriores? a. 2012. b. 2018. c. 2000. d. 1991. e. 1998. 32 2. Os rótulos que são atribuídos às informações, após a classificação da informação, consiste em: a. Conjunto de ações referentes a recepção, classificação, utilização, armazenamento e descarte da informação. b. Realizar um tratamento das informações. c. Estabelecer as propriedades de disponibilidade, confidencialidade e integridade das informações. d. Definir os níveis de classificação que identificam o conteúdo daquela informação e. Tratar as informações classificadas. GABARITO Questão 1 - Resposta B Resolução: Em 2018, 18 anos depois do último decreto que instituiu a Política de Segurança da Informação, Decreto nº 3.505, de 13 de junho de 2000, promulgado pelo presidente Fernando Henrique Cardoso. Questão 2 - Resposta D Resolução: Consiste em efetivar os níveis das informações já classificadas, identificando o tipo de conteúdo daquela informação. Por exemplo: confidencial, restrita, interna e pública, entre outros. TEMA 4 Políticas, normas e procedimentos práticos ______________________________________________________________ Autoria: Márcia Maria Savoine Leitura crítica: Ítalo Diego Teotônio 34 DIRETO AO PONTO Neste conteúdo, você estudou o quão importante é o desenvolvimento prático de uma política de segurança da informação e o quanto é necessária em uma organização, pois ela determina o uso de regras e controles para preservação dos ativos pelos usuários. Utilizar critérios no desenvolvimento de uma política de segurança da informação, tanto na política principal como nas complementares, é importante e traz maior segurança à equipe que a desenvolve e, também, aos gestores da organização. A organização também se sentirá mais confortável com a participação de um especialista de segurança da informação, pois a responsabilidade deste profissional é ajudar na prevenção para que dados não sejam roubados ou vazem para os concorrentes. Importante também para a organização ter um comitê de segurança da informação, pois proporcionará maior robustez em assegurar a disponibilidade dos recursos de informação, resguardar a integridade das informações e garantir a confidencialidade do conteúdo da organização. Este comitê gestor de segurança da informação é o órgão na organização que irá desenvolver as políticas de segurança da informação, tanto a política principal de segurança da informação – PPSI, que consiste na política gerada no nível 1 – estratégico e que, a partir desta, são geradas todas as outras políticas, tanto do nível 2 – tático, como do nível 3 – operacional. Dependendo de como a organização quer estruturar o documento da política, ela pode ser estruturada como uma política principal ou central de segurança da informação e ter alinhadas a ela as políticas complementares, ou pode, ainda, a partir da política principal, ter as diretrizes no nível 2 e as normas ou os procedimentos no nível 3. Não há uma regra sobre isto, quem define é o comitê gestor 35 de segurança da informação, de acordo com as necessidades da organização. Porém, independente do que o comitê gestor definir para estruturar o documento das políticas, é necessário, antes de iniciar o desenvolvimento de qualquer tipo de política (principal ou complementar), ou, ainda, política principal e diretrizes, normas ou procedimentos, entender todas as estratégias e regras de negócios da organização, analisar e utilizar todas as regulamentações, legislação e os contratos, como também compreender todos os perfis de ameaças à segurança da informação que ocorreram e poderão ocorrer na organização. A partir de executadas todas estas ações e estes procedimentos, o comitê gestor desenvolverá as políticas dentro das necessidades reais da organização e poderá garantir, eficientemente, a segurança das informações. Na Figura 1, é mostrado todo o ciclo de desenvolvimento de uma política de segurança da informação em uma organização, assim como os recursos humanos envolvidos. 36 Figura 1 – Ciclo de desenvolvimento de uma política de segurança da informação em uma organização Fonte: Elaborada pela autora. Referências bibliográficas AGUILERA, F. E. Padrões, normas e política de segurança da informação. São Paulo: Senac, 2019. 37 FONTES, E. Políticas e normas para a segurança da informação. Rio de Janeiro: Brasport, 2012. PARA SABER MAIS Uma pesquisa divulgada no primeiro bimestre de 2020 pela Identity Defined Security Alliance (IDSA), uma aliança que tem por objetivo fornecer orientações para que as empresas estabeleçam o gerenciamento seguro de identidades como fator principal de suas estratégias de segurança da informação, apontou que 79% das organizações sofreram uma violação de segurança associada à identidade nos dois últimos anos. Este resultado faz parte do estudo denominado Segurança de identidade: um trabalho em andamento, que teve por objetivo identificar tendências em segurança relacionada à identidade e verificar como as empresas estão procedendo para reduzir os riscos de uma violação. Os pesquisadores de segurança da IDSA constataram que violações relacionadas à identidade são tão comuns quanto spyware ou ataques DDoS. Eles descobriram também que 94% das organizações já sofreram esse tipo específico de invasão em algum momento e 79% das violações ocorreram nos dois últimos anos. Outro dado descoberto pelos pesquisadores foi que 99% dos entrevistados acreditam que a violação sofrida era evitável, porém, menos da metade implementou totalmente os principais recursos de segurança relacionados à identidade. Outra informação importante é que 66% dos entrevistados identificaram o phishing como a causa mais comum das violações relacionadas à identidade. O phishing consiste em um tipo de roubo de identidade on-line, é caracterizado por tentativas de 38 adquirir ilicitamente dados pessoais de outra pessoa, sejam senhas, dados financeiros, bancários, números de cartões de crédito ou simplesmente dados pessoais. E algo realmente a ser considerado é que os resultados sugerem que o treinamento em segurança da informação pode reduzir o risco de uma violação. Houve ainda mais resultados marcantes sobre a redução dos riscos de violação que eles indicaram, em que o phishingrepresenta um desafio significativo para os líderes de segurança, pois, de todas as empresas que tiveram a segurança violada, 71% disseram que o ataque poderia ter sido evitado com um melhor treinamento e conscientização sobre segurança. O estudo mostra, ainda, um vínculo entre as atitudes tomadas pelas organizações em relação à segurança da informação e a ocorrência de uma violação. Eles concluíram que apenas 34% das empresas com uma cultura de segurança, revisões em suas políticas e atualizações adequadas (chamadas de empresas proativas) tiveram somente uma violação relacionada à identidade no passado; isto comparando com os 59% das empresas que adotam uma cultura de segurança reativa. Ou seja, as organizações reativas trabalham com resolver o problema de violação após ele ter ocorrido, e não na sua prevenção. Uma importante disparidade entre as empresas reativas e proativas foi o impacto causado por uma violação. As empresas proativas experimentaram violações similares sobre o phishing, porém com menos credenciais roubadas (34% x 42%), credenciais privilegiadas comprometidas (27% x 32%), privilégios gerenciados inadequadamente (35% x 40%) e senhas de engenharia social (32% x 41%). A conclusão final dos pesquisadores de segurança da IDSA consiste em que as organizações poderiam fazer mais para evitar futuras violações. As empresas precisam investir em especialistas de segurança da informação e realizar treinamento e atualização 39 constantes com seus colaboradores, assim como, também, atualizar as políticas de segurança da informação. Não há dúvida de que, com um crescimento explosivo de identidades nos últimos cinco anos e o que ainda está por vir, as organizações estão mudando as estratégias para proteger seu vetor de ataque mais vulnerável com algum sucesso. Porém existe muito trabalho a ser realizado. Referências bibliográficas ANRODRIGUES13. Violações de identidade atingem 79% das empresas. Security Information News, 22 maio 2020. Disponível em: https://securityinformationnews.com/ 2020/05/22/violacoes- de-identidade-atingem-79-das-empresas/. Acesso em: 26 jul. 2020. SMITH, J. The state of identity: with explosive identity growth, organizational disconnects creating security risk. Identity Defined Security Alliance (IDSA), USA, 9 dez. 2019. Disponível em: https:// www.idsalliance.org/blog/2019/12/09/the-state-of-identity-with- explosive-identity-growth-organizational-disconnects-creating- security-risk/. Acesso em: 26 jul. 2020. TEORIA EM PRÁTICA Um profissional de segurança da informação acabou de integrar a equipe de segurança da informação da organização em que ele foi contratado recentemente como assistente de segurança da informação. Porém, este profissional não tem muita experiência prática, terminou a especialização sobre segurança da informação recentemente e realmente tem muito conhecimento teórico. O gestor de segurança da informação solicitou que o assistente 40 faça parte da equipe do comitê de segurança da informação para servir como auxiliar na redação do documento da política de segurança da informação e também disse que irá indicá- lo para fazer a classificação da informação como proprietário da informação, na política de segurança da informação da organização. Reflita sobre os limites do trabalho do assistente de segurança recém-contratado, ou seja, aquilo que ele pode ou não assumir para não comprometer a qualidade do trabalho para o qual foi contratado. Como você responderia à solicitação do seu chefe imediato (com muitos anos de experiência) para que fosse o redator do documento da política de segurança da informação da organização? Qual seria sua decisão se ele também lhe pedisse que fizesse a classificação da informação na política de segurança da organização? Para conhecer a resolução comentada proposta pelo professor, acesse a videoaula deste Teoria em Prática no ambiente de aprendizagem. LEITURA FUNDAMENTAL Indicação 1 Colocar em prática o desenvolvimento de uma política de segurança da informação por meio de etapas estruturadas e exercícios práticos é foco deste capítulo. Para realizar a leitura, acesse a plataforma Biblioteca Senac, na Biblioteca Virtual da Kroton, e busque pelo título da obra. Indicações de leitura 41 AGUILERA, F. E. Padrões, normas e política de segurança da informação. São Paulo: Senac, 2019. Cap. 6, p. 95-103. Indicação 2 As principais etapas e os modelos para políticas de segurança da informação no nível estratégico, tático e operacional são focos deste capítulo. Para realizar a leitura, acesse a plataforma Biblioteca Virtual 3.0_ Pearson, na Biblioteca Virtual da Kroton, e busque pelo título da obra. FONTES, E. Políticas e normas para a segurança da informação. Rio de Janeiro: Brasport, 2012. Cap. 13, p. 103-205. QUIZ Prezado aluno, as questões do Quiz têm como propósito a verificação de leitura dos itens Direto ao Ponto, Para Saber Mais, Teoria em Prática e Leitura Fundamental, presentes neste Aprendizagem em Foco. Para as avaliações virtuais e presenciais, as questões serão elaboradas a partir de todos os itens do Aprendizagem em Foco e dos slides usados para a gravação das videoaulas, além de questões de interpretação com embasamento no cabeçalho da questão. 42 1. Segundo a pesquisa recente da Identity Defined Security Alliance (IDSA), uma solução para a redução dos riscos de violação da segurança da informação nas organizações é: a. Treinamento e conscientização sobre segurança da informação. b. Empresas serem mais proativas em ações de controle lógico em segurança da informação. c. Mudança da cultura organizacional com relação à segurança da informação. d. Política de mudança de senhas em períodos curtos de tempo. e. Empresas precisam ser mais reativas em ataques de segurança da informação. 2. O comitê gestor de segurança da informação na organização é responsável: a. Por realizar os descartes das informações desnecessárias. b. Por trabalhar em conjunto com o departamento jurídico da organização. c. Pelo órgão que irá desenvolver as políticas de segurança da informação. d. Pelo departamento que treina os profissionais de segurança da informação. e. Pelo órgão que executa as sanções de quebra de sigilo da segurança da informação. 43 GABARITO Questão 1 - Resposta A Resolução: A pesquisa aponta que os usuários não estão sabendo lidar com o phishing (roubo de dados pessoais on-line) e um maior treinamento e conscientização é uma solução adequada. Questão 2 - Resposta C Resolução: É o comitê que desenvolve todas as políticas de segurança da informação na organização e deve ser composto por representantes de vários departamentos, tais como: jurídico, recursos humanos, TI, financeiro, etc. BONS ESTUDOS! Apresentação da disciplina Introdução TEMA 1 Direto ao ponto Para saber mais Teoria em prática Leitura fundamental Quiz Gabarito TEMA 2 Direto ao ponto TEMA 3 Direto ao ponto TEMA 4 Direto ao ponto Botão TEMA 5: TEMA 2: Botão 158: Botão TEMA4: Inicio 2: Botão TEMA 6: TEMA 3: Botão 159: Botão TEMA5: Inicio 3: Botão TEMA 7: TEMA 4: Botão 160: Botão TEMA6: Inicio 4: Botão TEMA 8: TEMA 5: Botão 161: Botão TEMA7: Inicio 5:
Compartilhar