Segurança da Informação Aplicada à Banco de Dados

Prévia do material em texto

Informações corporativas, a evolução do ambiente computacional englobando o ciclo de vida da informação.
Apresentar o conceito de segurança aplicado à informação corporativa, mostrando os motivos que justificam sua necessidade, além de explicar os conceitos de dados e informações e a necessidade de protegê-los durante o seu ciclo de vida. Conceituar a sigla CIDAL dentro do contexto de Segurança da Informação.
NESTE TÓPICO
NESTE TÓPICO
 Informações corporativas e a segurança da informação
 As corporações
 Reações pessoais aos procedimentos de segurança
 Referências
Marcar
tópico
   
  
No início, as distâncias geográficas limitavam as atividades das organizações, porém, com o advento das redes de computadores essa barreira ficou para trás. A globalização formou as empresas intercontinentais e, com o advento das redes de computadores, a distância entre elas ficou a um click de um mouse.
A possibilidade de as empresas manipularem suas informações de forma cada vez mais rápida e organizada fez com que nesses últimos anos houvesse um aumento significativo na eficiência em seus processos internos. Com isso, aumentou-se o poder da tomada de decisão.
Em razão dessa dependência com relação à informação, ficou clara a necessidade de a empresa ter de implementar controles para garantir a sua sobrevivência e a sua competitividade.
Quando a informação ainda não estava no meio digital, os mecanismos utilizados para protegê-la eram muitos mais simples, pois bastava um armário com chaves e uma porta, e tudo já estava resolvido. Dessa forma, só teria acesso à informação as pessoas que possuíssem a chave da porta e do armário. Hoje em dia, em virtude de a maior parte das informações estar em meio digital, e praticamente ser invisível, fica difícil aplicar todos os controles necessários para protegê-la de todas as ameaças existentes.
A portabilidade que a informação conseguiu com o advento dos equipamentos móveis fez com que as fronteiras das organizações ficassem muito além do limite físico, que era sem dúvida muito mais fácil de gerenciar e controlar.
Podemos definir dados como todos os bits e bytes que o computador irá manipular durante a sua atividade. Quando esses dados estiverem manipulados e organizados de uma forma que possam ser interpretados por pessoas, teremos ai a famosa informação.
A informação seria então a interpretação humana que se tem a respeito de um determinado dado, pois, se alguém não consegue interpretar uma determinada informação, automaticamente ela se transforma em um dado, afinal não terá nenhum sentido e não poderá ser utilizada de uma forma satisfatória. Podemos também dizer que são os dados configurados de uma maneira adequada ao entendimento e à utilização pelo ser humano.
Dentro de uma empresa existem milhares de dados e informações que diariamente são manipulados pelos profissionais para que possam realizar suas atividades.
Uma tarefa árdua será implementar controles que possam permitir que as pessoas trabalhem com esses dados e informações de forma segura e ao mesmo tempo não causem impactos nas realizações de suas tarefas.
Informações corporativas e a segurança da informação
Quando um caminhoneiro sai para fazer uma viagem distante da sua base padrão, ele sempre observa alguns itens prioritários para que sua viagem possa ser realizada de forma segura e tranquila.
Em algumas grandes organizações, existem as pessoas que são responsáveis por tomar conta da frota e deixar os equipamentos que serão utilizados pelos seus motoristas em perfeitas condições. Para isso, fazem uma série de manutenções preventivas e checagem baseadas em checklists, verificando se os principais componentes estão em bom funcionamento.
Esse caminhão passa por uma série de verificações, como: nível do combustível, pressão dos pneus, equipamentos de emergência, nível do óleo, condição dos motores, acionamentos elétricos e mecânicos.
Quando o motorista recebe o seu equipamento para o transporte, mesmo sabendo que já foi feita previamente uma vistoria por parte da equipe de apoio, ele verifica o seu freio, nível de gasolina, espelhos, cintos e outros que necessitam funcionar.
Essas ações realizadas por todos esses envolvidos são chamadas de providência da segurança, em que são checados os principais itens para que a pessoa se sinta segura e consiga realizar sua atividade tranquilamente.
Com base nesse cenário, podemos verificar que a segurança muitas vezes é vista como um sentimento (isso mesmo), as pessoas precisam se sentir seguras para que possam realizar as suas atividades.
Uma pessoa só cuida ou só toma conta de algo que, direta ou indiretamente, tenha algum significado para ela, e caso ocorra alguma situação de perda, ela sofre grande impacto.
Será que o mesmo cuidado existe com as informações corporativas que circulam nas redes das empresas? Da mesma forma, os funcionários das organizações deveriam estar conscientes e preparados para aplicar todos os cuidados necessários com relação à segurança.
Antigamente as empresas agiam de forma corretiva, ou seja, esperavam primeiramente o problema acontecer e a partir daí saiam apagando os incêndios. Felizmente, depois dos acontecimentos de 11 de setembro de 2001, em que ocorreram os ataques terroristas nos Estados Unidos da América, o comportamento em relação à segurança mudou.
As corporações
Os procedimentos de segurança aplicam-se a qualquer tipo de organização que utilize a tecnologia da informação para gerenciar parcial ou totalmente suas atividades, podendo ela ser:
· Uma empresa simples com um ou alguns microcomputadores sem estarem conectados entre si;
· Uma empresa de qualquer porte, com computadores interligados em rede e às vezes com acesso à internet ou parceiros de negócios;
· Um ambiente corporativo em que vários departamentos se interligam entre si e com o mundo, por meio de tecnologias e infraestrutura de redes;
· Um ambiente cooperativo onde a empresa interliga seus departamentos com seus parceiros (fornecedores, clientes, logística, revendas etc.).
Com o passar dos anos, ocorreu uma profunda transformação na realidade da utilização dos computadores dentro das organizações.
No principio, os computadores eram isolados e manipulavam os dados de forma individual e em computadores que naquela época eram conhecidos como de grande porte. O acesso a esses computadores era segregado e somente o pessoal técnico e qualificado conseguia entender o que se passava com aquelas gigantescas máquinas. Durante esse período a necessidade de segurança era apenas manter os curiosos longe desses ambientes, de forma a não causar nenhum problema físico por causa do acesso ou manipulação indevida. Dessa forma, a necessidade de segurança resumia-se apenas a colocar uma porta com chaves e todo o problema estaria resolvido.
Com o desenvolvimento tecnológico, os computadores foram diminuindo de tamanho e a sua utilização passou a ser feita por pessoas normais e que necessitavam dessas máquinas para realizarem as suas atividades diárias. As empresas começaram a utilizá-lo em larga escala e em conjunto com os computadores de grande porte (mainframes). Nesse cenário aumentaram-se as necessidades de segurança, pois, além de proteger os dados que anteriormente estavam centralizados nos computadores de grande porte, necessitavam agora proteger os dados e as informações que se encontravam dentro dos equipamentos dos usuários. Essa proteção era voltada a evitar o uso indevido ou até mesmo a destruição.
Como em um passe de mágica, os computadores começaram a se conectar entre si, possibilitando que as organizações pudessem compartilhar informações em tempo real e aumentando a capacidade produtiva e de geração de negócios.
Novamente, com a transformação do cenário dentro das organizações, ocorreu a necessidade de se pensar na segurança, mas dessa vez o que estava em jogo era o "negócio" da organização. Assim, o cenário mudou e a necessidade de segurança passou a ser deixar as informações sempre disponíveis para que as pessoas pudessem acessar e realizar as suas atividades a qualquertempo e lugar. Além disso, o acesso a esses dados e informações deveria ser permitido apenas para os próprios donos, responsáveis pela informação, de forma que as pessoas que não tivessem essa autorização não pudessem acessar, mantendo assim a sua confidencialidade.
Como a maioria das transações que eram realizadas pelos computadores começaram a envolver dinheiro ou informações confidenciais, secretas e privadas, houve a necessidade de que fossem implementados controles para que elas não pudessem ser acessadas ou alteradas sem o consentimento das partes que estavam envolvidas. Os controles implementados deveriam garantir que as informações não tivessem sido alteradas durante os processos de comunicação dos equipamentos eletrônicos.
Em uma velocidade inacreditável foram acontecendo fatos marcantes na Tecnologia da Informação, que causaram grande impacto nas relações interpessoais, bem como nas relações das pessoas com as organizações. Novas ferramentas de comunicação, utilizando como meio a internet, vieram para facilitar as atividades das organizações e aumentar a sua produtividade.
As redes sociais invadiram as organizações e, além de benefícios, trouxeram grandes preocupações para os profissionais que tinham como função implementar os controles de segurança de forma que a organização não tivesse seus dados ou informações comprometidas.
Aliado ao desenvolvimento da tecnologia ocorreu o barateamento dos equipamentos de informática, o que permitiu que muitas pessoas tivessem acesso à tecnologia. O computador, assim como outros equipamentos, por exemplo, celular, Palm, Notebook, Tablet, viraram ferramentas de trabalho e passaram a estar presentes nas mesas dos trabalhadores.
As informações que antes estavam armazenadas em papéis e guardadas em armários de forma segura estão agora armazenadas em meios eletrônicos e distribuídas em várias partes da organização e, o que é pior, como uma maior insegurança "invisível".
As empresas estão cada vez mais conectadas e hoje o número de empresas que não possui um equipamento eletrônico utilizado para manipular suas informações é muito reduzido.
Reações pessoais aos procedimentos de segurança
A necessidade de adoção de procedimentos e mecanismos de segurança nas organizações provoca uma série de reações próprias do comportamento humano, pois algumas pessoas aceitam os controles que devem ser implementados e sabem que eles são necessários para que tenham maior segurança, mas a maioria das pessoas não gosta das restrições impostas pelos controles de segurança, pois muitas vezes eles interferem na liberdade de fazer algo a que já estavam acostumados. A implantação dos controles acarreta em uma demora a mais para a realização de algo que às vezes era realizado com um esforço menor. Basta ver o exemplo de uma pessoa que não necessitava de uma porta para entrar na sua residência e, em razão de um assalto, teve de colocar um portão com uma fechadura tetra na entrada da sua casa. Logo em seguida, teve de colocar um alarme digital que permitiria a passagem para o segundo nível da sua casa e depois a instalação de algumas câmeras e sensores de presença que, ao menor sinal de problema, disparariam e emitiriam um sinal sonoro.
Apenas nesse exemplo a pessoa teria que perder um determinado tempo para passar por todos esses controles até chegar à sala da sua casa, acarretando em uma inconveniente perda de tempo, além de ter que carregar chaves, lembrar-se da uma senha, não andar muito rápido para que o alarme tocasse.
A maioria das pessoas fica impaciente ao esperar por aprovação para entrar ou fazer algo em um determinado ambiente. Imagine isso quando uma pessoa tem que esperar para validar uma transação eletrônica que executará uma série de controles de segurança antes de efetivar a transação.
Talvez seja por isso que a maioria das pessoas não gosta muito dos controles de segurança, fato que pode justificar a imensa dificuldade que os profissionais de Segurança da informação encontram para implantar, com sucesso, técnicas e procedimentos que protejam as informações corporativas.
Quiz
Exercício Final
Informações corporativas, a evolução do ambiente computacional englobando o ciclo de vida da informação.
INICIAR 
Referências
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de Segurança da Informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2006.
NAKAMURA, Emílio Tissato; GEUS, Paulo. Lício de. Segurança de redes em ambientes cooperativos. São Paulo: Berkeley, 2002.
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003.
Normas nacionais e internacionais de segurança da informação
Nesta aula serão abordados os principais aspectos envolvidos em Segurança e a história dos padrões e normas de Segurança da Informação que foram criados ao longo dos anos. Além disso, serão apresentadas algumas entidades nacionais e internacionais reconhecidamente aceitas como emissoras ou gestoras dessas normas.
NESTE TÓPICO
NESTE TÓPICO
 Normas de segurança em tecnologia da informação
 As normas
 Instituições padronizadoras reconhecidas
 Outras normas
 Referências
Marcar
tópico
   
  
A preocupação com relação à segurança de computadores não é um assunto novo, pois, desde a implantação dos sistemas operacionais de rede, houve a necessidade de colocar controles para saber o que estava sendo realizado por um determinado usuário ou aplicação do sistema.
Esse processo de segurança foi ao longo dos tempos tomando forma e implementando os controles necessários de acordo com as situações que iam acontecendo no cenário mundial das organizações.
Como informado na aula anterior, os ataques do dia 11 de setembro de 2001 mudaram de forma marcante a percepção das empresas com relação ao assunto segurança da informação, pois, após os ataques, deixaram de existir, não pelo fato de terem perdido os seus funcionários e suas instalações físicas, mas, sim, por não terem acesso a um ativo que naquele tempo não se tinha tanto controle, ou seja, a "informação".
Também nessa época a maioria dos incidentes de segurança era ocasionada por problemas relacionados a falhas da infraestrutura computacional e por isso muitos investimentos foram feitos buscando equilibrar essa dificuldade, e as organizações tinham de proteger os seus ativos físicos de TI. Não existiam equipes próprias para lidar com o assunto segurança da informação e por isso houve também a necessidade de treinamento dos funcionários nesse segmento.
Como um jogo de gato e rato, depois que as empresas resolveram os seus problemas com a infraestrutura, os problema de segurança migraram para os sistemas e aplicativos, que sofreram diversas técnicas sofisticadas de ataques e utilização de programas espiões, além de pichação de páginas de sites, roubo, alteração e manipulação indevida de dados da organização.
Nesse período também ficaram em evidência termos como: criptografia, autenticação, segregação de função, auditoria além da necessidade de segurança para os usuários e para os sistemas das organizações.
Normas de segurança em tecnologia da informação
O rápido crescimento das redes de computadores, e também da sua dependência, ocasionou uma grande preocupação para as empresas, pois elas sentiram a necessidade de administrar/organizar as informações que trafegavam por meio das suas redes, bem como mantê-las em segurança.
Em um passado recente não existiam normas, nem padrões preestabelecidos que orientassem os procedimentos de segurança da informação dentro das corporações, porém esse cenário mudou muito nos últimos anos.
Com o surgimento de incidentes de segurança, foram criados ao redor do mundo vários procedimentos e normas para ajudar as empresas a proteger suas informações contra acessos indevidos e fraudulentos.
As normas
Uma norma pode ser vista como um documento que deve ser elaborado, aprovado e estabelecido por consenso por meio de uma autoridade reconhecida da organização, e pode ser utilizada para definir regras e padrões que servirãocomo um instrumento de controle na realização de alguma atividade de uso comum e repetitivo em certa situação.
As normas de segurança da informação foram criadas para fornecer as melhores práticas, diretrizes e princípios gerais para a implementação da gestão da segurança informação para qualquer organização.
Instituições padronizadoras reconhecidas
No mundo, existem algumas instituições nacionais e internacionais, reconhecidas como idôneas, que possuem a função básica de elaborar padrões e também de serem responsáveis pela edição, publicação e revisão das normas técnicas que serão seguidas por diversas áreas das organizações. Dentre essas organizações, podemos citar:
· ISO – International  Standardization Organization.
· IEC – International  Electrotechnical Comission.
· ABNT – Associação Brasileira de Normas Técnicas.
Logo no inicio, quando os computadores começaram a se conectar em redes, o controle de acesso físico era a principal preocupação das organizações. No Brasil, as primeiras orientações quanto à segurança física em informática foram definidas pelas normas técnicas NBRs.
· NBR 1333, de 12/1990 – Controle de acesso físico a CPDs (Centro de Processamento de Dados).
· NBR 1334, de 12/1990 – Critérios de segurança física para armazenamento de dados.
· NBR 1335, de 07/1991 – Segurança física de microcomputadores e terminais em estações de trabalho.
· NBR 10842 – Equipamentos para tecnologia da informação e requisitos de segurança.
A seguir, vamos apresentar um breve histórico do surgimento das normas de segurança da informação ao redor do mundo.
Por volta do ano de 1967 nasceu nos Estados Unidos o primeiro esforço para tentar solucionar o problema da segurança em computadores, por meio da criação de uma "força tarefa" dentro do Departamento de Defesa (DoD – Department of Defense), que criou um documento intitulado "Security Control for Computer System".
Nesse mesmo momento foi criado um conjunto de regras que deveria ser utilizado nos processos que ajudariam os órgãos a efetuar a classificação dos sistemas operacionais como seguros ou não.
Esse conjunto de regras ficou conhecido informalmente como The Orange Book (O Livro Laranja), por causa da cor da capa que foi utilizada para o documento que continha essas regras.
Os níveis de segurança utilizados nesse livro seriam utilizados para avaliar e classificar o grau de proteção que seria utilizado nos hardware, software e informações armazenadas nos sistemas de computadores.
Em seguida foi feita uma adaptação d?O Livro Laranja para poder englobar os aspectos de segurança relacionados não apenas aos computadores, mas também às redes de computadores.
Como esse documento foi escrito em outro documento que tinha a capa da cor vermelha, ele ficou conhecido como Red book.
Por volta do ano de 1989, o Departamento de Comércio e Indústria do Reino Unido criou um centro de segurança de informações cuja tarefa seria criar uma norma de segurança para o Reino Unido. Vários documentos preliminares foram publicados, até que, em 1995, surgiu a BS7799 (British Standard 7799).
Em virtude da sua complexidade e necessidade de segmentar os seus dois principais focos, esse documento foi dividido em duas partes designadas (BS7799-1 e BS7799-2):
A BS7799-1 – É a primeira parte da norma e foi feita como um documento de referência para implementar "boas práticas" para a segurança da informação.
A BS7799-2 – Segunda parte da norma, tinha como objetivo proporcionar uma base para a criação de um sistema de gestão da segurança da informação dentro das empresas.
Pelo fato de até aquele momento não existirem outros documentos que abordassem de forma estruturada esse tipo de assunto, esses documentos começaram a ser utilizados ao redor do mundo por diversas empresas que quisessem iniciar algumas ações relacionadas ao assunto Segurança da Informação. No entanto, como tinha diversos itens específicos e voltados ao país de origem, foi necessário que fosse modificado para a utilização de forma mundial.
A ISO/IEC 17799:2000 é a versão internacional da BS7799, homologada pela ISO (International Standardization Organization).
A NBR ISO/IEC 17799:2001 é a versão brasileira resultante da "tradução" da norma ISO, homologada pela ABNT em setembro de 2001, sendo que, em 2005, por conta do dinamismo da área de segurança, teve de sofrer uma série de revisões e tornou-se NBR ISO/IEC 17799:2005, publicada pela ABNT em agosto de 2005.
Outras normas
O processo de globalização, bem como a ocorrência de grandes fraudes financeiras em vários países, provocaram o surgimento de leis, normas, acordos e outras providências contábeis e financeiras que buscaram garantir a segurança de todos os envolvidos, entre os quais podemos citar:
LEI SARBANNES-OXLEY (SOX – SARBOX) – Legislação criada após os problemas apresentados nas contabilidades das empresas Enron e WorldCom, entre outras, e que afetava as empresas de comércio público dos Estados Unidos.
Tinha como objetivo dar transparência na divulgação das informações, assegurar a prestação de contas e tratar de forma justa e imparcial as partes interessadas.
BASEL II ACCORD (BASILEIA II) – Fornece uma diretriz para o cálculo de riscos (de crédito, do mercado e operacionais) de um banco e visa deixar mais eficiente os esforços de um banco para o gerenciamento dos seus riscos; no entanto, para conseguir isso é importante implantar com sucesso um programa de proteção das informações.
O PCI (PAYMENT CARD INDUSTRY) – Define um padrão para o manuseio de dados de pagamentos para todos os comerciantes e fornecedores de serviços que lidam com armazenamento, transmissão ou processamento de dados de cartões de crédito. Em caso de falha no cumprimento dos requerimentos do programa PCI ou na correção das vulnerabilidades existentes, pode resultar em uma série de dores de cabeça para a organização.
A ISO 15408 – Foi criada e direcionada para a segurança lógica das aplicações, bem como possui o foco principal no desenvolvimento de aplicações seguras. A ISO15408 define um método para avaliação da segurança de ambientes de desenvolvimento de sistemas.
ISO 27000 – Visando reunir as diversas normas existentes de segurança da informação, a ISO criou a série 27000, com normas específicas.
A norma ISO 27001:2005 é a norma BS7799-2:2002 revisada, com melhorias e adaptações, contemplando o ciclo de melhorias continua. As mudanças mais relevantes ocorreram na estrutura do sistema de gestão de segurança da informação (SGSI), quando foram destacados os aspectos de auditoria interna e indicadores de desempenho do sistema de gestão de segurança. Para facilitar e organizar o entendimento, essa norma foi subdividida em outras.
· ISO 27002 – Trata-se do padrão que irá substituir a ISO 17799:2005.
· ISO 27003 – Trata-se do novo padrão que abordará a gestão de risco.
· ISO 27004 – Trata-se do padrão que abordará os mecanismos de mediação e relatórios para um sistema de gestão de segurança da informação (SGSI).
· ISO 27005 – Aborda itens e conceitos relacionados à implantação, monitorização e melhoria contínua do sistema de controles.
· ISO 27006 – Está relacionada a itens que tratarão da recuperação e continuidade de negócio das organizações.
Além das normas citadas anteriormente, outras normas e padrões não tão específicos para a área de segurança de computadores indiretamente acabam ajudando nos processos internos que estavam sendo criados para garantir a segurança da informação, pois possuíam dentro dos seus escopos itens relacionados à segurança. Dentre eles podemos citar:
O ITIL (Information Technology Infrastructure Library) – È o modelo de referência para gerenciamento de processos de TI mais aceito mundialmente. Atualmente se tornou a norma BS-15000, sendo esta um anexo da ISO 9000:2000. Dentro dele existem itens específicos que abordam o assunto da Segurança da Informação, principalmente em planos de continuidade de negócios;
O COBIT (Control Objectives for Information and Related Technology) – É um guia de boas práticas apresentado como framework e mapas de auditoria, e umconjunto de ferramentas de implementação, bem como um guia com técnicas de gerenciamento.
A BS 25999-2 – É uma norma britânica criada em 2007 e tem como foco principal representar uma norma de gestão de continuidade de negócios. Define um sistema de gestão de continuidade de negócios que contém as fases de gestão (planejamento, implementação, análise e monitoramento), bem como a melhoria contínua.
A ISO 31000 (Gestão de Riscos) – Nova norma que foi criada para tratar de assuntos relacionados à gestão de riscos.
Para terminar, podemos afirmar que a evolução da Segurança da Informação acontece de forma constante, sendo assim, as normas, as leis e as regulamentações ligadas a essa área sempre estarão em processo de desenvolvimento, pois todos os dias novas vulnerabilidades e problemas de segurança são descobertos e há a necessidade da elaboração de novos procedimentos e mecanismos para poder combatê-los.
Quiz
Exercício
Normas nacionais e internacionais de segurança da informação
INICIAR 
Referências
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de Segurança da Informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de Serviços de TI na Prática: uma abordagem com base na ITIL. São Paulo: Novatec, 2007.
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003.
WADLOW, Thomas A. Segurança de Redes: projeto e gerenciamento de redes seguras. Rio de Janeiro: Campus, 2001.
Análise de risco - ativos, vulnerabilidades e impactos
Conceituar a análise de risco e os principais termos relacionados com o assunto e que são necessários para o entendimento do processo de Analise de Risco como um todo.
NESTE TÓPICO
NESTE TÓPICO
 Processo de análise de risco
 Referências
Marcar
tópico
   
  
Em virtude de a informação ser o principal ativo das organizações, estas começaram a implementar uma série de medidas e controles internos que as ajudassem a proteger essas informações contra acessos indevidos, geralmente praticados por pessoas sem autorização.
Diversas tecnologias foram aplicadas buscando identificar possíveis acessos não autorizados ou alteração de dados de forma fraudulenta.
A quantidade de computadores e o volume de informações manipuladas todos os dias são de difícil mensuração e, aliado a isso, temos dentro das empresas uma quantidade infinita de processos que interagem entre si para que as atividades empresariais consigam ser realizadas. A quantidade de ameaças e o custo da implantação dessas defesas eram muito grandes, pois a ideia no início era a implantação da segurança 100%.
Como não existe segurança 100%, ou seja, proteger tudo contra todos, foi dessa forma criado um grande impasse para as empresas, uma vez que as variáveis de segurança e insegurança mudavam constantemente, bem como os ativos de informação.
Dessa forma as empresas começaram a sentir a necessidade de identificar a quantidade de seus ativos, em que podemos entender como "ativo" qualquer coisa que tenha algum valor para a organização e da qual ela necessite para realizar alguma atividade de seu processo empresarial.
Podemos citar como um ativo os elementos a seguir:
· Equipamentos (computadores, monitores, laptops, modems);
· Equipamentos de comunicação (roteadores, PABX, Access Point, Switches);
· Mídias magnéticas (fitas e discos);
· Equipamento de proteção de energia (Nobreaks, ar-condicionado);
· Servidores de rede (banco de dados, correio eletrônico, internet);
· Mobília e acomodações;
· Infraestrutura do ambiente computacional;
· Serviços de redes;
· Telefones celulares;
· Mídia removível (fitas, disquetes, CD-ROM, DVDs);
· Senhas de funcionários;
· Relatórios de crédito de consumo do cliente;
· Registros médicos do cliente;
· Dados de contatos de negócios dos funcionários;
· Dados de contrato de parceiros
· Etc.
Alguns dos ativos relacionados anteriormente poderiam ser importantes para um processo empresarial. Entenda-se como processo empresarial o conjunto de atividades/tarefas que uma determinada área de uma empresa tem que executar diariamente ou não para atender ou produzir algum serviço que é esperado pela empresa.
Depois da identificação desses ativos, é preciso definir a sua importância, iniciar o processo de verificar os seus pontos fracos e então definir controles de segurança que deveriam ser implantados.
Muitas vezes, para que a organização possa tomar essa atitude, é necessário que seja feita uma atividade conhecida como análise de risco, que terá como função indicar em que ocasião certo contexto pode ou não ser aceito por uma organização.
Quando não se conhece o que deve ser protegido e contra o que deve ser implementada a proteção, fica impossível implementar a medida de segurança correta e por isso podemos afirmar que "não há possibilidade de se proteger de algo que não se conheça". Na medida em que são identificados os ativos a serem protegidos e os seus possíveis agressores, fica mais fácil a implementação dos controles necessários para que seja feita a proteção.
As organizações, na medida em que identificam e conhecem os seus riscos e as ameaças que as colocam em perigo, conseguem planejar as ações necessárias para a elaboração das políticas de segurança e os procedimentos que poderão ajudá-las na redução dos seus riscos.
Após a realização de uma análise de custo-benefício, a organização poderá tomar qualquer medida que vise diminuir o seu grau de exposição diante de um determinado problema.
Dependendo do custo, se ele for mais alto que o dano que a ameaça poderá causar, essa ameaça não merecerá ser combatida.
A análise de um determinado tipo de risco varia de pessoa para pessoa, assim como também nas organizações, cada uma enxerga o risco sob um determinado ponto de vista e é por isso que existem diversas formas, maneiras e mecanismos para que um risco possa ser avaliado.
Para que possamos tratar do assunto análise de risco, faz-se necessário que algumas palavras que são utilizadas nesse assunto sejam explicadas, pois a má interpretação delas termina por comprometer as ações de segurança a ser implementadas.
· Risco – Pode ser definido como um perigo ou possibilidade de que esse perigo ocorra. Também podemos dizer que é a probabilidade de acontecer ou não algo, pela exploração dos pontos fracos que um determinado ambiente possa ter, provocando assim possíveis problemas financeiros e impactos aos negócios da organização.
Risco é a probabilidade de que agentes, que são ameaças, explorem fragilidades, que são vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e disponibilidade, e causando impactos nos negócios. (...)Estes impactos são limitados por medidas de segurança que protegem os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo, assim,o risco.
((SÊMOLA, 2003, p. 55-56))
Essa é a importância de identificarmos possíveis riscos, poder antecipar os problemas e implementar controles que ajudarão a evitar a realização da situação de insegurança.
É difícil ter uma visão total de todos os aspectos que o risco afetará em um determinado processo, bem como visualizar todas as consequências que a sua incidência acarretará, uma vez que existe a variável probabilidade, que poderá aumentar ou diminuir o grau de incerteza.
Processo de análise de risco
Fica impossível fazer uma análise de risco sem que se conheça o negócio a ser protegido e, dessa forma, existe a necessidade de que sejam estudados minuciosamente os principais processos de negócio que sustentam a organização.
Com a visão dos processos de negócios consegue-se identificar as dependências que eles têm dos ativos que suportam as informações e com isso  identificam-se as prioridades das ações de segurança a serem realizadas.
Antes de continuar, sentimos novamente a necessidade de conceituar algumas palavravas que farão parte do nosso processo de análise de risco.
· Vulnerabilidade – Pode ser definida como o ponto em que o ativo poderásofrer um ataque ou ser explorado por parte de uma ameaça. Todo ativo possui seu ponto fraco que, se não for protegido, ficará exposto à ação de algo que possa comprometer a sua integridade e segurança.
· Ameaça – Pode ser definida como algo que possa resultar em um incidente inesperado e que também possa causar danos e prejuízos a uma organização quando explorar uma determinada vulnerabilidade de um ativo importante de um processo de negócio da organização.
Normalmente é difícil evitar a existência das ameaças, porém podem ser implementadas ações que visem à diminuição da sua existência, bem como a possibilidade de sua ação diante da vulnerabilidade de um ativo.
Podemos classificar os tipos de ameaças como: ameaças geradas pelos fenômenos da natureza, ameaça física, ameaça não intencional e ameaça proposital.
O primeiro tipo de ameaça está relacionado àquelas que envolvem fenômenos de natureza, como: chuva, fogo, furacão, terremoto, raio, tempestade, avalanche, desmoronamento.
As ameaças tipificadas como físicas envolvem um tipo de ação causada por um agente externo, por exemplo: desvio de mensagens; roubo físico de equipamentos; acidentes aéreo, terrestre, industrial ou marítimo; explosões e acidentes.
No tipo de ameaça não intencional, a situação ocorre sem que o envolvido geralmente saiba, em virtude de sua ignorância durante o momento em que a ameaça se concretiza, por exemplo: o não entendimento de um manual ou documentação; esquecimento de um micro destravado com informação sigilosa sendo exibida; documentos jogados nos lixo sem a devida proteção.
O pior tipo de ameaça é o último a ser explicado e está relacionado a uma ação de algo ou alguém contra uma vulnerabilidade existente de forma proposital, com fins claros de causar algum dano ao alvo.
Podemos citar como exemplos: roubo de arquivos, discos, fitas, listagens, cópia ou pirataria de dados, pessoas mal-intencionadas alterando informações dos sistemas desprotegidos. Geralmente esse tipo de ameaça está associado a uma ação física do atacante contra o seu alvo, por exemplo:
· Impactos – É o conceito utilizado para medir os efeitos, positivos ou negativos, que uma determinada atividade pode causar. Isso mesmo, existem situações em que um impacto pode ter efeito positivo, como o impacto de uma vitória aos últimos minutos do jogo de futebol para o time vencedor, que será o oposto do que é sentido pelo time que veio a perder e com certeza esse impacto será negativo no emocional desse grupo. Perdas financeiras, abalo na imagem, multas ou sanções, perda de investidores, prejuízo operacional, paradas no negócio da empresa, redução da margem de lucro etc. são alguns exemplos de impactos.
Para finalizar, é importante que tenhamos em mente as principais etapas do processo de análise de risco, que consiste em: entender/conhecer o escopo do projeto e dentro desse escopo identificar os principais ativos que suportam os processos de negócio. Identificar as principais vulnerabilidades dos ativos, bem como as ameaças que possam explorar os pontos fracos. Reconhecer os impactos ao negócio, caso o risco se concretize e determine a probabilidade da sua ocorrência.
 
Quiz
Exercício
Análise de risco - ativos, vulnerabilidades e impactos
INICIAR 
Referências
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de Segurança da Informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de Serviços de TI na Prática: uma abordagem com base na ITIL. São Paulo: Novatec, 2007.
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003.
Método GUT para análise de riscos
Apresentar as principais técnicas utilizadas pelos profissionais que têm como missão fazer a análise de risco dentro das organizações e priorizar as ações de segurança mediante o cenário encontrado. Dentre essas técnicas será mais bem detalhado o método GUT.
NESTE TÓPICO
NESTE TÓPICO
 Subjetividade
 Analisar quantitativamente
 Analisar qualitativamente
 Análise preliminar de perigos (APP)
 Análise preliminar de riscos (APR)
 Estudo de operabilidade de riscos (HAZOP)
 Análise de modos de falha e efeitos (AMFE)
 Análise de consequências e vulnerabilidade (ACV)
 Brainstorming (tempestade de ideias)
 Diagrama de causa e efeito de Ishikawa (espinha de peixe)
 Matriz de GUT
 Referências
Marcar
tópico
   
  
A análise de riscos tem por objetivo responder a uma série de perguntas necessárias para a identificação de possíveis riscos que uma situação de insegurança gera para um determinado processo ou para alguma atividade qualquer da empresa.
Podemos começar o nosso trabalho com perguntas, dentre as quais  poderíamos citar:
· O que pode acontecer de errado?
· Com que frequência isso pode acontecer?
· Quais as suas possíveis consequências?
· O que precisa ser feito para que se possa reduzir os riscos?
· Devo ou não aceitar esse risco?
· O que, como e onde devo priorizar as ações de segurança?
· O que, quando e como devo ignorar um incidente de segurança?
Fazer uma análise de risco às cegas significa se autoenganar, pois os problemas identificados não estarão de acordo com a realidade da empresa e não poderão ser validados quando forem questionados por parte de outras pessoas envolvidas no processo.
A seguir, será apresentado um resumo das principais técnicas que poderão auxiliar o profissional de segurança na realização de sua atividade de análise de risco.
Subjetividade
Neste tipo de cenário a análise de risco é feita por cenários e suposições, sem ter meios adequados para provar os valores, e as informações apresentadas por parte dos envolvidos são realmente verdadeiras e podem realmente ocorrer. Pelo fato de envolver o julgamento subjetivo em todos os estágios, dizemos que este tipo de análise não é preciso. Procura-se com esse tipo chegar a valores aproximados, de forma a auxiliar na tomada de decisões.
Analisar quantitativamente
Neste tipo de análise, procura-se quantificar, ou seja, calcular os valores para cada um dos itens coletados durante as fases da avaliação do risco. Nesse cenário eram observados os valores reais de cada ativo existente nos processos de negócios da organização, em termos do custo de substituição e também ligados à perda de produtividade.
Analisar qualitativamente
Este tipo de técnica de análise de risco procura utilizar critérios para estimar os impactos aos negócios, provocados pela exploração das vulnerabilidades dos ativos por parte de ameaças. Procura-se com esta técnica utilizar critérios e classificações que podem abranger ao mesmo tempo valores tangíveis (o que você consegue ver e tocar) e intangíveis (algo não fisico, como o abalo da imagem de uma organização).
Grande parte das empresas prefere esse tipo de técnica, pois acreditam que se consegue quantificar melhor os impactos que a empresa poderá sofrer por meio da exploração das suas vulnerabilidades.
Análise preliminar de perigos (APP)
É um tipo de técnica qualitativa que tem como objetivo a identificação dos possíveis cenários de acidentes que podem ocorrer em uma determinada instalação. É realizado um processo de classificação dos riscos de acordo com categorias predefinidas (de acordo com frequência de ocorrência e de severidade), sendo que ao final são propostas medidas para que haja a redução dos riscos.
Na realidade, este método é uma visão superficial dos problemas de segurança de um ambiente, que deve ser feito antes do início do projeto para que se consiga melhor economia no tempo da realização das demais fases da análise de risco.
Análise preliminar de riscos (APR)
Neste tipo de técnica o foco está em conseguir ter uma revisão geral dos riscos que estarão presentes nas fases operacionais dos projetos. Procura-se com esta técnica identificar os riscos e dessa forma fazer um processo de categorização deles.
Após esta fase priorizar as ações preventivas e/ou corretivas. Pretende-se também com esta técnica identificar os perigos e eventoscapazes de gerar consequências indesejáveis para o objeto analisado.
Estudo de operabilidade de riscos (HAZOP)
Tem por objetivo analisar os riscos específicos de uma planta de processo, bem como problemas operacionais que possam comprometer a produtividade projetada. Cria um conjunto de medidas que permite a redução/eliminação dos riscos identificados durante o processo da análise e também tem foco na diminuição de erros operacionais. Esta técnica exige a representação de vários pontos de vista, para que ocorra uma análise definitiva no final.
Análise de modos de falha e efeitos (AMFE)
Esta técnica de análise de risco procura encontrar os possíveis riscos examinando os efeitos da falha de cada um dos componentes de um sistema. Como resultado final, espera-se detectar e controlar os riscos oriundos de equipamentos e outros ativos do processo.
Análise de consequências e vulnerabilidade (ACV)
Após este breve resumo sobre o ciclo de vida da informação, você deverá repensar a relação das informações da empresa com as fases do ciclo de vida e a maneira como irão protegê-las em cada uma das fases.
Brainstorming (tempestade de ideias)
Na realidade não é uma técnica de análise de risco, mas, sim, uma maneira de ajudar participantes envolvidos no processo da análise a identificar novas situações que poderiam acontecer no cenário analisado e que poderiam ocorrer de forma despercebida. Trata-se de uma técnica utilizada para reuniões de grupo, que visa ajudar os envolvidos a vencer as suas limitações em termos de ideias e criatividade a respeito de um determinado assunto. As pessoas reunidas levantam todas as possíveis causas que poderão gerar um incidente de segurança e depois começam a trabalhar sobre as probabilidades de sua ocorrência. Neste tipo de técnica é muito importante que nenhuma ideia seja desperdiçada, por menor que seja. O único problema é o alto índice de subjetividade que ela pode gerar.
Diagrama de causa e efeito de Ishikawa (espinha de peixe)
Foi proposto por Ishikawa na década de 1960 e bastante utilizado em ambientes industriais, buscando localizar as causas de um problema. Tratava-se de uma ferramenta gráfica utilizada para explorar e representar opiniões sobre a causa de um problema. A ideia de utilizar esta técnica está na possibilidade da elucidação das causas (origem) de cada risco e, com isso, aplicar controles para que essas causas possam ser eliminadas e, assim, diminuir a possibilidade da concretização do risco.
Esse diagrama parte de um "problema" que é considerado o "efeito" e de todas as influências dele que são consideradas como as "causas". Com o efeito e as causas identificadas, as informações são colocadas no formato de uma espinha de peixe, o que facilita muito a visualização do cenário e com isso tem-se uma ideia de como o problema poderá ser resolvido e o que deve ser atacado para que o problema não ocorra.
Matriz de GUT
Diante do cenário complexo de uma análise de risco, muitos profissionais ficam com dúvidas de como escolher a melhor forma para priorizar as suas ações para a implementação das medidas de segurança. Hoje em dia existem no mercado diversas formas para que uma pessoa possa analisar o que deve ser resolvido primeiro.
Uma das ferramentas que pode ser utilizada para esse fim é conhecida como matriz de priorização.
A utilização da matriz de GUT também pode ser usada para resolver situações com esse tipo de cenário.
A técnica da matriz de GUT é bem simples e nela você inicia o processo listando todos os problemas (ou riscos) relacionados com o que você quer analisar. Em seguida, deve ser atribuída uma nota para cada um dos problemas, em três aspectos que abordarão a Gravidade do problema, a Urgência que deve ser analisada para resolver esse problema e a Tendência que vai ocorrer caso nada seja feito (daí o nome GUT).
A Gravidade é o impacto do problema sobre coisas, pessoas, resultados, processos ou empresa caso ele venha a acontecer.
A Urgência é a relação com o tempo disponível ou necessário para resolver o problema. Assim, quanto maior for a urgência, menor será o tempo disponível para resolver esse problema.
A Tendência é o potencial de crescimento do problema, ou seja, "Se o problema não for resolvido naquele momento, ele vai piorar pouco a pouco ou vai piorar rapidamente?".
A pontuação deverá ser de 1 a 5 para cada dimensão da matriz, permitindo dessa forma classificar em ordem decrescente os problemas a serem priorizados.
Após o lançamento em uma planilha fazem-se os cálculos multiplicando-se os valores de cada um desses aspectos (Gravidade, Urgência e Tendência). O resultado obtido nos ajudará a indicar as prioridades das ações.
Com os valores obtidos, recomenda-se que sejam organizados do maior para o menor, e os problemas que tiverem a maior prioridade serão os que devem ser tratados em um primeiro momento, justamente por serem os que têm maior Gravidade, Urgência e Tendência.
Na sequência, veja o exemplo de uma planilha a ser utilizada para o processo:
A seguir, um exemplo de uma matriz preenchida:
(*) Para todos esses itens deve ser detalhado o significado de cada uma das frases, a fim de que haja um parâmetro para a análise, de forma que o valor a ser atribuído não seja subjetivo, ou seja, não é exato, tornando-se apenas um palpite ou sentimento da pessoa que está fazendo a análise.
Esse tipo de análise pode ser feita de forma isolada ou em grupo, a fim de que se estabeleça a melhor priorização dos problemas.
No caso de uma atividade como esta ser feita em grupo, faz-se necessário criar parâmetros para cada um dos rótulos da análise, para unificar e melhorar o entendimento da análise e com isso obter respostas mais próximas da realidade, uma vez que cada pessoa tem sua própria experiência e entendimento quanto a uma determinada palavra.
Para exemplificar: a palavra "IMPORTANTE" pode ter significado diferente para duas pessoas, pois tiveram experiências diferentes em suas vidas e além de terem os seus próprios paradigmas.
A matriz GUT é uma das ferramentas mais utilizadas no gerenciamento de solução de problemas, uma vez que pode detectar os possíveis problemas e, a partir desse momento, priorizar as ações necessárias para tratá-los por meio da alocação de recursos nos tópicos considerados mais importantes.
Essa metodologia propiciará à empresa definir suas estratégias e políticas a serem estabelecidas a curto, médio e longo prazo, em busca dos seus objetivos primários.
 
Quiz
Exercício
Método GUT para análise de riscos
INICIAR 
Referências
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de Segurança da Informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de Serviços de TI na Prática: uma abordagem com base na ITIL. São Paulo: Novatec, 2007.
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003.
Planos, procedimentos e políticas de segurança da informação
Apresentar a necessidade da implementação da politica de segurança da informação, como ferramenta de apoio para que possam ser implementados os controles de segurança necessários para preservar os dados e informações da organização.
NESTE TÓPICO
NESTE TÓPICO
 Desafios para a implementação da segurança
 Política de segurança
 Etapas para o desenvolvimento de uma política de segurança da informação
 Levantamento de informações
 Desenvolvendo os conteúdos da política
 Formato do documento
 Sucesso e fracasso da implementação
 Referências
Marcar
tópico
   
  
Desafios para a implementação da segurança
Existem muitos desafios para que os profissionais alocados no processo de Gestão da Segurança da Informação possam implantar a segurança dentro das organizações.
Esses desafios estão ligados a diversos fatores de ordem cultural, administrativa, temporal, obtenção de verbas, gerenciamento de atividades e até mesmo a implantação de novas tecnologias. Dentre esses desafios, podemos citar:
· Ausência de responsáveisdireta e falta de orçamento – Por causa de algumas empresas não possuírem uma área especifica para tratar do assunto e a falta de orçamento, existe muita dificuldade de se implantar uma infraestrutura padronizada e robusta de segurança e que não impacte nas atividades diárias da empresa.
· Pessoas-chave no apoio – A falta de apoio da alta administração também pode ser considerada outra dificuldade, pois geralmente não se consegue obter comprometimento dela para que se possam ser implantadas as medidas previstas no plano de ação de segurança.
· Profissionais capacitados – Como em qualquer empresa, a falta de profissionais capacitados de forma adequada contribui também para impactar no desenvolvimento e implantação das ações de segurança nas empresas.
· Escopo muito abrangente – O tamanho do projeto de segurança acaba impactando também por causa dos seus altos custos de implementação e das medidas de proteção que, muitas vezes, podem comprometer a receita da empresa, sendo, dessa forma, não aceito por parte da alta administração.
· Definições de prioridade – Como o foco da empresa é o negócio e o assunto segurança não é a sua prioridade número um, constantemente os responsáveis pelas organizações vivem nesse dilema entre implementar o controle de segurança ou comprar uma nova máquina para a realização de uma atividade de uma área da empresa.
· Conscientização – A falta de conscientização do corpo executivo e de todos os funcionários da organização cria uma barreira quando os controles de segurança necessitam ser implementados, uma vez que eles representarão algum tipo de desconforto para os envolvidos.
· Organização da empresa – A inexistência de processos empresariais mapeados contribuirão para dificultar o processo da implementação da segurança, principalmente no momento de se identificar o que é mais importante para a sobrevivência da empresa na ocorrência de um possível problema.
Política de segurança
A ideia da palavra politica está relacionada à ação de colocar ordem em uma determinada situação por meio da implementação de um conjunto de leis, regras e práticas que ajudarão nas situações comuns à coexistência de ideias diferentes e quase sempre conflitantes, de forma que a empresa consiga gerenciar e proteger os seus ativos de informação.
Por trás da política existe sempre a intenção de orientar ou determinar as atitudes que se espera das pessoas que estão envolvidas sob o raio de ação dela. Como cada empresa tem os seus métodos, maneiras de agir, bem como recursos e conceitos próprios, não existe uma receita única que sirva como padrão para ser implementada, analisando-se as situações. Por isso, cabe a cada uma decidir qual deverá ser a melhor maneira de implementá-la.
A Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação.
((Ferreira, 2006, p.9))
Muitas das organizações fazem o caminho inverso na elaboração da sua politica de segurança, ou seja, primeiro esperam que os problemas aconteçam para depois começar a implantar os controles necessários para que isso não "volte" a ocorrer, quando o correto seria agir de forma preventiva. A política de segurança da informação é um exemplo de algo que deveria ser feito antes que o problema ocorresse.
Quanto mais diversificado e abrangente for essa comissão, maior será a possibilidade da divulgação das diretrizes de segurança por toda a empresa, além de que elas poderão identificar os requisitos de segurança particulares para os locais em que se trabalha.
Porém não podemos nos iludir com a ideia de que quanto maior melhor. O certo seria sempre que, na hora da formação dessa comissão, o bom-senso prevalecesse baseando-se em parâmetros, como:
· Tamanho da organização.
· Qual é o nível técnico e de decisão das pessoas que participaram dessa comissão.
· Qual será a sua abrangência.
· Quem são as pessoas-chave dos processos da organização.
· Hierarquia dentro da organização.
Muitas empresas acreditam que a política de segurança da informação deve ser construída com muitos detalhes tentando abordar tudo o que for possível, desde os objetivos estratégicos até detalhes de como deverá ser feita a senha do usuário. O que acaba ocorrendo é que esse tipo de politica geralmente desenvolve um grande volume de papéis e ninguém os segue, apenas servindo como documentos que podem ser apresentados no caso de um processo de auditoria. Com o envolvimento de diversas pessoas de diversas áreas da organização, podemos entender que a elaboração da política de segurança trata-se de uma tarefa complexa e trabalhosa, em que revisões e atualizações periódicas devem constantemente ser implementadas.
Seus benefícios, muitas vezes, só serão percebidos a um médio ou longo prazo, uma vez que a política de segurança será invisível aos olhos de grande parte das pessoas.
A política de segurança da informação pode ser considerada como uma importante ferramenta para combater os problemas de segurança, causados pelas ameaças que agem contra as vulnerabilidades dos diversos ativos da organização.
Ela conscientizará e orientará os funcionários, clientes, parceiros e fornecedores da necessidade do uso seguro dos ativos de informação da empresa, de forma que nem ela e nem os demais tenham problemas durante a manipulação das informações da organização.
Etapas para o desenvolvimento de uma política de segurança da informação
Para que uma política de segurança tenha uma aceitação, é necessário que a alta administração esteja comprometida e dê apoio, além de participar do processo de implantação. O aval da alta administração é muito importante, obrigando de forma indireta que todos aceitem/respeitem as normas e procedimentos que estarão vinculados á política de segurança.
Existem diversas maneiras de se desenvolver uma política de segurança, pois todos os países possuem as suas próprias legislações e normas que podem interferir nos itens que deverão ser abordados.
Levantamento de informações
Podemos começar o nosso trabalho fazendo um levantamento do perfil da empresa e como está a sua atual situação de segurança, ou seja, quais são as iniciativas de segurança existentes, manuais, documentações, normas e  procedimentos ou até mesmo de checklists de segurança.
Se a empresa possuir os seus processos internos documentados será de grande ajuda, pois dessa forma poderão ser identificados os principais processos de negócios e a inter-relação existente entre as áreas, bem como as principais dependências dos ativos de informação.
Esse levantamento inicial também ajudará a identificar os principais controles existentes na empresa, além de conhecer o negócio e suas principais vulnerabilidades.
Durante esse levantamento, é de grande importância que as deficiências e fatores de risco sejam numerados e catalogados. Esse levantamento poderá ser feito por meio da utilização de alguns questionários, bem como entrevistas pessoais às pessoas-chave dos processos.
Durante o levantamento será estudado o que deve ser protegido, verificando-se o atual estado de segurança da empresa.
Desenvolvendo os conteúdos da política
Iniciar a criação dos documentos que ajudarão a sustentar a politica de segurança da organização, ou seja, deverão ser elaborados documentos que definirão o que a empresa entende como assunto "segurança da informação" e quais deverão ser os seus objetivos de gerenciamento.
Neste momento também deverão ser criados o comitê de segurança e a área responsável pela segurança da informação. Com base nas informações levantadas anteriormente, deverão ser identificados os proprietários da informação, bem como deverão ser definidos os critérios para a classificação das informações.
Durante o processo de desenvolvimento da documentação são definidas as principais normas de segurança da informação que serão aplicadas aos colaboradores e funcionários da organização. A norma deve ser um documento criado por consenso de todos que estão envolvidosna sua elaboração e deve ser aprovada por um organismo ou entidade reconhecida dentro da organização, com o poder de criar regras, diretrizes ou características para atividades de uso comum e repetitivo de todos os funcionários da organização.
Dentre essas normas podemos citar: norma de backups; norma de segurança física; norma de segurança lógica; norma de controles de acessos; norma do uso da internet; norma do uso do correio eletrônico; norma do uso da computação móvel; norma de classificação da informação; norma de utilização de computadores e notebooks dentro ou fora da organização; norma do uso do ambiente sem fio; norma de utilização de programas; norma para bloqueios e acesso a sites; norma para utilização dos recursos tecnológicos; norma para desenvolvimento e manutenção de sistemas; norma de segurança e gerenciamento de redes e comunicações de dados; norma para o manuseio, transporte, armazenamento e descarte das informações; norma de segregação de funções dentro da organização; norma de definição sobre direitos, permissões e de acesso a recursos de informação etc.
Formato do documento
O documento que contém a política de segurança da informação deve ser formal e aprovado pela alta administração da organização, bem como deve ser escrito de forma clara, objetiva.
Todo e qualquer documento elaborado deve ter um responsável direto que responda por ele e principalmente o mantenha atualizado.
Os documentos da política de segurança devem atingir o nível de segurança adequado aos bem que se deseje proteger, bem como deve ser flexível o suficiente para se adaptar às mudanças tecnológicas e de negócios/legislação que ocorrem frequentemente nas empresas.
Muitas vezes as organizações criam documentos que são impossíveis de serem cumpridos e por isso os documentos devem ser factíveis, ou seja, devem ter a possibilidade de serem feitos, pois senão acabarão no esquecimento.
Os documentos devem prever as ações de segurança que serão realizadas, bem como quem as realizará. Eles também devem prever as ações e as punições claras que serão aplicadas para quem deixar de cumprir algum item ou procedimento de segurança.
Sucesso e fracasso da implementação
Muitas vezes a política de segurança não atinge o seu objetivo, pois alguns itens deixaram de ser observados e com o passar do tempo comprometeram todas as atividades do projeto. Itens estes como a inexistência de uma pessoa graduada dentro da organização para dar o aval nas ações, punições e orientações que a política indicou.
Outro fator importante que acaba por comprometer a política é que a própria alta direção da empresa não esteja integralmente comprometida com a política, não dando dessa forma apoio aos profissionais responsáveis pela implantação.
Muitos dos problemas de segurança ocorrem por causa da inexistência de treinamento para os profissionais envolvidos. A falta de comprometimento por parte dos funcionários e colaboradores da organização também interfere no sucesso da implantação da política. A inexistência de um orçamento próprio para as ações de segurança também acaba por dificultar a implantação da politica, pois geralmente o orçamento é destinado para as operações específicas dos negócios da organização, e não para a aquisição de componentes de segurança.
Agora que você já estudou esta aula, resolva os exercícios e verifique seu conhecimento.
Caso fique alguma dúvida, leve a questão ao Fórum e divida com seus colegas e professor.
 
Quiz
Exercício
Planos, procedimentos e políticas de segurança da informação
INICIAR 
Referências
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de Segurança da Informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2006.
MAGALHÃES, Ivan Luizio; PINHEIRO, Walfrido Brito. Gerenciamento de Serviços de TI na Prática: uma abordagem com base na ITIL. São Paulo: Novatec, 2007.
NAKAMURA, Emílio Tissato; GEUS, Paulo Lício de. Segurança de Redes em Ambientes Cooperativos. São Paulo: Berkeley, 2002.
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003.
WADLOW, Thomas A. Segurança de Redes: projeto e gerenciamento de redes seguras. Rio de Janeiro: Campus, 2001
O custodiante da informação
Conceituar os principais elementos envolvidos com o uso, manipulação e distribuição da informação dentro do ambiente das organizações e as suas respectivas funções dentro do processo da gestão da segurança da informação. Definir também o papel e as funções do custodiante da informação, personagem importante no processo de segurança da informação.
NESTE TÓPICO
NESTE TÓPICO
 Gestão da informação
 Gestor da informação
 Custodiante da informação
 Atribuições e responsabilidades do custodiante
 Referências
Marcar
tópico
   
  
Gestão da informação
Diante do volume de informação que uma organização produz diariamente, faz-se necessário que aquela seja acessada de forma mais rápida e precisa, para que dessa forma consiga atingir os seus objetivos estratégicos de negócio.
Não se trata de uma tarefa fácil, uma vez que existem outras variáveis que interferem no processo da gestão da informação, como o tempo, as ameaças, as vulnerabilidades, a necessidade de classificação, o local de armazenamento, os direitos de acessos, entre outras, que podem acabar por atrapalhar esse objetivo primário.
Dessa forma, fica claro que todo esse volume de informação necessita ser gerenciado, ou seja, é necessário que seja feita a Gestão da Informação dentro da organização.
A gestão da informação procura apoiar os gestores das organizações na sua tomada de decisões diante do enorme número de variáveis que são geradas pelos processos de negócio e que diariamente produzem uma quantidade enorme de informação dentro da empresa.
A informação serve de alimento para diferentes áreas da organização e cada um dos grupos manipula e trabalha com ela para atingir os seus objetivos e metas. Geralmente, dentro das organizações, essas informações estão distribuídas nas camadas estratégica, tática e operacional.
A camada estratégica da organização é o local onde são discutidas e tomadas as decisões relacionadas ao futuro e o rumo que a organização deve seguir. Dessa forma, as informações manipuladas nessa camada possuem valores que ajudam a organização a determinar quais são as diretrizes operacionais e de negócio. São informações complexas e envolvem diversas áreas da organização, podendo ser de origem interna ou externa.
As informações que alimentam a camada tática ajudam os gestores a tomarem decisões, as quais os ajudarão a atingir os objetivos estratégicos que foram traçados pela camada superior. Esse tipo de informação possui um grau de detalhe intermediário para que possam ser analisadas e interpretadas por parte dos gestores e gerentes.
As informações que alimentam a camada operacional geralmente são bem mais detalhadas, pois são necessárias para a execução das rotinas diárias e operacionais dos funcionários e colaboradores.
Gestor da informação
O gestor da informação pode ser considerado a pessoa cuja função é liberar (ou negar) o acesso de qualquer colaborador ou grupo de colaboradores para uma informação, levando em conta se a pessoa ou grupo realmente necessita ter acesso àquela informação, em virtude das suas atividades dentro da organização.
Em uma empresa, as diferentes pessoas executam diferentes papéis para que a engrenagem do negócio possa funcionar. Temos uma gama muito grande de profissionais qualificados, que usam seu conhecimento adquirido durante o tempo de escola para realizar suas tarefas.
Todos esses colaboradores são classificados para o pessoal de TI como  "usuários", pessoas que utilizam os dispositivos tecnológicos dentro da empresa para realizar suas atividades.
Esses usuários usam os sistemas de informação que são colocados à sua disposição. Os conhecimentos técnicos dos usuários variam muito, dependendo tanto da atividade desenvolvida como da sua faixa etária. As formas de agir também variam de pessoa a pessoa. Às vezes, são levadospela sua curiosidade ou até mesmo pelo não entendimento dos procedimentos, o que pode representar riscos para a empresa.
Podemos citar como exemplo um usuário que viu em uma revista um novo aplicativo que permite distribuir um vídeo pela rede da empresa por meio de um software que transforma a sua estação de trabalho em uma gerenciadora de vídeo.
O usuário não estará preocupado com o impacto no desempenho da rede que esta sua ação trará para o ambiente.
É importante que a área de segurança da informação transmita para o usuário a necessidade de que ele tem de estar sempre pensando na segurança quando estiver manipulando as informações que estiverem sobre o seu controle e guarda.
Isso pode ser feito por meio de campanhas de divulgação, bem como via sessões de esclarecimento e formação.
Esse usuário/colaborador na maioria das vezes será a pessoa responsável por criar a informação que será passada para a área de TI guardar em seus servidores.
Da mesma forma que uma pessoa tem um carro e é proprietária dele, podemos atribuir o rótulo de proprietário da informação para os usuários e colaboradores da organização.
Uma das responsabilidades do proprietário da informação é atribuir os níveis de segurança que a sua informação demanda, para que dessa forma também participe do processo de escolha dos níveis de proteção que deverão ser implementados para proteger os seus dados.
Dentre as funções desse proprietário estará a de fazer o processo de classificação/reclassificação/desclassificação das informações, para poder definir os requisitos de proteção para cada nível de classificação.
Também será responsável por autorizar os pedidos de acesso a informações de sua propriedade, bem como autorizar a divulgação dessas informações.
Custodiante da informação
Trata-se da pessoa ou organização responsável pela guarda de um ativo ("informação") de propriedade de terceiros, para isso tem uma série de obrigações.
A área de informática, pelo seu envolvimento no armazenamento, transporte e descarte da informação, pode ser considerada como a custodiante da informação que está sob sua guarda e responsabilidade.
O custodiante da informação tem por função zelar pelo armazenamento e preservação de informações que não lhe pertencem, mas que lhe foram deixadas sob sua guarda.
Dentro da área de TI podemos citar como exemplo de custodiante das informações os administradores de banco de dados, os administradores de redes, os analistas de tecnologia da informação, que às vezes são responsáveis por guardar e implementar os controles lógicos dos dados dos usuários.
O custodiante da informação tem para si uma série de responsabilidades como:
· Verificar e testar toda a eficácia dos controles utilizados para proteger a informação e, caso encontre-se algum risco, informar aos gestores proprietários dessas informações.
· Fazer a configuração dos equipamentos, ferramentas e sistemas concedidos aos colaboradores, com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos pela sua politica de segurança da informação.
· Aplicar, gerenciar e manter as trilhas de auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes.
Para cada nível de classificação da informação, ele deve definir os controles que devem ser aplicados de forma a oferecer o nível de proteção adequado.
Atribuições e responsabilidades do custodiante
· Aplicar procedimentos de proteção do ativo – O responsável pela custódia da informação deverá estar preocupado em implementar um conjunto de procedimentos que visem diminuir o grau de exposição da informação perante a uma potencial ameaça, como forma de manter a disponibilidade, integridade, confidencialidade dos dados e informação.
· Executar serviços com os bens custodiados, em nome do proprietário – De posse das informações dos colaboradores, o custodiante deverá definir as necessidades de proteção do bem de informação, assim como as tecnologias necessárias para atingir esses objetivos.
· Autorizar e cancelar autorização de acessos – Estabelecer mecanismos apropriados para controlar os acessos às informações que ficaram sob sua custódia. Esse controle de acesso está relacionado diretamente ao acesso que será concedido ao usuário ou a quem ele determinar. Sua função será garantir que o acesso seja feito somente dentro dos limites preestabelecidos. Esse controle poderá ser exercido por meio de mecanismos, como senhas, listas de acesso, categorias, níveis de acesso, privilégios de acesso etc.
· Determinação dos direitos que o usuário terá em cima das informações deixadas sob sua guarda – Esta ação consiste em determinar o que cada usuário pode fazer em relação a determinado recurso e geralmente está relacionada à:
· 
· Leitura – O usuário só poderá consultar informações.
· Gravação – O usuário poderá, além de consultar, incluir informações e gravar novas informações.
· Alteração – O usuário pode, além de consultar, alterar as informações existentes.
· Exclusão – O usuário pode, além de consultar, excluir as informações existentes.
· Execução – O usuário poderá executar comandos ou programas contidos em arquivos.
 
Agora que você já estudou esta aula, resolva os exercícios e verifique seu conhecimento. 
Caso fique alguma dúvida, leve a questão ao Fórum e divida com seus colegas e professor.
Quiz
Exercício
O custodiante da informação
INICIAR 
A informação serve de alimento para diferentes áreas da organização e cada um dos grupos manipula e trabalha com ela para atingir os seus objetivos e metas. Geralmente, dentro das organizações, essas informações estão distribuídas em três camadas. 
Referências
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de Segurança da Informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2006.
NAKAMURA, Emílio Tissato; GEUS, Paulo Lício de. Segurança de Redes em Ambientes Cooperativos. São Paulo: Berkeley, 2002.
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003.
Classificação da informação ¿ exemplo de possíveis classificações nas empresas
Descrever o ciclo de vida da informação, fator importante para que se possa identificar e localizar as informações dentro dos processos internos da empresa, bem como apresentar os principais aspectos relacionados à necessidade da classificação e à informação dentro das organizações como forma de facilitar o processo da análise de risco.
NESTE TÓPICO
NESTE TÓPICO
 O ciclo de vida da informação
 Termos importantes
 Introdução - conceito de classificação
 Política de classificação
 A norma de classificação da informação
 Referências
Marcar
tópico
   
  
O ciclo de vida da informação
Para que se possa proteger a informação dentro da empresa é necessário conhecer o seu ciclo de vida de forma a colocar os controles específicos em cada um dos seus momentos.
O ciclo de vida, por sua vez, é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que, por sua vez, mantêm a operação da empresa. (Sêmola, 2003, pg.9)
O ciclo de vida caracteriza as várias etapas de uma informação, desde sua criação até o momento em que ela não tenha mais utilidade. É composto e identificado pelos momentos em que ativos físicos, tecnológicos e/ou humanos usam a informação. Geralmente o ciclo de vida de uma informação é representado pelos momentos em que ocorre a manipulação inicial, depois ocorre o seu armazenamento, depois a informação pode ser enviada e, por fim, pode ter o término da sua utilização.
O primeiro momento é quando a informação é criada ou manipulada. Esse momento pode ser durante uma digitação de um texto, carta, relatório, e-mail, na digitação de uma senha etc. e pode ocorrer várias vezes durante o ciclo de vida da informação.
O momento relacionado ao armazenamento é a ocasião em que a informação é guardada, ou seja, armazenada em algum meiofísico ou lógico como, por exemplo, quando ela é anotada em um pedaço de papel, ou é guardada em arquivos físicos ou eletrônicos ou quando é guardada em um banco de dados ou em uma mídia (CD, DVD, HD, disquete, etc.). Ocorre sempre que há uma inclusão ou alteração da informação.
O momento relacionado ao envio da informação ocorre quando ela sai de um determinado local e vai para outro, podendo ser, por exemplo, transmitida de um local para outro através de uma rede local de computadores, ou quando a que circula por meio de um aparelho de FAX ou até mesmo um relatório em papel que é transportado por um funcionário entre um departamento e outro da empresa.
O momento do término da sua utilização é o momento em que a informação é eliminada, apagada, destruída de forma definitiva. Por exemplo: ao jogar no lixo um relatório; ao apagar um arquivo do computador; ao jogar fora um CD/DVD ou mesmo um computador que não tem mais utilidade.
Termos importantes
Quando estamos pensando no assunto segurança da informação, existem algumas palavras que ajudam a justificar a necessidade da implementação dos controles de segurança frente à alta administração da empresa.
Dentro do assunto segurança da informação, a palavra disponibilidade está relacionada ao fato das informações e dados estarem sempre disponíveis para as pessoas que necessitam dela para executar suas tarefas diárias e cotidianas.
A palavra integridade está relacionada ao fato dos dados e das informações não terem sofrido nenhuma alteração do seu formato inicial desde o envio até o recebimento dessa informação. A ideia é que os dados e as informações estejam protegidos contra alterações indevidas, intencionais ou acidentais.
Quando nos referimos à palavra confidencialidade, estamos nos referindo somente às pessoas autorizadas que podem ter acesso aos dados ou à informação acessada. Envolve a privacidade e a proteção da informação pessoal ou corporativa.
A palavra autenticidade está relacionada à validação de uma forma que não deixe dúvidas sobre um dado ou informação, ou seja, não pode permitir o "não repúdio", que é a ação de alguém em informar que não é o responsável pelo acesso à informação ou dado. Dessa forma, as informações devem estar protegidas por controles que permitam identificar o seu autor definitivamente, sem que seja possível haver uma negação de autoria por parte dele.
A palavra legalidade está relacionada ao fato de que tudo deve estar de acordo com as leis ou legislações existentes.
A palavra "Humano" está relacionada aos fatores como consciência, individualidade e necessidades básicas que os usuários da organização possuem e que geralmente entram em conflito com as medidas de segurança.
Os usuários autorizados, que geraram ou adquiriram a informação, devem ter acesso a ela sempre que for necessário para o desenvolvimento de suas tarefas. Nesse cenário são verificados se os controles definidos atendem às especificações das leis de forma a poder identificar, controlar e, se for o caso, punir os responsáveis.
Por último, citamos a palavra administraçâo, que ajuda o profissional responsável pelos processos de segurança a se organizar e a acompanhar as constantes mudanças no cenário da segurança da informação.
Introdução - conceito de classificação
Quando vamos ao supermercado fazer nossas compras semanais, quinzenais, mensais ou até mesmo uma compra isolada, ficamos tranquilos, pois certamente encontraremos o produto que estamos necessitando ou algo "parecido".
A palavra anterior entre aspas e em negrito é para ressaltar que teremos uma grande facilidade para encontrar produtos semelhantes no supermercado e eles sempre estarão localizados próximos um do outro. Por que isso ocorre? A resposta é simples, antes dos produtos serem colocados nas prateleiras, eles foram separados por grupos e organizados por características que possuíam e que permitiam que fossem categorizados.
Sem essas características específicas, ficaria muito difícil para separá-los e colocá-los lado a lado.
O processo de classificação significa uma ação ou efeito de colocar algo em uma determinada ordem.
Esse conceito pode ser aplicado para qualquer coisa como, por exemplo, materiais, equipamentos, objetos, ideias e também a informação. Dessa forma, tudo que possui uma característica comum e que permite que haja um processo de diferenciação entre outros elementos pode ser classificado.
Quando estamos classificando, estamos escolhendo, dentre as alternativas possíveis para isso, a melhor forma de colocar em ordem algo.
Para que possamos fazer uma classificação eficiente, faz-se necessário que sempre consigamos criar parâmetros que serão utilizados como ponto de apoio nas nossas decisões.
O parâmetro, ou seja, "definição" do que é determinado item, é o que nos ajudará no processo de classificação, pois pessoas diferentes têm ideias e conceitos diferentes, e para que haja um consenso, as definições dos rótulos usados para classificar a informação devem estar muito bem definidas.
No nosso caso, o principal problema que temos está em classificar os tipos de informações existentes dentro das empresas de forma que possamos colocar o nível de segurança da informação adequado para cada situação. Afirmamos isso porque uma informação que pode ser acessada por todas as pessoas, tanto funcionários e colaboradores da empresa como pessoas que não pertencem a ela, deve ter um nível de proteção diferente de outra que deve ser acessada apenas pela alta administração da empresa, ou seja, pelos seus diretores.
Fica claro que no cenário anterior existirão dentro da empresa informações que não precisam de proteção, ao contrário de outras que deverão ser protegidas de forma excessiva, consumindo recursos materiais e humanos para sua administração e manutenção.
A principal razão para classificar as informações é que elas não possuem os mesmos níveis de confidencialidade, ou ainda, as pessoas podem ter interpretações diferentes sobre o seu grau. Quanto mais informatizado estiver o ambiente de informação, maior será a vulnerabilidade em razão da quantidade exponencial de acesso de seus usuários. Além disso, a resposta a determinados tipos de situações varia de pessoa para pessoa, e de acordo com as condições do momento, especialmente se não houver um critério de julgamento claro para se avaliar o que é certo ou errado.
Podemos dizer que o processo de classificação da informação é um dos processos mais difíceis de serem feitos dentro de uma empresa, uma vez que a grande maioria delas não possui seus processos internos mapeados e isso acaba por dificultar na ora de se encontrar a informação e verificar a sua real importância para uma determinada atividade.
Como fazer um processo completo de classificação, ou seja, classificar todas as informações é muito difícil, devemos dar primeiro atenção às informações prioritárias para execução das principais atividades da empresa e depois continuar o processo com as demais.
Política de classificação
Para que possamos colocar em prática o processo de classificação da informação dentro da empresa, faz-se necessário existir algo que possa dar apoio ao processo e quando falamos em apoio, estamos nos referindo à criação de documentos definidos pela alta administração da empresa
A esses documentos damos o nome de política de classificação da informação, que permitirá que todas as ações planejadas para o projeto de classificação da informação possa ser implementado. Por meio dela poderemos definir, ou seja, rotular os tipos de classificações aprovadas pela empresa, bem como os seus respectivos critérios de avaliação e necessidade de proteção.
Uma política representa um conjunto de leis, normas e procedimentos que ajudam a colocar uma ordem em um determinado processo. A política de classificação da informação deve, sem dúvida, ser considerada o início do processo de implementação de uma estratégia de segurança em uma empresa, pois ela nos fornecerá critérios para identificarmos quais informações têm valor para a empresa e, como as pessoas devem proceder ao manipulá-las.