Baixe o app para aproveitar ainda mais
Prévia do material em texto
FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Aline Zanin Conceitos básicos de segurança da informação Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: Identificar a importância da utilização da segurança da informação no contexto organizacional. Diferenciar as categorias de ativos existentes em uma empresa. Conceituar vulnerabilidade e ameaças dos ativos. Introdução A segurança da informação assume papel fundamental nas empresas, especialmente naquelas cujas informações representam diferenciais competitivos e, portanto, possuem valor próprio. A segurança da in- formação é responsável por garantir a confidencialidade, a integridade e a disponibilidade dos ativos de informação da empresa, afastando os riscos de ataques. As empresas devem sempre estar atentas às suas vulnerabilidades e ter conhecimento das ameaças existentes. Neste capítulo, você vai verificar a importância da segurança da in- formação no contexto organizacional, analisando motivos que levam as empresas a implementarem esse tipo de proteção. Você também vai estudar as diferentes categorias de ativos das empresas e vai analisar as vulnerabilidades e ameaças presentes no contexto das organizações. Segurança da informação no contexto organizacional O armazenamento de informações surgiu da necessidade de registrar hábitos, costumes e intenções nos mais diversos meios, de forma que esses registros possam ser utilizados e compreendidos futuramente pelo autor da informação e por outras pessoas. São exemplos de registros pré-históricos de informação os petróglifos, ou gravuras rupestres, que eram feitos nas pedras pelos nossos antepassados do período neolítico. Atualmente, as informações se constituem como objetos de valor para as empresas. Quando se fala em informação e, especialmente, em armazenamento e transporte de informações, o pensamento é remetido naturalmente para a tecnologia da informação e todas as facilidades que esta proporciona. No contexto organizacional, a informação pode estar relacionada, por exemplo, com os dados armazenados em software e o uso eficiente destes. Segundo Correa Junior (2011), estratégias de extração de dados podem ser utilizadas, por exemplo, para identificar um perfil de consumidor e, com isso, persona- lizar o negócio de uma empresa, estabelecendo um diferencial competitivo em relação à concorrência. Dessa forma, o conhecimento e a informação são pontos-chave nas or- ganizações, sendo necessário atentar para mecanismos que garantam a sua segurança. A segurança da informação tem como propósito proteger os ativos de informação. De acordo com Correa Junior (2011), um ativo de informação é qualquer objeto que retém partes da informação da empresa, nas suas mais diversas formas de representação e armazenamento: impressas em papel, armazenadas em discos rígidos de computadores, armazenadas na nuvem ou, até mesmo, retidas em pessoas. Segundo Correa Junior (2011) e a ABNT (2005), a segurança da informação tem como base os seguintes aspectos, denominados pilares da segurança da informação (Figura 1): Confidencialidade (confidentiality): capacidade de um sistema de im- pedir que usuários não autorizados “vejam” determinada informação que foi delegada somente a usuários autorizados a vê-la. Integridade (integrity): atributo de segurança que garante que a in- formação seja alterada somente de forma autorizada, sendo mantida, assim, correta e completa. Disponibilidade (availability): indica a quantidade de vezes que o sistema cumpriu uma tarefa solicitada sem falhas internas, para um número de vezes em que foi solicitado a fazer a tarefa. Conceitos básicos de segurança da informação2 Figura 1. Pilares da segurança da informação. Fonte: Adaptada de Dodt (2011). Con�dencialidade Segurança da Informação Integridade Disponibilidade Por que se preocupar com a segurança da informação? Existem diversos motivos para que as empresas se atentem à segurança de suas informações. Vamos falar sobre alguns deles. Roubo de dados e informações: para muitas empresas, o seu maior capital é a regra de negócios da empresa, isto é, o conhecimento retido por ela quanto ao “fazer negócio”. Por exemplo: imagine uma empresa que fábrica molhos de tomate e que tem um faturamento anual bem acima dos concorrentes, devido ao sabor diferenciado do molho. Em um dado momento, a receita do molho é descoberta pelos seus concorrentes, que começam a fabricar o mesmo molho. Dessa forma, essa empresa perde seu principal diferencial competitivo, apenas por ter perdido uma informação importante para a empresa. Impacto na operacionalização da empresa: muitas empresas dependem de seus sistemas computadorizados para o seu funcionamento. Imagine que uma invasão nos servidores de uma empresa tire seus sistemas do ar e faça com que a empresa pare de trabalhar por 24 horas. Tal fato certamente causará transtornos financeiros, operacionais e de confiança dos clientes. Sequestro de dados: nos casos em que os dados dos servidores de uma empresa são vitais para o seu funcionamento, é preocupante o risco de sequestro de dados, em que um invasor captura as informações da base de dados da empresa e cobra valores significativamente altos pelo seu resgate. 3Conceitos básicos de segurança da informação Vazamento de dados confidenciais de clientes: quando uma empresa armazena dados pessoais de clientes, por exemplo, documentação e dados financeiros, ela assume com o cliente um compromisso de responsabilidade com esses dados. Deixar o sistema vulnerável viola esse compromisso de responsabilidade, uma vez que os dados podem ser capturados direto do servidor se houver uma falha de segurança. Danos à imagem da empresa: todos os problemas citados acima causam uma quebra de confiança entre a empresa e seus clientes, o que pode causar perda de clientes e graves danos financeiros para a empresa. Mantenha sempre os softwares que utiliza nos computadores de sua casa ou empresa atualizados, inclusive o sistema operacional. É comum os fabricantes de software identificarem falhas de segurança e disponibilizarem aos seus clientes novas versões com as falhas corrigidas. Ativos de uma empresa Utiliza-se a palavra ativos para denominar tudo aquilo que possui valor para uma empresa e, por isso, precisa ser protegido (ABNT, 2005). Os ativos são elementos fundamentais da segurança da informação e a razão da existência dessa preocupação. O valor de um ativo pode estar no próprio ativo, como um servidor, ou no uso que se faz dele, como em um banco de dados, conforme leciona Correa Junior (2011). Os ativos de informação podem ser divididos nas seguintes categorias: Informações: toda e qualquer informação que a empresa possui, digi- talizada ou não. Software: esse grupo de ativos contém todos os programas de compu- tador utilizados nos processos de acesso, leitura, transmissão e arma- zenamento das informações de uma empresa. Hardware: todos os elementos físicos que apresentam valor importante para uma empresa no que diz respeito à informação; por exemplo, computadores e servidores. Conceitos básicos de segurança da informação4 Organização: nesse grupo, estão incluídos os aspectos que compõem a estrutura física e organizacional das empresas. Usuários: engloba os indivíduos que lidam com as informações no seu dia a dia de trabalho. De acordo com a norma ABNT NBR ISO/IEC 27002:2005: A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio (ASSOCIAÇÃO BRASILEIRADE NORMAS TÉCNICAS, 2005, documento on-line). Vulnerabilidade e ameaças a ativos O termo vulnerabilidade diz respeito à condição que torna um ativo um alvo mais predisposto a sofrer ameaças e invasões. Fazendo uma analogia, ao deixar a porta de sua casa aberta, você está deixando sua casa vulnerável a furtos e roubos. Isso não quer dizer que, obrigatoriamente, quando a porta estiver aberta, os ativos de sua casa serão furtados; contudo, indica que, com a porta aberta, o roubo ou furto é facilitado. O mesmo acontece em empresas com relação aos ativos de informação: ao não tomar os devidos cuidados com hardware ou software, os sistemas se tornam mais vulneráveis a ataques. Alguns exemplos de vulnerabilidades são listados a seguir, com base em Dantas (2011): Área física e do ambiente: diz respeito à vulnerabilidade na estrutura física da empresa; por exemplo, portas ou janelas desprotegidas, ins- tabilidade da energia, localização em área susceptível à inundação. 5Conceitos básicos de segurança da informação Hardware: susceptibilidade a problemas que podem danificar os equi- pamentos; por exemplo, variação de voltagem, de temperatura, poeira, umidade, radiação eletromagnética, falta de controle de mudança de configuração. Software: diz respeito às falhas em um software que facilitam a invasão ou a danificação do software e dos dados; por exemplo, falta de meca- nismo de identificação e autenticação, tabelas de senhas desprotegidas, alocação errada de direitos de acesso, falta de documentação, falta de backup. Comunicações: linhas de comunicações desprotegidas, falta de iden- tificação e autenticação de emissor e receptor, gestão inadequada da network, conexões de rede pública desprotegidas. Documentação: arquivo desprotegido, falta de controle para cópias, falta de cuidado na disponibilização da documentação. Pessoal: falta de pessoal, treinamento de segurança insuficiente, ausên- cia de conhecimento de segurança, utilização incorreta de software e hardware, falta de mecanismo de monitoramento, ausência de políticas para a utilização correta de mídia e de mensagens, procedimento ina- dequado para seleção. Os sistemas, em geral, precisam ser protegidos dessas vulnerabilidades, porque, quando elas são exploradas, podem causar diversos problemas para as empresas. Uma vulnerabilidade é geralmente explorada por uma ameaça. Ameaças são agentes ou condições que, ao explorarem as vulnerabilidades, podem provocar danos e perdas. Ameaças podem ser naturais, involuntárias ou intencionais, conforme le- ciona Dantas (2011). Uma ameaça natural é aquela que se origina de fenômenos da natureza, como terremotos, furacões, enchentes, maremotos, tsunamis, etc. Uma ameaça involuntária é aquela que resulta de ações não intencionais, mas que causam algum dano; geralmente são causadas por acidentes, erros, ou pela ação inconsciente de usuários, como é o caso de vírus eletrônicos que são ativados pela execução de arquivos anexados às mensagens de e-mail. Já uma ameaça intencional é aquela que tem por objetivo causar danos, como ataques de hackers, fraudes, vandalismos, sabotagens, espionagens, invasões e furtos de informações, dentre outras. Dantas (2011) aponta as principais ameaças a ativos apresentadas em pes- quisas sobre segurança da informação: Conceitos básicos de segurança da informação6 vírus, worm, cavalo de tróia (trojan horse); phishing, pharming e spyware; adware, spam; roubo de dados confidenciais da empresa e de clientes, da propriedade da informação e da propriedade intelectual; acesso não autorizado à informação; perda de dados de clientes; roubo de laptop, dispositivo portátil e hardware; má conduta e acesso indevido à network por funcionários e gerentes, bem como abuso de seus privilégios de acesso e utilização indevida da rede wireless; ataque de negação de serviço, invasão de sistemas e da network; acesso e utilização indevida da internet e dos recursos dos sistemas de informação; degradação da performance, destruição e/ou desfiguramento da network e do website; software de má qualidade, mal desenvolvido e sem atualização; fraude financeira e de telecomunicações; interceptação de telecomunicação (voz ou dados) e espionagem; sabotagem de dados e da network; desastres naturais; ciberterrorismo. É importante que as empresas conheçam as principais ameaças à segurança da informação, bem como as vulnerabilidades a elas associadas, para que seja possível evitar os transtornos causados pela concretização de uma ameaça. Nesse processo de análise, adentra-se no estudo do risco, que envolve entender como as ameaças ocorrem, verificar as vulnerabilidades a que a empresa está sujeita e analisar a probabilidade de concretização de ataques. Dessa forma, é possível efetuar um tratamento mais adequado aos riscos, de acordo com as reais condições da organização, conforme leciona Dantas (2011). 7Conceitos básicos de segurança da informação ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO 27002. Tecnologia da informação: técnicas de segurança: código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005. Disponível em: <http://www.fieb.org.br/download/ senai/NBR_ISO_27002.pdf>. Acesso em: 20 ago. 2018. CORREA JUNIOR, H. E. Segurança de sistemas: conceitos básicos: material adaptado da Academia Latino-Americana de Segurança - Microsoft. 2011. Disponível em: <https:// pt.scribd.com/document/84971695/aula1>. Acesso em: 20 ago. 2018. DANTAS, L. M. Segurança da informação: uma abordagem focada em gestão de riscos. Olinda, PE: Livro Rapido, 2011. DODT, C. Transformando sua política de segurança da informação em um ativo estratégico. 2011. Disponível em: <https://claudiododt.wordpress.com/2011/06/29/transformando- -sua-politica-de-seguranca-da-informacao-em-um-ativo-estrategico/>. Acesso em: 20 ago. 2018. FEDERAÇÃO DO COMÉRCIO DE BENS E DE SERVIÇOS DO ESTADO DE SÃO PAULO (FECOMÉRCIO-SP). Segurança da informação para empresas: soluções simples – grandes resultados. São Paulo: Fischer2, 2014. Disponível em: <http://www.coaliza.org.br/wp- -content/uploads/2014/05/Cartilha-Seguran%C3%A7a-da-Informa%C3%A7%C3%A3o- -para-pequenas-empresas.pdf>. Acesso em: 20 ago. 2018. Conceitos básicos de segurança da informação8 Conteúdo: FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Aline Zanin Conceito e valor da informação Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: Identificar a importância e o valor da informação no contexto organizacional. Identificar as fases do ciclo de vida da informação. Descrever a classificação das informações (pública, interna, confiden- cial, secreta). Introdução As informações têm importância significativa para as empresas, estando relacionadas a aspectos estratégicos, de fidelização e atração de clientes e de organização interna. Devido a essa relevância, as informações estão sujeitas a ameaças como perda ou roubo, que podem gerar grandes transtornos para as empresas. Assim, torna-se importante compreender em quais momentos as informações estão sob maior risco e quais os tipos de informação que exigem maiores esforços de segurança da informação. Neste capítulo, você vai estudar os conceitos fundamentais de segurança da informação, sendo eles o valor da informação para as organizações, o ciclo de vida da informação e a classificação da informação. A informação no contexto organizacional Para defi nirmos a importância da informação para as organizações, primeira- mente é necessário entender o seu conceito. Primeiramente, vamos distinguir dados e informação: dados são fatos brutos que não receberam tratamento; já informações são o resultado dos dados já tratados e organizados de uma forma lógica, conforme lecionam Laudon e Laudon (2007). A Figura 1 traz um esquema desses conceitos. Figura 1. Conceitos de conhecimento, informação e dados. Fonte: Adaptadade Oliveira (2018). Informação Dados analisados, valor agregado Dados Públicos, de diferentes fontes Conhecimento Compreensão da informação Em uma empresa, a informação é uma ferramenta-chave que está di- retamente associada ao seu sucesso ou insucesso. Uma informação ou um conjunto de informações pode representar uma parte ou o todo do negócio de uma empresa. Por exemplo: uma determinada marca de refrigerantes tem um grande faturamento e uma grande quantidade de vendas e tem como diferencial a fórmula utilizada para a produção do refrigerante da marca. Nesse contexto, a fórmula de produção da bebida é a informação principal da empresa, e a perda ou a divulgação dessa informação para a concorrência pode representar o fracasso da organização. As empresas também se utilizam da informação para conquistar novos clientes e fidelizar clientes antigos, uma vez que, por meio da análise de dados e informações, é possível construir o perfil consumidor e habitual dos clientes. Assim, um empresa pode, por exemplo, posicionar produtos em um supermercado de acordo com as possibilidades de compra do público que frequenta o local. Outro exemplo similar é a oferta de produtos em lojas vir- tuais ou o anúncio de produtos em sites em geral: ao analisar as informações de pesquisas recentes e acessos a páginas web feitos pelo cliente, é possível ofertar anúncios que sejam atraentes para ele. Assim, existem diversos aspectos que tornam a informação de grande importância para as empresas. Dentre eles, podemos citar: o impacto no negócio da empresa; a fidelização de clientes; a conquista de novos clientes; a organização dos processos internos; e o estabelecimento de uma cultura organizacional. Conceito e valor da informação2 Com o crescimento da oferta de tecnologia da informação e a consequente necessidade das empresas de se reinventarem e de inovarem em seus proces- sos e produtos para se manterem competitivas, as informações empresariais passaram a ser armazenadas e manipuladas, em sua maioria, por meio de softwares e bancos de dados. O uso das informações diminui as incertezas na tomada de decisões e garante a competitividade dos negócios. Atualmente, em muitas empresas, a informação é tratada como ativo de informação e, como todo ativo, faz parte do patrimônio da empresa; como tal, tem valor próprio, conforme leciona Cunha (2012). O valor da informação para as organizações está descrito nas chamadas sete leis da informação, organizadas por Moody e Walsh e abordadas por Beal (2004, p. 21–24): 1º Lei – A informação é infinitamente compartilhável: diferentemente de ativos comuns, como equipamentos, móveis, etc., a informação pode ser compar- tilhada infinitamente e simultaneamente por inúmeras pessoas, aumentado cada vez mais o seu valor, à medida que mais pessoas forem usando. Assim como o compartilhamento aumenta o valor, a replicação da informação, através da reinserção de dados não agrega valor algum, só tende a aumentar os custos da organização. 2º Lei – O valor da informação aumenta com o uso: diferente dos ativos comuns da organização que quanto mais usam mais perdem valor, a informação quanto mais usada, maior o valor a ela associado. Mas para ser bem utilizada, para que seu uso seja efetivo todos da organização devem saber que ela existe, saber onde ela está organizada, ter acesso a ela e saber como utilizá-la. Além disso essas informações devem estar adequadas às necessidades de seus usuários. 3º Lei – A informação é perecível: a informação perde parte do seu valor à medida que o tempo for passando. Ela deve ser utilizada na hora correta, pois corre o risco de perder o valor da descoberta. 4º Lei – O valor da informação aumenta com a precisão: quanto mais precisa for à informação, mais valor ela terá. O contrário, ou seja, a utilização da in- formação imprecisa, inexatas, pode levar a tomadas de decisões equivocadas ou provocar graves erros prejudicando seu usuário. 5º Lei – O valor da informação aumenta quando há combinação de informações: a integração das informações permite uma visão sistêmica da organização em substituição à visão setorial, fragmentada. Quando mais integrada estiver, maior potencial de valor. 6º Lei – Mais informação não é necessariamente melhor: Assim como a insu- ficiência de informação, a sobrecarga dela também é prejudicial. Muitas vezes o excesso de informação, ultrapassa a capacidade humana de processamento. Para ser útil, a informação precisa ser filtrada, usando critérios de relevância, quantidade e qualidade de seu conteúdo. 3Conceito e valor da informação 7º Lei – A informação se multiplica: a informação é autogenerativa, pois ela possui a capacidade de se multiplicar através de novas operações de síntese, análise e combinações, podendo ser reciclada e reutilizada. Conforme leciona Gurgel (2006), citando os ensinamentos de Drott (2001), “o fato de informações poderem ser estruturadas não quer dizer que o seu valor possa ser medido. As tomadas de decisões em uma organização são realizadas com base no conhecimento pessoal de seus colaboradores, bem como das informações corporativas existentes”. Ciclo de vida da informação O ciclo de vida da informação representa todo o “histórico” dessa infor- mação, desde o momento de sua criação. O ciclo de vida descreve, inclusive, as mudanças na criticidade da informação, isto é, as variações quanto à relevância da informação para a empresa: uma informação que, em um dado período, era extremamente importante para uma empresa, pode hoje não ter mais valor de negócio, ou vice-versa. Por exemplo: há cinco anos, uma marca criou um smartphone com uma funcionalidade inovadora; até o lançamento deste, o processo de fabricação e a ideia de negócio eram informações de alta criticidade. Após o lançamento, essas informações passaram a ser insignifi - cantes para o negócio da empresa. O ciclo de vida da informação se divide nas seguintes fases, segundo Sêmola (2003): Manuseio: trata-se do momento da criação e da manipulação da infor- mação, seja esta física ou virtual. Armazenamento: trata-se do armazenamento da informação, seja ele em arquivos físicos ou em bancos de dados de sistemas computadorizados. Transporte: momento em que a informação é transportada, seja ao encaminhar informações por e-mail, via correspondência ou via tele- fone, por exemplo. Descarte: ato de descartar a informação, quando esta deixa de ser rele- vante; por exemplo: apagar informações de computadores ou depositar documentos na lixeira. Conceito e valor da informação4 As etapas do ciclo de vida da informação representam os momentos em que a infor- mação pode estar sob ameaça e, por isso, sua segurança demanda maior atenção. Segundo Sêmola (2003), na etapa de manuseio, a informação está sob ameaça, por exemplo, ao se fazer anotações em uma reunião e não zelar pelo sigilo das anotações. Classificação das informações Conforme destacado anteriormente, a informação tem um valor fundamental em todas ou, pelo menos, na maioria das empresas. Ela pode ser representada de diversas maneiras, por exemplo, digitalizada, em banco de dados, ou física, em arquivos de papel. Além da forma de representação, as informações também se diferenciam pelas suas restrições de acesso, isto é, as defi nições de quem pode acessar e do nível de segurança demandado. Uma vez que uma política de classificação é elaborada pela empresa, torna-se possível tomar decisões adequadas para a avaliação e o tratamento de riscos. Com isso, segundo Palma (2018), podem ser adotadas medidas preventivas, visando, por exemplo, a: reduzir o risco de que informações classificadas como sensíveis sejam acessadas por pessoas não autorizadas; garantir a divulgação adequada para informações públicas; reduzir o risco de perda de integridade das informações que criam maior valor para o negócio; entre outras. Nesse contexto, é pertinente que as empresas categorizem as informações conformesuas necessidades e prioridades, classificando-as como informações públicas, internas, confidenciais e secretas, conforme leciona Laureano (2005 apud CUNHA, 2012). 1. Pública: é o tipo de informação que demanda menos trabalho de segu- rança; isso porque uma informação pública é aquela cuja integridade não é vital e que pode ser de senso comum, dentro e fora da empresa, sem prejudicar o negócio. 5Conceito e valor da informação 2. Interna: é o segundo tipo de informação que exige menos trabalho de segurança. Para informações internas, o sigilo deve ser mantido, e devem ser impostas restrições de acesso; contudo, os danos causados por um acesso não autorizado não são demasiadamente sérios. A integridade da informação interna é importante, mesmo que não seja vital. 3. Confidencial: esse tipo de informação deve ser mantido nos limites da empresa; por isso, devem ser investidos esforços de segurança nessas informações. O acesso não autorizado, o dano ou a perda desse tipo de informação pode trazer prejuízos e levar ao desequilíbrio operacional. Além disso, pode ocorrer uma quebra de confiabilidade perante o cliente, além de permitir vantagem expressiva ao concorrente. 4. Secreta: essas informações são críticas para a empresa; elas devem ser preservadas, e deve ser investido nelas o maior esforço possível para a sua segurança. O acesso a esse tipo de informações deve ser restrito, e sua manipulação deve ser extremamente cuidadosa. De acordo com a ISO 27001, essa classificação deve ser feita em um contexto organizacional, e não setorial. Ou seja, ao classificar uma informação, devem ser levados em conta todos os setores da empresa, e não apenas o setor ao qual, a princípio, essa informação pertence. No entanto, muito frequentemente, uma organização pode ter dois esquemas de classificação diferentes, no caso de trabalhar tanto com o setor governamental quanto com o privado. A norma ISO 27001 fala sobre a gestão da segurança da in- formação. Nessa norma estão descritos conceitos, práticas e informações sobre segurança da informação e, inclusive, sobre a classificação da informação. Saiba mais sobre a ISO 27001 acessando o link ou código a seguir: https://goo.gl/2qnTiB Conceito e valor da informação6 BEAL, A. Gestão estratégica da informação. São Paulo: Atlas, 2004. CUNHA, A. L.; PEISCHL, R. B. O valor das informações para as empresas e a importância da segurança da informação. Revista Anhanguera Educacional, Valinhos, São Paulo, p. 1–22, jan. 2012. Disponível em: <https://pt.slideshare.net/acunha_sp/o-valor-das-informaes- -para-as-empresas-e-a-importancia-da-seguranca-da-informacao?from_action=save>. Acesso em: 3 ago. 2018. DROTT, M. C. Individual Knowledge – Personal Knowledge, Corporate Information: The Challenges for competitive intelligence. Business Horizons, Março-Abril de 2001, pp 31–37. GURGEL, G. M. M. O valor estratégico da informação para a gestão das organizações. XIII SIMPEP, Bauru, SP, p. 1–10, nov. 2006. Disponível em: <http://agildoc.com/wp-content/ uploads/2017/06/O-valor-estrat%C3%A9gico-da-informa%C3%A7%C3%A3o-para-a- -gest%C3%A3o-das-organiza%C3%A7%C3%B5es.pdf>. Acesso em: 4 ago. 2018. LAUDON, K. C.; LAUDON, J. P. Sistemas de Informação Gerenciais. Prentice Hall; São Paulo, 2007. OLIVEIRA, J. P. M. de. Dados, Informação e Conhecimento. 2018. Disponível em: <https:// www.palazzo.pro.br/Wordpress/?p=156>. Acesso em: 3 ago. 2018. PALMA, F. Política de classificação da informação: exemplo. 2018. Disponível em: <https:// www.portalgsti.com.br/2014/09/politica-de-classificacao-da-informacao-exemplo. html>. Acesso em: 3 ago. 2018 7Conceito e valor da informação Conteúdo: FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Jeanine dos Santos Barreto Modelo de segurança em ambientes cooperativos Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: Definir um modelo de segurança cooperativo. Reconhecer as regras para canais de conexão. Identificar a arquitetura de um firewall cooperativo. Introdução O mundo globalizado e o avanço tecnológico oferecem novas oportunidades de negócio. Há grande incentivo a fusões e parcerias entre as organizações, o que resulta em maiores desafios para a área da segurança da informação. As partes envolvidas nesse ambiente cooperativo, entre elas clientes, fornecedores e governo, passaram a compartilhar suas infraestruturas de rede e a cooperar entre si, visando atingir seus objetivos de maneira rápida e eficiente. Porém, isso gerou um aumento na vulnerabilidade e na possibilidade de ataques bem-sucedidos. Neste capítulo, você vai estudar o modelo de segurança cooperativo e as regras para os canais de conexão, além de analisar a arquitetura de um firewall cooperativo. O modelo de segurança cooperativo O aumento dos investimentos das empresas na área de tecnologia da informa- ção transformou a tecnologia em um meio de expansão de negócios. Estamos vivendo um momento de grandes transformações tecnológicas, econômicas e de mercado, em que fusões entre organizações e parcerias estratégicas implicam também na fusão da infraestrutura de rede. Segundo Nakamura e Geus (2007), essas mudanças no cenário corporativo, promovidas pela dependência cada vez maior da informática e das telecomuni- cações para o sucesso das organizações, resultam no surgimento de um novo ambiente, muito importante, chamado ambiente cooperativo. Nesse ambiente, várias organizações trocam informações por meio da integração entre as suas redes. Por conta disso, muitos desafios passaram a fazer parte do dia a dia de todos os envolvidos no ambiente cooperativo, prin- cipalmente quando o assunto é a segurança das informações e dos recursos, já que uma falha em qualquer componente de tecnologia pode afetar de forma negativa os negócios da organização. As partes de um ambiente cooperativo cooperam entre si na tentativa de atingir objetivos em comum — a velocidade e a eficiência nos processos e na realização dos negócios —, que são cruciais para que qualquer tipo de organização obtenha sucesso na sua atividade. Conforme Nakamura e Geus (2007), as partes envolvidas em um ambiente cooperativo (Figura 1) são: a matriz; as filiais; os clientes; os fornecedores; os parceiros comerciais; os usuários móveis da empresa. Figura 1. O ambiente cooperativo: diversidade de conexões. Fonte: Nakamura, Geus (2007, p. 23). Parceiros Parceiros Usuários móveis Filial Acesso remoto Modelo de segurança em ambientes cooperativos2 São muitas as possibilidades de conexões entre as partes envolvidas em um ambiente cooperativo: uma filial pode ter acesso à intranet, aos bancos de dados e ao serviço de e-mail da matriz; um fornecedor pode ter acesso ao sistema de controle de estoque e ao serviço de FTP da empresa; um cliente pode ter acesso ao sistema de controle de estoque e de preços para verificar se existe um produto que ele deseja. Dessa forma, a proteção das informações nos ambientes cooperativos se torna ainda mais importante, já que neles ocorre a troca de informações estratégicas e muitas vezes sigilosas; além disso, a infraestrutura de rede é muito complexa e os sistemas são compartilhados entre as organizações, o que as deixa vulneráveis a ataques e roubos de dados. Os tipos de partes envolvidas e a complexidade exigida para a segurança desse ambiente cooperativo são analisados a partir de um modelo de segurança específico, que tem como objetivo estabelecer um nível de segurança satisfatório. É importante salientar a necessidade de se gerenciar a segurança como um todo, visualizando-a sob diferentes aspectos. Segundo Martini (2008), a preocupação com a segurança é fundamental por alguns motivos. Entre eles está o fato de que novas tecnologias sempre trazem novas possibilidades de vulnerabilidade; a tecnologia existente é frágil, e novas formas de ataques são criadas à medida que a inovação se apresenta. Por isso, entender a naturezados ataques se torna essencial. Outro motivo, que envolve principalmente os ambientes cooperativos, é que quanto maior a conectividade existente, maior será a possibilidade de um ataque acon- tecer. Isso se deve ao aumento das oportunidades de ataque ocasionado pela quantidade de partes envolvidas na troca de informações e pela interação entre os diferentes ambientes, o que resulta num aumento considerável dos pontos de vulnerabilidade. Por isso, conforme Tanenbaum e Wetherall (2011), defender-se acaba sendo uma tarefa muito mais difícil do que a própria invasão ou a sua tentativa. Além desses motivos para a preocupação com a segurança das informações, existe o fato de não existir uma classificação de informações que explique o seu real valor e, por isso, raramente são definidas boas estratégias de segurança. Deve-se considerar que a internet é um ambiente desconhecido, que deve ser visto como hostil e não confiável. Assim, quanto maior o cuidado com a segurança, maior a chance de a integridade das informações ser assegurada. A Figura 2 apresenta os elementos envolvidos na segurança da informação de um ambiente cooperativo. 3Modelo de segurança em ambientes cooperativos Figura 2. Elementos envolvidos na segurança da informação de um ambiente cooperativo. Tecnologia Negócio Legislação Processos Partes envolvidas Segurança da informação A área de segurança da informação das organizações deve ser capaz de ajustar os níveis de segurança, sem que isso comprometa a produtividade dos usuários que utilizam os recursos informatizados. É importante lembrar que, frequentemente, quanto maiores as funcionalidades disponíveis para os usuários, maior o nível de vulnerabilidade a que os dados ficam expostos e maior a possibilidade de ataques bem-sucedidos. A busca pelo estabelecimento de uma rede totalmente segura e pelo ofe- recimento de um nível extremo de segurança, sem falhas, não é conveniente, já que é impossível atingir tais parâmetros. Em vez disso, as organizações devem buscar a definição de um nível de segurança condizente com as suas necessidades e com as necessidades de cada usuário, conscientizando a todos sobre o bom uso, mas já assumindo os riscos de vulnerabilidades e possíveis ataques. Regras para canais de conexão Uma funcionalidade indispensável quando o assunto é segurança da informa- ção, principalmente em ambientes cooperativos, é a fi ltragem, ou as regras Modelo de segurança em ambientes cooperativos4 para os canais de conexão. Conforme Tanenbaum e Wetherall (2011), elas serão necessárias para proteger tanto as máquinas públicas da organização como também os locais que separam a organização do mundo exterior. Em um ambiente cooperativo, as regras de conexão podem ser extrema- mente complexas, devido ao alto grau de diversidade dos ambientes envolvidos e das outras redes, que também precisam ter privilégios específicos. Por isso, segundo Nakamura e Geus (2007), é necessário ter conhecimento de todos os aspectos de rede que envolvem o ambiente cooperativo. Tipicamente, toda organização precisa conectar seus recursos internamente, por meio de uma rede interna, pois isso vai facilitar a execução das tarefas básicas e diárias de todos os envolvidos com a empresa. Quando uma rede é interna, significa que ela ainda não está conectada a uma rede pública, ou seja, ela não acessa dados externos e permite somente o acesso interno dos seus usuários. No ambiente da rede interna, a possibilidade de ataques externos é prati- camente inexistente, pois ela está fisicamente isolada. As possibilidades de ataque se resumem à engenharia social ou a um invasor estar presencialmente dentro da organização. A engenharia social consiste em um método de ataque à segurança da informação em que o invasor utiliza a persuasão, abusando da ingenuidade, da confiança e da falta de habilidade do usuário para obter informações que podem ser utilizadas para efetivar acessos não autorizados a dados ou computadores. Atualmente, é muito comum que as empresas precisem se comunicar constantemente com as suas filiais. Considerando-se que a comunicação entre a matriz e as filiais seja privada e dedicada, e que não existam outros tipos de comunicação, ainda será necessário pensar na segurança interna. Poucos são os riscos de ataque nesse tipo de rede. Além da engenharia social, a organização deve tomar cuidado com funcionários insatisfeitos ou insiders, e também com funcionários terceirizados, pois são indivíduos que podem acessar recursos e dados e utilizá-los ou distribuí-los de forma indevida. 5Modelo de segurança em ambientes cooperativos Os insiders são pessoas de dentro da própria organização que configuram ameaças maliciosas, podendo ser funcionários insatisfeitos, ex-funcionários, terceirizados ou parceiros de negócios. O acesso remoto à rede das organizações é uma ferramenta que se popu- larizou rapidamente, facilitando as atividades quando o funcionário está em um cliente ou trabalha remotamente, da sua casa, ou ainda quando está em viagem a serviço. O acesso remoto é útil ainda quando a área de tecnologia da empresa precisa prestar suporte técnico, evitando o deslocamento e as despesas com o transporte dos técnicos. Certamente o acesso remoto gera um aumento da produtividade, mas ele passa a ser uma porta de entrada para ataques que podem trazer danos e prejuízos para a organização. Nesse sentido, o acesso remoto oferecido pela organização precisa envolver um método de autenticação eficiente, que utilize cartões inteligentes ou tokens de identificação, que podem ser enviados por SMS para o celular do usuário, por exemplo. Deve haver um registro das tentativas de conexão feitas na rede e de todas as ações realizadas durante as conexões bem-sucedidas, para tornar possível a auditoria das atividades na rede. Uma política de segurança bem difundida e implementada também é importante, para que os usuários se conscientizem da importância de colaborar para a proteção das informações privadas e corporativas. No entanto, o problema da segurança da informação teve início de fato com o advento da internet, pois da mesma maneira que a rede da organização pode acessar o mundo externo, o inverso também acontece. Qualquer pessoa que esteja navegando na internet poderia, em tese, acessar a rede da organização. É nesse momento que um firewall se torna imprescindível. Quando a internet é usada somente para que os usuários internos da em- presa acessem informações externas, o firewall serve para isolar a rede da organização das tentativas de acesso externo. Ele permite somente o acesso dos usuários internos à internet; o inverso não acontece. Nesse sentido, as regras de conexão do firewall deverão ser mais sim- ples, servindo apenas para bloquear tudo o que venha de fora e permitindo Modelo de segurança em ambientes cooperativos6 as conexões cuja origem seja a rede interna ou os serviços autorizados pela política de segurança estabelecida pelo setor de segurança de informação. Uma forma de aumentar a segurança do ambiente é utilizar um firewall formado de proxies para os serviços de HTTP e FTP. Esses proxies podem ocultar o endereço IP dos usuários, realizar filtragens no nível da aplicação, bloqueando o acesso a páginas desautorizadas, e exigir uma autenticação do usuário sempre que ele precisar acessar algum serviço, conforme explicam Nakamura e Geus (2007). Além disso, os registros armazenados para uma possível auditoria, nesse caso, contam com um detalhamento maior. Caso a internet seja utilizada na organização para fornecer serviços para o mundo ex- terno, será preciso que as regras de filtragem do firewall sejam mais complexas. HTTP, ou Hypertext Transfer Protocol, é o protocolo de transferência de páginas mais comum na internet. Ele é utilizado quando uma requisição é enviada para um servidor, e o servidor responde com as páginas e o conteúdo solicitado. É usado também para fazer upload e trocas de arquivos, somentede um sentido para outro, ou seja, da máquina usuária para o servidor, e vice-versa. Já o FTP (sigla em inglês para File Transfer Protocol) é utilizado para permitir acesso a pastas; ou seja, quando é feita uma requisição para um servidor, ele devolve a lista liberada de pastas e arquivos. Esse protocolo permite fazer o download e o upload de arquivos com facilidade. Caso a organização tenha a necessidade de fornecer informações mais específicas ou confidenciais para o mundo exterior, como preços, estoque, entre outros, surgirá a necessidade de controles de acesso e medidas de segurança mais efetivas para que os bancos de dados sejam compartilhados. Deverão ser levados em conta a localização do banco de dados e a escolha do método de autenticação para que o acesso seja liberado, e os registros de tentativa de acesso e transações realizadas com sucesso deverão ser detalhados e precisos, para fundamentar futuras auditorias ou investigações. A utilização de links dedicados para trafegar informações na internet acaba sendo algo muito caro para as organizações, principalmente quando inúmeros pontos devem estar interligados. Por isso, uma boa solução pode ser a utilização da VPN, em que um túnel ou caminho seguro é criado entre o gateway da matriz e o gateway da filial, por exemplo. Esse tipo de rede é 7Modelo de segurança em ambientes cooperativos conhecido como VPN gateway-to-gateway. Para que uma VPN possa ser utilizada, necessariamente precisa existir uma conexão com a internet, pois será essa a infraestrutura usada para a criação do túnel. A VPN (sigla em inglês para Virtual Private Network) é uma rede privada construída utilizando a infraestrutura de uma rede pública, como a internet. Em vez de realizar a conexão entre as máquinas utilizando links dedicados, utiliza-se a infraestrutura da internet para fazer a ligação entre redes ou dispositivos distantes. A complexidade da arquitetura de segurança e das regras de conexão aumentam à medida que novas conexões são necessárias para a organização. Quando um agente totalmente externo à empresa, como um fornecedor, precisa acessar informações internas, como controle de estoques, torna-se necessário realizar a conexão por meio de uma aplicação específica, e também que as mensagens trafeguem criptografadas pela rede. É preciso também garantir a integridade das informações, para que eventuais alterações no conteúdo não tragam prejuízos ou impactos negativos. Por conta disso, é fundamental garantir que somente usuários autorizados a efetivar uma conexão conseguirão ter acesso aos serviços e informações, com a possibilidade de fazer alterações conforme o seu perfil permitir. Segundo Martini (2008), ao passo que a quantidade de conexões entre as partes envolvidas no ambiente cooperativo aumenta, a necessidade de autenticar os usuários de maneira confiável também aumenta, tornando fundamental a utilização de um certificado digital, que é considerado uma solução ideal para esse tipo de ambiente. O certificado digital é um documento eletrônico que é assinado digital- mente por uma autoridade certificadora pertencente à ICP-Brasil. Ele contém informações do emissor, do seu titular, da chave pública e da sua validade, que para usuários finais varia de um a três anos. Normalmente os certificados digitais são armazenados em forma de arquivo e são extremamente confiáveis para a efetivação de transações e troca de mensagens. Modelo de segurança em ambientes cooperativos8 A ICP é um conjunto de recursos, serviços e políticas que fornecem apoio à utilização de criptografia de chave pública para fazer a autenticação das partes envolvidas em uma transação. Ela serve para gerenciar os certificados digitais por meio de uma cadeia hierárquica de confiança que viabiliza a sua emissão, visando à identificação virtual de alguém. O firewall cooperativo À medida que as necessidades de segurança aumentam, aumenta também a necessidade de proteger os recursos da organização, por isso a importância de um fi rewall cooperativo. O fi rewall cooperativo tem como fundamento básico apresentar uma arquitetura que envolva diversas tecnologias de segurança, importantes também no ambiente cooperativo. A integração de tecnologias como o firewall, a VPN, a DMZ, a criptografia de mensagens e tantas outras disponíveis no mercado não é uma tarefa das mais fáceis. Conforme Nakamura e Geus (2007), ela exige um planejamento criterioso e está ligada diretamente às necessidades da organização e dos usuários e, principalmente, aos recursos financeiros disponíveis. É preciso que os profissionais envolvidos compreendam os conceitos, as técnicas e as arquiteturas de cada uma dessas tecnologias de segurança, pois a utilização adequada de cada componente da segurança planejada vai influenciar no seu resultado. A necessidade de conexão e comunicação entre uma empresa e o mundo externo cresce à medida que o tamanho da organização e do negócio cres- cem, partindo de uma rede interna até chegar à arquitetura de um firewall cooperativo. O objetivo de um firewall cooperativo é facilitar a administração da segu- rança da informação do ambiente cooperativo, posicionando-a corretamente e integrando tecnologias específicas para que o ambiente e os usuários fiquem protegidos. Existe uma grande dificuldade na inserção de todas as tecnologias disponí- veis e adequadas dentro do contexto do ambiente cooperativo, mas o firewall cooperativo serve para auxiliar nisso. Em compensação, por mais que o firewall 9Modelo de segurança em ambientes cooperativos cooperativo ajude a definir as estratégias de defesa da organização, não se pode conceber que os administradores e os profissionais da área de segurança da informação ignorem a importância das funções de cada elemento envolvido. A Figura 3 mostra os elementos da arquitetura de um firewall cooperativo. Figura 3. Arquitetura de um firewall cooperativo. Fonte: Nakamura, Geus (2007, p. 424). VPN Firewall DMZ 2DMZ 1 Internet E-Mail FTP Banco de dados Web CA Rede interna da organização Na arquitetura demonstrada para o firewall cooperativo, a VPN deve fun- cionar junto com a autoridade certificadora (CA), para garantir a autenticação de usuários que precisam acessar os recursos da rede interna, assegurando que a troca de informações aconteça de forma sigilosa frente às demais partes do ambiente cooperativo. Além disso, essa arquitetura do firewall cooperativo demonstra que o acesso à internet deve ser disponibilizado pela DMZ1 e pela DMZ2. A DMZ2 será requisitada quando os recursos precisarem de um nível maior de segurança e para não terem acesso direto pelos usuários da internet. Modelo de segurança em ambientes cooperativos10 A DMZ (sigla em inglês para Demilitarized Zone) é chamada, em português, de rede de perímetro ou zona desmilitarizada. Ela é uma rede física ou lógica que expõe serviços de uma organização para uma rede maior e não confiável, como a internet. O firewall cooperativo deve ser capaz de monitorar constantemente os recursos localizados na rede interna da organização. Essa atividade deve evitar ataques maliciosos, tanto de usuários que estejam acessando os recursos pela VPN quanto de usuários que se encontram fisicamente na rede interna da organização. Conforme Nakamura e Geus (2007), o firewall cooperativo integra diversas tecnologias de segurança, dividindo a localização dos recursos em três: DMZ1: recursos públicos que são disponibilizados para acesso por meio da internet. DMZ2: recursos privados que são disponibilizados para acesso por meio da internet. Rede interna: recursos internos, que são acessados por meio da VPN. A proteção a que se refere cada tipo de recurso, bem como todo o esquema de segurança da informação, podem ser entendidos de maneira mais fácil quando se dividem os níveis de defesa em uma hierarquia organizada. Essa divisão facilita o desenvolvimento, a implementação e o controle da segurança de todas asconexões existentes em um ambiente cooperativo, possibilitando a definição dos tipos de proteção necessários a cada um dos recursos envolvidos (públicos, privados e internos). Os elementos de defesa que participam do ambiente cooperativo podem ser divididos em cinco níveis hierárquicos de defesa. O firewall cooperativo torna-se uma arquitetura de segurança que trabalha em conjunto com essa hierarquia, definindo e implementando todas as medidas de segurança neces- sárias. Por meio dessa hierarquização, fica possível entender em que ordem devem ser definidas e implementadas cada uma das regras de filtragem e conexão necessárias (Figura 4). 11Modelo de segurança em ambientes cooperativos Figura 4. Níveis hierárquicos de defesa. Fonte: Nakamura, Geus (2007, p. 427). 1º nível Filtragem TCP/IP 2º nível 5º nível 3º nível 4º nível Autenticação dos usuários (DMZ) Filtragem dos acessos aos recursos internos Autenticação na rede interna Firewall interno Regras de �ltragem A definição dos níveis de hierarquia envolve as regras de filtragem ou conexão, e ainda toda e qualquer autenticação que deve ser realizada para que os recursos da organização possam ser acessados. A intenção desses níveis de hierarquia é formar uma barreira gradual, em que o nível hierárquico inferior sempre consiste em uma barreira que trabalha contra os ataques mais genéricos e menos específicos. Os recursos externos, aqueles que são considerados públicos, são acessados no nível 2 da hierarquia de defesa. Em outras palavras, pode-se dizer que o acesso público vai passar por esse nível de hierarquia depois de passar pelo nível 1 da hierarquia, característico de todos os tipos de conexões e requisições de acesso. Nesse sentido, entende-se que o acesso aos recursos internos preci- sará passar, necessariamente, pelos níveis 1, 3, 4 e 5 da hierarquia da defesa. De acordo com Nakamura e Geus (2007), os recursos definidos como pú- blicos, privados e internos são protegidos pelos seguintes níveis de hierarquia de defesa: o nível 1 protege os recursos públicos; os níveis 1 e 2 protegem Modelo de segurança em ambientes cooperativos12 os recursos privados; e os níveis 1, 3, 4 e 5 protegem os recursos internos da organização. Por meio da divisão dos elementos de defesa em níveis hierárquicos, e inserindo cada recurso que deve ser protegido em um nível da hierarquia, fica mais fácil entender, planejar e controlar as medidas de segurança e as regras de filtragem e conexão. MARTINI, R. S. Tecnologia e cidadania digital: tecnologia, sociedade e segurança. Rio de Janeiro: Brasport, 2008. NAKAMURA, E. T.; GEUS, P. L. Segurança de redes em ambientes cooperativos. São Paulo: Novatec, 2007. TANENBAUM, A. S.; WETHERALL, D. J. Redes de computadores. São Paulo: Pearson, 2011. 13Modelo de segurança em ambientes cooperativos Encerra aqui o trecho do livro disponibilizado para esta Unidade de Aprendizagem. Na Biblioteca Virtual da Instituição, você encontra a obra na íntegra. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Jeanine dos Santos Barreto Normas de segurança em TI Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: Identificar as principais normas associadas à segurança em TI. Reconhecer os procedimentos recomendáveis na gestão de risco em TI. Avaliar o planejamento para evitar riscos de incidentes em TI. Introdução Seguir as diretrizes estabelecidas por uma norma ISO, ou mesmo conseguir uma certificação ISO, é algo que traz destaque para uma organização, melhorando sua imagem perante seus púbicos interno e externo. As normas ISO tratam de assuntos de diferentes áreas, estabelecendo diretrizes que devem ser adotadas pelas empresas para fazer uma ges- tão de riscos eficiente e, por consequência, trabalhar de forma efetiva a segurança dos seus dados e de suas informações. As normas que se iniciam pela ISO 27000 consistem em uma família de normas que visa à criação, à manutenção, à melhoria, à revisão, ao funcionamento e à análise de um Sistema de Gestão de Segurança da Informação; a ISO 27005, por exemplo, trata da gestão de riscos desse sistema. Elas oferecem a certificação de empresas e profissionais. As normas que se iniciam pela ISO 31000 também formam uma família e tratam da gestão de riscos, podendo ser aplicadas a empresas de qualquer tamanho e apresentando um guia para sua aplicação. Já a norma ISO 22301 abrange os requisitos para planejamento, estabelecimento, implementação, operação, monito- ramento, revisão, manutenção e melhoria contínua do sistema de gestão de continuidade de negócios, com o objetivo de proteger a empresa e evitar riscos de incidentes disruptivos. Neste capítulo, você vai estudar em detalhes essas normas e seu contexto de aplicação, tendo como base o Sistema de Gestão de Se- gurança da Informação e seus princípios básicos – confidencialidade, autenticidade, disponibilidade e integridade. Normas de segurança: ISO 27000 e 27005 Quando o assunto é ISO 27000, deve-se ter a compreensão de que ela compõe uma família de normas ISO, que trata sobre o Sistema de Gestão de Segurança da Informação (SGSI). Essas normas se relacionam com a segurança de dados digitais e de sistemas de armazenamento eletrônico de dados. As normas ISO foram criadas pela Organização Internacional de Padronização (ISO), visando a melhorar a qualidade de produtos e serviços. Essas normas internacionais se aplicam a várias áreas de interesse econômico e técnico. Elas fazem a certificação de produtos e serviços em várias organizações no mundo todo, oferecendo documentação com modelos padronizados para a implantação da gestão da qualidade. No Brasil, essas normas são compostas pela sigla NBR, sendo criadas e gerenciadas pela Associação Brasileira de Normas Técnicas (ABNT). São as empresas que escolhem seguir ou não as normas ISO, mas, uma vez que optem por segui-las, deverão estipular metas para que os requisitos das normas sejam cumpridos e a certificação seja obtida. É importante ressaltar que nem todas as normas resultam em uma certificação e que as empresas podem utilizar o modelo da norma para trabalhar seguindo as melhores práticas existentes no mercado. Fernandes (2014) aponta que o conceito de segurança da informação é algo muito mais amplo do que simplesmente a garantia da integridade de dados e informações de maneira tecnológica. O SGSI trata da segurança de todos os tipos de dados e informações, trazendo como princípios básicos a confidencialidade, a autenticidade, a disponibilidade e a integridade. Confidencialidade é quando a informação só é divulgada para aqueles indivíduos, processos e máquinas que têm autorização para acessá-la. Autenticidade é quando se tem a certeza de que a informação está vindo do reme- tente informado e não sofreu alterações por outras pessoas no meio do caminho. Disponibilidade é quando a informação é disponibilizada pelo máximo de tempo possível, de maneira resistente a falhas de equipamento e a falhas de energia. Integridade é quando a informação chega ao destinatário da maneira como o remetente queria, de forma sigilosa e somente com as alterações permitidas. Normas de segurança em TI2 Cada norma da família ISO 27000 tem uma função específica, mas todas visam à criação, à manutenção, à melhoria, à revisão, ao funcionamento e à análise de um SGSI. Essas normas podem ser adotadas pelas organizações, seja qual for o seu tamanho ou tipo, pois suas diretrizes visam a garantir que tanto os sistemas quanto as organizações estejam seguros, por meio de estratégias e orientações que fazem com que o SGSI se adapte à empresa que deseja fazer a sua implementação (INTENATIONAL ORGANIZATION FOR STANDARDIZATION, 2018). As diretrizes traçadas pelas ISO 27000 estabelecem o que deve ser feito durante todo o processo de implementação de um SGSI e tratam também de assuntos mais específicos, como requisitos e orientações que servirão paraas empresas que vão prestar serviços de certificação ou de auditoria em empresas que desejem implementar um SGSI. A família de normas ISO 27000 oferece certificação para empresas e para profissionais. Quando uma empresa é certificada pela norma ISO 27000, ela tem o reconhecimento de uma organização de padrão internacional, sendo que somente essa ideia já traz confiabilidade e boa imagem para todas as partes interessadas, sejam clientes, fornecedores, colaboradores, parceiros, etc. Outro grande benefício da implementação das ISO 27000 é que o processo auxilia a empresa a localizar seus pontos fracos e corrigir de maneira mais rápida e fácil as falhas no SGSI, fazendo suas revisões e atualizações com mais facilidade, o que trará também maior conscientização e envolvimento para o público interno da organização. A família de normas ISO 27000 é grande e possui diversas normas que se relacionam com um SGSI. Vejamos algumas delas abaixo: ISO 27000: traz informações básicas sobre as normas da família ISO 27000 e também um glossário sobre o assunto “segurança da informação”. ISO 27001: traz os fundamentos para a implementação de um SGSI em uma organização. ISO 27002: trata sobre a certificação do profissional, estabelecendo códigos de boas práticas para profissionais. ISO 27003: traz diretrizes específicas para a implementação do SGSI. ISO 27004: traz normas sobre as métricas e os relatórios do SGSI. ISO 27005: traz a norma sobre a gestão de riscos do SGSI. ISO 27006: traz a norma sobre requisitos para a acreditação de organi- zações que oferecem serviços de certificação de SGSIs. ISO 27007: traz diretrizes para fazer a auditoria de SGSIs. 3Normas de segurança em TI Em uma organização, as ameaças podem se relacionar tanto com a utiliza- ção de sistemas informatizados quanto com aspectos físicos e ambientais. As ameaças podem trazer, como consequência, impactos negativos nos negócios, perdas financeiras, paralisação de atividades essenciais, queda na imagem perante os clientes, entre outras. Segundo Bezerra (2013), no âmbito da norma ISO 27005, que trata sobre a gestão de riscos da área de segurança da informação, um risco é a possi- bilidade de uma ameaça específica explorar vulnerabilidades existentes em um ativo ou conjunto de ativos, de maneira que possa prejudicar ou trazer impactos negativos para a organização. Já uma medida de risco é o resultado da combinação entre a probabilidade de um evento indesejável acontecer e a consequência que ele trará. A descrição dos riscos de forma qualitativa e quantitativa permite aos gestores das organizações a priorização dos riscos, de acordo com a sua severidade ou com os critérios estabelecidos pela própria organização, com base em suas características e prioridades. A ISO 27005 estabelece diretrizes para o gerenciamento dos riscos de segurança de informação que vão auxiliar na implementação e na certificação dos sistemas de gestão. A gestão de riscos é um dos aspectos do processo de segurança da infor- mação de uma organização. Ela colabora para que o processo de segurança da informação aconteça de forma eficiente, eficaz e contínua, ao longo do tempo. A norma ISO 27005 é o desdobramento de um requisito para a segurança e traz o seguinte procedimento para a implementação da gestão de riscos e da segurança da informação, de acordo com Bezerra (2013): Contextualizar os riscos: nessa fase é preciso que se definam os deta- lhes para a gestão de riscos na organização e também a área que ficará responsável pelo processo de gerenciamento de riscos e segurança da informação. Analisar os riscos: essa fase envolve a identificação dos eventos que podem trazer perdas para a organização, ou seja, as ameaças. Depois disso, devem ser identificados os controles existentes, se houverem, e a eficácia de cada um desses controles ao evitar que uma ameaça explore efetivamente uma vulnerabilidade da empresa. É a partir da informação sobre as ameaças e da efetividade dos controles que é possível identificar o nível dos riscos. Conhecendo o seu nível de riscos, a organização pode decidir entre reduzir o risco, criando novos controles, aceitar os riscos, evitar ou até mesmo transferir a responsabilidade pelos riscos. Normas de segurança em TI4 Avaliar os riscos: essa fase envolve a priorização dos riscos por critérios estabelecidos pela própria organização. Essa avaliação deve considerar impactos ambientais, operacionais, financeiros, oportunidades de ne- gócio, cumprimento de requisitos legais, entre outros aspectos. Gestão de riscos: ISO 31000 As organizações, sejam elas privadas ou públicas, de todos os tipos e tama- nhos, estão frequentemente expostas a todos os tipos de riscos, desde danos à sua imagem ou marca, até crimes cibernéticos ou terroristas, como afi rma Fernandes (2014). A ISO 31000 também constitui uma família, formada por normas que iniciam com essa numeração. As normas da família ISO 31000 tratam do assunto da gestão de risco. Elas não são normas que visam a certificar as organizações que as utilizarem, e podem ser implementadas em qualquer empresa, independentemente da sua área ou setor de atuação, do seu tamanho, ou da quantidade de funcionários que possui. A família ISO 31000 é formada pelas seguintes normas correspondentes e conexas: ISO 31000: traz informações básicas, princípios e diretrizes ou melhores práticas para a implementação da gestão de riscos. ISO 31010: traz técnicas de avaliação e gestão de riscos. ISO Guia 73: traz um vocabulário com expressões relacionadas à gestão de riscos. A gestão de riscos é o processo de organização e planejamento de recursos humanos e materiais de uma organização, que visa a reduzir ao mínimo possível os impactos dos riscos, utilizando um conjunto de técnicas e ferramentas que ajudam a minimizar os efeitos dos danos e tratando os riscos que possam afetar as pessoas, os projetos, os processos, o ambiente interno da empresa e a sua imagem perante a sociedade. A família de normas ISO 31000 serve de guia, trazendo informações e recomendações que ajudam aquelas organizações que optaram por implementá- 5Normas de segurança em TI -la, e fornece informações básicas que auxiliam em todos os tipos de gestão de riscos, inclusive na tomada de decisão em todos os níveis organizacionais. As normas ISO 31000 têm como principal objetivo fazer com que as or- ganizações tenham a devida compreensão do que é a gestão de risco. Elas auxiliam a prever possíveis crises e a tornar o prejuízo o menor possível, caso uma crise se concretize, servindo como normas mais genéricas e oferecendo diretrizes para que a empresa saiba que rumo tomar e como se comportar para se prevenir de riscos (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009). Como essas normas não têm como propósito fazer a certificação das or- ganizações, as ISO 31000 procuram fazer com que cada organização elabore a sua própria maneira de fazer a gestão de riscos, de acordo com as suas necessidades e características particulares, fazendo funcionar o processo de forma eficiente. Um risco é um evento ou uma situação incerta que, caso ocorra, pode provocar um impacto positivo ou negativo em algum projeto, área ou processo de uma organização. Quando os eventos podem acarretar em um impacto positivo, eles representam as oportunidades, algo que pode influenciar de forma favorável no atingimento de algum objetivo, preservar valor agregado, ou ainda agregar valor a algo. Quando os eventos podem acarretar em impactos negativos, eles representam as ameaças, algo que pode influenciar de maneira desfavorável nos negócios da empresa, podendo trazer prejuízos de diversos tipos, inclusive financeiros e de imagem. As normas ISO foram criadas, então, para indicar o caminho correto, isto é, as melhores práticas na gestão de riscos. Por conta disso, elas oferecem diretrizes e orientações que as empresas podem seguir para desenvolver a sua própriagestão de riscos. As diretrizes e melhores práticas estabelecidas pelas ISO 31000 tratam sobre (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009): a noção sobre os riscos e as oportunidades em uma empresa; a remoção das fontes de risco; a alteração das consequências e das probabilidades; a atualização constante das informações sobre os riscos. Normas de segurança em TI6 A Figura 1 apresenta um processo de gestão de riscos. Figura 1. Processo de gestão de riscos. Fonte: Adaptada de ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (2009, p. 14). Monitoramento e análise crítica Comunicação e consulta Identi�cação de riscos Análise de riscos Avaliação de riscos Tratamento de riscos Processo de avaliação de riscos Estabelecimento do contexto Para uma gestão de riscos de sucesso, é preciso que a organização cumpra os seguintes requisitos, de acordo com a norma ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009): Comunicação e consulta: consiste na consulta das partes interessa- das, que deve ocorrer em todas as fases seguintes. Um bom plano de comunicação entre as partes interessadas e a organização a respeito dos riscos deve ser planejado e definido ainda nas etapas iniciais da gestão de riscos. Estabelecimento do contexto: definição dos critérios para a gestão de riscos e o escopo da gestão, isto é, as áreas e os setores envolvidos. Deve envolver questões a respeito de estrutura organizacional, respon- sabilidades, processos, sistemas a serem utilizados, legislação, política, finanças, tecnologia disponível, entre outras. Identificação de riscos: identificação de um conjunto de riscos, com o objetivo de gerar uma lista de riscos que possam afetar a realização dos 7Normas de segurança em TI objetivos da organização, tanto de maneira positiva quanto negativa. É importante lembrar que um risco não identificado nessa fase não será tratado nas demais. Análise de riscos: envolve a compreensão sobre os riscos da orga- nização, suas causas, fontes, consequências positivas e negativas, e ainda a probabilidade de ocorrerem. Essa análise pode ser feita em diversos graus de detalhamento, a critério da empresa, e ainda pode ser quantitativa ou qualitativa. Avaliação de riscos: envolve identificar quais riscos precisam ser tratados e a prioridade na implementação do seu tratamento. Tratamento de riscos: envolve a seleção de uma ou mais opções para modificar os riscos, e a implementação dessas opções. Nessa fase pode ser decidido se um risco deve ser reduzido, evitado, removido, aumentado (caso seja uma oportunidade), compartilhado com terceiros, ou, ainda, retido. Monitoramento e análise crítica: deve ser feito de forma contínua, mo- dificando aspectos da gestão de riscos que sejam julgados necessários. A implementação das normas ISO 31000 na organização permitirá uma gestão de riscos efetiva, que trará vantagens como (ASSOCIAÇÃO BRASI- LEIRA DE NORMAS TÉCNICAS, 2009): aumento na probabilidade de atingir objetivos; atenção para a necessidade de identificação e tratamento de riscos ao longo dos processos de toda a organização; melhoria na identificação de oportunidades e ameaças; melhoria na governança e na gestão da empresa; aumento da confiança das partes interessadas; utilização eficaz dos recursos para o tratamento dos riscos; aumento da aprendizagem e da resiliência organizacional; minimização das perdas e prejuízos causados pela efetivação dos riscos. Para uma organização, as partes interessadas correspondem a todos os elementos que afetam ou são afetados pela organização, pelas suas atividades e pelas decisões tomadas por ela. Entre as partes interessadas estão os funcionários, os clientes, as empresas parceiras, os fornecedores, o governo, entre outras. Normas de segurança em TI8 Planejamento contra incidentes: norma ISO 22301 Todas as organizações, independentemente da sua área de atuação ou do seu porte, estarão eventualmente sujeitas a sofrer interrupções nos seus processos ou passar por alguma situação adversa que possa difi cultar ou impedir suas operações e sua produção. Segundo Fernandes (2014), esse tipo de evento ou de interrupção nos servi- ços, apesar de se apresentar raramente, pode acontecer a qualquer momento, de maneira inesperada, e pode ser causado por diversos tipos de ameaças. Essas ameaças podem vir do ambiente interno da empresa, por meio de fraudes financeiras e falhas nos processos ou nos sistemas informatizados, ou ainda do ambiente externo da empresa, por meio de desastres naturais, incêndios, queda da economia, entre outros motivos. Em vista disso, as empresas precisam tomar precauções e estar preparadas para que possam garantir a continuidade de seu negócio, independentemente do tipo de desafios que se apresentem a elas. Por isso, a implementação de um plano ou sistema de gestão de continuidade de negócios, e também de um plano de recuperação de incidentes, torna as empresas capazes de lidar com qualquer tipo de situação indesejada e de manter o pleno funcionamento dos serviços essenciais da organização, até que a situação se normalize por completo. Um plano de gestão de continuidade de negócios eficiente contém os principais elementos necessários para a gestão de risco e para a análise de impacto para os negócios. A etapa da identificação dos riscos e dos impactos relacionados a eles é seguida pelo planejamento das políticas, dos objetivos, dos planos e das responsabilidades que proporcionarão as características de resiliência e adaptação para a organização, essenciais para a recuperação em situações adversas. O processo de continuidade de negócios auxilia no entendimento de como a empresa trabalha e onde podem ocorrer falhas, tornando possível aprimo- rar os processos de negócio. A continuidade do negócio é um compromisso para todas as organizações, pois é estabelecida por requisitos legislativos, de regulamentação, setoriais, de produtos e de serviços. O plano de gestão de continuidade de negócios deve ser idealizado e im- plementado de maneiras diferentes para cada empresa, sempre levando em conta as características e necessidades próprias do negócio. Por isso, é preciso que os profissionais responsáveis pela gestão da continuidade do negócio levem em consideração três elementos essenciais na definição desse plano (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013): 9Normas de segurança em TI analisar os riscos, identificando tudo o que pode vir a acontecer de aspecto negativo para os processos da organização, ou seja, quais são as principais ameaças ao negócio da empresa; analisar os impactos, identificando de que forma as ameaças poderão impactar nos negócios da organização; elaborar o planejamento estratégico, que vai estabelecer quais são as atitudes a serem tomadas e as ações que se farão necessárias caso uma ameaça se apresente, visando à retomada normal das operações da organização. Normalmente, um plano de gestão de continuidade de negócios é composto por quatro planos, que são interligados e vinculados entre si: Plano de contingência ou emergência: esse é o plano que deve ser utilizado quando as ações de prevenção de incidentes tiverem falhado, e o incidente disruptivo tiver acontecido de fato. Ele é utilizado para definir as ações mais imediatas a serem tomadas. Plano de administração ou gerenciamento de crises: nesse plano são definidas as funções e as responsabilidades de cada equipe envolvida no acionamento das ações de contingência, que vão acontecer antes, durante e após a ocorrência do incidente. Plano de recuperação de desastres: é o plano que determina o plane- jamento que será utilizado, uma vez que o incidente esteja controlado e a crise tenha passado, para que a organização retome os seus níveis originais de operação e produção. Plano de continuidade operacional: o objetivo desse plano é o de restabelecer o funcionamento dos principais processos que suportam a operaçãoda empresa, a fim de reduzir o tempo de paralisação e os impactos provocados pelo incidente. A norma ISO 22301 traz a especificação dos requisitos para o planejamento, o estabelecimento, a implementação, a operação, o monitoramento, a revisão, a manutenção e a melhoria contínua do sistema de gestão de continuidade de negócios, com o objetivo de proteger a empresa, reduzindo a probabilidade de ocorrência e o tempo necessário para a resposta e a recuperação da empresa, em casos de incidentes que provoquem a paralisação temporária de processos, os chamados incidentes disruptivos. Normas de segurança em TI10 Um evento disruptivo significativo, que cause a paralisação não programada em processos de negócio, pode trazer impactos negativos severos e importantes para uma organização, entre eles: prejuízos financeiros e fiscais; interrupção da produção; exposição da imagem da empresa, prejudicando-a perante clientes e demais partes interessadas; perda da confiança e da credibilidade perante os públicos interno e externo à organização. A resposta adequada a um evento desse tipo necessita da mobilização de toda a organização, de forma estruturada, rápida, coerente e assertiva, para que possa diminuir ou evitar os impactos negativos. Por isso, a gestão da con- tinuidade de negócios planeja, implanta e mantém atualizados e disponíveis, para todos os envolvidos, os planos e procedimentos fundamentais para uma recuperação efetiva depois de a empresa ter enfrentado o evento. Dessa forma, a norma ISO 22301 oferece a melhor estrutura possível para a gestão da continuidade de negócios em uma organização, uma vez que uma organização pode obter a certificação por meio de uma entidade reconhecida e, assim, comprovar essa conformidade aos seus clientes e demais partes interessadas (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013). Essa norma faz com que a organização entenda e priorize as ameaças ao seu negócio e especifique os requisitos para que o sistema de gestão proteja o negócio contra incidentes e reduza a possibilidade de eles ocorrerem, garantindo que a empresa se recupere caso eles se efetivem. Quando a gestão da continuidade de negócios é implementada de maneira correta, ela possibilita a redução da probabilidade de incidentes que provocam a interrupção ou ameaçam o seguimento normal dos processos da organização. Caso algum evento desse tipo ocorra, a organização estará pronta para tratá-lo e respondê-lo de forma adequada, reduzindo de forma drástica os possíveis danos gerados. Qualquer organização, independentemente de ser grande ou pequena, privada ou pública, que tenha ou não fins lucrativos, pode implementar o padrão da norma ISO 22301. Esse padrão foi idealizado de uma forma que possa ser aplicado em organizações de qualquer tipo ou tamanho. A certificação com a norma ISO 22301 ajuda a melhorar a forma como a organização, como um todo, administra as suas eventualidades. Essa norma 11Normas de segurança em TI garante um sistema de gerenciamento de continuidade de negócios planejado e efetivo, que permite responder de modo eficaz a qualquer perturbação que surja. O plano de continuidade de negócios tem como objetivo principal a criação de padrões de procedimentos que devem ser adotados em situações adversas, para que a organização possa se recuperar, retomar seus processos e dar prosseguimento às atividades mais importantes para o negócio, evitando que ocorram danos mais profundos, que possam provocar prejuízos financeiros e de imagem. O programa geral de um gerenciamento de continuidade de negócios deve envolver o planejamento de atividades como treinamentos, exercícios e re- visões regulares. Mesmo que a organização nunca tenha passado por um incidente grave, implantar um gerenciamento de continuidade de negócios fundamentado na norma ISO 22301 pode ajudar a definir os processos que serão fundamentais para tratar esse tipo de evento, caso ocorra, e seus possíveis impactos na organização. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT/CEE/ISO 22301: segurança da sociedade: sistema de gestão de continuidade de negócios: requisitos. 2013. Dispo- nível em: <https://pt.scribd.com/document/356801706/ISO-22301-Portugues-pdf>. Acesso em: 26 maio 2018. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR/ISO 31000: gestão de ris- cos: princípios e diretrizes. 2009. Disponível em: <https://gestravp.files.wordpress. com/2013/06/ iso31000-gestc3a3o-de-riscos.pdf>. Acesso em: 8 jun. 2018. BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2013. FERNANDES. A. A. Implantando a governança de TI: da estratégia à gestão de processos e serviços. Rio de Janeiro: Brasport, 2014. INTENATIONAL ORGANIZATION FOR STANDARDIZATION – ISO. ISO/IEC 27000: infor- mation technology: security techniques: information security management systems: overview and vocabulary. 2018. Disponível em: <https://www.sis.se/api/document/ preview/ 80001198/>. Acesso em: 8 jun. 2018. Normas de segurança em TI12 https://pt.scribd.com/document/356801706/ISO-22301-Portugues-pdf https://gestravp.files.wordpress/ https://www.sis.se/api/document/ Encerra aqui o trecho do livro disponibilizado para esta Unidade de Aprendizagem. Na Biblioteca Virtual da Instituição, você encontra a obra na íntegra. FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO Jeanine dos Santos Barreto Aplicação de normas, padrões internacionais e certificações Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: Compreender o uso das normas e padrões internacionais de segurança da informação. Reconhecer as principais normas e padrões internacionais de segu- rança da informação. Identificar as principais certificações para quem trabalha com segu- rança da informação. Introdução A segurança da informação é um assunto que vem se expandindo ao longo dos últimos anos e se tornando uma preocupação constante para organizações de todos os segmentos e portes. Isso se deve, em grande parte, ao aumento do número de incidentes relacionados à segurança, que ocorrem com cada vez mais frequência mundialmente. Os danos trazidos podem ser variados, não somente envolvendo a perda, o roubo, o extravio e as alterações indevidas das informações, mas também atingindo a imagem da empresa perante seus clientes e parceiros. Em vista disso, muitas são as normas e os padrões internacionais elaborados com o intuito de divulgar boas práticas e diretrizes sobre a segurança da informação, servindo de fundamento para as atividades relacionadas à essa área nas organizações. Neste capítulo, você vai estudar o uso das principais normas e pa- drões internacionais de segurança da informação e também as principais certificações para os profissionais da área. O uso das normas e padrões internacionais de segurança da informação A área da segurança da informação se relaciona com a proteção de conjuntos de dados ou informações, a fi m de preservar o valor que possuem para um indivíduo ou uma organização; ou seja, objetiva preservar informações pessoais ou corporativas. A informação pode estar armazenada para uso restrito ou pode ser pública, para que todos a acessem sem restrição. Os dados não possuem um significado relevante de maneira isolada e representam algo que, a princípio, não possui um sentido, não serve para fundamentar conclusões nem para respaldar decisões. A informação é a ordenação ou a organização de dados de tal forma que eles transmitam um significado e possam ser compreendidos, desde que analisados dentro de um contexto. A segurança da informação não se restringe somente à informação eletrô- nica, que tramita em sistemas informatizados com armazenamento eletrônico, e sim a todos os aspectos que envolvem a proteção dos dados e das informações. Os atributos básicos da segurança da informação dizem respeito à forma como a informação é tratada; são eles: disponibilidade, confidencialidade, autenticidade e integridade.
Compartilhar