Gestão da Segurança da Informação

Prévia do material em texto

Informação e Segurança
Nota-se que o principal ativo das empresas modernas são os dados e as informações, e o grande desafio é a proteção efetiva desses ativos.
Conceitos iniciais: dados e informação
De acordo com Le Coadic (1996), os dados e a informação podem ser definidos como:
· Dados
Os dados são registros soltos, aleatórios, sem quaisquer análises; são códigos que constituem a matéria-prima da informação, ou seja, é a informação não tratada que ainda não apresenta relevância. Podemos defini-los, também, como conhecimento bruto, ainda não devidamente tratado, para prover insights para uma organização.
Fonte: LE COADIC, 1996.
· Informação
A informação é qualquer estruturação ou organização dos dados. Ela é um registro, em suporte físico ou intangível, disponível à assimilação crítica para a produção do conhecimento. As informações são os dados devidamente tratados e analisados, produzindo conhecimento relevante.
Fonte: LE COADIC, 1996.
Informação é quando um dado ganha significado.
A informação é um recurso que move o mundo, além de nos dar conhecimento de como o universo está caminhando. Se prestarmos atenção, podemos identificar que somos o que somos porque transformamos informação em vida. Ela pode existir em diversos formatos: impressa, armazenada digitalmente, falada, transmitida pelos aplicativos de voz etc.
O CERT.br é o único grupo que mantém estatísticas atualizadas de incidentes que são reportados voluntariamente no Brasil, desde 1999. Mantido pelo Comitê Gestor da Internet no Brasil, o grupo é responsável por receber, analisar e responder os incidentes de segurança em computadores envolvendo redes conectadas à internet no Brasil.
O que é segurança da informação?
De acordo com a norma ISO/IEC 27002, segurança da informação é a proteção da informação contra diversos tipos de ameaças, para garantir a continuidade dos negócios, minimizar os dados aos negócios e maximizar o retorno de investimentos e as oportunidades de negócio.
A segurança da informação também pode ser definida como um conjunto de medidas que se constituem, basicamente, de controles e política de segurança, tendo como objetivo a proteção das informações dos clientes e da empresa e o controle do risco de revelação ou alteração por pessoas não autorizadas.
Veja alguns conceitos detalhados no infográfico a seguir:
· Incidente de segurança - Corresponde a qualquer evento adverso relacionado à segurança; por exemplo, ataques denegação de serviços (Denial of Service – DoS), roubo de informações, vazamento e obtenção de acesso não autorizado a informações.
· Ativo – Qualquer coisa que tenha valor para a organização e para os seus negócios.Alguns exemplos: banco de dados, softwares, equipamentos (computadores, notebooks), servidores, elementos de redes (roteadores, switches, entre outros),pessoas, processos e serviços.
· Ameaça – Qualquer evento que explore vulnerabilidades. Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.
· Vulnerabilidade – Qualquer fraqueza que possa ser explorada e comprometer a segurança de sistemas ou informações. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Vulnerabilidades são falhas que permitem o surgimento de deficiências na segurança geral do computador ou da rede. Configurações incorretas no computador ou na segurança também permitem a criação de vulnerabilidades. A partir desta falha, as ameaças exploram as vulnerabilidades, que, quando concretizadas, resultam em danos para o computador, para a organização ou para os dados pessoais.
· Risco – Combinação da probabilidade (chance da ameaça se concretizar) de um evento ocorrer e de suas consequências para a organização. Algo que pode ocorrer e seus efeitos nos objetivos da organização.
· Impacto – Consequência avaliada de um evento em particular.
· Ataque – Qualquer ação que comprometa a segurança de uma organização.
Modelos de ataque
De Acordo com Dias (2000), o ataque é um ato deliberado de tentar se desviar dos controles de segurança, com o objetivo de explorar as vulnerabilidades.
· Interrupção – Quando um ativo é destruído ou torna-se indisponível (ou inutilizável), caracterizando um ataque contra a disponibilidade.
Por exemplo, a destruição de um disco rígido.
· Interceptação – Quando um ativo é acessado por uma parte não autorizada (pessoa, programa ou computador), caracterizando um ataque contra a confidencialidade.
Por exemplo, cópia não autorizada de arquivos ou programas.
· Modificação – Quando um ativo é acessado por uma parte não autorizada (pessoa, programa ou computador) e é alterado, caracterizando um ataque contra a integridade.
Por exemplo, mudar os valores em um arquivo de dados.
· Fabricação - Quando uma parte não autorizada (pessoa, programa ou computador) insere objetos falsificados em um ativo, caracterizando um ataque contra a autenticidade.
Por exemplo, a adição de registros em um arquivo.
O que são ativos de informação?
De forma geral, tudo que, para uma organização, for uma informação que tenha relação com o funcionamento do dia a dia, passa a ser um ativo que deve ser protegido. Em resumo, ativo é tudo que armazena ou transporta informação na empresa.
Ativo é tudo que manipula informação:
· infraestrutura;
· tecnologia;
· aplicações;
· informações;
· pessoas.
Pilares da segurança da informação
Os pilares da segurança da informação são utilizados para sustentar toda a estrutura das soluções, metodologias e ferramentas colocadas em prática, para garantir a integridade dos dados e dos ativos de informação.
Pilares devem ser considerados quando for realizar o planejamento para evitar a perda, o sequestro e a violação dos dados em diferentes cenários de risco. Lembramos que a questão da segurança não diz respeito somente a ameaças e ataques virtuais.
As medidas de controle aumentam a segurança da informação contra ataques fazendo uso de um ou mais mecanismos de segurança. De acordo com Moraes (2010, p.26), são considerados como princípios básicos de segurança, listados nas sanfonas a seguir:
· Confidencialidade
É definida como a proteção dos dados transmitidos contra ataques passivos, ou seja, contra acessos não autorizados, envolvendo medidas como controle de acesso e criptografia. A perda da confidencialidade ocorre quando há uma quebra de sigilo de uma determinada informação (exemplo: a senha de um usuário ou de um administrador de sistema) permitindo que informações restritas sejam expostas, as quais seriam acessíveis apenas por um determinado grupo de usuários.
· Autenticidade
Tem como finalidade garantir que uma informação é autêntica, ou seja, a origem e o destino podem verificar a identidade da outra parte envolvida na comunicação, com o objetivo de confirmar que a outra parte é realmente quem alega ser. A origem e o destino tipicamente são usuários, dispositivos ou processos.
· Integridade
É a garantia contra ataques ativos por meio de alterações ou remoções não autorizadas. É relevante o uso de um esquema que permita a verificação da integridade dos dados armazenados e em transmissão. A integridade pode ser considerada sob dois aspectos: serviço sem recuperação ou com recuperação. Por exemplo, se a integridade de um sistema de controle de acesso a um sistema operacional for violada, também será violada a confidencialidade de seus arquivos. A perda de integridade surge no momento em que uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
· Não repúdio
Compreende o serviço que previne uma origem ou um destino de negar a transmissão de mensagens, isto é, quando uma mensagem é enviada, o destino pode provar que ela foi realmente enviada por determinada origem, e vice-versa.
· Conformidade
Dever de cumprir e fazer cumprir regulamentos internos e externos impostos às atividades da organização. Estar em conformidade é estar de acordo, seguindo e fazendo cumprir leise regulamentos internos e externos.
· Controle de acesso
Trata de limitar e controlar o acesso lógico/físico aos ativos de uma organização, por meio dos processos de identificação, autenticação e autorização, com o objetivo de proteger os recursos contra acessos não autorizados.
· Disponibilidade
Determina que os recursos estejam disponíveis para acesso por entidades autorizadas, sempre que solicitados, representando a proteção contra perdas ou degradações.
A confidencialidade, a integridade e a disponibilidade são princípios críticos da segurança, pois a sua ausência pode afetar, de forma negativa, o ambiente informacional da organização.
O que é norma ISO/IEC família 27000
As normas de segurança da informação foram criadas, inicialmente, para permitir a redução de custos nas organizações e prover uma forma de realizar avaliações dentro do âmbito organizacional.
Fazem parte da família ISO/IEC 27000 as normas relacionadas ao Sistema de Gestão da Segurança da Informação. De acordo com a publicação do catálogo da ABNT NBR ISO/IEC 27001, as normas mais conhecidas e utilizadas nas organizações brasileiras são:
A família das normas ISO 27000 possui atualmente 16 livros/normas, todas voltadas para a implementação e a operação de um SGSI (Sistema de Gestão de Segurança da Informação), alinhado a padrões internacionais e adequado a organizações de todos os portes e segmentos.
Quis:
1 – Há uma propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida. Baseando-se nas informações do enunciado, qual é essa propriedade? Assinale a alternativa correta: Integridade Essa propriedade garante que a informação fique sem alterações indevidas durante o seu ciclo de vida.
2 – Para implantar a segurança da informação na sua organização, o gestor de segurança deverá considerar os três atributos fundamentais (base) da segurança da informação. Assinale a alternativa correta que apresenta tais atributos: Confidencialidade, integridade e disponibilidade são definidos como os pilares do processo de implantação da segurança da informação.
3 – A implantação de uma política de segurança da informação em uma organização requer a identificação de ativos de informação relevantes para o negócio. Após a identificação dos ativos de informação, deve-se aplicar um conjunto de regras e medidas que visam a proteger todos os ativos de informação. Sobre o assunto, analise as afirmações a seguir: A afirmativa I está correta, pois, de acordo com o estudado, o ativo é tudo o que manipula e armazena informação na organização, ou seja, que agrega valor à informação. A afirmativa II também está correta, pois as ameaças geram incidentes indesejados. A afirmativa IV também está correta, pois as vulnerabilidades são falhas de segurança na infraestrutura, que permitem que os ataques sejam bem-sucedidos.
4 – A informação é um ativo que deve ser protegido e cuidado por meio de regras e procedimentos das políticas de segurança, do mesmo modo que protegemos nossos recursos financeiros e patrimoniais. Sabendo que um sistema de segurança da informação baseia-se em três princípios básicos, assinale as alternativas corretas:
- A confidencialidade é a garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso.
A alternativa está correta. A confidencialidade é a garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso.
- A integridade é a garantia da exatidão e da completeza da informação e dos métodos de processamento.
A alternativa está correta. A integridade é a garantia da exatidão e da completeza da informação e dos métodos de processamento.
- A disponibilidade é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
A alternativa está correta. A disponibilidade é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
5 – A família de normas ISO/IEC 27000 está relacionada ao Sistema de Gestão da Informação nas organizações.
Identifique as alternativas que preenchem cada afirmativa abaixo:
As normas da família ISO/IEC 27000 fornecem a visão geral dos Sistemas de Gerenciamento de Segurança da Informação.
Se você quiser construir os alicerces da segurança da informação em sua organização e definir sua estrutura, deve usar a ISO _____.
Se você quiser implementar controles, deve usar a ISO ______.
Se você quiser realizar a avaliação de riscos e o tratamento de riscos, deve usar a ISO _____.
- ISO/IEC 27001.
A alternativa está correta. ISO/IEC 27001: a norma que define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI).
- ISO/IEC 27002.
A alternativa está correta. ISO/IEC 27002: código de práticas com um conjunto completo de controles, que auxiliam a aplicação do Sistema de Gestão da Segurança da Informação.
- ISO/IEC 27005.
A alternativa está correta. ISO/IEC 27005: cobre a gestão de riscos de segurança da informação.
Ameaças, riscos e vulnerabilidades
Conceitos fundamentais
· O que é risco? Risco é definido como a possibilidade, ou ainda, a probabilidade de algo acontecer a um bem organizacional, como exemplo, o SGBD (sistema de gerenciamento de banco de dados) e seus dados armazenados, a partir de uma exposição. Logo, perder dados é um dos exemplos de risco no contexto de segurança da informação. Para ficar fácil assimilar o conceito de risco, pense que está relacionado com um dano real.
· O que são ameaças? As ameaças são definidas como ações que têm intenção de prejudicar, um ou mais bens da organização. Devemos entender que ameaças não se caracterizam exclusivamente por ações humanas de forma direta. Enchentes e terremotos, por exemplo, são classificados como ameaças naturais. Em contraponto, verificam-se as ameaças digitais, advindas e/ou criadas por humanos em ambientes computacionais, tais como: vírus, worms (vermes), malwares (códigos maliciosos). Comumente, vírus de computadores são criados com intenções finais, que envolvam prejuízo financeiro à organização ou indivíduo específico fora de uma organização. Abstraia, nesse momento, que ameaças estão diretamente relacionadas com danos potenciais.
· O que são vulnerabilidades? Vulnerabilidades são caracterizadas como “brechas”, que possibilitam que uma ameaça se concretize em um ativo, por exemplo, em um bem da organização. De forma análoga, um vírus biológico, transmitido pelo ar, tem maiores chances de se instalar, ou seja, de contaminar uma pessoa com sistema imunológico deficitário. Da mesma forma, no contexto de tecnologia, uma ameaça como um vírus de computador pode se aproveitar da ausência ou da falta de atualização do sistema de firewall. Para você gravar esse conceito, tenha em mente que vulnerabilidades estão relacionadas a falhas em algo que está em operação.
Eventos e incidentes
Um incidente é um evento que exerce um impacto negativo sobre operações. Incidentes são eventos que justificam uma contramedida. Por exemplo, roubo em um depósito por um funcionário é um incidente.
Incidente é um evento adverso, seja confirmado ou em suspeita de ocorrer, relacionado diretamente com a segurança de sistemas, ocasionando, com isso, a perda de alguns dos princípios: confidencialidade, disponibilidade e integridade.
Segundo a norma ISO 27001, um evento de segurança da informação é:
[...] uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação (ABNT, 2006, p. 10).
Desastres e recuperação
Em tecnologia da informação, um desastre é definido como qualquer problema não esperado que termine resultando diretamente em: lentidão, interrupção e/ou falha em um sistema ou rede que seja de vital importância para uma organização.· Prevenção - Para evitar e minimizar a frequência e a ocorrência de desastres.
· Antecipação - Para identificar prováveis ​​desastres e consequências relacionadas.
· Mitigação - Tomar medidas para gerenciar desastres para minimizar o impacto negativo.
Plano de recuperação de desastres
O plano de recuperação de desastres envolve políticas e procedimentos, com o objetivo de permitir rápida recuperação e continuação da infraestrutura da organização, quando ocorrer um desastre natural ou provocado pelo homem.
Um plano de recuperação de desastre (DRP) direciona as ações necessárias para recuperar recursos após um desastre. Um DRP faz parte de um BCP e é necessário para garantir a restauração de recursos exigidos pelo BCP até um estado disponível. O DRP estende e dá suporte ao BCP, identificando eventos que possam causar danos a recursos necessários para dar suporte a funções críticas de negócios. O BCP já contém uma lista dos recursos necessários para dar suporte a cada função de negócios. O próximo passo ao desenvolver um DRP é considerar o que poderia acontecer a cada recurso. Na citação, vimos que o DRP é um elemento do BCP (Business Continuity Plan - plano de continuidade de negócios).
Tipos de ameaças de segurança
Os tipos de ameaças são divididos em quatro classificações distintas:
· Vazamento de informação - O vazamento em si de dados, ou sua a disponibilização externa pode ocorrendo: 
Involuntariamente: por falha de hardware, por exemplo, em um desastre natural, erro de programação, erro de usuário por desconhecimento. 
Voluntariamente: por pessoa mal-intencionada, via roubo; espionagem; fraudes com adulteração de dados e/ou identificação de usuários furtada, por sabotagem, invasão de sites etc.
· Violação da integridade - Comprometimento direto de consistência de dados, ou sistema, com intermediação de alteração não autorizada em dados. É considerado violação da integridade: alteração de páginas de site, erro de software que, como exemplo, altere o salário de colaboradores da empresa. Vale ressaltar que esse tipo de violação pode ser considerado como violação voluntária ou involuntária.
· Indisponibilidade de serviços - Impedimento proposital do acesso aos recursos computacionais através de usuários com ou sem autorização. Os chamados ataques DDos (do inglês Denial of Service), são exemplos de ataques para ocasionar a negação de serviços em um site da internet.
· Acesso e uso não autorizados - Pode ocorrer em situações de roubo de senhas, quando, um terceiro passa então a ter acesso a informações das quais não teria acesso de forma autorizada. Ou, também, através de ataques diretos ao banco de dados de uma organização, através de trojans, infectando uma rede.
Avaliação, análise e gerenciamento de riscos
A gestão de riscos inclui identificar diretamente as perdas e impactos causados em caso de comprometimento de confidencialidade de informações, ou também de seu roubo, que por sua vez são informações restritas às organizações. Devemos compreender que esses riscos têm relação com a distribuição dos dados com importância crítica e com a perda da integridade dessas informações.
A análise qualitativa de riscos tem característica subjetiva, tomando como base as melhores práticas e a experiência da equipe que a constrói. O resultado da análise qualitativa ocorre por meio de uma listagem de vulnerabilidades, apresentando uma escala (baixa, média, alta) de riscos. A análise quantitativa, por sua vez, resulta em um melhor dimensionamento do impacto.
Controles e tratamentos de riscos
Controles são divididos em cinco tipos distintos (MORAES, 2010):
Controle é usado como um sinônimo para “medida”.
QUADRO 1 - Séries da norma ISO 27000
O sistema de gestão ISO 27005 nos mostra que pela definição de um contexto, realiza-se a fase de análise e, posteriormente, de avaliação de riscos. Essas etapas incluem a identificação e estimativa de riscos, conforme podemos perceber a seguir:
Desse entendimento, após a avaliação de riscos, caso seja satisfatória, opta-se, por meio do tratamento de riscos, entre quatro opções distintas:
· Reduzir o risco; Reter o risco; Evitar o risco; Transferir o risco.
Dentro do tratamento de risco, como opções, temos: reduzir o risco, reter o risco, evitar o risco ou transferi-lo.
Medidas de segurança
A norma ISO/IEC 27002 estabelece o código de prática para gestão da segurança da informação, definindo:
Projetada para as organizações usarem como uma referência na seleção de controles dentro do processo de implementação de um sistema de gestão da segurança da informação (SGSI), baseado na ABNT NBR ISO/IEC 27001 ou como um documento de orientação para as organizações implementarem controles de segurança da informação comumente aceitos (ABNT, 2013 p. 4).
Controle de acesso
Objetivo a limitação do acesso a informações e recursos de processamento. Tal política considera diversos itens, tais como: disseminação e autorização da informação, gerenciamento de direitos de acesso, bem como sua remoção, regras para o acesso privilegiado, pedido de acesso, autorização de acesso, administração de acesso. Na norma ISO/IEC 27002 (ABNT, 2013), essa seção dispõe de 11 considerações nesse contexto.
Criptografia
Havendo objetivo de assegurar a utilização da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informação, a norma 27002 nos mostra na seção 10, diretrizes específicas para implementação, tais como:
Segurança física
A norma informa que o objetivo da segurança física é a prevenção do acesso físico de forma não autorizado, além também da prevenção danos e interferências com os recursos de que realizam processamento de informações, bem como quanto às informações da organização.
O perímetro de segurança física deve ser criado e utilizado para proteção: das áreas que contenham as instalações de processamento da informação como as informações críticas ou sensíveis.
· que os perímetros de segurança sejam claramente definidos e que sejam fisicamente sólidos: não conterem vulnerabilidades em que possa ocorrer invasão.
· que seja implantada uma área de recepção, ou outro meio para controlar o acesso físico ao local ou ao edifício, além de estabelecer barreiras físicas, onde aplicáveis, para impedir o acesso físico não autorizado;
· que portas corta-fogo do perímetro de segurança sejam providas de alarme;
· que sistemas de alarme à invasão, sejam instalados;
· que as instalações de processamento da informação gerenciadas pela organização fiquem. fisicamente separadas daquelas que são gerenciadas por partes externas (ABNT, 2013).
Proteção contra códigos maliciosos
Com o objetivo de assegurar que as informações estejam protegidas contra códigos maliciosos, deve-se considerar implementar controles de detecção, prevenção e recuperação, "combinado com um adequado programa de conscientização do usuário" (ABNT, 2013, p. 60).
A norma estipula as seguintes diretrizes, nesse contexto (listadas as principais):
· Criar política proibindo em relação ao uso de softwares não autorizados.
· Detectar o uso de softwares não autorizado.
· Detectar o uso de websites maliciosos.
· Proteger contra os riscos associados com a importação de arquivos e softwares.
· Reduzir vulnerabilidades que possam ser exploradas por códigos maliciosos.
· Manter e atualizar regularmente softwares de detecção e remoção de códigos maliciosos.
· Preparar planos de continuidade do negócio adequados para a recuperação em caso de ataques.
· Coletar regularmente informações, por meio de, por exemplo, assinaturas de listas de discussão e visitas a sites informativos sobre novos códigos maliciosos.
· Isolar os ambientes onde impactos catastróficos possam ser gerados (ABNT, 2013).
Quis
1 - Conforme o entendimento inicial desta unidade de estudo, percebemos que as organizações precisam lidar com eventos de intrusão em seus sistemas ou rede, o que pode gerar prejuízo e até interrupção nas operações. Considerando esse cenário, toda falha em um sistema defensivo de uma organização, permitindo explorações por açãocriminosa, caracteriza o conceito de:
Vulnerabilidade é caracterizada por falha(s) em um ambiente que estabeleça informações. Por exemplo, uma organização que mantém arquivos de dados confidenciais, mantendo o mecanismo de firewall ineficiente, abre, com isso, uma brecha para ataques maliciosos.
2 – A respeito de situações adversas que podem gerar a perda dos princípios da segurança de informações, como exemplo o princípio da confidencialidade, analise o trecho a seguir.
A equipe de tecnologia de uma organização financeira identifica que seu internet bank tem alto índice de acesso, repentinamente, ultrapassando o que seria considerado normal. 
Assinale a alternativa correta, que define o incidente mencionado no enunciado.
Pois forçar reinicialização de um sistema ou consumir todos os recursos, tais como memória ou processamento, por exemplo. Isso faz com que aquele sistema não forneça mais sua finalidade e define a negação de serviço. Utilizar dessas técnicas para interromper um web-site, é um exemplo.
3 – Assim que ocorre um incidente grave de segurança da informação, a organização necessita prontamente reestabelecer suas operações e, para isso, deve estar apoiada em diretrizes sólidas. Analise o trecho, a seguir, e assinale a alternativa que indica corretamente o que deve ser feito nesse tipo de situação.
plano de recuperação de desastres envolve um conjunto de políticas e procedimentos, com o objetivo de permitir a mais rápida recuperação e continuação de funcionamento da infraestrutura e de sistemas vitais de uma organização, quando houver a ocorrência de um desastre natural ou provocado pelo homem, de grande importância.
4 – Considerando os tipos de ameaças que podem comprometer as operações de uma organização, existem as ameaças naturais e as de características digitais, criadas pelo homem, como vírus e malwares. Nesse contexto, assinale as alternativas que correspondem à divisão das ameaças.
· Vazamento voluntário por fraudes com adulteração de dados.
· Alteração de salário de colaboradores como violação de integridade.
· Ataque que ocasione negação de serviço para indisponibilidade.
· Ataque direto ao banco de dados como acesso e uso não permitido.
5 – No gerenciamento de riscos, é importante a identificação de perdas e impactos no comprometimento de dados e informações. Ao ser realizada a gestão de riscos de uma organização, é preciso realizar levantamento de ativos tangíveis e intangíveis.
Assinale as alternativas que expressam outras fases ou etapas do início desse gerenciamento.
· Análise quantitativa.
· Análise qualitativa.
· Plano de ação.
Abordagem organizacional
Política organizacional
Conhecidas também como políticas corporativas, as políticas são caracterizadas como guias de orientação que dão auxílio às ações, a fim de se atingirem as metas e também os objetivos definidos para a empresa. 
Uma política serve como um manual, contendo diretrizes com base em objetivos, oferecendo, com isso, norteadores para as pessoas em uma empresa.
As políticas organizacionais propiciam maior facilidade na delegação de autoridade, por exemplo, do diretor para seus gerentes e de gerentes para os demais níveis da gestão organizacional. Elas favorecem, de fato, a descentralização de poder e de decisão, pois oferecem, ao nível hierárquico superior, a segurança de que sua equipe terá orientação adequada para a realização de tarefas.
Política de segurança da informação
Sistema de Gestão de Segurança da Informação (SGSI). Sendo uma composição de um sistema a nível mais amplo de gestão na empresa, um SGSI adota a mesma abordagem de gestão de riscos, particularmente em relação a análises, planejamento, implementação, manutenção e reação contra incidentes.
A implementação de um SGSI evidencia – para todos na organização, bem como para agentes externos, como investidores, fornecedores e parceiros – que a empresa está endereçando questões de sistema de informação de maneira sistemática e responsável.
O objetivo da política de segurança da informação é atender aos requisitos de segurança definidos por áreas de negócio, oferecendo suporte para alcance de objetivos da organização. É criada para estabelecer orientações de segurança e para estipular regras de como as diversas questões de segurança devem ser tratadas dentro da organização.
A política de segurança da informação (PSI) é, então, o documento que realiza orientação, estabelecendo diretrizes no que se refere à proteção de ativos de informação, de modo que deve ser aplicado a todas as esferas de uma organização.
Informações consideradas privadas (seguras, portanto,) são aquelas que atendem necessariamente a estas três propriedades:
· Disponibilidade – A informação é acessível por usuários autorizados sempre que a solicitarem.
· Integridade – Somente usuários autorizados podem alterar informação.
· Confidencialidade – Somente usuários autorizados podem visualizar informação.
Tipos específicos de políticas de segurança
Além da ISO 27001, a norma 27002 também aponta diretrizes específicas quanto à política de privacidade, a partir da seção 18.1.4 –
"Proteção e privacidade de informações de identificação pessoal".
Além disso, temos que a norma 29100 fornece uma estrutura de alto nível para a proteção da informação de identificação pessoal, no âmbito dos sistemas de tecnologia da comunicação e informação.
Com isso, conseguimos compreender que a família ISO 27000 oferece informações cada vez mais aprofundadas acerca de determinado contexto.
Implementação da PSI – ISO/IEC 27002
"Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes" (ABNT, 2013, p. 8).
Em relação a controles (medidas de segurança), a norma informa que:
- a política deve estar de acordo com os requisitos de negócio e com as leis;
- as medidas precisam sempre de análise crítica periódica, inclusive quando acontecerem mudanças importantes nos processos da organização.
Como diretrizes de implementação, é convencionado que a organização defina a PSI em mais alto nível, sendo aprovada pela direção, contemplando os seguintes requisitos: estratégia de negócio, regulamentações, ambiente de ameaça atual ou futura.
Temos, então, estas outras políticas a serem consideradas caso necessário: controle de acesso, classificação e tratamento da informação, segurança física e do ambiente, tópicos orientados aos usuários finais, backup, transferência da informação, proteção contra códigos maliciosos, gerenciamento de vulnerabilidades técnicas, controles criptográficos, segurança nas comunicações, proteção e privacidade da informação de identificação pessoal e relacionamento na cadeia de suprimento.
Segundo a 27002, políticas de segurança podem ser criadas em um único documento ou como um conjunto de documentos individuais, sendo estes relacionados.
Código de ética e conduta
O chamado "código de ética e conduta" consiste em um documento que estabelece diretrizes em relação ao comportamento de colaboradores e suas relações na organização. Buscando estabelecer transparência em processos e padronização de ações, esse documento oferece respaldo para tomada de decisão, bem como parâmetros para resolução de conflitos e/ou inconformidades que não sigam as diretrizes por ele estabelecidas.
Um bom código de conduta deverá apresentar responsabilidades de colaboradores quanto às suas ações, quanto ao relacionamento interpessoal e quanto ao ambiente de trabalho na organização.
Gerenciamento de ativos
Em se tratando de tecnologia e segurança da informação, ativo pode ser definido como aquilo que manipula a informação. Vejamos, a seguir, suas classificações segundo a norma ISO/IEC 27002.
No âmbito do domínio de segurança física, a norma refere-se ao controle de ameaças a pessoas ou ativos físicos, assim como classificados anteriormente.
Segundo David Kim (2014), os dados são classificados como privados, confidenciais, de uso interno e de domínio público.
Papéis e responsabilidades
A norma 27002 orienta que, na políticade segurança da informação, sejam definidos os papéis e as responsabilidades de maneira formal; essa definição impõe, de maneira clara, a autoridade às funções dentro da organização, contribuindo para o atendimento de necessidades no contexto de segurança em cada setor da empresa.
A estruturação em hierarquia nos mostra os papéis dos membros da organização em relação a planejamento, criação, manutenção e acompanhamento de políticas, em geral, de segurança.
Gerenciamento de incidente
Conforme aponta Aguilera-Fernandes (2017, p. 22), "a gestão de incidentes de segurança (security incident management) compreende a concepção e implementação de processo, objetivando a detecção, comunicação, avaliação, reação e tratamento sistemático dos incidentes."
Faz-se, então, primordial identificarmos a origem e o tipo de incidente, para que você possa pôr em prática procedimentos apropriados de recuperação, que estejam previamente planejados em relação aos riscos identificados na organização.
Segundo Kim e Solomon (2014), a etapa de acompanhamento se dá ao aprender com o incidente vivenciado. Já a etapa de documentação serve para registro das etapas do procedimento de resposta ao incidente.
Gerenciamento da SI como processo e modelo PDCA
A gestão da segurança da informação pode ser considerada por meio da abordagem PDCA como um ciclo infinito, de ações de planejamento (plan), de fazer (do), de checagem (check) e de agir (act).
De modo geral, o ciclo PDCA é tido como um diagrama de fluxo com objetivo de otimização de um processo. Chegando à última etapa de ação, é necessário reiniciar a primeira e repetir essa metodologia; daí, então, temos o conceito de ciclo.
· PLAN: visualizar e identificar requisitos e necessidades da PSI.
· DO: criar e operar controles para gerenciamento dos riscos.
· CHECK: monitorar desempenho e eficiência da PSI.
· ACT: promover melhoria contínua do negócio da organização.
Notificação de eventos
Objetivo: assegurar que fragilidades e eventos de segurança da informação, associados com sistemas de informação, sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. (ABNT, 2006, p. 35)
Em relação aos controles, a norma 27001 aborda que os eventos de SI precisam ser relatados por meio de canais apropriados, de forma imediata, e que colaboradores e agentes externos de sistemas e serviços de informação precisam ser instruídos a registrar e notificar qualquer observação ou suspeita de fragilidade em sistemas ou serviços.
Já a norma 27002 engloba o termo notificação em diversas partes de toda a documentação do código de prática de controles da SI como um todo. Veja isso a seguir.
· Contexto de segurança em RH
A norma aborda como diretriz durante a contratação de pessoal, em conscientização, educação e treinamento em segurança da informação, conforme segue: A empresa adote procedimentos de segurança da informação básicos (tais como, notificação de incidente de segurança da informação) e controles básicos (tais como, segurança da senha, controles contra códigos maliciosos e política de mesa limpa e tela limpa).
Fonte: item 7.2.2 diretriz (d) da ABNT NBR ISO/IEC 27002:2013 p. 20.
· Contexto de segurança física
Já em relação a segura física da organização, a norma informa no contexto de áreas seguras de entrega e carregamento, a diretriz conforme segue: Convém que os materiais entregues sejam inspecionados para evidenciar alteração indevida. Caso alguma alteração indevida seja descoberta, ela deve ser imediatamente notificada ao pessoal da segurança.
Fonte: item 11.1.6 diretriz (g) da ABNT NBR ISO/IEC 27002: 2013 p. 49.
· Contexto de vulnerabilidades técnicas
Em relação a gestão de vulnerabilidades técnicas, a norma nos informa: Convém que seja definido um prazo para a reação a notificações de potenciais vulnerabilidades técnicas relevantes.
Fonte: item 12.6.1 diretriz (c) da ABNT NBR ISO/IEC 27002:2013 p. 67.
Contexto de transferência de informação
Sobre acordos de confidencialidade e não divulgação, a norma convenciona: (...) que os elementos sejam selecionados ou acrescentados considerando-se o tipo do acesso permitido para a outra parte, ou para o tratamento da informação confidencial. Para identificar os requisitos para os acordos de confidencialidade ou de não divulgação, convém que os seguintes elementos sejam considerados, além de outros pontos: (h) o processo para notificação e relato de divulgação não autorizada ou vazamento das informações confidenciais;
Fonte: item 13.2.4 diretriz (h) da ABNT NBR ISO/IEC27002:2013 p.76
· Contexto de cadeia de suprimentos
Na identificação de segurança da informação em acordos com fornecedores, temos: (h) procedimentos e requisitos de gestão de incidentes (especialmente para notificação e colaboração durante a correção de um incidente); (L) requisitos de seleção, se necessário para o pessoal do fornecedor, incluindo responsabilidades por realizar a verificação e procedimentos de notificação caso a verificação não tenha sido concluída ou se os resultados apresentados causem dúvidas ou preocupações;
Fonte: item 15.1.2 diretrizes (H, L) da ABNT NBR ISO/IEC 27002:2013 p. 90.
Formulário de incidentes
A norma 27002 também convenciona e recomenda essa prática, informando que convém:
[...] que procedimentos de notificação, incluindo: preparação de formulários de notificação de evento de segurança da informação para apoiar as ações de notificação e ajudar a pessoa que está notificando, lembrando de todas as ações necessárias no caso de um evento de segurança da informação [...] (ABNT, 2013, p. 96)
QUIS
1 – Qual controle uma organização poderá adotar para melhor proteção dos dados de clientes por meio de colaboradores de atendimento que tenham acesso direto a esses dados?
Bloquear detalhes completos, permitindo visualização apenas dos três últimos dígitos, como exemplo do número de identificação do cliente.
2 – As políticas de SI definem diretrizes para estabelecer controles de segurança. Sabendo disso, a instalação física das medidas de segurança da informação é uma responsabilidade de quem? Assinale as alternativas corretas.
Operador de serviços de TI – nível operacional.
Operadores e técnicos de TI são responsáveis diretos pela implementação física de controles, como instalação de câmeras de segurança em áreas críticas da empresa.
Analistas de TI apoiam diretamente a implementação física de controles de segurança em nível operacional na organização, como na manutenção e atualização de sistemas e licenças em estações de trabalho.
3 – Em relação à segurança da informação, os ativos de uma organização representam aquilo que ela possui e do que realiza controle, tangível ou intangível. Sabendo disso, analise as opções e assinale as alternativas corretas, que correspondem a ativos que devem ser protegidos em uma empresa.
· Registros administrativos antigos.
· Planos e política para recuperação.
· Código-fonte de aplicação interna.
· Cabeamento de telecomunicação.
4 – A empresa deve estar preparada para lidar com incidentes de segurança. Para isso, é necessário atender a algumas etapas, a fim de garantir a restauração de serviços essenciais ao negócio. Assinale a alternativa que expõe corretamente algumas dessas etapas.
Notificação, resposta e recuperação.
5 – Por meio do modelo PDCA, uma empresa consegue fazer a gestão de segurança da informação, em que as partes interessadas fornecem expectativas e requisitos e recebem de volta a segurança da informação de forma gerenciada. Sabendo disso, assinale a alternativa que corresponde corretamente a uma das etapas da PDCA.
Por meio do modelo PDCA, uma empresa consegue fazer a gestão de segurança da informação, em que as partes interessadas fornecem expectativas e requisitos e recebem de volta a segurança da informação de forma gerenciada. Sabendo disso, assinale a alternativa que corresponde corretamente a uma das etapas da PDCA.
Medidas de segurança
Seleção, categorias e tipos de medidas
Como parte dos processos em segurança da informação, é necessário selecionar medidas de acordo com as necessidadesda organização.
é necessário selecionar medidas adequadas para cada situação na jornada de proteção de dados. Antes disso, contudo, compreenda o significado da palavra medida, segundo o dicionário: meio usado para atingir determinada finalidade ou plano; decisão para evitar ou alterar qualquer situação.
Logo, uma medida de segurança da informação pode ser definida como um meio utilizado para promover proteção aos ativos informacionais da organização e, também, para se recuperar ou se tratar de incidentes. Como informação relevante sobre essa terminologia, a Norma ISO/IEC 27001 aponta que "controle" é um sinônimo para o termo "medida" (ABNT, 2006, p.12).
Classificação de informações
Sete domínios de TI para atender às regulamentações, partimos para a classificação de dados. Acompanhe:
Um aspecto importante da criptografia em relação à classificação de dados é apontado por Kim e Solomon (2014) no trecho a seguir:
Dependendo do padrão de classificação de dados da sua organização, você pode ter de criptografar dados de sensibilidade mais alta até mesmo em dispositivos de armazenamento e discos rígidos.
Medidas físicas e técnicas
As medidas físicas de segurança são realizadas com o objetivo de deter ou evitar o acesso não autorizado, partindo de interações diretas de indivíduos.
· CFTV; sistemas de alarme de movimento ou térmico; equipes de guardas de segurança; procedimento de identificação com foto; portas físicas com trancas e fechaduras; biometria (incluindo impressão digital, voz, rosto, íris e outros meios automatizados usados para reconhecer pessoas).
Já as medidas técnicas fazem uso da tecnologia como base de controle de acesso e de informações, utilizando-se de infraestrutura de computadores e servidores (incluindo a rede). Esses controles são abrangentes em alcance e incluem tecnologias como:
· Criptografia; smart cards (cartões inteligentes); autenticação na rede; listas de controle de acesso (Access control lists - ACLs); softwares para auditoria de integridade de arquivos.
Criptografia, assinatura e HASH
A definição dicionarizada de criptografia seria:
O processo ou a arte de escrever em caracteres secretos ou em cifras.
Por sua vez, encriptar significa transformar um texto claro em um texto cifrado, e decriptar seria o inverso.
O procedimento de encriptação se caracteriza pelo uso de funções matemáticas, conhecido como algoritmo de criptografia. Consiste em um processo repetitivo que produz o mesmo resultado quando recebe a mesma entrada. A cifra é um algoritmo utilizado para encriptar ou decriptar informações. Essa possibilidade de repetição é muito importante, pois garante que a informação, uma vez encriptada, possa ser decriptada (KIM, SOLOMON, 2014).
A criptografia colabora para a satisfação dos princípios básicos da SI: confidencialidade, integridade, autenticação e não repúdio.
· Sistema de chave secreta: Nesse sistema de critptogia de dados, tem-se como base o conhecimento de uma chave entre as partes envolvidas na comunicação, sendo normalmente utilizada quando é necessário criptografar grande quantidade de dados.
· Sistema de chave pública
Já nesse sistema, é utilizada uma chave pública, conhecida por transmissor e receptor de uma comunicação, e também uma chave privada, mantida em sigilo para encriptação dos dados, ou seja, cada uma das partes precisa gerar um par de chaves pública e privada.
Hash
Além dos algoritmos abordados até aqui, existem, ainda, alguns algoritmos de encriptação que não possuem algoritmos de decriptação, conhecidos como algoritmos unidirecionais, sendo sua saída o chamado hash (KIM, 2014).
As funções hash são, então, algoritmos matemáticos que transformam qualquer bloco de dados (texto claro) em uma série de caracteres de comprimento definido. Como exemplo de funções hash, temos: SHA-1, MD5 e SHA-2.
Assinatura digital
Uma assinatura digital vincula a mensagem ou os dados a uma entidade específica.
Você pode construir uma assinatura digital com uma chave privativa a partir de um par de chaves assimétricas, e é preciso assinar um hash da mensagem. Essa combinação oferece dupla garantia — de que uma mensagem se originou a partir de uma entidade em particular e de que ninguém alterou o conteúdo.
Tipos de malwares
Antes de iniciarmos a abordagem sobre os tipos de malwares, é necessário conhecer a classificação de três ameaças digitais: (Clique nas setas para avançar ou retornar o conteúdo)
· Crime virtual: praticado por pessoas que utilizam sistemas para obter ganhos financeiros e/ou causar interrupções.
· Ataque cibernético: envolve, muitas vezes, a coleta de informações com motivação política.
· Terrorismo cibernético: tem o objetivo de minar sistemas eletrônicos para causar pânico ou medo.
Malwares são códigos maliciosos considerados uma das ameaças mais comuns no meio técnico.
· Vírus - Sendo o mais conhecido no "meio popular", se trata de um programa com características de replicação automática que se prende a um arquivo limpo e consegue se espalhar em diferentes sistemas, realizando infecção de arquivos com código malicioso.
· Cavalos de Tróia - Também chamados de trojans, são um tipo de malware que se disfarçam de uma aplicação legítima. Hackers enganam usuários fazendo-o carregar um trojan em seus computadores, causando danos e/ou realizando coleta de dados.
· Spyware - É uma aplicação que registra de forma secreta oque um usuário faz em seu sistema, para que hackers possam utilizar tais informações em seu benefício, como capturar dados de cartão de crédito.
· Ransomware - Conforme já citamos em um exemplo na primeira unidade dessa disciplina, se trata de um malware que realizar bloqueio de dados do usuário, fazendo então ameaça de apagá-los, a não ser que um resgate seja pago pelo sequestro.
· Adware - Se trata de um software com fins de publicidade que pode ser utilizado para disseminar outros tipos de malwares. Logo, um adware também é considerado como uma ameaça direta.
· Botnets - Hackers utilizando trojans especiais, violam a segurança de sistemas de vários usuários, assumindo o controle de cada um e organizando todas essas máquinas que foram infectadas em uma rede (conhecida como rede de bots) que por sua vez, será manipulada remotamente com diversos intuitos de prejuízos aos usuários. Não acaba por aqui, pois tais criminosos criam uma ampla rede de computadores e ainda comercializam o acesso a essa rede criada para outros criminosos, seja como aluguel ou definitivamente.
A chamada injeção SQL (Linguagem de Consulta Estruturada) é um procedimento no qual o invasor tem como objetivo o acesso não autorizado a dados em um Sistema de Gerenciamento de Banco de Dados (SGBD). A exploração da vulnerabilidade se dá, principalmente, em aplicações web, em que o invasor tenta manipular as entradas de dados que compõem comandos de consulta, a fim de obter acesso ao banco de dados de uma aplicação.
Como outras técnicas para exploração de vulnerabilidades, ainda no contexto de tipos de ameaças, citamos o phishing, usado para enganar as pessoas, levando-as a fornecer dados de cartão de crédito e outras informações pessoais. Além desse, há, ainda, ataques man-in-the-middlle, que consiste em estabelecer interceptação na comunicação entre duas partes para roubar ou expor dados.
Segurança de RH
Treinamento e conscientização; preparação de desastres e plano de recuperação; recrutamento de pessoal e estratégias de separação; registro e avaliação de pessoal.
· Antes da contratação, o objetivo é:
Assegurar que funcionários e partes externas entendam suas responsabilidades e estejam em conformidade com os papéis para os quais foram selecionados.
· Como formas de controle antes da contração, segundo a norma, temos: 
Verificações do histórico realizadas para todos os candidatos a emprego, constando, na Norma 10, convenções como diretrizes.
Obrigações contratuais com funcionários e partes externas, constando, na Norma 7, convenções como diretrizes.
· Durante a contratação, o objetivo é:
Assegurar que funcionários e partes externas estejam conscientes e quecumpram com suas responsabilidades no que diz respeito à segurança da informação.
A norma informa, ainda, diretrizes específicas de responsabilidade da direção da organização (seção 7.21); conscientização, educação e treinamento em segurança da informação (seção 7.2.2); e processo disciplinar (seção 7.2.3).
Responsabilidade de usuário e segregação de tarefas
A seção 6 da Norma ISO/IEC 27002 aborda justamente o tema da organização interna, com o objetivo de estabelecer uma estrutura de gerenciamento, a fim de iniciar e controlar a implementação da segurança da informação dentro da organização (ABNT, 2013, p. 10).
Em relação às responsabilidades pela segurança da informação, a norma convenciona que elas sejam definidas e atribuídas em conformidade com a PSI da organização, sendo também apontado que: pessoas com responsabilidades definidas pela segurança da informação delegam as tarefas de segurança da informação para outros usuários, devendo, contudo, verificar se as tarefas delegadas estão sendo executadas corretamente.
· Ativos e processos de SI devem ser identificados e definidos.
· O gestor responsável por um ativo de SI deve ter atribuições definidas, detalhando suas responsabilidades documentalmente.
· Os níveis de autorizações devem ser definidos e documentados.
· As equipes devem ser competentes em suas áreas.
· A coordenação de aspectos de SI na cadeia de suprimento deve ser identificada e documentada.
A chamada segregação de funções, também conhecida pela sigla SoD, do inglês Segregation of Duties, é convencionada na ISO 27002, apontando que funções conflitantes e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação não autorizada, não intencional ou o uso indevido dos ativos da organização.
Gestão de continuidade
É uma estratégia da gestão de continuidade a elaboração do BCP (do inglêsBusiness Continuity Plan).
A parte mais importante de qualquer BCP é definir prioridades, com o entendimento de que pessoas sempre vêm em primeiro lugar. Não existem exceções. Qualquer plano que trate de interrupções de negócios e desastres precisará colocar a segurança e o bem-estar das pessoas da organização como a prioridade mais alta. Todas as outras questões são secundárias (KIM; SOLOMON, 2014, p. 98).
É um plano que engloba:
· Segurança e bem-estar de todas as pessoas.
· Prédios e instalações.
· Componentes de infraestrutura, incluindo comunicações e sistemas de informação.
Quis
1 – Diante de uma vulnerabilidade física da organização, foi possível a invasão do servidor e o roubo de discos de armazenamento. Isso seria evitado caso houvesse controles específicos de acesso não autorizado.
Forma de implementação de proteção.
2 – Um controle de criptografia estabelecido em uma organização tem o objetivo de tornar uma comunicação segura entre duas partes, dificultando sua interceptação.
Aponte a alternativa que corresponde a um algoritmo de criptografia:
Função Hash SHA-1. Algoritmos de encriptação que não possuem algoritmos de decriptação, conhecidos como algoritmos unidirecionais; têm em sua saída um hash. Funções hash são algoritmos matemáticos que transformam qualquer bloco de dados (texto claro) em uma série de caracteres de comprimento definido.
3 – Em relação aos códigos maliciosos, sabemos que criminosos podem promover ataques de diferentes maneiras e com diversas intenções. Uma ameaça digital que captura os dados bancários de um usuário responsável do setor financeiro da organização é definida por:
Spyware.
4 – Aplicações corporativas como a Enterprise Resource Planning (ERP) contam com módulos específicos para serem utilizados em diversos setores da empresa, como vendas e CRM, por exemplo. Acerca dos privilégios de usuários nesse contexto, aponte as alternativas relacionadas à segregação de tarefas:
· Minimiza formas de alteração de dados sem intenção.
· Maximiza a proteção de dados quanto ao uso autorizado.
· Maximiza a proteção contra golpes na organização.
· Minimiza o risco de uso inapropriado de ativos.
· Divide a responsabilidade de uma ação crítica.
5 – O website de uma organização apresenta uma área restrita para acesso somente de usuários permitidos. Um hacker pode realizar tentativas de invasão ao banco de dados partindo do conhecimento em linguagem de consulta SQL. Assinale as alternativas que demonstram tal técnica:
Interagir no formulário de login.
Interagir no endereço de URL.
Interagir em rotinas não válidas de programação.
Legislação e regulamentação
Conformidade
A norma ISO/IEC 27002 aborda que o objetivo da conformidade é se afastar de formas de violação de obrigações legais, estatutárias, regulamentares ou de contratos relacionados à segurança da informação e também de requisitos de segurança.
Conformidade com a PSI
Nesse contexto, as atividades relacionadas à segurança e a seu processamento precisam necessariamente estar de acordo com a Política de Segurança da Informação (PSI), bem como o Sistema de Gestão de Segurança da Informação (SGSI) definido na empresa, cabendo a responsabilidade de ser verificada constantemente.
É recomendado que usuários assinem documento concordando com o monitoramento de suas ações, sendo essa etapa assistida por assessoria legal da organização.
Se qualquer não conformidade for encontrada com um resultado da análise crítica, convém que os gestores:
a) identifiquem as causas da não conformidade;
b) avaliem a necessidade de ações para atender à conformidade;
c) implementem ação corretiva apropriada;
d) analisem criticamente ação corretiva tomada, para verificar a sua eficácia e identificar quaisquer deficiências ou fragilidades (ABNT, 2013, NBR ISO/IEC 27002, p. 109).
Propriedade intelectual
Os chamados direitos de propriedade intelectual necessitam também de processos a fim de garantir a conformidade com aspectos legais, de contratos e de regulamentos.
A norma 27002 convencionais estabelece que procedimentos apropriados devem ser criados para garantir a conformidade com os requisitos legislativos, de regulação e de contratos que se relacionam com direitos de propriedade intelectual, e também sobre o uso de produtos de softwares proprietários.
Registros da organização
Para atendimento a requisições legais, a empresa precisa criar registros de suas operações diárias, bem como financeiras, mantendo armazenamento e proteção contra perda, destruição e/ou falsificação.
registros sejam protegidos contra perda, destruição, falsificação, acesso não autorizado e liberação não autorizada, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio (ABNT, 2013, NBR ISO/IEC 27002, p. 105).
Como forma de implementar medidas de segurança da informação aos registros da organização, essas primeiramente deverão ser baseadas nas classificações de informações e, além disso, categorizadas em tipos de registros, como: contábeis; de base de dados; de transações; de auditoria e procedimentos operacionais.
Privacidade das informações pessoais
Informações pessoais são entendidas como qualquer informação que permita identificar uma pessoa. Por motivo desta ou também por contratos definidos, proteger as informações é uma obrigatoriedade imposta a toda organização. É, então, recomendado que exista uma política específica de privacidade que contemple, entre outros pontos, as informações pessoais como imprescindíveis para a atividade de negócio envolvida, tendo caráter confidencial e nunca usadas em transmissão a terceiros de maneira não autorizada, a não ser que seja necessário ao negócio tratado e o terceiro mantenha critério de confidencialidade.
A conformidade com esta política e todas as regulamentações e legislação relevantes, relativas à proteção da privacidade das pessoas e da proteção da informação de identificação pessoal requer um controle e uma estrutura de gerenciamento apropriada. Quase sempre isto é melhor conseguido indicando uma pessoa responsável, como, por exemplo, um privacy officer, que tem a função de fornecer orientações aos gestores, usuários e provedores de serviços sobre as suas responsabilidadesindividuais e procedimentos específicos que devem ser seguidos.
A responsabilidade pelo manuseio da informação de identificação pessoal e a garantia da conscientização sobre os princípios da privacidade, sejam tratados de acordo com as regulamentações e legislações pertinentes. Convém que técnicas apropriadas e medidas da organização para proteger a informação de identificação pessoal sejam implementadas (ABNT, 2013, NBR ISO/IEC 27002, p. 107).
Marco Civil da Internet
O Marco Civil da Internet – Lei nº 12.965, criada em 23 de abril de 2014 – estabelece os princípios regulatórios da utilização da internet no Brasil. Em seu artigo 3º são apontados: princípio de proteção da privacidade e dados pessoas; garantia de liberdade de expressão; garantia de neutralidade de rede; e responsabilização de agentes partindo de suas atividades, entre outros. No artigo 7º, a lei assegura direitos e garantias tais como inviolabilidade e sigilo de fluxo de comunicações.
O artigo 10º dessa lei estabelece a proteção aos registros informando que armazenamento e comunicação de dados deverão ser preservados quanto à intimidade das pessoas, vida privada, honra e também imagem de partes envolvidas de maneira direta ou indireta.
Lei Geral de Proteção de Dados
A Lei Geral de Proteção de Dados Pessoas (LGPD) – oficialmente Lei nº 13.709, de 14 de agosto de 2018 –, inspirada na legislação europeia General Data Protection Regulation (GDPR), aborda o tratamento de dados pessoais, também nos meios digitais, por pessoa física ou jurídica, ao estabelecer como objetivo a proteção aos direitos fundamentais de liberdade e privacidade. Seu artigo 5º informa que um dado pessoal é toda informação que se relaciona a pessoa natural identificável.
Afinal, o Marco Civil e a LGPD são a mesma coisa?
Como falamos, ambos são leis nacionais, mas você deve entender que o Marco Civil da Internet prevê a segurança dos dados em ambiente on-line, enquanto a LGPD estabelece diretrizes específicas de aplicação de medidas de segurança ao detalhar tipos de dados e garantir toda a movimentação de dados, ou seja, on-line e off-line.
Lei nº 12.737/2012
Crimes cibernéticos são considerados como qualquer conduta culpável sendo condenados então pela esfera jurídica, ou seja, tecnicamente nesse aspecto, se tratam de condutas típicas, antijurídicas e culpáveis, as quais são praticadas utilizando sistemas de TI ou também contra eles. Em 2012 entrou em vigor a Lei nº 12737 em relação a crimes na internet. Essa lei tipifica em forma de infração várias condutas realizadas em ambiente digital, como invasão de computadores, criando punições específicas para essas ações.
Curiosamente essa lei ganhou o apelido de lei Carolina Dieckmann, nome da atriz brasileira que teve fotos pessoais vazadas na internet sem autorização, isso enquanto o projeto de lei tramitava na câmara de deputados.
Órgãos regulatórios e fiscalizadores brasileiros
Os preceitos da Lei nº 12.965, o Marco Civil da Internet, são diversos; e, devido a isso, existem alguns órgãos responsáveis por realizar sua fiscalização.
· Agência Nacional de Telecomunicações (Anatel): regula, fiscaliza e apura infrações que dizem respeito à infraestrutura de serviços de telecomunicação, ou seja, sua atuação se dá em acompanhar as atividades de prestadores de tais serviços.
· Secretaria Nacional do Consumidor (Senacon): fiscaliza os atos praticados por organizações verificando violações quanto aos direitos dos consumidores.
· Sistema Brasileiro de Defesa da Concorrência (SBDC): apura infrações de ordem econômica do Brasil, como exemplo: tentativas de restrição à concorrência no mercado nacional.
Em relação à Lei 13.709 (LGPD), existe um órgão responsável por fiscalizar o uso de dados pessoais: a Autoridade Nacional de Proteção de Dados (ANPD).
ANPD
Foi instituída a partir da Medida Provisória nº 869/18, tendo autoridade para solicitar, a qualquer momento, relatórios de impacto e riscos à privacidade de organizações a fim de se certificar de que empresas têm tratado o tema de forma correta.
Órgãos estrangeiros de padronização
Existem, ainda, diversos órgãos que, apesar de não regularem e fiscalizarem as atividades em segurança diretamente, estabelecem importantes padrões para o desenvolvimento geral da tecnologia da informação e, consequentemente, a segurança de ativos.
· National Institute of Standards and Technology (NIST): É um órgão não regulador pertencente ao Departamento de Comércio Americano, criado em 1901. Sendo o primeiro órgão de pesquisa em ciência física da América, é responsável por criar padrões para medição e tecnologia.
As chamadas publicações especiais série 800 são uma biblioteca de documentos que estabelece separação para as publicações em segurança informacional, onde são relatadas pesquisas e guias norteadores.
· International Organization for Standardization (ISO): É uma organização não governamental, com sede em Genebra na Suíça, que se constitui de uma rede composta de 163 institutos de padronização. Tem objetivo de desenvolver padrões para setores públicos ou privados sem favorecimento de um ou outro. Em tecnologia, por exemplo, o mais conhecido é o padrão OSI
Observa-se que as "organizações que utilizem e tratem os dados devem cumpri-las. Conformidade com lei federal não é opcional, mas obrigatória. Uma organização deverá documentar sua conformidade com essas leis" (KIM; SOLOMON, 2014, p. 351).
Quis
1 – Trazido pela Lei nº 12.965, de 2014, no Brasil, o chamado Marco Civil na Internet possui diversos princípios, garantias, direitos e deveres para o uso da internet. Dessa forma, assinale as alternativas que informam os princípios segundo essa lei.
Proteção da privacidade.
Preservação e garantia da neutralidade de rede.
Preservação da natureza participativa da rede.
Responsabilização de agentes, nos termos da lei.
2 – No Brasil, temos alguns órgãos fiscalizadores, conforme introduzimos nesta unidade de estudos, tais como: Anatel e ANPD. Em relação à Autoridade Nacional de Proteção de Dados (ANPD), fazem parte de suas responsabilidades, diante do exposto na Lei Geral de Proteção de Dados (LGPD):
https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional
zelar pela proteção dos dados pessoais.
criar estudos de práticas de proteção de dados.
observar quebra do sigilo das informações.
fiscalizar o tratamento de dados.
3 – A Lei nº 12.737/2012 dispõe sobre a tipificação criminal de delitos informáticos. Em seu artigo 154-A, informa: “Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita. Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa”.
O art. 154-A da lei informa sobre a inviolabilidade dos segredos, protegendo a intimidade, a vida privada, a honra e a imagem da vítima.
4 – A seção de conteúdo 13.2.4 da norma ISO/IEC 27002 traz à luz os acordos de confidencialidade e não divulgação, sendo convencionado que: "(tais acordos) estejam em conformidade com todas as leis e regulamentações aplicáveis".
Acordos devem ser identificados, analisados e documentados.
5 – A ABNT, por meio da NBR ISO 27002, convenciona que "procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais relacionados com os direitos de propriedade intelectual, e sobre o uso de produtos de software proprietários".
Criar política de manutenção de licenças. Convém que as seguintes diretrizes sejam consideradas para proteger qualquer material que possa ser considerado como propriedade intelectual: (h) estabelecer uma política para a manutenção das condições adequadas de licenças.