Prévia do material em texto
SEGURANÇA DA INFORMAÇÃO Mateus Buogo SUMÁRIO Esta é uma obra coletiva organizada por iniciativa e direção do CENTRO SU- PERIOR DE TECNOLOGIA TECBRASIL LTDA – Faculdades Ftec que, na for- ma do art. 5º, VIII, h, da Lei nº 9.610/98, a publica sob sua marca e detém os direitos de exploração comercial e todos os demais previstos em contrato. É proibida a reprodução parcial ou integral sem autorização expressa e escrita. CENTRO UNIVERSITÁRIO UNIFTEC Rua Gustavo Ramos Sehbe n.º 107. Caxias do Sul/ RS REITOR Claudino José Meneguzzi Júnior PRÓ-REITORA ACADÊMICA Débora Frizzo PRÓ-REITOR ADMINISTRATIVO Altair Ruzzarin DIRETORA DE EDUCAÇÃO A DISTÂNCIA (EAD) Rafael Giovanella Desenvolvido pela equipe de Criações para o ensino a distância (CREAD) Coordenadora e Designer Instrucional Sabrina Maciel Diagramação, Ilustração e Alteração de Imagem Igor Zattera, Júlia Oliveira, Thais Munhoz Revisora Luana dos Reis SEGURANÇA DA INFORMAÇÃO 4 INFORMAÇÃO 5 SEGURANÇA DA INFORMAÇÃO 6 FACES DA SEGURANÇA DA INFORMAÇÃO 7 PILARES DA SEGURANÇA DA INFORMAÇÃO 8 ANÁLISE DE RISCOS 12 ACEITAÇÃO DE RISCO E RISCO RESIDUAL 14 VULNERABILIDADES 15 AMEAÇAS 16 RISCO 17 MATRIZ DE RISCOS 18 PLANO DE CONTINGÊNCIA 25 ISO 27001 32 SGSI – SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO 34 ANEXO A - ISO27002 36 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 40 SEGURANÇA FÍSICA E DO AMBIENTE 47 ANÉIS DE PROTEÇÃO 49 PROTEÇÃO DE EQUIPAMENTOS 51 GESTÃO DE OPERAÇÕES E COMUNICAÇÃO 55 GESTÃO DE MUDANÇAS 56 GESTÃO DA CAPACIDADE 58 BACKUP 60 CONTROLES ESPECÍFICOS 60 OUTROS CONTROLES 63 RECURSOS HUMANOS 64 AQUISIÇÃO E DESENVOLVIMENTO DE SISTEMAS 65 GESTÃO DE ATIVOS 67 DECLARAÇÃO DE APLICABILIDADE 70 ENGENHARIA SOCIAL 79 SEGURANÇA OFENSIVA 86 RECONHECIMENTO 91 VARREDURA 93 GANHO DE ACESSO 94 MANTENDO O ACESSO 96 OUTROS TIPOS DE ATAQUES 97 CRIPTOGRAFIA E FERRAMENTAS DE PROTEÇÃO 101 CRIPTOGRAFIA SIMÉTRICA 103 CRIPTOGRAFIA ASSIMÉTRICA 104 HASH 105 CERTIFICADO DIGITAL 106 FIREWALL 107 WAF 108 IPS 108 CASB 108 PAM 109 ANTIVÍRUS E ANTISPAM 110 3ADMINISTRAÇÃO FINANCEIRA II APRESENTAÇÃO Olá! Seja bem-vindo à disciplina de Segurança da informação. Diariamente, estamos ouvindo notícias sobre invasão de dispositivos e sites, juntamente com vazamento de informações. A informação deixou de ser apenas “informação”, ela representa a inteligência competitiva das empresas, sendo o ativo mais im- portante! Nos deparamos com uma situação crítica. Temos um ativo muito importante para as empresas e que está sob constante ame- aça, gerando uma lacuna enorme de técnicas de proteção da informação. É nessa lacuna que os profissionais de segurança da in- formação atuam. O principal objetivo da Segurança da Informação, em linhas gerais, é proteger a informação contra todas as ameaças que pos- sam comprometer ela. Vocês podem se perguntar: “Como podemos proteger um ativo tão importante?”. A resposta não é simples. Vamos mergulhar nesse oceano que é a Segurança da Informação e desvendar todos os seus segredos, ou pelo menos quase todos! Sejam bem-vindos! 4 SEGURANÇA DA INFORMAÇÃO Você sabe o que é Segurança da informação? Vamos embarcar nesse oceano de infinitas possibilidades ?! valde Realce 5SEGURANÇA DA INFORMAÇÃO SUMÁRIO Na minha primeira aula ministrada de segurança da informação eu me fiz uma pergunta importante: “o que é segurança da informação?". Confesso que não consegui uma resposta clara, naque- le momento, do que era se- gurança da informação. Per- cebi que demoraria alguns encontros com os alunos até conseguir expressar tudo o que esse termo significa. Se- gurança da informação é algo muito abrangente, se utili- zássemos uma definição pa- drão, deixaríamos algo a ser descoberto. Vamos montar uma linha de raciocínio para construir um conceito de se- gurança da informação? Antes, vamos entender o que é INFORMAÇÃO. INFORMAÇÃO Primeiro termo que temos que deixar claro em nossas mentes é o significado de informação. Em uma pesquisa rápida no Google, achei a seguinte definição: “Informação é a resultante do processamento, mani- pulação e organização de dados, de tal forma que represente uma modifi- cação (quantitativa ou qualitativa) no conhecimento do sistema (huma- no, animal ou máquina) que a recebe”. Essa definição é totalmente técnica, correta e faz sentido, porém, isso me deixa um pouco insatisfeito. Será que esse é o único significado de informação? Seguindo os estudos, trago uma citação de Sêmola (2003), onde o autor defende que a informação representa a inteligência competitiva dos negócios das organizações. Percebam que o conceito de informação des- te caso é muito mais robusto e de maior importância. Podemos ponderar que a informação é vital à alavancagem dos negócios das empresas, uma vez que ela fomenta a inteligência de negócio. Em 1995, outros autores, Freitas e Kladis, já advogavam que a im- portância da informação aumenta a todo instante nas organizações. Essa citação é muito antiga, foi feita no ano de 1995 e podemos perceber que ela ainda está atualizada. A informação é um pilar importante nas empre- sas. A informação fundamental para o desenvolvimento das estratégicas empresárias, conforme Brito, Antonialli e Santo, que em 1997 afirmaram que a informação contribui ativamente para a construção do planejamen- to estratégico das empresas. Novamente, temos uma citação antiga e que ainda pode ser utilizada. Em suma, a informação é um ativo intangível e de valor único nas empresas. Por ser um ativo intangível, ela faz parte dos 75% de valor que uma organização possui. A informação é de valor inestimável e serve como pilar da manutenção da cadeia de valor das empresas. Quando pensamos em informação, temos que levar em considera- ção toda sua importância na manutenção dos processos das organizações e seu valor incalculável. Vamos usar, como exemplo, a Coca-cola. A maior riqueza dela não são as suas fábricas. A maior riqueza da Coca-cola é a in- formação e o conhecimento de sua fórmula, utilizada na preparação dos refrigerantes. Entenderam o que é, realmente, informação? valde Sublinhado valde Sublinhado valde Sublinhado valde Realce 6SEGURANÇA DA INFORMAÇÃO SUMÁRIO SEGURANÇA DA INFORMAÇÃO Agora que já temos um conceito formado sobre o que é informação, precisamos avançar no conceito de Segurança da informação. Assim como todo ativo, a informação está suscetível a riscos. Esses riscos podem comprometer a informação de alguma forma. Quando estamos falando em comprometer a informação, estamos, na realidade, falando em comprometer o negócio de uma empresa! Creio que já está claro que informação é a sustentação do negócio, portanto, caso a infor- mação sofra inferência de algum risco, comprometeremos o negócio da empresa. A segurança da informação surgiu para proteger o negócio das empresas. Essa correlação é algo importan- te para nossa linha de estudos. Como falei, a segurança da informação é muito abrangente e pode ter várias vertentes de estudos e abordagem. Nesta matéria, estudaremos a Segurança da informação como aliada do negócio das em- presas, a fim de proteger o ativo mais importante, chamado de sociedade da informação. O que é Segurança da informação? Após anos de estudos, lendo o conceito de vários au- tores, posso concluir que a palavra que melhor define segurança da informação é “Proteção”. Praticamente, todos os autores que pesquisei, podendo citar Dias (2004), ISO27001 (2013), Ministério da Defesa(2007), definiram a segurança da informação como a proteção das infor- mações. Vocês podem estar se perguntando: “Mateus, esse conceito é muito abrangente tam- bém, não é algo muito definido?”. Vou trazer um conceito um pouco mais técnico, para tentar elucidar essa temática: “Segurança da informação tem o objetivo de salvaguardar as informações para que não sejam manipuladas de forma indevida, mitigando ao máximo os riscos que podem compro- meter as informações”. Eu seique é um conceito muito abrangente, mas ao longo dessa matéria vamos desven- dar as técnicas utilizadas para que haja segurança da informação nas empresas. Nosso foco será em processos e como podemos melhorá-los para que a segurança seja um organismo vivo nas organizações. A segurança da informação possuiu, pelo menos, 2 linhas de pesquisas macros, no meu ponto de vista. Temos a segurança da informação processual, onde abordamos melhorias de processos, normais, políticas e controles. E outra linha de pesquisa mais técnica, onde temos os pentestes e a forense computacional. Vamos nos aprofundar muito na segurança proces- sual e teremos uma ideia básica da segurança mais técnica. O sucesso da implementação de segurança da informação, em um ambiente, está cor- relacionado com o comprometimento dos stakeholders e da alta-administração. A segurança sempre deve ser em uma abordagem TOP-DOWN e nunca BUTTON-UP, ou seja, a diretoria valde Realce valde Realce valde Sublinhado valde Sublinhado valde Realce valde Sublinhado valde Sublinhado valde Realce 7SEGURANÇA DA INFORMAÇÃO SUMÁRIO deve comprar essa ideia, pois somente eles possuem poder político para sancionar normais internas e impor o cumprimento das políticas criadas. Eu sei que são muitas informações soltas neste momento, mas ao longo do nosso curso, revisitaremos cada um dos conceitos. Agora, precisamos abrir nossa mente para muitos conceitos novos e para uma visão sistêmica de segurança. FACES DA SEGURANÇA DA INFORMAÇÃO Uma abordagem muito interessante é dividir a segurança em 3 faces, ou em 3 tópicos distintos. Temos a segurança operacional, física e lógica. Muito importante aprendermos essa divisão, pois são os 3 grandes grupos onde a segurança da informação se inclui. A segurança operacional é atrelada a processos. O nome já é autoexplicativo. Quando tratamos de operação, estamos falando em processos padrões das empresas. A segurança deve permear todos os processos e atuar na melhoria deles, a fim de encontrar brechas que precisam ser corrigidas para que não haja perda ou vazamento de informações. Para aplicar segurança na parte operacional, nós traba- lhamos com normas dentro de uma política corporativa de segurança da informação. O segundo ponto é a segurança física. O foco da segurança física é a proteção dos meios físicos onde a informação está localizada. Podemos elencar aqui desde a portaria de acesso à empresa até o controle de temperatura de um data center. Para conseguirmos garantir segurança física, nós trabalha- mos com controles, que monitoram esses ambientes. Por fim, temos a segurança lógica. Nesta linha de estudo, temos todas as ferramentas de seguran- ça como firewalls, antivírus e até mesmo pentest e análise de vulnerabilidades. Tão importantes quanto as outras duas abordagens, a lógica representa 50% de toda proteção da informação em uma empresa. Focaremos, profundamente, nas face operacional e física, como objeto de estudo, pois a face ló- gica demanda um estudo muito aprofundado e deve ser abordado com foco individual. valde Realce valde Realce valde Realce valde Realce 8SEGURANÇA DA INFORMAÇÃO SUMÁRIO PILARES DA SEGURANÇA DA INFORMAÇÃO A segurança da informação é um tema complexo, como já podemos perceber. Dentro dessa complexibilidade, é necessário que haja algumas diretrizes para que possamos ter uma direção de como garantir a segurança. Neste cenário, surgem os 3 pilares de segurança da in- formação: integridade; confidencialidade; disponibilidade. Alguns autores defendem outros pilares, mas todos concordam nesses 3. O Pilar de Integridade tem como objetivo garantir que as informações estejam íntegras quando forem utilizadas, ou seja, elas necessitam estar legíveis e também com suas caracte-rísticas originais mantidas, sem alterações de conteúdo. A confidencialidade soma-se à integridade quando garante que somente pessoas au- torizadas acessem a informação. O pilar de confidencialidade limita o acesso à informação de pessoas que não são autorizadas a manipulá-la. Pilar muito importante para proteção de acesso a dados sensíveis e confidenciais. Fechando essa tríade, temos a disponibilidade. O foco desse pilar é manter a informação o maior tempo disponível, garantindo que, quando a informação for requisitada pelo indiví- duo, ela esteja pronta e disponível para ser utilizada. Todas as atividades referentes à segurança da informação devem ser focadas em aten- der um ou mais desses pilares. Eles são a base do conceito de segurança e nos auxiliam no processo de implementação dos controles e políticas. Vamos utilizar alguns exemplos de forma mais prática, para entender cada um dos pila- res. Iniciando pelo pilar de integridade. Para garantir a integridade da informação, podemos utilizar algumas técnicas que nos garantem que ela esteja íntegra. Por exemplo, em um banco de dados. Um SGDB (Sistema de Gerenciamento de Banco de Dados), possui mecanismos de controle para gravar as informações, para que não estejam corrompidas quando gravadas nas tabelas. Outro exemplo de integridade, são as funções de HASH, que estudaremos no decorrer do ebook. Elas garantem que a informação não tenha alterações de estrutura durante um pro- cesso de manipulação ou envio. Um hash alterado no destino, diferente do hash de origem, caracteriza uma perda de integridade da informação. Qualquer técnica que garanta a integri- dade para o arquivo, estará atrelada a esse pilar. Para a confidencialidade, temos o exemplo dos controles de acesso aos sistemas e in- formações que procuram validar quem está requerendo acesso a informações. O acesso a sua conta bancária é um ótimo exemplo. O aplicativo do banco exige um cadastro de usuário e se- nha, juntamente com um segundo fator de autenticação, para validar se quem está acessando a sua conta é você mesmo. valde Realce valde Sublinhado valde Realce valde Realce valde Realce valde Realce valde Realce valde Realce 9SEGURANÇA DA INFORMAÇÃO SUMÁRIO Dentro de um sistema empresarial, temos também os perfis de acesso que concedem ou bloqueiam acesso a determinadas informações. Esses são exemplos atrativos do pilar de con- fidencialidade. Em suma, toda técnica que permite uma validação de quem está acessando, pode ser considerada uma ação focada em confidencialidade. Fechando essa pirâmide, temos a disponibilidade. Considero esse pilar focado forte- mente com questões de ambiente e infraestrutura. As informações ficam abrigadas, quando em formato digital, por exemplo, em servidores. Quando utilizamos técnicas para garantir que os servidores permaneçam em operação o maior tempo possível, estamos focados no pi- lar de disponibilidade. Neste contexto, falaremos muito sobre planos de contingência e aná- lise de riscos, onde faremos um link com esse assunto. É importante mantermos o foco nos investimentos dos pilares. Às vezes, dedicaremos maiores esforços e investimentos para atender uma demanda que fortalecerá muito mais um pilar do que outro, isso é normal, porém, temos um ponto de atenção. Investir somente em um dos pilares e deixar os outros descobertos não adianta! Tudo deve ser balanceado. A balança de investimento deve ser bastante equilibrada. Não adianta termos um am- biente com um alto índice de disponibilidade, se a informação é entregue e corrompida, ou sem um controle de acesso que valide se realmente o indivíduo pode ter acesso àquela infor- mação. Da mesma forma, um investimento deliberado e demasiado em confidencialidade, poderá comprometer todos os processos diários de acesso às informações. Como se utiliza senha biométrica e reconhecimento facial com segundo fator de autenticação. Temos que ter em mente que a segurança da informação não pode impactar negativamente nos processos, mas sim auxiliar o negócio a crescer, protegendo os dados sensíveis e as informações estra- tégicas. Durante as aulas, nós realizaremos ligações sobre oque estamos aprendendo, junta- mente com os 3 pilares de segurança da informação, pois basicamente todos os esforços rea- lizados são para a manutenção desses pilares de segurança. valde Sublinhado valde Sublinhado 10GESTÃO DE PROCESSOS SÍNTESE SUMÁRIO Neste capítulo, aprendemos um pouco sobre os conceitos de segurança da informação e qual a importância da segurança para o negócio das empresas. Vimos a tríade dos pilares de segurança que sustentam todas as ações voltadas para esse tema. 11GESTÃO DE PROCESSOS EXERCÍCIOS SUMÁRIO 1. Quais os 3 pilares de segurança da informação? 2. Quais as 3 faces da segurança da informação? 3. O que acontece se investirmos de forma demasiada em somente um pilar? 4. A face de segurança física está focada em quais ativos de segurança? 5. A face de segurança operacional é focada em quê? 12 ANÁLISE DE RISCOS Você já fez sua análise de riscos hoje? Vamos entender um pouco mais sobre esse assunto tão importante para segurança da informação! valde Realce 13SEGURANÇA DA INFORMAÇÃO SUMÁRIOUma das principais atividades em um processo de implementação de segurança da informação é uma análise de riscos bem elaborada. Sa- bemos que a informação é um ativo intangível e de valor inestimável e, portanto, deve ser protegida dentro das organizações e da sociedade. Implicamos em um grande desafio de mapear os principais riscos aos quais esse ativo está exposto. Uma premissa básica na aná- lise de risco é que o risco jamais é eliminado totalmente. Vou até afir- mar novamente: nenhum risco é totalmente eliminado. Mitiga-se o risco ao máximo que é possível para evitar que ele aconteça e compro- meta a segurança da informação. Mateus, como assim? Até quando temos que mitigar um risco? Quan- do paramos de investir esforços na mitigação dos riscos? Pois bem, eu costumo falar que o risco deve ser mitigado até o ponto que o valor do sinistro seja menor do que o valor dispensado para mi- tigá-lo, ou se não fizer sentido algum colocar mais controles. Primeiramente, responda essa pergunta para você mesmo: “você atravessa a rua sem olhar para os 2 lados?”. Normalmente, olhamos para os 2 lados da rua para ver se algum automóvel está vindo em nossa direção. Caso algum automóvel esteja vindo, nós esperamos ele passar, para depois atravessar a rua ou utilizados uma passarela ou faixa de pedestres para cruzar a rua em segurança. Quando paramos diante da rua, nosso inconsciente já sabe que temos que olhar se algum automóvel está se deslocando em nossa direção. Rapidamente, nós pensamos: “se eu atravessar a rua com o carro vindo em minha direção, a probabilidade de eu sofrer um acidente e me machu- car é maior do que se eu esperar o carro passar.” Isso é um exemplo de análise de riscos. Você avalia o que pode acontecer e toma uma ação para mitigar o risco, que, neste caso, é esperar o automóvel passar. Neste mesmo exemplo, agora com uma visão mais ampla. Como podemos diminuir ainda mais o risco de acidentes na via? Mesmo olhando para os 2 lados antes de atravessar, algum automóvel pode vir em grande velocidade e causar um acidente, antes que você perceba. Neste caso, pode-se instalar uma passarela sobre a via, para que, independentemente do fluxo de carros, as travessias sejam seguras para todos os pedestres. Com a passarela, o risco de acidentes com pedestres diminui, pois agora todos podem cruzar a via pela passarela, mas não podemos contro- lar se todos os pedestres a utilizarão, ou seja, ainda assim temos o risco que algum pedestre sofra um acidente. Como controlar se todos passarão pela passarela? Instalar grades por toda via impedindo que pedestres acessem ela? Acho que não seria uma solução viável. Neste caso, apenas aceita-se o risco que alguns pedestres não respeitarão as sinalizações e nem terão um comportamento seguro por causa de sua negligência. Não há algo viável a ser feito e temos que aceitar o risco. Em poucos parágrafos, tivemos uma abordagem muito ampla de aná- lise de riscos, que explodiremos em pedaços menores e mais funcionais! 14SEGURANÇA DA INFORMAÇÃO SUMÁRIO ACEITAÇÃO DE RISCO E RISCO RESIDUAL Todos os dias realizamos de forma intrínseca uma análise de riscos em nossas vidas e sempre temos que decidir sobre aceitar os riscos decorrentes de nossas decisões. Quando an- damos acima do limite de velocidade, estamos aceitando o risco de tomar uma multa por re- alizar uma infração de trânsito e assumimos o risco de causar um acidente grave em caso de colisão. Às vezes, é necessário aceitar os riscos e conviver com o risco residual, que é o risco re- manescente após a mitigação do risco. Voltando ao exemplo anterior. Nós olhamos para os 2 lados da rua (mitigação do risco), para garantir que nenhum automóvel está vindo em nossa direção. Se optarmos por atravessar a via sem usar a passarela, estamos aceitando o risco que, mesmo sem nenhum automóvel, esteja vindo em nossa direção naquele momento, podemos tropeçar no meio da via, cair no chão e não conseguir desviar de um automóvel que entre na via após iniciarmos a travessia. Temos o risco residual de tropeçar e cair na via, que resolve- mos aceitar no momento em que não quisermos utilizar a passarela para realizar a travessia da via. Trazendo para um ambiente mais prático de nosso dia a dia, vamos supor que a empre- sa em que você trabalha contratou um link de acesso à internet. Existe um risco desse link de acesso à internet apresentar problemas e a empresa ficar sem conectividade. Como tratamos esse risco? Contrata-se um segundo link de acesso à internet, pois caso o primeiro apresente problema, o segundo segurará o ambiente. Mas ainda temos um risco, pode ser que os 2 links de acesso à internet apresentem pro- blemas. Para mitigar esse risco, pode-se contratar um terceiro link de acesso à internet via rádio, para que possa sustentar o ambiente caso os outros 2 links apresentem problemas. Te- mos ainda outro risco: “E se os 3 links de acesso derem problemas?”. Qual solução podemos ter para mitigar esse risco? Vamos contratar mais um link de acesso à internet? Claro que não! O risco sempre existirá! Entenderam até onde temos que tratar o risco? Cada empresa é diferente, cada situação é única. Pode ser que para uma padaria, apenas 2 links de acesso à internet já estaria de bom tamanho para mitigar os riscos de conexão, pois, mesmo sem internet, ela conseguirá seguir o seu trabalho normalmente. Mas e se for uma operadora de cartão de crédito? Será que não é interessante ter mais do que 5, 10 ou 15 links de conexão? Percebam que a análise de risco é única para cada situação e para cada empresa, não se pode seguir um modelo único e padrão, tudo deve ser analisado com muita calma, focando na cadeia de valor de cada empresa. Portanto, o risco residual sempre existirá e deverá ser aceito em determinado estágio de mitigação. Entramos em outro ponto: o que é um risco aceitável? Quem aceita o risco? De forma bem simples e clara, a obrigação dos profissionais de segurança é de mapear os riscos aos quais um ativo está exposto, classificá-los de acordo com a necessidade do ne- gócio e apresentá-los para os stakeholders e para a diretoria/administração. O profissional de segurança não toma decisão alguma. Vou repetir, o profissional de segurança não toma valde Realce valde Sublinhado valde Realce valde Sublinhado 15SEGURANÇA DA INFORMAÇÃO SUMÁRIO decisão alguma. Toda decisão é tomada pelos gestores da empresa, orientados pelo setor de Segurança da informação. Quem determina se aceitará o risco ou não é a direção! Quem decidirá se os riscos serão tratados é a direção! Novamente, cabe ao profissional de segurança apresentar os riscos ma- peados à direção e cabe a ela decidir o que será feito, como será feito e quando será feito, pois envolve dispende de recursos humanos e financeiros para cada atividade. Enfim, de posse desses conceitos rapidamente explorados, nósabordaremos com mais ênfase conceitos de vulnerabilidade, ameaça e riscos, depois construiremos um exemplo de Matriz de Risco que será utilizado para auxiliar na análise de riscos. VULNERABILIDADES Focaremos nos ativos da informação. Os ativos de informação podem ser todos aque- les que de forma direta ou indireta são utilizados para manipular ou armazenar informações. Pode ser um banco de dados, servidor, switch, celular, firewall, computador, pessoas, entre tantos outros. Todos os ativos possuem vulnerabilidades. De acordo com a ISO27001, as vulnerabilida- des são as fragilidades de um ativo ou grupo de ativos que podem ser exploradas por uma ou mais ameaças, ou seja, são os pontos fracos e as brechas de segurança que um ativo possui. As vulnerabilidades podem ser físicas, naturais, hardware, software, mídias, humanas, entre tantas outras. As vulnerabilidades físicas estão atreladas, por exemplo, a salas de data center mal pla- nejadas com estruturas físicas fora dos padrões exigidos. Com um data center mal planejado, temos brechas de segurança de acesso à sala, no controle de temperatura, no cabeamento, no dimensionamento de nobreak, entre tantas outras. Algumas vulnerabilidades são naturais e do ambiente, às vezes fogem do nosso contro- le. Podemos elencar a umidade do ar, que é uma brecha que danifica os equipamentos, a falta de energia também é uma vulnerabilidade natural, que por sua vez pode ser contornada. valde Sublinhado valde Realce valde Sublinhado valde Sublinhado 16SEGURANÇA DA INFORMAÇÃO SUMÁRIO Como exemplo de vulnerabilidade de Hardware, podemos elencar o desgaste dos equi- pamentos e a sua obsolescência, pois são os pontos fracos de todos equipamentos. Conforme passa o tempo, a vida útil do equipamento diminui e isso é um ponto fraco dele. As vulnerabilidades de softwares são muitas e variadas. Por si só, todo software possui vulnerabilidades, sejam elas de instalação, funcionamento ou desenvolvimento. Atualmente, os softwares são um dos principais vetores de ataques que existem por possuir muitas bre- chas de segurança que podem ser exploradas. As mídias de armazenamento também devem ser tratadas com muita importância. Toda mídia que armazena dados possui seus pontos fracos que devem ser analisados. A mídia pode perder dados, sofrer danos, ser sensível a determinado ambiente, como por exemplo, das fi- tas de backup magnéticas, que podem ser desmagnetizadas, perdendo os dados. Chegamos no fator mais crucial para segurança da informação, as vulnerabilidades hu- manas. O vetor de ataque mais vulnerável que temos no contexto de segurança da informa- ção é o humano. As pessoas possuem inúmeras vulnerabilidades que podem ser exploradas. É mais fácil pedir que alguém lhe entregue a senha, do que tentar quebrar a tela. Portanto, pode-se concluir que as vulnerabilidades são os pontos fracos dos ativos e de- vemos estar atentos a elas, pois é a partir delas que os incidentes de segurança acontecerão. AMEAÇAS Utilizando a definição abordada pela ISO27001, uma ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. As ameaças são agentes internos ou externos que exploram as vulnerabilidades dos ativos, gerando um incidente que incorrerá em perdas. Podemos dividir as ameaças em naturais, involuntárias e voluntárias. As ameaças naturais podem ser exemplificadas por fenômenos da natureza, como ter- remotos, tornados, enchentes, entre outros. Exemplificando, vamos supor que um data cen- ter seja construído perto de um rio. Ele tem uma vulnerabilidade física. Seu ponto fraco é sua localização perto do rio, pois a ameaça de uma enchente pode inundar o data center e fazer com que haja perda de todos os equipamentos. Ameaças involuntárias são aquelas decorrentes de acidentes, erros ou desconhecimento de normas e padrões. Normalmente, acontece “sem querer”, quando a ação e um indivíduo podem explorar uma vulnerabilidade, mas sem a intenção de causar um grande mal. Vou exemplificar com um fato que aconteceu em uma empresa que trabalhei. Todos os dias, às 15:00 horas, toda a rede de um setor parava de funcionar, a equipe de infraestrutura corria até o setor, mas quando chegava lá tudo estava funcionando normal- mente. Isso aconteceu por vários dias, até que, em uma ocasião, o analista foi até o local, às valde Sublinhado valde Sublinhado valde Realce valde Sublinhado 17SEGURANÇA DA INFORMAÇÃO SUMÁRIO 14:45, para ficar esperando a rede cair e ver o que acontecia. Às 15:00 horas ,o pessoal da lim- peza chegou para limpar o andar e precisavam de uma tomada para ligar um equipamento. O rack de comunicação não era protegido de forma segura e a tomada de energia ficava exposta. O pessoal da limpeza desligava o rack de comunicação da tomada para ligar o equipamento deles, derrubando toda rede. Quando o analista chegava para ver o problema, eles já haviam saído e os equipamentos já estavam novamente ligados. Neste cenário, tinha-se a vulnerabilidade da tomada do rack exposta para qualquer um desligar, e uma ameaça por parte dos colaboradores em desligar o rack. Eles não tinham in- tenção de impactar negativamente na rede de dados, eles apenas queriam realizar o seu tra- balho. Isso é um risco involuntário, que pode também ser exemplificado por erros de confi- gurações ou desconhecimento técnico por parte da TI. Por final, temos as ameaças voluntárias, que são aquelas propositalmente causadas. O que caracteriza esse tipo de ameaça é que são realizadas conscientemente, com a intenção de prejudicar o ambiente e causar danos à informação. O melhor exemplo para explanar esse tipo de ameaça são os funcionários descontentes de uma empresa. Um colaborador que esteja empenhado em vazar uma informação ou comprometer a integridade dela, irá fazê-lo, pois ele já possui um acesso privilegiado aos ambientes e às informações. O fator humano sempre será o ponto mais fraco no que tange segurança. Outro exemplo são as ameaças de ataques de crackers, que são direcionados às suas vítimas e procuram explorar todas as vulnerabilidades, tanto lógicas, físicas e humanas. RISCO Finalmente chegamos aos riscos. Um risco é a consequência de uma ameaça ao explorar uma vulnerabilidade de um ativo, que cause impacto negativo. O risco está presente em várias áreas e não é exclusivo da TI. Perceba que, em quase todos os exemplos até o momento, utili- zei situações do dia a dia ou exemplos mais práticos, sem vínculo com a TI. Existe uma frase que uso muito para definir o conceito de risco no contexto de ameaças e vulnerabilidades. As AMEAÇAS exploram as VULNERABILIDADES, expondo os ativos a RIS- COS. Risco é tudo que causa algum impacto. Trazendo exemplos mais práticos da TI, temos o risco de vazamento de informações confidenciais de uma empresa. Esse risco existe, pois um servidor está com a vulnerabilidade de estar desatualizado e uma ameaça de um cracker poder explorar esse ponto falho e tomar controle do servidor, fazendo com que os dados sejam vazados. O foco sempre é mitigar o risco e evitar o risco. Deve-se pensar em ações para evitar o risco, com um plano de ação de execução. Vamos estudar matriz de riscos e todos os conceitos ficarão muito claros. Uma dica legal neste ponto de riscos é a transferência dos riscos. O que seria transferir os riscos? Um exemplo muito interessante é o seguro do carro. Ao fazer o seguro do carro, você está transferindo o risco de sinistros à seguradora. Caso você sofra algum sinistro, é a seguradora que arcará com os custos e todo processo jurídico inerente ao acidente. As empre- valde Sublinhado valde Realce valde Sublinhado 18SEGURANÇA DA INFORMAÇÃO SUMÁRIO sas também fazem isso, transferem os riscos para outras empresas. Claro que sempre haverá coparticipação, mas você terá de quem cobrar. Outro exemplo é a terceirização de links de comunicação entre matriz e filial. Emvez da empresa passar sua própria fibra ótica, tendo que assumir os riscos inerentes à fibra (rompi- mento, roubo, atenuação, etc.), ela contratará uma empresa terceirizada e pagará uma men- salidade para o uso da fibra, deixando todo processo de manutenção em contrato e com clau- sulas de tempo de resposta em caso de sinistros, dessa forma, transfere-se o risco para um terceiro. São muitos termos e definições que abordaremos de forma mais prática na matriz de riscos. MATRIZ DE RISCOS Para realizar uma análise de riscos, precisamos de algumas ferramentas que não auxi- liam. Gosto de chamar de ferramentas, pois elas nos ajudam a alcançar nossos objetivos. Nes- te contexto, temos a matriz de riscos. Ela é uma ferramenta utilizada para mapear os riscos, classificá-los e demonstrar qual plano de ação será tomado e qual dos riscos serão tratados. Costumo dizer que não existe um padrão para uma matriz de riscos, mas vou utilizar um pa- drão muito útil e que trará boa visibilidade. A matriz de risco é um organismo vivo! Ela não pode ser feita uma única vez e depois ficar jogada em um canto. Periodicamente, ela deve ser revisitada e atualizada. Cada empresa define o tempo necessário para essa conferência, porém, o recomendado é que, no mínimo, seja revisada 1 vez por ano, ou quando houver necessidade, antes desse tempo. O importante é que não podemos criar uma matriz somente para ter uma matriz, pois o objetivo dela tam- bém é garantir que seja operacionalizado os controles que forem pontuados. Ela por si só não resolve os problemas. O que resolve é implementar os controles! Um ponto muito importante quando falamos de riscos é IMPACTO e PROBABILIDADE. Coloquei em caixa alta para reforçarmos esses pontos. Quando se realiza uma análise de ris- cos, esses 2 pontos são cruciais para tomar a decisão de um risco será ou não tratada. Pode- mos tratar o impacto de forma segregada em segurança. Podemos tratar o impacto em cada um dos 3 pilares de segurança da informação ou tratar de forma mais global. valde Realce valde Sublinhado 19SEGURANÇA DA INFORMAÇÃO SUMÁRIO Pode-se ter o modelo de matriz de riscos mais simples, como este abaixo: Modelo de Matriz de Risco que será trabalhado: Agora fica uma pergunta: “como avaliar a probabilidade e o impacto?”. Essa resposta não é simples. É necessário definir uma legen- da para nos ajudar nesse quesito. Será elaborada de forma empírica, ou seja, de acordo com o conhecimento e feeling das pessoas que estão envolvidas no desenvolvimento. Para cada empresa e situação, tem-se uma forma mais precisa de gerar essa legenda. Para fins de estudos, vamos classificar de 0 a 3, onde 0 seria o menor valor e 3 o maior valor, tanto para probabilidade como para impacto. Neste modelo de matriz de risco, vamos somar a probabilidade com o impacto, gerando um número que representa cada risco. O resul- tado servirá para embasar as decisões a serem tomadas para a tratativa dos riscos ou a sua aceitação. Lembrando que cada situação exigirá uma análise mais apurada de como construir essa legenda. Vamos a um exemplo para que possamos exercitar essa matriz de riscos. Um exemplo clássico utilizado é o risco de “Perca de conec- tividade com a internet”. O risco é não conseguir mais navegar na internet. O ativo, neste caso, será o link de comunicação. A ameaça será o rompimento da fibra realizada por qualquer agente externo ou falha humana. A vulnerabilidade será o fato de ter apenas 1 link de comunica- ção. Temos as 4 primeiras colunas definidas. Risco Ativo Ameaça Vulnerabilidade Probabilidade Impacto Total Ações Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações 20SEGURANÇA DA INFORMAÇÃO SUMÁRIO Agora fica uma pergunta: “como avaliar a probabilidade e o impacto?”. Essa resposta não é simples. É necessário definir uma legenda para nos aju- dar nesse quesito. Será elaborada de forma empírica, ou seja, de acordo com o conhecimento e feeling das pessoas que estão envolvidas no desenvolvi- mento. Para cada empresa e situação, tem-se uma forma mais precisa de gerar essa legenda. Para fins de estudos, vamos classificar de 0 a 3, onde 0 seria o menor valor e 3 o maior valor, tanto para probabilidade como para impacto. Neste modelo de matriz de risco, vamos somar a probabilidade com o impacto, gerando um número que representa cada risco. O resultado servirá para embasar as decisões a serem tomadas para a tratativa dos riscos ou a sua aceitação. Lembrando que cada situação exigirá uma análise mais apurada de como construir essa legenda. Vamos a um exemplo para que possamos exercitar essa matriz de riscos. Um exemplo clássico utilizado é o risco de “Perca de conectividade com a internet”. O risco é não conseguir mais navegar na internet. O ativo, neste caso, será o link de comunicação. A ameaça será o rompimento da fibra realizada por qualquer agente externo ou falha humana. A vulnerabilidade será o fato de ter apenas 1 link de comunicação. Temos as 4 primeiras colunas definidas. Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações Perca de conectividade. Links de comunicação. Rompimento da fibra. Apenas um link de comunicação. Agora é necessário definir um score para a probabilidade de isso acontecer. Vem a pergunta: “Com que frequência a fibra pode ser rompida, ocor- rendo perca de conectividade?”. Rompimento de fibra não é algo recorrente, sendo ocasional. Podemos definir uma probabilidade 1 na escala de 0 a 3. Onde 0 é quando existe uma possibilidade remota de acontecer e 3 quando existe uma recorrência muito próxima de acontecimentos. Após, iniciamos a análise do impacto de acordo com os pilares de segurança. Uma fibra rompida impacta diretamente na confidencialidade? Não, pois se o link de comunicação não estiver funcionando, as informações ainda estarão confidenciais. O score será de 0, onde 0 é um impacto nulo e 3 um impacto alto. 21SEGURANÇA DA INFORMAÇÃO SUMÁRIO Uma fibra rompida, impacta em integridade da informação? Sim, de certa forma sim. Se no instante que a fibra rompeu, um dado estava sendo tra- fegado, ocorrerá perda de pacotes, logo, teremos o dado corrompido, ele não estará integro. Podemos elencar um score de 1, pois mesmo se corromper, será algo muito pontual. A fibra rompida, impacta na disponibilidade? Claro que sim! Este é o pilar de maior impacto. Uma vez que não se tem a fibra, não há conectividade e a informação não estará disponível. O score desse impacto pode ser 3, pois impacta de forma negativa neste processo. Definindo os scores para cada sessão, deve-se somar os resultados para que tenhamos um total do risco. Temos mais informações em nossa matriz: Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações Perca de conectividade. Links de comunicação. Rompimento da fibra. Apenas um link de comunicação. 1 0 1 3 5 Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações Perca de conectividade. Links de comunicação. Rompimento da fibra. Apenas um link de comunicação. 1 0 1 3 5 Contratar mais um link de comunicação. Legal! Nossa matriz de riscos está cada vez mais desenhada. Por último e muito importante, temos que definir uma ação para mitigar esse risco. Neste caso, o que podemos elencar como uma possível solução? Pode-se sugerir a contratação de mais um link de comunicação, para que a empresa possua links de contingência. Nossa matriz... 22SEGURANÇA DA INFORMAÇÃO SUMÁRIO Um detalhe muito importante na matriz, é que um mesmo ativo pode ter inúmeros riscos e pode se repetir na matriz, pois cada risco é tratado sepa- radamente. Vamos a outro exemplo. O risco de um acesso indevido à sala de servidores. Neste caso, o ativo será a Sala de servidores. A ameaça será uma pessoa má intencionada e a vulnerabilidade é de não tercontrole de acesso à sala. No que tange a probabilidade, pode-se elencar uma probabilidade baixa de valor 1, pois para algum indivíduo invadir o data center, ele terá que ter invadido outros setores da empresa antes e poderá ser descoberto antes de chegar ao data center. No pilar de confidencialidade teremos perda, pois ao acessar o data center, o indivíduo estará exposto a informações sigilosas. A integridade tam- bém será afetada, pois ao acessar o data center, ele poderá comprometer algum equipamento, logo, compromete a integridade da informação armaze- nada. Por fim, o impacto na disponibilidade acontecerá, pois algum equipamento pode ser roubado ou danificado, deixando a informação indisponível. Para mitigar esse risco, pode-se sugerir que, na porta de entrada do data center seja implantado um leitor de biometria para que somente pessoas autorizadas tenham acesso. Vamos ver como está ficando nossa matriz: Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações Perca de conectividade. Links de comunicação. Rompimento da fibra. Apenas um link de comunicação. 1 0 1 3 5 Contratar mais um link de comunicação. Acesso indevido ao data center. Data center. Invasão por pessoa não autorizada. Não possuir controle de acesso. 1 2 2 2 7 Instalação de leitor biométrico. 23SEGURANÇA DA INFORMAÇÃO SUMÁRIO Seguindo com nossos exemplos, vamos pensar em um risco de acesso indevido a sistemas corporativos. Existe o risco de pessoas não autorizadas acessarem os sistemas da empresa, como ERP, CRM, entre outros. O ativo será o sistema de ERP. A ameaça será um hacker tentando um ataque de força bruta para descobrir uma senha. A vulnerabilidade será a falta de uma política de senhas. Dessa forma, os usuários podem colocar como senha, sequência Risco Ativo Ameaça Vulnerabilidade Probabilidade Confidencialidade Integridade Disponibilidade Total Ações Perca de conectividade. Links de comunicação. Rompimento da fibra. Apenas um link de comunicação. 1 0 1 3 5 Contratar mais um link de comunicação. Acesso indevido ao data center. Data center. Invasão por pessoa não autorizada. Não possuir controle de acesso. 1 2 2 2 7 Instalação de leitor biométrico. Acesso não autorizador aos sistemas. Sistema de ERP. Hacker efetuando um brute force Não possuir políticas de senhas. 3 3 1 1 8 Criar uma política de senhas. numéricas como 123456, que são fáceis de serem descobertas. Vamos direto para nossa matriz: Dessa forma, a matriz de riscos é construída de acordo com cada risco identificado. Neste simplório exemplo, tivemos 3 riscos com score final di- ferente. Analisando somente com os dados que temos dispostos nela, podemos concluir que quaisquer dos riscos devem ser o primeiro a ser mitigado? O risco das senhas, pois o score dele é maior do que os outros. Fique atento para um detalhe: nem sempre o risco de maior score será o risco prioritário para ser tratado. 24SEGURANÇA DA INFORMAÇÃO SUMÁRIO Vamos a um exemplo: supondo que essa matriz de risco seja de um açougue. A matriz de risco é portável para qualquer tipo de negócio. Para o negócio de um açougue, pode ser que o risco mais pertinente para ser tratado é o das senhas, e seguiremos a ideia de tratar o risco de maior score primeiro. Agora, pense no mesmo cenário, só que em uma empresa de e-commerce. Para o e-commerce, a conectividade é algo preponderante para o negócio! Por mais que o score dele esteja inferior aos outros, esse será o risco que será tratado primeiro, pois ele impacta diretamente no negócio da empresa! Percebam que não existe uma resposta padrão ou uma matriz de risco totalmente inflexível. Para cada negócio existe uma forma de analisar a matriz e decidir quais serão as ações a serem tomadas de forma prioritária. 25SEGURANÇA DA INFORMAÇÃO SUMÁRIO PLANO DE CONTINGÊNCIA Um dos pontos mais importantes que temos após a criação de uma matriz de risco é criar um plano de contingência. Basicamente, é descrito todo processo para se colocar o ambien- te novamente em operação. Quando falamos em plano de contingência, estamos focando em continuidade de negócio. A matriz de riscos nos apresenta os riscos que podem ocorrer e nela tratamos como mitigá-los, porém, deve haver uma documentação de como colocar os processos de negócio novamente em operação, caso o risco se concretize. A partir da análise dos riscos, define-se um procedimento detalhado de como recuperar sistemas de TI, em caso de desastres de dife- rentes tipos. O plano de contingência é utilizado em caso de desastres ou situações que impactam muito negativamente no negócio. Por isso, o foco dele é manter a continuidade do negócio, como se fosse um “plano B”, caso ocorra uma falha grave. Nele é descrito o que fazer passo a passo para reestabelecer paliativamente a operação. O plano de contingência é algo impor- tante na gestão de riscos. A estratégia para criação do plano de contingência precisa levar algumas coisas em con- sideração: • RPO: Recovery Point Objective (RPO), representa a perda de dados que a empresa pode ter sem que comprometa sua operação. Por exemplo, a empresa pode perder 1 dia in- teiro de dados e movimentação sem impacto na continuidade de negócio, o RTO é de 1 dia. Pense em um ambiente mais crítico, como um hospital. Para um hospital perder 15 minutos de dados médicos em um prontuário de um paciente, já pode ser considerado crítico! Cada situação deve ser avaliada. • RTO: Recovery Time Objective (RTO), representa o tempo em que a operação precisa estar em operação novamente sem que haja impacto na continuidade de negócio da em- presa. Quanto mais rápida for, será necessário o reestabelecimento dos sistemas, mais complexa e cara é a estratégia de RTO. Por exemplo, para um hospital, um desastre nos links de acesso à internet pode ter um RTO de 1 dia sem grandes problemas, mas para um comércio eletrônico, ter um RTO de 15 minutos já é demorado! Novamente, cada situa- ção deve ser analisada. • Recursos financeiros: para um plano de contingência, é necessário saber quanto de re- curso financeiro a empresa está disposta a dispender. Estratégia de RTO e RPO estão atreladas ao custo. Quanto mais investimento, menos a perda de dados e menor o tempo de recuperação. valde Realce valde Sublinhado valde Sublinhado 26SEGURANÇA DA INFORMAÇÃO SUMÁRIO De posse dessas informações, pode-se iniciar um plano de contingência e focar em tec- nologias e topologias que podem ser utilizadas para alcançar os objetivos propostos. Podemos dividir o plano de contingência em vários tópicos, assim como a matriz de riscos, não existe um modelo padrão, mas tópicos que são interessantes. É muito importante que ocorram tes- tes periódicos do plano de contingência, pois se nunca forem validados, quando acontecer algum desastre, pode ser que ele não funcione e a operação não volte, deixando o ambiente indisponível. O plano de contingência é importante, pois ele ajuda a minimizar as perdas para o negó- cio. Apesar de um imprevisto acontecer e causar algum dano à empresa, se o plano de contin- gência estiver bem desenvolvido, fará com que as perdas sejam menores. A falta dele poderá fazer com que uma empresa sucumba após acontecer algum desastre. Normalmente, o que acontece quando algo de ruim incide? Todos se desesperam e não sabem o que fazer, isso é natural do ser humano. O plano de contingência ajuda neste sentido, pois nele estão descritas todas as orientações necessárias em caso de sinistros. Ele orienta o comportamento de toda equipe e processo, em momento que não cabe pensar, apenas agir de forma organizada, focando em manter o ambiente em operação. O plano de contingência não é feito a partir de uma receita. Cada empresa tem que de- senvolver o seu próprio plano que pode ser ou não utilizado em outras empresas. Assim como a matriz de riscos, ele é adaptávele variável. O primeiro passo é identificar quais as necessidades e problemas que podem afetar a operação da empresa, neste caso, da TI, pois estamos focando no plano de contingência do setor de tecnologia. Deve-se levar em consideração adversidades naturais, técnicas e huma- nas. Essas informações podem vir da análise de riscos, pois ali já está mapeado os principais riscos. O segundo ponto importante é avaliar o impacto que cada risco tem ao negócio, para decidir a melhor forma de contorná-lo, caso aconteça algum desastre. Uma falha do plano de contingência é preocupar-se com situações corriqueiras que “incham” ele, tirando o foco realmente do seu objetivo, que é retornar à operação o mais rápido possível. No plano de con- tingência, pense apenas em situações de desastres e não corriqueiras. A terceira etapa é uma das mais importantes, temos que definir prioridades! Qual sis- tema vamos colocar em operação primeiro? Qual servidor será priorizado para ser colocado em operação? Essas são perguntas fundamentais, pois na hora do desastre, uma sequência de prioridades deve ser elencada para que processos prioritários sejam colocados em operação, primeiramente. A quarta etapa, que muitas das vezes é negligenciada, mas é de fundamental impor- tância, testar o plano de contingência! De nada adianta ele existir no ambiente, se nunca foi testado e homologado. É muito provável que ele não funcione na hora de um desastre se ele nunca foi testado. Planos de testes devem ser realizados pelo menos de 1 a 2 vezes no ano para testar se realmente o que está escrito, reflete realmente na operação no caso de desastres. 27SEGURANÇA DA INFORMAÇÃO SUMÁRIO Um plano de contingência é algo vivo na empresa, ou seja, deve ser revisado com frequência! Essa é a quinta etapa, revisar periodicamente os processos do plano para que esteja aderente à realidade da em- presa. O ambiente se transforma todos os dias e o plano deve estar alinhado a isso, caso contrário, não será efetivo no dia do desastre. Vou trazer um modelo de plano de contingência simples, mas funcional. Lembrando que não existe um modelo padrão, cada empresa pode gerar um plano de contingência que melhor se adeque a sua reali- dade. Esse modelo é apenas uma tabela dividida em níveis de gerenciamento, onde o nível maior é o mais prioritário, tendo em vista a retomada da operação em caso de um desastre. • Nível de gerenciamento 1: microinformática • Nível de gerenciamento 2: rede, comunicação e serviços de rede • Nível de gerenciamento 3: bancos de dados e virtualização • Nível de gerenciamento 4: infraestrutura física Para cada um dos níveis teremos a divisão: equipamento; local; abrangência; falhas; capacidade de contingência; procedimento; tempo de parada; responsável. Equipamento Local Instalação Abrangência Falhas Cepacidade de Contingência Procedimento Tempo Previsto Responsável Esses exemplos são apenas algo simbólico para ilustrar como criar seu plano de contingência. 28SEGURANÇA DA INFORMAÇÃO SUMÁRIO Equipamento Local Instalação Abrangência Falhas Cepacidade de Contingência Procedimento Tempo Previsto Responsável Microcomputador Cidade Toda empresa Queima de hardware 10 máquinas de backup Trocar por um computador de backup. 2 horas Técnicos de suporte Equipamento Local Instalação Abrangência Falhas Cepacidade de Contingência Procedimento Tempo Previsto Responsável Core de rede Data center Toda empresa Queima de hardware 1 Switch de backup Trocar por um switch de backup e abrir chamado com o fornecedor pelo telefone xxxxxxx. 1 hora Analista de suporte NÍVEL 1 NÍVEL 2 Esses exemplos são apenas algo simbólico para ilustrar como criar seu plano de contingência. 29SEGURANÇA DA INFORMAÇÃO SUMÁRIO Equipamento Local Instalação Abrangência Falhas Cepacidade de Contingência Procedimento Tempo Previsto Responsável Storage Data center Toda empresa Queima de hardware Equipamentos em H.A. Abrir chamado com o fornecedor pelo telefone xxxxxxx. Sem parada. Equipamentos em H.A. SLA de 6 horas com fornecedor para troca de equipamentos danificado. Adminsitrador de ambientes Equipamento Local Instalação Abrangência Falhas Cepacidade de Contingência Procedimento Tempo Previsto Responsável Data center Data center Toda empresa Incêndio Subir todos os sistemas no site Backup. Subir sistemas no site backup nesta ordem: 1 – virtualização; 2 – rede de dados; 3 – ad; 4 – erp; 5 – e-mail; 6 – crm; 7 – demais sistemas. 6 horas Analistas de suporte, DBA, administradores de ambiente. NÍVEL 3 NÍVEL 4 Esses exemplos são apenas algo simbólico para ilustrar como criar seu plano de contingência. 30GESTÃO DE PROCESSOS SÍNTESE SUMÁRIO Neste capítulo, aprendemos um pouco sobre os conceitos vulnerabilidades, ameaças e riscos. Vimos como uma análise de riscos é desenvol- vida e como construir uma matriz de riscos, para nos auxiliar na mitigação de riscos. 31GESTÃO DE PROCESSOS EXERCÍCIOS SUMÁRIO 1. O que é vulnerabilidade? 2. O que é ameaça? 3. O que é risco? 4. A análise de riscos garante que todos os riscos serão eliminados? 5. A matriz de risco é padrão e não pode ser adaptável nos ambientes? 6. Para que serve um plano de contingência? 32 ISO 27001 A ISO27001 normatiza todo processo de Segurança da informação. Vamos desvendar toda sua estrutura! Keep Learning! valde Realce 33SEGURANÇA DA INFORMAÇÃO SUMÁRIO A segurança da informação é totalmente focada em estabelecer processos seguro nas empresas. Para cada tipo de necessidade, existem frameworks reconhecidos mundialmente, que auxiliam na construção e desenho de processos, ou servindo como manuais de boas prá- ticas. Por exemplo, para gestão de serviços de TI, existe a ITIL que organiza e sustenta todo ciclo de vida de serviços de TI e pode-se utilizar ela como base para estruturar os processos da TI e padronizar o atendimento de demandas e necessidades dos negócios. Para organizar a TI e deixar ela alinhada aos processos de negócio das empresas, po- de-se utilizar o COBIT. Esse framework auxilia a TI a estar alinhada ao negócio da empresa e estar inserida na governança corporativa e no planejamento estratégico e dessa forma fazer com que a TI agregue valor ao negócio das corporações. Para segurança não é diferente. Em Segurança da informação, utiliza-se a ISO27001 e toda sua família de normas (27002,27005, etc.). A ISO27001 é um padrão reconhecido mun- dialmente e totalmente adaptável a todo tipo de negócio, pois ela é genérica e foca na melhoria de processos corporativos para que agreguem segurança no seu dia a dia. A ISO27001 derivou de uma norma britânica, a BS7799, do ano de 1999. Sim pessoal, as normas de segurança são bem antigas! Junto com a ISO27001, temos a ISO27002. Ela é uma norma que não pode ser auditada e é utilizada como documento de referência à implementação da ISO27001. Nela, temos todos os controles e clausulas de controle detalhados. As ISOs de segurança, focam na segurança física, técnica, procedimental e em pessoas. A norma trata todo esse sistema de gestão proposto através do nome SGSI (Sistema de Gestão de Segurança da Informação), ou seja, não é apenas um manual de boas práticas, a ISO27001 cria um sistema de gestão vivo de segurança com foco em melhoria continuada dos processos. Uma empresa que consegue a certificação na ISO27001, consegue estabelecer um sistema que se perpetua ao longo do tempo, garantindo a continuidade da segurança no am- biente. A ISO27001 consta, atualmente, com 14 sessões e 114 controles que abordaremos du- rante nosso curso. Uma empresa pode ser certificada na ISO27001, se cumprir todos os requisitos impostos pela norma através de uma auditoria oficial de uma empresa especializada e credenciada para realizar uma auditoria. Após ganhar a certificação da ISO27001, novas auditorias externas são realizadaspara manter a certificação e garantir que o SGSI esteja sempre alimentando e vivo na corporação de forma continuada. valde Realce valde Realce valde Sublinhado valde Realce 34SEGURANÇA DA INFORMAÇÃO SUMÁRIO SGSI – SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO Como vimos, a ISO27001 é sustentada por um SGSI que faz com que a segurança seja orgânica e viva no ambiente! Como todo sistema de gestão, o SGSI apega-se na metodologia PDCA, do inglês, PLAN, DO, CHECK, ACTION. O que seria o PDCA? O PDCA é uma metodologia de gestão que visa controlar os processos e melhorá-los continuamente. A fase do PLAN é a mais importante em qualquer processo de gestão. Na fase de plane- jamento, define-se os objetivos e as metas projetadas para implantação do SGSI. É nessa fase que é definido o escopo, quais processos serão impactados primeiramente, quais setores da empresa serão submetidos a melhorias, e assim por diante. É a fase mais demorada, pois é nele que tudo é detalhado. Na fase do DO, é quando implementamos o que foi planejado, ou seja, “colocamos a mão na massa”. Neste momento, tudo o que foi planejado irá para produção. O CHECK, representa uma fase importante de pós-implementação. Nesta fase, pode- mos observar se o que foi planejado realmente foi executado e se os resultados esperados fo- ram atingidos. As falhas identificadas devem ser documentadas e as dificuldades enfrentadas pontuadas. Por último, na fase do ACTION, será realizada uma análise dos pontos positivos e ne- gativos da implementação. Identifica-se os pontos de melhoria e onde pode melhorar o pro- cesso. Após isso, volta-se à fase de PLAN, para planejar as mudanças nos pontos de melhoria identificados e todo ciclo se retroalimenta. O PDCA é um ciclo sem fim, por isso ele garante a melhoria continuada dos processos. Entendendo um pouco do PDCA, podemos prosseguir nas etapas de estabelecimento de um SGSI. valde Realce 35SEGURANÇA DA INFORMAÇÃO SUMÁRIO Primeira atividade que deve ser realizada para estabelecer um SGSI é definir um escopo e os limites do sistema de gestão. Isso é muito importante, pois o SGSI impacta em vários processos. Uma empresa pode definir que aplicará um sistema de gestão somente na TI e deixar os demais setores de fora e dessa forma amadurecer os processos antes de levar para toda empresa. Tudo é uma questão de definição de escopo, para saber qual será o alvo e quanto recurso financeiro e humano terá para implementar o SGSI. Outro ponto crucial é estabelecer uma política de SGSI na empresa, onde todos terão que estar abaixo dela e respeitar as normas impostas. Nela, contém toda hierarquia e estrutura do SGSI e deve estar alinhado ao contexto estratégico da empresa. Mais adiante, abordaremos a Po- lítica de Segurança da Informação Corporativa, que nos ajudará a compreender as normativas. A análise de riscos aparece como requisito obrigatório para um SGSI. Ela está inserida den- tro do processo de gestão e precisa ser atualizada regularmente, estando alinhada com os objeti- vos da empresa, focando na continuidade do negócio. Define-se uma metodologia de análise de riscos e desenvolve-se critérios para aceitação dos riscos, gerando, dessa forma, um padrão para as análises, documentando todo processo. O SGSI exige que exista um comprometimento visceral da diretoria e da alta administração em todo processo. A análise de riscos, juntamente com os riscos residuais e a aceitação dos ris- cos, devem ser homologados e aceitos pela diretoria. Todo processo deve ser aprovado pela alta administração, de modo que ela esteja ciente de como o ambiente está e quais ações necessitam ser tomadas para mitigar os riscos e que mesmo após a mitigação, existem riscos residuais que vêm ser aprovados e aceitos por eles. A alta administração ainda precisa chancelar a operação do SGSI e autorizar que seja implementado na empresa, com respaldo de toda diretoria. Outros pontos são relevantes dentro do SGSI e devem ser observados com muita atenção: • implementar programas de conscientização e treinamento; • gerenciar as operações do SGSI; • gerenciar recursos para o SGSI; • implementar controles para identificar eventos de segurança. Deve ser reiterado o fato do comprometimento da direção com o SGSI. A ISO27001 traz um capítulo exclusivo para abordar esse tema. A direção precisa estar totalmente comprome- tida com o SGSI, inclusive na auditoria de certificação é um dos pontos observados. A direção tem como responsabilidade: • estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI; • garantir que os procedimentos de segurança apoiem o negócio; • identificar e tratar requisitos legais; • realizar análises críticas do SGSI; • melhorar a eficácia do SGSI. Essa é a estrutura básico do SGSI, mas abordaremos de forma mais minuciosa cada um dos assuntos daqui para frente. valde Sublinhado valde Sublinhado valde Sublinhado valde Sublinhado valde Sublinhado 36SEGURANÇA DA INFORMAÇÃO SUMÁRIO ANEXO A - ISO27002 Após a criação de um SGSI, a norma ISO27001 exige o cumprimento da implantação de 114 controles para que uma empresa seja certificada. Cada um dos 114 controles está descrito de forma detalhada no Anexo A da norma. O Anexo A é a ISO27002, portanto, a ISO27002 é o detalhamento dos 114 controles divididos em 14 sessões. As sessões são numeradas de 5 até 18 e cada uma delas abrange uma temática dentro da norma. A primeira sessão é a 5 - Política de Segurança da Informação. Nesta sessão, está deta- lhada como a política de segurança deve ser conduzida dentro da empresa. Inclui o tempo de revisão e os limites de aplicação dela. Muitas dicas de como construir uma política estão des- critas neste tópico. A segunda sessão é a 6 - Organização da Segurança da Informação. Nesta sessão, des- creve-se os controles sobre as responsabilidades de cada um dentro do SGSI, também des- crevem como as atividades remotas devem ser realizadas e padroniza políticas para uso de dispositivos móveis. A sessão 7 - Segurança em Recursos Humanos, possui foco nas pessoas e na capacitação dos colaboradores. Controles são estabelecidos nas fases de contratação, sendo aplicados an- tes, durante e pós ser realizada. O fator humano é o maior desafio do sistema de gestão. Na sessão 8 - Gestão de Ativos, foca-se nos inventários de ativos e políticas de uso acei- tável. Nesta etapa, também será abordada a classificação da informação e o manuseio de mí- dias. O inventário é o controle principal nesta etapa, e a norma detalha como realizar ele com sucesso. A sessão 9 – Controle de Acesso, tem seu foco na liberação de acesso aos sistemas cor- porativos, elencando itens pra controlar o acesso e também explicitar a responsabilidade de todos no manuseio das informações. A sessão 10 – Criptografia, está focada no controle das chaves criptográficas que a em- presa possuiu, pois a salvaguarda das chaves é de extrema importância, uma vez que de posse da chave, consegue-se abrir os arquivos que estão criptografados, expondo as informações. Na sessão 11 - Segurança Física e do Ambiente, os controles possuem foco na defini- ção de áreas seguras e no controle de entrada no perímetro da empresa. Ainda nesta sessão, é abordada a importância de se ter uma política de mesa limpa e o descarte seguro de mídias físicas. A sessão que mais impacta na infra de TI é a sessão 12 - Segurança nas Operações. Nes- ta fase, existem vários controles relacionados à produção de TI e ao bom funcionamento da valde Realce valde Realce valde Realce valde Realce valde Realce valde Realce valde Realce valde Realce valde Realce 37SEGURANÇA DA INFORMAÇÃO SUMÁRIO infraestrutura. Dentro desses controles, estão inclusas a gestão de mudanças e a gestão de capacidade do ambiente juntamente com gestão de backup e monitoramento. Na sessão 13 - Segurança nas Comunicações, é abordado o controle de rede de dados que precisam serimplementados, como a segmentação da rede de segurança nos serviços de re- des, que estarão providos no ambiente da empresa. Para desenvolvimento e aquisição de sistemas, existe a sessão 14 - Aquisição, desenvol- vimento e manutenção de sistemas. Muitos vetores de ataques estão em sistemas mal desen- volvidos. Nesta sessão, a norma exige algumas parametrizações e mudanças de processo de desenvolvimento, que melhoram muito a segurança dos dados nas aplicações. A sessão 15 - Relacionamento na Cadeia de Suprimentos, define controles que incluem acordos de confidencialidade e monitoramento de fornecedores. A sessão 16 - Gestão de Inci- dentes de Segurança da Informação, estabelece controles de como os incidentes serão repor- tados e tratados. Na sessão 17 - Aspectos da segurança da informação, na gestão da continuidade do ne- gócio, estão descritos controles focados na continuidade de negócios da empresa e na redun- dância da TI. Na última sessão, 18, – Conformidade, conduz os controles para estar em compliance com normas e legislações vigentes. Percebam que a ISO27001, dentro desses 114 controles, aborda todas as faces da segu- rança da informação e auxiliam na construção de um SGSI robusto e que se perpetue no am- biente, garantindo a melhora dos processos com foco em segurança. valde Realce valde Realce 38GESTÃO DE PROCESSOS SÍNTESE SUMÁRIO Neste capítulo, aprendemos um pouco sobre a ISO27001 e a construção de um SGSI. Estudamos o Anexo A da norma e vimos cada uma das 14 sessões de forma resumida. Aprendemos um pouco sobre o PDCA e como manter um sistema de gestão ativo. 39GESTÃO DE PROCESSOS EXERCÍCIOS SUMÁRIO 1. O que é o Anexo A da norma ISO27001? a. No Anexo A estão descritos os 114 controle estabelecidos pela norma 27001, ele serve de apoio durante a implantação do sistema na organização. 2. Para que serve o PDCA? a. O ciclo PDCA é uma metodologia que auxília o profissional a monitorar seus projetos e seus planos de ação, pois proporciona uma revisita constante em suas ações e resultados. 3. É necessário haver uma análise de riscos no SGSI? a. Sim, é de suma importância que haja uma análise de riscos no Sistema de Gestão de Segurança da Informação, pois os riscos devem ser classificados, tendo os de maior pontuação, ações já definidas e postas em prática. 4. É importante o comprometimento da diretoria? Por quê? a. Sim, é muito importante o comprometimento da direção na implantação de qualquer sistema de gestão, pois além de fornecerem suporte financeiro, a implantação de qualquer sistema de gestão, deve estar alinhado estrategicamente com os objetivos da organização. 5. A ISO27002 possui quantos controles? a. Ela possui 114 controle. 40 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Como podemos organizar e normatizar todas as regras de segurança em uma empresa? A resposta é a Política de Segurança da Informação. Vamos lá! 41SEGURANÇA DA INFORMAÇÃO SUMÁRIO A construção de uma política de segurança nunca é algo fácil e gera muitas dúvidas. Não existe uma receita-padrão de como elaborar uma política, ou um passo a passo. Cada empre- sa constrói sua política de acordo com o que acha mais pertinente e da forma que melhor de adaptar ao negócio. Os exemplos e as construções que faremos neste capítulo, serão apenas uma ideia de como conduzir o processo da criação da política. A Política de Segurança da Informação deve ser criada e aprovada pela direção da em- presa, e divulgada para todos os funcionários. Uma política deve conter a definição de segu- rança da informação na visão da empresa; quem será responsável pelos controles e gestão de risco da informação; uma explicação dos princípios e normas que regem a política da empre- sa; a definição clara de responsabilidades; fazer referências a outros documentos e normas que apoiem a política da empresa. Outro ponto importante da Política de Segurança da Informação (PSI), que a norma exi- ge, é a revisão sistemática e periódica do documento, para que ele sempre esteja aderente à realidade da empresa (lembram do PDCA?), a fim de mitigar os riscos ao negócio. Um dos pontos básicos da PSI, é a sua divulgação para todos os funcionários da empre- sa. Todos devem saber que a política existe e devem estar cientes do seu conteúdo, seguindo a conduta estabelecida nela, podendo até sofrer sanções administrativas em caso de descum- primento das normas. Para construção da PSI, podemos seguir a seguinte estrutura: • introdução; • objetivos; • conceitos e definições; • comprometimento da diretoria; • responsabilidades; • continuidade de negócio; • diretrizes; • sanções. Com essa estrutura, pode-se construir uma política simples e ao mesmo tempo efetiva em seu propósito. Lembre-se que é apenas uma ideia de como construir a política, que deve ser feita de acordo com cada situação. Na introdução, é necessário descrever um pouco sobre a importância da segurança da informação e os motivos que levaram a construção da política, demonstrar a importância da temática, juntamente com uma explanação do que será tratado no documento: 42SEGURANÇA DA INFORMAÇÃO SUMÁRIO “A Segurança da Informação é um assunto preponderante para a sustentação do negócio das corporações. Com o advento de leis como a LGPD e a GDPR, a proteção de dados está cada vez mais em voga e faz-se necessário sob essa temática. A Política de Segurança da Informação é o principal documento que rege as diretrizes de segurança de uma organização. A política está alinhada à estratégia da empresa e atende os requisitos legais e de negócio para manutenção da cadeia de valor e compliance do ambiente. Na política, serão descritas todas as di- retrizes de segurança, bem como o comprometimento da diretoria e a responsabilidade de todos os envolvidos”. Nos objetivos, é necessário elencar o objetivo geral e os específicos, que direcionarão a construção do SGSI. Objetivos sempre são verbos no infinitivo. “O objetivo geral da Política de Segurança da Informação: estabelecer diretrizes de segurança para que haja a melhoria continuada dos processos internos e diminuir o risco ao negócio. Para alcançar o objetivo geral, foram elencados os objetivos específicos: • criar uma matriz de riscos; • definir as responsabilidades; • evidenciar o comprometimento da diretoria; • homologar a continuidade de negócio; • definir diretrizes de segurança aderente ao negócio; • criar sanções para punir o desrespeito às normas. Em conceitos e definições, será explanado sobre a segurança da informação, pilares, a visão da empresa sobre a temática. “O terno Segurança da Informação refere-se à [...] Os pilares de segurança da informação são [...] A análise de riscos é [..] [..] “ Na parte de comprometimento da diretoria, evidencia-se o grau de comprometimento da diretoria com o assunto e explicita-se o apoio dela para implementação das políticas. “A diretoria está comprometida com o SGSI quando está disposta à: • investir recursos financeiros; • participar da análise de riscos; • sancionar a política de segurança. Em responsabilidades, elencamos as responsabilidades de indivíduo dentro do SGSI, bem como as responsabilidades dos setores da empresa, como TI, RH e Diretoria. 43SEGURANÇA DA INFORMAÇÃO SUMÁRIO “O SGSI necessita que as seguintes áreas de empresa estejam comprometidas com o sistema e cumpram as suas responsabilidades: • Diretoria: Responsável por sancionar a Política de Segurança e garantir sua aplicação do am- biente, dando respaldo na implementação juntos aos diretores, acionistas, colaboradores e terceiros. • TI: responsável por revisar periodicamente a PSI, ou quando cabível, e apoiar a efetivação dos controles de segurança de forma automatizada no ambiente e apoiar os treinamentos e capa- citação dos colaboradores sobre o tema. • Recursos humanos: responsável por coletar as assinaturas nos termos de responsabilidades e organizar treinamentos de capacitação sobre o temacom o apoio do setor de TI. No capítulo de continuidade de negócio, elenca-se o plano de contingência e a frequên- cia de validação dele. “Anualmente, o plano de contingência deve ser homologado e testado. Os testes devem ser do- cumentados e apresentados à diretoria.”. Perto do final, chegamos na parte chata, em que os usuários criam uma antipatia com a TI. Nas diretrizes são evidenciadas as políticas, e será elencado “o que é” e o “que não é per- mitido” na empresa. É o capítulo mais longo, e cada empresa possui suas políticas específicas: 1. proibido acesso à pornografia; 2. proibido efetuar download de programas não autorizados pela TI; 3. proibido armazenar conteúdo de áudio/vídeo que possuam direitos autorais; 4. proibido efetuar pirataria de qualquer tipo; 5. não enviar e-mail de correntes; 6. não compartilhar conteúdos duvidosos; 7. entrar em contato com a TI em caso de infecção por malwares; 8. não clicar em links suspeitos no e-mail; 9. proibido compartilhar arquivos confidenciais em qualquer tipo de mídia digital ou portais de compartilhamento; [...] No final, o capítulo de sanções oficializa que se alguém descumprir as políticas descritas na norma, poderão sofrer sanções administrativas e/ou legais cabíveis. 44SEGURANÇA DA INFORMAÇÃO SUMÁRIO “A Política de Segurança da Informação é aplicável a toda diretoria, acionistas, gerentes, co- ordenadores, colaboradores, terceiros e a qualquer indivíduo que esteja dentro das dependências da empresa. O não cumprimento das normas pode gerar sanções administrativas e/ou legais, depen- dendo da gravidade da infração”. A política é um tema complexo e, talvez, algumas coisas não façam sentido neste mo- mento, mas ao longo do curso, vamos entender melhor. Essa estrutura é apenas uma ideia de como construir uma política. Na internet, existem muitos exemplos que podem ser utilizados para criar seu próprio padrão de política que mais estiver aderido à empresa e ao negócio. É importante que, ao final, a diretoria assine o documento da política, seja fisicamen- te ou virtualmente. Outro ponto interessante que a política nos mostra é que a Segurança da Informação não é de responsabilidade da TI, mas sim de todos que estão na empresa! A TI é um facilitador para que a segurança esteja permeando todos os setores, pois ela administra os ativos por onde a informação trafega, porém, temos que lembrar que a Segurança da Infor- mação é de responsabilidade de todos. Ao longo dos estudos, vamos aprendendo o que mais pode entrar na política, pois ela é a força motriz das diretrizes de segurança da informação na empresa. Um ponto crucial é a revisão periódica dessa política. Aconselha-se que, pelo menos, uma revisão seja realizada a cada 12 meses, ou seja, uma vez por ano, no mínimo, a política deve ser atualizada e divulgada para todas as partes interessadas. Caso necessário, poderá haver mais de uma revisão por ano. Na ISO27002, esses são os controles específicos da sessão Política de Segurança da In- formação: 5.Políticas de Segurança da Informação 5.1.Orientação da Direção para Segurança da Informação 5.1.1.Políticas para Segurança da Informação 5.1.2.Análise crítica das Políticas de Segurança da Informação 45GESTÃO DE PROCESSOS SÍNTESE SUMÁRIO Neste capítulo, aprendemos um pouco sobre a sessão de Política de Segurança da Informação. Vimos a importância da elaboração de uma política aderente ao negócio da empresa e os desafios e responsabilidade de todos que estão na empresa. 46GESTÃO DE PROCESSOS EXERCÍCIOS SUMÁRIO 1. A Política de Segurança da Informação, deve ser respeitada por todos? 2. Qual a responsabilidade da diretoria? 3. Qual o período de revisão máximo da política? 4. Quem deve seguir as políticas impostas na PSI? 5. A SI é somente responsabilidade da TI? 47 SEGURANÇA FÍSICA E DO AMBIENTE A segurança começa de fora para dentro da empresa através da proteção dos perímetros! Vamos aprender mais sobre a Segurança Física e do Ambiente! Let’s go! 48SEGURANÇA DA INFORMAÇÃO SUMÁRIO Vocês já viram, em filmes medievais, que o castelo onde o rei morava sempre estava bem protegido? Alguns até utilizavam pontes levadiças com poço ao redor, cheio de crocodilos para que ninguém conseguisse chegar até o rei? A ponte e o poço, ao redor, eram para garantir a segurança física do castelo, para que as pessoas não autorizadas entrassem nele e pudessem colocar a vida do rei em perigo. De uma forma bem simples, quando falamos em segurança física e do ambiente, esta- mos falando em construir ao redor da empresa um grande poço com crocodilos! Está certo, não é bem isso que é feito, mas o sentido é o mesmo. Nesta etapa, a preocupação é garantir a segurança de acesso e a proteção dos ambientes críticos, nos quais a informação tramita. Para garantir essa segurança, existe uma combinação de medidas eletrônicas e estrutu- rais, por isso, as medidas físicas devem ser planejadas e bem desenvolvidas para que tenham sucesso em sua implementação. Desde câmeras de vigilância até sensores de presença e alar- me de movimentação em áreas críticas. Nesta fase, realiza-se uma análise de riscos focada nos riscos físicos e nas ameaças que podem explorar as vulnerabilidades. Por exemplo, ava- lia-se se a empresa, se possui portões de entrada fechados com controle de acesso, para que ninguém entre em locais proibidos. Outro ponto interessante é a definição de perímetros de segurança. A empresa possui vários ambientes e alguns deles podem ser acessados por todos e outros necessitam de au- torização para o acesso, como em um hospital. A recepção pode ser acessada por todas as pessoas, porém, o setor de UTI só pode ser acessado pelos funcionários e por familiares em determinado período do dia, sendo o acesso restrito a pessoas e horários. Setores por onde trafegam informações sigilosas ou sensíveis também devem estar nes- sa análise de riscos físicos. Locais como o Data Center, que armazenam informações, precisam ter atenção redobrada para o controle de acesso e integridade física do ambiente, focando nos riscos estruturais que a construção pode ter e que comprometa a segurança da informação. 49SEGURANÇA DA INFORMAÇÃO SUMÁRIO Uma definição interessante é mapear e destacar quais são as áreas seguras da empre- sa, locais onde as informações mais sigilosas são manipuladas. Nessas áreas, a segurança de acesso deve ser diferenciada e mais rígida, por exemplo, o acesso ao setor de Tecnologia da Informação deve ser restrito apenas para profissionais da TI, pois ali está toda inteligência tecnológica da empresa, por onde as informações passam ou ficam armazenadas. Alguns exemplos de falhas físicas: • efeitos da natureza; • falhas em sistemas de suprimentos; • ameaças humanas; • terrorismo; • espionagem industrial, etc. ANÉIS DE PROTEÇÃO Uma abordagem muito interessante é dividir as áreas da empresa em anéis de proteção, que nos ajudarão a visualizar onde as informações mais sensíveis se encontram para mitigar- mos de forma mais assertiva os riscos, e ter uma abordagem mais holística do ambiente. 50SEGURANÇA DA INFORMAÇÃO SUMÁRIO No espaço mais externo à empresa, temos as informações públicas, que não necessi- tam de muita proteção, afinal, elas são públicas. Tudo o que não comprometa a segurança da empresa não exige uma grande proteção. Outro ponto interessante é que temos que manter o foco nos esforços e investimentos, em locais que trafegam informações sigilosas ou de im- pacto ao negócio. Já dentro da empresa, temos a segurança física do prédio, da construção. Podemos elen- car o pátio da empresa ou um hall de entrada. Locais já dentro dos portões da empresa, mas que não abrigam informações muito sigilosas. Nesses locais, podem haver colados cartazes com informações de missão e valor da empresa ou até mesmo um mapa da empresa, mas, normalmente, não necessitam de um grande controle de acesso. O próximo estágio já é de precaução.