Baixe o app para aproveitar ainda mais
Prévia do material em texto
Autor: Prof. Ricardo Sewaybriker Colaboradores: Prof. Antônio Palmeira de Araújo Neto Profa. Christiane Mazur Doi Gestão da Segurança da Informação Professor conteudista: Ricardo Sewaybriker É mestre em Administração e Negócios pela Fundação Instituto de Administração (FIA) e pós-graduado em Gestão de Segurança da Informação pelo Instituto de Pesquisa Energéticas e Nucleares (Ipen) – USP. É coordenador-geral do curso de Segurança da Informação na UNIP e coordenador de segurança da informação em instituição financeira há 30 anos. © Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem permissão escrita da Universidade Paulista. Dados Internacionais de Catalogação na Publicação (CIP) S514g Sewaybriker, Ricardo. Gestão da Segurança da Informação / Ricardo Sewaybriker. – São Paulo: Editora Sol, 2021. 256 p., il. Nota: este volume está publicado nos Cadernos de Estudos e Pesquisas da UNIP, Série Didática, ISSN 1517-9230. 1. Segurança. 2. Análise de risco. 3. Auditoria. I. Título. CDU 681.3.004.4 U512.59 – 21 Prof. Dr. João Carlos Di Genio Reitor Prof. Fábio Romeu de Carvalho Vice-Reitor de Planejamento, Administração e Finanças Profa. Melânia Dalla Torre Vice-Reitora de Unidades Universitárias Profa. Dra. Marília Ancona-Lopez Vice-Reitora de Pós-Graduação e Pesquisa Profa. Dra. Marília Ancona-Lopez Vice-Reitora de Graduação Unip Interativa – EaD Profa. Elisabete Brihy Prof. Marcello Vannini Prof. Dr. Luiz Felipe Scabar Prof. Ivan Daliberto Frugoli Material Didático – EaD Comissão editorial: Dra. Angélica L. Carlini (UNIP) Dr. Ivan Dias da Motta (CESUMAR) Dra. Kátia Mosorov Alonso (UFMT) Apoio: Profa. Cláudia Regina Baptista – EaD Profa. Deise Alcantara Carreiro – Comissão de Qualificação e Avaliação de Cursos Projeto gráfico: Prof. Alexandre Ponzetto Revisão: Vera Saad Bruno Barros Sumário Gestão da Segurança da Informação APRESENTAÇÃO ......................................................................................................................................................7 INTRODUÇÃO ...........................................................................................................................................................7 Unidade I 1 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO ....................................................................................9 1.1 Ciclo de vida da informação ............................................................................................................ 10 1.2 Componentes de segurança da informação ............................................................................. 11 1.3 Segurança da informação baseada na tecnologia da informação .................................. 13 1.4 Origem dos problemas e estratégias de proteção ................................................................... 14 1.5 Classificação da informação ............................................................................................................ 15 1.6 Estrutura da segurança da informação ....................................................................................... 22 2 SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO .............................................................. 28 2.1 Fatores de sucesso do SGSI .............................................................................................................. 32 2.2 Estabelecendo o SGSI ......................................................................................................................... 33 2.3 Monitorando e analisando o SGSI ................................................................................................. 40 2.4 A auditoria do SGSI ............................................................................................................................. 43 Unidade II 3 GESTÃO E ANÁLISE DE RISCO .................................................................................................................... 61 3.1 O que é risco ........................................................................................................................................... 62 3.2 Tratamento dos riscos à segurança da informação ............................................................... 65 3.3 Sistema de gestão de risco ............................................................................................................... 68 3.4 Implantação do sistema de gestão de risco .............................................................................. 90 4 POLÍTICAS, NORMAS E PADRÕES DE SEGURANÇA DA INFORMAÇÃO ...................................... 99 4.1 Política de segurança da informação .........................................................................................100 4.2 Norma de segurança da informação ..........................................................................................107 4.3 Procedimentos de segurança da informação .........................................................................109 4.4 Padrões internacionais de segurança da informação .........................................................110 4.5 Padrões nacionais de segurança da informação ...................................................................112 Unidade III 5 LEIS E REGULAMENTAÇÕES DE SEGURANÇA DA INFORMAÇÃO ...............................................118 5.1 Direto .......................................................................................................................................................118 5.2 A sociedade digital .............................................................................................................................119 5.3 Direito digital .......................................................................................................................................120 5.4 Lei Geral de Proteção de Dados Pessoais – Lei n. 13.709 de 2018 .................................127 6 CONFORMIDADE E AUDITORIA DE SEGURANÇA DA INFORMAÇÃO ........................................153 6.1 Personagens envolvidos no processo de auditoria ...............................................................156 6.2 Pareceres de auditoria ......................................................................................................................156 6.3 Auditoria de sistemas .......................................................................................................................157 6.4 Técnicas de auditoria de sistemas ...............................................................................................160 6.5 Auditoria de dados.............................................................................................................................163 6.6 Avaliação através dos pontos de controle ...............................................................................164 6.7 Conformidade de segurança da informação ..........................................................................167 Unidade IV 7 TECNOLOGIA DE SEGURANÇA E ASPECTOS FÍSICOS E LÓGICOS ...............................................179 7.1 Criptografia e infraestrutura de chaves ....................................................................................179 7.2 Certificados digitais ...........................................................................................................................183 7.3 Vulnerabilidades, ameaças e mecanismos de proteção ......................................................185 7.4 Resposta a incidentes .......................................................................................................................201 7.5 Segurança física ..................................................................................................................................2067.6 Segurança lógica ................................................................................................................................216 7.7 Segurança no ciclo de vida de sistemas ...................................................................................226 8 PLANO DE CONTINUIDADE DO NEGÓCIO E TESTES DE INVASÃO ..............................................230 8.1 Etapas de um PCN .............................................................................................................................231 8.2 Gestão de continuidade de negócios .........................................................................................232 8.3 Manutenção do plano ......................................................................................................................233 8.4 Estratégias de recuperação ............................................................................................................233 8.5 Tipos de sites ........................................................................................................................................234 8.6 Testes de invasão ................................................................................................................................235 7 APRESENTAÇÃO Esta disciplina tem como objetivo abordar de forma simples e objetiva os fatores que cercam a proteção do ativo mais importante para uma organização, a informação. O conteúdo que será apresentado visa à interação, envolvimento e despertar da curiosidade do aluno a esse importante tema que, apesar de antigo, se transforma e se renova a cada momento em razão das modificações tecnológicas e ainda de fraudadores, com novas técnicas de invasão. Diante desse cenário, veremos: conceitos de segurança da informação; sistema de segurança da informação; gestão do risco e como analisá-lo; aspectos éticos e legais do uso tecnológico; normas e padrões de segurança da informação; processo de auditoria de sistemas; segurança na autenticação e controle de acesso; aspectos tecnológicos da segurança da informação; plano de continuidade do negócio; principais práticas em segurança da informação e uso da criptografia. A importância em proteger os ativos de informação é latente para os profissionais de todas as áreas, afinal, vivemos na era da informação, em que o uso adequado auxilia os processos em todos os níveis da empresa, desde a operação até a estratégia. Analisando brevemente pode-se destacar a importância da segurança da informação especificamente para área de tecnologia da informação que, com a automação dos mais variados processos empresariais, tornou-se responsável em organizar, estruturar, manter, armazenar e proteger as mais diversas e variadas informações das organizações, assim sendo o primeiro alvo, a porta de entrada das ameaças à informação. INTRODUÇÃO A disciplina Gestão de Segurança da Informação demonstrará as principais técnicas para proteção dos ativos de informações nas organizações e como os profissionais de tecnologia da informação devem utilizar tais mecanismos. A preocupação com a segurança das informações deve ser individual, não se limitar apenas ao ambiente corporativo. O cenário tecnológico atual tornou a informação mais rápida, acessível e extremamente sensível a furtos, mau uso, perdas ou falhas sistêmicas. O desafio dos profissionais diante desse cenário é de criar mecanismos para evitar que as informações por algum motivo deixem as organizações vulneráveis às ameaças que são certamente reais e imediatas. Quando o assunto é segurança da informação, estamos imediatamente nos referindo a criar mecanismos para proteger as informações sobre três componentes básicos: 8 Processos Pessoas Tecnologia Figura 1 – Os componentes de proteção da segurança da informação Toda e qualquer ameaça explorará as vulnerabilidades contidas em um desses três componentes. Quando falamos em segurança da informação, não existe a ideia de algo 100% seguro e protegido; ademais, em termos de processo e tecnologia, ainda que a introdução de técnicas, tecnologias, padronizações, organização e disciplina consiga atingir patamares eficazes de proteção, como será demonstrado no decorrer dos estudos, há que se considerar as pessoas, que representam o grande desafio para a segurança da informação, por estarem mais vulneráveis à ação de ameaças. Algumas referências bibliográficas nomeiam os componentes de segurança da informação de “corrente da segurança da informação”, em que a força de uma corrente é verificada através de seu elo mais frágil. No caso da corrente de três elos, as pessoas são o elo mais frágil e requerem atenção, ou seja, não adianta todo aparato tecnológico de segurança se as pessoas não estão devidamente preparadas, instruídas, conscientizadas e treinadas. Nesse sentido, este livro-texto aborda assuntos de extrema relevância aos profissionais que lidam com informação em todos os seus estágios e formas. Na Unidade I serão expostos os conceitos de segurança de forma abrangente, explorando a informação desde o seu ciclo de vida, componentes tecnologias, origem, classificação, formas e estruturas até a implantação de um sistema de gestão da segurança da informação conhecido como SGSI. Na Unidade II será demonstrada a importância de uma gestão e análise de riscos bem estruturada e, para isso, teremos de compreender o que é o risco, suas formas de tratamento e sua implantação sistêmica. Também aprenderemos sobre as políticas, normas e padrões de segurança da informação que devem estar amparados nas melhores práticas, nas legislações e na cultura organizacional. Na Unidade III ressaltaremos a importância de a segurança da informação estar alicerçada nas leis e regulamentações e como isso é relevante não apenas para as organizações, como também para a sociedade em geral. Após formulada toda a estrutura legal, será primordial aplicar planos de conformidade e auditoria de segurança da informação. Na Unidade IV destacaremos a importância da tecnologia para a aplicação dos controles de segurança às informações, tanto para a parte física dos ativos de informação como para sua parte lógica. Após a implantação dos controles tecnológicos, será necessário testá-los com testes de invasão e, se mesmo assim as coisas saírem do controle, aprenderemos a estruturar os planos de continuidade do negócio. 9 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Unidade I 1 CONCEITOS DE SEGURANÇA DA INFORMAÇÃO Os conjuntos de dados agrupados formam a informação, que, assim que definida, pode ser utilizada nas mais diversas fontes, meios, canais e organizações. A segurança da informação, como muitos poderiam supor, não é baseada apenas em recursos tecnológicos, apesar de os recursos informatizados serem extremamente necessários e amplamente utilizados, existem ativos de informação armazenados apenas na mente das pessoas ou em papéis, por exemplo. Segundo Beal, a segurança da informação “pode ser entendida como o processo de proteger informações das ameaças para a sua integridade, disponibilidade e confidencialidade” (BEAL, 2008, p. 1). As ações voltadas para proteger os ativos de informação estão sempre baseadas nos princípios de integridade, disponibilidade e confidencialidade. Vale destacar que os princípios de legalidade e legitimidade podem ser adicionados formando os pilares da segurança da informação demonstrado na figura a seguir: Segurança da informação Co nfi de nc ia lid ad e In te gr id ad e Di sp on ib ili da de Le ga lid ad e Le gi tim id ad e Figura 2 – Pilares da Segurança da Informação Beal (2008) define o princípio de confidencialidade como a garantia de que o acesso à informação seja dado apenas para aqueles usuários legitimados a acessar a informação. O princípio de integridade remete à responsabilidade de garantir que as informações não sofram alterações em todos os seus estados possíveis. 10 Unidade I Disponibilidade, de acordo com Beal, é a garantia deque a informação esteja disponível para os usuários legitimados quando eles requerem o seu acesso. O aspecto de legalidade remete à garantia de que a informação siga os aspectos de conformidade com as leis vigentes. Garantir a legitimidade é assegurar que as informações não sejam utilizadas por usuários não autorizados. A transmissão da informação em um processo de comunicação requer atenção especial, pois nesse momento a informação trafegará de um ponto a outro e pode incorrer em problemas como interceptação e alteração fraudulenta de documentos. Por esse motivo as organizações precisam adotar processos adicionais para garantir a segurança da informação no processo de comunicação. Emissor Canal Receptor Interceptação e alteração Transmissão Figura 3 – Processo de comunicação adulterado Diante desse cenário vulnerável, é necessária a adoção de procedimentos de segurança para proteger as informações e assegurar a comunicação de um ponto a outro. Segundo Beal (2008), garantir a integridade do conteúdo da mensagem é assegurar que esta, enviada pelo emissor, chegue ao receptor de forma completa e exata. A irretratabilidade da comunicação é a garantia de que a comunicação da mensagem seja realmente bem-sucedida, evitando assim que o emissor ou receptor negue esse fato. A autenticidade do emissor e do receptor é a garantia de que a pessoa emissora ou receptadora seja realmente quem diz ser no processo de comunicação. Assegurar a confidencialidade do conteúdo significa que apenas os destinatários devem ter acesso ao conteúdo da informação. E, por fim, deve-se assegurar a capacidade de recuperação do conteúdo em sua forma original pelo receptor caso ocorram problemas na comunicação. Observação Beal (2008) define o ativo de informação simplesmente como qualquer dado ou informação que esteja vinculado a um valor para o negócio. 1.1 Ciclo de vida da informação Toda informação é perecível e possui prazo de validade determinado, o que é chamado de ciclo de vida da informação. Os diversos estágios do ciclo de vida de uma informação devem possuir formas diferenciadas para o seu tratamento, manutenção e para implantação de mecanismos de proteção, por esse motivo é fundamental entender o que cada etapa do ciclo de vida da informação necessita. 11 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Ciclo de vida da informação Gerada Descartada Tratada TransmitidaArmazenada Figura 4 – Ciclo de vida da informação A geração da informação é marcada por sua aquisição, criação no ambiente interno, e pode ser retirada de banco de dados, mídias, internet, além de outras fontes de informação ou simplesmente herdada de uma área ou empresa. Após a geração, a informação passa pela fase onde é tratada, manipulada, onde a informação será estruturada, organizada, modificada, agrupada ou condensada para se transformar em um autêntico ativo de informação. A próxima etapa refere-se à transmissão da informação onde, por algum motivo, a informação será passada de um ponto a outro através de algum canal de comunicação; podemos citar como exemplo os canais estruturados como e-mails, internet, links dedicados e os canais não estruturados com a voz. Na fase de armazenamento, os ativos de informação que não estão sendo ou que já foram tratados ou transmitidos devem ser devidamente guardados de forma organizada para possíveis consultas futuras, os locais mais comuns de armazenamento são os arquivos físicos e os bancos de dados. A fase de descarte compreende a informação que, por não ser mais necessária, será finalmente excluída do rol de informações da organização. Apesar de não ter mais importância, o descarte inadequado pode, ainda assim, causar prejuízos à segurança da informação. 1.2 Componentes de segurança da informação A segurança da informação deve entender os diversos cenários para estar habilitada a traçar um plano eficaz de proteção para os ativos de informação. Proteções Proteções podem ser definidas como medidas que serão adotadas para proporcionar segurança aos ativos de informação, cabe ressaltar que o balanceamento entre o custo e o benefício é fundamentalmente necessário. As proteções são implantadas sob três aspectos. 12 Unidade I Quadro 1 – Exemplos de medidas de proteção Tipo de Proteção Exemplos Lógica Permissões em sistemas de arquivos Firewalls Perfis de usuários em aplicações Física Portas Fechaduras Vigilantes Administrativa Políticas Normas Procedimentos Observação Firewalls são dispositivos de controle de acesso em redes de dados. A implantação de mecanismos de proteção isolados não é suficiente para evitar os ataques, por isso uma forma eficaz de implementação de mecanismos baseia-se na utilização de mecanismos em camadas, dessa forma uma atua como contingência da outra, sobrepondo-se assim como portas a serem ultrapassadas; caso o atacante consiga abrir uma porta, outra diferente se apresenta com proteção. Tabela 1 – Exemplos de medidas de proteção por camadas Nível Tipos de Proteção Descrição 00 Preventiva Evita que incidentes ocorram 01 Desencorajadora Desencoraja à prática de ações 02 Limitadora Diminuí danos causados 03 Monitoradora Monitora estado e funcionamento 04 Detectora Detecta a ocorrência de incidentes 05 Reativa Reage a determinados incidentes 06 Corretiva Repara falhas existentes 07 Recuperadora Repara danos causados Valor É referenciado pela importância que o ativo tem para a organização. Esse valor pode ser medido de forma mensurável, como o valor financeiro e o lucro, mas também pode ser medido de forma abstrata como o comprometimento da imagem da empresa. Ameaças à segurança da informação Evento que tem potencial para causar prejuízos aos ativos de informação da organização, trazendo, dessa forma, danos diretos como roubos ou prejuízos com situações inesperadas como incêndio. 13 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Vulnerabilidade Corresponde à simples ausência de mecanismos de proteção apropriados, falhas em mecanismos de proteção existentes. As vulnerabilidades são a porta de entrada para que as ameaças se concretizem. Impacto Refere-se ao tamanho do prejuízo, que pode ser medido através de propriedades mensuráveis ou abstratas que uma determinada ameaça causará. Risco Medida que indica a probabilidade de uma determinada ameaça explorar uma vulnerabilidade e assim se concretizar. O risco combinado ao impacto gera uma métrica muito explorada pela segurança da informação. 1.3 Segurança da informação baseada na tecnologia da informação Segundo Beal, Tecnologia da Informação (TI) é uma: […] solução ou conjunto de soluções sistematizadas baseadas no uso de métodos, recursos de informática, de comunicação e de multimídia que visam a resolver problemas relativos à geração, tratamento, processamento, armazenamento, veiculação e reprodução de dados, e a subsidiar processos que convertem dados em informação (BEAL, 2008, p. 8). Conforme Beal assinala, grande parte das informações e dos dados importantes para as organizações é armazenada em computadores. As organizações dependem da fidelidade da informação fornecida pelos seus sistemas baseados em TI. Podemos compreender como informações baseadas em TI todas as informações residentes em bases de dados, arquivos informatizados, mídias magnéticas, tudo, enfim, que exija soluções informatizadas para acesso. A preocupação com a segurança da informação deve ficar atenta por quatro importantes razões. Em primeiro, as empresas estão cada vez mais dependentes da tecnologia da informação. Os sistemas devem oferecer serviços adequados e no tempo certo para a sobrevivência das organizações. Em segundo, temos as vulnerabilidades da infraestrutura. A composição de um ambiente estável é necessária, uma vez que os componentes de hardware e software podem ser alvos dos mais diversos importunos, desde origem natural passando por acidental chegando à intencional. 14 Unidade I Em terceiro, encontramos o alto valor da informação armazenada. As informaçõesarmazenadas em sistemas de TI requerem maior grau de proteção por serem um atrativo para espiões e até mesmo empregados dispostos a abusar de seus privilégios em troca de dinheiro ou vantagem oferecida. Por último, a pouca atenção dada à segurança nos estágios iniciais do desenvolvimento de software, preceitos de segurança da informação devem acompanhar o desenvolvimento dos sistemas desde seu planejamento primário. Saiba mais Para conhecer mais sobre a importância da TI para as empresas e sua relação com a segurança da informação, leia: TININSIDE. Gartner: gastos mundiais com segurança e gerenciamento de riscos chegarão a US$ 150 bilhões em 2021. 19 maio 2021. Disponível em: https://bit.ly/3wO1ZLC. Acesso em 2 jun. 2021. 1.4 Origem dos problemas e estratégias de proteção A origem dos problemas de segurança está baseada em três fontes diferentes: natural, acidental ou intencional, sendo que as duas últimas estão diretamente relacionadas ao fator humano. Quadro 2 – Origem dos problemas Origem do evento Exemplos Natural Fenômenos meteorológicos Acidental Erros de usuários Falhas nos sistemas Falta de energia elétrica Intencional Invasões Terrorismo Chantagem e extorsão Espionagem e inteligência competitiva Diante da origem dos problemas, são elaboradas as estratégias de proteção, que por sua vez podem criar mecanismos de proteção para mais de um dos problemas mensurados. As estratégias de proteção estão ganhando importância com o passar dos anos em virtude do aumento potencial dos incidentes de segurança das mais diversas formas. Vejamos, a seguir, variadas formas de estratégias de proteção, ressaltando que todas as formas de proteção visam proteger uma ou mais das três origens de problemas como mencionado: 15 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • Estratégia de privilégio mínimo: consiste em dar permissão mínima de acesso aos usuários aos sistemas, ou seja, fornece apenas o acesso necessário para que o usuário desenvolva suas atividades, evitando assim o excesso de acessos nos mais variados sistemas, reduzindo a possibilidade de erro nas permissões de acesso e preservando a confidencialidade das informações. • Estratégia de defesa em profundidade: consiste na implantação de vários mecanismos de proteção para proteger o mesmo ativo. Essa estratégia pode ser comparada a uma casa com diversos níveis de proteção, que funcionam como barreiras inibidoras – primeiro o portão, depois a porta de entrada – e funciona como uma contingência da outra. • Estratégia do elo mais fraco: a força da corrente é determinada pela força de seu elo mais fraco. Essa estratégia consiste em encontrar onde está a parte mais fraca nos processos, nas pessoas ou na tecnologia e ali adicionar maior carga de mecanismos de proteção para equilibrar a corrente. • Estratégia do ponto de estrangulamento: trata-se de um processo muito simples, funciona como a recepção de um prédio, consiste em concentrar em um único local toda permissão de acesso, ou seja, todos devem passar por um único controle de acesso, uma espécie de funil, forçando assim o fluxo de proteção por um único canal, o que deixa a implantação de mecanismos de proteção mais barata e muito útil. Essa estratégia é muito utilizada para garantir a proteção em rede de dados, conforme será demonstrado no decorrer da disciplina. • Estratégia de segurança através da obscuridade: essa estratégia consiste em esconder a existência de um ativo de informação. Ela parte do pressuposto que, se os atacantes não sabem da existência do ativo, não teriam interesse em furtá-lo. É a forma mais simples de proteção. 1.5 Classificação da informação A organização de qualquer item de informação deve passar primeiramente por uma análise do seu grau de importância e quem determina isso é sempre o seu proprietário. Ninguém largaria o diploma universitário em um local que seria destruído, algo que para outra pessoa, porém, certamente não teria importância. Segundo Kovacich (1998), apesar de não existir uma forma padronizada de classificar a informação de uma organização que numerasse três categorias. Quadro 3 – Categoria de informações Categoria Tipo de informações Informações pessoais Dados individuais de empregados, clientes e outras pessoas Informações de segurança nacional Informações que precisam ser protegidas para garantir a segurança da sociedade e do Estado Informações de negócio Informações utilizadas pelas organizações para desempenhar suas tarefas 16 Unidade I Na prática o processo de classificação da informação consiste em organizar as informações pelo seu grau de importância e, a partir daí, definir quais os níveis de proteção que cada ativo de informação requer. Dessa forma evita-se a implantação desnecessária de mecanismos de proteção para ativos de pouca importância e também que sejam aplicados mecanismos inferiores para ativos sensíveis ou extremamente importantes, o que os deixaria vulneráveis. Podemos mensurar os objetivos básicos da classificação da informação como sendo dois: • Proteção: as organizações manipulam diversos ativos de informação e esses ativos podem estar passando por qualquer fase do ciclo de vida, por essa razão é necessário avaliar cada ativo para saber em que fase ele está e qual o nível de proteção que será aplicado dessa forma, atingindo o máximo de eficácia possível no uso do mecanismo da proteção. • Economia: quanto maior a necessidade de proteção para o ativo, maior será o investimento financeiro em mecanismos de proteção. Na prática, isso quer dizer que a classificação das informações representará economia para a organização, uma vez que esta aplicará seu dinheiro em mecanismos que protegerão seus ativos mais importantes. O processo de classificar as informações traz diversos benefícios para uma organização. Dos benefícios tangíveis podemos mencionar: Quadro 4 – Benefícios tangíveis da classificação da informação Benefício Descrição Conscientização O envolvimento das pessoas no processo de classificação das informações pode ser um auxiliador na implantação e no processo de melhoria contínua Responsabilidades Define um responsável por cada ativo de informação da organização e assim define quem deverá classificar a informação Níveis de proteção Um efetivo e bem aplicado programa de classificação da informação é a maneira mais eficaz de proteger as informações que são realmente importantes Tomada de decisões Uma vez que as informações estão bem categorizadas do ponto de vista da segurança, o processo de tomada de gestão da segurança da informação é facilitado Uso de recursos A classificação eficaz das informações evita o desperdício de recursos de forma indiscriminada A classificação da informação não é imutável, pelo contrário, assim como a informação passa por um ciclo de vida, a classificação da informação pode mudar conforme seu estado e importância, a exemplo do balanço patrimonial de uma empresa que inicia seu ciclo de vida classificado no nível mais alto de classificação e termina seu ciclo de vida publicada nas mídias com o menor nível de classificação possível. Não existe um modelo padrão para a classificação da informação. É recomendado que sejam definidos ao menos três níveis de classificação, e não muitos mais para não dificultar a organização. A definição dos níveis auxilia na identificação e implantação dos critérios e dos mecanismos de proteção. Assim, a classificação da informação pode ter diversas formas dependendo de qual dos princípios ela pretende atender, sua rotulação deve seguir o ponto de vista determinado e suas exigências. 17 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Para o princípio de confidencialidade, as informações, dependendo de sua importância, devem preservar o seu sigilo de modo que apenas as pessoas autorizadas tenham acesso a tais informações. Para alguns casos, manter a confidencialidade das informações é uma exigência legal. Algumas questões devem ser respondidas para aqueles que determinam a classificação da informaçãosob o aspecto da confidencialidade, entre elas: “o que aconteceria se alguém que não poderia ter acesso a informação de repente obtenha tal acesso?” Quadro 5 – Exemplo da classificação pública federal de documentos Categoria Tipo de informações Ultrassecretos Aqueles cujo conhecimento não autorizado pode acarretar dano excepcionalmente grave à segurança da sociedade e do Estado Secretos Aqueles cujo conhecimento não autorizado possa causar dano grave à segurança da sociedade e do Estado Confidenciais Aqueles que, no interesse do Poder Executivo e das partes, devem ser de conhecimento restrito, cuja revelação não autorizada possa frustrar seus objetivos ou acarretar dano à segurança da sociedade e do Estado Reservados Aqueles cuja revelação não autorizada possa comprometer planos, operações ou objetivos neles previstos ou referidos Fonte: Brasil (2002). As organizações podem seguir diversos esquemas de classificação para suas informações no que se refere à confidencialidade, muitas atribuem apenas três categorias para facilitar a análise e a implantação de mecanismos de proteção que são: confidencial, restrita e pública. Para o princípio de disponibilidade, a preocupação é de como recuperar as informações e de como mantê-las sempre disponíveis para o acesso dos usuários autorizados. Diante desse princípio, a classificação dos ativos de informação é estabelecida pelo tempo que a informação pode ficar inacessível aos usuários legitimados, sendo assim, quanto menor o tempo que a informação ficar inacessível, maior vai ser a sua categoria de classificação. O princípio de integridade tem como objetivo classificar os ativos de informação no intuito de a integridade ser preservada e de, sob hipótese alguma, não ser modificada ou adulterada. Por último, o princípio de autenticidade que deriva do princípio de integridade e que tem como objetivo: “a garantia de que a informação é legítima, criada por alguém com autoridade para fazê-lo e oriunda da fonte à qual é atribuída (BEAL, 2008, p. 69).” Os exemplos mais comuns são das informações destinadas ao público externo que requerem por si a verificação da autenticidade. 18 Unidade I Quadro 6 – Exemplo da classificação da informação quanto aos requisitos de autenticidade Tipo Características Exemplo Com exigência de verificação de autenticidade Informação cuja procedência precisa ser confirmada antes de sua utilização Pedido de criação de senha de acesso para um usuário de sistema, comunicados públicos em nome da organização, informações relativas a transações financeiras, sistemas de publicação eletrônica disponíveis para o público Sem exigência de verificação de autenticidade Informação cuja procedência não precisa ser confirmada antes do seu uso ou divulgação Fonte: Beal (2008, p. 69). A classificação dos ativos físicos, softwares e de serviços não é uma tarefa das mais fáceis, geralmente pode ser feita com a criação de grupos de ativos, levando em conta limites preestabelecidos por características comuns, como o tipo de usuário. A segmentação dos ativos proporciona a oportunidade de criação de estratégias diferenciadas de proteção. Quadro 7 – Exemplo de classificação da informação por segmentos Segmento Ativos físicos, software e serviços Por pessoas A segregação dos horários de trabalho por cargos Por processos O agrupamento de aplicações e equipamentos por tipo de processos associados, classificados por sua relevância ao negócio Por tecnologia Controle rígido de acesso aos sistemas através de mecanismos de autenticação diferenciados para sistemas que necessitam de maior segurança Segundo Beal, é impossível estabelecer um modelo único de segmentação de ativos físicos, de software e de serviços capaz de atender às necessidades de todos os tipos de organização. Os esforços gastos no desenvolvimento de uma forma de classificação e segmentação desses ativos adapta às características e necessidades próprias do negócio, são recompensados pelo entendimento claro dos diferentes requisitos associados aos diferentes objetivos de segurança (BEAL, 2008, p. 70). A responsabilidade pela classificação dos ativos de informação recai sobre alguns fatores fundamentais no processo de classificação dos ativos de informação nas organizações. O fato de classificar a informação recai em sujeitar as informações a determinados mecanismos de proteção e assim investir financeiramente na proteção desses ativos, algumas organizações preveem criar um nível básico de proteção para todas as informações classificadas e nenhum nível de proteção para informações que não foram classificadas. 19 GESTÃO DA SEGURANÇA DA INFORMAÇÃO A informação tem vida e por isso às vezes é necessária sua reclassificação. É importante que as organizações tenham processos formalizados e padronizados de reclassificação dos ativos de informação. A desclassificação das informações acontece no ciclo final de vida em seu descarte, quando a informação será devidamente apagada por não mais ser útil à organização. Os processos de classificação, reclassificação, desclassificação e da introdução e manutenção dos mecanismos de proteção para os ativos de informação devem ser elaborados e mantidos exclusivamente pelo proprietário da informação, essa atribuição geralmente recai sobre os gerentes de área. Logo abaixo do proprietário da informação vem o chamado custodiante da informação, que é aquele que de alguma forma zela pelo armazenamento e prevenção de informações que não lhe pertencem, mas que delas faz uso em suas atividades cotidianas. Existem dois tipos de custodiantes: o primeiro são aqueles profissionais de perfil técnico responsável pela administração e funcionamento de algum sistema. O outro é o proprietário de processo, a pessoa responsável por um processo de negócio que faz uso de informações que não lhe pertencem, mas que fazem parte do processo sob sua responsabilidade. A equipe de segurança é responsável por ser o ponto de apoio das áreas de negócio de forma a desenvolver, implementar e monitorar estratégias de segurança que atentam os objetivos propostos de proteção dos ativos de informação. Os gerentes de usuários têm a responsabilidade de responder sobre a ação dos membros de sua equipe e a função de multiplicar o conceito de classificação determinado pela organização. Por sua vez, os usuários finais dos ativos de informação são os principais responsáveis pela execução das recomendações de classificação da informação uma vez que estão diretamente ligados ao operacional. Lembrete A classificação da informação por si própria não consegue proteger as informações, essa tarefa é dada aos mecanismos de proteção, mas como aplicar os mecanismos apropriados quando não se sabe o que é importante proteger? Essa é a tarefa da classificação da informação. A implantação de mecanismos de controles após o processo de classificação da informação visa assegurar a proteção dos ativos de informação. Os mecanismos mais comuns são aqueles que visam proteger a confidencialidade das informações das organizações, mas a integridade e a disponibilidade também devem ser protegidas, podemos dividir os mecanismos de proteção sobre as esferas da proteção dos dados, proteção física e controles administrativos. 20 Unidade I Quadro 8 – Exemplo de mecanismos de proteção ligados à classificação da informação Esferas Exemplos de mecanismos aplicados De dados Criptografia Backups Sistemas redundantes Controle de acesso Física Controle de acesso físico Cofres Circuito fechado de TV Transporte seguro Administrativa Políticas Revisão e aprovação Separação de tarefas Monitoramento A proteção na esfera de dados é destacada: o uso da criptografia que é uma das principais tecnologias existentes para proteger as informações, por meio desse mecanismo é possível disponibilizar, de forma segura e eficaz, uma série de serviços mantendo a confidencialidade, a disponibilidade e a integridade das informações. Estudaremosmais adiante detalhes sobre o que é, tipos e onde se aplica um processo criptográfico. O uso de cópias de segurança, também conhecidas como backups, tem a finalidade de permitir que as informações de um sistema possam ser armazenadas de maneira arquivada, criando um mecanismo de recuperação em caso de falha na informação original. Os sistemas redundantes, apesar de semelhantes aos backups, atuam em situações nas quais as informações processadas são ainda mais críticas, não podendo a organização dispor delas, mesmo por um período curto. Trata-se de um sistema secundário e semelhante que assume o lugar do sistema principal, quando este, por algum motivo, para de funcionar. A implantação de controle de acesso tem como missão proteger os dados contra problemas de segurança relacionados à quebra, principalmente, de confidencialidade e integridade. Sua função é garantir que apenas usuários e processos autorizados tenham acesso a determinadas informações e possam executar apenas as ações previamente definidas. Na esfera física temos os seguintes mecanismos: o controle de acesso físico, em que podemos destacar o uso de catracas, portas de acesso inteligentes, enfim, dispositivos que impedem a entrada física de pessoas em ambientes em que o acesso é restrito a pessoas autorizadas. O uso de cofres tem duas finalidades: a proteção dos ativos de informação físicos como contratos e fitas de backup contra furtos e roubos bem como, para alguns tipos especiais de cofres, a proteção em caso de incêndios. 21 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Os circuitos fechados de TV têm como objetivo o monitoramento de áreas para resolução de incidentes em caso de furto de informações e têm caráter desencorajador. Uma informação transportada fisicamente é exposta a uma série de ameaças. O transporte seguro de informações visa reduzir as vulnerabilidades do transporte de informações, tais proteções vão desde um envelope com um lacre inviolável até o uso de um carro forte. Na esfera dos controles administrativos, através da política de classificação da informação, as políticas definem padrões de conduta, compreendidos como passos necessários para a execução segura dos procedimentos, além de alinharem os mecanismos de proteção, a legislação e estabelecerem relação jurídica para punir legalmente ações não autorizadas. O processo de revisão e aprovação tem como objetivo estabelecer que qualquer ação individual com maior importância do ponto de vista da segurança deva ser realizada em mais de um passo, ressaltando assim a responsabilidade da execução e revisão distintas, incluindo a autorização para concretização. Diante do processo de separação de tarefas podemos destacar que nesse modelo, devido à importância dos ativos de informação, é exigida a necessidade de incluir a divisão de responsabilidades; dessa forma quem executar uma atividade não pode ser quem a aprova, coibindo assim a ação ou a tentativa de fraude. O monitoramento das atividades também é considerado um mecanismo de proteção. É importante para o descobrimento de falhas de segurança além de possuir o papel de desencorajar. A classificação das informações na prática está ligada ao dia a dia das operações e está aí o maior desafio. Para auxiliar nesse processo temos alguns mecanismos que são úteis. Quadro 9 – Aspectos práticos da classificação da informação Práticas Meio Canais Rotulação Documentos impressos Papéis Documentos eletrônicos Arquivos eletrônicos Controle de acesso Físico Tecnologias biométricas Lógico Login de acesso a sistemas Quando o assunto é rotulação de documentos para a classificação da informação, a primeira coisa que nos surge na mente são os documentos impressos por serem mais fáceis de rotular. A rotulação, além de inibir a ação de algum fraudador, visa a principalmente salvaguardar a organização no caso de violação da segurança da informação naquele nível de classificação. Para rotular papéis, o uso de etiquetas, carimbos e outras marcas visuais é recomendado. Pode também ser inclusa no rodapé dos documentos ou até mesmo como marca d’água. 22 Unidade I A rotulação de documentos eletrônicos requer maior atenção e a marca da classificação deverá ser mostrada dentro do conteúdo do documento, por exemplo, e-mails devem conter informações de classificação no corpo da mensagem ou no campo de assunto. Sistemas e aplicativos como base de dados de sistemas e aplicativos devem mostrar visualmente o nível da classificação de um registro quando esse é acessado. As mídias podem ser rotuladas visualmente com etiquetas assim como os documentos impressos. A segunda forma de criar mecanismos cotidianos é o controle de acesso e isso pode ser realizado através dos níveis de classificação. Essa forma de controle é o principal benefício buscado pela classificação da informação. O controle de acesso lógico nos remete ao controle de acesso a redes e a dados. Um exemplo claro de controle de acesso lógico seria o login de rede, em que temos que possuir um usuário válido e uma senha pessoal e intransferível de acesso para aquele segmento de rede, bem como o controle de acesso às pastas e diretórios dentro dos servidores. O controle de acesso físico está ligado ao uso de ferramentas criptográficas, como os certificados digitais, que estão cada vez mais ganhando espaço entre as tecnologias para controle de acesso. O uso de biometria também se mostra bem útil no controle de acesso físico. Saiba mais Para se aprofundar nos formatos de classificação das informações do nosso governo, acesse: BRASIL. Presidência da República. Secretaria-Geral. Decreto n. 9.690, de 23 de janeiro de 2019. Altera o Decreto n. 7.724, de 16 de maio de 2012, que regulamenta a Lei n. 12.527, de 18 de novembro de 2011 – Lei de Acesso à Informação. Brasília, 2019. Disponível em: https://bit.ly/3yQ9UKl. Acesso em: 2 jun. 2021. 1.6 Estrutura da segurança da informação Apesar de a segurança da informação não compreender apenas a TI, a primeira área que teve necessidade de proteger seus ativos foi a área de TI e, por esse motivo, a segurança da informação nasceu atrelada às áreas técnicas das organizações e subsidiada por elas. Para melhor compreensão da atual necessidade de segurança, é preciso entender como a área de TI evoluiu durante os anos, o que levou à maior exposição dos ativos de informação. 23 GESTÃO DA SEGURANÇA DA INFORMAÇÃO A área de TI teve seu início na arquitetura centralizada que utilizava Mainframes. O acesso era por meio de terminais seriais, todos os equipamentos concentrados em um CPD e os técnicos com conhecimento completo sobre o ambiente. Dados Dados Impressora Impressora Terminal Terminal CPD Mainframe Terminal Terminal Terminal Terminal Terminal Figura 5 – Estrutura de TI do início da era computacional A área de TI sofreu significativas alterações nos últimos anos; os modelos atuais pulverizam as informações, o que auxilia o negócio, porém a preocupação em proteger as informações foi redobrada, são sinais dessas mudanças a descentralização do processamento computacional, o downsizing, a disseminação das redes locais (LAN), a disseminação das redes corporativas (MAN e WAN), a grande variedade de arquiteturas de servidores e sistemas operacionais (OS/390, Win2K, Solaris, HP-UX, Linux). Internet Parceiros DMZ DNS Linux Web Win2K FW Solaris FW Win2K FW Appliance Database HP-UX Database AIX Win2K Mail Filial Novell Win2K Mail Filial Novell Win2K Mail Filial Novell Matriz OS/390 Figura 6 – Estrutura atual da TI 24 Unidade I As consequências da nova estrutura podem ser representadas por diferentes equipes (desenvolvimento e manutenção) especializadas em determinadas tecnologias, como: equipes de alta plataforma (Mainframe), equipes de plataforma Windows, equipes de plataforma Unix, equipes de rede local e equipes de rede WAN. O maior custo de manutenção do parque de TI e das diferentes equipes compreende: dificuldade no desenvolvimento de projetosque integram plataformas diferentes, dificuldade em manter os servidores atualizados, dificuldade em mapear e gerenciar os riscos de TI. A evolução na forma de conduzir os negócios abrange também a área de TI, devido à importância da informação, mão de obra, regulamentação e governança corporativa. As empresas brasileiras são cada vez mais atingidas pelas regulamentações locais e internacionais, como as definidas pelo Banco Central do Brasil, CVM, Sarbanes-Oxley entre outras que no final requerem direta ou indiretamente que as empresas sigam os princípios de segurança da informação. Observação A lei Sarbanes-Oxley (SOX), aprovada no Congresso Americano em 2002, foi criada devido a problemas com os lançamentos financeiros das empresas norte-americanas, uma vez que, das 500 maiores empresas apontadas pela revista Forbes, 100 delas tinham fraudes em seus balanços financeiros. Para evitar essa situação, foi estipulada a exigência de que todas as empresas de capital aberto norte-americanas ou do resto do mundo que operam na bolsa de valores norte-americana sigam integralmente os controles internos estipulados pela lei. A estruturação da área de segurança da informação tem como objetivo criar uma estrutura funcional e operacional destinada a lidar com a segurança da informação dentro do ambiente de TI, para que dessa forma possibilite maior agilidade na tomada de decisões e ações quando da verificação de incidentes que possam impactar na segurança das informações ou na imagem da empresa. A segurança da informação dentro do organograma de uma empresa tradicional, por ter sido impulsionada pela TI, ainda fica hierarquicamente abaixo, mesmo tendo sob sua responsabilidade os processos e as pessoas. Vice-presidência Comitê de segurança Tecnologia da informação Área de segurança da informação Área de negócios Área de negócios Auditoria interna Figura 7 – Organograma tradicional 25 GESTÃO DA SEGURANÇA DA INFORMAÇÃO As empresas devem estar atentas às implicações do modelo tradicional de hierarquia, em que a segurança está abaixo da TI. Com a área de segurança da informação sob gerência da TI, a tendência é que se invista apenas nos aspectos tecnológicos da segurança da informação; às vezes, são empregados muitos recursos em aparatados tecnológicos que não demonstram o custo/benefício das medidas adotadas. Para não que isso não aconteça, é recomendado alocar a área de segurança da informação da seguinte forma no organograma da organização: Vice-presidência Comitê de segurança Tecnologia da informação Área de segurança da informação Área de negócios Área de negócios Auditoria interna Figura 8 – Organograma ideal Esse novo organograma proposto abre espaço para uma visão melhor da gestão da segurança da informação, dando-lhe liberdade de atuação nos três princípios e facilitando acesso aos profissionais de segurança da informação à administração da organização, para exercerem melhor suas responsabilidades, que não são poucas. Entre as atribuições estipuladas para o responsável pela área de segurança da informação, do inglês security office, destacam-se: • Gerenciamento das contas de acesso. • Gerenciamento contínuo da segurança. • Time de respostas a incidentes. • Definição dos processos de revisão preventiva da segurança. • Gerenciamento para novos projetos e/ou tecnologias. • Adequação dos documentos às novas tecnologias, por exemplo: ADSL, wireless (LAN e celular), VPN, tokens de memória, portas USB. • Posicionamento claro da empresa quanto ao uso de: e-mails, internet, notebooks, tablets. • Gerenciamento, desenvolvimento e implementação de políticas globais de segurança onde deve ser segmentando em políticas, normas e procedimentos e promover a atualização periódica destes documentos. 26 Unidade I O quê? Quem? Como? Política Normas Procedimentos Est rat ég ico Tát ico Op era cio na l Figura 9 – Gerenciamento de normativos • Coordenação da atividade de classificação das informações junto às diversas áreas da empresa, estabelecendo nível de confidencialidade da informação e auxiliando os gestores a classificar suas informações. • Estabelecimento de controles associados ao armazenamento e à transmissão da informação. • Promoção da divulgação da cultura de segurança na empresa. • Disseminação da cultura de segurança, seus conceitos e práticas tanto tecnológicas como comportamentais, junto aos colaboradores, estagiários e empresas terceirizadas. • Promoção das atividades de treinamento para: pessoal especializado, técnico de operação (telecom, servidores, desenvolvedores), pessoal gerencial e de negócios. São efetuadas palestras de conscientização destinadas aos funcionários em geral. • Gerenciamento dos perfis de acesso para todas as contas de acesso a softwares corporativos da organização. Deverão existir informações suficientes para que seja facilitada e agilizada a obtenção de informações, como todas as contas de um determinado usuário ou todos os usuários de um determinado programa ou software corporativo. Esse controle é importante para assegurar que, no desligamento ou em uma transferência de função, o usuário não armazene acessos indevidos. Esse profissional será responsável por receber, analisar e autorizar ou negar acessos aos sistemas corporativos da organização. Será responsável também pela formalização dos grupos/estruturas de usuários. • Gerenciamento contínuo da segurança preocupado com a segmentação da rede. Deverá ter amplo conhecimento da topologia da rede, sendo capaz de identificar os segmentos críticos para o negócio da empresa. • Preparação do plano diretor para mitigar as vulnerabilidades da rede e garantir a continuidade dos negócios em casos de falhas de equipamentos ou aplicações. 27 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • Autorização de concessão de acesso à rede corporativa por meio dos firewalls, não sendo ele responsável pela configuração dos firewalls, e verificação contínua do acompanhamento da monitoração dos logs do firewall. O responsável pela segurança da informação (security office) deverá conhecer a política implementada nos firewalls. • Determinação de qual política deve ser implementada no IDS (intrusion detection system) e de qual ação deve ser tomada em caso de identificação de ataque. O profissional acompanhará o processo de monitoração contínua dos relatórios gerados pelo IDS. • Projeto e acompanhamento da implementação do sistema de antivírus. Também caberá à área de segurança da informação a definição de normas e procedimentos relativos à atualização da base de assinaturas nas estações e servidores da empresa. • Elaboração de metodologias de instalação e manutenção segura de servidores críticos (bastion host). • Elaboração de procedimento formal de gerenciamento de mudanças nos ambientes críticos (change management), incluindo os ambientes de teste, homologação e produção. • Avaliação física regular dos ambientes críticos, que é fundamental para assegurar a segurança física das informações. • Elaboração e atualização do plano de continuidade de negócios, em que devem estar previstos o teste periódico de backups, o teste periódico de links backups e o teste periódico de ativação de site/aplicações backups. • Integração com as áreas de negócios e fábrica de software durante a especificação de novos projetos e tecnologias no que se refere à segurança dos dados. Demandas do negócio Respostas as mudanças no negócio Informações, conhecimento e inteligência do negócio Responsabilidades do negócio Suporte a tecnologia Desenvolvimento de soluções Manutenção e gerenciamento de mudanças Fábrica de software Serviço de suporte Gerenciamento de fornecedores e terceiros Responsabilidades da TI Área de segurança da informação Definição das tecnologias de segurança Uso de criptografia Mecanismos de autenticação Trilhas de auditoria Teste, produção e homologação Figura 10 – Relacionamento das áreas de negócio, TI e segurança da informação28 Unidade I • Definição dos processos de revisão preventiva da segurança da informação para teste de invasão, teste de invasão externa simulando a ação de um “hacker”, teste de invasão externa por um “hacker” com nível de acesso de seus parceiros de negócios ou clientes internos, teste de invasão interna, revisão de firewall, revisão interna dos mecanismos de proteção de perímetro (firewall, IDS etc.). As pessoas selecionadas para atuarem na área de segurança da informação devem ser funcionários da corporação com ampla experiência em segurança da informação e em gerenciamento de projetos de tecnologia. Além disso, devem ser capazes de balancear as restrições de segurança com as necessidades de negócio. É recomendado que possuam destacadas habilidades de comunicação pessoal e escrita além de ampla capacidade de trabalho em grupo e gerenciamento de pessoas. O líder deve possuir um cargo na hierarquia que possibilite a tomada de decisões, requisição de auxílio de funcionários de outras áreas e condução de verificações nas diversas áreas da corporação. Esse líder poderá ser um gerente ou um diretor. As áreas de tecnologia da informação (TI) devem estar representadas no conselho ou na mais alta instituição da organização. A TI e a segurança da informação precisam ser mensuradas, como os negócios, através da definição ou reformulação do posicionamento hierárquico (CIO, CSO, CRO). Deve-se ter em mente que o negócio e segurança não são coisas distintas, ainda que o entendimento dos negócios não seja desenvolvimento de software. O líder da área de segurança da informação (security office) não deve atuar nem como um paranoico que sempre inviabiliza o negócio nem como um cowboy que assume sozinho o risco, cabe a ele mostrar os riscos inerentes e negociar soluções alternativas com os gestores das áreas de negócio. 2 SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO Segundo Bastos e Caubit (2009), em consonância com a norma NBR ISO/IEC 27001, a empresa deve estabelecer, documentar, implementar e manter um Sistema de Gestão da Segurança de Informação – SGSI (ou ISMS em inglês), sendo que este deve mapear os ativos críticos a serem protegidos, dessa forma, obterá a abordagem para gerenciamento dos riscos, os objetivos de controle e os controles necessários para proteger as informações da empresa e garantir a continuidade do negócio no nível de qualidade requerido pela empresa. Na estrutura do PDCA, cada uma das atividades pode ser descrita da seguinte forma: 29 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Partes interessadas Requisitos de segurança da informação e expectativas Partes interessadas Segurança da informação gerenciada PLAN Estabelecer o ISMS CHECK Manter e rever o ISMS ACT Manter e melhorar o ISMS DO Implementar e operar o ISMS Figura 11 – Visão Geral – ISO 27001 Fonte: Bastos e Caubit (2009, p. 32). • Planejar (P): estabelecer um plano de trabalho definindo cronograma, gráfico ou sequência de orientações. Estabelecer as metas e os métodos, sendo que as metas podem decorrer do plano para casos de recursos limitados ou o plano pode objetivar o alcance da meta. Estabelecer a política do SGSI, os objetivos, os processos e procedimentos mais importantes para a gestão de riscos e a melhoria da segurança da informação a fim de entregar resultados conforme as políticas globais da organização e seus objetivos de negócio. • Executar (D): realizar as tarefas conforme foram revistas no plano, coletar dados para verificação do funcionamento do processo conforme o previsto. Nessa etapa é fundamental o treinamento da equipe nas práticas de trabalho estabelecidas no plano. O Do (executar) significa implementar e operacionalizar o SGSI, ou seja, implementar e estabelecer as regras estabelecidas na política do SGSI, juntamente com os controles, processos e procedimentos. • Verificar (check): significa monitorar e revisar o SGSI. A partir dos dados coletados durante a execução, analisa e compara os resultados alcançados com a meta planejada. Avaliar e, onde aplicável, medir o desempenho do processo de acordo com as regras estabelecidas na política do SGSI, com os objetivos e experiência prática, relatando os resultados para os gestores efetuarem a revisão ou análise crítica do sistema de gestão. • Agir corretivamente (A): identificar os desvios, onde a equipe atuará, no sentido de fazer correções para que o problema não volte a ocorrer. Essa atuação é sistemática. Act (agir) significa manter e melhorar o SGSI. Deve-se tomar as atitudes corretivas e preventivas, amparado nos resultados das auditorias internas do SGSI, revisão gerencial ou outra forma de avaliação relevante, para alcançar a melhoria contínua do SGSI. Segundo Bastos e Caubit (2009), o ciclo do PDCA se torna uma ferramenta básica de gerenciamento do SGSI. Para facilitar a implementação e estruturação do SGSI de acordo com o PDCA, as organizações seguem o modelo de projeto baseado no guia Project management body of knowledge (PMBOK) 2004. As atividades de projeto são coordenadas e processadas de forma a auxiliar o gestor a acompanhar todas as etapas do projeto de implementação do SGSI. 30 Unidade I Plan Check Do Act Estabelecer o SGSI Monitorar e melhorar o SGSI Implementar o SGSI Manter o SGSI Figura 12 – Estrutura do SGSI Adaptada de: Bastos e Caubit (2009, p. 33). As etapas do projeto de preparação do SGSI apresentam uma sequência de atividades que precisam ser empreendidas para o sucesso do SGSI: Planejar Implementar Capacitar Auditar Análise de posição Contexto da organização Plano de capacitação Plano de testes Sumário executivo Liderança Treinamentos Testes e validação Definição do escopo Planejamento Programa de conscientização Plano de auditoria Definição das equipes Suporte Auditoria Plano de projeto Operação Avaliação Melhoria contínua Figura 13 – Etapas do projeto de estruturação do SGSI Adaptada de: Brasil (2013). Os principais passos para implementação do sistema de gestão de segurança da informação são: • Planejamento do projeto: onde são definidos e alocados os recursos necessários para o projeto destinados à certificação ISO 27001 ou simplesmente adequação do sistema de gestão de segurança da informação em conformidade com a norma e consequentemente as melhores práticas. Nessa etapa são definidos os prazos do projeto, a forma de monitoramento 31 GESTÃO DA SEGURANÇA DA INFORMAÇÃO e controle das ações, ressaltando que sempre é necessário que seja realizada a análise de risco prévia e uma avaliação de quanto a organização está adequada aos requisitos obrigatórios da norma ISO 27001. • Criação e manutenção do SGSI: representa a implementação dos requisitos previstos. Essa etapa do projeto é composta de várias sub etapas, entre as quais está disposta a definição do escopo e diagnóstico inicial, que compreende a identificação dos elementos que formam o escopo da certificação ISO 27001 ou simplesmente da amplitude do sistema de gestão baseado nas melhores práticas. A identificação do grau de complexidade das atividades técnicas ligadas à segurança da informação é necessária para a implementação do sistema de gestão de segurança da informação. É nessa etapa que são feitas estimativas de esforço das etapas subsequentes do projeto de preparação da certificação e a elaboração de um cronograma de trabalho. Nesse momento, o processo é o mesmo tanto para uma organização que busca a certificação ISO 27001 quanto para uma organização que busca somente conformidade com os requisitos da norma para adequação do seu sistema de gestão de segurança da informação às melhores práticas. Quando se atinge essa etapa de auditoria interna, são definidas as ações específicas para uma organização que busca a certificação ou simples conformidade com a norma. • Auditoria externa: compreende dois momentos, a pré-auditoria e a auditoria de certificação: — A preparação para a pré-auditoria consiste em preparar a logística para realização da revisãopreliminar pelo órgão certificador, que já deve ter sido selecionado e contratado com antecedência. É uma auditoria com pouca profundidade, em que são verificadas as condições físicas e a documentação do SGSI para avaliar se a organização está preparada para a certificação. A orientação da equipe sob o escopo da certificação de como funciona a visita do órgão certificador e como ocorrerão as entrevistas e inspeção das instalações da organização é parte do trabalho da equipe de preparação. Após a realização da pré-auditoria, será necessário definir as disposições (ações imediatas a serem executadas de modo a resolver as não conformidades ou conter seu efeito indesejado) para solucionar os processos desalinhados identificados pelos auditores. — A preparação para a auditoria de certificação consiste em providenciar a logística necessária para realização da auditoria pelo órgão certificador, que ocorre mais ou menos de um a dois meses após a pré-auditoria, para verificar a conformidade, a eficiência, efetividade e eficácia do SGSI. Após a realização da auditoria, caso ocorra não conformidade, será necessário apresentar disposições e plano de ação para as não conformidades encontradas pelo órgão certificador, tendo como objetivo o alcance do selo de certificação ISO 27001. A maturidade de um sistema de gestão de segurança da informação é adquirida com sucessivas rodadas do ciclo do PDCA, cujo tempo de execução pode variar de organização para organização. Normalmente, um ciclo completo de execução do PDCA dura até um ano, pois é o tempo máximo considerado pela norma para análise crítica do funcionamento do SGSI seguindo as recomendações da cláusula 7.1 da norma NBR ISO/IEC 27001. 32 Unidade I 2.1 Fatores de sucesso do SGSI A implantação completa de um sistema de gestão da segurança da informação é algo complexo e requer empenho, dessa forma é necessário compreender os fatores críticos de sucesso para a implementação e preparação de um SGSI bem-sucedido. Quadro 10 – Fatores de sucesso (SGSI) Fatores críticos de sucesso do SGSI Comprometimento e apoio visíveis pela alta administração Escolha do gerente do projeto de preparação para certificação Unificação conceitual nos vários níveis dos participantes (usuários e gestores) sob o perímetro de abrangência do escopo e os princípios do SGSI Definição clara do escopo do sistema de gestão de segurança da informação Definição da abordagem para a implementação da segurança da informação consistente com a cultura organizacional Divulgação das diretrizes da política de segurança e padrões para todos os funcionários, cliente e terceiros Ativos identificados e controle de ativos (inventário) mantido atualizado Análise/avaliação de riscos executada e resultados documentados Adaptado de: Bastos e Caubit (2009, p. 36-37). Segundo Bastos e Caubit (2009), existem outros fatores críticos de sucesso para determinar o sucesso de um SGSI bem-estruturado. É necessário levar em consideração a sequência natural de amadurecimento do conhecimento sobre os requisitos de segurança que uma organização adquire com aplicação prática das normas. O nível final de maturidade do SGSI é atingido a partir de conhecimentos gerais dos gestores e da parte operacional com os técnicos de tecnologia da informação da organização, que a princípio e de forma intuitiva estabelece os controles de segurança, em sequência, transpõe a visão de aplicação dos controles da norma ISO 27002 como referência de boas práticas, em uma abordagem de orientação, e não de obrigatoriedade de implementação, em que a ISO 27002 é utilizada como referência. Em seguida, a busca da conformidade mais conhecida como nível gap analysis da ISO 27001 e ISO 27002 culmina com o modelo de gestão organizado que descreve a operacionalização do sistema, que não impedirá a ocorrência de incidentes de segurança, mas reduzirá e promoverá de maneira controlada e ordenada o tratamento e acompanhamento das ações corretivas e no processo de gestão geral. Segundo Bastos e Caubit (2009), a certificação ISO 27001 se refere a um nível de maturidade mais apurado, que está no topo da pirâmide de utilização das normas conhecidas para aplicação dos dispositivos de segurança da informação, pois ela prevê um sistema organizado que será depurado pelo ciclo do PDCA. O SGSI estruturado de acordo com o PDCA será um sistema de gestão de segurança da informação que tende a amadurecer mais rapidamente e se estender pela organização além dos limites do seu escopo ou da abrangência prevista inicialmente para sua implementação. 33 GESTÃO DA SEGURANÇA DA INFORMAÇÃO 27001 GAP Analysis ISO 27001 e 27002 ISO 27002 - Utilizada como referência Processo intuitivo de implementação de controles de segurança Figura 14 – Modelo de maturidade do SGSI Adaptada de: Bastos e Caubit (2009, p. 38). 2.2 Estabelecendo o SGSI Segundo Bastos e Caubit (2009), a preparação do SGSI é apresentada na cláusula 4.2.1, estabelecer o SGSI, que tem como objetivo estabelecer a política, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Sendo assim, essa cláusula compreende as seguintes atividades: • Definição do escopo da certificação: também engloba o treinamento da equipe do projeto na interpretação da norma, para que todos os envolvidos conheçam os requisitos do SGSI. • Elaboração da política de segurança da informação: desenvolvimento do manual da segurança da informação, que é opcional, mas uma grande ajuda para estruturar a documentação, dispondo de revisão e validação das normas, procedimentos e instruções de trabalho que compõem a documentação do SGSI. • Realização da análise/avaliação de riscos e elaboração do plano de tratamento dos riscos: essa etapa visa à confirmação da seleção dos controles recomendados no Anexo A da norma ISO 27001, que direcionam a implementação de dispositivos de segurança para proteção correta das informações da organização. Também é necessária a aprovação da direção para os riscos residuais propostos bem como a anuência da direção para a efetiva implementação do SGSI. Após essas etapas, firma-se a elaboração da declaração de aplicabilidade. As principais etapas para o início da implementação do SGSI são: 34 Unidade I Etapa 1 Etapa 2 Etapa 3 Etapa 4 Etapa 5 Etapa 6 Definir escopo do SGSI Definir a política de SI Executar análise/avaliação de riscos Aprovar os riscos Selecionar objetivos de controle e controles a serem implementados Preparar declaração de aplicabilidade Estabelecimento de limites de cobertura das proteções Documentos e registros do SGSI na fase de preparação Diretrizes da organização Ameaças, vulnerabilidades e impactos Anexo A da ISO 27001: Objetivos de controle, controles adicionais não presentes na ISO 27001 Justificativa da aplicação dos controles do anexo A Abordagem da organização para gerenciamento de risco Grau de segurança requerido pela organização Documento escopo do SGSI Documento da política Relatório de avaliação de riscos Nível de risco aceitável definido e aprovado Plano de tratamento do risco Declaração de aplicabilidade Figura 15 – Planejamento do SGSI Adaptada de: Bastos e Caubit (2009, p. 42). Segundo Bastos e Caubit (2009), o escopo é o perímetro de abrangência que define os ativos a serem contemplados no SGSI, sejam eles sistemas, dispositivos físicos, processos ou ações do pessoal envolvido. Processo Aplicativos e sistema Infraestrutura Pessoas Re qu isi to s de S I Figura 16 – Escopo do SGSI Fonte: Bastos e Caubit (2009, p. 43). De acordo com a orientação da norma ISO/IEC 27001 (2013), o escopo deve considerar as características do negócio, aspectos gerais da organização, sua localização, ativos e tecnologias, além de também incluir detalhes e justificativas para quaisquer exclusões. Diantedisso, recomenda-se que o escopo: 35 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • seja relevante para a organização; • seja compatível com os interesses do negócio; • represente valor para os diretores, gestores e demais colaboradores; • permita implementações, alterações e melhorias. Para Bastos e Caubit (2009), além de contemplar todos os requisitos exigidos pela norma, acredita-se que o escopo do SGSI também deve apresentar os seguintes componentes: • as pessoas envolvidas que devem estar motivadas e comprometidas com o projeto, o gestor responsável pelo SGSI que deve ter acesso à alta direção da organização, com o objetivo de obter recursos para a implementação do sistema; • o escopo, que deve possuir processos definidos e maduros, para melhor estruturação de um SGSI que não tem como objetivo definir processos de trabalho, mas sim implementar segurança nos processos existentes. Para as organizações que buscam a certificação, outros aspectos devem ser considerados, tais como: • Envolver-se em grandes transformações tecnológicas; deve-se aguardar a consolidação das mudanças para buscar a certificação. • Estruturar a sua área de segurança da informação deve-se amadurecer melhor os processos para se preparar para a certificação. É importante ter a definição de papéis e responsabilidades em segurança da informação bem estabelecidos. • Ter um bom relacionamento entre as áreas e utilizar do bom relacionamento para divulgar internamente o projeto. • Implementar os controles conforme os requisitos da norma, mas, sobretudo, atender e respeitar as necessidades do seu negócio. Devem ser respeitados os limites para implementação dos princípios de segurança da informação para cada ramo de atividade. Esses aspectos variam conforme cada organização e podem ser observados em maior profundidade na fase do diagnóstico para a certificação. No documento do escopo deve ser detalhado com o objetivo de apresentar ao órgão certificador, com clareza e objetividade, o perímetro do SGSI em questão. Segundo Bastos e Caubit (2009), a política de segurança da informação é o documento que contém de forma objetiva e estratégica as premissas e diretrizes para o SGSI. 36 Unidade I As políticas devem: • Levar em conta os requisitos legais e regulatórios do negócio, além de requisitos contratuais. • Estabelecer a estratégia e o contexto de gestão dos riscos. O SGSI deverá ser mantido e atualizado seguindo o PDCA. • Estabelecer os critérios de estruturação e avaliação dos riscos. • Ser aprovadas pela direção e comunicadas a todos os funcionários, terceiros e demais partes interessadas. A política de segurança da informação é o documento mais importante não apenas para o SGSI, mas para a organização e para o mercado, pois define as estratégias que a organização precisa adotar para alcançar os seus objetivos relacionados à segurança da informação. Para Bastos e Caubit (2009), antes de realizar a análise/avaliação de riscos é importante selecionar qual metodologia será a base para esse fim e adequada à organização. Nessa hora são definidos os critérios de aceitação dos riscos para a organização. A metodologia de análise/avaliação de riscos deve ser definida de forma clara, simples e objetiva, proporcionando a imparcialidade necessária às análises e avaliações realizadas, isso significa que não importa quem realizará a análise de riscos, sempre serão utilizados os mesmos métodos e critérios, seguindo as recomendações da NBR ISO/IEC 27001, em sua cláusula 4.2.1, letra c, que diz que a metodologia deve obter resultados comparáveis e reproduzíveis. Existem muitas e diferentes abordagens de análise/avaliação de riscos à segurança da informação, devemos dar atenção especialmente para as normas NBR ISO/IEC 27005, sistema de gestão de segurança da informação, gestão de riscos e também a NBR ISO/IEC 31000, que demonstra as melhores práticas para o estabelecimento de modelos de análise e avaliação de riscos. É possível encontrar nessas normas um diagrama que ilustre o processo de gestão dos riscos à segurança da informação, com todas as atividades relevantes e suas descrições, destinado às organizações que buscam a certificação ISO 27001, ressaltando que a metodologia precisa estar claramente documentada ou constar do acervo de informações sobre possíveis softwares de gestão e análise de riscos utilizados por ela. Segundo Bastos e Caubit (2009), a atividade de identificação de riscos é composta de quatro momentos, a saber: • Identificar os ativos sob o escopo do SGSI e seus proprietários, levantando inventário de ativos de informação completo que deverá ser mantido atualizado. 37 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • Identificar as ameaças que circulam nesses ativos, levando em consideração os cenários ambientais do escopo e os fatores que permeiam a localização física e lógica, diante dos processos de negócios e pessoas que trabalham sob o escopo, bem como as tecnologias utilizadas, levando em consideração a adequação desses dispositivos ao nível de proteção exigida por requisitos legais, contratuais, estatutários e do mercado onde o negócio atua. • Identificar as vulnerabilidades desses ativos, sempre levando em consideração que as vulnerabilidades podem ser invisíveis àqueles ou viciadas em problemas cotidianos, com a visão limitada da importância do ativo para organização. • Identificar os impactos que a perda de confidencialidade, integridade e disponibilidade dos ativos pode causar à organização. Essa tarefa deve ser realizada em conjunto com os gestores e analistas especialistas, principalmente os envolvidos nos processos críticos. Ressaltando que muitos gestores, quando solicitados a avaliar o impacto da perda de alguma informação ou da sua indisponibilidade, sempre dizem que esse tipo de evento é impossível de ocorrer. Estão se referindo à probabilidade nesse momento, e não ao impacto do evento. Segundo Bastos e Caubit (2009), na atividade de análise/avaliação, os riscos são identificados, investigados e estimados com o objetivo de tomar decisões sobre a melhor forma de tratamento. É por meio da análise e avaliação de riscos que se entende melhor os riscos existentes no escopo analisado e se avalia de que forma os riscos serão transportados em níveis aceitáveis. Lembrando que esse nível deve estar em conformidade com os critérios de riscos estabelecidos pela alta direção. Segundo a norma ISO/IEC 27005, a avaliação dos riscos compreende a análise e a valoração dos riscos. Segundo Bastos e Caubit (2009), o detalhamento e a análise dos riscos consistem na identificação e na estimativa dos riscos. Os resultados das avaliações ajudarão a: • Determinar e direcionar ações estratégicas, táticas e operacionais, além de definir as prioridades para um gerenciamento dos riscos da segurança da informação. • Selecionar controles a serem implementados para a proteger os ativos de informação contra os riscos identificados. É importante realizar revisões programadas dos riscos à segurança da informação e dos controles implementados para: • considerar as mudanças nos requisitos de negócio e suas priorizações; • considerar novas ameaças e vulnerabilidades; • confirmar se controles permanecem eficientes e adequados ao escopo. Para a definição dos requisitos é necessário utilizar três fontes de informações que darão auxílio no estabelecimento dos requisitos de segurança para o SGSI, que são: 38 Unidade I • Avaliação/análise de riscos: são identificadas as ameaças aos ativos de informação e são avaliadas a vulnerabilidade e as probabilidades de ocorrência, bem como o possível impacto potencial. • Requisitos legais: verificar a legislação vigente nacional e internacional, os estatutos, a regulamentação e as cláusulas contratuais às quais a organização, seus parceiros, contratados e prestadores de serviço têm de obrigatoriamente atender. • Requisitos do negócio: conjunto particular de princípios, objetivos e requisitos para o processamento da informação
Compartilhar