Baixe o app para aproveitar ainda mais
Prévia do material em texto
Inserir Título Aqui Inserir Título Aqui Segurança da Informação e Tratamento de Incidentes Segurança da Informação e Prevenção de Incidentes Responsável pelo Conteúdo: Prof. Esp. Antonio Eduardo Marques da Silva Revisão Textual: Prof. Esp. Claudio Pereira do Nascimento Nesta unidade, trabalharemos os seguintes tópicos: • O Que É Segurança? • Ativos de Informação; • Conceitos Chave de Segurança da Informação; • Características Críticas da Informação; • Incidentes e Danos; • Política de Segurança da Informação; • Programa da Política de Segurança; • Política Específica do Sistema. Fonte: Getty Im ages Objetivo • Compreender e abordar alguns fundamentos de segurança da informação e caracterís- ticas e desenvolvimento de uma política de segurança da informação para organização. Caro Aluno(a)! Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl- timo momento o acesso ao estudo, o que implicará o não aprofundamento no material trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas. Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns dias e determinar como o seu “momento do estudo”. No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões de materiais complementares, elementos didáticos que ampliarão sua interpretação e auxiliarão o pleno entendimento dos temas abordados. Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e aprendizagem. Bons Estudos! Segurança da Informação e Prevenção de Incidentes UNIDADE Segurança da Informação e Prevenção de Incidentes Contextualização Você sabe definir o que é segurança da informação e quais os conceitos essenciais que podem caracterizá-la? Saberia explicar o que é um incidente e como categorizá-lo? Qual a importância de uma boa política de segurança da informação para uma orga- nização? Como existem diferentes tecnologias aplicadas em segurança da informação, você deve estar se perguntando, como é possível entender melhor o seu funcionamento. Embora possamos aprender várias ferramentas ou tecnologias em segurança, precisa- mos focar em alguma(s), principalmente as mais utilizadas no mercado, para termos uma maior facilidade de manuseio. Nesta unidade vamos abordar de uma forma simples o que é segurança da informação e suas vertentes. Por características obvias, a área da Tecnologia da Informação tem uma parcela muito grande e importante nesse tema e em função disso vamos tratar em grande parte da segurança da informação em ambientes de TIC – Tecnologia da Informação de Comunicações. No final, também veremos o que é um incidente de segurança e descrever de uma forma resumida a importância da política de segurança da informação. Não se preocupe, nesta disciplina iremos abordar alguns conceitos fundamentais para que você possa entender como funciona alguns recursos, técnicas e ferramentas que fazem parte de um sistema de gestão da segurança da informação. Vamos começar! 6 7 O Que é Segurança? Em geral, a segurança é “a qualidade ou estado de ser seguro, ou seja, estar livre de perigo”. Em outras palavras, é a proteção contra adversários, daqueles que te fariam mal, intencio- nalmente ou de outra forma. A segurança nacional, por exemplo, é um sistema de múltiplas camadas que protege a soberania de um estado, seus bens, seus recursos e seu povo. O nível de segurança de uma organização também requer um sistema multifacetado. Uma organização bem-sucedida deve ter as seguintes múltiplas camadas de segurança para proteger suas operações: • Segurança Física: para proteger itens físicos, objetos ou áreas contra acesso não autorizado e uso indevido. • Segurança Pessoal: para proteger o indivíduo ou grupo de pessoas autorizadas para acessar a organização e suas operações. • Segurança de Operações: para proteger os detalhes de uma operação específica ou uma série de atividades. • Segurança de Comunicações: para proteger meios de comunicação, tecnologia e conteúdo. • Segurança de Rede: para proteger componentes de rede, conexões e conteúdo. • Segurança da Informação: para proteger a confidencialidade, integridade e dis- ponibilidade de informações e ativos, seja em armazenamento, processamento ou transmissão. É conseguido através de aplicação de políticas, educação, treinamen- to, tecnologia e conscientização. O Comitê de Sistemas de Segurança Nacional (CNSS) define segurança da informa- ção como a proteção da informação e seus elementos críticos, incluindo os sistemas e hardware que são utilizados para armazenar e transmitir essa informação. A segurança da informação inclui áreas amplas de gerenciamento de segurança da informação, se- gurança de computadores e dados e segurança de rede. O modelo de segurança da in- formação do CNSS evoluiu de um conceito desenvolvido pela indústria de segurança da informática chamada triângulo C.I.A. O triângulo C.I.A. foi o padrão da indústria para segurança de computadores desde o desenvolvimento do mainframe. Isto é, com base nas três características da informação que dão valor às organizações: confidencialidade, integridade e disponibilidade (NIELES, 2017). Segurança da informação Segurança de rede Política Computador e segurança de dados Gestão de segurança da informação Figura 1 – Componentes da Segurança da Informação 7 UNIDADE Segurança da Informação e Prevenção de Incidentes Ativos de Informação A base para a segurança em geral são os ativos que precisam ser protegidos. Ativos podem ser pessoas, coisas criadas por pessoas ou partes da natureza. Na área de segu- rança da informação, os ativos são rotulados como recursos de informação e incluem não apenas as informações em si, mas também os recursos que estão em uso para faci- litar o gerenciamento de informações. PessoasOrdem de distribuição Ativos físicos Documentos Desenhos Localização Projetos OrganizaçõesRequisitos Figura 2 – Ativos da Informação Fonte: Adaptado de Getty Images Nesse contexto, é possível afirmar que em TI – Tecnologia da Informação, a informa- ção que é o principal ativo e outros recursos são ferramentas para facilitar o gerencia- mento de informações. Os recursos têm, portanto, um valor instrumental em relação à informação (claro, que a informação pode estar altamente integrada com recursos que a gerenciam, por exemplo, em um banco de dados). O termo segurança da informação expressa, portanto, uma visão mais holística do que a segurança de TI, que se manifesta como uma visão técnica. A Tecnologia da informação ou apenas TI e agora também chamada de TIC – Tecnologia da Informação e Comunicações é um conceito que se refere à tecnologia digital, ou seja, hardware e software específicos para criar, coletar, processar, armazenar, transmitir, apresentar e duplicar informações. A informação pode ter a forma de som, texto, imagem ou vídeo, e significa a fusão das áreas tradicionais de computadores, telecomunicações e meios de comunicação. Artefatos de TI na forma de computadores pessoais, redes, sistemas operacionais operativos e aplicações com- putacionais constituem, assim, um dos vários tipos de apoio a recursos para gerenciar informações. Não são apenas os artefatos de TI a serem contados como recursos ao gerenciar informações. Informações podem ser gerenciadas manualmente, o que torna os humanos um recurso importante de fonte dessas informações (BAARS, 2018). 8 9 As pessoas também são indiretamente um recurso importante, porque elas lidam com ferramentas que gerenciam informações. Ferramentas que ajudam os humanos a geren- ciar as informações podem ser eletrônicas ou não eletrônicas. Além disso, ferramentaseletrônicas podem ser divididas em ferramentas digitais e analógicas. A classificação de recursos de gerenciamento de informações podem ser ferramentas não eletrônicas, por exemplo, canetas, papéis, grampeadores e placas de avisos, enquanto as ferramentas analógicas são, por exemplo, dispositivos overhead e telefones (que também podem ser digitais). Mecanismos de segurança (salvaguardas) também podem ser contados como recursos para o gerenciamento de informações. E por esse motivo, os mecanismos de segurança podem pertencer a todas as categorias descritas. Hardware Software Humano InformaçãoEstrutura Recursos de entrega de conhecimento Figura 3 – Classifi cação dos Recursos da Informação A informação como um recurso nas organizações é um amplo domínio de conheci- mento e não é apenas a informação (representada por dados) armazenada em sistemas de informação por si só. É importante ver a segurança da informação como um proces- so bem abrangente e não somente focado em sistemas digitais, ou seja, a informação pode ser falada, escrita, armazenada em arquivo em um sistema computacional. O res- ponsável pela segurança da informação de uma empresa deve estar atendo a todos esses eventos que manipulam a informação. Conceitos Chave de Segurança da Informação Podemos definir vários termos e conceitos que são essenciais para qualquer discussão de segurança da informação. Vamos conhecer alguns deles (MANOEL, 2014): • Acesso: a capacidade de um sujeito ou objeto de usar, manipular, modificar ou afetar outro assunto ou objeto. Usuários autorizados têm acesso legal a um sistema, enquanto os hackers (mais correto falar crackers) tem acesso ilegal a um sistema. Controles de acesso regulam essa habilidade; • Ativo: o recurso organizacional que está sendo protegido. Um ativo pode ser lógico como um site, informações ou dados; ou um ativo pode ser físico, como uma pes- soa, sistema de computador ou outro objeto tangível. Ativos são, particularmente, ativos de informação ou recursos da informação, são o foco dos esforços de segu- rança e o que se pretende proteger; 9 UNIDADE Segurança da Informação e Prevenção de Incidentes • Ataque: um ato intencional ou não intencional que pode causar danos ou com- prometer informações e/ou os sistemas que o suportam. Os ataques podem ser ativos ou passivos, intencional ou não intencional e direta ou indireta. Alguém lendo casualmente uma informação não destinada ao seu uso é um ataque passivo. Um cracker tentando invadir um sistema de informação é um ataque intencio- nal. Um relâmpago que causa fogo em um edifício é um ataque não intencional. Um ataque direto é um cracker usando um computador para invadir um sistema. Um ataque indireto é um cracker comprometendo um sistema e usá-lo para atacar outros sistemas, por exemplo, como parte de uma “botnet” (gíria para rede de robôs). Este grupo de computadores comprometidos, executando um software de escolha do atacante, pode operar de forma autônoma ou sob o controle direto do atacante para atacar sistemas e roubar informações do usuário ou realizar ataques distribuídos de negação de serviço (DoS). Ataques diretos se originam da ameaça em si. Os ataques indiretos se originam de um sistema comprometido ou recurso que está funcionando mal ou está sob o controle de uma determinada ameaça; • Controle, Salvaguarda ou Contramedida: mecanismos, políticas ou procedimentos de segurança que podem combater ataques com sucesso, reduzir riscos, resolve vulne- rabilidades e outras formas de melhorar a segurança dentro de uma organização; • Exploração (Exploit): Uma técnica usada para comprometer um sistema. Este ter- mo pode ser um verbo ou um substantivo. Agentes de ameaças podem tentar explo- rar um sistema ou outro ativo de informação usando-o ilegalmente para seu ganho pessoal, ou uma exploração pode ser um processo documentado para obtenção de vantagem de uma vulnerabilidade ou exposição, geralmente em software, e que é inerente ao software ou é criado pelo atacante. Exploits fazem uso de ferramentas de software existentes ou componentes de software personalizados; • Exposição: uma condição ou estado de exposição. Na segurança da informação, a exposição existe quando uma vulnerabilidade conhecida de um invasor está presente; • Perda: uma única instância de um ativo de informação que sofreu danos ou não, intencional ou modificação, ou divulgação não autorizada. Quando as informações de uma organização são roubadas, sofreu-se uma perda; • Perfil de Proteção ou Postura de Segurança: todo o conjunto de controles e salvaguardas, incluindo política de segurança, educação, treinamento e conscienti- zação, e tecnologia, que a organização implementa (ou falha em implementar) para proteger o ativo. Os termos são às vezes usados de forma intercambiável com o termo programa de segurança, embora a segurança geralmente inclui aspectos ge- renciais de segurança, incluindo planejamento, pessoal e programas subordinados; • Risco: a probabilidade de algo indesejado acontecer. As organizações devem mini- mizar o risco para corresponder ao seu apetite pelo risco e a quantidade e a natu- reza do risco que se está disposto a aceitar; • Assuntos e Objetos: um computador pode ser o assunto de um ataque, um agente ou entidade usada para conduzir o ataque, ou o objeto de um ataque. Um computa- dor pode ser o sujeito e objeto de um ataque, quando, por exemplo, ele é compro- metido por um ataque e usado para atacar outros sistemas; 10 11 • Ameaça: uma categoria de objetos, pessoas ou outras entidades que representa um perigo para os ativos. Ameaças estão sempre presentes e podem ser intencionais ou não direcionadas. Por exemplo, crackers intencionalmente ameaçam sistemas de informação desprotegidos, enquanto tempestades severas incidentalmente po- dem ameaçar edifícios; • Agente de Ameaça: a instância específica ou um componente de uma ameaça. Por exemplo, todos os crackers no mundo apresentam uma ameaça coletiva, en- quanto Kevin Mitnick, que foi condenado por invadir sistemas de telefonia, é um agente de ameaça específico. Da mesma forma, um relâmpago, chuva de granizo, ou tornado é um agente de ameaça que faz parte da ameaça das tempestades severas; • Vulnerabilidade: deficiências ou falhas em um sistema ou mecanismo de proteção que o abre para atacar ou danificar. Alguns exemplos de vulnerabilidades são uma falha em um pacote de software, uma porta ou interface do sistema desprotegida e uma porta destrancada. Algumas vulnerabilidades conhecidas foram examinadas, documentadas e publicadas e outras permanecem latentes (ou não descobertas). Segurança informação, disponível em: https://youtu.be/ZD66EMgB1FA Características Críticas da Informação O valor da informação vem das características que possui. Quando uma caracte- rística de mudança nas informações, o valor dessas informações aumenta ou, mais comumente, diminui. Algumas características afetam o valor da informação para os usuários mais do que os outros. Isto pode depender das circunstâncias; por exemplo, a pontualidade da informação pode ser um fator crítico, porque a informação perde muito ou todo o seu valor quando é entregue tarde demais. Os profissionais de segu- rança da informação, no entanto, podem perceber que o décimo de segundo como um pequeno atraso que permite uma tarefa importante, como um processo de criptografia de dados. Vamos conhecer mais algumas palavras expandindo o triângulo C.I.A como apresentado (MANOEL, 2014): • Disponibilidade: pessoas ou sistemas podem acessar informações sem interfe- rência ou obstrução e recebê-las no formato requerido. Considere, por exemplo, as bibliotecas de pesquisa que fariam a identificação de entrada. Os bibliotecários protegem o conteúdo da biblioteca para que haja disponibilidade apenas para os clientes. Você pode encontrar as informações de que necessita em um modo uti- lizável e linguagem familiar, o que, normalmente, é identificado através de uma etiqueta ou códigoem um livro; • Precisão: A informação é livre de erros ou o nível de erros tem um valor que o usuário espera, se uma informação foi intencionalmente ou não intencionalmen- te modificada. Considere, por exemplo, uma conta corrente. Você assume que uma informação contida na sua conta é uma representação precisa de suas fi- nanças. As principais empresas podem ter um fluxo de informações externas ou 11 UNIDADE Segurança da Informação e Prevenção de Incidentes erros internos. Uma caixa de banco, por exemplo, erroneamente, adiciona ou sub- trai algo de sua conta, o valor da informação é alterado ou você pode entrar aci- dentalmente com valor incorreto no seu registro de conta. De qualquer forma, um pacote bancário impreciso poderia fazer com que você possa cometer erros; • Autenticidade: A autenticidade da informação é a qualidade ou estado de ser ge- nuíno ou original, em vez de uma reprodução ou fabricação. A informação é autên- tica quando não se altera o estado em que foi criada. Considere por um momento algumas suposições comuns sobre e-mail. Quando você recebe um e-mail, você assume que um grupo ou pessoa criou e transmitiu o e-mail, nesse caso assume que conhece uma origem que enviou o e-mail. Isso não é sempre assim. Um e-mail spoofing, o ato de enviar um e-mail onde o campo e o endereço do originador são falsificados. O spoofing também pode mudar os dados transmitidos por uma rede, como no caso de falsificação de pacotes de protocolo de dados do usuário (UDP – User Datagram Protocol), que pode fazer com que o invasor possa obter acesso aos bancos de dados em sistemas de computação; • Confidencialidade: A informação tem confidencialidade quando é protegida contra divulgação ou exposição a indivíduos ou sistemas não autorizados. Confidencialidade garante que apenas aqueles com os direitos e privilégios para acessar informações são capazes de fazê-lo. Quando não autorizado, indivíduos ou sistemas podem visu- alizar informações e a confidencialidade é violada. Para proteger a confidencialidade de informações, você pode usar várias medidas, incluindo as seguintes: » classificação de informação; » armazenamento seguro de documentos; » aplicação de políticas gerais de segurança; » educação de custódios de informações e usuários finais. • Integridade: A informação tem integridade quando é completa e incorrupta. A in- tegridade da informação é ameaçada quando a informação é exposta à corrupção, danos, destruição ou outras perturbações do seu estado autêntico. Corrupção pode ocorrer enquanto informações estão sendo armazenadas ou transmitidas. Muitos vírus e worms (vermes) de computador são projetados com o propósito explícito de corromper dados. Por esta razão, um método chave para detectar o vírus ou worm é procurar mudanças na integridade do arquivo, como mostrado pelo identificador de tamanho do arquivo. Outro principal método de assegurar a integridade das in- formações é o hashing de arquivos, no qual um arquivo é lido por um algoritmo que usa o valor dos bits no arquivo para calcular um único número chamado de valor de hash. O valor de hash para qualquer combinação de bits é exclusivo. Se um sistema de computador executa o mesmo algoritmo de hashing em um arquivo e obtém um número diferente do registrado no valor de hash para esse arquivo, o arquivo foi então comprometido e a integridade das informações é perdida; • Utilidade: A utilidade da informação é a qualidade ou estado de ter valor para al- gum propósito ou final. A informação tem valor quando pode servir a um propósito. Se a informação está disponível, mas não em um formato significativo para o usu- ário final, ou seja, não é útil; 12 13 • Posse: A posse de informações é a qualidade ou estado de propriedade ou controle. Diz-se que a informação está em sua posse se a obtiver, independentemente do for- mato ou outras características. Embora uma quebra de confidencialidade sempre resulte em uma quebra de posse, uma violação de posse nem sempre resulta em quebra de confidencialidade. Por exemplo, um arquivo que está criptografado e que foi vendido ou entregue a alguém não autorizado. O que é segurança da informação?, disponível em: https://youtu.be/dg7ukJANHkg Incidentes e Danos Enquanto uma ameaça é uma suposição de que um evento indesejável pode ocorrer em um futuro, o termo incidente refere-se à ocorrência real de tal evento. Em outras palavras, uma ameaça pode ser percebida como um ou vários incidentes. Uma ameaça pode ainda existir após a realização, uma vez que as causas subjacentes ainda podem ser capacidades para realizar uma ameaça várias vezes. A probabilidade de realização, no entanto, muitas vezes pode diminuir, pois as pessoas muitas vezes aumentam a proteção contra ameaças. Como as ameaças, um incidente ocorrido pode ser desconhecido. Tais incidentes podem ser descobertos depois de um tempo ou permanecem desconhecidos. Incidentes que são percebidos por ameaças desconhecidas são incidentes inesperados e podem le- var a consequências. Se uma consequência afeta a tríade ou triângulo C.I.A. de ativos de informação descontrolada e negativa, ela é rotulada como dano. Pode haver incidentes que não prejudiquem a tríade da C.I.A., por exemplo, vírus que infecta um sistema de informações sem causar danos. Infecção ainda é um evento indesejado que provavel- mente acontece fora do controle dos gerentes de sistema. A definição de dano pode ser extraída dos objetivos da segurança da informação: Danos são impasses descontrolados da tríade de ativos de informação da C.I.A. Praticamente pode haver muitos tipos de danos. A informação pode ser mudada de forma descontrolada e indesejável, desaparecer ou ser lida por pessoas não autorizadas e informações e artefatos de TI podem ficar indisponíveis para pessoas autorizadas (MILAR, 2012). Prevenção de Incidentes As organizações precisam de uma abordagem proativa de prevenção de incidentes. Com o intuito de comprometer dados, aplicativos ou sistemas operacionais, cada vez mais criminosos cibernéticos de todo o mundo encontram maneiras inovadoras de se infiltrar nos sistemas de rede das organizações. Uma abordagem proativa de prevenção é crucial para garantir que processos e dados não sejam expostos a ataques maliciosos. Para pre- venir os respectivos sistema e rede, podemos descrever alguns pontos principais, são eles: • Política de Segurança: a política de segurança é um dos itens mais importantes quando se discute sobre segurança da informação, pois nela estão as “regras” e 13 UNIDADE Segurança da Informação e Prevenção de Incidentes orientações do que os colaboradores podem ou não realizar na empresa. A política de segurança é individual para cada empresa e precisa ser elaborada por profis- sionais qualificados que entendam o que a instituição realiza, para que ela seja aplicada de uma forma eficaz afim de evitar vulnerabilidades. A política geralmente é revisada e assinada pela alta gestão de uma empresa (Presidentes, diretores, comi- tês, conselhos e proprietários) exatamente para evitar que suas regras possam ser quebradas em um nível mais baixo em seu modelo organizacional; • Auditoria de Segurança: as auditorias de riscos de segurança e análises aprofundadas para identificar os principais riscos de segurança em todo o seu sistema de rede são de extrema importância para os negócios de uma instituição, seja ela pública ou privada. Os serviços de auditoria de segurança começam com uma consulta inicial, seguida por uma análise completa e orientação especializada para corrigir as descobertas; • Utilização de Técnicas e Tecnologias: para que a informação de uma empresa esteja segura, devemos utilizar uma série de ferramentas, técnicas, procedimentos e tecnologias que interagem de forma sincronizada para evitar perdas, roubos e ou- tros pontos negativos quando se refere a informação de uma determinada empresa. Ou seja, não é somente uma aplicação ou ferramenta que dará um nível satisfatório desegurança e sim uma coleção de técnicas. Não existe rede ou sistema totalmente seguro, mas sim de difícil penetração; • Treinamento de Conscientização de Segurança dos Funcionários: uma boa estratégia de segurança começa com uma educação proativa dos funcionários para garantir que eles estejam preparados para ajudar a manter seus computadores e redes seguros; • Digitalização de Aplicativos: identificar vulnerabilidades antes que elas sejam ex- ploradas é o primeiro passo para proteger os aplicativos da web. Aplicativos desatu- alizados ou aplicativos sem patches de correção criam brechas de segurança através das quais malwares avançados podem se infiltrar no sistema de rede e comprome- ter os dados de uma determinada instituição; • Avaliação de Vulnerabilidades: os Serviços de Avaliação de Vulnerabilidades aju- dam as organizações a avaliar todos os sistemas de acesso internos e externos. A avaliação de cada plataforma, configuração do sistema e correções ausentes que possam garantir que toda a rede de uma organização seja segura e sem riscos. A avaliação é realizada usando geralmente um software especializado que verifica e detecta possíveis vulnerabilidades, fornecendo, em última instância, um relatório de análise que contém informações detalhadas das atuais áreas vulneráveis; • Teste de Ativos: o teste de ativos fornece uma avaliação completa da segurança de toda a rede de uma organização, simulando um ataque avançado de crackers para vários pontos fracos na rede ou em um sistema. Os testes são realizados a partir de uma perspectiva de ‘Caixa Negra’ (ataque externo sem acesso a informações do sistema) e de uma perspectiva de ‘Caixa Cinza/Branca’ (usando informações e dados aos quais somente funcionários têm acesso). O teste de ativos engloba várias maneiras de se infiltrar em um sistema e explorar vulnerabilidades, incluindo for- mas não-técnicas, como a engenharia social. 14 15 Política de Segurança da Informação O termo Política de Segurança da Informação ou PSI tem mais de uma definição quando se discute segurança da informação. O NIST (National Institute of Standards and Technology) define política como “declarações, regras ou asserções que especi- ficam o comportamento correto ou esperado de uma entidade”. Por exemplo, uma política de autorização pode especificar as regras de controle de acesso corretas para um componente de software. O termo política também pode se referir a regras de se- gurança específicas de um sistema ou até mesmo a decisões gerenciais específicas que determinam a política de privacidade de e-mail de uma organização ou a diretiva de segurança de acesso remoto. A política de segurança da informação é definida como um agregado de diretivas, regulamentos, regras e práticas que prescreve como uma organi- zação gerencia, protege e distribui informações. Ao tomar essas decisões, os gerentes enfrentam decisões difíceis com relação à alocação de recursos, objetivos conflitantes e estratégia organizacional, todos relacionados à proteção de recursos técnicos e de in- formações, além de orientar o comportamento dos funcionários. Os gerentes de todos os níveis fazem escolhas que podem afetar a política, com o escopo da aplicabilidade da política variando de acordo com o escopo da autoridade do gerente. As decisões gerenciais sobre questões de segurança da informação variam muito de empresa para empresa (FREITAS, 2018). Padrões, Diretrizes e Procedimentos Como a política é escrita em um nível amplo, as organizações também desenvolvem padrões, diretrizes e procedimentos que oferecem aos usuários, gerentes, administrado- res de sistema e outros uma abordagem mais clara para implementar políticas e atender às metas organizacionais. Padrões e diretrizes especificam tecnologias e metodologias a serem usadas para proteger sistemas. Os procedimentos são etapas ainda mais detalha- das a serem seguidas para realizar tarefas relacionadas à segurança. Padrões, diretrizes e procedimentos podem ser promulgados em toda a organização através de manuais e regulamentos. Os Padrões Organizacionais (não confundir com os Padrões Nacionais Americanos ou Brasileiros, Padrões Federais ou outros padrões nacionais ou internacionais), estes especificam o uso uniforme de tecnologias, parâmetros ou procedimentos específicos quando tal uso uniforme beneficiará uma organização. A padronização de crachás de identificação em toda a organização é um exemplo típico, proporcionando facilidade de mobilidade de funcionários e automação de sistemas de entrada/saída. Padrões são normalmente obrigatórios dentro de uma organização. As Diretrizes auxiliam os usuários, o pessoal de sistemas e outros a protegerem efeti- vamente seus sistemas. A natureza das diretrizes, entretanto, reconhece imediatamente que os sistemas variam consideravelmente e a imposição de padrões nem sempre é viável, apro- priada ou econômica. Por exemplo, uma diretriz organizacional pode ser usada para ajudar a desenvolver procedimentos padrões específicos de sistemas. As diretrizes geralmente são 15 UNIDADE Segurança da Informação e Prevenção de Incidentes usadas para ajudar a garantir que medidas de segurança específicas não sejam negligencia- das, embora possam ser implementadas, corretamente, de mais de uma maneira. Os Procedimentos descrevem como implementar diretivas, padrões e diretrizes de segurança aplicáveis. São etapas detalhadas a serem seguidas pelos usuários, pela equi- pe de operações do sistema ou por outras pessoas para realizar uma tarefa específica (por exemplo, preparar novas contas de usuário e atribuir os privilégios apropriados). Algumas organizações emitem manuais gerais de segurança de informações, regula- mentos, manuais ou documentos semelhantes. Estes podem misturar políticas, dire- trizes, padrões e procedimentos, uma vez que estão intimamente ligados. Embora os manuais e regulamentos possam servir como ferramentas importantes, muitas vezes é útil distinguir claramente entre política e sua implementação. Isso pode ajudar a promo- ver a flexibilidade e a relação custo-eficácia, oferecendo abordagens de implementação alternativas para atingir as metas de políticas. Programa da Política de Segurança A política do programa é usada para criar o programa de segurança da informação de uma organização. As políticas descritas no programa definem a direção estratégica para segurança e atribuem recursos para sua implementação dentro da organização. Um funcionário da gerência emite a política do programa para estabelecer ou reestrutu- rar o programa de segurança da informação da organização. Essa política de alto nível define o objetivo do programa e seu escopo dentro da organização, aborda questões de conformidade e atribui responsabilidade à organização de segurança da informação para a implementação direta do programa, bem como outras responsabilidades relacionadas. Componentes Básicos da Política do Programa Podemos definir alguns dos componentes básicos mais importantes para uma boa política de segurança da informação: • Finalidade: a política do programa geralmente inclui uma declaração descrevendo o propósito e as metas do programa. As necessidades relacionadas à segurança, como integridade, disponibilidade e confidencialidade, podem formar a base das metas organizacionais estabelecidas na política. Por exemplo, em uma organização responsável pela manutenção de grandes bancos de dados de missão crítica, uma redução nos erros, perda de dados, corrupção de dados e recuperação pode ser especificamente enfatizada. No entanto, em uma organização responsável pela ma- nutenção de dados pessoais confidenciais, as metas podem enfatizar uma proteção mais forte contra a divulgação não autorizada; • Escopo: as políticas do programa são claras quanto a quais recursos (por exemplo, instalações, hardware e software, informações e pessoal) o programa de segu- rança da informação protege. Em muitos casos, o programa abrangerá todos os sistemas e pessoalorganizacional, enquanto em outros, pode ser apropriado que o 16 17 programa de segurança de informações de uma organização tenha um escopo mais limitado. Por exemplo, uma política destinada a proteger as informações armazena- das em um sistema classificado ou de alto impacto será muito mais rigorosa do que a de uma política destinada a proteger um sistema considerado de baixo impacto; • Responsabilidades: Uma vez estabelecido o programa de segurança da informa- ção, seu gerenciamento é normalmente atribuído a um escritório recém-criado ou existente. As responsabilidades dos funcionários e escritórios em toda a organização também precisam ser abordadas. Esta seção da declaração de política, por exemplo, distinguiria entre as responsabilidades dos provedores de serviços de informação e os gerentes dos aplicativos que usam serviços. A política também estabeleceria escritó- rios de segurança operacional para os principais sistemas, particularmente aqueles de alto risco ou que são mais críticos para as operações organizacionais. Também pode servir como base para estabelecer a responsabilidade do empregado; • Conformidade: A política do programa geralmente aborda dois problemas de conformidade: » Conformidade geral para garantir o atendimento dos requisitos para estabelecer um programa e as responsabilidades atribuídas a vários componentes organiza- cionais. Muitas vezes, uma entidade de supervisão (por exemplo, o Inspetor-Geral) é responsável pelo monitoramento da conformidade, incluindo o quão bem a or- ganização está implementando as prioridades da administração para o programa. » O uso de penalidades especificadas e ações disciplinares. Como a política de segurança é um documento de alto nível, as penalidades específicas para várias infrações não são normalmente detalhadas aqui. Em vez disso, a política pode autorizar a criação de estruturas de conformidade que incluam violações e ações disciplinares específicas. Um aspecto importante do desenvolvimento da política de conformidade é lembrar que a violação da política pelo funcionário pode não ser intencional. Por exemplo, a não conformidade muitas vezes pode resultar de falta de conhecimento ou treinamento. A necessidade de obter orientação de um conselheiro legal apropriado é crítica quando se trata de questões envolvendo penalidades e ação disciplinar para indivíduos. A política não precisa reiterar as penalidades já previstas na lei, embora possam ser listadas se a política também for usada como documento de conscientização ou treinamento. Comp onentes Básicos da Política de Segurança Uma política específica do assunto pode ser dividida nos seguintes componentes: • Declaração do Problema: para formular uma política sobre um problema, o pro- prietário/administrador da informação define primeiro o problema com quaisquer termos, distinções e condições relevantes incluídos. Geralmente, é útil especificar o objetivo ou justificativa da política para facilitar a conformidade. Por exemplo, uma organização pode querer desenvolver uma política específica sobre o uso de “software não oficial”, que pode ser definida como qualquer software não aprovado, comprado, rastreado, gerenciado ou de propriedade da organização. Além disso, as distinções e condições aplicáveis podem, então, precisar ser incluídas em alguns 17 UNIDADE Segurança da Informação e Prevenção de Incidentes softwares, como o de software privado de propriedade de funcionários, mas apro- vado para uso no trabalho ou de propriedade e uso de outras empresas sob contra- to com a organização; • Declarações da Posição da Organização: uma vez que a questão é declarada e termos e condições relacionados são detalhados, esta seção é usada para indicar claramente a posição da organização (ou seja, a decisão da administração) sobre o assunto. Pelo exemplo anterior, isso significaria afirmar se o uso de software não oficial, conforme definido, é proibido em todos ou em alguns casos, se há outras diretrizes para aprovação e uso, ou se exceções caso a caso podem ser concedidas por quem e em que base; • Aplicabilidade: políticas específicas do problema também precisam incluir decla- rações de aplicabilidade. Isso significa esclarecer onde, como, quando, para quem e para que uma política se aplica. Por exemplo, pode ser que a política hipotética sobre software não oficial tenha a intenção de se aplicar apenas aos próprios recur- sos e funcionários locais da organização e não aos contratados com escritórios em outros locais. Além disso, a aplicabilidade da política pode precisar ser esclarecida no que se refere a funcionários que viajam entre locais diferentes, que trabalham em casa ou que precisam transportar e usar discos em vários locais; • Papéis e Responsabilidades: a atribuição de funções e responsabilidades também é geralmente incluída em políticas específicas da questão. Por exemplo, se a política permitir que os funcionários usem software não oficial de propriedade privada no trabalho com as aprovações apropriadas, a autoridade de aprovação que concede tal permissão precisaria ser declarada. (A política estipularia quem, por posição, tem essa autoridade.) Da mesma forma, precisaria ser esclarecido quem seria responsável por garantir que apenas software aprovado fosse usado em recursos do sistema organi- zacional e, possivelmente, para monitorar usuários em relação a software não oficial; • Conformidade: para alguns tipos de políticas, pode ser apropriado descrever in- frações inaceitáveis e as consequências de tal comportamento em maior detalhe. As penalidades podem ser explicitamente declaradas e consistentes com as políticas e práticas da equipe organizacional. Quando usados, podem ser coordenados com funcionários, escritórios e até mesmo com as unidades de negociação dos funcio- nários. Também pode ser desejável realizar tarefas em um escritório específico na organização com monitoramento de conformidade; • Pontos de Contato e Informações Suplementares: para qualquer política espe- cífica da questão, indique os indivíduos apropriados para contato na organização para obter mais informações, orientação e conformidade. Como as posições ten- dem a mudar com menos frequência do que os indivíduos que as ocupam, posições específicas podem ser preferíveis como o ponto de contato. Por exemplo, para alguns problemas, o ponto de contato pode ser um gerente de linha; para outros problemas, pode ser um gerente da instalação, um responsável pelo suporte técni- co, um administrador do sistema ou um representante do programa de segurança. Usando o exemplo acima mais uma vez, os funcionários precisariam saber se o ponto de contato para perguntas e informações procedurais seria seu superior ime- diato, um administrador do sistema ou um funcionário da segurança da informação. 18 19 Política Específica do Sistema As políticas específicas do programa e do problema são políticas abrangentes e de alto nível escritas para abranger todo o processo, a organização onde as políticas espe- cíficas do sistema fornecem informações e orientações sobre quais ações são permitidas em um sistema específico. Essas políticas são semelhantes às políticas específicas de problemas, pois estão relacionadas a tecnologias específicas em toda a organização. No entanto, as políticas específicas do sistema ditam as configurações de segurança apropriadas ao pessoal responsável pela implementação dos controles de segurança necessários para atender às necessidades de segurança das informações da organização. Para desenvolver um conjunto abrangente e coerente de políticas de segurança, os fun- cionários podem usar um processo de gerenciamento que deriva as regras de segurança das metas de segurança (FREITAS, 2018). Política de Segurança da Informação em 5 Passos, disponível em: https://youtu.be/nI1o-w4nKdc É útil considerar um modelo de dois níveis para a política de segurança do sistema: objetivos de segurança e regras de segurança operacional. Intimamenteligado e muitas vezes difícil de distinguir, no entanto, é a implementação da política em tecnologia. Se- melhante a políticas específicas de problemas, recomenda-se que as políticas específicas do sistema sejam revisadas conforme exigido pelo período de tempo definido pela orga- nização para garantir a conformidade com os procedimentos de segurança mais atuais. Objetivos de Segurança A primeira etapa no processo de gerenciamento é definir objetivos de segurança compatíveis com o risco para o sistema específico. Embora esse processo possa come- çar com uma análise da necessidade de integridade, confidencialidade e disponibilidade, ele não pode parar por aí. Um objetivo de segurança precisa ser específico, concreto, bem definido e declarado de tal forma que seja um objetivo claramente alcançável. As partes interessadas desempenham um papel importante no desenvolvimento de po- líticas abrangentes, mais práticas. Portanto, é imperativo lembrar que a política não é criada apenas pelo pessoal da administração (MANOEL, 2014). Regras de Segurança Operacional Depois que o gerenciamento determina os objetivos de segurança, as regras para gerenciar e operar um sistema podem ser identificadas e documentadas. Por exemplo, as regras podem definir modificações autorizadas, especificando indivíduos autorizados a tomar determinadas ações sob condições particulares com relação a classes específicas e registros de informações. O grau de especificidade necessário para a segurança ope- racional varia de sistema para sistema. Quanto mais detalhadas forem as regras, mais fácil será para os administradores determinarem quando ocorreu uma violação. Uma descrição detalhada também pode simplificar a aplicação da política de automação. 19 UNIDADE Segurança da Informação e Prevenção de Incidentes Além de decidir o nível de detalhamento, a administração determina o grau de forma- lidade na documentação da política específica do sistema. Mais uma vez, quanto mais formal for a documentação, mais fácil será aplicar e seguir a política. Por exemplo, uma prática útil seria redigir uma declaração dos privilégios de acesso para um sistema, bem como a atribuição de responsabilidades de segurança. As regras para o uso do sistema e as consequências do descumprimento também devem ser abordadas. Documentar a política de controle de acesso pode facilitar substancialmente o acompanhamento e aplicação. A documentação de uma política típica contém uma declaração explicando o motivo do desvio da política padrão da organização. Implementação de Políticas Específicas do Sistema A tecnologia desempenha um papel importante na aplicação de políticas específicas do sistema, mas não é a única responsável por atender às necessidades de segurança de uma organização. Quando a tecnologia é usada para aplicar políticas, é importante considerar métodos manuais. Por exemplo, os controles técnicos baseados em sistema podem ser usados para limitar a impressão de relatórios confidenciais a uma impressora específica. No entanto, as medidas de segurança físicas correspondentes também teriam que estar em vigor para limitar o acesso à saída da impressora ou o objetivo de seguran- ça desejado não seria alcançado. Os métodos tecnológicos frequentemente usados para implementar a política de segurança do sistema provavelmente incluem o uso de controles de acesso lógico. Al- guns exemplos de controles de acesso seriam: separação de tarefas, que é um controle projetado para lidar com o potencial de abuso de privilégios autorizados e ajudar na redução do risco de atividade maléfica sem conluio; privilégio mínimo, que permite somente acesso autorizado para usuários ou processos agindo em nome dos usuários que é necessário para realizar tarefas atribuídas de acordo com as missões organiza- cionais e funções de negócios. No entanto, existem outros meios automatizados de impor ou dar suporte à diretiva de segurança que normalmente complementam os controles de acesso lógico. Por exemplo, o software de detecção de intrusões pode alertar os administradores do sistema sobre atividades suspeitas ou até tomar medidas para interromper essa ativi- dade. A imposição baseada em tecnologia da política de segurança do sistema tem van- tagens e desvantagens. Um sistema, adequadamente projetado, programado, instalado, configurado e mantido, reforça consistentemente a política dentro do sistema, embora nenhum sistema possa forçar os usuários a seguir todos os procedimentos. Os contro- les gerenciais também desempenham um papel importante na aplicação das políticas, portanto, negligenciá-los seria prejudicial para a organização. Além disso, desvios da política podem às vezes ser necessários e apropriados; tais desvios podem ser difíceis de implementar com alguns controles técnicos. Essa situação ocorre com frequência se a implementação da política de segurança for muito rígida, o que pode ocorrer quando os analistas do sistema não conseguem antecipar contingências e se preparar para elas (FREITAS, 2018). 20 21 Interdependências A Política de Interdependências está relacionada a muitos dos tópicos abordados nas regras de desenvolvimento de uma boa política de segurança: • Gerenciamento do Programa: a política é usada para estabelecer o programa de segurança de informações de uma organização e, portanto, está intimamente ligada ao gerenciamento e à administração do programa. A política específica do programa e do sistema pode ser estabelecida em qualquer uma das áreas cobertas. Por exemplo, uma organização pode desejar ter uma abordagem consistente do planejamento de contingência para todos os seus sistemas e emitir uma política de programa apropriada para isso. Por outro lado, pode decidir que seus sistemas são suficientemente independentes uns dos outros para que os proprietários do sistema possam lidar com incidentes individualmente; • Controles de Acesso: a política específica do sistema é geralmente implementada usando controles de acesso. Por exemplo, pode ser uma decisão política que ape- nas duas pessoas em uma organização estejam autorizadas a executar um progra- ma de impressão de cheques. Os controles de acesso são usados pelo sistema para implementar ou impor essa política; • Links para Políticas Organizacionais mais Amplas: é importante entender que as políticas de segurança da informação são frequentemente extensões de outras políticas organizacionais. Suporte e coordenação deve ser recíproca entre segu- rança da informação e outras políticas organizacionais para minimizar a confusão. Por exemplo, a política de e-mail de uma organização provavelmente seria relevan- te para sua política mais ampla de privacidade. Considerações Sobre Custos Diversos custos potenciais estão associados ao desenvolvimento e implementação de políticas de segurança da informação. Os custos mais significativos são implementar a política e abordar seus impactos subsequentes na organização, seus recursos e pessoal. O estabelecimento de um programa de segurança da informação, realizado por meio de políticas, provavelmente não tem um custo insignificante. Outros custos podem ser aqueles incorridos através do processo de desenvolvimento de políticas. Numerosas ati- vidades administrativas e de gerenciamento podem ser necessárias para redigir, revisar, coordenar, esclarecer, disseminar e divulgar políticas. Em muitas organizações, a im- plementação bem-sucedida de políticas pode exigir pessoal e treinamentos adicionais. Em geral, os custos de uma organização para o desenvolvimento e implementação de políticas de segurança da informação dependerão de quão extensa a mudança deve ser para que a administração decida que um nível aceitável de risco foi atingido. O custo de proteger informações e sistemas é inevitável. O objetivo é garantir que as proteções de segurança sejam proporcionais ao risco, estabelecendo um equilíbrio entre as proteções necessárias para atender aos objetivos de segurança da organização e ocusto de tais proteções (FERNANDES, 2018). 21 UNIDADE Segurança da Informação e Prevenção de Incidentes Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Livros Fundamentos do Gerenciamento de Serviços de TI: Preparatório para a certificação ITIL® Foundation Edição 2011 FREITAS, M. A. S. Fundamentos do Gerenciamento de Serviços de TI: Preparatório para a certificação ITIL® Foundation Edição 2011. 2. ed. São Paulo: Brasport, 2018. Governança de Segurança da Informação MANOEL, S. Governança de Segurança da Informação. 1. ed. Brasport: São Paulo, 2014. Fundamentos de Segurança da Informação com Base na ISO 27001 e na ISO 27002 HINTZBERGEN, J., HINTZBERGEN, K., SMULDERS, A., BAARS, H. Fundamentos de Segurança da Informação com Base na ISO 27001 e na ISO 27002. 3. ed. São Paulo: Pearson, 2018. CCNP Routing and Switching Official Cert Library KEVIN, W, LACOSTE, R; HUCABY, D. CCNP Routing and Switching Official Cert Library. Indianápolis – EUA: Editora Cisco Press, 2015. 22 23 Referências FERNANDES, A. A.; ABREU, V. F. Implantando a Governança de TI. 4. ed. São Paulo: Brasport, 2018. NIELES, M; DEMPSEY, K; PILLITERI, V. NIST - An Introduction to Information Security, Revision 1, NIST, EUA, 2017. OLIVEIRA, B. S. Métodos Ágeis e Gestão de Serviços de TI. 1. ed. São Paulo: Brasport, 2018. OLIVEIRA, F. B. Tecnologia da Informação e Comunicação. 1. ed. São Paulo: Pearson, 2012. 23
Compartilhar