Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA DE SISTEMAS DA INFORMAÇÃO Andressa Dellay Agra Estrutura de uma política de segurança de informação Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: Descrever o que é uma política de segurança de informação (PSI) e sua importância. Explicar a composição básica para uma PSI. Definir modelos predefinidos para uma PSI. Introdução A segurança da informação está diretamente relacionada à proteção de um conjunto de informações, cuja necessidade de investimento não para de crescer. Para manter bons costumes e regras dentro de corporações, com a finalidade de manter seguras todas as suas informações, é preciso criar um manual de regras o qual usuários possam seguir. Esse manual contém o que chamamos de política de segurança da informação. Conceito de PSI e sua importância A política de segurança da informação impõe restrições sobre quais ações ou sujeitos em um sistema pode-se fazer a respeito de objetos desse sistema, a fi m de atingir objetivos específi cos de segurança. A política de segurança da informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, comunicado a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando de eventuais mudanças. E é o sistema de gestão de segurança da informação (SGSI) que garantirá a viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente necessitam delas para realizar suas funções dentro da empresa (FONTES, 2008). Para elaborar uma PSI, deve-se levar em consideração a NBR ISO/IEC 27001:2005, uma norma de códigos de práticas para a gestão de segurança da informação, na qual podem ser encontradas as melhores práticas para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. A ISO 27001 é uma norma de gestão que define os requisitos para a empresa ter e administrar um SGSI certificado. Ela considera os ativos da companhia e as necessidades da área de negócio para definir a melhor maneira de administrar o sistema. Com isso, todas as responsabilidades são definidas e os objetivos estabelecidos, medidos, analisados e auditados internamente. Entre seus benefícios, estão: redução de risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos; oportunidade de identificar e corrigir pontos fracos; a segurança da informação passa a ser responsabilidade da alta gestão da companhia; permite uma revisão independente do sistema de gestão da segurança da informação; garante maior confiabilidade aos parceiros e clientes; aumenta a conscientização interna sobre segurança; combina recursos com outros sistemas de gestão; possibilita medir o sucesso do sistema. Fonte: Costa (2017, documento on-line). Basicamente, a PSI é um manual de procedimentos que descreve como os recursos de tecnologia da informação (TI) da empresa devem ser protegidos e utilizados, representando o pilar da eficácia da segurança da informação. Se não existirem regras preestabelecidas, a segurança desejada torna-se inconsis- tente e inúmeras vulnerabilidades podem surgir. A política tende a estabelecer regras e normas de conduta com o objetivo de diminuir a probabilidade da ocorrência de incidentes que provoquem a indisponibilidade do serviço, furto ou até mesmo a perda de informações. Em geral, as políticas de segurança são construídas a partir das necessidades do negócio e eventualmente aperfeiçoadas pela experiência do gestor. Segundo Freitas e Araujo (2008), o intervalo médio utilizado para a revisão da política é de 6 meses a 1 ano, porém deve-se realizar uma revisão sempre Estrutura de uma política de segurança de informação2 que forem identificados fatos novos, não previstos na versão atual capazes de impactar na segurança das informações da organização. A PSI deve estabelecer como serão acessadas as informações de todas as formas possíveis. A política deve especificar os mecanismos pelos quais esses requisitos podem ser alocados. Tem como objetivo manter os pilares da segurança da informação, como: confidencialidade — segundo a NBR ISSO/IED 27002:2005, é a ga- rantia de que a informação é acessível somente para pessoas autorizadas a terem acesso; integridade — segundo Dantas (2011), a garantia da integridade consiste em permitir que a informação não seja modificada ou destruída sem autorização, seja legítima e permaneça persistente; disponibilidade — segundo a NBR ISSO/IED 27002:2005, trata-se da garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. A ISO 27002 estabelece um código de melhores práticas para apoiar a implantação do SGSI nas organizações e tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. A ISO/IEC 27002 funciona como um guia completo de implementação, em que descreve como os controles devem ser estabelecidos. Tem como base uma avaliação dos riscos dos ativos mais importantes da empresa. São benefícios da aplicação da norma: maior controle de ativos e informações estratégicas; identificação e correção de pontos fracos do sistema; diferencial competitivo para clientes que valorizam a conformidade com normas internacionais; melhor organização dos processos; redução de custos com a prevenção de incidentes de segurança da informação; conformidade com a legislação e outras regulamentações. Fonte: Costa (2017, documento on-line). 3Estrutura de uma política de segurança de informação Composição básica daa PSI Conforme Campos (2007), “[...] atualmente, a PSI é adotada em grande parte das organizações em todo o mundo, inclusive no Brasil. Mesmo aquelas empresas que ainda não têm uma política efetiva reconhecem a necessidade de elaborar e implementar uma”. Um componente importante de um framework consiste em permitir que projetistas definam uma política de segurança, um conjunto de regras bem definidas que incluem os seguintes componentes: sujeitos — os agentes que interagem com o sistema, que podem ser definidos em termos de indivíduos específicos ou de papéis ou cate- gorias que grupos de indivíduos consigam representar dentro de uma organização. Indivíduos podem ser identificados por seus nomes ou cargos, como presidente, diretor ou gerente. Grupos podem ser definidos usando termos como usuários, administradores, professores, diretores e gerentes. Essa categoria também inclui atacantes e visitantes; objetos — os recursos de informação e computacionais que uma política de segurança deve proteger e administrar. Exemplos de informação incluem documentos críticos, arquivos e bancos de dados, e recursos computacionais servidores, estações de trabalho e software; ações — as coisas que os sujeitos podem ou não fazer com relação aos objetos. Exemplos incluem leitura e escrita de documentos, atualização de software em um servidor web e acesso aos conteúdos de um banco de dados; permissões — mapeamentos entre sujeitos, ações e objetos, que esta- belecem claramente quais tipos de ações são permitidas ou proibidas; proteções — as características específicas de segurança ou regras incluídas na política para ajudar a atingir determinados objetivos de segurança, como confidencialidade, integridade, disponibilidade ou anonimato. Alguns autores da área de segurança da informação, como Freitas e Araujo (2008), defendem que se deva formar um comitê de segurança da informação, constituído por profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutura, recursos humanos, etc. No caso, o comitê deve ser responsável por divulgar e estabelecer os procedimentos de segurança, reunindo-se periodicamente com o objetivo de manter a segurança em todas as áreas da organização. Estruturade uma política de segurança de informação4 A política deve ser escrita de maneira que todos possam entendê-la, desde uma pessoa mais leiga até um profissional da área específica. Todos os cola- boradores precisam receber treinamentos adequados. Conforme Fontes, para elaborar uma política de segurança e seus regula- mentos complementares, devemos considerar as seguintes etapas. Inicialização do projeto — nessa etapa, descreve-se o projeto e justifica- -se e declara-se o seu objetivo. Depois, é preciso definir o escopo do projeto, limitado em relação à abrangência dos documentos gerados e/ou em relação ao detalhamento do texto destes documentos. Nesta etapa, é importante que sejam registradas as restrições, isto é, os fatores que podem impactar o projeto e impedir a construção do produto final. Definição das premissas assumidas pelo projeto — premissas são fa- tos, situações ou compromissos tomados como existentes, isto é, que acontecerão. Desenvolvimento do projeto — deve-se realizar um levantamento do que existe na organização ou no grupo de organizações em relação ao tema trabalhado para a definição dos regulamentos. Desenvolvimento dos regulamentos — com base nos levantamentos e nas reuniões de trabalho, o gestor da segurança da informação precisa desenvolver os regulamentos. Após a escrita do texto inicial, é necessário e conveniente que os participantes das reuniões de trabalho o revisem, considerando cada documento. Essa etapa poderá significar não apenas uma revisão, mas também várias revisões e novas reuniões de trabalho. Concordância dos documentos — todos os documentos gerados devem estar em conformidade com o padrão dos documentos de regulamen- tação da organização. Caso a organização não tenha um padrão, o profissional da área de segurança da informação, deverá definir um padrão para as políticas e normas de segurança da informação. Entrega, comunicação e treinamento do produto — é necessário realizar formalmente a entrega do projeto, pois, para regras que legislarão in- ternamente a organização, é importante a data da implantação de cada um dos regulamentos. A partir da data de entrega, as regras valerão para todos os usuários da informação da organização. Além disso, é necessário que todos saibam das novas regras, incluindo um treinamento para repassar as regras. Definição dos processos de manutenção e atualização — nessa etapa, define-se como acontecerão a manutenção e a atualização das políticas e normas de segurança da informação. É necessária uma documentação 5Estrutura de uma política de segurança de informação mais detalhada, indicando quem é o responsável pela atualização e em que situações específicas deve acontecer uma manutenção. Definidos os processos de manutenção e atualização das políticas e das normas de segurança da informação, esse projeto pode se encerrar. Evidentemente, nesse momento, um novo projeto contínuo começará: o de atualização e manutenção dos regulamentos. Ainda, segundo Fontes, deve haver alguns blocos de informações com o objetivo de melhorar o entendimento da PSI (Figura 1), conforme descrito a seguir. Figura 1. Estrutura de um documento de regulamento em segurança da informação. Fonte: Fontes (2012). Escopo Regras Responsabilidade Cumprimento Definições/glossário Objetivo/justificativa Objetivo do documento — nesse bloco, indicam-se o objetivo do do- cumento, o que é o documento e o que a organização deseja comunicar com esse documento. Além disso, devem ser alinhadas e indicadas a aderência desse documento a outros regulamentos, legislação, normas e estruturas de tratamento de informações e projetos. Pode-se, também, indicar as razões da existência da política ou da norma. Escopo do documento — nesse bloco, deve-se indicar os ambientes físicos, os ambientes lógicos, os tipos de usuários, as regiões geográficas ou outras definições que indicam os limites da aplicação do documento e das regras. Esse bloco aponta para quem e para quais ambientes organizacionais as regras serão aplicadas e exigidas. Definições ou glossário — nesse bloco, deverão estar definidos os termos específicos, as abreviaturas, os termos técnicos, os nomes-siglas Estrutura de uma política de segurança de informação6 de entidades e áreas organizacionais, etc. No caso de nomenclaturas que não sejam de uso comum em vários níveis de usuários, deve haver uma explicação para que todos, inclusive os leigos, consigam compreendê-las. Regras — nesse bloco, teremos as orientações, as regras e a organiza- ção deseja que todos os usuários cumpram. Esse bloco é considerado a essência do documento. Aqui, a organização indicará o que deve ser feito, o que é obrigatório, o que não se pode fazer e os princípios que se deseja seguir. O importante é que as regras não deixem dúvidas para os usuários. Responsabilidades — nesse bloco, devem ser definidas as respon- sabilidades referentes ao documento, ou seja, indicar o responsável pela atualização, a revisão e a manutenção do texto do regulamento; pelo treinamento necessário para que os usuários consigam cumprir o regulamento; pela divulgação do texto para os usuários; e por outras ações necessárias para garantir que o documento será sempre verdadeiro, atualizado, passível de cumprir e de conhecimento de todos. Cumprimento — nesse bloco, devem estar explícitas as possíveis penalidades caso o usuário não cumpra adequadamente as regras des- critas no regulamento. É preciso, também, indicar o procedimento do usuário em caso de erro, dúvidas ou em situações que não estejam previstas no documento. Modelos predefinidos para uma PSI Segundo Goodrich e Tamassia (2013), um modelo de segurança consiste em uma abstração que fornece uma linguagem conceitual para administradores especifi carem políticas de segurança. Geralmente, modelos de segurança de- fi nem possíveis hierarquias de acesso ou direito de modifi cação dos membros de uma organização, de modo que sujeitos em uma organização consigam facilmente receber direitos específi cos com base na posição desses direitos na hierarquia. 7Estrutura de uma política de segurança de informação Podemos citar como exemplo de direitos específicos com base na posição de direi- tos e hierarquias as classificações militares de direitos de acesso para documentos, fundamentando-se em conceitos como “não confidencial”, “confidencial”, “secreto” e “altamente secreto”. As abstrações do exemplo fornecem aos escritores uma notação abreviada para definir direitos de acesso. Sem elas, políticas de segurança seriam muito longas. É muito comum, por exemplo, que um gerente tenha todos os mesmos direitos de acesso que seus colaboradores e mais alguns. Uma PSI poderia descrever isso com detalhes ou simplesmente definir os direitos de um gerente em termos de um modelo de segurança que automaticamente inclui os direitos dos subordinados em uma lista de gerentes usando uma hierarquia. Controle de acesso arbitrário e obrigatório Dois modelos de controle de acesso mais usados são os de controle de acesso arbitrário e obrigatório. O controle de acesso arbitrário (DAC) refere-se a um esquema em que os usuários recebem a capacidade de determinar as permissões que governam o acesso a seus próprios arquivos. Em geral, usa os conceitos de usuários e de grupos e permite que usuários estabeleçam medidas de controle de acesso em termos dessas categorias. Além disso, possibilita que um usuário conceda a outros o mesmo privilégio sobre recursos. A maioria dos softwares adota alguma variante do esquema DAC para controle de acesso a seus recursos. Tanto o sistema operacional Linux quanto o Windows possibilitam que o usuário especifique permissões de arquivo e diretório por meio de listas de controle de acesso. Essas permissões afetam os direitos que outros usuários têm em relação a esses arquivos. Estrutura de uma política de segurança de informação8 O controle de acesso obrigatório é um esquemamais restritivo, que não possibilita que um usuário defina permissões sobre arquivos, qualquer que seja o proprietário. Nesse caso, as decisões são tomadas por um administrador central de política. Cada regra de segurança consiste em: um sujeito, que representa a parte que tenta obter acesso; um objeto, que se refere ao recurso sendo acessado; e uma série de permissões que definem a extensão em que esse recurso pode ser acessado. O Security-Enhanced Linux (SELinux) incorpora controle de acesso obrigatório como um meio de definir explicitamente as permissões para minimizar problemas de abuso e configuração inadequada. Modelos de controle de acesso obrigatório tentam evitar a transferência de informação não permitida pelas regras. Gerência de confiança Um sistema de gerenciamento de confi ança é um framework formal para especifi car uma política de segurança em uma linguagem precisa, com um mecanismo para assegurar o cumprimento da política especifi cada. Portanto, consiste em dois componentes principais: uma linguagem de política e um verifi cador de conformidade. Essa linguagem e os componentes de conformi- dade geralmente envolvem regras que descrevem quatro conceitos: KeyNote O sistema KeyNote é uma linguagem que especifi ca termos de política de segurança da informação. Além de implementar os termos defi nidos, defi ne uma aplicação como um programa ou sistemas que usam KeyNote. Um valor de conformidade política (PCV) refere-se à resposta emitida pelo sistema em questão. Para a requisição de um principal para realizar alguma ação, indica se a ação requisitada está de acordo com as políticas existentes. Para usar o KeyNote, uma aplicação consulta o sistema quando um prin- cipal requisita uma ação, incluindo na consulta as políticas adequadas e as credenciais. A ação é descrita usando um conjunto de pares atributo-valor, 9Estrutura de uma política de segurança de informação conhecidos como conjuntos de atributos da ação que ilustra as implicações de segurança dessa ação. Então, o KeyNote responde com um PCV indicando se a ação deve ser permitida ou não, e a aplicação se comporta de acordo com essa questão. Em suma, o KeyNote interpreta se uma dada ação deve ser permitida ou não de acordo com as políticas fornecidas, sendo de responsabilidade da aplicação invocar um KeyNote adequadamente e interpretar corretamente suas respostas. A seguir, veja um exemplo de sistema de gerência de confiança. Alice tem credenciais válidas suficientes para a ação requisitada, em relação às políticas especificadas, mas Bob não (Figura 2). Figura 2. Sistema de gerência de confiança. Fonte: Goodrich e Tamassia (2013). Principais Verificador de conformidade Credenciais Bob Alice Ações Ler Escrever Executar Delegar Transacionar Reportar Divulgar ... Políticas Estrutura de uma política de segurança de informação10 XACML A linguagem XACML (Extensible Access Control Markup Language) foi divulgada em 2009. A XACML alavanca a linguagem XML (Extensible Markup Language) para defi nir políticas de segurança descrevendo como estas devem ser cumpridas. Assim como o KeyNote, XACML inclui todas as características tradicionais de gerência de confi ança: um principal é chamado de sujeito, o qual pode requisitar a realização de ações sobre um recurso. Um ponto de administração de política gerencia políticas de segurança; um ponto de decisão de política é responsável pela emissão de autorizações, de forma análoga à de emissão de PCV em KeyNote; um ponto de cumprimento de política requisita acesso como representando de um principal e se comporta de acordo com a resposta PDP; e um ponto de informação de política fornece informação adicional relacionada à segurança. A XACML também inclui uma abordagem para delegação que permite às partes conceder direitos a outras partes sem um administrador central de política. Isso é possível porque os direitos de delegar privilégios são mantidos independentemente dos direitos de acesso. CAMPOS, A. Sistemas de segurança da informação. 2. ed. Florianópolis: Visual Books, 2007. COSTA, S. O que são ISO 27001 e 27002 e como elas podem ajudar a sua empresa? Any Consulting, 2 mar. 2017. Disponível em: <https://www.anyconsulting.com.br/o-que- sao-iso-27001-e-iso-27002/>. Acesso em: 30 nov. 2018. DANTAS, M. Segurança da informação: uma abordagem focada em gestão de riscos. Olinda: Livro Rápido, 2011. FONTES, E. Políticas e normas para segurança da informação. Rio de Janeiro: Brasport, 2012. FONTES, E. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. FREITAS, F.; ARAUJO, M. Políticas de segurança da informação: guia prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna, 2008. GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores. Porto Alegre: Bookman, 2013. Leitura recomendada OLIVEIRA, W. J. Dossiê hacker. São Paulo: Digerati Books, 2006. 11Estrutura de uma política de segurança de informação Conteúdo:
Compartilhar