Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA DE SISTEMAS DE INFORMAÇÃO Andressa Dellay Agra Normas vigentes sobre segurança da informação Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: Reconhecer a importância da Norma ISO/IEC 27001. Descrever a norma ISO/IEC 27001 sobre gestão de segurança da informação. Identificar os requisitos para a certificação. Introdução Manter uma organização a salvo de ataques e qualquer outro tipo de vulnerabilidades é de interesse mundial. De fato, a implementação de políticas de segurança da informação nas organizações é uma das normas mais importante para manter a informação segura. A ISO 27001 é um padrão de referência internacional para a segurança da informação, que indica como deve ser feita a segurança e como implementar essa norma em organizações, por meio de políticas que precisam ser seguidas para manter a organização livre de inseguranças. Importância da norma ISO/IEC 27001 A norma ISO 27001, o padrão e a referência internacional para a gestão da segurança da informação, deriva de um conjunto anterior de normas. Trata- -se de uma norma internacional publicada pela International Standardization Organization (ISO) e descreve como gerenciar a segurança da informação em uma organização. A primeira versão dessa norma foi publicada em 2005 e desenvolvida com base na Norma Britânica BS 7799-2. E sua versão mais recente foi publicada em 2013, com o título completo de ISO/IEC 27001:2013. O objetivo da ISO 27001 consiste em disponibilizar um conjunto de re- quisitos, processos e controles à segurança da informação, diminuindo os riscos das organizações. Essa norma pode ser implementada em qualquer tipo de organização, pois provê metodologia para a implementação da gestão da segurança da informação naquelas de pequeno, médio e grande porte. Seu foco é proteger os pilares da segurança da informação — a confi- dencialidade, a integridade e a disponibilidade —, a partir da identificação dos potenciais problemas com a informação dentro de uma organização e, posteriormente, da definição das necessidades que devem ser atendidas para prevenir problemas que envolvam a informação. Dessa forma, a principal filosofia da ISO 27001 se baseia na gestão de riscos, ou seja, descobrir onde os riscos estão e, então, tratá-los sistematicamente. Em geral, os controles implementados estão na forma de políticas, procedi- mentos e implementações técnicas. A maioria das organizações já tem redes, softwares e usuários, mas sua utilização está sendo feita de forma insegura — dessa forma, a maioria das implementações da ISO 27001 será sobre definir as regras organizacionais necessárias de modo a prevenir brechas de segurança. Conforme o site Advisera Expert Solutions (KOSUTIC, 2018), pode-se citar quatro benefícios de negócio essenciais que uma organização pode atingir com a implementação da ISO 27001: Estar em conformidade com requisitos legais — existem cada vez mais leis, regulamentações e requisitos contratuais relacionados à se- gurança da informação. A ISO 27001 dispõe de uma metodologia para estar em conformidade com todos esses requisitos. Obter vantagem de marketing — se a organização obtém a certifica- ção e seus competidores não, pode ter vantagem sobre eles na visão de clientes são à questão de manter suas informações seguras. Reduzir custos — a principal filosofia da ISO 27001 consiste em pre- venir incidentes de segurança. Ao fazê-lo, a organização economizará uma quantidade significativa de dinheiro. MMelhorar a organização — em geral, organizações que crescem rápido não têm tempo para fazer uma pausa e definir seus processos e procedimentos – como uma das consequências, muito frequentemente os funcionários não sabem o que precisa ser feito, quando e por quem. A implementação da ISO 27001 ajuda a resolver tal situação porque encoraja as organizações a escreverem seus principais processos (mesmo aqueles não relacionados à segurança), possibilitando que os seus fun- cionários percam menos tempo. Normas vigentes sobre segurança da informação2 Descrição da norma ISO/IEC 27001 A norma ISO/IEC 27001 especifi ca os requisitos referentes a um sistema de gestão de segurança da informação, possibilitando que as organizações avaliem os seus riscos e implementem os procedimentos necessários para a preservação da confi dencialidade, integridade e disponibilidade da informação. Tem como principal objetivo impedir que a informação seja utilizada por terceiros não desejados ou perdida de forma irremediável. A ISO/IEC 27001 divide-se em 11 seções e Anexo A — as seções de 0 a 3 são introdutórias (e não obrigatórias para a implementação), enquanto as de 4 a 10 são obrigatórias, ou seja, todos os seus requisitos devem ser implementa- dos em uma organização se ela deseja estar em conformidade com a norma. Controles do Anexo A devem ser implementados apenas se declarados como aplicáveis na Declaração de Aplicabilidade. Seção 0: Introdução — explica o propósito da ISO 27001 e sua com- patibilidade com outras normas de gestão. A norma sugere a adoção de uma abordagem de processo para um SGSI, ou seja, que a organização deve identificar e gerenciar os processos envolvidos em um SGSI, bem como reconhecer suas interações. Além disso, a ABNT NBR ISO/IEC 27001 adota o ciclo denominado PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um SGSI. O PDCA é uma ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas. Seção 1: Escopo — explica que a norma é aplicável a qualquer tipo de organização. A ABNT NBR ISO/IEC 27001 tem como objetivo espe- cificar requisitos para o estabelecimento, a implementação, a operação, o monitoramento, a análise crítica, a manutenção e a melhoria de um SGSI. Os requisitos são genéricos de modo a permitir sua aplicação a quaisquer organizações, independentemente do tipo, do tamanho e da natureza. Qualquer exclusão de controles considerada necessária para satisfazer os critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles forem excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização e/ou responsabilidade de prover segurança da informação que atenda aos requisitos de segurança determina- dos pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis (ABNT, 2006, p. 2). 3Normas vigentes sobre segurança da informação Seção 2: Referência normativa — refere-se a ISO/IEC 27000 como uma norma na qual termos e definições são dados. A norma ABNT NBR ISO/IEC 17799:2005 é referenciada como indispensável para a aplicação da norma ABNT NBR ISO/IEC 27001. Contudo, a ABNT NBR ISO/IEC 17799:2005 foi cancelada e substituída pela ABNT NBR ISO/IEC 27002. Seção 3: Termos e definições — são especificados termos e definições, como impacto, riscos de segurança da informação, ação de evitar o risco, estimativa de riscos, identificação de riscos e redução do risco. Seção 4: Contexto da organização — esta seção faz parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos para o en- tendimento de assuntos externos e internos, partes interessadas e seus requisitos, e a definição do escopo do SGSI. O que é o ciclo PDCA? Para aqueles que não conhecem o ciclo PDCA (Figura 1), trata-se de um conceito desenvolvido há quase 60 anos por William Edwards Deming. Consiste nas seguintes etapas: Planejar (Plan) — antes de começar a implementar qualquer coisa, deve-se saber exatamente de que precisa e o que quer atingir (objetivos); Fazer (Do) — uma vez que você sabe o que quer atingir, pode começar a imple- mentar sua segurança da informação, continuidade de negócio, procedimentos de qualidade ou o que quer que seja o focoda norma ISO abordada; Checar (Check) — para se ter certeza de que o planejamento foi realizado, é necessário monitorar o sistema e medir se atingiu seus objetivos — esta é a fase de verificação; Agir (Act) — finalmente, se e quando perceber que os objetivos não foram atingi- dos, ou seja, não é aquilo que se planejou, é necessário cobrir a lacuna nesta fase. Normas vigentes sobre segurança da informação4 Figura 1. Ciclo PDCA aplicado aos processos de um sistema de gestão de segurança da informação. Fonte: Adaptada de Faria (2010). Estabelecer SGSI Monitorar e analisar criticamente SGSI Implementar e operar SGSI Manter e melhorar SGSI Plan Check Do Act Partes interessadas Expectativas e requisitos de segurança da informação Partes interessadas Segurança da informação gerenciada Seção 5: Liderança — esta seção integra a etapa de planejamento (Plan) do ciclo PDCA e define as responsabilidades da alta direção, estabelecendo papéis e responsabilidades, além do conteúdo da política de segurança da informação de alto nível, como: ■ garantir o estabelecimento dos planos e objetivos do SGSI; ■ definir os papéis e responsabilidades estabelecidos pela segurança da informação; ■ comunicar a organização sobre a importância do atendimento dos objetivos de segurança da informação; ■ prover recursos suficientes para o SGSI; ■ definir critérios para a aceitação de riscos e dos níveis de riscos aceitáveis; ■ garantir a execução das auditorias internas e da realização de análises críticas pela direção. Seção 6: Planejamento — parte da etapa de planejamento (Plan) do ciclo PDCA, define os requisitos para avaliação de risco, tratamento de risco, declaração de aplicabilidade e plano de tratamento de risco, além dos objetivos de segurança da informação. Seção 7: Apoio — integrante da etapa de planejamento (Plan) do ciclo PDCA, define requisitos de disponibilidade de recursos, competências, conscientização, comunicação e controle de documentos e registros. 5Normas vigentes sobre segurança da informação Seção 8: Operação — parte da etapa execução (Do) do ciclo PDCA, define a implementação da avaliação e do tratamento de risco, assim como controles e outros processos necessários para atingir os objetivos de segurança da informação. Seção 9: Avaliação do desempenho — faz parte da etapa verificação (Check) do ciclo PDCA e define requisitos para o monitoramento, a medição, a análise, a avaliação, a auditoria interna e a análise crítica pela direção. Seção 10: Melhoria — integrante da etapa de atuação (Act) do ciclo PDCA, define requisitos para não conformidades, ações corretivas e melhoria contínua. Anexo A — disponibiliza um catálogo de 114 controles (salvaguardas) distribuídos em 14 seções (seções de A.5 até A.18). A respeito da Seção 4 — Contexto da Organização, serão detalhadas algumas parti- cularidades, conforme descrito a seguir. Estabelecer um SGSI (Plan) Compreende toda a preparação necessária para a implementação do SGSI na organização: ■ definir o escopo (abrangência) do SGSI — consideram-se as características do negócio, a organização, sua localização, os ativos e a tecnologia. Exclusões de escopo deverão ser justificadas, se houver; ■ definir uma política de SGSI — deve conter princípios para ações relacionadas à segurança da informação, sendo aprovada pela direção; ■ definir uma metodologia para identificação, análise e avaliação de riscos, bem como opções de tratamento desses riscos: 1. Requisitos identificados para o negócio. 2. Identificação de ativos. 3. Ameaças, vulnerabilidades e impactos desses riscos aos ativos. 4. Critérios e níveis para aceitação de riscos (consideram-se os impactos para o negócio). 5. Avaliação da probabilidade real da ocorrência. 6. Estimativa de níveis de riscos, os quais ou serão aceitos ou tratados. ■ selecionar objetivos de controle e quais controles serão utilizados para tratar os riscos. Obter aprovação da direção dos riscos propostos e autorização para implementar e operar o SGSI; Normas vigentes sobre segurança da informação6 ■ preparar a declaração de aplicabilidade — fornece um resumo das decisões relativas ao tratamento de riscos (lista dos objetivos de controle e controles selecionados e atualmente implementados, bem como qualquer um que tenha sido excluído, devidamente justificado). Implementar e operar um SGSI (Do) Compreende o funcionamento do SGSI na organização: elaborar e implementar um plano de tratamento de riscos — identificação da ação apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança; implementar controles selecionados anteriormente para atender aos objetivos de controle; definir a medição da eficácia dos controles e as medidas que devem ser utilizadas para avaliação da eficácia; implementar programas de conscientização e treinamento; gerenciar operações e recursos para o SGSI; implementar procedimentos e outros controles para detectar e responder pron- tamente a incidentes de segurança da informação. Monitorar e analisar criticamente um SGSI (Check) Por meio dessa fase, são verificados o desempenho e a eficácia do SGSI na organização: executar procedimentos de monitoramento e análise crítica para: 1. Detectar erros. 2. Tentativas, violações de segurança e incidentes. possibilitar à direção verificar se as atividades designadas a pessoas ou implemen- tadas via tecnologia são executadas conforme o esperado; verificar se as ações tomadas para solucionar violações foram eficazes; realizar regularmente análises críticas da eficácia do SGSI, considerando-se re- sultados das auditorias de SGSI, incidentes, resultados das medições de eficácia, sugestões, etc.; medir a eficácia dos controles; realizar uma análise crítica periódica das avaliações de riscos para verificar e con- siderar mudanças ocorridas ao longo do tempo; realizar auditorias internas periódicas do SGSI; realizar periodicamente a análise crítica do SGSI pela direção; atualizar planos de segurança conforme resultados obtidos no monitoramento e na análise crítica; registrar eventos e ações capazes de impactar na eficácia ou no desempenho do SGSI. Manter e melhorar um SGSI (Act) Essa fase enfatiza a manutenção e o aprimoramento contínuo do SGSI da organização: implementar melhorias identificadas no SGSI; executar ações preventivas e corretivas aplicando-se as lições aprendidas de outras organizações e/ou advindas da própria experiência organizacional; comunicar ações e melhorias para as partes interessadas; garantir que as melhorias realmente estejam atingindo os objetivos pretendidos. 7Normas vigentes sobre segurança da informação Requisitos para certificação Como outras normas do sistema de gestão ISO, a certifi cação ISO/IEC 27001 é possível, mas não obrigatória. Algumas organizações optam somente por implementar esses standards internacionais, a fi m de se benefi ciar das melhores práticas que essas normas especifi cam. Existem duas formas de certificação para a ISO 27001: a individual e para organizações.Para uma organização obter essa certificação, deve implementar a norma e submeter-se a uma auditoria de certificação realizada por um organismo de certificação. A seguir serão descritos os estágios de realização da certificação. Estágio 1 (análise da documentação) Os auditores analisarão toda a documentação, quando se observarão o escopo documentado, a política e os objetivos do SGSI, a descrição da metodologia da avaliação de riscos, o relatório de avaliação de riscos, a declaração de aplicabilidade, o plano de tratamento de riscos, os procedimentos de controle de documentos, as ações corretivas e preventivas e a auditoria interna. Além disso, será necessário documentar alguns dos controles do Anexo A (somente se forem aplicáveis na declaração de aplicabilidade), como inventário dos ativos, uso aceitável dosativos, papéis e responsabilidades dos funcionários, fornecedores e terceiros, termos e condições de contratação, procedimentos de operação das instalações de processamento de informação, política de controle de acesso e identificação da legislação vigente. Além disso, necessitará dos registros de pelo menos uma auditoria interna e da análise crítica da gestão. Estágio 2 (auditoria principal) Os auditores realizarão uma auditoria no local para verifi car se todas as ati- vidades na organização estão em conformidade com a ISO 27001 e com a requisitos de documentação — procedimentos documentados e controles, in- cluindo aqueles relacionados ao planejamento, à operação e ao controle dos processos de segurança da informação; controle de documentos — assegurar que as alterações e as versões dos documen- tos sejam identificadas e estejam disponíveis quando necessárias; controle de registros — elementos utilizados para evidenciar a conformidade aos requisitos e a eficácia da operação de um SGSI. Normas vigentes sobre segurança da informação8 documentação do SGSI. Nesse estágio, o auditor analisará se a organização está realmente fazendo o que a sua documentação e a ISO 27001 dizem que deve ser feito. Em outras palavras, verificará se o seu SGSI foi colocado em prática na organização ou se é apenas mais um papel, por meio de observação e entrevistas com seus funcionários e, principalmente, pela análise de seus registros. Os re- gistros obrigatórios incluem formação, treinamento, competências, experiência e qualificações, auditoria interna, análise crítica da gestão e ações corretivas e preventivas. Porém, o auditor espera encontrar muitos outros registros como resultado da realização de seus procedimentos; Visitas de supervisão Após o certifi cado ser emitido, durante os três anos de sua validade, os auditores verifi carão se a organização mantém seu SGSI. Em relação à certificação individual, os interessados podem participar de cursos para obter certificados, como: Curso de Auditor Líder ISO 27001 — ensinará a como realizar auditorias de certificação e é direcionado para auditores e consultores. Curso de Implementador Líder da ISO 27001 — ensinará a como im- plementar a norma e é direcionado para praticantes de segurança da informação e consultores. Curso de Auditor Interno ISO 27001 — ensinará o básico da norma e como realizar uma auditoria interna; é direcionado para iniciantes no assunto e auditores internos. Em “Benefícios e fatores condicionadores da obtenção de certificação em gestão da segurança de sistemas de informação”, Silva (2011) refere que “[...] a obtenção de certificações através de normas de Gestão da Segurança de Sistemas de Informação é tida como promotora e evidenciadora dos esforços de proteção do sistema de informação por parte das organizações”. A adoção das práticas de gestão documentadas na norma representa um conjunto de benefícios, como: demonstrar um compromisso dos executivos da organização em rela- ção à segurança da informação, pois uma das grandes preocupações da atualidade é efetivamente a confiança no tratamento adequado da informação sensível da sua organização; 9Normas vigentes sobre segurança da informação dotar a organização de ferramentas que demonstre o cumprimento ao Regulamento UE 2016/679 no tratamento e na circulação de dados pessoais; aumentar a confiabilidade e a segurança da informação e dos sistemas, em termos de confidencialidade, disponibilidade e integridade; garantir a realização de investimentos mais eficientes e orientados ao risco, em vez de investimentos apenas baseados em tendências; incrementar os níveis de sensibilidade, participação e motivação dos colaboradores da organização em relação à segurança da informação; identificar e endereçar de maneira continuada oportunidades para melhorias, sendo um processo em melhoria contínua; aumentar a confiança e a satisfação dos clientes, utentes, parceiros, entidades reguladoras e judiciárias, providenciando um elevado com- promisso com a proteção da informação, o que representa um nível considerável de conforto para quem interage com entidades que pro- cessam e arquivam dados pessoais; a implementação dos controles provenientes da norma e da análise de risco melhora o desempenho operacional das organizações, com potencial de realização de mais negócios e poder negocial. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 – Tecno- logia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Rio de Janeiro: ABNT, 2006. FARIA, A. L. Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1. Profissionais TI, 25 out. 2010. Disponível em: <https://www.profissionaisti.com.br/2010/10/conhecendo-a- -abnt-nbr-isoiec-27001-parte-1/>. Acesso em: 30 nov. 2018. KOSUTIC, D. O que é a ISO 27001? Advisera, 2018. Disponível em: <https://advisera. com/27001academy/pt-br/o-que-e-a-iso-27001/>. Acesso em: 30 nov. 2018. SILVA, D. Benefícios e fatores condicionadores da obtenção de certificação em gestão da segurança de sistemas de informação. 2011. Dissertação (Mestrado em Engenharia e Ges- tão de Sistemas de Informação) - Universidade do Minho – Escola de Engenharia, 2011. Leitura recomendada HINTZBERGEN, J. et al. Fundamentos de segurança da informação: com base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018. Normas vigentes sobre segurança da informação10 Conteúdo:
Compartilhar