Buscar

Resumo+Prova-GestãoDeSegurança

Gestão de Segurança da Informação

ESTÁCIO

3
Dislike0
3
Dislike0
Comment0
User badge image

Roberta Sant'Anna

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

GEST�O DE SEGURAN�A DA INFORMA��O PARTE 2.doc
Aula 6: Gestão de Riscos em Segurança da Informação
 Segundo a norma ABNT NBR ISO 31000:2009- Gestão de Risco, Princípios e Diretrizes, as organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos que tomam incerto se e quando elas atingirão seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organização é chamado de “risco”.
 Ainda segundo a norma, todas as atividades de uma organização envolvem risco. As organizações devem gerenciar o risco, identificando-o, analisando-o, e em seguida, avaliando se o risco deve ser modificado pelo tratamento do risco a fim de atender a seus critérios de risco. 
 Ao longo de todo esse processo, elas comunicam e consultam as partes interessadas e monitoram e analisam criticamente o risco e os controles que o modificam, a fim de assegurar que nenhum tratamento de risco adicional seja requerido.
Como estabelecer o contexto de risco:
 Segundo Beal, os termos e definições do ISO guide 73, dizem respeito a todo e qualquer tipo de situação (ou evento) que constitui oportunidade de favorecer ou prejudicar o sucesso de um empreendimento.  Como ele está estruturado de uma forma genérica e básico para o entendimento comum a organizações de diversos países, é necessário algumas adaptações para atender às necessidades dentro de um domínio específico.
Por exemplo, para as empresas do ramo do comércio/indústria, o risco  é visto como  a exposição às perdas baseada nas freqüências estimadas e custo de concorrência. Já em um organização da área de saúde, segundo a  resolução CNS 196/96, o risco é visto como a possibilidade de danos à dimensão física, psíquica, moral, intelectual, social, cultural.
Diante de tantos cenários diferentes de aplicação da gestão de risco, é importante promover ajustes na terminologia adotada, alterando-a e expandindo-a na medida do necessário para tratar a questão dentro do escopo que está sendo estudada.
Alguns termos e definições:
Ativo: Tudo aquilo que tenha valor e que necessita de algum tipo de proteção ou cuidado.
Escopo: Conjunto de ativos que será coberto pelo processo de gestão de risco.
Parte envolvida: Indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco.
Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Podem ser: Ambiental ou humana.
Incidente: Quando uma ameaça se concretiza.
Vulnerabilidades: Criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo.
Análise de vulnerabilidades: Processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções.
Avaliação das vulnerabilidades: quando esses dados são combinados com uma lista de possíveis ameaças, gerando dados que indiquem a real probabilidade de uma ameaça se concretizar explorando as vulnerabilidades existentes.
Risco:
Probabilidade de uma ameaça explorar uma (ou várias)  vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente. 
Sua escala é dada por dois fatores:
- Probabilidade de ocorrência da ameaça medida através da combinação da sua freqüência com a avaliação das vulnerabilidades;
- Conseqüências trazidas pela ocorrência do incidente (impacto);
Ameaça é um elemento do risco ao qual se pode associar uma probabilidade de manifestação, cujo valor compõe o cálculo da estimativa do risco.  Em muitos casos, a probabilidade associada a uma ameaça é calculada com base na frequência de ocorrência ; em outros, quando dados de frequência não estão disponíveis, a probabilidade pode ser estimada com base no grau de confiança atribuído a ocorrência .
**Os risco não podem ser completamente eliminados e a porção do risco existente após todas as medidas de tratamento terem sido tomadas é chamada de risco residual.**
Gestão de risco
Uma das premissas básicas da segurança é o fato de que não existe segurança total ou completa. O que torna algo seguro ou não, está muito mais ligado à gerência de uma série de fatores do que à compra ou implementação de uma solução de software ou hardware definitiva.  No âmbito da segurança da informação, a gestão de riscos é utilizada com o intuito de prevenir incidentes e melhorar o nível de segurança das informações sob o escopo do Sistema de Gestão de Segurança da Informação (SGSI), sendo um dos componentes mais importantes. É por meio deste processo que os riscos são identificados e tratados de forma sistemática e contínua.
Gestão de risco:
→ Entender os riscos associados com o negócio e a gestão da informação.
→ Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações.
→ Melhorar a eficácia no controle de riscos
→ Manter a reputação e imagem da organização.
→ Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios
→ Minimizar as possibilidades de furto de informação e maximizar a proteção de dados.
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Esse propósito pode ser:
- Suporte a um Sistema de Gestão de Segurança da Informação (SGSI);
- Conformidade legal e a evidência da realização dos procedimentos corretos;
- Preparação de um plano de continuidade de negócios;
- Preparação de um plano de resposta a incidentes;
- Descrição dos requisitos de segurança da informação para um produto, um serviço ou um mecanismo.
**Segundo a norma  AS/NZS 4360, podemos definir a gestão de risco como: 
 “Cultura, estruturas e processos voltados ao reconhecimento de oportunidades potenciais concomitantemente ao gerenciamento de seus efeitos adversos.” 
 E segundo a norma NBR ISO 27002: 
 “Conjunto de práticas, procedimentos e elementos de suporte que utilizamos para gerenciar o risco”. 
Primeira norma do mundo sobre Gestão de Riscos: AS/NZS 4360:2004**
Etapas da Gestão de Risco
A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco e utiliza o ciclo do PDCA, que nos permite entender a gestão do Risco como um processo contínuo:
(O ciclo PCDA, ou ciclo de Shewhart ou ciclo de Deming, é um ciclo de desenvolvimento que tem foco na melhoria contínua.)
Etapas da Gestão de Risco
Uma forma mais detalhada e que facilita a análise do processo de gestão de risco é apresentada a seguir, cobrindo  todo o ciclo de vida do risco, desde a sua identificação até a sua comunicação às partes envolvidas:
Análise e avaliação dos riscos
A decomposição do risco e seus componentes e a posterior avaliação da “características mesuráveis” desses componentes levam a uma estimativa do valor do risco, que pode depois ser comparado com uma referência para que sua relevância seja determinada, possibilitando a tomada de decisão quanto a aceitá-lo ou tratá-lo.
Existem várias metodologias desenvolvidas para a realização de análise e avaliação do risco, que costumam ser classificadas como :
Quantitativa:
Método Quantitativo:  
A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco. O risco é representando em termos de possíveis perdas financeiras.
Os métodos quantitativos costumam ser vistos com cautela pelos estudiosos devido à dificuldade de obtenção de resultados representativos e pela sua complexidade.
Qualitativa:
Método Qualitativo: 
  
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. O que torna o processo mais rápido.
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados.
Tratamento dos riscos 
Fase em que selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. Existem várias classificações disponíveis para as medidas de proteção. Segundo Beal, uma classificação possível é:
Medidas preventivas: Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização.
Medidas corretivas ou reativas: Reduzem o impacto de um ataque/incidente. São medidas tomadas durante ou após a ocorrência do evento.
Métodos detectivos: Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.
Aceitação do risco: Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Aceitar um risco é uma das maneiras de tratá-lo.
Comunicação do risco: Divulgação de informações sobre os riscos que foram identificados, tenham eles sido tratados ou não, a todas as partes envolvidas que precisem ter conhecimento a respeito deles.  Uma das melhores formas de se comunicar os riscos de maneira genérica, com o intuito de notificar os colaboradores a respeito deles, é desenvolver e manter campanha de conscientização de segurança.
Riscos, medidas de segurança e o ciclo de segurança
Segundo Sêmola, para um melhor entendimento da amplitude e complexidade da segurança, é comum estudarmos os desafios em camadas ou fases para tornar mais claro o entendimento de cada uma delas. Estas fases são chamadas de barreiras e foram divididas em seis. Cada uma delas tem uma participação importante no objetivo maior de reduzir os riscos, e por isso, deve ser dimensionada adequadamente para proporcionar a mais perfeita integração e interação:
Barreira1: Desencorajar
Esta é a primeira das cinco barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmara de vídeo, mesmo falsa, de um aviso de existência de alarmes já são efetivos nesta fase.
Barreira 02: Dificultar
O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, por exemplo.
Barreira 03: Discriminar
Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computador e banco de dados.
Barreira 04: Detectar
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem e instrumentem os gestores da segurança na detecção de situações de risco. Seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo.
Barreira 05: Deter
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos.
Barreira 06: Diagnosticar
Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo.  Devido a estes fatores é a barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos.
Equação do risco
Cada negócio, independente de seu segmento de mercado possui dezenas ou centenas de variáveis que se relacionam direta e indiretamente com a definição de seu nível de risco. 
 O risco é a probabilidade de que agentes, que são as ameaças, explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e disponibilidade, e causando impacto nos negócios. 
Estes impactos são limitados por medidas de segurança que protegem os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo, assim o risco.
Por melhor que estejam protegidos os ativos, novas tecnologias, mudanças organizacionais e novos processos podem criar vulnerabilidades ou identificar e chamar a tenção para as já existentes. Além disso, novas ameaças podem surgir e aumentar significativamente a possibilidade de impactos no negócio. 
É fundamental que todos tenhamos a consciência de não existe segurança total, e por isso, devemos estar bem estruturado para suportar mudanças nas variáveis da equação, reagindo com velocidade e ajustando o risco novamente aos padrões pré-especificados como ideal para o negócio e lembrando que sempre será necessário avaliar o nível de segurança apropriado para cada momento vivido pela empresa.  
R = V x A x I 					R - RISCO
	M					V – VULNERABILIDADES
						A – AMEAÇAS
						I – IMPACTOS
						M – MEDIDAS DE SEGURANÇA
Aula 7 – Segurança da Informação segundo a NBR ISO/IEC 27002 (antiga ISO 17799)
ISO é uma instituição cujo objetivo é propor e monitorar normas que representem e traduzam o consenso de diferentes países para a normalização de procedimentos, medidas e materiais em todos os domínios da atividade produtiva.
Segurança da Informação Segundo a NBR ISO/IEC 27002
27000 – Descrição e Vocabulário: Esta norma apresenta a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra.
27001 – Requisitos SGSI: Esta norma define os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização, permitindo que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes.
27002 – Código de Práticas: Esta norma estabelece um referencial para as organizações desenvolverem, implementarem e avaliarem a gestão de segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Ela aborda 11 tópicos:
Política de Segurança da Informação;
Organizando a Segurança da Informação;
Gestão de Ativos;
Segurança em Recursos Humanos;
Segurança Física e do Ambiente;
Gestão das Operações e Comunicações;
Controle de Acesso;
Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
Gestão de Incidentes de Segurança da Informação;
Gestão da Continuidade do Negócio;
Conformidade.
27003 – Guia para Implantação: Esta norma fornece orientação para um sistema de gestão de segurança da informação com objetivos mais amplos que a norma 27001, especificamente no que tange à melhoria do desempenho global de uma organização e sua eficiência, assim como sua eficácia.
27004 – Mediação: Esta norma define métricas e medições para avaliar a eficácia de um SGSI. Fornece orientações
para elaboração, tabulação e acompanhamento de indicadores do sistema de gestão de segurança da informação, visando o acompanhamento dos objetivos de segurança previstos para o sistema de gestão por meio da medição da eficácia dos controles de segurança implementados e permitindo aos gestores avaliar se os controles alcançam de forma satisfatória os objetivos de controle planejados.
27005 – Gestão de Risco: Fornece diretrizes para o processo da gestão de riscos da segurança da informação. Contem a descrição do processo da gestão de riscos da segurança da informação e das suas atividades.
27006 – Requisitos para Acreditação: Guia para o processo de acreditação de entidades certificadoras.
27007 – Orientações para Gestão de Auditoria de Sistemas de Segurança da Informação: Esta norma é baseada na norma 91011, que apresenta diretrizes de auditoria para os sistemas de gestão de qualidade e/ou ambiental, deve orientar as auditorias de conformidade com a norma 27001.
27008 – Orientação para Auditores de Sistema de Segurança da Informação: Esta norma será um complemento da 27007 e deve orientar os Auditores de Sistema de Segurança da Informação a realizar auditorias dos controles em conformidade com a norma 27001.
Segundo a NBR ISO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
→ Requisitos de Negócios: Uma outra fonte é o conjunto de princípios, objetivos e os requisitos de negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
→ Requisitos Legais: Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviços tem que atender.
→ Análise de Risco: A partir da análise/avaliação de riscos levando-se em conta os objetivos e estratégias globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ameaças e do impacto potencial ao negócio.
Analisando/avaliando os riscos de segurança da informação
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação. Os resultados desta análise ajudarão a direcionar 
e a determinar as ações gerenciais apropriadas, as prioridades para o gerenciamento dos riscos da segurança da informação e a implementação dos controles selecionados para a proteção contra estes riscos.
Após a identificação dos requisitos e dos riscos de segurança da informação e as decisões para o tratamento dos riscos 
tenham sido tomadas, os controles apropriados devem ser selecionados e implementados para assegurar que os riscos 
sejam reduzidos a um nível aceitável.
Já a norma NBR ISO/IEC 27001 orienta como um organização deve se relacionar com a gestão de risco ao estabelecer seu Sistema de Gestão de Segurança da Informação SGSI. Após definição da política de segurança a organização deve adotar uma abordagem para análise/avaliação de riscos da organização:
 A organização deve identificar uma metodologia de análise de risco que seja adequada ao seu SGSI e aos requisitos legais, regulamentares e de segurança da informação identificados em seu negócio;
E desenvolver critérios para aceitação de riscos e identificar os níveis aceitáveis de risco.
Gestão de Risco segundo a norma ISO/IEC 27001:
A organização deve identificar os riscos, nesta fase deverão ser identificados: Os ativos e seus proprietários dentro do escopo do SGSI; As ameaças e vulnerabilidades destes ativos; Os impactos e as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.
Após a fase de identificação deverão ser analisados e avaliados os riscos levantados. Assim será possível: Avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança; Avaliar a probabilidade real da ocorrência de falhas de segurança em relação as ameaças e vulnerabilidades identificadas, o impacto decorrente e os controles atualmente implementados; Estimar os níveis de riscos e determinar se são aceitáveis ou requerem algum tipo de tratamento.
Na próxima etapa a organização deverá identificar e avaliar as opções para tratamento dos riscos que incluem: Aplicar os controles apropriados; Aceitar os riscos desde que satisfaçam as políticas da organização e aos critérios de aceitação do risco; Evitar os riscos; Transferir os riscos associados ao negócio a outras partes (fazer um seguro por exemplo).
E finalmente selecionar os objetivos de controles e controles para o tratamento dos riscos: Os objetivos de controles e controles devem atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de tratamento de riscos; A seleção deve considerar os critérios para aceitação de riscos como também os requisitos legais, regulamentares e contratuais.
Política de segurança
 A norma NBR ISO/IEC 27002 provê uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação:
 A direção da organização deve estabelecer a orientação da política alinhada com os objetivos do negócio;
 A direção deve demonstrar seu apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.
 
Por que a política de segurança é importante?
Serve como linha-mestra para todas as atividades de Segurança da Informação desempenhadas em uma organização pois descreve quais são os objetivos que todas as atividades ligadas à Segurança da Informação devem trabalhar para atingir. Demonstra também o comprometimento da alta direção.
Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos, que são agrupados e estruturados em virtude do nível de detalhes requeridos, facilitando o desenvolvimento e a manutenção dos documentos e normalmente são divididos em:
 
- DIRETRIZES
As diretrizes são as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Servem como base para a criação de normas e procedimentos.
- NORMAS
As normas especificam no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes.
- PROCEDIMENTOS
Os procedimentos detalham no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas pela norma.
A NBR ISO/IEC 27002 orienta também que seja realizada a análise crítica da política de segurança em intervalos regulares ou quando alguma mudança significativa ocorrer de forma a assegurar a eficácia e adequação da política. 
A análise crítica ocorre com a revisão periódica de todo o ciclo de vida da segurança da informação dentro da organização levando em consideração as mudanças que podem ocorrer no ambiente organizacional, nos processos de 
negócio e nas condições legais da organização.
Organizando a segurança da informação
A norma NBR ISO/IEC 27002 provê uma orientação de como a organização deve proceder para gerenciar a segurança da informação na organização:
Internamente:
→ Através do comprometimento da direção;
→ Através do estabelecimento da coordenação da segurança da informação;
→ Da atribuição de responsabilidade para a segurança da informação.
Externamente:
→ Identificação
dos riscos relacionados com partes externas;
→ Identificação da segurança antes de conceder aos clientes o acesso aos ativos da organização;
→ Identificação da segurança nos acordos com terceiros.
A direção da organização deverá apoiar ativamente a segurança da informação, através de um claro direcionamento, demonstrando seu comprometimento e definindo atribuições.
Um exemplo de comprometimento da direção está na publicação da política e no estabelecimento de um grupo da segurança da informação. Este grupo poderá ser implementado através da criação de uma gerência ou coordenação, um comitê ou ambos. Existem discussões a respeito do melhor modelo que uma empresa deve adotar, sendo, entretanto muito particular de cada empresa, dependendo do seu tamanho, modelo organizacional e orçamento.
O fator chave para o sucesso da implantação da segurança será definido pelo tipo de autonomia que o grupo de segurança terá em relação às outras áreas, porém sempre ligadas à missão da empresa, podendo ter sua missão restrita:
- Ao ambiente tecnológico, executando suas funções subordinados à área de tecnologia da informação;
- Ao ambiente normativo, sendo responsáveis pela definição de normas e padrões organizacionais, voltados a TI e também a outras áreas;
- Ao ambiente estratégico, tratando a segurança da informação num sentido mais amplo. Seu nível de subordinação é ao CEO (Chief Executive Officer) ou a um profissional com atribuições equivalentes.
Gestão de Ativos
A norma NBR ISO/IEC 27002 orienta que a organização deve realizar e manter a proteção adequada dos ativos da organização, além de assegurar que a informação receba um nível adequado de proteção.
Mas como implementar?
A organização deverá inventariar todos os ativos e deverá ainda definir um proprietário responsável. Neste inventário deverão ser incluídas todas as informações necessárias que permitam recuperar de um desastre. Estas informações incluem: o tipo do ativo, formato, localização, informações sobre cópia de segurança, informações sobre licenças, a importância do ativo para o negócio assim como a sua classificação de segurança.
O proprietário de um ativo pode ser designado para:
Um processo de negócio;
Um conjunto de atividades definidas;
Uma aplicação;
Um conjunto de dados definidos.
Segurança em recursos humanos
A norma NBR ISO/IEC 27002 orienta que a organização assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. 
É importante que a responsabilidade pela segurança da informação seja atribuída antes da contratação e que todos os funcionários, fornecedores e terceiros, assinem acordos sobre seus papéis e responsabilidades pela segurança da informação. Conseqüentemente é essencial que a organização documente os papéis e responsabilidades existentes de acordo com a política de segurança da organização. Vale ressaltar que a preocupação com a segurança deverá ocorrer no momento da: seleção, contratação, encerramento ou mudança da contratação. E a organização deverá ainda preocupar-se com a conscientização, educação e treinamento em segurança da informação, de forma que todos os funcionários e, quando necessário, fornecedores e terceiros recebam treinamentos apropriados em conscientização e atualizações regulares nas políticas e procedimentos organizacionais relevantes para suas funções.
Segurança física e do ambiente
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. As áreas críticas ou sensíveis deverão ser mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados de forma a não permitir o acesso não autorizado, danos ou interferências.
Deverão ser estabelecidos controles nas entradas físicas das áreas a serem protegidas de forma que somente as pessoas autorizadas tenham acesso. Deverão ser levadas em consideração também a aplicação de níveis de segurança para os escritórios, salas e instalações.
 Além da segurança física ao ambiente, a norma prevê a segurança dos equipamentos de forma a impedir 
 perdas, danos, furto ou roubo, ou o comprometimento de ativos e interrupção das atividades da organização. 
 Desta forma é recomendável que os equipamentos sejam protegidos contra as ameaças físicas e do meio 
 ambiente, já estudadas nas aulas anteriormente.
Gerenciamento das operações e comunicações
A norma NBR ISO/IEC 27002 orienta que a organização deve garantir a operação segura e correta dos recursos de processamento da informação. Para isso deverá implementar procedimentos e responsabilidades operacionais assim como a documentação dos procedimentos de operação. Para que as modificações nos recursos de processamento da informação e sistemas sejam controlados, os sistemas operacionais e aplicativos devem estar sujeitos a um rígido controle de gestão de mudanças. É importante também que as funções e áreas de responsabilidades sejam segregadas para reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização.
Os recursos dos ambientes de desenvolvimento, teste e produção devem estar separados para reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais, além da implementação de acordos de entrega de serviços terceirizados para garantir que os serviços entregues atendem a todos os requisitos acordados com os terceiros.
Para proteger a integridade do software e da informação deverá ser implementado proteção contra códigos maliciosos e códigos móveis não autorizados, além do estabelecimento de procedimentos de rotina para a geração de cópias de segurança assim como a gerencia e o controle adequado das redes de forma a protegê-las contra ameaças e manter a segurança de sistemas e aplicações, incluindo a informação em trânsito.
Controle de acesso
A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para a autorização e disseminação da informação.
Desta forma é importante que as regras de controle de acesso e direitos para cada usuário ou grupo de usuário sejam expressas claramente na política de controle de acesso lógico e físico. Para assegurar o acesso de usuário autorizado e prevenir o acesso não autorizado, procedimentos formais devem ser implementados para controlar a distribuição dos direitos de acesso a sistemas de informação e serviços e que cubram todas as fases do ciclo de vida de acesso dos usuários. Deve ser realizado o gerenciamento dos privilégios e das senhas do usuário.
A organização deve conscientizar seus usuários sobre suas responsabilidades para garantir o controle efetivo de acesso, principalmente em relação ao uso de senhas e de segurança dos equipamentos de usuários.
Desenvolvimento e Manutenção de Sistemas
A norma ISO/IEC 27002 orienta que a organização deve garantir que segurança é parte integrante de sistemas de informação seja na aquisição, desenvolvimento ou manutenção de Sistemas de Informação. Desta forma os requisitos de segurança devem ser identificados e acordados antes do desenvolvimento ou implementação de sistemas de informação na fase de definição de requisitos de negócios.
Para prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações, devem ser incorporados controles apropriados no projeto de aplicações como forma de assegurar
o processamento correto na validação dos dados de entrada, no controle do processamento interno e na validação de dados de saída.
Gestão de incidentes de segurança da informação
A norma NBR ISO/IEC 27002 orienta que a organização deve assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.
Gestão da Continuidade do Negócio
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.
Como implementar?
- Identificação dos processos críticos;
- Realização de uma análise de impacto dos negócios, através da medição das conseqüências de desastres, das falhas de segurança, das perdas de serviços e disponibilidade dos serviços;
- Realização de análise de risco.
Conformidade
A norma NBR ISO/IEC 27002 orienta que a organização deve evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.
É importante a identificação da legislação aplicável, os direitos de propriedade intelectual, a proteção dos registros organizacionais e o uso de produtos de software proprietários, assim como a conformidade com as políticas e normas de segurança da informação.
Aula 8 – Gestão de Segurança da Informação segundo a NBR ISO/IEC 27001
Objetivo:
Diferentemente da norma NBR ISO/IEC 27002 que estabelece as melhores práticas em segurança da informação, a norma NBR ISO/IEC 27001 tem como objetivo especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um SGSI dentro do contexto dos riscos de negócio da organização.
Abordagem de processo de gestão do SGSI
A proposta de integração dos dispositivos de proteção de maneira organizada, contemplando um ciclo de revisões periódicas e melhoria contínua, dimensionadas de acordo com as necessidades de segurança da informação estabelecidas para o negócio da organização, está prevista na norma NBR ISO/IEC 27001:2005, a primeira a abordar segurança da informação com uma visão sistêmica de gestão e não somente como recomendações de instalação de controles de segurança isolados.
A norma adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PCDA), aplicado para estruturar todos os processos do SGSI.
A abordagem de processo nessa forma fará com que a organização enfatize a importância de:
Entendimento dos requisitos de segurança da informação e a necessidade de estabelecer uma política e objetivos para a segurança da informação.
Implementação e operação de controles para gerenciar os riscos de segurança da informação no contexto dos riscos globais da organização.
Monitoração e análise crítica do desempenho da eficácia do SGSI.
Melhoria contínua baseada em medições objetivas.
Aplicação da norma
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações.
Caso a organização queira estar em conformidade com a norma, deverá implementar os seguintes itens obrigatórios:
→ Sistema de Gestão de Segurança da Informação (SGSI)
→ Responsabilidade da Direção
→ Análise Crítica do SGSI pela Direção
→ Melhoria do SGSI
(Obrigatórios)
Sistema de Gestão de Segurança da Informação (SGSI)
Para estabelecer um Sistema de Gestão de Segurança da Informação documentado, baseado no modelo PDCA, e dentro do contexto das atividades de negócio da organização e dos riscos que ela enfrenta, a organização deve:
Plan (Estabelecer o SGSI) → Para estabelecer o SGSI a organização deve definir:
O escopo do SGSI alinhado com as categorias de negócio, da organização, sua localização, ativos e tecnologia;
A política do SGSI;
A abordagem de análise/avaliação de risco da organização;
Identificar os riscos;
Analisar e avaliar os riscos;
Identificar e avaliar as opções para o tratamento de riscos;
Selecionar objetivos de controle e controles para o tratamento de riscos;
Obter aprovação da direção dos riscos residuais propostos;
Obter autorização da direção para implementar e operar o SGSI;
Preparar uma declaração de Aplicabilidade*.
*Declaração de Aplicabilidade: Documento exigido pela NBR ISO/IEC 27001 no qual a empresa tem que relacionar quais controles** são aplicáveis e justificar os que não são aplicáveis ao seu SGSI.
**Controles: São pontos específicos que definem o que deve ser feito para assegurar aquele item.
Do (Implementar e operar o SGSI) → Nesta fase a organização deve implementar e operar sua política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações usando os recursos do SGSI.
Check (Monitorar e Analisar criticamente o SGSI) → A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados do processamento, identificar as tentativas e violação de segurança bem-sucedida, e os incidentes de segurança da informação. Os procedimentos de análise críticas da eficácia do SGSI devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizada também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramente e análise critica os planos de segurança devem ser atualizados.
Act (Manter e Melhorar o SGSI) → A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
Responsabilidade da Direção
A organização deve demonstrar o comprometimento da direção em todos os processos envolvidos para o estabelecimento, manutenção, avaliação e melhorias do SGSI. O comprometimento da direção é evidenciado através:
Da implementação da política do SGSI;
Da garantia que são estabelecidos os planos do SGSI;
Do estabelecimento de papéis e responsabilidades pela segurança da informação;
Na garantia de todo o pessoal que tem responsabilidades atribuídas no SGSI, receba o treinamento adequado e seja competente para desempenhar as tarefas requeridas;
Da comunicação à organização da importância da implementação da segurança da informação na organização;
Na garantia de recursos para implementação e manutenção do SGSI;
No estabelecimento de critérios para aceitação de riscos;
Na garantia de que as auditorias serão realizadas;
Na condução das análises críticas do SGSI.
Auditorias internas do SGSI
A organização deve realizar auditorias internas do SGSI em intervalos regulares para determinar se os objetivos de controle, controles, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001 e à legislação ou regulamentações pertinentes.
A organização deve implementar um programa de auditoria levando em consideração a importância dos processos e áreas a serem auditadas, bem como as auditorias anteriores. Devem ser implementados os critérios de auditoria, tais como:
escopo, freqüência e métodos de auditoria.
Análise crítica do SGSI pela direção
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua continua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Para a realização desta analise critica a organização deve considerar:
Entrada/Insumo
- Os resultados das auditorias anteriores e análises criticas;
- Vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores;
- As situações das ações preventivas ou corretivas;
- Realimentação das partes interessadas;
- A avaliação das ações preventivas e corretivas;
- A realimentação por parte dos envolvidos no SGSI;
- As recomendações para melhoria.
	↑
Análise Crítica
	↓
Saída
- Melhoria da eficácia do SGSI;
- Atualização da análise/avaliação de riscos e do plano de tratamento de risco;
- Modificação de procedimentos e controles que afetem a segurança da informação;
- Necessidade de recursos;
- Melhoria no processo de medição da eficácia dos controles.
Melhoria do SGSI
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através das ações corretivas ou preventivas.
Ações corretivas:
Devem ser executadas ações para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição, neste sentido é necessário identificar as não-conformidades e determinar suas causas. Avaliar a necessidade de implementar ações para assegurar que não se repitam, ou seja, implementar e analisar criticamente as ações corretivas documentando os resultados.
Ações preventivas:
Neste caso devem ser estabelecidas ações para eliminar as causas de não-conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrência. Desta forma é necessário a identificação das não-conformidades potenciais e suas causas. Avaliar a necessidade de implementar ações preventivas para assegurar que não ocorram, ou seja, implementar e analisar criticamente as ações preventivas documentando os resultados.
Aula 9 – Gestão da CONTINUIDADE DO NEGÓCIO segundo a NBR ISO/IEC 15999
Os desastres  são eventos de grande magnitude em termos de prejuízo, porém, com probabilidade muito baixa de ocorrência.  Um desastre é sempre um incidente, mas só podemos definir se um incidente se tornou um desastre depois de avaliarmos suas consequências.
A diferença entre estes termos é que o incidente é um evento imprevisto e indesejável que poderia ter resultado em algum tipo de dano à pessoa, ao patrimônio ou ainda algum tipo de impacto ao meio ambiente, mas não resultou. O desastre é um evento que efetivamente gerou danos humanos, materiais e ambientais.
As características desse tipo de evento, o desastre, fazem com que as organizações tenham a necessidade de implantar planos abrangentes de continuidade de negócio, visando a preservação da integridade física dos colaboradores da organização, bem como proteções adequadas que garantam o funcionamento dos processos e informações  no menor espaço de tempo possível que, caso sejam seriamente afetados, possam comprometer a própria existência da organização.
Tipos de desastres:
Distúrbios civis
Invasões
Roubo
Sabotagem
Apagões
Incêndios
Terremotos
Fenômenos Meteorológicos: ciclones, enchentes, chuvas de granizo, etc.
A norma NBR ISO/IEC 15999, é a norma  que trata da continuidade de negócios e é dividida em duas partes:
ABNT NBR 15999-1 – Gestão da continuidade de negócios – Parte1: Código de prática
ABNT NBR 15999-2 – Gestão da continuidade de negócios – Parte2: Requisitos
A parte 1 da norma é um código de prática da gestão da continuidade de negócios. 
A parte 2 especifica os requisitos para estabelecer um Sistema de Gestão de continuidade de negócio (SGCN) eficaz definido por um programa de Gestão de Continuidade  de Negócio (GCN).
NBR ISO/IEC 15999:1
Objetivo e escopo: 
A norma NBR ISSO/IEC 15999:1 orienta as organizações na estruturação e implementação da continuidade de negócio. Foi elaborada para fornecer um sistema baseado nas boas práticas de gestão da continuidade de negócios.  Serve como referência única para a maior parte das situações que envolvem a continuidade de negócio, podendo ser usada por organizações de grande, médio e pequeno portes, nos setores industriais, comerciais, públicos e de caráter voluntário.
Termos e Definições:
A norma NBR ISSO/IEC 15999:1 estabelece alguns termos e definições:
Alta Direção: Pessoa ou grupo de pessoas que dirige e controla um organização em seu nível mais alto.
Continuidade de negócios: Capacidade estratégica e tática da organização de se planejar e responder a incidentes e interrupções de negócios, para conseguir continuar suas operações em um nível aceitável previamente definido.
Estratégia de continuidade de negócio: abordagem de um organização que garante a sua recuperação e continuidade, ao se defrontar com um desastre, ou outro incidente maior ou interrupção de negócios.
Impacto: conseqüência avaliada de um evento em particular.
Incidente: situação que pode representar ou levar a uma interrupção de negócios, perdas, emergências ou crises.
Interrupção: evento seja previsto (por exemplo, uma greve ou furação) ou não (por exemplo, um blecaute ou terremoto) que cause desvio negativo imprevisto na entrega e execução de produtos ou serviços da organização de acordo com seus objetivos.
Período máximo de interrupção tolerável: Duração a partir da qual a viabilidade de uma organização será ameaçada de forma inevitável, caso a entrega de produtos ou serviços não possa ser reiniciada.
Planejamento de emergência: desenvolvimento e manutenção de procedimentos acordado de forma a prevenir, reduzir, controlar, mitigar e escolher ações a serem tomadas no caso de uma emergência civil.
Plano de continuidade de negócio(PCN): Documentação de procedimentos e informações desenvolvidas e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.
Plano de gerenciamento de incidentes: Plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes.
Programa de gestão de continuidade de negócio: Processos contínuos de gestão e governança que são suportados pela alta direção e que recebem os recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de recuperação viáveis e garantir a continuidade de fornecimento de produtos e serviços por meio de treinamentos, testes, manutenção e análise críticas.
Resiliência: capacidade de uma organização de resistir aos efeitos de um incidente.
Visão geral da Gestão da Continuidade de Negócios (GCN)
A gestão de continuidade de negócio permite uma visão total da organização e facilita o relacionamento com as diversas áreas. É um processo da organização que estabelece uma estrutura estratégica e operacional adequada para:
Melhorar proativamente a resiliencia da organização contra possíveis interrupções de sua capacidade em atingir seus objetivos;
Prover uma prática para restabelecer a capacidade de uma organização fornecer seus principais produtos e serviços, em um nível previamente acordado, dentro de um tempo previamente determinado após uma interrupção;
Obter reconhecida capacidade de gerenciar uma interrupção no negócio, de forma a proteger a marca e reputação da organização.
É importante que a GCN esteja no nível mais alto da organização para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas, que podem ter consequências tanto para a reputação da organização como até mesmo sua sobrevivência.  Além disso, a GCN deve ser vista como uma complementação à estrutura da gestão de risco que busca entender os riscos das operações e negócios e suas consequências. Neste caso a GCN irá identificar os produtos e serviços dos quais a organização depende para sobreviver e será capaz de identificar o que é necessário para que a organização continue cumprindo suas obrigações.
Elementos do ciclo de vida da Gestão da Continuidade de Negócios
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto.
A gestão do programa possibilita que a capacidade de continuidade de negócios seja estabelecida e mantida de forma apropriada ao tamanho e complexidade da organização.
A organização precisa verificar se suas estratégias e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização  possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após  um incidente , para manter ou restaurar as operações.
Gestão do programa de GCN
Para que um programa de GCN seja implementado nas organizações e alcance os objetivos definidos na Política de Continuidade de Negócios a gestão deste programa deverá envolver as seguintes atividades:
+ Atribuição de responsabilidades
A organização deverá nomear uma ou mais pessoas para implementar ou manter o programa de GCN e documentar os papéis  e responsabilidades nas descrições de trabalho e grupos de habilidades da organização.
A documentação de um GCN deverá incluir os seguintes documentos:
-Política de GCN: declaração de escopo e termos de referência ; 
-Análise de impacto danos negócios (BIA);
-Avaliação de riscos e ameaças;
-Estratégias de GCN;
-Programa de conscientização;
-Programa de treinamento;
-Planos de gerenciamento de incidentes;
-Planos de continuidade de negócio;
-Planos de recuperação de negócios;
-Agenda de testes e relatórios;
-Contratos e acordos de níveis de serviço.
+ Implementação da continuidade de negócios na organização
A implementação da continuidade de negócio nas organizações incluem as fases de: planejamento, desenvolvimento e implementação do programa.  Nesta fase é importante que a organização comunique as partes interessadas de forma que todos os envolvidos tenham acesso às informações sintam-se envolvidos pelo processo.  Realize capacitação da equipe envolvida e ainda teste a capacidade de continuidade de negócios da organização.
+ Gestão contínua da continuidade de negócios
Esta atividade deve assegurar que a continuidade de negócios seja incorporada na cultura e atividade da organização. O processo se dá através da realização da análise crítica, do exercício e da atualização de cada componente envolvido neste processo. 
Para que seja realizada a manutenção contínua e independentemente de como sejam alocados os recursos para a continuidade de negócio na organização, algumas atividades devem ser executadas:
-Definição do escopo, papéis e responsabilidades;
-Nomeação de uma ou mais pessoas para gerenciar o GCN;
-Manutenção do programa de GCN através da implementação das melhores práticas utilizadas;
-Promoção da continuidade de negócios por toda a organização de forma ampla;
-Administração do programa de testes.
-Análise crítica e atualização da capacidade de continuidade de negócios, análise de riscos e nálise de impacto de negócio (BIA);
-Manutenção da documentação do GCN;
-Gerenciamento dos custos associados à GCN;
-Estabelecimento e monitoramento do gerenciamento de mudanças.
Política de gestão da continuidade de negócios
Segundo a norma NBR ISO/IEC 15999 os propósitos de se estabelecer uma política de continuidade de negócio são:
Garantir que todas as atividades de GCN sejam conduzidas e implementadas de modo controlado e conforme o combinado;
Alcançar uma capacidade de continuidade de negócios que vá ao encontro das necessidades do negócio e que seja apropriada ao tamanho, complexidade e natureza da organização; 
E implementar uma estrutura claramente definida para a capacidade contínua de GCN.
A política de GCN deverá estabelecer os processos para:
Análise do Impacto do negócio (BIA) – Business Impact Analysis
É imprescindível que a equipe responsável pela elaboração e implementação da continuidade de negócio defina e documente o impacto das atividades que suportam seus produtos e serviços. A esse processo damos o nome de análise de impacto nos negócios e que é conhecido mundialmente por BIA.  A análise do impacto dos negócios é fundamental para fornecer informações para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade de negócio.
O objetivo desta análise é levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização e dentro do escopo do programa de GCN. Deve ser mapeado os ativos físicos, tecnológicos e humanos, assim como quaisquer atividades interdependentes que também precisem ser mantidos continuamente ou recuperados ao longo do tempo de cada processo ou atividade, para então apurar os impactos quantitativos que poderiam ser gerados com a sua paralisação total ou parcial.
É possível neste momento, estabelecer o período máximo de interrupção tolerável de cada atividade através da relação entre o:
	Tempo máximo decorrido de interrupção tolerável de cada atividade;
	Nível mínimo no qual a atividade tem que ser desempenhada após seu reinício;
	Tempo máximo até a retomada dos níveis normais de operação.
Quando falamos de impacto estamos nos referindo aos impactos que a organização considere que estejam relacionados com os seus objetivos de negócio. Eles podem ser:
Impacto ao bem-estar das pessoas;
Dano ou perda de instalações, tecnologias ou informação;
Não cumprimento de deveres ou regulamentações;
Danos à reputação;
Danos à viabilidade financeira;
Deterioração da qualidade de produtos ou serviços;
Danos ambientais.
Identificação das atividades críticas
Após a realização do levantamento e da análise do impacto do negócio, a organização deve categorizar
suas atividades de acordo com suas prioridades recuperação.
Mas como classificar as atividades?
Atividades cuja perda, baseado no resultado do BIA, teriam o maior impacto no menor tempo e que necessitem ser recuperadas mais rapidamente devem ser chamadas de atividades críticas.
A organização deve considerar também que existem outras não consideradas críticas, mas que devem ser recuperadas dentro do seu período máximo de interrupção tolerável.
A organização deverá estimar os recursos que cada atividade necessitará durante sua recuperação:
Recursos de pessoal (quantidade, habilidades e conhecimento);
Localização dos trabalhos e instalações necessárias;
Tecnologia, equipamentos e plantas que suportam o negócio;
Informação sobre trabalhos anteriores ou trabalhos atualmente em progresso, de forma a permitir que as atividades continuem no nível acordado;
Serviços e fornecedores externos;
Determinando a estratégia de continuidade de negócios
A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. Na adoção destas medidas deverão ser levados em consideração os seguintes fatores:
O período máximo de interrupção tolerável da atividade crítica;
	Os custos de implementação de cada estratégia;
		As consequências caso não se tome uma ação.
A organização deve considerar que para a continuidade dos negócios podem ser necessárias o estabelecimento de estratégias para todos os recursos envolvidos nos processos considerados críticos, tais como: pessoas, instalações, tecnologia, informação, suprimentos e partes interessadas.
A organização deve definir uma estratégia de resposta a incidente que permita uma resposta efetiva e uma recuperação pós-incidente e também a implementação de uma estrutura que caso ocorra um acidente possa rapidamente ser formada. Esta equipe pode receber a denominação de equipe de gerenciamento de incidente ou equipe de gerenciamento de crise.  
A estrutura implementada deve possuir: planos, processos e procedimentos de gerenciamento de incidentes, ferramentas de continuidade de negócio, planos para ativação, operação, coordenação e comunicação de resposta ao incidente.
No caso de um incidente a organização deverá ser capaz de:
-Confirmar a natureza e extensão do incidente; 
-Tomar controle da situação;
-Controlar o incidente;
-Comunicar-se com as partes interessadas;
Os planos elaborados sejam de gerenciamento de incidentes, continuidade ou de recuperação de negócios, devem ser concisos, de fácil leitura e compreensão e estar acessíveis a todos que tenham responsabilidades definidas nesses planos e devem conter:
Objetivo e escopo;
Definição dos papéis e responsabilidades;
O método como o plano será colocado em prática;
Responsável pelo plano;
Mantenedor do documento do plano (análise crítica, correção e atualização do plano);
Para que a organização garanta que as implementações de continuidade de negócios e de gerenciamento de incidentes sejam considerados confiáveis e que estão atualizados é necessário que sejam verificados através de testes, auditoria e auto-avaliação.
Deve implementar também um programa de manutenção do GCN claramente definido e documentado. O programa deve garantir que quaisquer mudanças internas ou externas que causem um impacto à organização sejam analisadas criticamente quanto à GCN, inclusive a inclusão de novos produtos e serviços. 
A realização da análise crítica da capacidade de GCN da organização, irá  garantir sua aplicabilidade, adequação,  funcionalidade e conformidade com a política de GCN da organização, leis, normas e melhores práticas.  Pode ser realizada através de auditoria ou auto-avaliação.
Incluindo a GCN na cultura da organização
Para que a continuidade de negócios tenha êxito na organização, é necessário que se torne parte da gestão da organização. Em cada fase do processo de GCN, existem oportunidades de se introduzir e melhorar a cultura de GCN na organização, tornando-se parte dos valores básicos e da gestão da organização. Este processo é divido basicamente nas  fases de desenvolvimento, promoção e incorporação da cultura pela organização, sendo suportado por:
A organização deve estabelecer um processo para identificar e implementar os requisitos de conscientização de GCN por meio da educação permanente, além de um programa de informação para toda a equipe.  É necessário também a avaliação permanente desta implementação com o objetivo de avaliar a eficiência.
Aula 10 – Estratégias de Proteção
Segundo (Guimarães, Oliveira & Lins) é necessário que se compreenda que nenhum componente único poderá garantir um sistema de segurança adequado para  uma rede corporativa e que possa defendê-la com perfeição contra ataques. Existem várias estratégias de proteção que podem ser utilizadas. Uma destas estratégias é a implementação de um modelo de proteção em camadas. Este modelo tem como objetivo dificultar invasões que comprometam a integridade, a autenticidade e o sigilo das informações que trafegam em uma rede IP, definindo componentes com base nas necessidades específicas de cada empresa. 
Segundo Northcutt, podemos pensar na segurança de rede como uma cebola. Quando descascamos  a camada mais externa, muitas camadas permanecem por baixo.
Este modelo, também conhecido como Defesa em profundidade, refere-se à aplicação de defesas distintas, de controles complementares  para no caso de uma falha ou violação de um ativo, existam  outros controles e não torne o sistema como um todo vulnerável e restrito a somente  um único controle.
Para que possamos implementar o modelo de defesa em profundidade  torna-se necessário a segmentação inteligente dos ativos da organização de forma que seja possível a aplicação de controles adequados. É preciso estabelecer o perímetro de segurança. Segundo Sêmola, a teoria do perímetro esta associado a compartimentalização de espaços físicos e lógicos e  ao papel de alerta e mecanismos de resistência distribuído por áreas, a fim de permitir que tentativas de acesso indevido e invasão gerem sinais de alerta e encontrem resistências que propiciará tempo para que as medidas contingenciais sejam tomadas antes da ação avançar ainda mais em direção do alvo.
Perímetro de segurança e seus componentes
Cada rede que compões a topologia da organização precisa ser classificada em um dos três tipos de redes:
- Redes confiáveis: Localizadas no perímetro de segurança da rede, portanto necessitam de proteção.
- Redes não confiáveis: Estão fora do perímetro de segurança, portanto não possuem controle da administração ou das políticas de segurança.
- Redes desconhecidas: São as redes desconhecidas, pois não é possível informar, de modo explícito, se a rede é confiável ou não confiável.
As redes corporativas podem conter vários perímetros dentro de um perímetro de segurança. É necessário que a organização estabeleça  as redes que serão protegidas, defina o conjunto de perímetros de rede e os mecanismos que exercerão a proteção de cada perímetro. Em geral, são encontrados dois tipos de perímetros de rede:
Perímetro exterior
Representa o ponto de separação entre os recursos que estão sob controle e os recursos que não estão sob controle.
Perímetro interior
Recurso particular que se pretende proteger.
Roteador de borda
É o roteador do perímetro exterior, ou seja, é o último roteador que se pode controlar antes da rede não-confiável. Em uma corporação que acessa a Internet, todo o tráfego de rede que possui origem ou destino à internet passa por este roteador. Funciona como a primeira e última linha de defesa de uma rede através da filtragem de pacotes iniciais e final.
Firewall
Isola a rede interna da organização da área pública da Internet,
permitindo que alguns pacotes passem e outros não, prevenindo:
Ataques de negação de serviço;
Modificações e acessos ilegais aos dados internos;
Permite apenas acesso autorizado à rede interna.
Os firewall podem ser divididos em:
Filtros de Pacotes – A filtragem de pacotes é um dos principais mecanismos que, mediante regras definidas pelo administrador, permite ou não a passagem de datagramas IP em uma rede. Podem ser implentados pelos roteadores ou através de software de firewall como por exemplo, o Iptables, presente nas distribuições Linux.
Se observamos sob o ponto de vista da proteção em camadas, a utilização de filtros de pacotes é a primeira camada de fora para dentro e a última de dentro para fora.
-- Como funciona?
A rede interna é conectada à Internet através de um roteador com firewall implementado (filtro de pacotes). O roteador filtra os pacotes e a decisão de enviar ou descartar os pacotes baseia-se em:
-Endereço IP de origem, endereço IP de destino
-Número de portas TCP/UDP de origem e de destino
-Tipo de mensagem ICMP
-Bits TCP SYN e ACK
Firewall com estado: Monitoram as conexões em uma tabela de estado, na qual armazena o seu banco de regras, bloqueando todo o tráfego que não esteja em sua tabela de conexões estabelecidas. Este banco de regras determina o IP e a porta de origem e de destino que são permitidos para estabelecer conexões.
Firewall Proxy: Permite executar a conexão ou não a serviços em uma rede modo indireto. Possui todas as características e funcionalidades de um firewall com  estado, porém impede que os hosts internos e externos se comuniquem diretamente.
Sistema de Detector de Intrusos (IDS)
Tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. Caso detecte alguma anomalia suspeita ou ilegal, gera uma notificação para alertar o administrador da rede e / ou automaticamente disparar contramedidas. Para realizar a detecção várias tecnologias  podem ser  utilizadas:  análise estatística, inferência, inteligência artificial, data mining, redes neurais e diversas outras. Podem ser classificados em relação a:
Sua forma de monitoração (origem dos dados)
Quanto à Origem dos Dados
	Existem basicamente dois tipos de implementação de ferramentas IDS:
	• Sensores de host (Host Based IDS -HIDS)
São instalados em servidores para alertar e identificar ataques e tentativas de acesso indevido à própria máquina. Observam as ações realizadas no sistema operacional, ações dos serviços e o comportamento da pilha TCP/IP, protegendo apenas o sistema host em que reside. É empregado no caso em que a segurança está focada em informações contidas em um servidor;
	• Sensores de rede (Network Based IDS- NIDS)
São instalados em máquinas responsáveis por identificar ataques direcionados a toda a rede, monitorando o conteúdo dos pacotes de rede e seus detalhes como informações de cabeçalhos e protocolos. Observam o tráfego da rede, o formato do pacote de todos os pacotes que trafegam na rede.
Quanto aos mecanismos (algoritmos) de detecção utilizados
Quanto à Origem dos Dados
	Existem basicamente dois tipos de implementação de ferramentas IDS:
Detecção por assinatura: Os dados coletados são comparados com uma base de registros de ataques conhecidos(assinaturas). Por exemplo, o sistema pode vasculhar os pacotes de rede procurando sequencias de bytes que caracterizam um ataque buffer overflow contra o servidor WWW Apache.
Detecção por anomalia: Os dados coletados são comparados com registros históricos da atividade considerada normal do sistema. Desvios da normalidade são sinalizados como ameaças.
Detecção híbrida: O mecanismo de análise combina as duas abordagens anteriores, buscando detectar ataques conhecidos e comportamentos anormais.
Zona Desmilitarizada (DMZ) 
São pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo. Muitos autores apresentam o conceito de DMZ suja e DMZ protegida ou também conhecida por screened subnets.  Em uma DMZ suja os servidores estariam conectados diretamente na interface do roteador sem a proteção do firewall enquanto que uma DMZ protegida ou screened subnets está protegida por um firewall ou outro dispositivo de filtragem, hospedando normalmente serviços públicos, como DNS e correio eletrônico por exemplo.
Cuidados com senhas
Segundo a cartilha de segurança para internet, produzida pelo CERT, a senha utilizada pelos usuários tanto para acessar a  Internet quanto aos sistemas computacionais da organização é utilizada no processo de verificação da identidade do usuário, assegurando que este é realmente quem diz ser, ou seja, é utilizada no processo de autenticação. Caso outra pessoa tenha acesso a senha de algum usuário da rede poderá utilizá-la para se passar por alguém da empresa.
Portanto, é muito importante a conscientização de todos os usuários da organização quanto à utilização e proteção das senhas, pois é de responsabilidade de cada  usuário da organização.
Educação dos usuários
Para que a implementação da política de segurança seja efetiva deve ser claramente comunicada às pessoas de uma organização. Segundo a norma ISO/IEC 27001 no item que trata sobre Conscientização, educação e treinamento em segurança da informação:
- A organização deve assegurar que os usuários e demais envolvidos no SGSI estejam cientes das ameaças e das preocupações de segurança da informação e equipados para apoiar a aplicação da política de segurança da organização durante a execução normal do seu trabalho.
- Devem ser treinados nos procedimentos de segurança e no uso correto das instalações de processamento da informação, de forma a minimizar possíveis riscos de segurança.
A comunicação é outro ponto importante a ser observado na elaboração de uma campanha de conscientização. A comunicação acontece quando duas pessoas têm o mesmo interesse ou os interesses são comuns e consequentemente a mensagem flui.
Pode ser classificada como:
Comunicação não-verbal:  simbólica e sonora
Comunicação oral: código que expressam sensações e sentimentos
Comunicação escrita: Representação gráfica como os desenhos e escrita propriamente dita
O que é um programa de conscientização de segurança em TI ?
É um conjunto de atividades e materiais associados, planejados para promover e manter uma situação em uma organização onde os funcionários tenham um alto nível de consciência sobre segurança
Um programa de conscientização de segurança é, portanto, um processo contínuo que visa mudar o modo como pessoas pensam e agem. Um bem sucedido programa de conscientização de segurança de TI deve mudar o modo como o usuário de sistema pensa e age, de forma que a segurança de TI torne-se parte das atividades de negócios da empresa.
Principais itens tratados por um programa de conscientização de segurança:
O quê significa segurança da informação para a organização
Que as informações guardadas nos computadores são um recurso importante e valioso
Como aplicar as ações de segurança em seu ambiente de trabalho
Que os funcionários também são responsáveis pela segurança da informação
A política de segurança, padronização dos sistemas e princípios da empresa
Controle de acessos
# O que deve ser controlado em uma organização?
TODOS os ativos da organização (Pessoas, tecnologia, ambiente e processos).
# E por que devemos controlar?
Para limitar os impactos causados nos ativos de informação;
Para reduzir as vulnerabilidades.
Backups (cópia de segurança)
Os Backups ou cópias de seguranças são itens muitos importantes na administração de sistemas devendo fazer
parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada.  
Sempre que possível devem ser realizados da forma mais automatizada possível, de modo a reduzir o impacto sobre o trabalho dos administradores e operadores de sistemas.
Devem fazer parte da lista de itens de backup:
Dados → Arquivos de Configuração
Alguns cuidados devem ser tomados em relação ao local onde são guardados os backups:
-O acesso ao local deve ser restrito, para evitar que pessoas não autorizadas roubem ou destruam os backups;
-O local deve ser protegido contra agentes nocivos naturais (poeira, calor, umidade);
-Se possível, é aconselhável que o local seja também a prova de fogo.
Plano de continuidade de negócios
Tem como objetivo garantir a continuidade de processo e informações vitais à sobrevivência da empresa, no menor espaço de tempo possível, com o objetivo de minimizar os impactos do desastre, conforme já estudado na aula 9.  
Seja qual for o objeto da contingência – uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco controlado.
Estratégias de Contingência
Realocação de operação: Deslocamento da atividade atingida pelo evento que provocou a quebra de segurança para outro ambiente físico, equipamento ou link, pertencentes a mesma empresa. Esta estratégia somente é possível se existir recursos sobressalentes ou com “folga” para serem alocados em situações de crise.
Bureau de serviço: Considera a possibilidade de transferir a operacionalização da atividade atingida para um ambiente terceirizado fora do ambiente da empresa. Por requerer um tempo maior de tolerância para sua reativação operacional está restrito a algumas poucas situações. O fato das informações serem manipuladas por terceiros e em ambiente fora do controle da organização, requer atenção na adoção de procedimentos, critérios e mecanismos de controle que garantam as condições de segurança adequadas à relevância e criticidade da atividade cintingenciada.
Acordo de reciprocidade: Acordo formal com empresas que possuem características físicas, tecnológicas ou humanas semelhantes e que estejam também dispostas a possuir uma alternativa de continuidade operacional. Estabelece em conjunto as situações de contingências e definem os procedimentos de compartilhamento de recursos para alocar a atividade na outra empresa. Desta forma ambas obtém redundância.
Cold-site: Propõe uma alternativa de contingência a partir de um ambiente com os recursos mínimos de infraestrutura e telecomunicações, desprovido de recurso de processamento de dados. Portanto aplicado em ambientes com tolerância ainda maior de indisponibilidade.	
Hot-site: Recebe este nome por ser uma estratégia pronta para entrar em operação assim que uma situação de risco ocorrer. Com este propósito e formado pelas etapas de analise de impacto no negócio, estratégias de contingência e pelos planos de definição de estratégias operacionais alternativas que garantirão a continuidade dos processos críticos. Normalmente utilizada para recursos que requerem pouca tolerância a falhas.
Warm-site: Aplicada a objetos que aceitam uma maior tolerância a falhas que na hot-site, podendo se sujeitar a indisponibilidade por mais tempo, até o retorno operacional da atividade.
Criptografia
A eficiência e eficácia dos serviços de segurança em ambientes de redes, como a privacidade, autencidade, integridade, não repúdio e controle de acesso, está diretamente relaciona às técnicas de criptografia utilizadas. A criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código.  È parte de um campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades, para:
- Autenticar a identidade de usuários
- Autenticar e proteger o sigilo de comunicações pessoais e de transações comerciais e bancárias
- Proteger a integridade de transferência eletrônica de fundos
Como funciona a criptografia?
Podemos descrever o processo de criptografia como:
O emissor no caso Alice, gera uma mensagem original chamada de  texto simples ou texto puro. Para enviar a mensagem alice utiliza uma chave e um algoritmo de cifragem e gera um texto cifrado que é transmitido para um receptor.  Ao chegar ao receptor, no caso BOB, este texto passa pelo processo inverso, chamado de decifragem, resultando no texto simples original. A mensagem deverá ser incompreensível para quem não tem autorização para lê-la, no caso Trudy, pois não possui a chave para decifrar a mensagem a emissão.
Classificação dos sistemas de criptografia:
A criptografia pode ser genericamente classificada em três diferentes dimensões:
Quanto aos tipos de cifras utilizadas
      Todos os algoritmos de cifragem são baseados em dois tipos de categorias de operações:
- Cifras de substituição: Cada elemento do texto simples (bit, letra, grupo de bits ou letras) é substituído por um outro elemento correspondente, sendo sempre o mesmo elemento
- Cifras de substituição: Os elementos do texto simples são reordenados (embaralhados).
Quanto à simetria das chaves utilizadas
     A chave é uma sequência de caracteres, que pode conter letras, dígitos e símbolos (como uma senha), e que é convertida em um número, utilizado pelos métodos de criptografia para codificar e decodificar mensagens. Os métodos criptográficos são subdivididos em duas categorias, de acordo com o tipo de chave utilizada:
- A criptografia simétrica ou de chave única, quando o emissor e receptor utilizam a mesma chave;
- A criptografia assimétrica ou de chave pública, quando o emissor e receptor utilizam chaves diferentes.
Quanto ao modo de operação de cifra
- Modo Electronic Code Book (ECB): O texto simples é dividido em blocos de 64 ou 128 bits.
- Modo de Encadeamento de Bloco de Cifra: Muito semelhante ao modo ECB, porém o bloco de texto simples é submetido a uma operação XOR com o bloco de texto cifrado anterior antes de ser codificado.
- Modo de Feedback de Cifra: É semelhante ao modo de bloco de cifra, porém realiza a cifragem byte a byte.
- Modo de Cifra de Fluxo: Neste modo o texto simples é submetido a uma operação XOR com uma seqüência de blocos chamada fluxo de chaves. 
Criptografia de chave simétrica ou privada
A criptografia de chave única utiliza a mesma chave tanto para a codificar quanto para decodificar mensagens sendo conhecida por ambos os lados do processo. Apesar deste método ser bastante eficiente em relação ao  tempo de processamento, ou seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a necessidade de utilização de um meio seguro para que a chave possa ser compartilhada entre pessoas ou entidades que desejem trocar informações criptografadas.
Algoritmos simétricos e tamanhos de chave:
-Data Encryption Standard (DES) –  64 bits
-Triple Data Encrypption Standard (3DES) – utiliza duas chaves de 64 bits;
-Advanced Encryption Standard (AES) – 128 bits ate 256 bits.
-International Data Encryption Algorithm (IDEA) – 448 bits.
-Twofish – 128, 192, 256 bits.
-Serpent –  128,192 ou 256 bits.
Criptografia de Chave Assimétrica ou pública
Os algoritmos assimétricos utilizam-se de duas chaves diferentes, uma em cada extremidade do processo. As duas chaves são associadas através de um relacionamento matemático, pertencendo a apenas um participante, que as utilizará para se comunicar com todos os outros de modo seguro.
Essas duas chaves são geradas de tal maneira que a partir de uma delas não é possível calcular a outra a um custo computacional viável, possibilitando a divulgação de uma delas, denominada chave pública, sem colocar em risco o segredo da outra,

Teste o Premium para desbloquear

Aproveite todos os benefícios por 3 dias sem pagar! 😉
Já tem cadastro?

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

LikeFooter
DislikeFooter

Gestão de Segurança da Informação

13.559 Materiais compartilhados

mobile

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Continue navegando

Materiais relacionados

5 pág.
RESUMO LIVRO GESTÃO DE RISCOS

IFCE

User badge image

Paulo Jonas

4 pág.
Gestão de Segurança de Informação PROVA

ESTÁCIO

User badge image

Erik Ribeiro

Perguntas relacionadas

Question Icon

Prova final de Anatomia e Fisiolofia Humanas /prova discursiva e objetiva o resumo do modulo todo

User badge image

jusse cerqueira natura

Question Icon

resumos ou provas de anatomia patologica

User badge image

Patricia Guimarães

Question Icon

resumo da historia da psicologia para provas

User badge image

Bruno Rodrigues

Outros materiais