Baixe o app para aproveitar ainda mais
Prévia do material em texto
Governança da Segurança da Informação Mauricio Rocha Lyra (org.) Brasília 2015 Copyright © 2015 de Mauricio Rocha Lyra Direitos desta edição reservados à Mauricio Rocha Lyra Impresso no Brasil / Printed in Brazil Todos os direitos reservados. A reprodução não autorizada desta publicação, no todo ou em parte, constitui violação do copyright (Lei nº 9.610/98) Os conceitos emitidos nesta publicação são de inteira responsabilidade dos respectivos autores 1ª edição – 2015 Capa – Wanderson Tavares Borges Diagramação – Luciana Mara de Sousa Castro Revisão Técnica – Mauricio Rocha Lyra ISBN: 978-85-920264-1-7 L992 Lyra, Mauricio Rocha Governança da Segurança da Informação/ Edição do Autor – Brasília, 2015 160p. 17,5cm x 25cm ISBN 978-85-920264-1-7 1. Governança. 2. Segurança da Informação. 3. Planos de Segurança da Informação CDD-600-000 Índices para catálogo sistemático 1. Segurança da informação: Ciência da computação 005.1 PREFACIO Atualmente, as organizações estão se tornando mais e mais dependentes dos seus sistemas de informação. A clientela, por sua vez, está cada vez mais preocupada com o uso adequado das informações, notadamente com a privacidade dos seus dados pessoais. Entretanto, as ameaças ao principal ativo organizacional, isto é, à informação, aumentam a cada dia. Portanto, como a informação é a base da vantagem competitiva de uma organização, é vital garantir a segurança dessa informação. Apesar do que pensam alguns, não é possível comprar soluções de prateleira de gestão e Governança de segurança da informação. Essa é uma atividade complexa, que demanda um olhar pleno sobre o ambiente organizacional, abordando temas tais como: estratégia, planejamento, aspectos humanos, normativos e políticas de segurança entre outros. É essa abordagem sistêmica que nos traz o livro Governança de Segurança da Informação, organizado pelo Prof. Maurício Rocha Lyra, com capítulos escritos por alunos, mestres e doutores da pós-graduação do UNICEUB. O livro cobre desde a estratégia organizacional até aspectos de segurança da informação na produção de software, com foco, sempre, na agregação de valor que essa segurança da informação traz aos negócios. Vivemos anos difíceis, de crescimento acelerado do crime cibernético, que coloca em xeque todo o comércio eletrônico. Para vencer essas ameaças, precisaremos de modelos de gestão e governança de segurança da informação. Nesse sentido, a publicação deste livro no Brasil é um marco, mostrando uma visão integrada e estratégica, que vai muito além das ferramentas e das soluções prontas do mercado. João Souza Neto APRESENTAÇÃO A Governança é um tema muito presente na sociedade moderna, pois procura apresentar o sistema pelo qual as organizações são dirigidas e monitoradas, melhorando a transparência e a responsabilização das decisões nas corporações. A governança é um tema multifacetado e por isso a Governança da Segurança da Informação exerce seu papel trazendo o foco da discussão para a Segurança da Informação. A obra inicia abordando a relação entre o planejamento estratégico e a segurança da informação. Remete o debate sobre segurança da informação para o nível estratégico da organização, colocando a questão em termos de danos potenciais e do eventual prejuízo financeiro que ela trará. O entendimento dessa relação auxiliará a alta direção da empresa a reconhecer a importância dos investimentos em segurança da informação para a organização. O capitulo 1 apresenta os principais conceitos e princípios da segurança da informação que serão utilizados ao longo de toda a obra. O capítulo 2 trata do ciclo de vida da informação e os principais cuidados que devemos tomar com a segurança dos ativos da informação. O capitulo 3 trabalha a organização da função segurança da informação nas empresas. Apresenta algumas possibilidades com suas características, vantagens e desvantagens e ainda apresenta os profissionais que trabalham com segurança da informação. O capítulo 4 mostra a importância de classificar os ativos da informação apresentando um roteiro de como fazê-lo utilizando a ISO27002. O capitulo 5 trata dos aspectos humanos da segurança da informação, onde as pessoas são consideradas o elo mais frágil dessa corrente e como a engenharia social atua nessa fragilidade. O capítulo 6 apresenta os pilares da governança da segurança da informação e faz a separação conceitual entre os termos gestão e governança. Os capítulos 7 e 8 desenvolvem a governança da segurança da informação segundo o COBIT 5 e a ISO27014. Nesses capítulos vamos entender como essa faceta da governança deve ser aplicada nas organizações. Os capítulos 9 ao 13 apresentam os planos da segurança da informação: O Planejamento Estratégico da Segurança da Informação, no capítulo 9; o Plano Diretor da Segurança da Informação, no capítulo 10; a Política de Segurança da Informação, no capítulo 11; o Plano de Continuidade é visto no capítulo 12 e no capítulo 13 temos o Plano de Contingência. Por fim, o capitulo 14 apresenta um conjunto de reflexões sobre o impacto da segurança da informação no desenvolvimento de software. Nesse capítulo são apresentados os aspectos de segurança no desenvolvimento de software, a influência das normas de segurança na produção de software, o perfil dos recursos humanos na produção de software seguro e os novos desafios da área de produção de software no contexto da cibersegurança. O autor apresenta um framework a ser seguido na preparação dos aplicativos para a cibersegurança. Mauricio Rocha Lyra Sumário ESTRATÉGIA E SEGURANÇA DE INFORMAÇÃO ............................................................................ 1 CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO .................................................... 9 O CICLO DE VIDA DA INFORMAÇÃO ........................................................................................... 21 ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO ................................................................... 27 CLASSIFICAÇÃO DOS ATIVOS DA INFORMAÇÃO ......................................................................... 37 ASPECTOS HUMANOS DA SEGURANÇA DA INFORMAÇÃO ......................................................... 47 GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO .................................................................... 59 GOVERNANÇA DA SEGURANÇA DA INFORMAÇÃO SEGUNDO A ISO 27014:2013 ...................... 67 GESTÃO DA SEGURANÇA DA INFORMAÇÃO SEGUNDO O COBIT 5 ............................................ 77 O PLANEJAMENTO ESTRATÉGICO DA SEGURANÇA DA INFORMAÇÃO – PESI ............................ 95 PLANO DIRETOR DE SEGURANÇA DA INFORMAÇÃO ................................................................ 105 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ........................................................................... 117 PLANO DE CONTINUIDADE DE NEGÓCIOS ................................................................................ 125 PLANO DE CONTINGÊNCIA ....................................................................................................... 135 ASPECTOS DA SEGURANÇA DA INFORMAÇÃO NA PRODUÇÃO DE SOFTWARES ...................... 145 Governança da Segurança da Informação 1 INTRODUÇÃO ESTRATÉGIA E SEGURANÇA DE INFORMAÇÃO Autor: Paulo RogérioFoina Que a Tecnologia da Informação é fundamental para a operação das empresas, já é um fato consolidado e exaustivamente debatido na bibliografia, assim como a necessidade de se preservar os sistemas dos ataques de hackers e as informações dos vazamentos não autorizados. O que queremos mostrar neste capítulo é a necessidade de se tratar a segurança da informação no nível estratégico das organizações e não deixar essa tarefa apenas para as equipes técnicas especializadas. Para se estabelecer o grau de importância para as informações, que existem dentro de uma organização, é necessário avaliar o dano que a sua perda, ou o seu vazamento, poderá provocar para a operação ou para os negócios. Essa análise deve ser feita durante o planejamento estratégico da empresa O planejamento estratégico, que as organizações realizam periodicamente, se destina a uma reavaliação crítica da sua situação atual e o estabelecimento de objetivos (estratégicos) para os próximos anos. É nesse planejamento que se estabelece objetivos de lançamento de novos produtos, entrada ou saída de mercados, aquisições, expansões e todos os demais objetivos que afetam a organização como um todo (FOINA, 2013). Um planejamento estratégico é realizado em três etapas básicas: a) etapa de diagnóstico: onde é analisada criticamente a situação atual da organização em relação aos objetivos propostos anteriormente; b) etapa de prospecção: nessa etapa são desenhados os cenários futuros para o ecossistema da organização e estabelecidos novos objetivos estratégicos para os próximos anos; b) etapa de elaboração de planos: os objetivos estratégicos estabelecidos são desdobrados em planos de ações para cada área de organização (finanças, marketing&vendas, recursos humanos, tecnologia, Governança da Segurança da Informação 2 produção etc.). Posteriormente os planos de ações receberão metas objetivas e orçamentos necessários para a sua realização (Da VEIGA, 2010). Propomos uma escala de cinco níveis de sensibilidade a ser aferida para cada conjunto de informações referentes a uma mesma entidade ou conceito: Nível 1 – Informação pública – informação que foi obtida sem ônus, de fontes públicas, ou que foi produzida internamente pela empresa mas que tem interesse público. Essas informações não precisam de controle de acesso e de distribuição. Apenas deve-se cuidar para que elas não sejam danificadas ou alteradas. São exemplos de informações de nível 1: Dados do balanço de empresas de capital aberto; Lista de produtos; Notícias sobre a empresa. Nível 2 – Informação restrita - informação que foi adquirida de terceiros com cláusula de sigilo mas que outras empresas também podem adquirir, ou que foi produzida pela empresa e que tem interesse restrito à ela. Essas informações, se vazadas, podem comprometer a imagem da organização mas não sua operação. São exemplos de informações de nível 2: Relatórios de consultoria sobre empresas concorrentes; Dados pessoais dos funcionários e executivos da empresa; Relatos de defeitos de produtos e serviços. Nível 3 – Informação sigilosa - informação que foi obtida, com exclusividade, de terceiros, ou que foi produzida pela empresa e que trata de decisões, processos ou produtos críticos para a sua operação. Essas informações, se vazadas ou danificadas, podem gerar decisões erradas e prejudiciais para a operação da empresa ou inviabilizar o lançamento de um novo produto ou serviço. São exemplos de informações de nível 3: Relatórios de investigação de práticas concorrenciais ilegais; Detalhes sobre campanhas de lançamento comercial; Detalhes sobre planos de fusão, aquisição ou fechamento de empresas. Nível 4 – informação secreta – informação referente a detalhes de produtos e serviços que estão em processo de desenvolvimento ou, decisões sobre significativas alterações do valor patrimonial da empresa. Essas informações, se vazadas ou danificadas, podem comprometer o protagonismo no lançamento de um novo produto ou ainda permitir que concorrentes o lancem antes da empresa. Podem ainda inviabilizar fusões ou aquisições de empresas ou, pior, leva a empresa a ser alvo de investigação por parte da CVM. São exemplos de informações de nível 4: Detalhes de produtos e serviços em desenvolvimento; Detalhes sore a negociação de compra ou venda de empresas ou filiais; Relatórios sobre falhas graves, em produtos, serviços ou processos internos, que podem afetar o valor das ações da empresa na bolsa de valores; Governança da Segurança da Informação 3 Nível 5 – Informações ultra secretas– informações sobre atos e fatos da organização cujo acesso é limitado apenas à mais alta direção executiva e seus acionistas. Essas informações, se vazadas, podem levar a ações judiciais à empresa ou a seus executivos e acionistas. Compreendem ainda informações sobre segredos industriais que diferenciam a empresa de seus concorrentes. São exemplos de informações de nível 5: Detalhes sobre operações ilícitas ou de alto risco jurídico; Segredos industriais sobre componentes, insumos ou processos de produção dos principais produtos da empresa ainda não patenteados ou protegidos por lei. As informações de níveis 1 e 2 não precisam ser tratadas pelo nível estratégico da empresa, bastando as salvaguardas tradicionais das áreas técnicas. Já as demais precisam ser consideradas no planejamento estratégico, pois sua guarda e proteção implicam em despesas significativas e riscos a serem mitigados e compartilhados pela alta direção. As informações de nível 5 devem ficar fora das redes corporativas (em computadores isolados) e, preferencialmente, não documentadas sob qualquer meio ou formato. A separação das informações nesses níveis de sensibilidade permite que sejam planejados investimentos de salvaguardas e de proteção adequados para cada uma delas, reduzindo assim os custos totais e permitindo a atribuição de responsabilidades explícitas para as pessoas que as manipulam (DOHERTY, 2005). Para o planejamento das ações de proteção e salvaguarda das informações podemos usar uma tabela, como mostrado a seguir. Nesta tabela colocamos os conjuntos de informações de acordo com o seu nível de sensibilidade (NS) e, nos campos de ações de proteção e de controle de acesso, as ações que precisam ser feitas para garantir o sigilo e integridade em cada um dos níveis de sensibilidade. No exemplo mostrado na tabela a seguir vemos que uma mesma ação de TIC pode atender a várias ações de proteção e de controle. Quando isso acontece, o curso dessas soluções pode ser compartilhado pelas ações estratégicas correspondentes aumentando o retorno financeiro da sua implantação. A estimativa de dano potencial corresponde ao valor necessário para corrigir ou reparar o dano provocado pelo vazamento ou pela alteração das informações. Esse valor pode ser baixo, como por exemplo o custo para restaurar um backup do dia anterior, ou pode ser muito alto, como o pagamento de multas elevadas aplicadas pelos órgãos de controle ou ainda os custos dos honorários de advogados a serem contratados para defender a empresa e seus executivos. Governança da Segurança da Informação 4 Tabela de Ações Estratégicas de Segurança NS Conjunto de informações Ações de Proteção Ações de Controle de Acesso Dano Potencial (R$) Ações de TIC Custos Estimados (R$) 2 Cadastros de clientes Backups periódicos Controles e acesso automáticos Médio (~R$ 50k) Software de backup R$ 20k LDAP R$ 20k 2 Cadastros de Contas a Pagar e Receber Backups periódicos Controles e acesso automáticos Médio (~R$ 50k) Software de backup R$ 20k LDAP R$ 20k 4 Documentos de projetos de pesquisapara novos produtos Armazenag em em subrede segregada da Internet com criptografia Biometria avançada Altíssimo (> R$ 10 milhões) SW Criptografia R$ 20k Subrede com storage R$ 50k Disp. Biométricos R$ 30k 4 Ata de reuniões do Conselho de Administração Armazenag em em subrede segregada da Internet com criptografia Acesso apenas pelo presidente e secretário com biometria Alto (acima R$ 1 milhão) SW Criptografia R$ 20k Subrede com storage R$ 50k Disp. Biométricos R$ 30k 5 Relatórios de ações políticas para promoção do setor Armazenag em em dispositivos isolados de posse da Presidência Acesso apenas pelo presidente Altíssimo (acima R$ 1 milhão) SW Criptografia R$ 20k Storage R$ 10k 1 Balanços publicados Backup periódico Controle de acesso por senhas Baixo (< R$ 10.000) Software de backup R$ 20k 1 Cadastros de produtos e preços Backup periódico Controle de acesso por senhas Baixo (< R$ 10.000) Software de backup R$ 20k Governança da Segurança da Informação 5 As ações de proteção e controle de acesso devem ser ações de nível estratégicas que definam parâmetros gerais para proteger as informações de contra danos (alterações indevidas) e vazamentos não autorizados. Cada uma dessas ações será posteriormente desdobrada em ações de TIC capazes de implementar essas ações estratégicas. Cada uma das ações de TIC deve ser avaliada e ter um custo estimado para sua implantação, assim como, a cada conjunto de informações, deve ser estabelecido um valor decorrente do dano em caso de seu vazamento ou alteração indevida. A comparação entre o valor do potencial dano versus o custo para a sua proteção dará uma dimensão da viabilidade, ou não, de se implementar as ações preconizadas. A análise proposta objetiva o reconhecimento da alta direção da empresa da importância dos investimentos em segurança da informação para a organização. Sem essa explicitação fica muito difícil para o gestor de TIC justificar os investimentos e gastos com os aparatos de segurança. Lembramos que a alta direção das organizações não precisa conhecer tecnologia mas deve saber muito bem como avaliar investimentos e os retornos financeiros esperados. É nessa linguagem que o gestor de TIC precisa fundamentar suas necessidades orçamentárias para oferecer a segurança desejada pela organização. Ao trazer a discussão sobre segurança da informação para o nível estratégico da organização, colocamos a questão em termos de danos potenciais e do eventual prejuízo financeiro que ele trará, se não for adequadamente tratado. Ao mesmo tempo, envolvemos toda a alta direção nessa questão facilitando a implantação de procedimentos e normas de controle e gestão de informação. Notem que em nenhum momento da discussão com a alta direção, são abordadas as ferramentas e tecnologias envolvidas mas sim as questões financeiras envolvidas numa potencial invasão dos sistemas de informação. A alta direção da organização deve preservar os interesses dos acionistas (ou da sociedade, em caso de organizações públicas) e por isso deve estar bem informada sobre os investimentos a serem realizados, sejam eles para qual finalidade for. Cada valor investido deve ter, em contrapartida, um valor maior de retorno, caso contrário não vale a pena ser feito. Com a base de comparação investimento/retorno é sempre monetária, é fundamental que os gestores de TIC consigam transformar os benefícios esperados com seus investimentos em valores monetários comparáveis com os valores a serem investidos. Aqui reside o maior desafio para os gestores de TIC: converter benefícios intangíveis em benefício monetizados. É preciso ter sempre em mente que todo gasto com TIC deve ser encarado como um investimento e, Governança da Segurança da Informação 6 portanto, deve trazer benefícios financeiros tangíveis e mesuráveis. O envolvimento dos setores afetados com a maior exposição ao risco ajuda a estabelecer o valor do eventual dano para a empresa. Uma informação terá maior probabilidade de ser atacada quanto maior o valor dela para o atacante. Por essa razão, a ponderação do dano potencial pela probabilidade de ocorrência, como fazemos nas análises de riscos de projetos, não é suficiente para a definição dos investimentos necessários para a mitigação desses riscos. É preciso avaliar também os impactos desses ataques para a imagem e reputação da organização junto ao seu mercado. Com e elevado grau de digitização das empresas e da sociedade, o acesso indevido a dados empresariais passou a ser muito fácil e rentável para os hackers e crackers. Os melhores programadores são contratados por empresas criminosas especializadas em roubar dados relevantes ou até mesmo “sequestrar” diretórios inteiros cobrando assim um resgate para liberar esses dados1. Não são apenas empresas que estão sujeitas ao roubo de dados. As pessoas físicas também podem ser afetadas. Recentemente um famoso site de encontros extraconjugais teve os dados dos seus usuários roubados e foi ameaçado de divulga-los se não se retratasse publicamente. Como a empresa não cedeu aos criminosos esses dados foram tornados públicos. Alguns usuários receberam ainda ameaças de divulgação pública do seu nome e das conversas trocadas no site se eles não fizessem um pagamento em Bitcoins2 para esses criminosos. 1 O sequestro de arquivos é feito através do acesso criminoso aos arquivos e a criptografia deles com chave conhecida apenas pelo sequestrador. Se a empresa não tiver backups seguros e atualizados desses dados ela poderá ser obrigada a pagar o resgate cobrado para poder receber a chave de criptografia usada pelos criminosos. 2 Bitcoins é uma moeda virtual muito usada em transações na Internet e que, por não ter registro público, dificulta o rastreamento do seu fluxo. Governança da Segurança da Informação 7 Referências FOINA, P.R., Tecnologia da informação: planejamento e gestão, 3ª edição, Ed. Atlas, 2013 DOHERTY, N.F., FULFORD, H., Aligning the information security policy qwith the stracegic information systems plan, Computer & Security, 2005, vol. 25 Da VEIGA, A., ELOFF , J.H.P., A framework and assessment instrument for information security culture, Computers & Security, 2010, Vol. 29 Sobre o autor Paulo Rogério Foina Físico com mestrado e doutorado em informática. Professor, executivo e empresário de computação há mais de 30 anos. Coordena os cursos de graduação em Ciência da Computação e o programa de pós-graduação em Gestão de Tecnologia (Governança de TI e Gerência de Projetos de TI) do Centro Universitário de Brasília - UniCEUB Governança da Segurança da Informação 8 Governança da Segurança da Informação 9 CAPÍTULO 1 CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO Autor: Fábio Cabral Torres 1.1 Segurança da Informação De uma forma simples e direta, a Informação pode ser definida por um conjunto de dados tratados e organizados de tal maneira que tragam algum significado ou sentido dentro de um dado contexto. A título de exemplo, imagine um encontro entre dois profissionais onde um deles, em um determinado momento, proferisse somente a palavra “Segurança”. A princípio, tal palavra não traz nenhum sentido ao profissional receptor da mensagem. Não há um contexto; Não há um significado. Portanto, até o momento, a palavra “Segurança” representou apenas um dado qualquer, um dado bruto, um fato, um elemento não interpretado.Entendido isto, imagine a mesma situação, porém, com uma pequena mudança: O profissional profere uma mensagem da seguinte forma “Estudo Segurança da Informação”. Perceba que desta maneira, o profissional receptor da informação será capaz de compreender a mensagem. Portanto, a presença de um contexto definido (neste caso, o contexto da segurança da informação) e da organização e tratamento dos dados não interpretados (estudar, segurança e informação) trouxe um sentido (significado) para a frase. Trazendo este entendimento para o lado das organizações, a informação não se trata de um conceito atual. Desde a Era Industrial (inclusive antes disso) até os dias de hoje, a informação é consumida para suprir determinadas necessidades como tomada de decisões estratégicas, incremento de produtividades, aumento da competitividade no mercado, redução de custos, publicidades e marketing, prospecções de negócios, construções de pontes, investimentos em bolsas de valores, compra de produtos, dentre várias outras. A informação é crítica para negócio de uma organização. Importante destacar também que a informação pode assumir diferentes formas como informação falada, escrita, guardada eletronicamente, impressa, etc. Devido à tamanha importância da informação, a necessidade de protegê-las passou a ser crucial para estas organizações. Afinal de contas, que empresa quer que suas estratégias de negócio sejam vistas pelos seus Governança da Segurança da Informação 10 concorrentes? Ou que executivo, em um momento de decisão de compra de uma determinada empresa, gostaria de ter sua informação manipulada e alterada? De fato, percebe-se que a falta de uma correta abordagem da segurança da informação pode trazer altíssimos prejuízos para uma empresa. Definido o conceito de informação, faz-se necessário definir o que seria a Segurança da Informação. Há várias definições de diversos autores, porém, destacam-se três, sendo as duas primeiras mais formais e a terceira, mais comum: 1) Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. (ABNT NBR ISO/IEC 27002: 2005) 2) Podemos definir a Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. (Sêmola, 2003, p. 43). 3) A segurança de informação é caracterizada pela aplicação adequada de dispositivos de proteção sobre um ativo ou um conjunto de ativos visando preservar o valor que este possui para as organizações. A aplicação destas proteções busca preservar a confidencialidade, a integridade e a disponibilidade (CID), não estando restritos somente a sistemas ou aplicativos, mas também informações armazenadas ou veiculadas em diversos meios além do eletrônico ou em papel. (Bastos & Caubit, 2009, p. 17). Verificado os conceitos expostos acima, percebe-se um aspecto comum a todos eles: os elementos “confidencialidade, integridade e disponibilidade” – conhecidos por diversos autores como “CID”. Tais elementos não são uma mera coincidência, mas sim, os três pilares principais (ou princípios básicos) da Segurança da Informação. Como diria (Lyra, 2008, p.4), Quando falamos em segurança da informação, estamos nos referindo a tomar ações para garantir a confidencialidade, integridade, disponibilidade e demais aspectos da segurança das informações dentro das necessidades do cliente. Vejamos os conceitos destes três principais pilares: • Confidencialidade: “Garantia de que o acesso à informação é restrito aos seus usuários legítimos.” (Beal, 2008, p. 1). Ou seja, seu acesso é permitido apenas a determinados usuários. Governança da Segurança da Informação 11 • Integridade: “Toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais” (Sêmola, 2003, p. 45). Ou seja, informação não adulterada. • Disponibilidade: “Garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna” (Beal, 2008, p. 1). Ou seja, independente da finalidade, a informação deve estar disponível. Além destes, segundo Lyra (2008, p.4), podemos citar mais alguns aspectos complementares para garantia da segurança da informação: • Autenticação: “Garantir que um usuário é de fato quem alega ser”. • Não repúdio: “Capacidade do sistema de provar que um usuário executou uma determinada ação”. Lyra (2008, p.4) • Legalidade: “Garantir que o sistema esteja aderente à legislação”. • Privacidade: “Capacidade de um sistema de manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações”. • Auditoria: “Capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque”. A segurança da informação é alcançada através de um conjunto de práticas e atividades como a definição/elaboração de processos, políticas de segurança da informação (PSI), procedimentos, treinamento de profissionais, uso de ferramentas de monitoramento e controle, dentre outros pontos. E o que proteger? Aquilo que tenha algum valor para seu negócio/organização: Os ativos de informação! 1.2 Ativo de Informação De acordo com a ISO/IEC 27001:2005, um ativo é “qualquer coisa que tenha valor para organização”. Portanto, podem existir diversos tipos de ativos incluindo a própria informação (contratos e acordos, documentações de sistema, bases de dados, manuais de usuário, trilhas de auditoria, planos de continuidade, etc), pessoas e suas qualificações/experiências, ativos de software (sistemas, aplicativos, ferramentas, etc), ativos físicos (mídias Governança da Segurança da Informação 12 removíveis, equipamentos computacionais, equipamentos de comunicação, etc), serviços (iluminação, eletricidade, refrigeração, etc) e aqueles que são intangíveis como é o caso da reputação da organização. (ABNT NBR ISO/IEC 27002:2005) Fonte: LYRA (2008) – Adaptado pelo Autor Um dos fatores críticos de sucesso para a garantia da segurança da informação é a correta identificação, controle e constante atualização dos diferentes tipos de ativos (inventário). Com a finalidade de alcançar uma correta proteção, torna-se importante conhecer o que seria a Gestão de Ativos. Como principio básico, é recomendado que todo ativo seja identificado e documentado pela organização. A cada um deles deve-se estabelecer um proprietário responsável cujo qual lidará com a manutenção dos controles. Controles estes que podem ser delegados a outros profissionais, porém, sempre sob a responsabilidade do proprietário. Pode-se resumir o que foi dito nos dois parágrafos acima pelo quadro abaixo: Quadro 1: Gestão de Ativos – Responsabilidade pelos Ativos Fonte: ABNT NBR ISO/IEC 27001:2006 Governança da Segurança da Informação 13 Sabendo da responsabilidade dos ativos, deve-se realizar a sua correta classificação com base na importância, criticidade, sensibilidade e seu valor para o negócio. Como resultado, será possível definir os níveis adequados de proteção. (ABNT NBR ISO/IEC 27002: 2005) Quadro 2: Gestão de Ativos – Classificação da Informação De acordo com Beal (2008, p. 63), a classificação dos ativos “ocorre de acordo com o valor e o grau de sensibilidade atribuído pela organização”. Logo, muitos ativos com alto grau de sensibilidade, alto impacto no negócio ou no processo, resultam em alto investimento. Uma criteriosa classificação dos ativos está diretamente ligadaao custo dispendido para “proteger” (não somente a classificação), visto que, através desta, serão definidos o que tem necessidade de ser protegido e o que não tem. Destaca-se que nem todo ativo tem alto grau de sensibilidade, portanto, nem todo ativo deve ser protegido. A classificação eficiente é aquela que considera as necessidades do negócio, consequentemente, convém que seja feita por alguém que possua elevado conhecimento do negócio da organização. Para mais detalhes sobre classificação dos ativos, vide capítulo 4 mais adiante. 1.3 Vulnerabilidade A vulnerabilidade está intimamente ligada ao ponto fraco de um ativo, ou seja, pode ser entendida como uma fragilidade. Trata-se de um erro no procedimento (no caso de sistemas), falha de um agente ou má configuração dos aplicativos de segurança, de maneira não proposital ou proposital, gerando assim, uma informação não confiável. Quando isso ocorre, temos um “rompimento” de um ou mais princípios da segurança da informação. Beal (2008, p. 14) elucida o conceito de vulnerabilidade como sendo uma “fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque”. Em complemento a este conceito, Lyra (2008, p.06) afirma que: Fonte: ABNT NBR ISO/IEC 27001:2006 Governança da Segurança da Informação 14 Essas vulnerabilidades poderão ser exploradas ou não, sendo possível que um ativo da informação apresente um ponto fraco que nunca será efetivamente explorado. Após serem detectadas falhas é necessário tomar algumas providências. O primeiro passo é identificar a falha, onde esta aconteceu e tentar corrigi-la da melhor maneira. Sêmola (2003, p.48) cita exemplos de vulnerabilidades: Físicas - Instalações prediais fora do padrão; salas de CPD mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio. Naturais - Computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc. Hardware - Falha nos recursos tecnológicos (desgaste, obsolescência, má utilização) ou erros durante a instalação. Software - Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário. Mídias - Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas. Comunicação - Acessos não autorizados ou perda de comunicação. Humanas - Falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões ou guerras." 1.4 Ameaça No começo deste capítulo, ao definirmos o conceito de Segurança da Informação, foi lançada a seguinte questão: “O que proteger?”. A partir de então, foi destacado que o objetivo da segurança era garantir a confidencialidade, integridade e disponibilidade (e, como vimos, vários outros aspectos) dos elementos de valor da organização, ou seja, dar proteção adequada aos ativos da informação que representassem alta Governança da Segurança da Informação 15 sensibilidade/criticidade para o negócio, preservando assim, os pilares da segurança da informação. Após a questão “O que proteger” podemos inserir um novo elemento para discursão: “Contra que será protegido?”. A resposta para esta pergunta é relativamente simples: De ameaças! Beal (2008, p.14) define ameaça como sendo “a expectativa de acontecimento acidental ou proposital, causado por um agente, que pode afetar um ambiente, sistema ou ativo de informação”. Estes agentes podem ser pessoas, eventos, meio ambiente, sistemas, etc. Exemplos de ameaças acidentais são falhas de hardware, desastres naturais, erros de programação, etc; enquanto que ameaças propositais podem entendidas por roubos, invasões, fraudes, dentre outros. No que tange às ameaças propositais, podem ser passivas ou ativas, como podemos ver na explicação de Dias (2000, p.57): • Ativas: “Envolvem alteração de dados”. • Passivas: “Envolvem invasão e/ou monitoramento, mas sem alteração de informações”. Sêmola (2003, p. 47) também classifica as ameaças quanto a sua intencionalidade assumindo que as mesmas podem ser divididas em três grupos: • “Naturais: Ameaças decorrentes de fenômenos da natureza” • “Involuntárias: Ameaças inconsistentes, quase sempre causadas pelo desconhecimento.” • “Voluntárias: Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.” 1.5 Ataque Conhecidos os conceitos de Vulnerabilidade e Ameaça, torna-se fácil compreender o que seria um ataque. Segundo Beal (2008, p.14), trata-se de um “evento decorrente da exploração de uma vulnerabilidade por uma ameaça”, em outras palavras um ataque representa a concretização de uma ameaça. Ataques podem ter como foco diferentes princípios da segurança. Um exemplo seria a invasão de uma rede corporativa por um hacker a deixando inoperante. Tal resultado está diretamente ligado ao princípio da disponibilidade, visto que, a informação requerida pelo usuário provavelmente não poderá ser acessada (não estará disponível). Em complementação a essa Governança da Segurança da Informação 16 situação hipotética, suponhamos que o mesmo invasor, além de tornar a rede inoperante, tenha adulterado um arquivo, logo, além da quebra da disponibilidade, este acaba de praticar a quebra de integridade. Segundo Dias (2000, p.77), os ataques podem ser categorizados em passivos e ativos: • Passivos: São aqueles que não interferem no conteúdo do recurso que foi atacado, como por exemplo, observação e conhecimento de informações armazenadas nos sistemas institucionais ou análise de tráfego de uma rede. • Ativos: Prejudicam diretamente o conteúdo do recurso atacado, modificando e eliminando informações ou gerando informações falsas. 1.6 Incidente de Segurança Conforme exposto na ISO/IEC TR 18044:2004, um incidente pode ser entendido por “um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação”. Ou seja, eventos de segurança indesejados que violem algum dos principais aspectos da segurança da informação (Confiabilidade, integridade, disponibilidade, dentre outros). São exemplos de incidentes de segurança a perda da integridade de informações, divulgações indevidas, desastres causados por fenômenos da natureza (incendidos, inundações, etc), quedas de energia, greves, invasões por hackers, defeito em equipamentos e muitos outros. Outro conceito que une definição e exemplo prático de incidente de segurança foi explanado por Beal (2008, p. 15): Incidente: evento com consequências negativas resultante de um ataque bem-sucedido. Exemplos de incidentes: dados incorretos armazenados num sistema, inundação que danifica máquinas do CPD, pagamento indevido em decorrência da inclusão indevida de fatura de compra no sistema. Tais incidentes podem não se concretizar, em caso de ataque, se houver controles suficientes para interrompê- los (rejeição de dados incorretos inseridos pelos usuários, barreiras e alertas para evitar que o vazamento de água atinja os equipamentos, controles gerenciais que impeçam o pagamento sem a prévia conferência por umsupervisor). Para fornecer orientações a respeito do gerenciamento de incidentes de segurança da informação voltadas a organizações de grande e médio porte, não podemos deixar de destacar a ISO/IEC 27035:2011. Seu escopo Governança da Segurança da Informação 17 apresenta uma abordagem estruturada e planejada para as seguintes atividades (porém não se limitando): • Detectar, relatar e avaliar os incidentes de segurança da informação; • Responder e gerenciar incidentes de segurança da informação; • Melhorar continuamente a segurança da informação e o gerenciamento de incidentes; A falta de uma correta gestão dos incidentes de segurança da informação podem causar sérios danos para os negócios. Em outras palavras, um incidente pode ou não trazer um impacto, sendo este último mensurado pela consequência que este causa ao ativo da organização. Logo, um ativo de considerável valor implica em alto impacto e vice-versa. 1.7 Probabilidade e Impacto A Probabilidade é a possibilidade de uma falha de segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos ativo e as ameaças que porventura venham a influencia-lo (Lyra 2008, p. 06). Probabilidade, vulnerabilidade e ameaças estão fortemente ligadas. Em um entendimento mais simples, podemos dizer que a probabilidade trata-se das “chances” de uma vulnerabilidade se tornar uma ameaça. É perfeitamente possível que um ativo possua várias vulnerabilidades que não representem ameaças, ou seja, podemos falar de uma probabilidade próxima de zero. Porém, é possível que todas essas vulnerabilidades se tornem ameaças. Em se tratando de impacto, diferente da probabilidade, este se “localiza” após o incidente. Em outras palavras isso significa que um incidente de segurança da informação pode ou não causar um impacto nos processos/negócios da organização. Segundo Beal (2008, p.14) seria um “efeito ou consequência de um ataque ou incidente para a organização.". Complementando este conceito, podemos citar o trecho em que Lyra (2008, p.07) explica o que seria um impacto: "O impacto de um incidente de segurança é medido pelas consequências que possa causar aos processos de negócios suportados pelo ativo em questão. Os ativos possuem valores diferentes, pois suportam informações com relevâncias diferentes para o negócio da organização. Quanto maior for o valor do ativo, maior será o impacto de um eventual incidente que possa ocorrer." Governança da Segurança da Informação 18 Dias (2000, p.69) informa que o impacto pode ser pode ser de curto ou longo prazo em função do tempo em que atinge significativamente os negócios da instituição. Dentro deste contexto, temos as seguintes categorias: 0. Impacto irrelevante 1. Efeito pouco significativo, sem afetar a maioria dos processos de negócios da instituição. 2. Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras. 3. Perdas financeiras de maior vulto e perda de clientes para a concorrência. 4. Efeitos desastrosos, porém sem comprometer a sobrevivência da instituição. 5. Efeitos desastrosos, comprometendo a sobrevivência da instituição. Portanto, conhecidos os conceitos de Ativos de Informação, Vulnerabilidades, Agentes, Ameaças, Ataques, Incidentes de Segurança e Probabilidade e Impacto, vejamos um esboço gráfico que explica a conexão entre todas essas características de uma maneira mais simples. Imagem 1: Resumo - Relacionamento entre Características dos Ativos de Informação Fonte: O autor Governança da Segurança da Informação 19 1.8 Referências BEAL, Adriana. Segurança da Informação. Princípios e Melhores Práticas para a Proteção dos Ativos de Informação nas Organizações. São Paulo. Atlas, 2005 – Reimpressão 2008. BASTOS Alberto; CAUBIT, Rosângela. Gestão de Segurança da Informação. ISO 27001 e 27002 Uma Visão Prática. Rio Grande do Sul. Zouk, 2009. SÊMOLA, Marcos. Gestão da Segurança da Informação. Uma visão executiva. Rio de Janeiro. Elsevier, 2003 – 11º reimpressão. LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação Rio de Janeiro. Ciência Moderna, 2008. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:2005 Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2006. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005 Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2006. ISO/IEC 27035:2011 ISO/IEC 27035:2011, Disponível em: <http://www.iso.org/iso/catalogue_detail?csnumber=44379> Acesso em 03 de Outubro de 2015 Sobre o autor Fábio Cabral Torres Consultor da área de Desenvolvimento de Negócios, graduado em Ciência da Computação e Pós-graduando em Governança da TI; atua na elaboração de propostas técnicas e comerciais para serviços de Outsourcing de TI nas áreas de Application Management Services (AMS) e Gestão Tecnológica. Governança da Segurança da Informação 20 Governança da Segurança da Informação 21 CAPÍTULO 2 O CICLO DE VIDA DA INFORMAÇÃO Autores : Leonardo Carvalho Lima Rosemberg de Oliveira Santos O ciclo de vida da informação diz respeito a todos os momentos onde a informação é criada, até o momento da inutilidade dela acontecendo o descarte. A criação, obtenção, tratamento, distribuição, uso, armazenamento, descarte, podemos dizer, que essas etapas são a espinha dorsal da informação. O ciclo de vida da informação passa pela: 1. Identificação das necessidades e dos requisitos (Criação) Identificar as necessidades de informação dos grupos e indivíduos que integram a organização e de seus públicos externos é um passo fundamental para que possam ser desenvolvidos serviços e produtos informacionais orientados especificamente para cada grupo e necessidade interna e externa. O esforço de descoberta das necessidades e dos requisitos de informação é recompensado quando a informação se torna mais útil e os seus destinatários, mais receptivos a aplicá-la na melhoria de produtos e processos (usuários internos) ou no fortalecimento dos vínculos e relacionamentos com a organização (usuários externos). (BEAL, 2008) 2. Obtenção Nesta etapa são desenvolvidos procedimentos para captura e recepção da informação proveniente de uma fonte externa (Em qual quer mídia ou formato), ou da sua criação. No caso da captura de informações de fontes externas, devemos ter a preocupação com integridade da informação, ou seja, é preciso garantir que é genuína, produzidas por pessoas ou entidades autorizadas, está completa e compatível com os requisitos apontados na etapa anterior. (LYRA, 2008) Governança da Segurança da Informação 22 3. Tratamento Antes de estar em condições de ser aproveitada é comum que a informação precise passar por processos de organização, formatação, estruturação, classificação, análise, síntese, apresentação e reprodução, com o propósito de torná-la mais acessível, organizada e fácil de localizar pelos usuários. Nesta etapa, a preocupação com a integridade continua em evidência, principalmente se estiverem envolvidas técnicas de adequação do estilo e adaptação de linguagem, contextualização e condensação da informação, entre outras. O uso dessas técnicas deve levar em conta a preservação das características de quantidade e qualidade necessárias para que a informação efetivamente sirva ao fim a que se propõe. No caso das atividades de reprodução da informação para posterior distribuição, as questões relacionadas à preservação da confidencialidade podem adquirir grande relevância, uma vez que a existênciade diversas cópias de uma mesma informação, qualquer que seja a mídia utilizada (computador, papel, disquete, fita de áudio ou vídeo, etc.), amplia os problemas de restrição de acesso aos usuários devidamente autorizados. (BEAL, 2008) 4. Distribuição Esta etapa consiste em levar a informação até seus consumidores. Quanto mais capilar for a rede de distribuição, mais eficiente será esta etapa. Fazendo chegar a informação certa a quem necessita dela para tomada de decisão. (LYRA, 2008) 5. Uso O uso é sem dúvida a etapa mais importante de todo o processo de gestão da informação, embora seja frequentemente ignorado nos processos de gestão das organizações. Não é a existência da informação que garante melhore resultados em uma organização, mas sim o uso, dentro de suas finalidades básicas: conhecimento dos ambientes interno e externo da organização e atuação nesses ambientes (Chaumier, 1986). Na etapa de uso, os objetivos de integridade e disponibilidade devem receber atenção especial: uma informação deturpada, difícil de localizar ou indisponível pode prejudicar os processos decisórios e operacionais da organização. Como já mencionado, a preocupação com o uso legítimo da informação pode levar a requisitos de confidencialidade, destinados a restringir Governança da Segurança da Informação 23 o acesso e o uso de dados e informação as pessoas devidamente autorizadas. (BEAL, 2008) 6. Armazenamento Momento em que a informação é armazenada seja em um banco de dados compartilhado, em uma anotação de papel posteriormente postada em um arquivo de ferro, ou ainda, em uma mídia de disquete depositada na gaveta da mesa de trabalho, por exemplo. (SEMOLA, 2003) 7. Descarte Quando uma informação torna-se obsoleta ou perde a utilizada para a organização, ela deve ser objeto de processos de descarte que obedeçam a normas legais, políticas operacionais e exigências internas. Excluir dos repositórios de informação corporativos os dados e as informações inúteis melhoram o processo de gestão da informação de diversas formas: economizando recursos de armazenamento, aumentando a rapidez e eficiência na localização da informação necessária, melhorando a visibilidade dos recursos informacionais importantes etc. Entretanto, o descarte de dados e informação precisa ser realizado dentro de condições de Segurança, principalmente no que tange ao aspecto da confidencialidade, e, em menor grau, também de disponibilidade. No que tange à confidencialidade, o descarte de documentos e mídias que contenham dados de caráter sigiloso precisa ser realizado com observância de critérios rígidos de destruição segura (por exemplo, o uso de máquinas fragmentadoras para documentos em papel, ou de softwares destinados a apagar com Segurança arquivos de um microcomputador que, se simplesmente excluídos do sistema, poderiam ser facilmente recuperados com o uso de ferramentas de restauração de dados). Do ponto de vista da disponibilidade, as preocupações incluem a legalidade da destruição de informação que podem vir a ser exigidas no futuro e a necessidade de preservar dados históricos valiosos para o negócio, entre outras. São relativamente comuns os casos de descoberta de informações sigilosas ou dados pessoais sujeitos a normas de privacidade em computadores usados quando estes são transferidos de área, doados ou vendidos durante um processo de renovação do parque de computadores da organização. A existência de procedimentos formais de descarte de computadores e mídias pode evitar constrangimentos e prejuízos à imagem e a credibilidade da organização, possibilitando que os itens descartados sejam auditados e tenham seus dados apagados de forma segura antes de serem transferidos para os novos proprietários. (BEAL 2008) Governança da Segurança da Informação 24 Riscos e ameaças à informação durante o ciclo de vida Para mitigarmos os eventos de riscos de segurança da informação, podemos adotar as seguintes medidas: A tabela 01 (STONEBURNER, 2004), apresenta a relação entre uma descrição de cada objetivo de segurança (Integridade, disponibilidade e confidencialidade) com as consequências ou impactos caso tais objetivos não sejam alcançados. Tabela 01 – Objetivo de segurança e sua consequência para a organização. Objetivo de segurança Causa e consequências Perda de integridade Causa: Modificações não autorizadas sejam feitas de forma acidental ou intencional. Além disto, a violação da integridade pode ser o primeiro passo para um ataque com sucesso a disponibilidade ou confidenciabilidade da informação. Consequências: – Imprecisão das informações, fraude; – Tomada de decisão errada; – Reduz a garantia da informação. Perda de disponibilidade Causa: Se as informações não estiverem disponíveis para o usuário final, a missão da organização pode ser afetado. Consequências: – Perda de produtividade por parte dos usuários; – Impedir que os usuários executem suas atividades normalmente. Perda de confiabilidade Causa: Divulgação das informações de forma não autorizada. Consequências: – Comprometimento da credibilidade; – Embaraço ou ação legal contra a organização. Fonte: STONEBURNER (2004, p.25) Referências Governança da Segurança da Informação 25 ADACHI, Tomi. Gestão de Segurança em Internet Banking - São Paulo: FGV, 2004. 121p. Mestrado. Fundação Getúlio Vargas - Administração. Orientador: Eduardo Henrique Diniz. ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurança no Desenvolvimento de Software - Como desenvolver sistemas seguros e avaliar a segurança de aplicações desenvolvidas com base na ISO 15.408. Editora Campus. Rio de Janeiro, 2002. CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em Informática e de Informações - São Paulo: Editora SENAC São Paulo, 1999. DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Axcel Books. Rio de Janeiro, 2000. SEMOLA, MARCOS. Gestão da Segurança da Informação. Uma visão executiva Rio de janeiro: Editora Elsevier, 2003 BEAL, ADRIANA. Segurança da informação. Princípios e melhores práticas para a Proteção dos Ativos de Informação nas Organizações. São Paulo: Editora Atlas- 2008 LYRA, MAURICIO ROCHA. Segurança e Auditoria em Sistemas da Informação.Rio de janeiro: Editora Ciência Moderna Ltda-2008 Stoneburner, Gary GOGUEN. Alice & FERINGA.Alexis : Risk Management Guide for Information Technology Systems, NIST, Washington, 2004. CUNHA, Renato Menezes. Modelo de governança da segurança da informação no escopo da governança computacional. Recife, 2008. Governança da Segurança da Informação 26 Sobre os autores Leonardo Carvalho Lima de Sousa. Formando em Redes de computadores, Pós graduando em Governança de TI, atua na area a 7 anos ,com foco em areas voltadas para gestão de TI . Rosemberg de Oliveira Santos Escriturário do Banco de Brasília S.A, graduado em Gestão de Tecnologia da Informação e Pós-graduando em Governança da TI Governança da Segurança da Informação 27 CAPÍTULO 3 ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO Autor: Edilberg Nunes Barros Luana de Souza Estrela Diante das mudanças presenciadas por organizações de todo o mundo no cotidiano de suas atribuições corporativas e pela necessidade de acompanhar essas mudanças sem prejuízos informacionais e materiais, a tecnologia da informação tem sido utilizada nos diversos setores organizacionais com o objetivo de agregar valor ao negócio, minimizando as taxas de erros e aumentando o retorno do investimento aos acionistas. Atualmente a arquitetura corporativaé o termo, o conceito e a estrutura utilizados para transportar a organização do estágio do uso técnico da tecnologia para o estágio do uso direcionado dessa tecnologia para negócio. Isto exige transparência dos objetivos de negócio, padronizações, uso de soluções corporativas sem esquecer situações específicas, uso efetivo de governança e, sobretudo, desejo verdadeiro do comando da organização para isso. (Fontes, 2008, p.43). Entende-se que a arquitetura corporativa associa a tecnologia da informação com o objetivo de negócio e se tratando de tecnologia, existe a preocupação com a segurança da informação. A arquitetura da segurança da informação é um elemento da arquitetura corporativa, que para Fontes (2008), tem uma característica distinta dos outros elementos. Ela na sua estrutura permeia por todos os elementos da arquitetura corporativa. Uma arquitetura de segurança define padrões e estruturas que devem ser seguidas pela organização com o objetivo de proteger a informação considerando os requisitos de negócio. Caso a organização esteja muito confusa na pratica teremos um modelo a ser alcançado com dificuldade. Caso a organização esteja menos confusa, com algum esforço alcançaremos a situação desejada. (Fontes, 2008, p. 44). Espera-se que esta estrutura possibilite soluções para a corporação de modo a intensificar os controles de segurança da informação existentes, tomando por base, dentre outras, a Norma NBR ISO/IEC 27002, cujo objetivo é prover um modelo para estabelecer, implementar, operar, monitorar, analisar Governança da Segurança da Informação 28 criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). Para Fontes (2008), a governança é a gestão da gestão, sendo necessário que exista o básico da gestão da segurança da informação. Muitas organizações não possuem essa gestão básica e adotam a governança de tecnologia da informação. Para a gestão da segurança existir, Fontes (2008) sugere que alguns requisitos sejam implementados, sendo que o primeiro deles é a existência de uma pessoa responsável pelo processo de segurança da informação, não sendo essa pessoa responsável pela segurança, mas, responsável pelo processo de segurança, que terá como consequência uma boa política de segurança da informação implementada. O mesmo Fontes (2008), aponta a necessidade de disponibilidade financeira, tempo e recursos operacionais para a implementação do processo de segurança da informação e sua gestão, e por fim e não mais importante que os itens acima apresentados Fontes preconiza a necessidade de existir um processo de segurança que se inicie na alta administração da organização, uma vez que este processo interfere em muitos aspectos da organização e principalmente nas pessoas e cultura organizacional. Neste contexto a literatura já elaborada para a segurança da informação sugere o desenvolvimento de uma estrutura que dê suporte físico e geográfico aos processos de implementação de segurança, dentre os quais, apresenta-se o Escritório da Segurança da Informação, cujo objetivo é centralizar os recursos humanos, materiais e estruturais necessários ao desenvolvimento, implantação e acompanhamento das políticas de SI, ou como ocorre em alguns casos, os Comitês de Segurança da Informação, cujos objetivos assemelham-se aos do Escritório, porém, sem a necessidade de centralização dos recursos humanos, materiais e estruturais, necessários ao processo. Modelos da Organização da Segurança da Informação No que diz respeito às atribuições de cada uma das estruturas acima descritas, ambas possuem os mesmos propósitos, a saber: � Analisar o posicionamento da empresa no mercado em que se situa, visando mapear seus clientes, fornecedores, concorrentes, produtos/ serviços e os riscos que cada um destes pode representar à empresa; � Definir as políticas de controle de acesso físico às instalações da empresa; Governança da Segurança da Informação 29 � Implementar os aspectos sócio-técnicos da Segurança da Informação, mapeando as características sociais referentes ao ambiente da organização e as pessoas que nela vivem e trabalham; � Definir as políticas de controle de acesso lógico aos dados organizacionais; � Desenvolver a matriz de riscos do negócio, identificando, priorizando e qualificando todos os riscos inerentes ao processo mapeando pelo menos uma resposta a cada risco identificado; � Garantir a sustentabilidade do processo de controle da segurança da informação; � Escrever e implementar os acordos de nível de serviço de segurança da informação na empresa; � Avaliar novas tecnologias e suas devidas adequações e aplicações nos processos de segurança da informação organizacional; � Mapear e definir os planos de contingência dos processos organizacionais; � Definir os procedimentos a serem adotados em situações de crises, emergências e desastres para a continuidade de negócio; � Avaliar o nível de proteção atual dos processos organizacionais; � Garantir a eficácia dos processos da segurança da informação por meio de testes periódicos; � Desenvolver políticas de treinamento de funcionários visando garantir o comprometimento destes com os processos de SI organizacionais; � Aplicar políticas de certificação digital de segurança da informação; � Implementar políticas de desenvolvimento de software seguro; � Definir políticas de controle de versão de arquivos; � Promover auditorias nos processos sistêmicos organizacionais; � Regulamentar as políticas de uso dos recursos informacionais da empresa (computadores, redes de dados, e-mails corporativos, ferramentas de redes sociais, etc.). A implantação do Escritório de Segurança da Informação requer disponibilidade de um ambiente próprio para as instalações físicas e estruturais que darão suporte ao desenvolvimento das atividades descritas no item anterior, proporcionando que a equipe de analistas de Segurança da Informação possa compartilhar experiências, atividades e rotinas inerentes ao processo de suas atribuições diárias. Esta estrutura deve permitir o desenvolvimento das atividades de segurança da informação e possui a grande vantagem de disponibilizar em tempo integral – e em um local exclusivo e de Governança da Segurança da Informação 30 conhecimento de toda empresa – os recursos humanos e tecnológicos necessários aos andamentos das atividades de SI. Esta estrutura apresenta a desvantagem de contribuir com um custo fixo no plano de contas da organização pincipalmente pelo fato de manter disponíveis em tempo integral a equipe do escritório de segurança da informação, seu parque tecnológico e o ambiente físico (espaço) das instalações. Uma alternativa muito utilizada em empresas de todo mundo para manter uma estrutura de SI fugindo dos altos custos encontrados na implantação dos Escritórios de SI, é a adoção dos Comitês de Segurança da Informação, cujos propósitos são os mesmos dos Escritórios de SI, porém não existe a dedicação exclusiva dos recursos humanos e também não existe a disponibilidade física de um local destinado exclusivamente a este propósito. A adoção de Comitês de SI apresenta a desvantagem de não se ter em tempo integral uma equipe disponível para o cumprimento das atividades da governança de segurança da informação, fato que permite que os custos de um Comitê de SI sejam muito mais baixos que os custos de implantação de um Escritório de SI. No caso dos Comitês de SI, os profissionais alocados nas atividades de governança de segurança da informação continuam com suas atividades seculares em seus postos de trabalho, compartilhando suas horas de trabalho diárias também com os processos do Comitê de SI, motivo principal pelo qual os Comitês de SI possuemum custo menor que os Escritórios de SI. Abaixo são apresentadas as vantagens e desvantagens, tanto do Escritório quanto do Comitê de Segurança da Informação: Tabela 1 - Vantagens e Desvantagens dos Escritórios e Comitês de SI Vantagens Desvantagens Escritório de Segurança da Informação 1. Disponibilidade da equipe em um local fixo 2. Disponibilidade da equipe em tempo integral 3. Atribuições da equipe somente focadas em segurança da informação 1. Custo com local físico e equipamentos 2. Custo com pagamento de pessoal específico para segurança de informação Comitê de Segurança da Informação 1. Custo inexistente de pagamento para pessoal específico de segurança da informação 2. Custo inexistente com local físico 1. Não disponibilidade em tempo integral da equipe 2. Equipe com diversas atribuições além de segurança da informação Fonte: os autores Governança da Segurança da Informação 31 Localização na estrutura organizacional A localização departamental da célula de governança da segurança da informação pode apresentar-se hierarquicamente no mesmo nível da diretoria de tecnologia da informação ou pode apresentar-se subordinada a essa. Abaixo são apresentadas estas duas estruturas organizacionais com suas características: 1. Nesse modelo de estrutura organizacional a segurança da informação encontra-se subordinada à diretoria de TI, sendo assim, depende do orçamento da diretoria de TI e também das aprovações das políticas de TI. Figura 1 - Organograma funcional apresentando a gerencia de SI subordinada à diretoria de TI 2. Nesse modelo de estrutura de TI, a segurança da informação encontra-se no mesmo nível hierárquico que a Diretoria de TI, sendo assim, possui seu próprio orçamento, ficando independente para criação de políticas e tomadas de decisões. Figura 2 - Organograma funcional apresentando a gerencia de SI n mesmo nível hierárquico da diretoria de TI Governança da Segurança da Informação 32 Profissionais da Segurança da Informação Tal qual ocorre nas demais áreas da tecnologia da informação, a governança de segurança da informação também conta com diversas especialidades de atribuições de recursos humanos. A necessidade da distribuição dos profissionais de segurança da informação dá-se ao fato de que cada profissional precisa responsabilizar-se por determinadas atribuições técnicas para o desempenho dos papéis na segurança da informação organizacional. A informação é algo muito importante para a empresa e sua existência, pois observa-se a crescente necessidade de proteger seus ativos informacionais, por isso várias normas foram escritas para subsidiara área de segurança da informação. Para que essas normas fossem colocadas em prática e com excelência pela organização, foi preciso capacitar pessoas e desenvolver profissionais específicos para que a segurança da informação exista na organização. Esses profissionais têm a responsabilidade de estruturar, desenvolver, implementar e auditar os processos de proteção da informação organizacional. De acordo com a NBR ISO/IEC 27002, o profissional de Segurança da Informação deve possuir algumas características e responsabilidades, dentre as quais, citam-se: � Garantir que as atividades da Segurança da Informação sejam executadas em conformidade com a política de Segurança da Informação; � Buscar soluções adequadas à realidade da organização; � Estruturar o processo de segurança; � Trabalhar em paralelo com a auditoria; � Saber por onde começar. Serão apresentadas abaixo as principais atribuições da governança de segurança da informação, ordenadas do mais alto cargo (importância na cadeia hierárquica da GSI) para o mais baixo cargo, em outras palavras, ordenados do cargo mais estratégico ao mais técnico: Governança da Segurança da Informação 33 CSO – Chief Security Officer (Diretor Geral) Em conformidade com a NBR ISO/IEC 27002, este é o profissional responsável por dirigir toda a cadeia da segurança da informação corporativa do nível técnico ao gerencial estratégico. Entre suas responsabilidades estão, organizar e coordenar as iniciativas da SI que buscam a eficácia e a eficiência para a organização, estabelece procedimentos e transações corporativos. O CSO além de segurança deve conhecer sobre negócios e participar de todas as ações estratégicas da empresa, implantar políticas e escolher as melhores práticas para a necessidade do negócio. Deve atentar a toda forma de segurança, não somente a tecnológica, mas também a segurança física do local. O CSO deve proporcionar à empresa a diminuição de riscos nas operações. Qual a formação necessária? � Ciência da Computação; � Engenharia da Computação; � Auditoria de Sistema; � Governança de Tecnologia da Informação. CISM – Certified Information Security Manager São os profissionais que gerenciam, projetam, supervisionam e avaliam a segurança das informações na organização. Que experiências deve possuir? � Governança de Segurança da Informação; � Gerenciamento de Riscos das Informações; � Gestão de Programas de Segurança da Informação; � Gestão de Incidentes e Respostas em Segurança da Informação. Qual a formação necessária? � Ciência da Computação; � Engenharia da Computação; � Auditoria de Sistema; � Governança de Tecnologia da Informação; � Análise e Desenvolvimento de Sistemas. Governança da Segurança da Informação 34 CISP – Certified Information Security Profissional São os profissionais que realizam e operam as rotinas e protocolos da segurança das informações na organização. Que experiências deve possuir? � Governança de Segurança da Informação; � Gerenciamento de Riscos das Informações; � Desenvolvimento de Programas de Segurança da Informação; � Gestão de Incidentes e Respostas em Segurança da Informação. Qual a formação necessária? � Ciência da Computação; � Engenharia da Computação; � Governança de Tecnologia da Informação; � Análise e Desenvolvimento de Sistemas. CISA - Certified Information Systems Auditor São os profissionais que supervisionam e auditam a segurança das informações na organização. Que experiências deve possuir? � Governança de Segurança da Informação; � Gerenciamento de Riscos das Informações; � Gestão de Programas de Segurança da Informação; � Gestão de Incidentes e Respostas em Segurança da Informação. Qual a formação necessária? � Auditoria de Sistema; � Governança de Tecnologia da Informação; � Administração de Empresas com ênfase em Tecnologia da Informação; � Análise e Desenvolvimento de Sistemas. Governança da Segurança da Informação 35 Referencia Bibliográfica Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2013. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2013. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: Tecnologia da informação: técnicas de segurança. Rio de Janeiro, 2011. Fontes, Edson. Políticas e normas para a Segurança da Informação, Editora BRASPORT, 1ª edição, 2012 Fontes, Edson. Praticando a Segurança da Informação, Editora BRASPORT, 1ª edição, 2008. Sobre os autores Edilberg Nunes Barros. Analista de Infraestrutura de TI. Graduado em Sistemas de Informação. Certificado ITILV3F e ISO20000. Cursando MBA Governança de TI. Luana de Souza Estrela Graduação em Gestão Comercial pelo Senac DF, Pós- Graduação em Governançade TI pelo UniCeub, atua na área de Gerente Comercial. Governança da Segurança da Informação 36 Governança da Segurança da Informação 37 CAPÍTULO 4 CLASSIFICAÇÃO DOS ATIVOS DA INFORMAÇÃO Autor: Carlos Alberto Schneider 4.1 Classificação do Ativo da Informação A ABNT NBR ISO/IEC 27005 (2011) define que “um ativo é algo que tenha valor para a organização” e a ABNT NBR ISO/IEC 27003 (2011) apresenta como diretrizes para implementação do Sistema de Gestão da Segurança da Informação a “classificação da informação (confidencialidade, integridade, disponibilidade, controle de acesso, não repúdio, e/ou outras propriedades importantes para a organização [...]). A classificação abordada neste capítulo, busca manter o foco nas normas ABNT ISO/IEC, que trata da Segurança baseada nos três pilares; confidencialidade, integridade e disponibilidade. Figura 3 Momentos do ciclo de vida da informação, considerando os conceitos básicos da segurança e os aspectos complementares Fonte: Adaptado de Sêmola (2003, p 11); Governança da Segurança da Informação 38 4.1.1 Confidencialidade. Sêmola (2003) entende que toda a informação e os dados que a compões devem ser protegidas conforme o grau de sigilo atribuído a ela. Isso remete ao fato de que toda a informação deverá ter sua classificação conforme o nível de sigilo atribuído a seu conteúdo, cada dado ou a informação deve estar acessível apenas a quem tem declarada autorização para conhece-la. O Governo Brasileiro atribui os níveis Ultrassecreto, Secreto, Confidencial e Reservado, definido pelo Decreto nº 60.417, de 11 de março de 1967, já as empresas privadas costumam atribuir outras nomenclaturas como por exemplo: Restrita, Confidencial, Interna e Pública. A nomenclatura utilizada é uma adaptação de Lyra (2008) e Sêmola (2003), terá quatro níveis com os seguintes identificadores: Confidencial, Restrita, Interna e Pública. Esta classificação é meramente pedagógica, cada organização deve adotar a nomenclatura que melhor será entendia por seus intervenientes. Apesar de não ser obrigatório, o mais encontrado são quatro níveis de privacidade aplicados, porém pode ser utilizado mais ou menos níveis conforme a necessidade da organização. A informação classificada como Confidencial, está no mais alto grau de restrição, apenas pessoas que comprovadamente necessitem da informação, poderão ter acesso a ela, em condições bem definidas e aceitas. São informações que representam grande valor para a empresa, e a exclusividade é um fator relevante para a manutenção do sua importância e valor. Algumas informações podem se enquadrar nesse nível por força legal. O grau Confidencial, estabelece que deve estar claro quem pode ter acesso, e quem será responsabilizado caso identifique que parte ou toda a informação tornou-se pública, também deve ser definido como será feito a guarda, o acesso, o transporte ou transferência e o descarte, garantindo sua restrição. Recomenda-se atribuir um vencimento a essa classificação. Por exemplo: Um novo produto e sua estratégia de venda, é confidencial até o momento de seu lançamento, depois passa a ser pública. Outro exemplo de uma informação que pode ser classificada como confidencial: a fórmula de um remédio que ainda não foi registrado e patenteado. Informações Restritas, são classificadas nesse nível de sigilo, as que representam ativos para a empresa, ou por se tratar de conhecimento exclusivo, ou por normativos externos. O acesso a este conteúdo por pessoas ou processos não autorizados, pode gerar perdas para a organização. Entretanto, são necessárias para algumas pessoas ou setores dentro da organização realizarem seu trabalho. As informações podem se manter como restritas por longos prazos, devido a isso o planejamento do armazenamento deve prever todo o período, o acesso, o transporte, e o descarte, também não podem ser negligenciados. Exemplo de uma informação que pode ser classificada como restrita: o cadastro de cliente. Governança da Segurança da Informação 39 As informações Internas, não devem extrapolar o ambiente da organização, não representa ameaça significativa, mas o vazamento deve ser evitado. São enquadradas neste nível de sigilo as informações que qualquer membro da organização ou que esteja prestando um serviço para ela pode ter acesso para realizar suas atividades, este é considerado o menor grau de restrição ao acesso aos dados, porém ainda são informações que teve ter sua consulta identificada e autorizada, além de todos os demais ciclos da vida da informação observados. Exemplo de uma informação que pode ser classificada como interna: o processo de montagem em uma esteira de produção. Pública são todas as demais informações que no geral já são de conhecimento geral, interno e externo, que não apresente nenhum risco para a organização e seus intervenientes, estas informações podem ser divulgadas, sendo que a organização pode ter como objetivo a divulgação, e obter o alcance de um grande número de pessoas ou processos ciente da informação. Exemplo de uma informação que pode ser classificada como pública: os produtos ofertados pela empresa. 4.1.2 Disponibilidade Há duas formas de avaliar a disponibilidade, a primeira que apresentaremos, é em relação ao tempo estabelecido para sua apresentação, a segunda é a forma de acesso. Lyra (2008) afirma que a informação deve estar disponível no momento que é necessária, caso contrário pode perder sua utilidade, em alguns casos é previsto que as informações possam demorar até ser recuperada ou gerada, então recomenda atribuir um prazo para sua disponibilização, que pode variar de imediatamente até longos períodos. Considerando que uma informação que foi solicitada tenha uma aplicação definida, e a obtenção após o momento determinado para uso pode torná-la desnecessária, os prazos devem estar bem claros para evitar problemas nesse sentido. Cada organização deve estabelecer seus prazos para apresentação para as informações, como por exemplo a nomenclatura a seguir: imediatamente (até uma hora), urgente (até um dia), brevemente (até uma semana), tardio (até um mês), ou definir prazos mais curtos ou longos, permitindo que todos estejam cientes de qual a antecedência exigida para seu fornecimento. Um exemplo onde prazo é crucial, e quando há a necessidade de um relatório, para uma apresentação que ocorrerá em dois dias, se o relatório for obtido após a apresentação ter ocorrido, o relatório não atenderá a necessidade inicial. Se a demora de três dias para o fornecimento é prevista e de conhecimento dos interessados, o requerente pode se planejar Governança da Segurança da Informação 40 para fazer a solicitação em tempo hábil, ou buscar outras fontes ou dados se não houver mais tempo suficiente para sua produção. A ABNT NBR ISO/IEC 27003 (2011) propõem que seja estabelecido os meios de entrada e saída do processos, que basicamente diz respeito a forma de acesso a informação, deve ser considerado os meios possíveis e aceitos, como por exemplo; o acesso a informação pode ser em meios digitais (computador, smartfones, pen-drive, fitas, entre outros dispositivos) ou impresso, ou sonoro, ou áudio visual, dependendo da informação e da utilização. A forma que é disponibilizada a informação, tem grande relevância na definição da segurança de seu ciclo de vida. Uma informação impressa tem seu transporte, armazenamento, controle de acesso, e descarte diferente de uma informação em mídia digital, contudo a mesma informação pode estar presente em ambos os meios, e sua classificação quanto a segurança deve ser a mesma, como já apresentado no tópico anterior. 4.1.3
Compartilhar