Baixe o app para aproveitar ainda mais
Prévia do material em texto
POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 1 Políticas de Segurança e Classificação da Informação POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 2 Políticas de Segurança e Classificação da Informação Aula: 1 - Compreendendo o porquê da necessidade de uma Política de Segurança da Informação Desde a década de 1980, quando chegava silenciosa mas ligeira a revolução da Tecnologia da Informação e Comunicação (TIC), iniciando a popularização dos computadores pessoais, com os componentes de memória baixando de preço e diminuindo de tamanho e com a diversificação de redes de comunicação, um fator que não pode deixar de ser observado foi que os negócios passaram a ser inteiramente dependentes de sistemas de informação automatizados. Na época, as grandes empresas passaram a atuar mais no mundo do negócio da informação que nos seus próprios negócios. O processamento de sistemas de informação automatizados passou a infiltra-se em todos os aspectos das atividades dos negócios, nas grandes empresas e corporações. O seu sucesso demandava a coordenação de muitos diferentes profissionais, com diferentes perfis especializados além de recursos tecnológicos: de formulários de coleta de dados manual até complexos sistemas de alta plataforma para não mencionar sofisticados recursos de redes de telecomunicações. O alicerce sobre o qual as grandes empresa constroem seus sistemas, assumindo um compromisso de qualidade, confiabilidade, integridade e segurança das informações coletadas, processadas, armazenadas e gerenciadas, passou a ser questionado pelos gestores. Por outro lado, não bastava ter sistemas seguros. Os meios pelos quais as informações transitavam na empresa estavam vulneráveis a fragilidades de interceptações indesejadas. Um mero relatório jogado no lixo passou a ser uma ameaça. O próprio lixo era uma fonte de informação de uma pessoa, como podemos ver no filme sugerido “Quebra de Sigilo”. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 3 O avanço da tecnologia ajudou muito as empresas, mas também trouxe uma gama de riscos que não estavam previstos. Surge, então, a necessidade de fazer algo para proteger este que é o maior ativo de uma empresa: a informação. Não é uma tarefa das mais fáceis. Como começar a resolver esse problema de segurança? Aos poucos foram sendo gerados controles. E quanto mais os controles existiam, mais ameaças circundavam o meio eletrônico. Nasce, então, o conceito de Gestão da Segurança da Informação, que abrange a criação de processos voltados ao monitoramento contínuo da integridade das informações, à prevenção de ataques e ao furto dos dados, assegurando em casos emergenciais o pronto restabelecimento dos sistemas e o acesso seguro às informações das companhias. Este sistema de segurança é orientado segundo uma norma internacional sobre gestão da segurança: norma ISO/IEC 27001:2013 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos, cuja responsabilidade está sob o Comitê Brasileiro sobre as Normas de Gestão de Segurança da Informação (série 27000). O grupo é formado por especialistas dos países membros que colaboram com a ISO (International Organization for Standardization) para o desenvolvimento de padrões internacionais. Falaremos sobre esse Comitê na aula 5. Então perguntamos... Se estamos falando de uma norma ISO, a empresa necessita certificar-se nessa norma para que possa ter segurança em seus recursos de TI? Não... A obrigação não existe, mas vamos pensar: se existem ameaças ao redor dos recursos tecnológicos de uma empresa, incluindo suas informações, o que os gestores decidiriam sobre a proteção de seus preciosos ativos? A exposição destes pode gerar um impacto tão negativo que a empresa poderia ir à falência. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 4 Além disso, por questões de custo, uma empresa pode seguir as recomendações de uma norma e não certificar-se nela. A certificação em uma norma envolve muitos procedimentos e tempo, auditorias externas de qualidade que elevam o custo da normatização a um patamar considerado alto. E isso inclui a revalidação da certificação de tempos em tempos. Se você fosse o gestor de uma empresa, o que decidiria? Investiria em segurança? Como faria isso? Quais os mecanismos que você adotaria, por onde começaria? Seguindo a norma ISO 27002, as normas para uma gestão da segurança da informação eficiente se fundamentam em 10 premissas básicas (macrocontroles) aplicadas em qualquer tipo de organização, sendo elas: - Política de segurança da informação. - Segurança organizacional. - Classificação e controle dos ativos de informação. - Segurança em pessoas. - Segurança física e ambiental. - Gerenciamento das operações e comunicações. - Controle de acesso. - Aquisição, desenvolvimento e manutenção de sistemas. - Gestão da continuidade do negócio. - Gestão da conformidade. Essas premissas abrangem o conjunto de melhores práticas a serem seguidas pelas empresas tais como a estruturação do plano diretor de segurança e de contingência; a definição da política de segurança da informação; a análise de riscos, vulnerabilidades e testes de invasão; a implementação de controles de segurança; autenticação e autorização entre outros. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 5 Toda essa orientação está prevista no Sistema de Gestão da Segurança da Informação (SGSI), um conjunto de processos e procedimentos, fundamentado na referida norma ISO, implementado para prover segurança no uso dos ativos tecnológicos de uma empresa. Tal sistema deve ser seguido por todos aqueles que se relacionam direta ou indiretamente com a infraestrutura de TI da organização. Vamos analisar cada uma dessas premissas. 1 - Política de Segurança da Informação As empresas vêm buscando mitigar os riscos inerentes ao processamento de informações adotando boas práticas de gerenciamento e elas começam com as políticas de segurança de informação. O que vem a ser uma política de segurança? Políticas de segurança são políticas organizacionais (ou administrativas), de cumprimento obrigatório, que tentam homogeneizar o comportamento de todos que tem algo a ver com a empresa, os chamados stakeholders, ou seja, gestores, colaboradores, clientes, fornecedores, visitas etc. Se a empresa quer assegurar que determinado ativo tenha um certo controle para que sua segurança seja mantida, ela constrói uma política de segurança e assim todos agirão conforme os procedimentos daquela política Um exemplo de política de segurança aplicada a clientes é o uso de senhas para os correntistas de um banco. O uso de senhas assegura que quem está acessando determinada conta é quem tem permissão para tanto. Então, a empresa (o banco, no caso) cria uma política de segurança de informação dizendo que todos os correntistas do banco deverão ter uma senha para acessar os dados de sua conta. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 6 Uma importante observação é que as políticas são compostas de duas partes distintas: a política em si que diz o que deve ser feito e os procedimentos, que dizem como a política deve ser aplicada. Estudaremos como construir uma política de segurança na aula 4. 2 - Segurança Organizacional A segurança organizacional preocupa-se com toda a segurança das instalações, dos ativos e das pessoas na empresa, colaboradores ou não. Ela provê ações preventivase/ou reativas para assegurar tal estado de segurança sendo que essas ações estão refletidas nos planos de contingência, que serão abordados na aula 7. Pela especificidade do assunto, a segurança organizacional subdivide-se em partes específicas tais como segurança de equipamentos, segurança de pessoas, segurança de dados e registros, segurança física, entre outras. Podemos resumir que o principal objetivo da segurança organizacional é proteger seus ativos e recursos, provendo infraestrutura da segurança da informação na organização. Uma das maneiras de garantir a segurança e integridade desses ativos da empresa não apenas das informações, mas também das edificações e equipamentos, está em definir boas políticas de segurança. Desse modo, haverá um comportamento proativo de todos no sentido de preservarem o bom andamento da organização e seus serviços. 3 - Classificação e Controle dos Ativos de Informação O objetivo de classificar e controlar os ativos de informação da organização é manter sua proteção adequada. Para tanto, é necessário que os ativos necessários à POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 7 segurança da informação sejam inventariados, tenham um responsável e sejam controlados. O modo como protegemos uma informação depende de seu grau de confidencialidade, seu nível de sensibilidade. Informações internas, que devem circular somente pela empresa terão um nível de controle bem mais brando do que informações sigilosas tais como o código de lançamento de um míssil. Ao definirmos uma política de segurança, devemos atentar que um dos primeiros passos é saber a classificação de seus ativos para que possamos definir como a organização deseja protegê-los. 4 - Segurança em Pessoas Aqui tratamos de pessoas no geral, mas particularmente nos serviços terceirizados. O objetivo deste macrocontrole é reduzir os riscos de erro humano, roubo, fraudes diversas ou uso indevido de instalações. A organização necessita assegurar que os funcionários, terceirizados e fornecedores entendam suas responsabilidades e estejam de acordo com os seus papéis. Tais responsabilidades, limites e deveres de pessoas para com a organização em relação aos ativos da organização podem e devem estar refletidos nas políticas de segurança. 5 - Segurança Física e Ambiental Algumas áreas na organização possuem controle mais rígido do que outras, tudo dependerá do nível de informação ou do ativo que ali residem. Nessa seara não há exceção... Um exemplo seria: somente as pessoas autorizadas devem transitar em ambientes críticos (aqueles onde temos informações sensíveis e equipamentos imprescindíveis à organização). Não basta ter essa diretriz, controles devem ser implementados para assegurar o cumprimento desta orientação. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 8 Assim, deverão ser elaboradas políticas de segurança objetivando prevenir acesso não autorizado, dano e interferência às informações e às instalações físicas da organização. Isso significa que os mecanismos de liberação de autorização e controle de acesso serão seguidos. 6 - Gerenciamento das Operações e Comunicações Essa premissa existe para assegurar a operação segura e correta de recursos de processamento da informação. O processamento dos dados corporativos pode ser efetuado no Centro de Processamento de Dados (CPD ‒ local em que se localizam os computadores da organização) como em diversas áreas, mediante processamentos específicos no nível gerêncial (extração de dados de arquivos corporativos e processamento dos dados de cada área, em particular). Dentro do processamento de sistemas corporativos devemos observar os ambientes em que os sistemas são desenvolvidos, testados e processados. Devemos observar a segregação de funções (não permitir que uma mesma pessoa elabore um programa e o teste, por exemplo). Temos que gerenciar e controlar os serviços terceirizados, os testes realizados fora das dependências da organização e por aí vai... Com a pulverização de microcomputadores na empresa, a possibilidade de exposição de dados confidenciais torna-se maior. Mesmo que sejam dados apenas de leitura, sua exposição deve ser controlada. Como exercer todos esses controles e monitoramento? Uma forma mais eficiente é identificar o que queremos proteger e criar políticas de segurança que cubram esses ativos. Com isso, o trabalho de controle será mais facilmente elaborado. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 9 Uma medida indicada é, para empresas que lidam com sistemas sensíveis, implantar uma área de Auditoria de Sistemas interna. Desse modo, os sistemas e o ambiente de CPD serão continuamente auditados para verificação de adequação de controles internos e conformidade com padrões, normas, leis, metodologia e regulamentos vigentes. As grandes corporações possuem essa área, pois seus gestores querem ter o conforto de saber que seus sistemas estão seguros e que tomam decisões sobre dados processados por sistemas confiáveis. 7 - Controle de Acesso A organização necessita controlar o acesso à informação, aos recursos de processamento das informações (incluindo o CPD) e aos processos de negócios. Esse controle de acesso abrange registro de usuários, equipamentos e sistemas, gerenciamento de privilégios, concessão, seleção e uso adequado de senhas, controle de acesso aos sistemas (operacionais e aplicativos) e às redes, controle de uso de computação móvel e dos recursos de trabalho remoto. Existem dois tipos de acesso: acesso físico e acesso lógico. 7.1 – Acesso físico A segurança física pode ser abordada sob duas formas: Segurança ambiental: trata da prevenção de danos por causas naturais (incêndios, inundações, terremotos etc.). Segurança de acesso: trata das medidas de proteção contra o acesso físico não autorizado como, por exemplo, vetar a entrada de pessoas não autorizadas no CPD. A segurança ambiental é comumente tratada no plano de contingência. Já a segurança de acesso é feita por controle de acesso físico que pode ser realizado de algumas maneiras: POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 10 Pessoas: recepcionista ou guarda. Meios mecânicos: chaves e fechaduras (eletrônicas ou manuais). Meios tecnológicos. Através de meios tecnológicos podemos ter uma gama de opções: podemos ter dispositivos tais como controle de acesso com catracas, leitores de cartões magnéticos, bottons de aproximação, controle biométrico. Esses controles podem ser on-line e em tempo real. Podemos criar arquivos históricos contendo a data e hora de entrada e saída de todas as pessoas em determinado recinto para uso em eventuais situações com suspeitas de fraude Além dos meios tecnológicos, devemos observar algumas considerações sobre o controle de acesso físico: Distinguir colaboradores de visitantes, de fornecedores e de terceirizados. Solicitar a devolução de bens de propriedade da empresa (crachás, chaves etc.), quando o visitante se retira ou quando o funcionário é retirado de suas funções. Controle de entrada e saída de materiais, equipamentos, pessoal etc., registrando a data, horários e responsável. Instalar sistemas de proteção e vigilância 24 × 7. Supervisionar a atuação de equipes terceirizadas (limpeza, manutenção predial, vigilância etc.). Orientar os funcionários para que não deixem ligados computadores sem a devida supervisão, principalmente no horário das refeições ou quando se ausentarem dolocal de trabalho. Instalar mecanismo de logout nos sistemas da organização. Proteger as linhas telefônicas internas e externas com dispositivos contra “grampos”. Proteger fisicamente as unidades de backup e restringir o acesso a computadores e impressoras que possam conter dados confidenciais. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 11 Bloquear login e senha de colaboradores desligados da empresa tão logo esteja sendo feito o comunicado de desligamento. 7.2 – Acesso lógico O controle de acesso lógico permite que os sistemas de tecnologia da informação (TI) certifiquem a autenticidade e a identidade dos usuários que tentam acessar seus sistemas ou utilizar seus serviços. Para o controle de acesso lógico podemos usar senha (com nível de alçada ou controle de privilégio), contrassenhas, biometria, tokens e assinaturas digitais dentre outros. Uma forma de controlar o acesso lógico ou físico também é manter um arquivo log de acessos. Contudo, devemos ter cuidado em não abusar desse mecanismo, pois excesso de controle degrada o desempenho dos sistemas. Outra forma de monitoramento é o uso de câmeras de segurança. Um sistema em voga, que vem apresentando bons resultados, é o controle por RFID (Radio Frequency IDentification). Qualquer dispositivo que demande manutenção e calibração periódica é passível do uso da RFID para controle em batch (off-line) ou on-line do histórico de manutenção (máquinas copiadoras, impressoras, elevadores etc.). Normalmente munidos de memória de armazenamento, esses tags (de diversos formatos) são lidos e programados por leitores RFID portáteis que podem estar conectados em tempo real por meio de GPS ou rede wi-fi, ou ainda serem operados em batch (off-line). Considerações sobre o acesso lógico: Apenas usuários autorizados devem ter acesso aos recursos computacionais. Os usuários devem ter acesso apenas aos recursos realmente necessários para a execução de suas tarefas. O acesso aos recursos críticos do sistema deve ser monitorado e restrito. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 12 Os usuários não podem executar transações incompatíveis com sua função. 8 – Aquisição, Desenvolvimento e Manutenção de Sistemas Essa premissa deve garantir que a segurança seja parte integrante dos sistemas de informação. Para tanto os sistemas devem ser incrementados com controles internos, minimizando (mas não eliminando) os controles manuais. Devem ser incrementados controles e mecanismos de segurança também para a infraestrutura onde os sistemas serão desenvolvidos, testados e processados, tanto por colaboradores internos como terceirizados. A área de negócios deve igualmente ser beneficiada com controles de segurança, pois dados referentes aos seus negócios e clientes são gerados em seus computadores locais. Cuidados especiais devem ser tomados quanto à catalogação de programas fontes em bibliotecas de produção tanto no upload para bibliotecas de produção como no download para bibliotecas de desenvolvimento e teste. A metodologia PMBOK (Project Management Body of Knowledge) desenvolvida pelo PMI (Project Management Institute) aborda em um capítulo inteiro a situação de aquisições. Nessa situação incluímos os softwares. Alguns cuidados devem ser tomados na aquisição de softwares: Assegurar-se que o custo benefício da aquisição é melhor que o do desenvolvimento em casa. Assegurar-se da idoneidade do fornecedor. Assegurar-se de manutenções no software. Obter feedback de clientes dos fornecedores. Verificar situação financeira da empresa fornecedora. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 13 Assegurar-se de participação nos testes do sistema. Assegurar-se de participação teste de aceitação. Assegurar-se de documentação em nível aceitável. Monitorar o desempenho do contrato. 9 - Gestão da Continuidade do Negócio Há algum tempo atrás, quando eu era gerente de projetos de um grande banco comercial no Brasil, perguntei em conversa informal ao diretor da corretora de valores mobiliários do grupo como ele faria caso não pudesse entrar no escritório para trabalhar (eu trabalhava no Rio e ele em São Paulo). Bem... Na semana seguinte recebemos uma ligação dizendo que o pessoal de um dos prédios do banco, exatamente onde funcionava a corretora dos valores mobiliários do grupo, precisou evacuar o prédio, pois havia uma ameaça de bomba. Desceram todos, ninguém poderia trabalhar no prédio (realmente houve uma bomba meio fraquinha, no banheiro das mulheres). Claro que me lembrei de meu amigo na hora, mas respeitei o momento e me segurei, não ligando para ele. Na semana seguinte nos encontramos novamente e então perguntei como ele havia trabalhado no dia da bomba. Ele calmamente me disse que sem problemas, pois usou uma sala da Bovespa e tudo fluiu bem. Claro que, para que isso acontecesse, ele havia tomado providências prévias. Considerando que os clientes do banco eram pessoas muito ricas, o banco não poderia deixar de ter sua corretora funcionado por um dia. Meu amigo percebeu como seria desastroso para o banco não ter possibilidades de trabalhar por um dia útil. Passou a manter cópia de seus arquivos e programas em casa e conversou com diretores da Bovespa sobre a possibilidade de usar uma sala deles e seus equipamentos em caso de emergência. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 14 Essa situação mostra como pode ser impactante para uma empresa não ter um plano de contingência para assegurar a continuidade dos negócios. Veremos com detalhes como construir um plano de contingência na aula 7. 10 - Gestão da Conformidade Essa última premissa objetiva garantir conformidade dos sistemas com leis, estatutos, normas e políticas organizacionais, metodologias, regulamentos e padrões de segurança e de quaisquer outros requisitos de segurança. Não devemos infringir nenhuma lei, pois estaremos sujeitos a sanções penais e multas pecuniárias, além de uma péssima propaganda negativa. A quebra de imagem de uma empresa é um dos piores riscos a que a empresa pode expor-se. Essa conformidade poderá ser verificada por diversas pessoas em diferentes funções, conforme a área de aplicação do sistema de informações. O gerente do projeto deve elencar os profissionais que verificarão a conformidade do sistema com leis, normas, regulamentos, padrões, metodologias. Por exemplo, em um sistema de cobrança o gerente de projetos deve solicitar a consultoria de um profissional de contabilidade ou do departamento jurídico da empresa, para assegurar que todos os requisitos do projeto estão de acordo com as leis vigentes. Um exemplo seria verificar se o percentual de multa cobrada por atraso está dentro dos limites legais. Como os sistemas aplicativos da empresa devem estar coerentes com as leis e padrões vigentes este fato deve ser verificado pelos auditores de sistemas. Não é uma duplicidade de tarefas. Os gerentes de projeto implementam controles internos adequados, coerentes com normas e leis e os auditores de sistema verificam se estes controles estão adequados e se a conformidade existe. Mesmo que as restrições não sejam referentes aos aspectos de TI, o pessoal de tecnologia de informação deve POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 15 assegurar que a conformidade existe, pois os sistemas que manipulam os dados são recursos de TI. Uma prática comum a ser adotada e que não está na literatura é observar e respeitaras práticas públicas como, por exemplo, usar três casas decimais em sistemas que utilizam moedas estrangeiras. Se a empresa for certificada em alguma norma ela necessita manter conformidade com os requisitos da norma sob a condição de perder a certificação. A informação é um recurso fundamental para todas as organizações e a tecnologia desempenha um papel significativo desde o momento que a informação é criada até o momento em que ela é destruída. A TI está cada vez mais avançada, tornando-se disseminada nas organizações e nos ambientes sociais, públicos e corporativos. Como consequência, hoje, mais do que nunca, as organizações e seus executivos se esforçam para: Manter informações de alta qualidade para apoiar decisões corporativas. Agregar valor ao negócio a partir dos investimentos em TI, ou seja, alcançar os objetivos estratégicos e obter benefícios para a organização mediante a utilização eficiente e inovadora de TI. Alcançar excelência operacional por meio da aplicação confiável e eficiente da tecnologia. Manter o risco de TI em um nível aceitável. Otimizar o custo da tecnologia e dos serviços de TI. Cumprir as leis, regulamentos, acordos contratuais e políticas pertinentes cada vez mais presentes. Durante a última década, o termo “governança” ganhou um lugar de destaque no pensamento das organizações em resposta aos exemplos que demonstram a importância da boa governança e, do outro lado da balança, aos desafios dos negócios globais. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 16 Por tudo o que vimos na aula, podemos concluir que as políticas de segurança desempenham um papel fundamental no controle de segurança de uma empresa. É o ponto inicial para a implantação e controle de segurança das informações da empresa. Definir uma política de segurança não significa que a empresa estará eliminando riscos, evitando fraudes, mas sim que estará uniformizando o comportamento (de trabalho) das pessoas e com isso, as chances de os riscos e fraudes ocorrerem são minimizadas. Não apenas por instinto, mas, conforme apregoa o guia maior de segurança da informação que é a família da norma ISO 27000, verificamos que nos seus dez controles macro, temos as políticas de segurança como início de qualquer medida relativa a segurança das informações. Então, após vermos as principais normas sobre segurança na aula 2, vamos ver como construí-las na aula 4. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 17 REFERÊNCIAS PINHEIRO, José Maurício S. Auditoria e Análise de Segurança da Informação – Segurança Física e Lógica. UGB – 2009. Disponível em: https://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_audit oria_e_analise_de_seguranca_aula_02.pdf. Acesso em: 19/09/2016. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 18 Aula: 2 – Interpretando as Principais Normas Nacionais e Internacionais Utilizadas na Elaboração da Política de Segurança da Informação Nada como ver o que já existe sobre o assunto para que possamos nos inspirar. Muita gente já pensou e repensou sobre segurança da informação, só verificar as tantas normas de segurança existentes, para os mais variados setores da TI. O objetivo desta aula é analisarmos e entendermos algumas dessas importantes normas. Sabendo o que essas normas buscam poderemos nos preparar internamente para evitarmos o desconforto de ameaças acontecendo. Nunca poderemos evitá-las, mas podemos dificultar sua ocorrência e minimizar seus impactos na empresa. Por mais que atualizemos os programas de antivírus e de firewalls, mais os hackers e crackers farão por onde invadir nossos arquivos, sites e informações sigilosas ou confidenciais. Aliada ao conforto de saber que seus dados estão sob condições de armazenamento e processamento seguras, os gestores podem contar com a vantagem de que uma certificação é uma forma bastante clara de mostrar à sociedade que a empresa preocupa-se com a segurança de suas informações e de seus clientes, de tal modo que podemos prever que em poucos anos todas as grandes empresas terão aderido às normas de segurança e obtido suas certificações. Família ISO 27000 A International Organization dor Standardization (ISO) e a International Electrotechnical Comission (IEC) constituem o sistema especializado para padronizações mundiais. Os comitês técnicos da ISO e da IEC colaboram em campos de mútuo interesse. As normas da família ISO/IEC 27000 estão listadas a seguir e tratam da Gestão de Segurança da Informação, podendo ser utilizadas por qualquer órgão ou entidade da administração pública federal, direta e indireta: POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 19 ISO 27001 – estabelece um Sistema de Gestão de Segurança da Informação. ISO 27002 – é o Código de Práticas para a Gestão da Segurança da Informação. ISO 27003 – é o guia de implementação de um sistema de Gestão de Segurança da Informação (SGSI). ISO 27004 – incide sobre mecanismos de medição e de relatório de um SGSI. ISO 27005 – descreve a gestão de riscos em Segurança da Informação. ISO 27011 – descreve o guia de gestão de Segurança da Informação para organizações de telecomunicações, sendo baseada na 27002. Também existem as demais normas da família ISO/IEC 27000, em fase de desenvolvimento: A ISO 27007 – será o guia de auditoria de um SGSI. A ISO 27012 – será o guia de Segurança da Informação para o governo eletrônico. A ISO 27032 – guiará a cybersegurança. A ISO 27034 – abordará a segurança de aplicações. A ISO 27037 – mostrará técnicas de segurança na gestão de Segurança da Informação, setor a setor. Breve Histórico da Evolução das Normas ISO 27000 Em 1987, o departamento de comércio e indústria do Reino Unido (DTI) criou um centro de segurança de informações, o CCSC (Commercial Computer Security Centre) que dentre suas atribuições tinha a tarefa de criar uma norma de segurança das informações para o Reino Unido. O CCSC foi Criado Considerando Duas Frentes de Atuação: Apoiar fornecedores de produtos de segurança de TI a partir de um conjunto de critérios de avaliação e um esquema de certificação. Auxiliar os usuários de TI mediante um Código de Prática do Usuário (esse código foi publicado em 1989). POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 20 O código foi aperfeiçoado posteriormente pela comunidade britânica de TI, o que resultou no “Código de prática para a gestão da segurança da informação”. Em 1995, este código deu origem à BS 7799:1995, parte 1. Em abril de 1999, foi publicada a primeira revisão da BS 7799 parte 1 (BS7799:1999). Em outubro essa norma foi proposta como norma ISO, dando origem, em dezembro de 2000, à ISO/IEC 17799:2000. Em setembro de 2001, a ABNT homologou a versão brasileira da norma, denominada NBR ISO/IEC 17799:2001. A parte 1 da BS7799 era somente um código de prática e não permitia a certificação de um sistema gerencial de segurança da informação, conforme esquema de certificação de reconhecimento mútuo em âmbito internacional. Essa necessidade foi suprida em 5 de setembro de 2002, quando do lançamento da parte 2 (BS 7799- 2:2002). Essa norma está em harmonia com as normas ISO 9001 (sobre gestão de processos e melhorias contínuas) e ISO 14001 (sobre sistemas de gerenciamento ambientais).A BS7799-2:2002 transformou-se na norma ISO/IEC 27001:2005, publicada em 15 de outubro de 2005. A versão atual é a ISO/IEC 27001:2013. A ISO 17799 cobre os mais diversos tópicos da área de segurança, possuindo um grande número de controles e requisitos que devem ser atendidos para garantir a segurança das informações de uma empresa, de forma que a obtenção da certificação pode ser um processo demorado e muito trabalhoso. Esta norma foi substituída pela norma ISO/IEC 27002:2007. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 21 NBR ISO/IEC 27001:2013 Resumidamente mostraremos quais os principais itens da norma NBR ISO/IEC 27001:2013 A visualização de toda a norma está disponível em http://www.iso31000qsp.org/2013/11/seguranca-da-informacao-conheca-nova.html Geral A norma ISO 27001:2011 é o padrão e a referência internacional para a gestão da segurança da informação e ela provê requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). O SGSI preserva a confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que os riscos são adequadamente gerenciados. Um sistema de gestão da segurança da informação deve ser parte e estar integrado com os processos da organização e com a estrutura de administração global, além disso, deve ser considerado no projeto dos processos, sistemas de organização e controles, sendo sua implementação feita de acordo com as necessidades da empresa. 1. Escopo Essa norma especifica os requisitos para estabelecer, implantar, manter e melhorar continuamente um SGSI dentro do contexto da organização. Ela também inclui requisitos para avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização. Os requisitos definidos nessa norma são genéricos e são pretendidos para serem aplicáveis a todas as organizações, independentemente do tipo, do tamanho ou da natureza. A exclusão de quaisquer dos POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 22 requisitos especificados nas seções 4 a 10 não é aceitável quando a organização busca conformidade com esta norma. 2. Referências normativas 3. Termos e definições 4 .Contexto da organização 4.1 Entendendo a organização e seu contexto 4.2 Entendendo as necessidades e as expectativas das partes interessadas 4.3 Determinando o escopo do sistema de gestão da segurança da informação 4.4 Sistema de gestão da segurança da informação 5. Liderança 5.1 Liderança e comprometimento 5.2 Política de segurança da informação 5.3 Autoridades, responsabilidades e papéis organizacionais 6. Planejamento 6.1 Ações para contemplar riscos e oportunidades 6.1.1 Geral 6.1.2 Avaliação do risco de segurança da informação 6.1.3 Tratamento de riscos de segurança da informação 6.2 Objetivo de segurança da informação e planos para alcançá-los 7. Apoio 7.1 Recursos (para o SGSI) 7.2 Competência 7.3 Conscientização 7.4 Comunicação 7.5 Informação documentada 7.5.1 Geral POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 23 7.5.2 Criando e atualizando 7.5.3 Controle da informação documentada 8. Operação 8.1 Planejamento operacional e controle 8.2 Avaliação de riscos de segurança da informação 8.3 Tratamento de riscos de segurança da informação 9. Avaliação do desempenho 9.1 Monitoramento, medição, análise e avaliação 9.2 Auditoria interna 9.3 Análise crítica pela direção 10. Melhoria 10.1 Não conformidade e ação corretiva 10.2 Melhoria contínua A norma possui um anexo (Anexo A) que é a referência aos controles e objetivos de controles. Eles são derivados e estão alinhados com os controles e objetivos dos controles listados na ABNT NBR ISO/IEC 27002:2013. NBR ISO/IEC 27002:2013 NBR ISO/IEC 27002:2013 – Tecnologia da informação ‒ Técnicas de segurança ‒ Código de prática para controles de segurança da informação, publicada em 08/12/2013. A visualização de toda a norma pode ser vista em: http://www.inf.furb.br/~paulofernando/downloads/risco/ISO-27002-2013.pdf Essa norma fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 24 implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. Ela contém 14 seções de controles de segurança da informação, 35 objetivos de controles e 114 controles. Para a parte que nos interessa, a numeração dessas seções se inicia no número 5 (há outros aspectos descritos nas seções anteriores que podem ser vistos na integra da norma). Seção 5 – Política de Segurança da Informação A organização deve cuidar de suas informações no que diz respeito à sua confidencialidade, integridade e disponibilidade, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Para tanto, deve ser criado um documento com a política de segurança da informação da organização contendo, entre outros, os conceitos de segurança da informação, o comprometimento da direção com a política, uma estrutura para estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação e gerenciamento de riscos. Essa política deve ser comunicada a todos, bem como analisada e revisada criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias aliado ao fato de que elas devem ser analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia. Seção 6 – Organizando a Segurança da Informação Tem como objetivo estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação dentro da organização. Para isso, as atividades de segurança da informação devem ser coordenadas por representantes de diversas partes da organização, com funções e papéis relevantes, respeitando a segregação de funções. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 25 É aconselhável que a organização tenha procedimentos implementados que especifiquem quando e quais autoridades (p. ex., obrigações legais, corpo de bombeiros, autoridades fiscalizadoras, entidades regulatórias) serão contatadas e como os incidentes de segurança da informação identificados serão reportados em tempo hábil (p. ex., no caso de suspeita de que a lei foi violada). A norma também aconselha que contatos apropriados com grupos especiais, associações profissionais ou outros fóruns especializados em segurança da informação sejam mantidos. Temos que nos preocupar com as informações processadas por dispositivos móveis e trabalho remoto criando uma política e medidas que apoiam a segurança da informação para gerenciar os riscos decorrentes do uso de dispositivos móveis bem uma política e medidas que apoiam a segurança da informação para proteger as informações acessadas, processadas ou armazenadas em locais de trabalho remoto. Seção 7 – Segurança em Recursos Humanos Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as descrições decargo e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos. Durante todo o tempo em que funcionários, fornecedores e terceiros estiverem trabalhando na empresa, eles devem estar conscientes sobre as ameaças relativas à segurança da informação, bem como de suas responsabilidades e obrigações, de tal maneira que estejam preparados para apoiar a política de segurança da informação da organização. Eles também devem ser educados e treinados nos procedimentos de POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 26 segurança da informação e no uso correto dos recursos de processamento da informação. É fundamental ainda que um processo disciplinar formal seja estabelecido para tratar das violações da segurança da informação. No momento em que ocorrer o encerramento ou uma mudança na contratação os acessos homologados deverão ser cancelados. Seção 8 – Gestão de Ativos Ativo, de acordo com a norma, “é qualquer coisa que tenha valor para a organização”. Gestão de ativos, portanto, significa proteger e manter os ativos da organização. Para tanto, devemos identificar os ativos da organização, seus proprietários e definir as responsabilidades apropriadas para a sua proteção, seguido do levantamento e manutenção de um inventário de ativos. Nesse contexto fazemos a classificação da informação para sabermos o nível de segurança que ela deverá possuir conforme sua importância para a organização, devemos preparar um conjunto apropriado de procedimentos para rotular e tratar a informação de acordo com o esquema de classificação da informação adotado pela organização. Não podemos nos esquecer das mídias removíveis, preparando o seu gerenciamento de acordo com o esquema de classificação adotado pela organização, procedimentos para que as mídias sejam descartadas de modo seguro, quando não forem mais necessárias, bem como procedimentos para que o transporte de mídias seja seguro, protegendo-as contra acesso não autorizado, uso impróprio ou corrupção durante o transporte. Seção 9 ‒ Controle de acesso O objetivo desta seção é falar sobre como limitar o acesso à informação e aos recursos de processamento da informação às pessoas autorizadas. Para tanto, devemos providenciar políticas de controle de acesso e de acesso às redes e aos serviços de rede através de gerenciamento de acesso do usuário, criando POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 27 procedimentos para tornar os usuários responsáveis pela proteção das suas informações de autenticação. Devemos prevenir o acesso não autorizado aos sistemas e aplicações por intermédio de políticas de controle de acesso (lógico e físico). Seção 10 ‒ Criptografia A criptografia tem por finalidade proteger a confidencialidade, a autenticidade e/ou a integridade da informação. Para que seu uso seja adequado, devemos desenvolver e implementar uma política para o uso de controles criptográficos para a proteção da informação. A assinatura digital, método que assegura que o emissor de um texto ou mensagem é quem diz ser, é feita com a chave privada do par de chaves assíncronas. Nesse método cada pessoa mantém duas chaves: uma pública, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens criptografadas com a chave pública somente podem ser decodificadas com a chave privada correspondente. E a recíproca é verdadeira, ou seja, uma mensagem criptografada com a chave privada pode ser decodificada apenas com a correspondente chave pública. Este processo é lento. Não seria muito racional usá-lo para grandes textos. Neste caso usamos o Message Digest que funciona com um “dígito verificador” para textos. O MD5 é o algoritmo mais comum usado para esse fim. Seção 11 – Segurança Física e do Ambiente As instalações onde as informações críticas são processadas devem ser mantidas em áreas seguras, incluindo o perímetro considerado de segurança, com níveis de controles de acesso e proteção física apropriados. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 28 Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais, objetivando impedir a interrupção dos serviços da empresa, sendo que suas remoções do ambiente devem ser previamente autorizadas. Seção 12 ‒ Segurança nas Operações Garantir a operação segura e correta dos recursos de processamento da informação é o principal objetivo desta seção da norma. Encontraremos recomendações pertinentes a implantação de controles de detecção, prevenção e recuperação para proteção contra códigos maliciosos, referências a arquivos para cópia de segurança, gestão de vulnerabilidades técnicas (planos de contingência), necessidade de termos os ambientes de desenvolvimento, de teste e de produção separados, enfatizando a importância de que os procedimentos de operação sejam documentados e disponibilizados a todos os usuários que deles necessitem. As mudanças na organização, nos processos do negócio, nos recursos de processamento da informação e nos sistemas que afetam a segurança da informação devem ser gerenciadas, documentadas e controladas adequadamente. A auditoria de sistemas de informação é recomendada com o intuito de minimizar o impacto das atividades de auditoria nos sistemas operacionais. Seção 13 ‒ Segurança nas Comunicações A garantia da proteção das informações em redes e dos recursos de processamento da informação que os apoiam deve ser feita considerando a segurança das redes e dos serviços de rede, a segregação de redes. A transferência de informação deve ser observada, mantendo a segurança da informação transferida dentro da organização e com quaisquer entidades externas, definindo para tanto políticas e procedimentos para a transferência de informações. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 29 Seção 14 ‒ Aquisição, Desenvolvimento e Manutenção de Sistemas A preocupação com a segurança da informação desenvolvida tanto interna como externamente deve passar por todo o ciclo de vida dos sistemas, desde sua concepção com a solicitação dos requisitos dos sistemas até sua descontinuação, passando pela transferência dos sistemas e suas respectivas solicitações de mudança. Isso também inclui os requisitos para sistemas de informação que fornecem serviços sobre as redes públicas. Não podemos deixar de lado os processos referentes a testes de sistemas, desde a criação de casos de teste, massa de dados para teste e testes de sistema e de aceitação. Seção 15 ‒ Relacionamento na cadeia de suprimento A segurança da informação na cadeia de suprimento tem por objetivo garantir a proteção dos ativos da organização que podem ser acessados pelos fornecedores, internos e externos à organização. Entendemos como cadeia de suprimento toda a linha de processos que percorre desde a obtenção da matéria prima até a entrega do produto pronto ao cliente final. Podemos entender, então, que devemos nos preocupar com todo o fornecimento de informações, requisitos e dados para confecção de sistemas ou processamento em produção destes, seja interna ou externamente. Desse modo, devemos definir políticas de segurança para assegurar que tais preocupações sejam observadas, preparar e assinaracordos de níveis de serviço com os fornecedores de informação para serviços em produção, além de definirmos processos para o gerenciamento de mudanças para serviços com fornecedores. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 30 Seção 16 ‒ Gestão de Incidentes de Segurança da Informação Os incidentes envolvendo a informação devem ser primeiramente evitados. Depois minimizados e, se ocorrerem, devem ser prontamente reportados e colocadas em prática suas respostas. Previamente devemos desenvolver atividades para eventuais incidentes com a segurança, indicando responsáveis para a sua proteção a priori e responsáveis pela sua execução, a posteriori. Seção 17 ‒ Aspectos da Segurança da Informação na Gestão da Continuidade do Negócio Assim como necessitamos das políticas de segurança para proteger os ativos da empresa, precisamos de planos de contingência para assegurar a continuidade do negócio da empresa não apenas para os negócios, mas também para os sistemas de informação. Na aula 7 estudaremos com detalhes como planejar, documentar e implementar os processos e controles para tanto. Seção 18 – Conformidade Para que a empresa não tenha problemas de violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relativas à segurança da informação e de quaisquer requisitos de segurança, todos os requisitos legislativos, estatutários, regulamentares e contratuais pertinentes, direitos de propriedade intelectual, direito de uso de imagem de terceiros e o enfoque da organização para atender a esses requisitos devem ser explicitamente identificados, documentados e mantidos atualizados para cada sistema de informação da organização. Devem ser tomadas medidas para proteção e privacidade de informações de identificação pessoal de funcionários e clientes bem como garantir que a segurança da POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 31 informação está implementada e operada de acordo com as metodologias e políticas e procedimentos da organização. A organização deve assegurar que controles de criptografia sejam usados em conformidade com todas as leis, acordos, legislação e regulamentações pertinentes. Acordo de Basileia II Este acordo foi estabelecido pelo Bank of International Settlements (BIS), situado na Basileia, Suíça, que funciona como o Banco Central dos bancos centrais. Tal acordo estipula requisitos de capital mínimo para instituições financeiras, em função de seus riscos de crédito e riscos operacionais. Entendemos como riscos de crédito a perda financeira sofrida pela incapacidade voluntária ou involuntária o tomador do crédito em atender às suas obrigações contratuais no tempo requerido. A metodologia dos bancos deve ser para um indivíduo ou para uma carteira de crédito. Entendemos como riscos operacionais as perdas financeiras causadas por processos internos inadequados. O acordo possui três pilares: 1o ‒ Estabelece regras e procedimentos para cálculo dos requisitos de capital considerando os riscos de crédito e operacional. 2o ‒ Estabelece regras para os Bancos Centrais de cada país executar auditorias nas instituições financeiras, para avaliar os riscos e mitigá-los, e considerar a emissão de informação para o mercado acerca de exposição do risco da instituição. 3o ‒ Estabelece regras para a comunicação com o mercado dos requisitos mínimos de capital, face aos riscos e aos métodos e resultados de avaliação de risco do primeiro pilar. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 32 Implicações do Acordo de Basileia II sobre a Tecnologia da Informação Atualmente o Banco Central do Brasil (BACEN), vem auditando as áreas de TI dos bancos por intermédio do COBIT (Control OBjecives for Information and related Technlogy), normativo criado pelo Isaca (Information Systems Audit and Control Association). Como os bancos no Brasil estão avançados em TI, o risco operacional de TI é de primordial atenção já que a TI é um dos principais elementos de risco operacional de um banco junto com pessoas e processos de negócios. Do ponto de vista de risco operacional, o impacto do Acordo de Basileia abrange basicamente todos os processos de TI e respectivas áreas organizacionais. Do ponto de vista do risco de crédito, o impacto recai sobre: Capacidade de armazenamento de dados em face da granularidade de informação requerida de cada cliente. Integridade das informações acerca das transações do banco. Integridade das informações armazenadas sobre os clientes e operações de crédito (arquivos históricos). Segurança dessas informações. Contingência na operação. Planejamento de capacidade. Planejamento de desastre e recuperação. Integridade do processo da emissão de relatórios requeridos pelos BIS. Para atender ao Acordo, o CIO (Chief Information Officer) deve: Inserir questões do Acordo em seu plano de TI. Implantar novos processos de TI. Ajustar ou melhorar processos existentes. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 33 Ajustar a estrutura organizacional de TI para acomodar novos processos. Definir e implantar novos indicadores de desempenho, caso necessário. Tratar a gestão de riscos de TI. ISO/IEC 19011 – Linhas de Orientação para Auditoria a Sistemas de Gestão Essa norma, publicada em 15 de novembro de 2011, foi desenvolvida por um grupo de trabalho multidisciplinar, que envolveu a maioria dos Comités Técnicos e de Projeto da ISO, responsáveis pelo portfolio de normas de sistemas de gestão. Comentaremos a norma conforme o site: http://www.apcergroup.com/portugal/index.php/en/newsroom/429 A ISO 19011:2011 é aplicável a diversos sistemas de gestão tais como: Qualidade (ISO 9001). Ambiente (ISO 14001). Segurança e Saúde do Trabalho (OHSAS 18001). Segurança Alimentar (ISO 22000). Segurança da Informação (ISO 27001). Responsabilidade Social (SA8000) – Nota: a ISO 26000 não é uma norma de sistema de gestão. Energia (ISO 50001). Eventos sustentáveis (ISO 20121). Uma das alterações fundamentais na ISO 19011 é a introdução do conceito de risco em auditorias a sistemas de gestão. Este conceito está relacionado tanto com o risco do processo de auditoria não alcançar os seus objetivos, como com o potencial da auditoria em interferir nas atividades e processos do auditado. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 34 Essa norma não fornece orientações específicas relativamente aos processos de gestão do risco das organizações, no entanto reconhece que as organizações podem dedicar o esforço em auditoria a assuntos com maior significância para o sistema de gestão. Estudamos os requisitos para a implantação, manutenção e melhorias contínuas de um sistema de gestão de segurança da informação (SGSI) na norma ISO 27001:2013, que aplica processos de gestão de risco. Cláusulas da Norma ISO 19011:2011 Cláusula 1 – Âmbito Enfatiza que a norma é aplicável a todas as organizações que precisam realizar auditorias a sistemas de gestão internas ou externas ou que precisam gerir um programa de auditoria. Apesar de a norma ter enfoque em sistemas de gestão, é possível aplicar as orientações a outros tipos de auditoria, desde que seja dada especial atenção às competências específicas necessárias. Cláusula 2 – Referências Normativas Não existem – manteve-se essa cláusula para igualar a numeração às outras normas ISO desistemas de gestão. Cláusula 3 – Termos e Definições Foram adicionadas as seguintes definições: “observador”, “guia” e “risco”. Foram introduzidas alterações significativas na definição de “competência”, que é agora definida como “a capacidade de aplicar conhecimento e habilidade para atingir os resultados pretendidos”, com uma NOTA: “capacidade implica na aplicação apropriada de comportamento pessoal durante o processo de auditoria”. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 35 Cláusula 4 – Princípios de Auditoria São princípios da auditoria: Integridade – “A base do profissionalismo”. Apresentação imparcial – “Obrigação de relatar com verdade e rigor”. Devido cuidado profissional – “Aplicação de diligência e de discernimento na auditoria”. Confidencialidade – “Segurança da informação”. Independência – “A base para a imparcialidade da auditoria e a objetividade das conclusões”. Abordagem baseada em evidências – “Método racional para chegar a conclusões de auditoria fiáveis e reprodutíveis num processo sistemático de auditoria”. O auditor não acha nada, ele apresenta fatos. Cláusula 5 – Gestão de um Programa de Auditorias É descrito o processo de estabelecimento e gestão de um programa de auditoria, estabelecimento de objetivos e coordenação das atividades de auditoria. A pessoa que coordena o programa de auditorias deve ter competência para tal. A gestão de um programa de auditoria segue o ciclo PDCA. Gestão de um Programa de Auditoria Utilizando o Ciclo PDCA Observe o ciclo na figura adiante. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 36 Cláusula 6 – Planejamento e Realização de uma Auditoria Esta cláusula contém orientações para a preparação e condução das atividades de auditoria, como parte do programa de auditorias. As etapas envolvidas incluem: Início da auditoria: Estabelecer contato inicial com o auditado. Determinar a exequibilidade da auditoria. Planejar: cláusulas 5.2 e 5.3 => Estabelecimento de objetivos e programas de auditoria. Executar: cláusula 5.4 => Implementação do programa de auditoria Verificar: Cláusula 5.5 => Monitoramento do programa de auditoria Atuar: Cláusula 5.6 => Revisão e melhoria do programa de auditoria. Cláusula 6 => realização da auditoria Cláusula 7 => Definição e avaliação das competências POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 37 Preparação das atividades de auditoria: Revisão documental na preparação da auditoria. Preparação do plano de auditoria. Atribuição de tarefas à equipa auditora. Preparação dos documentos de trabalho. Execução da auditoria: Condução da reunião de abertura. Revisão documental durante a auditoria. Comunicação durante a auditoria. Atribuição de papéis e responsabilidades de guias e observadores. Coleta e verificação da informação. Elaboração das constatações de auditoria. Preparação das conclusões da auditoria. Condução da reunião de encerramento. Preparação e distribuição do relatório de auditoria. Fechamento da auditoria. Continuação da auditoria (quando aplicável). Cláusula 7 – Competência e Avaliação de Auditores e Equipes Auditoras A ISO 19011:2011 destaca que a confiança no processo de auditora e a capacidade de atingir os seus objetivos depende da competência das pessoas envolvidas no planejamento e realização das auditorias, incluindo auditores e auditores coordenadores. A norma recomenda que a competência do auditor seja avaliada por meio de um processo que considere o comportamento individual e a capacidade para aplicar o conhecimento e as habilidades obtidas mediante formação acadêmica, experiência profissional, treinamento e experiência em auditorias. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 38 A Cláusula 7 Cobre os Seguintes Assuntos: Determinar a competência do auditor para cumprir as necessidades do programa de auditoria, incluindo comportamentos pessoais e os seguintes conhecimentos e competências: Conhecimentos genéricos de auditoria: princípios de auditoria, procedimentos e métodos, sistemas de gestão e documentos de referência, o contexto organizacional em que a auditoria vai decorrer e os requisitos legais e contratuais aplicáveis. Conhecimentos e competências de disciplinas e setores específicos, incluindo competência em gestão do risco. Estabelecer os critérios de avaliação do auditor. Avaliar os auditores. Manter e melhorar as competências dos auditores. A norma finaliza com dois anexos informativos. Anexo A – Fornece orientações e exemplos ilustrativos de conhecimentos e competências dos auditores em disciplinas específicas. Os exemplos mencionados são para: Gestão da segurança no transporte. Gestão do ambiente. Gestão da qualidade. Gestão de registos. Gestão de resiliência, segurança, preparação e continuidade. Segurança da informação. Segurança e saúde do trabalho. Anexo B – Fornece orientações adicionais (que estavam no corpo da norma ISO 19011:2002) nos seguintes tópicos: o Metodologias de auditorias aplicáveis. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 39 o Revisão da documentação. o Critérios de amostragem: Amostragem com base na experiência e intuição dos auditores. Amostragem estatística. Preparação dos documentos de trabalho. o Seleção de fontes de informação. o Orientações para a visita ao local do auditado. o Realização de entrevistas. o Constatações de auditoria: Determinação de constatações de auditoria. Registo de conformidades. Registo de não conformidades. Tratamento de constatações relacionadas com critérios múltiplos. Certificações em Segurança da Informação Outras certificações relacionadas a segurança da informação: CISM – Certified Information Security Manager SSCP – Systems Security Certified Practitioner CISSP – Certified Information Systems Security Professional MCSO Cisco Certified Security Professional CCSP® Certification Security+ GIAC Security + GIAC POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 40 REFERÊNCIAS FERNANDES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a Governança de TI: da estratégia à gestão dos processos e serviços. 2 ed. Brasport, Rio de Janeiro, 2008. Associação Brasileira de Normas Técnicas (ABNT). ABNT NBR ISO/IEC 27002 – Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. ABNT, 2005 Norma ISO 27001:2013 http://www.iso31000qsp.org/2013/11/seguranca-da-informacao-conheca- nova.html Norma ISO 27002:2013 http://www.inf.furb.br/~paulofernando/downloads/risco/ISO-27002- 2013.pdf POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 41 Aula: 3 - COBIT (versão 5.0) COBIT é um acrônimo para Control Objectives for Information and Related Techology. É um modelo (framework) para controles e governança de TI. Esse modelo foi desenvolvido pelo Instituto Isaca (Information Systems Audit and Control Association, www.isaca.org), uma instituição americana sem fins lucrativos, que desenvolve pesquisas, modelos e certificações para os profissionais de Auditoria de Tecnologia da Informação (TI),Segurança, Governança e outros. O instituto Isaca foi fundado por um pequeno grupo de pessoas em 1969, que reconheciam a necessidade de uma fonte centralizada de informações e padrões para a área em crescimento de controles de auditoria de sistemas. Hoje o Isaca atende a 95.000 profissionais em 160 países. COBIT 5 é um modelo abrangente dos princípios globalmente aceitos, das práticas e das ferramentas analíticas e que podem ajudar qualquer organização para efetivamente resolver problemas críticos dos negócios relacionados à governança e gestão da informação e tecnologia. Sabendo o que o COBIT 5.0 sugere em seu modelo, podemos nos orientar para estabelecermos políticas de segurança para nossas empresas. Ele é mundialmente adotado e utilizado. No Brasil, é utilizado pelo governo (o Tribunal de Contas da União tem auditado as unidades de TI do Governo com base nos processos do COBIT. Outro usuário é o Banco Central do Brasil). Bancos comerciais também são grandes usuários pela grande complexidade de seus processos. Vejamos a evolução do COBIT: POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 42 Evolução do COBIT 1996 COBIT 1 Auditoria 1998 COBIT 2 Controle 2000 COBIT 3 Gerenciamento 2005/7 COBIT 4.0/4.1 Governança em TI 2012 COBIT 5 Governança de negócios em TI O COBIT 5 consolida e integra os modelos COBIT 4.1, Val IT 2.0 e Risk IT como também herda conceitos do Business Model for Information Security (BMIS) e ITAF (Information Technology Assurance Framework, um modelo publicado pelo Isaca). O COBIT 5 é um modelo de negócios e de gestão global para governança e gestão de TI corporativa, sendo composto por 5 princípios que definem os sete habilitadores que apoiam a composição do modelo. Ele é um guia, um instrumento para diagnóstico e auditoria, mas não é usado para certificação, ou seja, uma empresa não será certificada COBIT. Entretanto, existem certificações para profissionais. O COBIT 5 baseia-se em cinco princípios básicos para governança e gestão de TI da organização: 1o Princípio: Atender às Necessidades das Partes Interessadas - Organizações existem para criar valor para suas partes interessadas mantendo o equilíbrio entre a realização de benefícios e a otimização do risco e uso dos recursos. O COBIT 5 fornece todos os processos necessários e demais habilitadores para apoiar a criação de valor para a organização com o uso de TI. Como cada organização tem objetivos diferentes, o COBIT 5 pode ser personalizado de forma a adequá-lo ao seu próprio contexto por meio da cascata de objetivos, ou seja, traduzindo os objetivos corporativos em alto nível em objetivos de TI específicos e gerenciáveis, mapeando- os em práticas e processos específicos (ver Figura 4). POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 43 As necessidades das Partes Interessadas são transformadas em ações estratégicas. O COBIT 5 tem mecanismos para tradução dessas necessidades em objetivos corporativos, objetivos de TI e objetivos habilitadores. Isso é chamado no COBIT de COBIT 5 Goals Cascade (Cascata dos Objetivos). Figura 4 ‒ Cascata de objetivos no COBIT 5. Fonte: Isaca, 2012. (Iniciamos nossas figuras com a de número de 4 para manter coerência com o Modelo COBIT 5) As necessidades das partes interessadas são desdobradas em objetivos corporativos usando a ferramenta Balanced Scorecard (BSC) como apoio. Uma tabela com as necessidades das partes interessadas e os objetivos corporativos é apresentada no Apêndice D do modelo, cuja versão em Português do COBIT 5 está mencionada em “Referências”. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 44 O COBIT lista 17 objetivos empresariais genéricos comuns às empresas e que possuem informações como a dimensão BSC sob a qual o objetivo corporativo se enquadra e a relação entre os três principais objetivos da governança: realização de benefícios, otimização do risco e otimização dos recursos. Dimensão BSC Objetivo corporativo Relação com Objetivos de Governança Realização de Benefícios Otimização de Risco Otimização de Recursos Financeira 1. Valor dos investimentos da organização percebidos pelas partes interessadas p S 2. Portfólio de produtos e serviços competitivos p p S 3. Gestão do risco do negócio (salvaguarda de ativos) P S 4. Conformidade com as leis e os regulamentos externos P 5. Transparência financeira P S S Cliente 6. Cultura de serviço orientada ao cliente P S 7. Continuidade e disponibilidade do serviço de negócio P 8. Respostas rápidas para um ambiente de negócios em mudança P S 9. Tomada de decisão estratégica com base na informação P P P POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 45 10. Otimização dos custos de prestação de serviços P P Interna 11. Otimização da funcionalidade do processo de negócio P P 12. Otimização dos custos do processo de negócio P P 13. Gestão de programas de mudanças de negócios P P S 14. Produtividade operacional e da equipe P P 15. Conformidade com as políticas internas P Treinamento e Crescimento 16. Pessoas qualificadas e motivadas S P P 17. Cultura de inovação de produtos e negócios P Figura 5 – Objetivos corporativos do COBIT 5. Fonte: Isaca, 2012. Na tabela da Figura 5, “P” representa uma relação primária e “S” uma relação secundária, ou seja, uma relação mais fraca. Para que os objetivos corporativos sejam alcançados, a empresa necessita do auxílio da TI no que diz respeito a obter uma série de resultados de TI que são representados pelos objetivos relacionados com a TI, ou seja, a tudo o que estiver relacionado com a TI e tecnologias afins. Os objetivos de TI são estruturados de acordo com as dimensões do balanced scorecard de TI. O COBIT 5 define 17 objetivos de TI, como podemos ver na Figura 6. A tabela de mapeamento dos objetivos corporativos em objetivos de TI foi incluída no Apêndice B, do modelo COBIT 5. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 46 Dimensão BSC de TI Objetivo da Informação e Tecnologia Relacionada Financeira 01 Alinhamento da estratégia de negócios e de TI 02 Conformidade de TI e suporte para conformidade 03 Compromisso da gerência executiva com a tomada de decisões de TI 04 Gestão de risco organizacional de TI 05 Benefícios obtidos pelo investimento de TI e portfólio de serviços 06 Transparência dos custos, benefícios e riscos de TI Cliente 07 Prestação de serviços de TI em consonância com os requisitos de negócio 08 Uso adequado de aplicativos, informações e soluções tecnológicas Interna 09 Agilidade de TI 10 Segurança da informação, infraestrutura de processamento e aplicativos 11 Otimização de ativos, recursos e capacidades de TI 12 Capacitação e apoio aos processos de negócios por meio da integração de aplicativos e tecnologia 13 Entrega de programas fornecendo benefícios, dentro do prazo, orçamento e atendendo requisitos 14 Disponibilidade de informações úteis e confiáveis para a tomada de decisão4 15 Conformidade de TI com as políticas internas Treinamento e 16 Equipes de TI e de negócios motivadas e qualificadas POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 47 Crescimento 17 Conhecimento, expertise e iniciativas para inovação dos negócios Figura 6 – Objetivoscorporativos do COBIT 5. Fonte: Isaca, 2012. Por fim, os objetivos de TI são desdobrados em objetivos habilitadores. Habilitadores incluem processos, estruturas organizacionais e informações, e para cada habilitador um conjunto específico de metas relevantes pode ser definido para apoiar os objetivos de TI. Processos consistem em um dos habilitadores, e o Apêndice C (da versão em Português do COBIT 5, cujo link está mencionado em “Referências”) contém o mapeamento entre os objetivos de TI e os processos pertinentes do COBIT 5, que, por sua vez, contêm os respectivos objetivos do processo. Esse mapeamento é apresentado como uma matriz em que nas linhas temos os processos do COBIT 5 nas quatro percepções do BSC e, nas colunas, os objetivos de TI, também nas quatro dimensões do BSC. Nos cruzamentos de cada célula, temos a indicação de “P” ou “S”. A cascata de objetivos do COBIT nos possibilita organizar e entender como a TI pode atender às metas da organização. Usando o exemplo que consta no modelo COBIT 5 podemos verificar isso com mais propriedade. Uma organização define para si uma série de objetivos estratégicos, dos quais a melhoria da satisfação do cliente é o mais importante. A partir dali, ela deseja saber o que precisa ser melhorado em todos os aspectos relativos a TI. A organização decide que definir a satisfação do cliente como a principal prioridade é equivalente a elevar a prioridade dos seguintes objetivos corporativos (extraídos da Figura 5): POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 48 6. Cultura de serviço orientada ao cliente 7. Continuidade e disponibilidade do serviço de negócio 8. Respostas rápidas para um ambiente de negócios em mudança A organização dá agora o próximo passo na cascata dos objetivos: analisar quais objetivos de TI correspondem a esses objetivos corporativos. Uma sugestão de mapeamento entre eles foi relacionada no Apêndice B. A partir dali, os seguintes objetivos de TI são sugeridos como os mais importantes (todos como relacionamentos “P”): 01 Alinhamento da estratégia de TI e de negócios 04 Gestão do risco organizacional de TI 07 Prestação de serviços de TI em consonância com os requisitos de negócio 09 Agilidade de TI 10 Segurança da informação, infraestrutura de processamento e aplicativos 14 Disponibilidade de informações úteis e confiáveis para tomada de decisão 17 Conhecimento, expertise e iniciativas para inovação dos negócios A organização valida essa lista e decide que os quatro primeiros objetivos serão considerados prioridade. No próximo passo da cascata, usando-se o conceito de habilitador, esses objetivos de TI levam a diversas metas de habilitador, que incluem objetivos do processo. No Apêndice C, um mapeamento é sugerido entre os objetivos de TI e os processos do COBIT 5. Aquela tabela possibilita identificar os mais importantes processos de TI que apoiam os objetivos de TI, porém os processos por si só não são suficientes. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 49 Os demais habilitadores, tais como cultura, comportamento e ética, modelos organizacionais ou habilidades e expertise são igualmente importantes e requerem um conjunto de objetivos bem definidos. Quando esse exercício for concluído, a organização terá um conjunto de metas consistentes para todos os habilitadores que permitirão que ela alcance os objetivos estratégicos estabelecidos, além de um conjunto de indicadores correlatos para medir o desempenho. 2o Princípio: Cobrir a Organização de Ponta a Ponta - O COBIT 5 integra a governança corporativa de TI organização à governança corporativa. - Cobre todas as funções e os processos corporativos; O COBIT 5 não se concentra somente na “função de TI”, mas considera a TI e as tecnologias relacionadas ativos que devem ser tratados como qualquer outro ativo por todos na organização. - Considera todos os habilitadores de governança e gestão de TI aplicáveis em toda a organização, de ponta a ponta, ou seja, incluindo tudo e todos ‒ interna e externamente – que forem considerados relevantes para a governança e gestão das informações e de TI da organização. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 50 Figura 7 ‒ A governança de ponta a ponta que está na base do COBIT 5. Fonte: Isaca, 2012. Habilitadores da Governança - são os recursos organizacionais da governança, tais como modelos, princípios, processos e práticas. Os habilitadores também incluem os recursos da organização – por exemplo, capacidades do serviço (infraestrutura de TI, aplicativos etc.), pessoas e informações. A falta de recursos ou habilitadores poderá afetar a capacidade da organização na criação de valor. Escopo da Governança - A governança pode ser aplicada a toda a organização, uma entidade, um ativo tangível ou intangível etc. Ou seja, podemos definir diferentes visões da organização às quais a governança será aplicada, e é fundamental definir bem esse escopo do sistema de governança. Funções, Atividades e Relacionamentos - É a definição de quem está envolvido na governança, como estão envolvidos, o que fazem e como interagem dentro do escopo de qualquer sistema de governança. POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 51 O COBIT 5 faz uma clara diferenciação entre as atividades de governança e gestão nos domínios de governança e gestão, bem como a interação entre elas e os especialistas envolvidos. A Figura 8 mostra em detalhes a parte inferior da Figura 7, com as interações entre os diferentes papéis. Figura 8 – Principais funções, atividades e relacionamentos. Fonte: Isaca, 2012. 3o Princípio: Aplicar um Modelo Único Integrado - Há muitas normas e boas práticas relacionadas a TI, cada qual provê orientações para um conjunto específico de atividades de TI. O COBIT 5 se alinha a outros padrões e modelos importantes em um alto nível, conforme mencionado no início da aula e, portanto, pode servir como um modelo unificado para a governança e gestão de TI da organização. São exemplos de modelos e padrões aos quais o COBIT 5 está alinhado: Itil, Togaf e ISO (diversas normas), Coso, PMBOK e outros. A lista completa de referências pode ser encontrada no Apêndice A do modelo. 4o Princípio: Permitir uma Abordagem Holística Governança e gestão eficiente e eficaz de TI da organização requer uma abordagem holística (de todos os elementos, estratégias e atividades, que resulta em uma representação única da organização), levando em conta seus diversos componentes interligados. O COBIT 5 define um conjunto de habilitadores para apoiar a implementação de um sistema abrangente de gestão e governança de TI da POLÍTICAS DE SEGURANÇA E CLASSIFICAÇÃO DA NFORMAÇÃO 52 organização. Habilitadores são geralmente definidos como qualquer coisa que possa ajudar a atingir os objetivos corporativos. O modelo do COBIT 5 define sete categorias de habilitadores: Princípios, políticas e modelos são normas de como deve ser o comportamento desejado das pessoas em relação à empresa. Processos descrevem um conjunto de atividades logicamente sequenciadas, visando o atingimento de determinados objetivos e produzem um conjunto de resultados em apoio ao atingimento geral dos objetivos de TI. Estruturas organizacionais são as principais entidades de tomada de decisão de uma organização. Cultura, ética e comportamento das pessoas e da organização, pois esses pontos são muitas vezes subestimados como um fator de sucesso nas atividades
Compartilhar