Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA DA INFORMAÇÃO SERGIO DUQUE CASTILHO OURINHOS - SP JUNHO/2011 1 Sumário 1 SEGURANÇA DA INFORMAÇÃO....................................................................................3 2 LEIS ......................................................................................................................................16 3 PESQUISA DE SEGURANÇA DA INFORMAÇÃO ......................................................20 4 NORMAS..............................................................................................................................24 5 CLASSIFICAÇÃO DA INFORMAÇÃO..........................................................................34 6 ROSI......................................................................................................................................40 7 DESCARTE E SANITIZAÇÃO DE MÍDIAS...................................................................46 8 CONTROLE DE ACESSO.................................................................................................60 9 SEGURANÇA PARA TELEINFORMÁTICA E COMUNICAÇÕES...........................63 10 VISÃO DA GOVERNANÇA DE TI..............................................................................78 2 1 Segurança da Informação 1.1 Introdução Por que é tão importante proteger as informações nos dias de hoje? Será possível manter a segurança de uma organização, onde as informações são ativos de extrema importância para sua sobrevivência? Devido às organizações estarem fortemente ligadas a Tecnologias (servidores, internet, banco de dados, e-comerce, etc), os riscos que trazem essas Tecnologias são riscos para o negócio, e as falhas na proteção dos ativos da informação correlacionados com essa Tecnologia, transformam-se em perdas financeiras, comprometem a imagem da empresa e reduzem a eficiência operacional, chegando ao extremo de levar a encerrar suas operações. Restrita no passado para áreas de nicho, como bancária, aeroespacial ou aplicações militares a segurança digital cresce lentamente mas segura, tornando-se assunto de todos. As organizações têm a necessidade de criar e manter um ambiente tecnológico no qual os processos de negócio possam funcionar de forma correta e segura. Significa assegurar a confidencialidade e privacidade dos dados na organização, bem como a sua integridade. Para que esses objetivos sejam alcançados, não devemos dar ênfase apenas a implantação de hardware e software, mas a realização eficiente do processo de Gerenciamento de Risco de TI1 , no qual todos os riscos devem ser identificados e minimizados. 1.2 Informação É um conjunto de dados que representam um ponto de vista. Dados não são informações, estes após uma analise ou processo geram informação. A informação possui significado e causa impacto em grau maior ou menor, tornando o elemento essencial da extração e criação do conhecimento. 1 TI – Tecnologia da Informação 3 • conhecimento só pode ser formado a partir da exposição do individuo a informação. • Os aspectos da geração de conhecimento a partir da informação é o principal interesse das organizações. • Expor colaboradores a informação gera conhecimento, melhora a tomada de decisão e proporciona valor aos negócios, Como pode ser visto na figura 3. • Proporcionar valor contribui diretamente para o lucro. • É possível afirmar que a informação é um bem, um ativo da organização e deve ser preservada e protegida. • É possível encontrar informação na forma escrita, impressa, armazenada em arquivos( discos, cds, etc) e até transitando nos meios de comunicação. Figura 1 Valor da Informação 1.3 A importância da informação Atualmente, as informações tornam-se o objeto de maior valor para as empresas. O avanço da informática e das redes de comunicação nos mostra um novo cenário, no qual os objetos do mundo real estão representados por bits e bytes, sem deixar de ter o mesmo valor que os objetos reais e, na maioria das vezes, o valor é ainda maior. Segundo alguns estudos realizados, apenas 6% das empresas que sofrem um desastre informático sobrevivem. Os demais 94% desaparecem, mais cedo ou mais tarde. Algumas 4 pesquisas, ainda que mais moderadas, confirmam essa tendência ao indicar que duas de cada cinco empresas que enfrentam ataques ou danos em seus sistemas deixam de existir. 1.4 Segurança da informação É a proteção da informação, de diversos tipos de ameaças, para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno do investimento e as oportunidades de negócio. Segundo a NBR 27001, segurança da informação consiste na preservação da confidencialidade, integridade e disponibilidade da informação. Também suplementa, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem estar incluídas. Para a Academia Latino Americana de Segurança da Informação, as empresas estão expostas a ameaças constantes em seus ativos, o que pode representar prejuízos inestimáveis. As vulnerabilidades em nossos sistemas de informação podem representar problemas de grande impacto negativo para a empresa, a importância de compreender os conceitos necessários para que se possa combatê-los e defender as informações de possíveis ataques é uma forma de sobrevivência para a empresa. A segurança da informação tem a finalidade de proteger as informações registradas, independente de onde estejam situadas: impressas em papel, nos discos rígidos dos computadores ou até mesmo na memória das pessoas que as conhecem. E elementos são: as informações, os equipamentos que oferecem suporte a elas e as pessoas que as utilizam. A necessidade de segurança já excede o limite da produtividade e da funcionalidade, de forma que a velocidade e a eficiência tornam-se uma vantagem competitiva nos processos de negócios e a falta de segurança nos meios tecnológicos que permitem essa velocidade e eficiência, muitas vezes pode acarretar prejuízos inestimáveis. 5 Figura 2 Elementos que fazem Parte da Comunicação. Aumentar o nível de segurança de sistemas de informação é um desafio para qualquer organização. O primeiro passo neste empenho é avaliar a exposição atual da organização e decidir que passos esta devem seguir. Tomar decisões e, encontrar soluções pode ser a parte mais difícil do processo de assegurar os sistemas de informação. Existem alguns riscos em relação a segurança que devem ser considerados como: a falta de classificação da informação quanto ao seu valor, o controle de acesso mal definido, dificuldade de controle do administrador, a Internet, o tráfego de informações e senhas pela rede, e-mails enviados, qualquer conexão entre redes pode ser considerada um risco. Não se pode garantir total segurança, pois não existe segurança a prova de hackers. “A segurança é complexa, envolvendo aspectos humanos, sociais e tecnológicos” (GEUS; NAKAMURA). Por esse motivo cabe a organização definir o nível necessário de segurança, mas assumindo os riscos. Administrar a segurança de uma organização, não é uma tarefa fácil, pois a segurança é inversa a produtividade. Para minimizar os riscos o administrador restringe o acesso dos usuários aos serviços e dessa forma afeta a sua produtividade 6 1.5 Ativos De acordo com a NBR 27001, tudo que constitui valor para a organização é considerado ativo. “Um ativo é todo elemento que compõe o processo da comunicação, partindo da informação, seu emissor, o meio pelo qual ela é transmitida, até chegar a seu receptor ” (MICROSOFT TECHNET BRASIL). E ainda informa que, os ativos são elementos que precisam ser protegidos, pois constituem valor para as empresas e, por esse motivo precisam de umaproteção adequada para que seus negócios não venham a ser prejudicados. Os elementos que fazem parte do que chamamos de ativos são três: As informações, os equipamentos que oferecem suporte a elas, as pessoas que as utilizam. Tabela 1 Grupos de Ativos A. Informações: Neste grupo de ativos, tudo que contêm informação registrada, em meio eletrônico ou físico. Exemplo: documentos, relatórios, correspondências, patentes, código de programação, planilhas de remuneração de funcionários, etc.1 B. Equipamentos que oferecem Suporte B.1 Software: Este grupo de ativos é formado pelos programas usados na execução dos processos, por exemplo: o acesso, a leitura, o trânsito e o armazenamento das informações. Alguns exemplos são: sistemas operacionais (Unix, Windows, Linux, sistemas informatizados, 7 aplicativos específicos etc.), programas de correio eletrônico e sistemas de suporte, entre outros. B.2 Hardware: Equipamentos tecnológicos que oferecem suporte à informação durante sua utilização, trânsito e armazenamento. Por exemplo: os computadores, os servidores, os mainframes, os meios de armazenamento, os equipamentos de conectividade, roteadores, switchs,etc. B.3 Organização: Componentes da estrutura física e organizacional das empresas. Exemplos de estrutura organizacional : a estrutura departamental e funcional, o quadro de alocação dos funcionários, a distribuição de funções e os fluxos de informação da empresa. Exemplos de ambiente físico: salas e armários onde estão localizados os documentos, sala de servidores de arquivos. C. Usuários: O grupo usuários são os indivíduos que utilizam os equipamentos da empresa e que trabalham com a informação, desde a alta direção até os usuários finais da informação, incluindo os grupos que mantêm em funcionamento a estrutura tecnológica, como técnicos, operadores e ministradores de ambientes tecnológicos . 1.6 Princípios básicos da segurança da informação Proteger os ativos significa defende-los das ameaças que podem prejudicar sua funcionalidade: corrompendo-a, tendo acesso a ela de forma indevida, ou eliminando-a ou furtando-a. Existem três princípios básicos usados como base para proteção desses ativos: • Integridade: • Confidencialidade • Disponibilidade da informação. 8 1.6.1 Integridade da informação: O princípio da integridade nos permite garantir que a informação não tenha sido alterada em seu conteúdo. Um exemplo de falta de integridade ocorre quando a informação é corrompida, falsificada ou roubada. Como seria se o quadro de salários dos funcionários fosse alterado acidentalmente ou propositalmente? Esse é um exemplo de dano que a empresa sofre com a falta de integridade das informações. 1.6.2 Confidencialidade da informação: O princípio da confidencialidade da informação assegura o acesso apenas das pessoas autorizadas à informação que será compartilhada. São informações que precisam ser mantidas em sigilo, a quebra desse sigilo pode acarretar danos inestimáveis. Exemplo: número e senha do cartão de crédito, da conta bancária,etc 1.6.3 Disponibilidade das informações: O princípio da disponibilidade das informações garante que a informação possa ser acessada no momento em que for solicitada. A configuração segura de um ambiente é fundamental. Fazer cópias de segurança – backup também é importante. 1.7 Ameaça Ativos sempre terão vulnerabilidades, que podem submetê-los as ameaças. As ameaças são agentes que exploram os pontos fracos ou vulnerabilidades (falhas na segurança), provocando perdas ou danos aos ativos, afetando os negócios da empresa. As ameaças podem colocar em risco a integridade, a confidencialidade e a disponibilidade das informações. Ameaças estão ligadas a causas que representam riscos, são elas: • Causas naturais ou não-naturais • Causas internas ou externas 9 Figura 3 Princípios Básicos da Segurança da Informação 1.7.1 Tipos de ameaças As ameaças estão divididas em três grandes grupos: • Ameaças naturais – condições da natureza que podem provocar danos aos ativos como fogo, inundação, terremotos. • Intencionais – são ameaças premeditadas, fraudes, vandalismo, sabotagens, espionagem, invasões e furtos de informações. • Involuntárias – são ameaças procedentes de atitudes inconscientes de usuários, por vírus eletrônicos, causados pela falta de conhecimento na utilização dos ativos, como erros e acidentes. Tabela 2 Principais ameaças às informações das empresas 10 1. Virus 2. Divulgação de senhas 3. Hackers 4. Funcionários insatisfeitos 5. Acessos indevidos 6. Vazamento de informações 7. Erros e acidentes 8. Falhas na segurança física 9. Acessos remotos indevidos 10. Superpoderes de acesso 12. Pirataria 13. Lixo informático 14. Divulgação indevida 15. Roubo/Furto 16. Fraudes 1.8 Vulnerabilidade Os pontos fracos ou vulnerabilidades são os meios pelos quais as ameaças, afetam a confidencialidade, a disponibilidade e a integridade das informações de uma empresa. Pode- se esperar que, à medida que a tecnologia avança, mais expostas ficam as informações. Por esse motivo é importante conhecer a estrutura geral de como se classificam as vulnerabilidades ou pontos fracos, responsáveis pelos danos causados por uma série de ameaças. 1.8.1 Vulnerabilidades físicas Encontra-se no ambiente em que estão sendo armazenadas ou gerenciadas as informações. Exemplo: • Instalações inadequadas do espaço de trabalho • Ausência de recursos para o combate a incêndios • Disposição desorganizada dos cabos de energia e de rede • Não-identificação de pessoas e de locais, entre outros. • Computadores: podem sofrer danos internacionais ou naturais. • Meios de transmissão. • Ambiente: incêndio, inundação, terremoto. Figura 4 Pontos Fracos ou Vulnerabilidades 11 1.8.2 Vulnerabilidades naturais São aqueles relacionados às condições da natureza que podem colocar em risco as informações. Exemplo: • Ambientes sem proteção contra incêndios • Locais próximos a rios propensos a inundações • Infra-extratora incapaz de resistir às manifestações da natureza, como terremotos, maremotos, furacões, etc. 1.8.3 Vulnerabilidades de hardware Defeitos de fabricação ou configuração dos equipamentos da empresa que possibilitem o ataque ou a alteração dos mesmos. Exemplo: • A ausência de atualizações de acordo com as orientações dos fabricantes dos programas utilizados • A conservação inadequada dos equipamentos. 1.8.4 Vulnerabilidades de softwares Possibilitam a ocorrência de acessos indevidos aos sistemas de computador. A configuração e a instalação indevidas dos programas de computador; • Os aplicativos; • Os sistemas operacionais. 1.8.5 Vulnerabilidades dos meios de armazenamento Se os meios que armazenam as informações não forem utilizados de forma adequada, seu conteúdo fica vulnerável a uma série de ameaças que poderão afetar a integridade, a disponibilidade e a confidencialidade das informações. 12 Exemplo: • Prazo de validade e expiração • Defeito de fabricação • Local de armazenamento em locais insalubres ou com alto nível de umidade, magnetismo ou estática, mofo, etc. • Computadores: podem sofrer danos internacionais ou naturais. • Meios de transmissão. • Pessoa: por natureza tendem a divulgar informações(conversa informal). • Processos: falta de regra especifica nas empresas em relação a informação. • Ambiente: incêndio, inundação, terremoto. 1.8.6 Vulnerabilidades de comunicação Os meios que transitem as informações, seja por cabo, satélite, fibra óptica ou ondas de rádio, também necessitam de segurança. A falha na comunicação faz com que uma informação fique indisponível para os seus usuários, ou fique disponível para pessoas que nãodeveriam ter acesso a ela, permitindo que sejam alteradas, afetando sua integridade. A ausência de sistemas de criptografia nas comunicações; A má escolha dos sistemas de comunicação para envio de mensagens. 1.8.7 Vulnerabilidades humanas Estão relacionadas aos danos que as pessoas podem causar às informações e ao ambiente tecnológico que lhes oferece suporte. Exemplo: • Senhas fracas; • Falta de uso de criptografia na comunicação; 13 • Compartilhamento de identificadores como nome de usuário. • Pessoa: por natureza tendem a divulgar informações(conversa informal). • Processos: falta de regra especifica nas empresas em relação a informação. 1.9 Impacto Refere-se a perdas ou prejuízo, causado nos negócios ou pessoas devido a um incidente de Segurança da Informação., podendo causar perdas financeiras, danos a imagem de pessoas ou empresas, Exemplo: perda de cliente, perda de produtividade, danos morais. Fica evidente que o grau de ameaça e de vulnerabilidade influenciam diretamente a pobabilidade de ocorrer um impacto. Assim se uma empresa atuar diretamente nestes pontos, irá diminuir a probabilidade de ocorrer um impacto. 1.10 Risco “Risco é a probabilidade de que as ameaças explorem os pontos fracos causando perdas ou danos aos ativos e impactando os negócios, ou seja afetando: a confidencialidade, a integridade e a disponibilidade da informação”. (ACADEMIA LATINO AMERICANA DE SEGURANÇA DA INFORMAÇÃO;2010; P.2) Os riscos aumentam à medida que as ameaças conseguem explorar as vulnerabilidades provocando danos nos ativos. Esses danos podem ocasionar a perda da confidencialidade, a integridade ou a disponibilidade da informação causando impactos no negócio da empresa. RISCO = AMEAÇA + VULNERABILIDADE. 1.11 Excelência operacional das empresas As organizações que focam a excelência operacional, oferecem produtos de qualidade em relação ao mercado. A padronização das operações é uma forte característica. 14 Tudo isso é suportado por uma gama de informações em organizadas e disponíveis. O que podia ocorrer se o sistema de informação que compõem os processos de suprimento e atendimento estiverem fora do ar, se os procedimentos ficarem indisponíveis. Figura 5 Ciclo de segurança Não resta a menor duvida de que possuir um sistema de gestão de segurança da informação que mantém a disponibilidade, a integridade e a confidencial idade das informações é uma necessidade. Um sistema de gestão de segurança da informação SGSI o primeiro passo é definir em que direção seguir etapas do planejamento Definição do Escopo>> Política para SGSI>> Analise de Risco >> Tratamento do Risco. 15 2 Leis A evolução da internet não trouxe apenas benefícios para a sociedade, como globalização, comercio eletrônico, acesso a informações entre outras, vieram também os crimes virtuais e diversas expressões algumas utilizadas de forma equivocada como: ‘crimes de informática’, ‘crimes tecnológicos’, ‘crimes cibernéticos’, crimes virtuais etc. O termo adotado foi: “crimes informáticos”, este termo traduz, de forma ampliativa, os crimes cometidos contra ou utilizando sistemas informativos. A Organização para Cooperação Econômica e Desenvolvimento da ONU (Organização das Nações Unidas) define o conceito de crimes informáticos como: “qualquer conduta ilegal não ética, ou não autorizada, que envolva processamento automático de dados e/ou transmissão de dados”. O juiz Guilherme Guimarães Feliciano, define crimes informáticos como: “recente fenômeno histórico-sócio-cultural caracterizado pela elevada incidência de ilícitos penais (delitos, crimes e contravenções) que têm por objeto material ou meio de execução o objeto tecnológico informático (hardware, software, redes, etc.)” . Para combater os crimes informáticos ou punir quem os comete, foram criadas algumas leis como: A Lei 11.277 de 7 de fevereiro de 2006, que acrescentou ao Código de Processo Civil o artigo 285-A, artigo 285-B, artigo 285-C, Artigo 154-A, artigo 163, artigo 163-A, entre outros, descritos a seguir: • Artigo 285-A (Código Penal). Acesso não autorizado a rede de computadores, dispositivo de comunicação ou sistema informatizado. Acessar, mediante violação de segurança, rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso: Pena - reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único - Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte. Comete o crime quem acessa uma rede de computadores (que não é apenas a Internet, pode ser uma rede de computadores conectados entre si, como uma rede 16 coorporativa ou de governo) violando alguma medida de segurança, em rede ou sistema informatizado ou dispositivo de comunicação que contenha expressa restrição de acesso. • Artigo 285-B (Código Penal). Obtenção, transferência ou fornecimento não autorizado de dado ou informação. Obter ou transferir, sem autorização ou em desconformidade com autorização do legítimo titular da rede de computadores, dispositivo de comunicação ou sistema informatizado, protegidos por expressa restrição de acesso, dado ou informação neles disponível: Pena - reclusão, de 1 (um) a 3 (três) anos, e multa. Parágrafo único - Se o dado ou informação obtida desautorizadamente é fornecida a terceiros, a pena é aumentada de um terço. Esse novo crime também busca proteger os dados eletrônicos (por exemplo, fotos pessoais, um trabalho acadêmico ou artístico, etc.) de ser obtido ou transferido sem autorização para terceiros. Mas quando exatamente ocorre esse crime? .Diferentemente do crime anterior, esse acontece quando ocorre a transferência ou obtenção do dado eletrônico sem a autorização do titular da rede de computadores ou do proprietário, ou do dispositivo de comunicação ou sistema informatizado. • Artigo 285-C (Código Penal). Nos crimes definidos neste Capítulo somente se procede mediante representação, salvo se o crime é cometido contra a União, Estado, Município, empresa concessionária de serviços públicos, agências, fundações, autarquias, empresas públicas ou sociedade de economia mista e subsidiárias." O parágrafo acima determina que os dois crimes anteriores (Art. 285-A e 285-B), só procedem se houver representação da pessoa ofendida, isso quer dizer, que polícia ou o Ministério Público não podem processar por conta própria. • Artigo 154-A (Código Penal). 17 Divulgar, utilizar, comercializar ou disponibilizar dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem, ou de seu representante legal. Pena - detenção, de 1 (um) a 2 (dois) anos, e multa. Parágrafo único - Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada da sexta parte. Esse crime busca punir uma conduta tornou-se muito comum nos dias atuais, a divulgação de fotos e informações pessoais (dados da receita federal comercializados por camelôs por exemplo). Comete o crime quem divulga as fotos ou dados sem a permissão dos donos (ou representantes legais dos donos) das fotos ou dados. • Artigo 163 (Código Penal). Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio: Esse artigo já existe no Código Penal, apenas acrescentamos o "dado eletrônico" para protegê-lo de dano. • Artigo 163-A (Código Penal). Inserção ou difusão de código malicioso. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado. Pena - reclusão, de 1 (um)a 3 (três) anos, e multa. Esse crime comete quem difunde vírus ou o insere em rede de computadores. Note-se que esse crime, tal como os demais, não existe em modalidade culposa, apenas dolosa, o que quer dizer que aquele que recebe o vírus e sem perceber passa a distribuí-los, não comete crime (não existe dolo na conduta). 18 Parágrafo 1º - Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado: Pena - reclusão, de 2(dois) a 4 (quatro) anos, e multa. Parágrafo 2º - Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte". 19 3 Pesquisa de Segurança da Informação A modulo technology for risk management : Fundada em 1985 a modulo é especializada em tecnologia para gestão de risco. 250 profissionais permanentemente atualizados. Pesquisa realizada com cerca de 600 profissionais atuantes na área de segurança e tecnologia da informação. Pesquisa nos seguintes setores: Visão por segmento Organização do governo são as menos quantificadas, 56% não sabem dizer em quanto ficou o prejuízo, no comercio 26% no financeiro 24% e no industrial 36% Quando identificado o problema, no setor financeiro os causadores são os fraudadores já no setor industrial são os ex-funcionários. O setor financeiro é o que mais tomam providencia legal e possuem planejamento de segurança. 20 Problemas que geram perdas financeiras. *= 54% devido a falha na política de segurança, falta de conscientização ou treinamento dos colaboradores. Estruturação da área de segurança da informação 21 Empresas com CSO • Financeiro 27% • Telecomunicações 23% Empresas com departamento de segurança. • Financeiro 56% • Telecomunicações 50% • Comercio 39% • Serviços 35% Nível de conhecimento sobre normas e legislação. • Possui conhecimento 43% • Possui pouco conhecimento 25% • Possui Conhecimento mas não adotou medidas 24% • Não possui 8% Empresas que possuem procedimento metodologia formalizado • 65% Não possuem e 35% possuem Valor gasto com capacitação de funcionários: • 29% até R$1000,00 • 19% até R$2000,00 • 28% acima de R$5000,00 • 24% até R$5000,00 Profissionais da equipe que possuem certificação: 45% nenhuma 22 21% MCSO-Modulo Certified Security Officer ( exame R$500,00 , Curso R$2850,00) 14% Outros 9% CISSP-Certified Informat System security Professional. Mantida pelo (ISC)² 4% CISM-Certified Information Security Manager®, criado pela ISACA 7% CISA- Certified Information System Auditor Principais Medidas 3.1 Origem dos eventos de segurança da Informação As origens dos problemas de segurança podem ser dividida em três categorias conforme tabela. Natural Fenômenos Meteorológicos Acidental Erros de Usuários ou Falhas nos Sistemas Intencional Invasões,Terrorismo Ideologicos ou criminoso Espionagem e Inteligência competitiva Chantagem e extorsão 23 4 Normas As normas e metodologias são as melhores práticas em segurança da informação e governança de TI, reconhecidas mundialmente e bastante utilizadas. A busca por padrões de mercado e as dificuldades das áreas de TI, tornam essas normas e metodologias necessárias para que as empresas possam sustentar seus próprios modelos e estruturas de controle, já que as transformações tecnológicas exigem constantes atualizações desses modelos. Atualmente a tecnologia da informação está enraizada em todas as empresas, da mais simple a mais complexa, passando por todos os tamnhos, ajudando a dirigir os negócios. O sucesso da empresa depende da alta disponibilidade das informações, da segurança e desempenho dos serviços de TI. Esta dependência foi quem determinou o desenvolvimento de normas que propõem práticas para implantação de sistemas de gestão dos serviços de TI 4.1 Histórico 4.1.1 ABNT ISO/IEC 27002 / 17799 • ISO/IEC 27002:2005- Information technology -- Security techniques -- Code of practice for information security management • ISO/IEC- 17799- Information Technology- Security tec- Code of Pratice for Inf. Security Management. São provavelmente as mais conhecidas normas sobre segurança da informação, seu surgimento teve início com a preocupação em gerar uma série de procedimentos sobre segurança da informação na Inglaterra, mais especificamnete no DTI- Department of Trade and Industry. Um grupo criado em 1987 tinha a missão de criar um conjunto de critérios que pudesse proporcionar a validação da segurança da informação e um código de boas praticas que orientasse na implementação das ações, este trabalho gerou uma norma em 1989. 24 Este código orientava na aplicação das ações de segurança da informação, mas ainda era difícil validar essas ações ou assegurar que estavam sendo realizadas. Para isso foi criada uma lista de verificações, surgindo assim as normas: • BS-7799-1 • BS-7799-2 Inúmeras melhorias foram implementadas e passou a ser utilizada fora da Inglaterra, contribuindo com a ISO ( International Organization for Standard ) . Em 2000 a BS-7799-1 foi lançada como ISO 17.799 Information technology -- Security techniques -- Code of practice for information security management Porém a segunda parte, ou seja a BS-7799-2 não foi transformada em ISO, gerando um demanda por normas internacionais. A British Standard adequou a BS-7799-2 aos padrões ISO (9000 e 14000),passando a ser usada como norma para certificação de segurança da informação em 2002. Formando um instrumento para orientação na implantação de um Sistema de Gestão de segurança da informação (SGSI). Em 2007 a ISO 17799 foi renomeada para ISO 27.002 denominada: • ABNT-NBR ISSO/IEC 27002 Tecnologia da informação – Técnicas de segurança – Código de Prática para a gestão da segurança da informação. Esta norma oferece diretrizes e princípios gerais para iniciar implementar e manter a melhor Gestão de SI e as definições básicas do que é a Segurança da Informação, o sua necessidade e como estabelecer os requisitos de segurança. 4.1.2 ISO/IEC 27001 – SGSI - Sistemas de Gestão de Segurança da Informação (ISMS - Information Security Management System) E uma norma internacional utilizada como padrão para os sistemas de gestão de segurança da informação, foi publicada pelo International Organization for Standardization (ISO) e pelo International Electrotechnical Commision (IEC) 25 A Norma 27001 foi idealizada para cobrir todos os tipos de organizações , pois seus requisitos são genéricos. O Sistema de Gestão de Segurança da Informação (SGSI), define como serão reduzidos os riscos para segurança da informação através da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma cadeia de decisões tomadas para gerenciar a segurança da informação, incluindo pessoas, infra- estrutura e negócios, diminuindo os riscos a um nível aceitável, ao mesmo tempo que mantém em ponto de vista os objetivos do negócio e as expectativas do cliente. Um SGSI é um sistema de gestão análogo a um Sistema da Qualidade e como tal é passível de certificação. Esta certificação se dá a partir das evidências (documentos e práticas) do conjunto de controles implantados e que devem ser continuamente executados e devidamente registrados. Segundo a NBR 27001(2006), o SGSI é projetado para certificar a seleção de controles de segurança apropriados e ajustados para proteger os ativos de informação, o modelo conhecido como "Plan-Do-Check-Act” (PDCA),é aplicado para estruturar todos os processos do SGSI. O sistema de gestão da segurança da informação consiste na parte do sistema de gestão global, fundamentada na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. 26 Durante o processo de estabelecimento e gerenciamento a organização deve: Definir o escopo e os limites do SGSI nos termos das características do negócio da organização, sua localização, ativos e tecnologia. A definição do escopo inclui o levantamento dos ativos que serão envolvidos, tais como: Equipamentos; sistemas; nome da organização; estrutura de comunicação (Internet, correio eletrônico); pessoas; serviços; infra- estrutura de rede interna e externa e classificação da informação. À medida que evolui, o projeto deve ser revisado e detalhado (ciclo PDCA). Esta revisão é baseada no escopo do projeto, pois a declaração do escopo é um documento que contém a base para as futuras decisões. A delimitação do escopo é extremamente necessária, pois quanto maior o escopo maior a complexidade do SGSI a ser implementado. 4.1.3 ISO/IEC 27003 – Guia de Implementação do Sistema de Gerenciamento de Segurança da Informação. Denominada como: ISO/IEC 27003:2010 Information technology — Security techniques — Information security management system implementation guidance. Foi publicada no início de fevereiro 2010, a fim de fornecer um guia para a implementação de controles relacionados com a gestão de um SGSI, permitindo fazer um planejamento claro sobre como implementar e definir uma estratégias segurança relacionada com o negócio de uma empresa de acordo com os requisitos da ISO 27001. 27 A sequência mostrada na figura a seguir mostra um guia baseado na 27003 com as principais fases para implementação de um sistema de gestão de segurança da informação. 4.1.4 ISO / IEC 27004 Tecnologia da informação - Técnicas de segurança - Gestão de segurança da informação - Medição Esta norma abrange medidas de gestão da segurança da informaçã, geralmente conhecido como métricas de segurança. A norma foi publicada em dezembro de 2009. A norma se destina a ajudar as organizações a medir, gerar relatório sobre a sistemática de segurança da informação e portanto, melhorar a eficácia dos seus Sistemas de Gestão de Segurança da Informação. Oferece orientação sobre o desenvolvimento e a utilização de medidas e de medição, a fim de avaliar a eficácia de um sistema de gestão implementado de segurança da informação (SGSI) e controles ou grupos de controles, como especificado na ISO/IEC 27001. Isso pode incluir a política, a informação de gestão de riscos de segurança, objetivos de controle, processos e procedimentos para apoiar sua revisão, ajudando a determinar se qualquer um dos processos do SGSI ou controles precisam ser mudados ou melhorados. BS ISO / IEC 27004 dá as seguintes recomendações sobre as atividades como base para uma organização cumprir os requisitos de medição especificadas na norma ISO/IEC 27001: 28 1. Medidas de desenvolvimento (isto é, medidas básicas, medidas derivadas e indicadores 2. Implementação e operação de um Programa de Medição de Segurança da Informação 3. Coletar e analisar dados 4. Desenvolvimento de resultados de medição 5. Comunicação dos resultados de medição desenvolvidos para as partes interessadas 6. Utilizando os resultados de medição, fatores que contribuem para ISMS decisões relacionadas 7. Utilizando os resultados de medição para identificar as necessidades para melhorar o SGSI implementado incluindo seu escopo, políticas, objetivos, controles, processos e procedimentos 8. Facilitar a melhoria contínua do Programa de Medição de Segurança da Informação. Um dos fatores que irão impactar a capacidade da organização para alcançar a medição é o seu tamanho. Geralmente o tamanho e a complexidade do negócio, em combinação com a importância da segurança da informação afetam o grau de medida necessária, tanto em termos do número de medidas a serem selecionados e a frequência da recolha e análise de dados. Para as PME (Pequenas e Médias Empresas), o programa de medição menos abrangente de segurança serão suficientes, enquanto que as grandes empresas irão implementar e operar vários programas de medição de Segurança da Informação. A única informação do Programa de Medição de Segurança pode ser suficiente para uma organização de pequeno porte, enquanto que para as grandes empresas à necessidade de vários programas de medição de Segurança da Informação. 29 A orientação fornecida por esta Norma irá resultar na produção de documentação que irá contribuir para demonstrar que a eficácia de controle está sendo medido e avaliado. Esta norma é bem detalhada em termos de mecânica de processos de medição. Ela laboriosamente descreve como coletar "medidas básicas", a agregação de uso e cálculos matemáticos para gerar "medidas derivadas", e então aplicar técnicas de análise e critérios de decisão para criar "indicadores", utilizada para ajudar no SGSI. Infelizmente, ele não oferece muita orientação sobre quais medidas básicas, medidas derivadas ou indicadores pode realmente valer a pena em todo esse esforço. Embora seja consensual que a orientação pragmática sobre métricas de segurança é extremamente necessário pela profissão e que complementam os padrões ISO27k restantes, este foi um projeto longo e difícil para a ISO / IEC JTC1/SC27. Em parte, isso ocorre porque o campo de métricas de segurança é bastante imaturo. Como com a norma ISO / IEC 27003, centenas de páginas de comentários dos organismos nacionais foram recebidos ainda na fase final FCD e poucos foram resolvidas antes da publicação. Parece provável que muitos comentários terão de ser revistos em uma revisão pós-publicação da norma, embora isso não está planejado ... 4.1.5 ISO / IEC 27005 Tecnologia da informação – Técnicas de Segurança – Gerenciamento de Risco em Segurança da Informação Conhecida internacionalmente como ISO/IEC 27005 Information technology – Security Techniques - Information security risk management, esta norma suporta os conceitos gerais especificados na norma ISO/IEC 27001 e é projetado para auxiliar a implementação satisfatória de segurança da informação com base em uma abordagem de gestão de risco, esta norma ajuda a organização a definir seu modelo de gerenciamento de risco. É aplicável a todos os tipos de organizações (por exemplo, empresas comerciais, agências governamentais, organizações sem fins lucrativos) que pretendam gerir os riscos que poderiam comprometer a segurança de informação da organização. Trata-se de um padrão pesado, embora a parte principal tem apenas 24 páginas, sendo o resto em sua maioria, anexos com exemplos e informações adicionais para os usuários. 30 Embora a norma defina risco como "uma combinação das conseqüências que se seguem derivadas da ocojrrência de um evento indesejado e da probabilidade de ocorrência do evento", o processo de análise de risco descritos na norma indica a necessidade de identificar os ativos de informação em risco, as ameaças potenciais ou fontes de ameaças, as vulnerabilidades potenciais e as potenciais consequências (impactos), se os riscos se materializar. Exemplos de ameaças, vulnerabilidades e impactos estão tabulados nos anexos, embora incompleta, estes podem ser úteis para os riscos relativos de ativos de informação sob avaliação. É clara a verificação que sistemas de segurança automatizados ferramentas de avaliação de vulnerabilidade sãoinsuficientes para a análise de risco, sem levar em conta outras vulnerabilidades além das ameaças e impactos: a simples existência de certas vulnerabilidades não significa necessariamente que sua organização enfrenta riscos inaceitáveis se as ameaças correspondentes ou impactos de negócios são insignificantes em determinadas situação particulares. A norma inclui uma seção e anexo sobre a definição do âmbito e limites da gestão de riscos de segurança que deve ser o foco do SGSI. A norma não especifica, recomenda ou mesmo nomeia um método específico, sistemático e rigoroso de análise de riscos até mesmo a criação do plano de gerenciamento de riscos. O padrão deliberadamente permanece agnóstico2 sobre os métodos de avaliação quantitativa e qualitativa de risco, essencialmente, recomendando que os usuários escolham os métodos que melhor lhes convêm. Observe o plural - 'métodos' - o que implica que diferentes métodos podem ser utilizados, uma avaliação de risco de alto nível pode ser seguida por um aprofundamento na análise de risco nas áreas de alto risco. Os prós e contras dos métodos quantitativos de avaliação de risco são um pouco confuso nesta norma. 2 Questões metafísicas inacessíveis ao espírito humano por não serem passíveis de análise pela razão. 31 4.1.6 ISO / IEC 27006 A tecnologia da informação - Técnicas de segurança – Requisitos para organismos que prestem serviços de auditoria e certificação de sistemas de informação de gestão de segurança Esta norma especifica os requisitos e fornece orientação para organismos que prestam auditoria e certificação de um sistema de gestão de segurança da informação (SGSI), além dos requisitos contidos na ISO/IEC 27001. É destinada principalmente a apoiar a acreditação de organismos de certificação que fornecem certificação em SGSI, sendo que as exigências contidas nesta norma precisam ser demonstradas em termos de competência e confiabilidade por qualquer organismo de certificação. Estas certificações incluindo reuniões de informação, reuniões de planejamento, análise de documentos e acompanhamento de itens que não estão em conformidades com a norma. Organizar e participar como palestrante em cursos de formação, desde que, estes cursos digam respeito à gestão da segurança da informação e sistemas de gestão relacionados a auditoria. Os organismos de certificação devem limitar-se à prestação de informações genéricas e conselhos que estão disponíveis no domínio público. As atividades de auditoria têm o único objetivo de determinar uma certificação, no entanto, tais atividades não deve resultar na prestação de recomendações ou conselhos, e sim agregar valor durante as auditorias de certificação e visitas de vigilância, através da identificação de oportunidades de melhoria sem recomendar soluções específicas. O organismo de certificação deve ter critérios para a formação de equipes de auditoria que garante: • O conhecimento do padrão do SGSI e outros documentos normativos pertinentes; • A compreensão da segurança da informação; • A compreensão da avaliação e gestão de riscos a partir da perspectiva de negócios; • Conhecimento técnico da atividade a ser auditada; • Conhecimento geral dos requisitos regulamentares pertinentes para ISMSs; 32 • Conhecimento de sistemas de gestão; • A compreensão dos princípios de auditoria com base na ISO 19011; • Conhecimento do SGSI revisão eficácia e avaliação da eficácia de controle. Mas especificamente esta norma informa as características necessárias para a um profissional ou empresa que fornece certificação do SGSI, incluindo uma visão das competências dos auditores. 33 5 Classificação da informação 5.1 Introdução O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las. Além de determinar os controles de proteção necessários a cada uma delas O fato de algumas informações demandarem mais proteções que outras cria dois cenários indesejáveis que as organizações buscam evitar: Informações sensíveis ou críticas sem níveis de proteção adequado, geralmente incidentes de segurança que trazem prejuízos e comprometem a eficácia das operações; Informações que não precisam de proteção, sendo protegidas de forma excessiva, consumindo recursos de forma desnecessária e direcionando erroneamente o escasso orçamento de segurança 5.2 Proteção Quando adotamos uma visão de proteção focada unicamente nas ameaças e nas vulnerabilidades que um local o um sistema possuem, corremos um grande risco de não estarmos protegendo a informação mais criticas e sensíveis ao longo de todo o seu ciclo de vida. Esses ciclos possuem diversas fases, desde a criação e o descarte, passando pela manipulação, processamento, armazenamento etc. A melhor forma de protegermos as informações é justamente pela adoção de uma abordagem que analisa as demandas de segurança pela ótica do próprio ativo e suas necessidades. Dessa forma, podemos combinar diversos mecanismos e obtermos níveis de proteção uniformes independentes da forma como a informação está sendo usada 34 5.3 Economia Quando maior o nível de proteção que um controle oferece. Maiores são os custos financeiros em termos de aquisição e manutenção. Controles costumam trazer custos indiretos como perda de produtividade e outras inconveniências. Benefícios O Processo de classificação da Informação traz diversos benefícios para uma organização. Dos benefícios mais tangíveis e mensuráveis podemos dizer : 5.3.1 Conscientização O Programa de Classificação da Informação requer o envolvimento de praticamente de todas as pessoas dentro da organização. Esse envolvimento faz com que as pessoas tenham uma dimensão maior das dificuldades de proteger os ativos de informação e da infinidade de situações que podem comprometer essa proteção. Responsabilidades – A Classificação da Informação necessita de uma divisão e atribuição de responsabilidades para poder trabalhar. Essas responsabilidades dizem a respeito a quem deve classificar, quem deve proteger e que cuidados os usuários devem tomar , entre outras coisas. A definição desses papeis distribui o peso da proteção entre os colaboradores de uma organização, fazendo com que todos fiquem responsáveis por ela. Níveis de proteção – A atribuição de responsabilidades e melhora da consciência dos colaboradores faz com que eles mesmos tragam situações que demandam proteção e que , muitas vezes, fogem aos olhos daqueles que devem se responsabilizar pela proteção. Ninguém conhece melhor o fluxo das informações que as pessoas que fazem uso delas Tomadas de decisões – Quando as informações são bem categorizados no ponto de vista da segurança, o processo de tomada de decisões, sejam relacionadas a Gestão de SI ou a própria organização, é extremamente beneficiada. Uso dos recursos – Recursos desperdiçado em um controle normalmente fazem falta em um outro lugar no qual, a organização terá uma situação inversa, isto é , falta de controle de informações criticas que estão armazenadas junto com outras que não precisam de proteção. 35 • Exemplos As informações são classificadas mediante sua necessidade de sigilo. Porém uma organização também pode elaborar procedimentos para classificá-las perante suas necessidades de integridades e disponibilidades Decreto 4.553 – Casa Cível níveis de classificação em nível federal Cada nível de classificação é criado visando a um tipo de informação, temos que desenvolver critérios para avaliar uma informação Exemplos de Rótulos Governo Brasileiro Empresas Privadas3 Ultra-Secreto Irrestrita Secreto Protegida Confidencial Confidencial Reservado Restrita Irrestrita: Informação Pública (incluindo informações consideradas públicas pela legislação, ou através de uma política de divulgação de rotina). Disponível ao público, todos os funcionários, empreiteiros, subempreiteiros e agentes. Protegida: Informação que é sensível para a empresa e precisa de ser protegida. Acesso autorizado (para funcionários, fornecedores, subcontratados e agentes). É uma informação necessária para realizar uma função ou trabalho: "need-to-know". Confidencial: Informação mais sensível que está disponível apenas para uma função específica ou grupo específico de pessoas. Restringido: Informação que é altamente sensível e está disponível apenas para indivíduos específicos (ou posições específicas). 3 Este padrão é utilizado pelo Public Sector CIO Council (PSCIOC, 2004) do Canadá. 36 5.4 Conceitos 5.4.1 Política de Classificação da Informação A Classificação da Informação deve ser constituída por uma política , nesse caso a Política de Classificação da informação é o nome utilizado para refenciar o conjunto de normas , procedimento e instruções existente na política de Segurança da Informação Por meio do uso dessa política é que definimos quais os tipos de classificação existentes, com seus respectivos critérios de avaliação e proteção, além das responsabilidades associados ao processo como um todo. O conjunto de documentos que tem apoio direto de alta direção da organização , permitira mostrar comprometimento e definirá todo o funcionamento das atividades relacionadas à Classificação da informação Need-to-Know – Define a necessidade que uma pessoa possui , devido à rotina diária de trabalho e desempenho de suas funções, de acessar determinadas informações. Essa terminologia foi criado no ambiente militar / governo, podemos utiliza-las para fazer referência . A necessidade que usuários de uma organização possuem de acessar certas informações. Esse conceito é fundamental ara entendermos Least privilege Least Privilege – São todas as pessoas devem ter todos os direitos de acesso necessários para o desempenho de suas funções . Porém , nada mais que o mínimo deve ser permitido , Quando maior a exposição maiores serão os riscos associados a ela. O conceito de need-to-know , postulando que o conceito de privilégio mínimo é garantir a todos os usuários que não tenham acesso a nada que não faça parte de seu nedd-to-know. 5.4.2 Classificação, Desclassificação e Reclassificação. Os dois procedimentos básicos da Classificação da Informações são a Classificação e a Desclassificação das informações Classificações – Atribuir um nível de classificação a um informação , Faz com que as informações passe a se sujeitar às proteções especificas pelo nível de classificação escolhido . Algumas organizações optam por criar um nível de classificação onde, a partir da implementação do progrma de CI, todas as informações da organização passam a se 37 enquadrar nesse nível. Não existe o estado “ não-classificado” , eliminando o processo de classificaçõe e desclassificação. Nesse caso o procedimento de reclassificação é permitido. Reclassificação – Alteração no nível classificação de um informação . São nível de proteção mais baixa, de forma a evitar o comprometimento da confidencialidade Desclassificação – Remoção do nível de proteção. Aplicável apenas quando o estado “não-classificado” for previsto . Pode ser feita de forma automática, o prazo cairia de alguns anos para o níveis mais baixos de classificação até décadas para os mais altos no setor governamental 5.4.3 Papéis de Responsabilidades Uma das principais funções da Classificação da informação é definir e atribuir responsabilidades relacionadas a segurança diversas pessoas dentro de uma organização . Esses papeis e responsabilidades variam de acordo com a relação que a pessoa tem com a informação em questão. Proprietário da Informação – É responsabilidade do proprietário atribuir os níveis de classificação que uma informação demanda. Dessa forma ele também será participado do processo de escolha dos níveis de proteção e será também exposto ao processo de balancear as necessidades de proteção, com a facilidade de uso e o orçamento disponível para se investir em controles. Exemplo : O papel de dono normalmente deve ser exercido por um gerente da área cujas informações são de sua responsabilidade direta Umas das responsabilidades do dono são a classificação /reclassificação /desclassificação das informações, definir requisitos de proteção para cada nível de classificação,, autorizar pedidos de acesso a informações de sua propriedade e autorizar a divulgação de informações Custodiante – É aquele que zela pelo armazenamento e preservação de informações que não lhe pertencem Exemplos : Administradores de Banco de Dados , Servidores de Arquivos ou cofres para armazenamento de ativos valiosos . Existe dois tipos de Custodiante : 38 a) O proprietário de Aplicação – Um profissional de perfil técnico responsável pela administração e funcionamento de algum sistema , cabe a ele protegê-las e garantir que enquanto eles se encontrem sob sua responsabilidade os requisitos da classificação em termos de proteção estejam sendo obedecidos. b) O proprietário do Processo - É a pessoa responsável pelo processo de negócio, um exemplo é um processo de emissão de nota fiscal , que são informações sendo geradas e processadas ao longo do seu funcionamento. Equipe de segurança – é o ponto de apoio das unidades de negócios de forma de desenvolver, implementar e monitorar estratégias de segurança que atendem aos objetivos da organização, responsável pela avaliação e seleção de controles apropriados para oferecer as informações os níveis de proteção exigidos por cada classificação . Esse equipe não pode assumir a total responsabilidade pela proteção, já que deve ser compartilhada por todos. Cabe ela sim selecionar os melhores controles, conscientizar os usuários a respeito do seu uso, administrá-los e monitorá-las, além de verificar se todos na organização colaboram com as medidas. Gerente de Usuários – Responde pela ação de grupos de usuários de sua responsabilidade, além dos funcionários reponde pela ação dos visitantes, prestadores de serviços que fazem o uso de informações da organização Desempenha outro papel fundamental que é a solicitação, transferência e revogação de IDs de acesso para os seus funcionários. Usuário Final – Pessoal que faz uso constante das informações e o que mais tem contato com elas , é o responsável pelo seguimento das recomendações de segurança. 39 6 ROSI Antes de gastar dinheiro em um produto ou serviço, tomadores de decisão querem saber que o investimento é financeiramente justificado. Segurança da Informação não é diferente - ela tem de fazer sentido para os negócios. O que os gerentes ou empresários precisam são métricas de seguras que mostram como o impacto das despesas em segurança vão retornar. Não há nenhum possibilidade de implementação de uma solução se o seu verdadeiro custo é maior do que a exposição ao risco. Sonnenreich et all apresentam um modelo para calcular o valor financeiro das despesas de segurança, indicando as técnicas para obtenção das informações necessários para estabelecer um modelo. O Retorno Sobre investimento (ROI), foi criado para resolver estratégias de investimento alternativas. Por exemplo, uma empresa pode usar o ROI como um fator para decidir se vai investir em desenvolver uma nova tecnologia ou estender as capacidades do seu parque com a tecnologia existente. Re _ _ _ _ _ torno esperado Custo do Investimento ROICusto do Investimento −= Uma equação simples para calcular o Retorno Sobre o Investimento Segurança da informação (ROSI) é como se segue: ( _ _ )*(Pr _ _ Pr ) _ _ _ _ Custo do Incidente obabilidade de evinir Custo de Solução ROSI Custo de Solução −= O exemplo a seguir mostra o funcionamento desta equação. Supondo um aempresa que fature R$ 100.000/mes. A mesma foi infectada por 4 virus em um ano, causando uma parada de 1 dia a cada evento. A probabilidade de prevenir 40 este incidente através do escaner de virus é de 75%. o custo de solução é de 5.000,00 qual o retorno sobre o investimento? R$100.000/22 = R$4.545/dia*4 = R$ 18.180,00 Dividir o faturamento messal pelo número de dias trabalhados e multiplicar pelo número de dias em que a empresa ficou inoperante, chega-se ao valor aproximado de R$18.000,00 (dezoito mil reais). A probabilidade de prevenir o evento é de 75% 18.180*0,75 5.000 / 5.000 1,727ROSI = − = O custo com o escaner de virus parece valer a pena mesmo com uma probabilidade de 75% de detecção, pois existe um retorno sobre o investimento de 173% em um ano. Chegar com valor significativo como no exemplo para o calculo do ROSI não é tao simples. Não existe um modelo padrão para determinar o risco financeiro associado ao incidente de segurança, nem mesmo um modo de mitigar o risco. Existem algumas técnicas para medir exposição ao risco, mas não são precisas e variam muito para empresas diferentes. Existe como de calcular o ROSI se os dados subjacentes são impreciso? Aparentemente sim, já que algumas indústrias tiveram sucesso usando as métricas imprecisas do ROI por décadas. O indústria da publicidade é um exemplo. Anúncios são pagos com base no número de telespectadores potenciais, que é muitas vezes extrapoladas a partir de dados de circulação e demografia. Os compradores de anúncios supõe que o verdadeiro número de espectadores de anúncios está diretamente correlacionado com o número de potenciais espectadores, se a base espectador duplica, aproximadamente o dobro de pessoas provavelmente verá o anúncio. Portanto, mesmo que nunca venhamos a saber o verdadeiro número de espectadores, os compradores de anúncios podem, contudo, fazer decisões de compra baseados em outras medições mais confiáveis. Se o método para a determinação do ROSI puder ser repetido e obter resultados consistentes, então pode servir como uma ferramenta útil para comparar soluções de segurança baseadas em valor relativo. Na ausência de precisão, uma abordagem alternativa é 41 a de encontrar medições consistentes para os factores do ROSI que retornam resultados comparavelmente significativos. 6.1 Quantificação da Exposição ao Risco É importante para a empresa quantificar e mitigar os riscos para justificar o ROSI. Em circunstâncias normais, as soluções de segurança não criam diretamente qualquer valor tangível, ao contrário, elas evitam as perdas. A perda pode ser evitada se for conhecida pela a empresa. Um método analítico simples de calcular a exposição ao risco é multiplicar o custo projetado de um incidente de segurança (Single Loss Exposure, or SLE) com a sua taxa anual estimada de ocorrência (Annual Rate of Occurrence ARO). O valor resultante é chamado de perda anual por exposição (Annual Loss Exposure ALE). *ALE SLE ARO= Embora não existam métodos padronizados para estimar SLE ou ARO, existem tabelas que dão valores médios estatísticos de danos com base em relatórios do mundo real. Essas tabelas são criadas a partir de dados de reclamação de seguro, a pesquisa acadêmica, ou pesquisas independentes. Infelizmente, os métodos utilizados para calcular estes custos variam de empresa para empresa. Por exemplo, uma empresa pode valorizar um laptop roubado pelo seu custo de substituição. Outra pode levar em consideração a perda de produtividade e tempo de suporte de TI, e outro ainda pode levar em consideração os custos de perda de propriedade intelectual. Como resultado, algumas empresas avaliam um roubo de laptop de RS $ 3000; outras podem colocá-lo como R$ 100.000. O número final é mais susceptível de ser influenciado por fatores de negócio (quanto o segura irá reembolsar, quais são as implicações fiscais, este impacto vai gerar uma grande perda no preço das ações) do que pela realidade financeira. Um custo potencialmente significativa é a perda de informações altamente confidenciais.como sua propriedade intelectual, uma violação de segurança. O roubo de informações pode criar uma perda significativa para os negócios, mesmo não impactando a produtividade. O custo de um incidente de segurança neste caso é o valor estimado da propriedade intelectual que está em risco. 42 6.2 Perda de Produtividade É possível realizar uma avaliação do tempo de paralisação para estimar a perda de produtividade associada com um incidente que ainda não tenha acontecido. Se uma organização quiser prever o impacto de um vírus, ela pode realizar uma avaliação do tempo de inatividade. O resultado seria um intervalo de perda de produtividade potencial, o que poderia ser usado para calcular um ROSI máximo e mínimo para uma solução de prevenção de um vírus. Uma ferramenta útil para este tipo de análise é uma simulação Monte Carlo, que automatiza o processo de variar um certo número de variáveis, ao mesmo tempo e retorna uma gama de resultados potenciais. Outra avaliação útil é sobre o tempo de inatividade quando se examina o impacto geral da segurança na produtividade organizacional. O Retorno sobre o Investimento de Segurança equação assume um novo significado se a perda de produtividade diária for usada como a figura de exposição ao risco. A idéia é que uma organização altamente segura terá menos incidente de segurança, menores falhas técnicas e portanto menos perda de produtividade. A produtividade é importante porque a segurança vem quase sempre às custas de conveniências. A maioria das soluções de segurança acabam criando obstáculos que os funcionários precisam de saltar para fazer seus trabalhos. Dependendo do tamanho e frequência destes obstáculos, o custo perda de produtividade pode aumentar muito. A Tabela 6.1 mostra como o tempo pode facilmente ser perdido devido a problemas criados pelas soluções próprias destinadas a corrigir problemas de segurança. Perda de produtividade pode ter um sério impacto sobre a o custo do investimento em segurança. Apenas dez minutos de inatividade por dia por funcionário pode adicionar uma quantidade significativa de custo Exemplo: Uma empresa com 20 funcionários que aplicou um sistema de filtragem de e-mail que gera 15 minutos de perda de produtividade por dia por funcionário em um ano (240 dias úteis) terá 800 horas perdidas. 43 _ _ 20*15*240 40.000 800total de perda ou horas por ano= = Supondo de R$ 11,50 o custo da hora por funcionário, 800*11,50 $9.200,00R= Terá portanto uma perda adicional de R$ 9.200,00 por ano Tabela 6.1 Fatores que afetam a produtividade Problema Tempo médio de Para- da (em Minutes) Falhas de aplicação e do sistema 10 E-mail filtragem, classificação e spam 15 Eficiência de largura de banda e a transferência real 10 Ineficientes e ineficazes políticas de segurança 10 Execução de políticas de segurança 10 Relacionados com o sistema: fora de operação e upgrades para TI 10 Os patches de segurança para sistemas operacionais e aplicativos 10 Topologia de rede inseguras e ineficientes 15 Vírus, verificação de vírus 10 Worms 10 Cavalo de Tróia 10 Spyware, 10 Anúncios pop-up 10 Problemas de compatibilidade de hardware e software15 Permissões baseadas em problemas de segurança (usuário / senha) 15 Desorganização do sistema de arquivos 10 Dados corrompidos ou inacessíveis 15 Informações hackeadas ou roubado e dados 15 Backup / restauração 15 Uso de problemas de aplicativos 15 Somando ao custo da solução a perda de produtividade, pos se trata de um custo adicional, o novo ROSI ficará da seguinte forma: 18.180*0,75 (5.000 9.200) /(5.000 9.200) 0,03ROSI = − + + = − Ou seja, não compensa o investimento. Investimentos em segurança são feitas após análise adequada dos requisitos de segurança, avaliações de risco, desempenho do produto, fornecedor e mais importante, o alinhamento do plano de segurança para os objetivos gerais do negócio. 44 A segurança deve ser considerada como um negócio capacitador não como um inibidor. Justificar o custo da segurança é uma questão de garantir que a tecnologia permitirá que a política de segurança e procedimentos está alinhada diretamente com os objetivos de negócio. Nenhum evento ou solução de segurança é isolado dos outros. 45 7 Descarte e Sanitização de Mídias Decisões de descartar Informação ou sanitizar dispositivos de armazenamento ocorrem durante todo o ciclo de vida do sistema. Quando uma midia é descartada, é responsabilidade do dono da informalção armazenada, ou de um departamento (normalmente o departamento de T.I), sanitizar a midia (apagar todos os dados nela contidos). A informação armazenada na mídia possui uma classificação de segurança que muitas vezes revisitada e revalidada ao longo da vida do sistema, e as alterações necessárias para a classificar confidencialidade pode ser alterada. Uma vez que a qualificação de segurança estiver concluída, o proprietário do sistema pode então projetar um processo de higienização que irá garantir uma protecção adequada das informações do sistema. Muita da informação não está associado com um sistema específico, mas está associado com as comunicações de negócios internos, normalmente sobre o papel. As organizações devem rotular estes meios de comunicação com suas classificações de funcionamento interno e associar um tipo de sanitização. Fatores críticos que afetam o descarte de informações e sanitização de mídia são decididos no início do desenvolvimento de um sistema. Os requisitos iniciais do sistema devem incluir especificações de hardware e software, bem como documentos de interconexões de rede e fluxo de dados que irão ajudar o proprietário da informação a identificar os tipos de mídia utilizados no sistema. As especificações devem ser feitas durante a fase de especificação de quais tipos mídia serão usadas para criar, capturar armazenar ou transferêrir de informações utilizadas pelo sistema. Esta análise, equilibrando as necessidades de negócio e de risco à confidencialidade, irá formalizar os meios de comunicação que serão considerados para o sistema em conformidade com FIPS 200, Minimum Security Requirements for Federal Information and Information Systems.. Sanitização das mídias e disponibilização das informações geralmente é mais intensa durante a fase de eliminação no ciclo de vida do sistema ou da própria informação. No entanto, durante a vida de um sistema de informação, muitos equipamentos contendo dados serão transferidos para fora do controle da organização. Esta atividade pode ocorrer por 46 motivos de manutenção, atualizações de sistema, ou durante uma atualização de configuração. Sanitização de mídia é um elemento chave para garantia de confidencialidade ou seja preservar restrições de acesso e divulgação de informações, incluindo os meios para proteger a privacidade pessoal e das. Uma fonte muitas vezes rica de informação são os lixos, os “dumpster diving” ou mergulhadores de contêineres se especializam em reviar papeis descartados por enpresas. As mídia impressas fluem para dentro e fora das organizações muitas vezes sem controle através de lixeiras em formulário de papel. Esta vulnerabilidade potencial pode ser mitigado através da compreensão adequada de onde a informação está armazenada, o que é informação e como protegê-la. 7.1 Tipos de Mídia Existem dois tipos primários de mídia comunmente utilizados: Cópia fisica: é a representação fisica da informação. Impressões em papel, impressora, fax e fitas, estes tipos de midia costumam ser menos controladas. Informações jogadas nas lixeiras e contêineres de lixo expõe uma vulnerabilidade significativa para os “dumpster diving”, e funcionários curious, levando a divulgações acidentais de informação. Cópia eletronica: são os bits e bytes contidos em discos rígidos, memória de acesso aleatório (RAM), Read-Only Memory (ROM), discos, dispositivos de memória, telefones, aparelhos de computação móvel, equipamentos de rede, e muitos outros tipos. 7.2 Tendências das mídias de armazenamento As tecnologias utilizadas na computação e armazenamento de dados mudam muito e rapidamente. Novas tecnologias procuram aumentar a taxa de tranferencia e diminuir o tamanho. Essas novas tecnologias necessitam melhores praticas de sanitização para purgar os dados nelas contidos. Para ter uma idéia, os discos flexíveis(flop disk), podem ter sua informação recuperada após ter sido totalmente sobrescrito com zeros. Já os discos rígidos produzidos a partir de 2001, maiores que 15 GB podem ser purgados com uma única regavação devido a dencidade das mídias, segundo o nist(2008) e Hughes(2007). 47 Nos EUA existem várias leis que dizem respeito a confidencialização dos dados e sanitização em dispositivos de armazenamento Ex: Health Information Portability and Acountability (ato de portabilidade e Responsabilidade de informações sobre saúde), uma empresa qe se encontra em descumprimento com as praticas de segurança da HiPAA poderá sofrer uma multa de U$250.000 e enfrentar 10 anos de prisão. 7.3 Tecnologias Emergentes Armazenamento holográfico: Armazena dados em uma imagem 3D, é criada passando o laser através de cristais sensíveis que mantém os padrões de luz. Os pesquisadores acreditam que blocos de dados com 1cm³ podem armazenar 10GB SSD Solid –State drive (unidade de armazenamento de estado sólido), armazenam dados em circuito integrado semicondutores. A família SSD 320 da Intel tem capacdade de 40, 80 , 120, 160, 300 e 600GB, já a IBM está testando um dispositivo SSD de 4 Terabyte. Memória molecular. Armazenamentos de dados usando uma proteína chamada bacteriorodopsina. Um laser pode alterar a proteína para bR (0 estado) para Q (1 estado), o que torna uma porta ideal de armazenamento e dados, ou flip-flop. Memória molecular é barata de produzir e pode operar sobre uma ampla gama de temperaturas comparando com a memória de semicondutor. Uma molécula muda de estado dentro de microssegundos; os passos combinados para ler ou escrever demora cerca de 10 milissegundos. Isso pode parecer lento. No entanto, como o armazenamento holográfico, este dispositivo obtém páginas de dados em paralelo, de modo uma velocidade de transferência 10 Mbps é possível. 7.4 Tipos de Sanitização A chave para decidir a forma de gerenciar mídia em uma organização é a primeiro considerar a informação, então o tipo de mídia. A segurança da informação juntamente com com fatores ambientais devem conduzir as decisões sobre como lidar com a mídia. Novamente, a chave é a primeira pensar em termos de confidencialidade da informação, em seguida, por tipo de mídia. Nas organizações algumas informação podem não estar associado a qualquer sistema de classificação. Esta informação em muitos casos são comunicações internas, tais comomemorandos, artigos ou apresentações. Em alguns casos esta informação pode ser considerada sensível. Exemplos podem ser as cartas internas 48 disciplinares, negociações financeiras ou salário, ou atas de reuniões de estratégia. As organizações devem rotular estes meios de comunicação interno com suas classificações de funcionamento interno e associar um tipo de sanitização. Existem diferentes tipos de sanitização para cada tipo de mídia. Inicialmente a sanitização de mídia pode ser dividida em quatro categorias: eliminação, limpeza, expurgo e destruição. 7.4.1 Eliminação As mídias são jogadas fora sem nenhum tratamento especial dado a ela, pois as informações contidas não teriam nenhum impacto sobre a missão da organização ou seja, sua eliminação não resultaria em danos aos ativos organizacionais, não resultaria em perda financeira ou seria, não resultaria em prejuízo para todos os indivíduos. A eliminação não é tecnicamente um tipo de sanitização mas é um método válido para manuseio de mídia contendo informações não confidenciais, ela é mencionado para indicar que as organizações simplesmente eliminaram as mídia. A eliminação é o ato de descartar a mídia sem considerações de sanitização. Isso geralmente é feito através da reciclagem de papel que contém informações não confidenciais, mas pode também incluir outras mídias. 7.4.2 Limpeza Digital O processo de destruição de dados de é recomendado para os seguintes casos: • Os sistemas de computadores pessoais, o usuário se procupa em proteger seus dados contra roubo de identidade, assegurando que todos os dados pessoais são eliminados antes do computador ser vendido ou reutilizado. • Projetos que envolvem um pequeno número de unidades de disco rígido • Situações em que há baixo risco de ataque avançado de laboratório de recuperação de dados 49 A limpeza digital não deve permitir que a informação possa ser recuperada através utilitários de recuperação de arquivos como “keyboard attack”. A regravação é um método aceitável para a limpeza digital de mídia de armazenamento. Existem harware e software que reescrevem o conteudo das midias com dados não sensíveis. Este processo pode incluir a substituição não só do local de armazenamento lógico de um arquivo (s) (por exemplo, a tabela de alocação de arquivos), mas também pode incluir todos os locais endereçáveis. O objectivo do processo de segurança é substituir os dados gravados por dados aleatórios. Substituições não pode ser usada para as mídias danificadas ou não gravável. O tipo de mídia e tamanho pode influenciar na sanitização, estudos têm demonstrado que a maior parte dos meios de armazenamento de hoje podem ser eficazmente sanitizado por uma única regravação. 7.4.3 Purgar Purgar a informação é um processo de sanitização de mídia que protege a confidencialidade das informações contra um ataque de laboratório. Para algumas mídias a mídia limpeza é suficiente para purgar as informações contidas. No entanto, para unidades de disco ATA fabricado depois de 2001 (mais de 15 GB) os termos limpesa digital e purga convergem.. Opurgar as informações é um processo de processo de destruição recomendado para os seguintes casos: • Computadores de empresa ou qualquer computador que contém informações de funcionários, informações de clientes ou quaisquer outros dados sensíveis. • Quando a responsabilidade pelo tratamento e descarte adequado da informação sensível é uma preocupação • Projetos que envolvem um grande número de discos rígidos • O processo de destruição deve ser capaz de proteger contra tentativas sofisticadas de laboratório para recuperação de dados 50 Um ataque de laboratório envolveria uma ameaça com os recursos e conhecimentos para utilizar sistemas não padronizados para realizar tentativas de recuperação de dados em mídia fora do seu ambiente operacional normal. Este tipo de ataque envolve o uso de equipamentos de processamento de sinal e pessoal especialmente treinado. Executar o comando “Secure Erase” (apenas para drives ATA) e desmagnetização são exemplos de métodos aceitáveis para purgar as informações. Desmagnetização de qualquer disco rígido normalmente destrói a unidade bem como o firmware que gerencia o dispositivo (trilha de localização). A desmagnetização é expor os meios magnéticos de um forte campo magnético, a fim de interromper os domínios magnéticos gravados. Um desmagnetizador é um dispositivo que gera um campo magnético utilizado para esterilizar meios magnéticos. Desmagnetizadores são classificados com base no tipo (energia, isto é, baixa ou alta energia) de meios magnéticos podem purga. Desmagnetizadores operam utilizando uma ímã permanente forte ou uma bobina eletromagnética. A desmagnetização pode ser um método eficaz para purgar mídias danificadas, mídia com capacidades de armazenamento excepcionalmente grandes, ou para a rápida sanitização de disquetes. A desmagnetização não é eficaz para purgar mídia não magnéticos, tais como mídias ópticas como discos compactos (CD DVD, etc). 7.4.4 Destruição Destruição dos meios de armazenamento é a última forma de sanitização. Depois que as mídia são destruídos, eles não podem ser reutilizados como inicialmente previsto. A destruição física pode ser realizada utilizando uma variedade de métodos, incluindo a desintegração, a incineração, pulverização, trituração e fusão. Se a destruição é decidida devido à classificação de alta segurança da informação ou devido a factores ambientais, qualquer meio residual deve ser capaz de resistir a um ataque de laboratório. Incineração, desintegração, pulverização e fusão: Estes métodos de higienização projetados para destruir completamente as mídias. Eles são normalmente são realizadas por terceiros transformando em sucata metálica, essas atividades são realizadas de foorma eficaz, e com segurança. 51 Fragmentação: São trituradores de papel que podem ser usados para destruir mídias flexíveis, tais como disquetes, uma vez as mídias são fisicamente removidos de suas embalagens externas. O tamanho do fragmento deve ser pequeno o suficiente para que haja segurança razoável em proporção ao nível de confidencialidade de modo que a informação não pode ser reconstruída. Meios de armazenamento ópticos incluindo discos compactos (CD, CD-RW, CD-R, CD-ROM), discos ópticos (DVD), e magneto-óptica (MO) devem ser fragmentado ou pulverização, 7.5 Fatores que Influenciam as Decisões de Sanitização Vários fatores quando a tomada de decisões de sanitização devem ser considerados juntamente com a classificação da informação e da confidencialidade do sistema. O custo versus benefício de um processo de sanitização de mídia deve ser entendido antes de uma decisão final. Por exemplo, pode não ser rentável desmagnetizar uma mídia de baixo custo, tais como disquetes. A destruição pode ser a solução recomendada quato comparado com o custo efetivo de uma formação (considerando, monitoramento, validação, etc) para destruir a mídia basta a documentação. Indicada por uma avaliação do risco existente, a organizações podem aumentar o nível da sanitização aplicada se achar que é necessário. As organizações devem considerar os seguintes fatores ambientais. Note que a lista não é completa: • Que tipos (por exemplo, óptica não regravável, magnético) e tamanho (por exemplo, megabyte, gigabyte e terabyte) de armazenamento de mídia que a organização necessita sanitizar? • Qual é a confidencialidade dos dados armazenados na mídia? • Será que a mídia precisa ser processada em uma área controlada? • processo de higienização será realizado dentro da organização ou terceirizada? • Qual é o volume previsto de mídia a ser sanitizada, por tipo de mídia? 52 • Qual é a
Compartilhar